BanZaj Опубликовано 26 ноября, 2012 (изменено) · Жалоба Добрый день! Есть ISG на ASR1001 Есть задача - раскидать PPPoE пользователей по разным радиусам, при том, что старые пользователи и сервисы авторизуются на одном радиусе, а новые - юзеры с одного а сервисы с другого (особенности билинга =( ) имеем конфиг aaa group server radius ISG-Group server-private 1.1.1.1 auth-port 1812 acct-port 1813 key 7 ***** ip radius source-interface GigabitEthernet0/0/0 ! aaa group server radius ISG-Group-PPPOE server-private 2.2.2.2 auth-port 1814 acct-port 1815 key 7 **** ! aaa group server radius ISG-Group-PPPOE-SRV server-private 2.2.2.2 auth-port 1812 acct-port 1813 key 7 *** ! aaa authentication login ISG-AUTH group ISG-Group aaa authentication login ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authentication ppp ISG-AUTH group ISG-Group aaa authentication ppp ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authorization network ISG-AUTH group ISG-Group aaa authorization network ISG-AUTH-PPPOE group ISG-Group-PPPOE aaa authorization subscriber-service default local group ISG-Group aaa accounting jitter maximum 0 aaa accounting update newinfo periodic 1 aaa accounting network ISG-AUTH action-type start-stop group ISG-Group ! aaa accounting network ISG-AUTH-PPPOE action-type start-stop group ISG-Group-PPPOE вся загвоздка вот в этой строке aaa authorization subscriber-service default local group ISG-Group пробовал прописывать и так: aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV и так: aaa authorization subscriber-service default local aaa authorization subscriber-service ISG-AUTH group ISG-Group aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV все варианты перебрал =( пришел к выводу что сервисы лезут в радиус указанный в группе следующей сразу за default т.е. в данном случае ISG-Group aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV Вопрос в том - оно вообще возможно? Изменено 26 ноября, 2012 пользователем BanZaj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teer Опубликовано 26 ноября, 2012 · Жалоба А можно sh run | s policy-map type control либо же полный конфиг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 26 ноября, 2012 (изменено) · Жалоба А можно sh run | s policy-map type control либо же полный конфиг? policy-map type control ISG-IP-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 10 authorize aaa list ISG-AUTH password ***** identifier source-ip-address 20 set-timer UNAUTH-TIMER 1 30 service-policy type service name LOCAL_L4R 40 service-policy type service name LOCAL_DNS ! policy-map type control ISG-PPPoE-POLICY class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 5 authenticate aaa list ISG-AUTH 10 authorize aaa list ISG-AUTH identifier authenticated-username 20 set-timer UNAUTH-TIMER 5 ! policy-map type control ISG-PPPoE-POLICY-NEW class type control ISG-IP-UNAUTH event timed-policy-expiry 1 service disconnect ! class type control always event quota-depleted 1 set-param drop-traffic FALSE ! class type control always event credit-exhausted 1 service-policy type service name LOCAL_L4R ! class type control always event session-start 5 authenticate aaa list ISG-AUTH-PPPOE 10 authorize aaa list ISG-AUTH-PPPOE identifier authenticated-username 20 set-timer UNAUTH-TIMER 5 30 service-policy type service name Service_LOCAL_SERVERS 40 service-policy type service name LOCAL_DNS 50 service-policy type service name Service_LAN .... bba-group pppoe global virtual-template 1 vendor-tag circuit-id service ! bba-group pppoe New-Users virtual-template 2 vendor-tag circuit-id service ! interface Virtual-Template1 ip unnumbered Loopback0 ip flow ingress peer default ip address pool PPPoE ppp authentication chap ISG-AUTH ppp authorization ISG-AUTH ppp accounting ISG-AUTH service-policy type control ISG-PPPoE-POLICY ! interface Virtual-Template2 ip unnumbered Loopback1 ip flow ingress peer default ip address pool PPPoE-NEW ppp authentication chap ISG-AUTH-PPPOE ppp authorization ISG-AUTH-PPPOE ppp accounting ISG-AUTH-PPPOE service-policy type control ISG-PPPoE-POLICY-NEW там еще разные пулы адресов и прочая, но это все работает , загвоздка именно в авторизации сервиса - если он схватит нужный радиус то сессия поднимается. Изменено 26 ноября, 2012 пользователем BanZaj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teer Опубликовано 26 ноября, 2012 · Жалоба Не требовалось такое, но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 26 ноября, 2012 (изменено) · Жалоба но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE. ISG-AUTH-PPPOE - это группа радиусов для авторизации юзеров ISG-AUTH-PPPOE-SRV - для авторизации сервисов т.е. этот два разных радиус-сервера. Вся проблема пнуть нужный запрос в нужный радиус =) aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV в этом случае ВСЕ сервисы лезут в ISG-Group aaa authorization subscriber-service default local group ISG-Group-PPPOE-SRV group ISG-Group а в этом - в ISG-Group-PPPOE-SRV т.е. разбить сервисы по группам не получается несмотря на , первый взгляд, правильную конфигурацию: aaa authorization subscriber-service default local aaa authorization subscriber-service ISG-AUTH group ISG-Group aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV если убрать упоминание о default то сервис просто не авторизуется По идее в этом вот случае: aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV если от первого радиуса прилетит отлуп, то сервис должен стукнуться во второй, но сессия просто рвётся. Изменено 26 ноября, 2012 пользователем BanZaj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teer Опубликовано 12 декабря, 2012 · Жалоба Подниму тему. Забавно, но тоже тут возникла задачка: сделать новый policy-map, который бы делал всё тоже самое что и текущий, но отправлял весь AAA-трафик на другой радиус (биллингисты играются). И каким-то образом сделал то, что и требовалось в первом сообщении треда (т.е. пользователи проверялись на новом радиусе, а сервисы на старом). Починил путём добавления секции: class type control always event service-start 10 service-policy type service aaa list NEW identifier service-name после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 5 января, 2013 · Жалоба class type control always event service-start 10 service-policy type service aaa list NEW identifier service-name после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-) Мы вышли из положения, путём добавления второго BRAS =) на время миграции, ибо, даже, поддержка cisco быстрого и внятного ответа не дала. Ваш вариант надо обдумать. Сасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saratoga Опубликовано 10 января, 2013 · Жалоба можно ли на BRASе через авторизацию по радиусу выдать сразу 15 привилегию ? железка Redback SmartEdge SEOS-11.1.2.6p1-Release Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saratoga Опубликовано 11 января, 2013 · Жалоба TTY-level-start = 15 TTY-level-max = 15 вот и решение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...