Jump to content
Калькуляторы

попытка разобраться с ISG требуется помощь

Доброго времени суток всем!

Помогите разобраться с выдачей описания сервиса через Radius.

Есть железка:

 

Cisco C10008 (PRE2-RP) processor (revision ) with 950271K/94208K bytes of memory.
Cisco IOS Software, 10000 Software (C10K2-K91P11U2-M), Version 12.2(33)SB7, RELEASE SOFTWARE (fc3)

 

Пытаюсь внедрить некое подобие ISG, а именно выдавать описание сервиса через профиль на Radius сервере.

Есть клиент, у которого заведен атрибут:

Account-Info=ATime-Based-Inet-Day

Так как наш Radius сервер не поддерживает ISG как таковой, завел пользователя Time-Based-Inet-Day

с атрибутами:

Cisco-AVPair = "ip:traffic-class=in access-group name def-IN priority 10"
Cisco-AVPair = "ip:traffic-class=out access-group name def-OUT priority 10"
Cisco-AVPair = "ip:traffic-class=in default drop"
Cisco-AVPair = "ip:traffic-class=out default drop"
Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Подключаюсь тестовым абонентом, описание сервиса получаю, но не назначаются параметры полисинга.

Вот debug:

 

*May 10 15:42:02 MSK: RADIUS(00066BD1): Send Access-Request to 192.168.0.12:1812 id 1645/20, len 183
*May 10 15:42:02 MSK: RADIUS:  authenticator 04 45 A2 6F 4A F0 AB 64 - 77 47 92 53 5B B7 D8 0E
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  41
*May 10 15:42:02 MSK: RADIUS:   Cisco AVpair       [1]   35  "client-mac-address=001b.11b2.573d"
*May 10 15:42:02 MSK: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*May 10 15:42:02 MSK: RADIUS:  User-Name           [1]   10  "stsphinx"
*May 10 15:42:02 MSK: RADIUS:  CHAP-Password       [3]   19  *
*May 10 15:42:02 MSK: RADIUS:  Calling-Station-Id  [31]  16  "001b.11b2.573d"
*May 10 15:42:02 MSK: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  15
*May 10 15:42:02 MSK: RADIUS:   cisco-nas-port     [2]   9   "6/0/0/7"
*May 10 15:42:02 MSK: RADIUS:  NAS-Port            [5]   6   0
*May 10 15:42:02 MSK: RADIUS:  NAS-Port-Id         [87]  9   "6/0/0/7"
*May 10 15:42:02 MSK: RADIUS:  Connect-Info        [77]  6   "Inet"
*May 10 15:42:02 MSK: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*May 10 15:42:02 MSK: RADIUS:  NAS-IP-Address      [4]   6   192.168.4.3
*May 10 15:42:02 MSK: RADIUS:  Nas-Identifier      [32]  17  "192.168.004.003"
*May 10 15:42:02 MSK: RADIUS: Received from id 1645/20 192.168.0.12:1812, Access-Accept, len 54
*May 10 15:42:02 MSK: RADIUS:  authenticator 32 59 8F A0 9B E8 65 4D - D3 41 35 3A F7 F4 EF AB
*May 10 15:42:02 MSK: RADIUS:  Framed-IP-Address   [8]   6   X.X.X.X
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  28
*May 10 15:42:02 MSK: RADIUS:   ssg-account-info   [250] 22  "ATime-Based-Inet-Day"
*May 10 15:42:02 MSK: RADIUS(00066BD1): Received from id 1645/20
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Root SIP PPPoE
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]:  Enable PPPoE parsing
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]:  Enable PPP parsing
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Active key set to Auth-User
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Authorizing key apply-config-only
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Spoofed AAA reply sent for key apply-config-only
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Received an AAA pass
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Parsed AAA interim interval = 0
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPP[60DC353C] parsed as Success
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPP[61D6FFF4] parsed as Ignore
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPPoE[61D9FC04] parsed as Success
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP Root parser not installed
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: No service authorization info found
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Active Handle present
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Freeing Active Handle; SSS Policy Context Handle = 2AE19690
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Cancel request
*May 10 15:42:02 MSK: SSS PM [uid:6207][2AE1DF28]: AAA author needed for downloading service
*May 10 15:42:02 MSK: SSS PM [uid:6207][2AE1DF28]: AAA author needed for downloading service
*May 10 15:42:02 MSK: SVM [Time-Based-Inet-Day]: needs downloading
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: allocated version 1
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: [0F010E89]: client queued
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Root SIP PPPoE
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]:  Enable PPPoE parsing
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]:  Enable PPP parsing
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]:  Enable Web-service-logon parsing
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Active key set to Apply-Service
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Authorizing key Time-Based-Inet-Day
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: AAA request sent for key Time-Based-Inet-Day
*May 10 15:42:02 MSK: RADIUS/ENCODE(00066BD1):Orig. component type = PPoE
