BanZaj Posted November 26, 2012 (edited) Добрый день! Есть ISG на ASR1001 Есть задача - раскидать PPPoE пользователей по разным радиусам, при том, что старые пользователи и сервисы авторизуются на одном радиусе, а новые - юзеры с одного а сервисы с другого (особенности билинга =( ) имеем конфиг aaa group server radius ISG-Group server-private 1.1.1.1 auth-port 1812 acct-port 1813 key 7 ***** ip radius source-interface GigabitEthernet0/0/0 ! aaa group server radius ISG-Group-PPPOE server-private 2.2.2.2 auth-port 1814 acct-port 1815 key 7 **** ! aaa group server radius ISG-Group-PPPOE-SRV server-private 2.2.2.2 auth-port 1812 acct-port 1813 key 7 *** ! aaa authentication login ISG-AUTH group ISG-Group aaa authentication login ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authentication ppp ISG-AUTH group ISG-Group aaa authentication ppp ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authorization network ISG-AUTH group ISG-Group aaa authorization network ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authorization subscriber-service default local group ISG-Group aaa accounting jitter maximum 0 aaa accounting update newinfo periodic 1 aaa accounting network ISG-AUTH action-type start-stop group ISG-Group ! aaa accounting network ISG-AUTH-PPPOE action-type start-stop group ISG-Group-PPPOE вся загвоздка вот в этой строке aaa authorization subscriber-service default local group ISG-Group пробовал прописывать и так: aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV и так: aaa authorization subscriber-service default local aaa authorization subscriber-service ISG-AUTH group ISG-Group aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV все варианты перебрал =( пришел к выводу что сервисы лезут в радиус указанный в группе следующей сразу за default т.е. в данном случае ISG-Group aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV Вопрос в том - оно вообще возможно? Edited November 26, 2012 by BanZaj Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted November 26, 2012 А можно sh run | s policy-map type control либо же полный конфиг? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BanZaj Posted November 26, 2012 (edited) А можно sh run | s policy-map type control либо же полный конфиг? policy-map type control ISG-IP-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 10 authorize aaa list ISG-AUTH password ***** identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R 40 service-policy type service name LOCAL_DNS ! policy-map type control ISG-PPPoE-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 5 authenticate aaa list ISG-AUTH 10 authorize aaa list ISG-AUTH identifier authenticated-username 20 set-timer UNAUTH-TIMER 5 ! policy-map type control ISG-PPPoE-POLICY-NEW class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 5 authenticate aaa list ISG-AUTH-PPPOE 10 authorize aaa list ISG-AUTH-PPPOE identifier authenticated-username 20 set-timer UNAUTH-TIMER 5 30 service-policy type service name Service_LOCAL_SERVERS 40 service-policy type service name LOCAL_DNS 50 service-policy type service name Service_LAN .... bba-group pppoe global virtual-template 1 vendor-tag circuit-id service ! bba-group pppoe New-Users virtual-template 2 vendor-tag circuit-id service ! interface Virtual-Template1 ip unnumbered Loopback0 ip flow ingress peer default ip address pool PPPoE ppp authentication chap ISG-AUTH ppp authorization ISG-AUTH ppp accounting ISG-AUTH service-policy type control ISG-PPPoE-POLICY ! interface Virtual-Template2 ip unnumbered Loopback1 ip flow ingress peer default ip address pool PPPoE-NEW ppp authentication chap ISG-AUTH-PPPOE ppp authorization ISG-AUTH-PPPOE ppp accounting ISG-AUTH-PPPOE service-policy type control ISG-PPPoE-POLICY-NEW там еще разные пулы адресов и прочая, но это все работает , загвоздка именно в авторизации сервиса - если он схватит нужный радиус то сессия поднимается. Edited November 26, 2012 by BanZaj Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted November 26, 2012 Не требовалось такое, но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BanZaj Posted November 26, 2012 (edited) но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE. ISG-AUTH-PPPOE - это группа радиусов для авторизации юзеров ISG-AUTH-PPPOE-SRV - для авторизации сервисов т.е. этот два разных радиус-сервера. Вся проблема пнуть нужный запрос в нужный радиус =) aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV в этом случае ВСЕ сервисы лезут в ISG-Group aaa authorization subscriber-service default local group ISG-Group-PPPOE-SRV group ISG-Group а в этом - в ISG-Group-PPPOE-SRV т.е. разбить сервисы по группам не получается несмотря на , первый взгляд, правильную конфигурацию: aaa authorization subscriber-service default local aaa authorization subscriber-service ISG-AUTH group ISG-Group aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV если убрать упоминание о default то сервис просто не авторизуется По идее в этом вот случае: aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV если от первого радиуса прилетит отлуп, то сервис должен стукнуться во второй, но сессия просто рвётся. Edited November 26, 2012 by BanZaj Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted December 12, 2012 Подниму тему. Забавно, но тоже тут возникла задачка: сделать новый policy-map, который бы делал всё тоже самое что и текущий, но отправлял весь AAA-трафик на другой радиус (биллингисты играются). И каким-то образом сделал то, что и требовалось в первом сообщении треда (т.е. пользователи проверялись на новом радиусе, а сервисы на старом). Починил путём добавления секции: class type control always event service-start 10 service-policy type service aaa list NEW identifier service-name после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BanZaj Posted January 5, 2013 class type control always event service-start 10 service-policy type service aaa list NEW identifier service-name после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-) Мы вышли из положения, путём добавления второго BRAS =) на время миграции, ибо, даже, поддержка cisco быстрого и внятного ответа не дала. Ваш вариант надо обдумать. Сасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saratoga Posted January 10, 2013 можно ли на BRASе через авторизацию по радиусу выдать сразу 15 привилегию ? железка Redback SmartEdge SEOS-11.1.2.6p1-Release Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saratoga Posted January 11, 2013 TTY-level-start = 15 TTY-level-max = 15 вот и решение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
