forum.bitel.ru http://forum.bitel.ru/ |
|
cisco + radius http://forum.bitel.ru/viewtopic.php?f=44&t=9012 |
Страница 1 из 1 |
Автор: | Ping333 [ 01 мар 2014, 14:24 ] |
Заголовок сообщения: | cisco + radius |
Добрый день! пробуем радиус и cisco связать, чет туго получается. задача стандартная, говорить циске какие Ip выдавать клиенту и какие ограничения накладвать на него. cisco 1801 ios 15, радиус стандартный от бител, Вобщем так, прилетают запросы с циски на radius accounting Код: 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] update - REQUEST: Packet type: Accounting-Request Identifier: 104 Authenticator: {78 E9 EB 9A 29 F9 2C 7A 84 23 12 1B D0 7B 65 70} Attributes: NAS-Port-Id=0/0/1/0 NAS-IP-Address=33.46.41.12 NAS-Port=50001 Service-Type=2 Framed-IP-Address=10.1.7.11 Acct-Status-Type=3 Acct-Delay-Time=467 Acct-Session-Time=64816 NAS-Port-Type=15 Acct-Session-Id=000002C2 Acct-Authentic=2 cisco-avpair=connect-progress=Call Up Common options: {macAddress=connect-progress=Call Up} 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetNas - Search by username= 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - InetServ not found for username=. Use radius.disable.servId=304 03-01/16:12:37 WARN [rdsLstnr-p-9-t-12] InetRadiusProcessor - Creating NasConnection from accounting packet [statusType=3] 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Parent: null 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Start from update packet now 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] InetRadiusProcessor - ipResourceId=-1 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] InetAccountingPeriodList - Create: AccountingPeriod: 486: 28.02.2014 00:00:00.0 - 28.02.2014 23:59:59.999 AccountingPeriod: 488: 01.03.2014 00:00:00.0 - 31.03.2014 23:59:59.999 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - Load deviceOptions from serv and tariff 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetApplication - TariffOptionMap: {} 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] TrafficRangeManager - Add to RangeKey[554050783274:2:131989505] 0 (0, 6291456000) 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetApplication - OptionSet: [7] 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] Accounting - Write new connection to DB 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] Accounting - New connection id=4520 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] Accounting - Write new session to DB 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] Accounting - New session's id=19581 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - Created new AccountingSession. 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] connection - 4520:19581 Register ip: 10.1.7.11 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] IpResourceRuntimeManager - Subscribing 10.1.7.11 to contractId=2925 03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - InetConnection [id=4520-0, iface=4:50001, sessId=000002C2, start=28.02.2014 22:12:21 , uname=, addr=10.1.7.11] 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Start from update packet - flushing counter traffics 03-01/16:12:37 INFO [rdsLstnr-p-9-t-12] InetConnectionRuntime - Time amount=64816, hh=1393660800000, cc=2843 вижу несколько созданных сессий на одном и том же договоре , правда в запросе не вижу мака, 4520 19581 RAD1[Reject-To-Accept] Cisco 1851: den_nas [33.46.41.12] 000002C2 LOGIN rad1_MAC default / 10.1.7.11 Sat Mar 01 16:12:37 KRAT 2014 Fri Feb 28 22:12:21 KRAT 2014 00:00:00 [0] 0.00000 активна подключено Подняли freeradius, на него запросы приходят с маком. Может кто подскажет как нормально настроить радиус |