*May 10 15:42:02 MSK: RADIUS/ENCODE: Skip encoding 0 length AAA attribute formatted-clid
*May 10 15:42:02 MSK: RADIUS(00066BD1): Config NAS IP: 192.168.4.3
*May 10 15:42:02 MSK: RADIUS/ENCODE(00066BD1): acct_session_id: 570441
*May 10 15:42:02 MSK: RADIUS(00066BD1): Config NAS IP: 192.168.4.3
*May 10 15:42:02 MSK: RADIUS(00066BD1): sending
*May 10 15:42:02 MSK: RADIUS(00066BD1): Send Access-Request to 192.168.0.12:1812 id 1645/21, len 130
*May 10 15:42:02 MSK: RADIUS:  authenticator 49 62 21 5C 51 3D FB BF - E0 88 BE 1A 72 37 4F B3
*May 10 15:42:02 MSK: RADIUS:  User-Name           [1]   21  "Time-Based-Inet-Day"
*May 10 15:42:02 MSK: RADIUS:  User-Password       [2]   18  *
*May 10 15:42:02 MSK: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  15
*May 10 15:42:02 MSK: RADIUS:   cisco-nas-port     [2]   9   "6/0/0/7"
*May 10 15:42:02 MSK: RADIUS:  NAS-Port            [5]   6   0
*May 10 15:42:02 MSK: RADIUS:  NAS-Port-Id         [87]  9   "6/0/0/7"
*May 10 15:42:02 MSK: RADIUS:  Connect-Info        [77]  6   "Inet"
*May 10 15:42:02 MSK: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
*May 10 15:42:02 MSK: RADIUS:  NAS-IP-Address      [4]   6   192.168.4.3
*May 10 15:42:02 MSK: RADIUS:  Nas-Identifier      [32]  17  "192.168.004.003"
*May 10 15:42:02 MSK: RADIUS: Received from id 1645/21 192.168.0.12:1812, Access-Accept, len 282
*May 10 15:42:02 MSK: RADIUS:  authenticator 90 9E 43 8B B6 EC CD 92 - 88 F8 D6 C4 DD F5 00 24
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  64
*May 10 15:42:02 MSK: RADIUS:   Cisco AVpair       [1]   58  "ip:traffic-class=in access-group name def-IN priority 10"
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  66
*May 10 15:42:02 MSK: RADIUS:   Cisco AVpair       [1]   60  "ip:traffic-class=out access-group name def-OUT priority 10"
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  40
*May 10 15:42:02 MSK: RADIUS:   Cisco AVpair       [1]   34  "ip:traffic-class=in default drop"
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  41
*May 10 15:42:02 MSK: RADIUS:   Cisco AVpair       [1]   35  "ip:traffic-class=out default drop"
*May 10 15:42:02 MSK: RADIUS:  Vendor, Cisco       [26]  51
*May 10 15:42:02 MSK: RADIUS:   ssg-service-info   [251] 45  "QU;512000;256000; 5000;D;512000;256000;5000"
*May 10 15:42:02 MSK: RADIUS(00066BD1): Received from id 1645/21
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Received an AAA pass
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Parsed AAA interim interval = 0
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPP[60DC353C] parsed as Success
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPP[61D6FFF4] parsed as Ignore
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP PPPoE[61D9FC04] parsed as Success
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP Root parser not installed
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: SIP Web-service-logon parser not installed
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: No service authorization info found
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Active Handle present
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Freeing Active Handle; SSS Policy Context Handle = 2AE1DF28
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: [0F010E89]: client download ok
*May 10 15:42:02 MSK: SSS AAA AUTHOR [uid:6207]: Cancel request
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day] ERROR: [0F010E89]: client not downloading
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: alloc feature info
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: has Policy info
*May 10 15:42:02 MSK: SVM [96000031/Time-Based-Inet-Day]: populated client

 

Как видно из отладки, описание сервиса получено, но параметры полисинга сабскрайберу не назначаются:

 

esr10k8# sh subscriber session username stsphinx
Unique Session ID: 6207
Identifier: stsphinx
SIP subscriber access type(s): PPPoE/PPP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:10:42, Last Changed: 00:10:42
Interface: Virtual-Access2434

Policy information:
 Authentication status: authen
 Active services associated with session:
   name "Time-Based-Inet-Day"

Session inbound features:
Traffic classes:
 Traffic class session ID: 4621
  ACL Name: def-IN, Packets = 2, Bytes = 28
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Session outbound features:
Traffic classes:
 Traffic class session ID: 4621
  ACL Name: def-OUT, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Non-datapath features:
Feature: IP Config
 Peer IP Address: X.X.X.X (F/F)
 Address Pool: [None] (F)
 Unnumbered Intf: [None]
Configuration sources associated with this session:
Service: Time-Based-Inet-Day, Active Time = 00:10:42
Interface: Virtual-Template2, Active Time = 00:10:42

 

ACL заведены:

esr10k8#sh access-lists def-IN
Extended IP access list def-IN (PXF security)
   10 permit ip any any (2 matches)
esr10k8#sh access-lists def-OUT
Extended IP access list def-OUT (PXF security)
   10 permit ip any any

 

Опытные, подскажите в чем может быть дело? Смущают ERROR в отладке...

