| forum.bitel.ru http://forum.bitel.ru/ |
|
| Одно устройство, два разных радиус сервиса http://forum.bitel.ru/viewtopic.php?f=44&t=10527 |
Страница 1 из 1 |
| Автор: | madmax [ 19 май 2015, 11:12 ] |
| Заголовок сообщения: | Одно устройство, два разных радиус сервиса |
Имеется одно устройство ISG в котором есть авторизация по PPPoE и по интерфейсу. В биллинге создано два разных типа устройства. В дереве к после одного Accounting+Access созданы два устройства с одним и тем же ип адресом. соответсвено поднят один access для радиус авторизации. Вопрос можно ли как-то биллингу дать понять что для какого устройства в дереве приходят пакеты если идентификатор и ип адрес один и тот же. Или это не критично и биллинг проверят радиус запросы для двух устройств так как у них одинаковый ип адрес. |
|
| Автор: | Amir [ 19 май 2015, 22:09 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Нет, будет всегда попадать на какое-нибудь одно устройство всегда. Вроде бы можно сделать, чтобы ISG слала разные идентификаторы для разных режимов доступа? Или вроде даже делали, что RADIUS шлется на разные Access+Accounting. |
|
| Автор: | madmax [ 19 май 2015, 23:51 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
К сожалению разные идентификаторы нет такой возможности. Ок тогда будем запускать еще один access на другом порту и привязывать его к отдельному Access+Accounting |
|
| Автор: | snark [ 21 май 2015, 14:23 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Код: ! aaa new-model ! aaa group server radius rad_pppoe server-private 192.0.2.253 auth-port 1645 acct-port 1646 key der_parol ip radius source-interface Loopback1 ! aaa group server radius rad_test server-private 172.16.0.253 auth-port 1645 acct-port 1646 key der_parol ip radius source-interface Loopback2 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU ! aaa authentication login default local-case aaa authentication ppp PPPoE group rad_pppoe aaa authentication ppp PPPoE_test group rad_test aaa authorization exec default local aaa authorization network PPPoE group rad_pppoe aaa authorization network PPPoE_test group rad_test aaa accounting delay-start all aaa accounting update periodic 1 aaa accounting network PPPoE start-stop group rad_pppoe aaa accounting network PPPoE_test start-stop group rad_test ! Когда-то давно вот в таком виде у меня на одном коте работало 2 разных БГБ. Да, это не ISG, а РРРоЕ, но не думаю, что в плане радиус групп то-то принципиально меняется. Да, нужно 2 разных адреса и (или?) порта, но не думаю, что большая проблема. |
|
| Автор: | madmax [ 21 май 2015, 15:58 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Спасибо, думали об этом, но к сожалению нет возможности на два разных субинтерфейса повестить один и тот же влан. |
|
| Автор: | snark [ 21 май 2015, 16:59 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Повесить адреса на лупбек и разрулить все роутингом на стороне биллинга, т.е. сделать как-то так: Код: ! interface Loopback 1 ip address 172.16.0.1 255.255.255.255 ! interface Loopback 2 ip address 172.16.0.2 255.255.255.255 ! interface GigabitEthernet 0/0 no ip address ! interface GigabitEthernet 0/0.100 encapsulation dot1Q 100 ip address 192.168.0.1 255.255.255.0 ! В биллинге указать в качестве NAS адреса 172.16.0.1 и 172.16.0.2 и нарисовать маршруты до этих адресов через 192.168.0.1 Если адрес циски (192.168.0.1) является для биллинга дефолтным маршрутом, то и делать ничего не надо будет. |
|
| Автор: | madmax [ 21 май 2015, 17:11 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Ну верно так и делаем Код: interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 1.1.1.1 255.255.255.255 ip address 1.1.1.2 255.255.255.255 secondary Но в радиусе же нет возможности указать с какого адреса но там только ip radius source-interface указывается |
|
| Автор: | snark [ 21 май 2015, 19:12 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
madmax писал(а): Код: interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 1.1.1.1 255.255.255.255 ip address 1.1.1.2 255.255.255.255 secondary Как это развидеть? madmax писал(а): в радиусе же нет возможности указать с какого адреса там только ip radius source-interface указывается Предполагаем, что 1.1.1.1/30 - адрес циски 1.1.1.2/30 - адрес биллинга После этого вдумчиво смотрим вот такой конфиг Код: ! aaa group server radius BGB_1 server-private 1.1.1.2 auth-port 1645 acct-port 1646 key madmax ip radius source-interface GigabitEthernet 0/0.10 ! aaa group server radius BGB_2 server-private 1.1.1.2 auth-port 1645 acct-port 1646 key madmax ip radius source-interface Loopback 1 ! aaa group server radius BGB_3 server-private 1.1.1.2 auth-port 1645 acct-port 1646 key madmax ip radius source-interface Loopback 2 ! aaa authentication ppp ISG_1 group BGB_1 aaa authentication ppp ISG_2 group BGB_2 aaa authentication ppp ISG_3 group BGB_3 aaa authorization network ISG_1 group BGB_1 aaa authorization network ISG_2 group BGB_2 aaa authorization network ISG_3 group BGB_3 aaa accounting network ISG_1 start-stop group BGB_1 aaa accounting network ISG_2 start-stop group BGB_2 aaa accounting network ISG_3 start-stop group BGB_3 ! ! interface Loopback 1 ip address 2.2.2.1 255.255.255.255 ! interface Loopback 2 ip address 2.2.2.2 255.255.255.255 ! interface GigabitEthernet 0/0 no ip address ! interface GigabitEthernet 0/0.10 encapsulation dot1Q 10 ip address 1.1.1.1 255.255.255.252 ! Получаем: 1.1.1.1 - адрес одного NAS 2.2.2.1 - адрес другого NAS 2.2.2.2 - адрес третьего NAS Столько хватит? |
|
| Автор: | madmax [ 21 май 2015, 22:09 ] |
| Заголовок сообщения: | Re: Одно устройство, два разных радиус сервиса |
Вот блин совсем с головы вылетело про маршрутизацию. Спасибо. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|