bokl Опубликовано 28 декабря, 2011 (изменено) · Жалоба Добрый день! Столкнулся с непонятной проблемой. Суть следующая: пользователь авторизуется по PPPoE, циска отправляет access-request и радиус отвечает accept. с радиуса приходят авпары с ssg-account-info с названиями сервисов. но циске они побарабану, она судя по всему еще не запустила ISG. далее по policy map type control на событие srssion-strat я ставлю authorize aaa list, но вот тут проблема. Циска почему то не отдает радиусу пароль, либо отдает тот каторый ты укажешь в этой команде 5 authorize aaa list ISG-AUTH-1 password blablalba identifier authenticated-username но у пользователей же разные пароли... в чем проблема не пойму. никак не выходит авторизовать пользователя с его pppoe-шным паролем. если в команде пароль указываю для тестового юзера, то он авторизуется и ему назначаются все сервисы и все вроде ок. Может кто что подскажет? Вроде делал уже все это на ASR1002 но тут толи в прошивке дело, толи что-то забыл Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-ADVIPSERVICESK9-M), Version 15.1(3)S2, RELEASE SOFTWARE (fc1) Спасибо! Изменено 28 декабря, 2011 пользователем bokl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 29 декабря, 2011 · Жалоба В вашем случае правильнее писать authentificate aaa list ISG-AUTH-1 для события сервис старт =) А сервисы выдавать через RADIUS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 29 декабря, 2011 (изменено) · Жалоба пробовал. не работает... сервисы и так через радиус передаются, тока циске на них почему-то пофигу. она не риагирует на них. а вот когда уже с созданной пппое присылаешь сервисы - то она их применяет Изменено 29 декабря, 2011 пользователем bokl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 29 декабря, 2011 · Жалоба Ясное дело. Сервисы навешиваются на сессию =) Смотрите debug radius что пишет. Ну и конфиги с debug radius в студию! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 29 декабря, 2011 (изменено) · Жалоба вот что сейчас: policy-map type control ISG-CUSTOMERS-POLICY class type control always event session-start 5 authenticate aaa list ISG-AUTH-1 ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name 20 service-policy type service unapply identifier service-name ! вот так работает только у одного пользователякогда указываешь его пароль): policy-map type control ISG-CUSTOMERS-POLICY class type control always event session-start 5 authorize aaa list ISG-AUTH-1 password 123asd identifier authenticated-username ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name 20 service-policy type service unapply identifier service-name ! вот лог. *Dec 29 10:23:17.852: RADIUS(0000041A): Send Access-Request to 192.168.121.19:1812 id 1645/114, len 167 *Dec 29 10:23:17.852: RADIUS: authenticator 15 B6 66 A8 3D C6 D7 DC - A4 80 78 1D EE B5 8A 3F *Dec 29 10:23:17.852: RADIUS: Framed-Protocol [7] 6 PPP [1] *Dec 29 10:23:17.852: RADIUS: User-Name [1] 12 "asr_test01" *Dec 29 10:23:17.852: RADIUS: CHAP-Password [3] 19 * *Dec 29 10:23:17.852: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Dec 29 10:23:17.852: RADIUS: NAS-Port [5] 6 0 *Dec 29 10:23:17.852: RADIUS: NAS-Port-Id [87] 11 "0/0/0/890" *Dec 29 10:23:17.852: RADIUS: Vendor, Cisco [26] 41 *Dec 29 10:23:17.852: RADIUS: Cisco AVpair [1] 35 "client-mac-address=0080.4816.f4c3" *Dec 29 10:23:17.852: RADIUS: Service-Type [6] 6 Framed [2] *Dec 29 10:23:17.852: RADIUS: NAS-IP-Address [4] 6 192.168.11.14 *Dec 29 10:23:17.852: RADIUS: Acct-Session-Id [44] 18 "AC1502E20000065E" *Dec 29 10:23:17.852: RADIUS: Nas-Identifier [32] 16 "bras" *Dec 29 10:23:17.852: RADIUS(0000041A): Started 5 sec timeout *Dec 29 10:23:17.869: RADIUS: Received from id 1645/114 192.168.121.19:1812, Access-Accept, len 210 *Dec 29 10:23:17.869: RADIUS: authenticator 0D A7 33 00 8B 8D BB 84 - 93 27 1B B7 E8 DB 62 65 *Dec 29 10:23:17.869: RADIUS: Service-Type [6] 6 Framed [2] *Dec 29 10:23:17.869: RADIUS: Framed-Protocol [7] 6 PPP [1] *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 41 *Dec 29 10:23:17.869: RADIUS: Cisco AVpair [1] 35 "ip:addr-pool=public_192.168.11.14" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 30 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 24 "AISG-SVC-MEDIA:R_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 30 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 24 "AISG-SVC-LOCAL:R_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 49 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 43 "AISG-SVC-SUPERFULLNIGHT:R_4000:SFNR_10000" *Dec 29 10:23:17.869: RADIUS: Vendor, Cisco [26] 28 *Dec 29 10:23:17.869: RADIUS: ssg-account-info [250] 22 "AISG-SVC-INET:R_4000" *Dec 29 10:23:17.869: RADIUS(0000041A): Received from id 1645/114 *Dec 29 10:23:17.871: AAA/BIND(0000041A): Bind i/f Virtual-Access2.1 пори втором варианте конфига авторизация идет 2 раза. Изменено 29 декабря, 2011 пользователем bokl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 30 декабря, 2011 · Жалоба проблему пофиксил:) interface Virtual-Template1 ip unnumbered Loopback2 no ip redirects no ip proxy-arp peer ip address forced peer pool static peer default ip address pool public_192.168.11.14 no keepalive ppp authentication chap ms-chap ms-chap-v2 ISG-AUTH-1 [b] ppp authorization ISG-AUTH-1[/b] ppp ipcp dns x.x.x.x y.y.y.y service-policy type control ISG-CUSTOMERS-POLICY end строчка ppp authorization ISG-AUTH-1 спасла мой мозг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...