Много чего не понятно по алгоритму работы и настройкам, нужна помощь.
Получили Access-Request, нашли сервис, послали Access-Accept и указали в нем какие сервисы надо поднять. После этого циска, кроме того что запрашивает профили сервисов (которые можно раздать через
http://wiki.bitel.ru/index.php/Справочник_Cisco-ISG_сервисов) аутентицирует также каждый сервис для "абонента", например:
Код:
Sep 7 15:47:16.998 MSK: RADIUS: User-Name [1] 12 "10.0.4.200"
Sep 7 15:47:16.998 MSK: RADIUS: User-Password [2] 18 *
Sep 7 15:47:16.998 MSK: RADIUS: Vendor, Cisco [26] 24
Sep 7 15:47:16.998 MSK: RADIUS: ssg-service-info [251] 18 "Ninet2048inet512"
Sep 7 15:47:16.998 MSK: RADIUS: Framed-Protocol [7] 6 PPP [1]
Sep 7 15:47:16.998 MSK: RADIUS: Framed-IP-Address [8] 6 10.0.4.192
Sep 7 15:47:16.998 MSK: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Sep 7 15:47:16.998 MSK: RADIUS: NAS-Port [5] 6 0
Sep 7 15:47:16.998 MSK: RADIUS: NAS-Port-Id [87] 11 "0/0/2/550"
Sep 7 15:47:16.998 MSK: RADIUS: Service-Type [6] 6 Framed [2]
Sep 7 15:47:16.998 MSK: RADIUS: NAS-IP-Address [4] 6 1.1.1.1
Sep 7 15:47:16.998 MSK: RADIUS: Acct-Session-Id [44] 10 "000092BB"
Sep 7 15:47:16.998 MSK: RADIUS: Nas-Identifier [32] 23 "x"
Sep 7 15:47:16.998 MSK: RADIUS: Event-Timestamp [55] 6 1441630036
Вот к какому месту в BGB эта "сессия" прикладывается? Мы можем, например, выдать квоту в ответ на этот запрос:
Код:
Sep 7 15:47:17.010 MSK: RADIUS: Session-Timeout [27] 6 604800
Sep 7 15:47:17.010 MSK: RADIUS: Vendor, Cisco [26] 16
Sep 7 15:47:17.010 MSK: RADIUS: ssg-control-info [253] 10 "QT604800"
Sep 7 15:47:17.010 MSK: RADIUS: Service-Type [6] 6 Framed [2]
ну и посервисный аккаунтинг это собственно и есть эта "сессия". Я запутался, не понимаю как будет BGB работать с этим Access-Request и что отвечать на него.
Далее, "привязка типов трафика" для случая посервисного аккаунтинга, в доке написано
Код:
ServiceName используется для идентификации сервиса при посервисном аккаунтинге.
все, совсем все.
Так что туда писать в это "ServiceName", это regexp, префикс, glob или что? Видимо regexp, иначе придется заводить по 2 правила на каждый "isg сервис"?
Следующий вопрос про L4REDIRECT и portbundle. Куда редиректить? Вообще ни слова про работу с порталом в документации не нашел. ISG с аутентикацией по login/password вообще поддерживается?
С radius.servSearchMode тоже не все понятно. Из документации следует что алгоритм поиска сервиса один для NAS, но в примерах на wiki есть конфигурации где указывается несколько алгоритмов, через запятую. Это будет работать? Например,
radius.servSearchMode=7-7,0Где и как можно указать COA secret? Или нельзя?
Update:Код:
# Проверка на повторную аутентификацию при Access-Request. Бывает нужна в случаях, когда NAS сбрасывает (теряет) сессию, но
# Stop-пакет не присылает и клиент пытается подключиться повторно, но у него стоит ограничение на максимум одну сессию. При совпадении
# callingStationId с одной из активных сессий и установленным параметром: 1 - осуществляется попытка закрытия старой сессии (connectionClose),
# 2 - попытка закрытия сессии (connectionClose) и завершение ее в базе, не дожидаясь стоп пакета, 3 - завершение в базе.
radius.connection.checkDuplicate=0
А если нет callingStationId в access-request, то тогда как быть? Допустим у меня ip subnet профиль ISG, cisco в этом случае только User-Name, Framed-IP-Address, NAS* и Acct-Session-Id присылает в реквесте.