 

Update:

Как выяснилось, полисинг работает, но в параметрах сессии не отображается.

Пробовал описывать сервис и на самом BRAS'e, результат тот же.

Глюк конкретной версии IOS?

Edited by StSphinx

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Чем отличается от того как я описываю?

 

Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Коды аттрибута указаны правильно, значения брал из циского гайда.

Cisco IOS ISG Radius CoA Interface Guide

Или вы имеете ввиду, указать атрибут в профиле пользователя? Если так, то пробовал, параметры полисинга отображаются,

но меня это не устраивает, нужно несколько сервисов.

Edited by StSphinx

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Чем отличается от того как я описываю?

 

Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Коды аттрибута указаны правильно, значения брал из циского гайда.

Cisco IOS ISG Radius CoA Interface Guide

Или вы имеете ввиду, указать атрибут в профиле пользователя? Если так, то пробовал, параметры полисинга отображаются,

но меня это не устраивает, нужно несколько сервисов.

 

 

у меня Service-Info тоже не работало, а Cisc-Service-Info заработало

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Чем отличается от того как я описываю?

 

Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Коды аттрибута указаны правильно, значения брал из циского гайда.

Cisco IOS ISG Radius CoA Interface Guide

Или вы имеете ввиду, указать атрибут в профиле пользователя? Если так, то пробовал, параметры полисинга отображаются,

но меня это не устраивает, нужно несколько сервисов.

 

 

у меня Service-Info тоже не работало, а Cisc-Service-Info заработало

То есть, если я все верно понял, Вы в словаре завели саб-аттрибут с кодом 251 и именем Cisc-Service-Info ?

И нет ли тут ошибки, может все таки Cisco-Service-Info ?

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Чем отличается от того как я описываю?

 

 

 

 

Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Коды аттрибута указаны правильно, значения брал из циского гайда.

Cisco IOS ISG Radius CoA Interface Guide

Или вы имеете ввиду, указать атрибут в профиле пользователя? Если так, то пробовал, параметры полисинга отображаются,

но меня это не устраивает, нужно несколько сервисов.

 

 

у меня Service-Info тоже не работало, а Cisc-Service-Info заработало

То есть, если я все верно понял, Вы в словаре завели саб-аттрибут с кодом 251 и именем Cisc-Service-Info ?

И нет ли тут ошибки, может все таки Cisco-Service-Info ?

 

 

очепятка уж... Cisco-Service-Info

Share this post


Link to post
Share on other sites

тоже разбираюсь с ISG. авторизацию хотелось бы сделать следующим образом: при подключении юзера в порт свитча 1-й раз, его кидает на портал, где он вводит свой логин/пароль и ему назначаются сервисы согласно учетке. при последующих входах юзеру ничего вводить не надо (transparent auto logon), радиус навешивает на него сервисы согласно информации опции 82 протокола DHCP.

1. каковы минусы данного метода авторизации и какие альтернативные варианты можете предложить;

2. на форуме мелькали сообщения о самописных порталах для ISG, если кому не жалко, можете в личку кинуть исходники или тыкнуть носом как его написать самому.

Share this post


Link to post
Share on other sites

попробуй так:

Cisc-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Чем отличается от того как я описываю?

 

 

 

 

Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

 

Коды аттрибута указаны правильно, значения брал из циского гайда.

Cisco IOS ISG Radius CoA Interface Guide

Или вы имеете ввиду, указать атрибут в профиле пользователя? Если так, то пробовал, параметры полисинга отображаются,

но меня это не устраивает, нужно несколько сервисов.

 

 

у меня Service-Info тоже не работало, а Cisc-Service-Info заработало

То есть, если я все верно понял, Вы в словаре завели саб-аттрибут с кодом 251 и именем Cisc-Service-Info ?

И нет ли тут ошибки, может все таки Cisco-Service-Info ?

 

 

очепятка уж... Cisco-Service-Info

 

Собственно, как и предполагал, не работает так. Да и не должно вообще-то. Как у вас атрибут называется в справочнике, по сути, не важно.

Главное какой код атрибута вы передаете.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this