Автор: | snark [ 01 мар 2014, 15:28 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): в запросе не вижу мака Я не Ванга, но попробую угадать: речь про РРРоЕ? Если да, то имейте ввиду, что не каждый IOS шлет МАС в Calling-Station-Id. Где-то достаточно сказать Код: radius-server attribute 31 send nas-port-detail mac-only и МАС будет прилетать в том виде, какой укажете в Код: radius-server attribute 31 mac format <blah> А где-то надо включать Код: radius-server vsa send accounting radius-server vsa send authentication и потом в предобработке выдирать МАС из запросов, чтобы вставить его в Calling-Station-Id. |
Автор: | Ping333 [ 01 мар 2014, 15:52 ] |
Заголовок сообщения: | Re: cisco + radius |
нет, не РРРоЕ. например у клиента adsl модем, смаршрутизирован на циску, включено radius-server vsa send accounting radius-server vsa send authentication |
Автор: | snark [ 01 мар 2014, 16:10 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): не РРРоЕ Некая сверхсекретная технология, о которой нельзя писать на форуме? Ping333 писал(а): у клиента adsl модем, смаршрутизирован на циску Вы IPoE хотите поднять? В связи с тем, что все местные экстрасенсы отдыхают после олимпиады и готовятся к предсказаниям результатов паралимпиады, предлагаю вам более подробно описать ситуацию. |
Автор: | Ping333 [ 01 мар 2014, 16:24 ] |
Заголовок сообщения: | Re: cisco + radius |
да, извиняюсь что коряво изъясняюсь. получается Ipoe. Смысл прост, клиент включил компьютер, получил адрес по DHCP и он в Интернете. |
Автор: | snark [ 01 мар 2014, 16:53 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): клиент включил компьютер, получил адрес по DHCP и он в Интернете. Если вы хотите реализовать это при помощи ISG (технология для IPoE у циски), то, извините, у вас не выйдет, т.к. на имеющейся у вас 1801 это невозможно в принципе. Минимально необходимое для ISG железо - это:
Возможно вы брали 1801 из-за того, что это ISR, т.е. просто букву перепутали, но ISR (Integrated Services Router) - это не ISG (Intelligent Services Gateway). Обменяйте вашу циску у поставщика на какой нибудь каталист 3-го уровня (3550, 3560, 3750 или 6500) и уже на нем вы сможете организовать ip unnumbered с выдачей адресов из DHCP биллинга. |
Автор: | borisk [ 01 мар 2014, 19:06 ] |
Заголовок сообщения: | Re: cisco + radius |
Этот же ip unnumbered можно и на 1801 организовать. Но, сразу вопросы: 1) А какое количество клиентов и трафика вы планируете на ней обрабатывать? 2) Адреса белые или NAT? 3) Авторизация клиента как планируется? По MAC? 4) Какого плана "ограничения" хотите? |
Автор: | Ping333 [ 01 мар 2014, 19:12 ] |
Заголовок сообщения: | Re: cisco + radius |
клиентов немного, не более 50 адреса за NAT авторизация по МАС ограничения только на скорость |
Автор: | snark [ 01 мар 2014, 19:24 ] |
Заголовок сообщения: | Re: cisco + radius |
borisk писал(а): ip unnumbered можно и на 1801 организовать На таком кол-ве абонентов - можно, но более-менее красиво сделать вот это: Ping333 писал(а): авторизация по МАС ограничения только на скорость я себе представляю только в виде DHCP relay на циске + DHCP сервер на БГБ + GTS/CBWFQ через telnet/ssh/rsh. На 50 юзеров можно вообще все руками/скриптом разрисовать и только трафик на БГБ считать. |
