Перейти к содержимому
Калькуляторы

ISG, авторизация сервисов на разных RADIUS

Добрый день!

 

Есть ISG на ASR1001

Есть задача - раскидать PPPoE пользователей по разным радиусам, при том, что старые пользователи и сервисы авторизуются на одном радиусе, а новые - юзеры с одного а сервисы с другого (особенности билинга =( )

 

имеем конфиг

 

aaa group server radius ISG-Group

server-private 1.1.1.1 auth-port 1812 acct-port 1813 key 7 *****

ip radius source-interface GigabitEthernet0/0/0

!

aaa group server radius ISG-Group-PPPOE

server-private 2.2.2.2 auth-port 1814 acct-port 1815 key 7 ****

!

aaa group server radius ISG-Group-PPPOE-SRV

server-private 2.2.2.2 auth-port 1812 acct-port 1813 key 7 ***

!

aaa authentication login ISG-AUTH group ISG-Group

aaa authentication login ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authentication ppp ISG-AUTH group ISG-Group

aaa authentication ppp ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authorization network ISG-AUTH group ISG-Group

aaa authorization network ISG-AUTH-PPPOE group ISG-Group-PPPOE

aaa authorization subscriber-service default local group ISG-Group

aaa accounting jitter maximum 0

aaa accounting update newinfo periodic 1

aaa accounting network ISG-AUTH

action-type start-stop

group ISG-Group

!

aaa accounting network ISG-AUTH-PPPOE

action-type start-stop

group ISG-Group-PPPOE

 

вся загвоздка вот в этой строке

 

aaa authorization subscriber-service default local group ISG-Group

 

пробовал прописывать и так:

 

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

и так:

aaa authorization subscriber-service default local

aaa authorization subscriber-service ISG-AUTH group ISG-Group

aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV

 

все варианты перебрал =(

пришел к выводу что сервисы лезут в радиус указанный в группе следующей сразу за default

т.е. в данном случае ISG-Group

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

 

Вопрос в том - оно вообще возможно?

Изменено пользователем BanZaj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно sh run | s policy-map type control либо же полный конфиг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно sh run | s policy-map type control либо же полный конфиг?

 

policy-map type control ISG-IP-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

10 authorize aaa list ISG-AUTH password ***** identifier source-ip-address

20 set-timer UNAUTH-TIMER 1

30 service-policy type service name LOCAL_L4R

40 service-policy type service name LOCAL_DNS

!

policy-map type control ISG-PPPoE-POLICY

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

5 authenticate aaa list ISG-AUTH

10 authorize aaa list ISG-AUTH identifier authenticated-username

20 set-timer UNAUTH-TIMER 5

!

policy-map type control ISG-PPPoE-POLICY-NEW

class type control ISG-IP-UNAUTH event timed-policy-expiry

1 service disconnect

!

class type control always event quota-depleted

1 set-param drop-traffic FALSE

!

class type control always event credit-exhausted

1 service-policy type service name LOCAL_L4R

!

class type control always event session-start

5 authenticate aaa list ISG-AUTH-PPPOE

10 authorize aaa list ISG-AUTH-PPPOE identifier authenticated-username

20 set-timer UNAUTH-TIMER 5

30 service-policy type service name Service_LOCAL_SERVERS

40 service-policy type service name LOCAL_DNS

50 service-policy type service name Service_LAN

 

....

bba-group pppoe global

virtual-template 1

vendor-tag circuit-id service

!

bba-group pppoe New-Users

virtual-template 2

vendor-tag circuit-id service

!

 

interface Virtual-Template1

ip unnumbered Loopback0

ip flow ingress

peer default ip address pool PPPoE

ppp authentication chap ISG-AUTH

ppp authorization ISG-AUTH

ppp accounting ISG-AUTH

service-policy type control ISG-PPPoE-POLICY

!

interface Virtual-Template2

ip unnumbered Loopback1

ip flow ingress

peer default ip address pool PPPoE-NEW

ppp authentication chap ISG-AUTH-PPPOE

ppp authorization ISG-AUTH-PPPOE

ppp accounting ISG-AUTH-PPPOE

service-policy type control ISG-PPPoE-POLICY-NEW

 

 

там еще разные пулы адресов и прочая, но это все работает , загвоздка именно в авторизации сервиса - если он схватит нужный радиус то сессия поднимается.

Изменено пользователем BanZaj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не требовалось такое, но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но кажется что вам нужно "aaa authorization subscriber-service ISG-AUTH-PPPOE local group ISG-Group-PPPOE-SRV" т.к. в policy-map-е вы авторизуете и аутентифицируете пользователей мапа ISG-PPPoE-POLICY-NEW через лист ISG-AUTH-PPPOE.

 

ISG-AUTH-PPPOE - это группа радиусов для авторизации юзеров

ISG-AUTH-PPPOE-SRV - для авторизации сервисов

т.е. этот два разных радиус-сервера. Вся проблема пнуть нужный запрос в нужный радиус =)

 

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

в этом случае ВСЕ сервисы лезут в ISG-Group

 

aaa authorization subscriber-service default local group ISG-Group-PPPOE-SRV group ISG-Group

 

а в этом - в ISG-Group-PPPOE-SRV

 

т.е. разбить сервисы по группам не получается несмотря на , первый взгляд, правильную конфигурацию:

 

aaa authorization subscriber-service default local

aaa authorization subscriber-service ISG-AUTH group ISG-Group

aaa authorization subscriber-service ISG-AUTH-PPOE group ISG-AUTH-PPPOE-SRV

 

 

если убрать упоминание о default то сервис просто не авторизуется

 

По идее в этом вот случае:

aaa authorization subscriber-service default local group ISG-Group group ISG-Group-PPPOE-SRV

 

если от первого радиуса прилетит отлуп, то сервис должен стукнуться во второй, но сессия просто рвётся.

Изменено пользователем BanZaj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму тему. Забавно, но тоже тут возникла задачка: сделать новый policy-map, который бы делал всё тоже самое что и текущий, но отправлял весь AAA-трафик на другой радиус (биллингисты играются). И каким-то образом сделал то, что и требовалось в первом сообщении треда (т.е. пользователи проверялись на новом радиусе, а сервисы на старом). Починил путём добавления секции:

 

class type control always event service-start
10 service-policy type service aaa list NEW identifier service-name

 

после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

class type control always event service-start
10 service-policy type service aaa list NEW identifier service-name

 

после этого, как утверждается, весь AAA пошел на новый сервер. Думаю, к вашем случаю примените без проблем :-)

 

Мы вышли из положения, путём добавления второго BRAS =) на время миграции, ибо, даже, поддержка cisco быстрого и внятного ответа не дала. Ваш вариант надо обдумать. Сасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно ли на BRASе через авторизацию по радиусу выдать сразу 15 привилегию ? железка Redback SmartEdge SEOS-11.1.2.6p1-Release

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас