s.lobanov Опубликовано 1 декабря, 2011 · Жалоба Никогда не делал bras из cisco, но тут понадобилось собрать тестовый стенд на gns3. Кому не сложно, поделитесь пожалуйста примером конфига для cisco 7200, чтобы терминировать на нём pppoe-сессии с авторизацией через radius-сервер. Разбираться самому сейчас некогда, надо просто проверить пару моментов как оно работает у cisco. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 1 декабря, 2011 · Жалоба Простейший конфиг, как раз с тестового gns3 (некоторые незначащие строчки выкинуты): ! aaa new-model aaa session-mib disconnect ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default action-type start-stop group radius ! aaa server radius dynamic-author client 192.168.1.214 server-key 7 XXXXXXXX auth-type any ! aaa session-id common clock timezone MSK 4 syscon address 192.168.1.214 XXXXXXXX syscon shelf-id 0 ip source-route ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! username admin secret 5 xxxxxxxxxxxxxxxxx ! bba-group pppoe global virtual-template 1 sessions max limit 8000 ac name nas1 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup ! ! interface FastEthernet0/0 ip address 192.168.1.138 255.255.255.0 speed auto duplex auto pppoe enable group global no cdp enable ! interface FastEthernet0/1 no ip address shutdown speed auto duplex auto ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 ip flow ingress peer default ip address pool PPPoE ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ! ip local pool PPPoE 192.168.2.10 192.168.2.20 ! ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 192.168.1.254 ! access-list 3 permit 192.168.1.214 no cdp run ! snmp-server community XXXXXXXX RW 3 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 192.168.1.214 161 snmp-server host 192.168.1.214 2c snmp-server host 192.168.1.214 aaa snmp-server host 192.168.1.214 XXXXXXXX snmp snmp ifmib ifindex persist ! ! radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 192.168.1.214 auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key 7 XXXXXXXXXXXXXXXXX radius-server vsa send accounting radius-server vsa send authentication Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 декабря, 2011 · Жалоба C@T Спасибо огромное! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 1 декабря, 2011 (изменено) · Жалоба Если нужно понимать, как строить сервисные политики на SSG - вот здесь есть "мануальчик": http://alex-at.ru/cisco/ssg-cisco-7206-pppoe http://alex-at.ru/cisco/2-ssg-cisco-7206-pppoe http://alex-at.ru/cisco/3-ssg-cisco-7206-pppoe Изменено 1 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 декабря, 2011 · Жалоба Alex/AT Вроде пока не надо, но всё равно спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 декабря, 2011 · Жалоба Настроить получилось, сессии терминируются. Помогите немного по CoA: # echo "User-Name=\"ANY\",Cisco-Account-Info=\"S10.0.0.2\",Cisco-AVPair=\"subscriber:command=account-status-query\"" | /usr/bin/radclient -x 10.1.0.1:1700 coa ciscoSending CoA-Request of id 6 to 10.1.0.1 port 1700 User-Name = "ANY" Cisco-Account-Info = "S10.0.0.2" Cisco-AVPair = "subscriber:command=account-status-query" rad_recv: CoA-NAK packet from host 10.1.0.1 port 1700, id=6, length=47 Reply-Message = "No Matching Session" Error-Cause = Session-Context-Not-Found # echo "User-Name=\"10.0.0.2\",Cisco-Account-Info=\"S10.0.0.2\",Cisco-AVPair=\"subscriber:command=account-status-query\"" | /usr/bin/radclient -x 10.1.0.1:1700 coa cisco Sending CoA-Request of id 237 to 10.1.0.1 port 1700 User-Name = "10.0.0.2" Cisco-Account-Info = "S10.0.0.2" Cisco-AVPair = "subscriber:command=account-status-query" rad_recv: CoA-NAK packet from host 10.1.0.1 port 1700, id=237, length=47 Reply-Message = "No Matching Session" Error-Cause = Session-Context-Not-Found Хотя сессия с ip 10.0.0.2 в GRT есть: ciscotest#sh ip rout.... C 10.0.0.2/32 is directly connected, Virtual-Access1.1 C 10.0.0.0/24 is directly connected, FastEthernet1/0 C 10.1.0.0/24 is directly connected, FastEthernet0/0 Вот что говорит debug на cisco: *Dec 1 23:28:01.431: RADIUS: COA received from id 60 10.1.0.2:51509, CoA Request, len 94 *Dec 1 23:28:01.431: RADIUS/DECODE: parse unknown cisco vsa "command" - IGNORE Не тот софт(Version 12.4(24)T2) или я что-то не доделал? Задача в том, чтобы по CoA выгрести максимум информации о сессии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 1 декабря, 2011 · Жалоба Поменял софт на 12.2(33)SRE5, теперь всё ок Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...