Автор: | borisk [ 02 мар 2014, 10:20 ] |
Заголовок сообщения: | Re: cisco + radius |
Собственно да, snark прав, можно и руками. Но если все же хочется bgb... В принципе, схема не сложная: 1) Создается loopback с сетью для dhcp 2) Создается SVI с ip unnumbered loopback X, туда же ip nat и ip helper-address 3) Конфигурится bgb. По bgb ждем конкретных вопросов, потому что весь процесс тут описывать долго, да и есть он в документации и wiki. Единственно что вызывает трудности - это Telnet или SSHServiceActivator. Тут надо будет подумать как бы правильно его применить к вашей задаче. |
Автор: | Ping333 [ 02 мар 2014, 11:29 ] |
Заголовок сообщения: | Re: cisco + radius |
не могу найти где ключ прописывать в бгб, на циске radius-server key ***** а в бгб - communiti/secret в устройстве? если так то ошибка возникает на пптп Код: *Mar 2 05:19:29.213: RADIUS/ENCODE(00000112):Orig. component type = VPDN
*Mar 2 05:19:29.213: RADIUS: DSL line rate attributes successfully added *Mar 2 05:19:29.213: RADIUS(00000112): Config NAS IP: 0.0.0.0 *Mar 2 05:19:29.213: RADIUS(00000112): Config NAS IPv6: :: *Mar 2 05:19:29.213: RADIUS/ENCODE(00000112): acct_session_id: 2984 *Mar 2 05:19:29.213: RADIUS(00000112): sending *Mar 2 05:19:29.213: RADIUS/ENCODE: Best Local IP-Address 33.46.41.12 for Radius-Server 33.46.41.13 *Mar 2 05:19:29.213: RADIUS(00000112): Send Access-Request to 33.46.41.13:1813 id 1645/82, len 91 *Mar 2 05:19:29.213: RADIUS: authenticator 35 46 51 FC 39 E1 D0 3A - D7 F9 CF CC B9 1B 0D 5C *Mar 2 05:19:29.213: RADIUS: Framed-Protocol [7] 6 PPP [1] *Mar 2 05:19:29.213: RADIUS: User-Name [1] 6 "rad1" *Mar 2 05:19:29.213: RADIUS: CHAP-Password [3] 19 * *Mar 2 05:19:29.213: RADIUS: NAS-Port-Type [61] 6 Virtual [5] *Mar 2 05:19:29.213: RADIUS: NAS-Port [5] 6 86 *Mar 2 05:19:29.213: RADIUS: NAS-Port-Id [87] 16 "Uniq-Sess-ID86" *Mar 2 05:19:29.213: RADIUS: Service-Type [6] 6 Framed [2] gw-c1800-tur-strk# *Mar 2 05:19:29.213: RADIUS: NAS-IP-Address [4] 6 33.46.41.12 *Mar 2 05:19:29.213: RADIUS(00000112): Sending a IPv4 Radius Packet *Mar 2 05:19:29.213: RADIUS(00000112): Started 120 sec timeout *Mar 2 05:19:29.921: RADIUS: Received from id 1645/82 33.46.41.13:1813, Access-Accept, len 26 *Mar 2 05:19:29.921: RADIUS: authenticator 2C A8 68 0C DB 18 73 DF - 14 1A C0 2C 87 42 A7 5F *Mar 2 05:19:29.921: RADIUS: Framed-IP-Address [8] 6 10.1.7.203 *Mar 2 05:19:29.921: RADIUS: response-authenticator decrypt fail, pak len 26 *Mar 2 05:19:29.921: RADIUS: packet dump: 0252001A2CA8680CDB1873DF141AC02C8742A75F08060A0107CB *Mar 2 05:19:29.925: RADIUS: expected digest: FFFFFFA3FFFFFFF1FFFFFFBE7F7B11FFFFFF95FFFFFFF8FFFFFFAD39FFFFFFA675FFFFFFA3FFFFFFF81DFFFFFFB5 *Mar 2 05:19:29.925: RADIUS: response authen: 2CFFFFFFA8680CFFFFFFDB1873FFFFFFDF141AFFFFFFC02CFFFFFF8742FFFFFFA75F *Mar 2 05:19:29.925: RADIUS: request authen: 354651FC39E1D03AD7F9CFCCB91B0D5C *Mar 2 05:19:29.925: RADIUS: Response (82) failed decrypt |
Автор: | barguzin2 [ 02 мар 2014, 20:17 ] |
Заголовок сообщения: | Re: cisco + radius |
в конфиге устройства Код: radius.secret=cisco-radius-secret А покажите вообще настройку цыско, чтобы все-таки совсем понятно было как клиенты будут подключаться. |
Автор: | Ping333 [ 02 мар 2014, 21:19 ] |
