bokl Posted December 28, 2011 Posted December 28, 2011 (edited) Добрый день! Столкнулся с непонятной проблемой. Суть следующая: пользователь авторизуется по PPPoE, циска отправляет access-request и радиус отвечает accept. с радиуса приходят авпары с ssg-account-info с названиями сервисов. но циске они побарабану, она судя по всему еще не запустила ISG. далее по policy map type control на событие srssion-strat я ставлю authorize aaa list, но вот тут проблема. Циска почему то не отдает радиусу пароль, либо отдает тот каторый ты укажешь в этой команде 5 authorize aaa list ISG-AUTH-1 password blablalba identifier authenticated-username но у пользователей же разные пароли... в чем проблема не пойму. никак не выходит авторизовать пользователя с его pppoe-шным паролем. если в команде пароль указываю для тестового юзера, то он авторизуется и ему назначаются все сервисы и все вроде ок. Может кто что подскажет? Вроде делал уже все это на ASR1002 но тут толи в прошивке дело, толи что-то забыл Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-ADVIPSERVICESK9-M), Version 15.1(3)S2, RELEASE SOFTWARE (fc1) Спасибо! Edited December 28, 2011 by bokl Вставить ник Quote
triam Posted December 29, 2011 Posted December 29, 2011 В вашем случае правильнее писать authentificate aaa list ISG-AUTH-1 для события сервис старт =) А сервисы выдавать через RADIUS Вставить ник Quote
bokl Posted December 29, 2011 Author Posted December 29, 2011 (edited) пробовал. не работает... сервисы и так через радиус передаются, тока циске на них почему-то пофигу. она не риагирует на них. а вот когда уже с созданной пппое присылаешь сервисы - то она их применяет Edited December 29, 2011 by bokl Вставить ник Quote
triam Posted December 29, 2011 Posted December 29, 2011 Ясное дело. Сервисы навешиваются на сессию =) Смотрите debug radius что пишет. Ну и конфиги с debug radius в студию! Вставить ник Quote
bokl Posted December 29, 2011 Author Posted December 29, 2011 (edited) вот что сейчас: policy-map type control ISG-CUSTOMERS-POLICY class type control always event session-start 5 authenticate aaa list ISG-AUTH-1 ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name 20 service-policy type service unapply identifier service-name ! вот так работает только у одного пользователякогда указываешь его пароль): policy-map type control ISG-CUSTOMERS-POLICY class type control always event session-start 5 authorize aaa list ISG-AUTH-1 password 123asd identifier authenticated-username ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name 20 service-policy type service unapply identifier service-name ! вот лог. *Dec 29 10:23:17.852: RADIUS(0000041A): Send Access-Request to 192.168.121.19:1812 id 1645/114, len 167 *Dec 29 10:23:17.852: RADIUS: authenticator 15 B6 66 A8 3D C6 D7 DC - A4 80 78 1D EE B5 8A 3F *Dec 29 10:23:17.852: RADIUS: Framed-Protocol [7] 6 PPP [1] *Dec 29 10:23:17.852: RADIUS: User-Name [1] 12 "asr_test01" *Dec 29 10:23:17.852: RADIUS: CHAP-Password [3] 19 * *Dec 29 10:23:17.852: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Dec 29 10:23:17.852: RADIUS: NAS-Port [5] 6 0 *Dec 29 10:23:17.852: RADIUS: NAS-Port-Id [87] 11 "0/0/0/890" *Dec 29 10:23:17.852: RADIUS: Vendor, Cisco [26] 41 *Dec 29 10:23:17.852: RADIUS: Cisco AVpair [1] 35 "client-mac-address=0080.4816.f4c3" *Dec 29 10:23:17.852: RADIUS: Service-Type [6] 6 Framed [2] *Dec 29 10:23:17.852: RADIUS: NAS-IP-Address [4] 6 192.168.11.14 *Dec 29 10:23:17.852: RADIUS: Acct-Session-Id [44] 18 "AC1502E20000065E" *Dec 29 10:23:17.852: RADIUS: Nas-Identifier [32] 16 "bras" *Dec 29 10:23:17.852: RADIUS(0000041A): Started 5 sec timeout *Dec 29 10:23:17.869: RADIUS: Received from id 1645/114 192.168.121.19:1812, Access-Accept, len 210 *Dec 29 10:23:17.869: RADIUS: authenticator 0D A7 33 00 8B 8D BB 84 - 93 27 1B B7 E8 DB 62 65 *Dec 29 10:23:17.869: RADIUS: Service-Type [6] 6 Framed [2] *Dec 29 10:23:17.869: RADIUS: Framed-Protocol [7] 6 PPP [1] *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 41 *Dec 29 10:23:17.869: RADIUS: Cisco AVpair [1] 35 "ip:addr-pool=public_192.168.11.14" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 30 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 24 "AISG-SVC-MEDIA:R_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 30 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 24 "AISG-SVC-LOCAL:R_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 49 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 43 "AISG-SVC-SUPERFULLNIGHT:R_4000:SFNR_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 28 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 22 "AISG-SVC-INET:R_4000" *Dec 29 10:23:17.869: RADIUS(0000041A): Received from id 1645/114 *Dec 29 10:23:17.871: AAA/BIND(0000041A): Bind i/f Virtual-Access2.1 пори втором варианте конфига авторизация идет 2 раза. Edited December 29, 2011 by bokl Вставить ник Quote
bokl Posted December 30, 2011 Author Posted December 30, 2011 проблему пофиксил:) interface Virtual-Template1 ip unnumbered Loopback2 no ip redirects no ip proxy-arp peer ip address forced peer pool static peer default ip address pool public_192.168.11.14 no keepalive ppp authentication chap ms-chap ms-chap-v2 ISG-AUTH-1 [b] ppp authorization ISG-AUTH-1[/b] ppp ipcp dns x.x.x.x y.y.y.y service-policy type control ISG-CUSTOMERS-POLICY end строчка ppp authorization ISG-AUTH-1 спасла мой мозг Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.