Jump to content
Калькуляторы

ISG, авторизация сервисов на разных RADIUS

Добрый день!

 

Есть ISG на ASR1001

Есть задача - раскидать PPPoE пользователей по разным радиусам, при том, что старые пользователи и сервисы авторизуются на одном радиусе, а новые - юзеры с одного а сервисы с другого (особенности билинга =( )

 

имеем конфиг

 

aaa group server radius ISG-Group

server-private 1.1.1.1 auth-port 1812 acct-port 1813 key 7 *****

ip radius source-interface GigabitEthernet0/0/0

!

aaa group server radius ISG-Group-PPPOE

server-private 2.2.2.2 auth-port 1814 acct-port 1815 key 7 ****

!

aaa group server radius ISG-Group-PPPOE-SRV

server-private 2.2.2.2 auth-port 1812 acct-port 1813 key 7 ***

!

aaa authentication login ISG-AUTH group ISG-Group

aaa authentication login ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authentication ppp ISG-AUTH group ISG-Group

aaa authentication ppp ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authorization network ISG-AUTH group ISG-Group

aaa authorization network ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authorization subscriber-service default local group ISG-Group

aaa accounting jitter maximum 0

aaa accounting update newinfo periodic 1

aaa accounting network ISG-AUTH

action-type start-stop

group ISG-Group

!

aaa accounting network ISG-AUTH-PPPOE

action-type start-stop

group ISG-Group-PPPOE

 

вся загвоздка вот в этой строке

 

aaa authorization subscriber-service default local group ISG-Group

 

пробовал прописывать и так:

 

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

и так:

aaa authorization subscriber-service default local

aaa authorization subscriber-service ISG-AUTH group ISG-Group

aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV

 

все варианты перебрал =(

пришел к выводу что сервисы лезут в радиус указанный в группе следующей сразу за default

т.е. в данном случае ISG-Group

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

 

Вопрос в том - оно вообще возможно?

Edited by BanZaj

Share this post


Link to post
Share on other sites

А можно sh run | s policy-map type control либо же полный конфиг?

Share this post


Link to post
Share on other sites

А можно sh run | s policy-map type control либо же полный конфиг?

 

policy-map type control ISG-IP-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

10 authorize aaa list ISG-AUTH password ***** identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name LOCAL_L4R

40 service-policy type service name LOCAL_DNS

!

policy-map type control ISG-PPPoE-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

5 authenticate aaa list ISG-AUTH

10 authorize aaa list ISG-AUTH identifier authenticated-username

20 set-timer UNAUTH-TIMER 5

!

policy-map type control ISG-PPPoE-POLICY-NEW

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

5 authenticate aaa list ISG-AUTH-PPPOE

10 authorize aaa list ISG-AUTH-PPPOE identifier authenticated-username

20 set-timer UNAUTH-TIMER 5

30 service-policy type service name Service_LOCAL_SERVERS

40 service-policy type service name LOCAL_DNS

50 service-policy type service name Service_LAN

 

....

bba-group pppoe global

virtual-template 1

vendor-tag circuit-id service

!

bba-group pppoe New-Users

virtual-template 2

vendor-tag circuit-id service

!

 

interface Virtual-Template1

ip unnumbered Loopback0

ip flow ingress

peer default ip address pool PPPoE

ppp authentication chap ISG-AUTH

ppp authorization ISG-AUTH

ppp accounting ISG-AUTH

service-policy type control ISG-PPPoE-POLICY

!

interface Virtual-Template2

ip unnumbered Loopback1

ip flow ingress

peer default ip address pool PPPoE-NEW

ppp authentication chap ISG-AUTH-PPPOE

ppp authorization ISG-AUTH-PPPOE

ppp accounting ISG-AUTH-PPPOE

service-policy type control ISG-PPPoE-POLICY-NEW

 

 

там еще разные пулы адресов и прочая, но это все работает , загвоздка именно в авторизации сервиса - если он схватит нужный радиус то сессия поднимается.

Edited by BanZaj

Share this post


Link to post
Share on other sites

Не требовалось такое, но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE.

Share this post


Link to post
Share on other sites

но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE.

 

ISG-AUTH-PPPOE - это группа радиусов для авторизации юзеров

ISG-AUTH-PPPOE-SRV - для авторизации сервисов

т.е. этот два разных радиус-сервера. Вся проблема пнуть нужный запрос в нужный радиус =)

 

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

в этом случае ВСЕ сервисы лезут в ISG-Group

 

aaa authorization subscriber-service default local group ISG-Group-PPPOE-SRV group ISG-Group

 

а в этом - в ISG-Group-PPPOE-SRV

 

т.е. разбить сервисы по группам не получается несмотря на , первый взгляд, правильную конфигурацию:

 

aaa authorization subscriber-service default local

aaa authorization subscriber-service ISG-AUTH group ISG-Group

aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV

 

 

если убрать упоминание о default то сервис просто не авторизуется

 

По идее в этом вот случае:

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

если от первого радиуса прилетит отлуп, то сервис должен стукнуться во второй, но сессия просто рвётся.

Edited by BanZaj

Share this post


Link to post
Share on other sites

Подниму тему. Забавно, но тоже тут возникла задачка: сделать новый policy-map, который бы делал всё тоже самое что и текущий, но отправлял весь AAA-трафик на другой радиус (биллингисты играются). И каким-то образом сделал то, что и требовалось в первом сообщении треда (т.е. пользователи проверялись на новом радиусе, а сервисы на старом). Починил путём добавления секции:

 

class type control always event service-start
10 service-policy type service aaa list NEW identifier service-name

 

после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-)

Share this post


Link to post
Share on other sites

class type control always event service-start
10 service-policy type service aaa list NEW identifier service-name

 

после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-)

 

Мы вышли из положения, путём добавления второго BRAS =) на время миграции, ибо, даже, поддержка cisco быстрого и внятного ответа не дала. Ваш вариант надо обдумать. Сасибо.

Share this post


Link to post
Share on other sites

можно ли на BRASе через авторизацию по радиусу выдать сразу 15 привилегию ? железка Redback SmartEdge SEOS-11.1.2.6p1-Release

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this