Заголовок сообщения: | Re: cisco + radius |
циска Код: Current configuration : 6648 bytes
! ! Last configuration change at 09:18:35 UTC Sun Mar 2 2014 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname gw-c1800-tur-strk ! boot-start-marker boot system flash c180x-adventerprisek9-mz.151-4.M6.bin boot-end-marker ! ! enable secret 4 rTuFcd3npH9Q06FQO5Oh/lCs6Jhx8UNM8J6R/MWBlb6 ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting network VPN-USERS action-type start-stop group radius ! ! ! ! ! ! aaa session-id common ! crypto pki token default removal timeout 0 ! ! dot11 syslog ip source-route ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.100.1 ip dhcp excluded-address 10.1.7.1 ip dhcp excluded-address 10.1.20.1 ip dhcp excluded-address 10.1.7.200 ip dhcp excluded-address 10.1.7.201 ip dhcp excluded-address 10.1.7.202 ip dhcp excluded-address 10.1.7.203 ip dhcp excluded-address 10.1.7.204 ip dhcp excluded-address 10.1.7.205 ip dhcp excluded-address 10.1.7.206 ip dhcp excluded-address 10.1.7.207 ip dhcp excluded-address 10.1.7.208 ip dhcp excluded-address 10.1.7.209 ip dhcp excluded-address 10.1.7.210 ip dhcp excluded-address 10.1.7.211 ip dhcp excluded-address 10.1.7.212 ip dhcp excluded-address 10.1.7.213 ip dhcp excluded-address 10.1.7.214 ip dhcp excluded-address 10.1.7.215 ip dhcp excluded-address 10.1.7.49 ip dhcp excluded-address 10.1.7.50 ip dhcp excluded-address 10.1.7.51 ip dhcp excluded-address 10.1.7.52 ip dhcp excluded-address 10.1.7.53 ip dhcp excluded-address 10.1.7.54 ip dhcp excluded-address 10.1.7.55 ip dhcp excluded-address 10.1.7.56 ip dhcp excluded-address 10.1.7.57 ip dhcp excluded-address 10.1.7.58 ! ip dhcp pool Local network 192.168.100.0 255.255.255.0 default-router 192.168.100.1 domain-name strk-tur dns-server 8.8.8.8 ! ip dhcp pool 10.1.7.1 network 10.1.7.0 255.255.255.0 default-router 17.1.7.1 dns-server 193.46.77.18 domain-name adsl-tur-strk ! ip dhcp pool 10.1.20.1 network 10.1.20.0 255.255.255.0 default-router 10.1.20.1 domain-name adsl-tur-strk-tmp dns-server 8.8.8.8 ! ip dhcp pool 193.46.77.17 network 193.46.77.16 255.255.255.240 default-router 193.46.77.17 domain-name tst ! ! ! ip cef ip domain name gw-c1800-tur-strk no ipv6 cef ! multilink bundle-name authenticated ! vpdn enable ! vpdn-group 1 ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 local name u_pptp_strk_tur ! ! ! license udi pid CISCO1801 sn FGL164925J1 archive log config hidekeys username lex privilege 15 password 7 04570E1E1D2E435A ! ! ip ssh version 1 ! class-map match-all 256 match access-group 100 class-map match-all 512 match access-group 101 match access-group 102 class-map match-any torrent match protocol bittorrent match protocol edonkey ! ! policy-map 256 class 256 police 400000 64000 200000 conform-action transmit exceed-action drop violate-action drop policy-map 512 class 512 police 400000 64000 200000 conform-action transmit exceed-action drop violate-action drop policy-map torrent class torrent police 8000 8000 8000 conform-action transmit exceed-action drop violate-action drop ! ! ! ! ! ! ! ! interface ATM0 no ip address shutdown no atm ilmi-keepalive ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 description WAN-KRK ip address 193.46.77.41 255.255.255.252 ip nat outside ip virtual-reassembly in max-reassemblies 512 duplex auto speed auto vlan-id dot1q 449 description sss