Jump to content
Калькуляторы

ISG problem ASR 1004 и проблема с ISG

Добрый день!

 

Столкнулся с непонятной проблемой. Суть следующая:

 

пользователь авторизуется по PPPoE, циска отправляет access-request и радиус отвечает accept.

с радиуса приходят авпары с ssg-account-info с названиями сервисов. но циске они побарабану,

она судя по всему еще не запустила ISG. далее по policy map type control на событие srssion-strat

я ставлю authorize aaa list, но вот тут проблема. Циска почему то не отдает радиусу пароль, либо отдает

тот каторый ты укажешь в этой команде

5 authorize aaa list ISG-AUTH-1 password blablalba identifier authenticated-username

но у пользователей же разные пароли... в чем проблема не пойму. никак не выходит авторизовать пользователя с его

pppoe-шным паролем. если в команде пароль указываю для тестового юзера, то он авторизуется и ему назначаются все

сервисы и все вроде ок.

 

Может кто что подскажет? Вроде делал уже все это на ASR1002 но тут толи в прошивке дело, толи что-то забыл

Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-ADVIPSERVICESK9-M), Version 15.1(3)S2, RELEASE SOFTWARE (fc1)

 

Спасибо!

Edited by bokl

Share this post


Link to post
Share on other sites

В вашем случае правильнее писать

authentificate aaa list ISG-AUTH-1

для события сервис старт =)

А сервисы выдавать через RADIUS

Share this post


Link to post
Share on other sites

пробовал. не работает...

 

сервисы и так через радиус передаются, тока циске на них почему-то пофигу. она не риагирует на них.

а вот когда уже с созданной пппое присылаешь сервисы - то она их применяет

Edited by bokl

Share this post


Link to post
Share on other sites

Ясное дело. Сервисы навешиваются на сессию =)

 

Смотрите debug radius что пишет.

Ну и конфиги с debug radius в студию!

Share this post


Link to post
Share on other sites

вот что сейчас:

policy-map type control ISG-CUSTOMERS-POLICY
class type control always event session-start
 5 authenticate aaa list ISG-AUTH-1 
!
class type control always event service-stop
 1 service-policy type service unapply identifier service-name
 10 service-policy type service unapply identifier service-name
 20 service-policy type service unapply identifier service-name
!

 

вот так работает только у одного пользователякогда указываешь его пароль):

policy-map type control ISG-CUSTOMERS-POLICY
class type control always event session-start
 5 authorize aaa list ISG-AUTH-1 password 123asd identifier authenticated-username
!
class type control always event service-stop
 1 service-policy type service unapply identifier service-name
 10 service-policy type service unapply identifier service-name
 20 service-policy type service unapply identifier service-name
!

 

вот лог.

*Dec 29 10:23:17.852: RADIUS(0000041A): Send Access-Request to 192.168.121.19:1812 id
1645/114, len 167
*Dec 29 10:23:17.852: RADIUS:  authenticator 15 B6 66 A8 3D C6 D7 DC - A4 80 78 1D EE B5
8A 3F
*Dec 29 10:23:17.852: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Dec 29 10:23:17.852: RADIUS:  User-Name           [1]   12  "asr_test01"
*Dec 29 10:23:17.852: RADIUS:  CHAP-Password       [3]   19  *
*Dec 29 10:23:17.852: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Dec 29 10:23:17.852: RADIUS:  NAS-Port            [5]   6   0                         
*Dec 29 10:23:17.852: RADIUS:  NAS-Port-Id         [87]  11  "0/0/0/890"
*Dec 29 10:23:17.852: RADIUS:  Vendor, Cisco       [26]  41  
*Dec 29 10:23:17.852: RADIUS:   Cisco AVpair       [1]   35 
"client-mac-address=0080.4816.f4c3"
*Dec 29 10:23:17.852: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Dec 29 10:23:17.852: RADIUS:  NAS-IP-Address      [4]   6   192.168.11.14             
*Dec 29 10:23:17.852: RADIUS:  Acct-Session-Id     [44]  18  "AC1502E20000065E"
*Dec 29 10:23:17.852: RADIUS:  Nas-Identifier      [32]  16  "bras"
*Dec 29 10:23:17.852: RADIUS(0000041A): Started 5 sec timeout
*Dec 29 10:23:17.869: RADIUS: Received from id 1645/114 192.168.121.19:1812,
Access-Accept, len 210
*Dec 29 10:23:17.869: RADIUS:  authenticator 0D A7 33 00 8B 8D BB 84 - 93 27 1B B7 E8 DB
62 65
*Dec 29 10:23:17.869: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Dec 29 10:23:17.869: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Dec 29 10:23:17.869: RADIUS:  Vendor, Cisco       [26]  41  
*Dec 29 10:23:17.869: RADIUS:   Cisco AVpair       [1]   35 
"ip:addr-pool=public_192.168.11.14"
*Dec 29 10:23:17.869: RADIUS:  Vendor, Cisco       [26]  30  
*Dec 29 10:23:17.869: RADIUS:   ssg-account-info   [250] 24  "AISG-SVC-MEDIA:R_10000"
*Dec 29 10:23:17.869: RADIUS:  Vendor, Cisco       [26]  30  
*Dec 29 10:23:17.869: RADIUS:   ssg-account-info   [250] 24  "AISG-SVC-LOCAL:R_10000"
*Dec 29 10:23:17.869: RADIUS:  Vendor, Cisco       [26]  49  
*Dec 29 10:23:17.869: RADIUS:   ssg-account-info   [250] 43 
"AISG-SVC-SUPERFULLNIGHT:R_4000:SFNR_10000"
*Dec 29 10:23:17.869: RADIUS:  Vendor, Cisco       [26]  28  
*Dec 29 10:23:17.869: RADIUS:   ssg-account-info   [250] 22  "AISG-SVC-INET:R_4000"
*Dec 29 10:23:17.869: RADIUS(0000041A): Received from id 1645/114
*Dec 29 10:23:17.871: AAA/BIND(0000041A): Bind i/f Virtual-Access2.1 

 

пори втором варианте конфига авторизация идет 2 раза.

Edited by bokl

Share this post


Link to post
Share on other sites

проблему пофиксил:)

 


interface Virtual-Template1
ip unnumbered Loopback2
no ip redirects
no ip proxy-arp
peer ip address forced
peer pool static
peer default 
ip address pool public_192.168.11.14  
no keepalive  
ppp authentication chap ms-chap ms-chap-v2 ISG-AUTH-1  
[b] ppp authorization ISG-AUTH-1[/b]  
ppp ipcp dns x.x.x.x y.y.y.y 
service-policy type control ISG-CUSTOMERS-POLICY end

 

строчка ppp authorization ISG-AUTH-1 спасла мой мозг

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this