exit-vlan-config ! ! interface FastEthernet1 switchport mode trunk no ip address ! interface FastEthernet2 switchport access vlan 10 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address ! interface FastEthernet5 switchport access vlan 100 no ip address ! interface FastEthernet6 no ip address ! interface FastEthernet7 no ip address ! interface FastEthernet8 switchport access vlan 10 no ip address ! interface Virtual-Template1 ip unnumbered Vlan900 ip mtu 1492 ip nat inside ip virtual-reassembly in autodetect encapsulation ppp peer default ip address dhcp-pool 10.1.7.0 ppp authentication chap callin ppp accounting VPN-USERS ! interface Vlan1 ip address 172.16.1.9 255.255.255.0 secondary ip address 192.168.222.250 255.255.255.0 ! interface Vlan10 ip address 192.168.100.1 255.255.255.0 ip nat inside ip virtual-reassembly in service-policy input torrent service-policy output torrent ! interface Vlan100 ip address 192.168.216.164 255.255.255.248 secondary ip address 172.16.100.20 255.255.255.0 ! interface Vlan181 no ip address ! interface Vlan182 no ip address ! interface Vlan183 no ip address ! interface Vlan201 ip address 193.46.77.17 255.255.255.240 ! interface Vlan202 ip address 193.46.77.193 255.255.255.252 secondary ip address 193.46.77.129 255.255.255.224 secondary ip address 10.1.1.5 255.255.255.252 secondary ip address 10.1.1.25 255.255.255.252 secondary ip address 10.1.20.1 255.255.255.0 ip nat inside ip virtual-reassembly in service-policy input 512 service-policy output 512 ! interface Vlan299 ip address 10.226.24.233 255.255.255.0 ! interface Vlan900 ip address 10.1.7.49 255.255.255.0 secondary ip address 10.1.7.1 255.255.255.0 ip nat inside ip virtual-reassembly in service-policy input torrent service-policy output torrent ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list 1 interface FastEthernet0 overload ip nat inside source list 2 interface FastEthernet0 overload ip route 193.46.77.0 255.255.255.0 193.46.77.42 ! ip radius source-interface FastEthernet1 access-list 1 permit 192.168.100.0 0.0.0.255 access-list 2 permit 10.1.7.0 0.0.0.255 access-list 2 permit 10.1.20.0 0.0.0.255 access-list 2 permit 10.1.1.0 0.0.0.255 access-list 10 permit 10.1.7.0 0.0.0.255 access-list 100 permit ip any 10.1.7.0 0.0.0.255 access-list 100 permit ip 10.1.7.0 0.0.0.255 any access-list 101 permit ip any 10.1.20.0 0.0.0.255 access-list 101 permit ip 10.1.20.0 0.0.0.255 any access-list 102 permit ip any 193.46.77.192 0.0.0.3 access-list 102 permit ip 193.46.77.192 0.0.0.3 any access-list 102 permit ip any 193.46.77.128 0.0.0.31 access-list 102 permit ip 193.46.77.128 0.0.0.31 any ! ! ! ! ! ! radius-server retransmit 5 radius-server timeout 120 radius-server key 7 091D1C5A ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 0 0 logging synchronous length 0 transport input telnet ssh ! end radius-server configure-nas radius-server host 193.46.77.10 acct-port 1812 auth-port 1813 radius-server key blabla |
Автор: | snark [ 03 мар 2014, 13:05 ] |
Заголовок сообщения: | Re: cisco + radius |
Зачем вам РРТР? С ним одни только проблемы при настройке на СРЕ. Если хотите РРР - используйте РРРоЕ, если хотите IPoE - делайте так, как сказал borisk: borisk писал(а): 1) Создается loopback с сетью для dhcp 2) Создается SVI с ip unnumbered loopback X, туда же ip nat и ip helper-address P.S. Конфиг для РРРоЕ, вдруг пригодится: Код: aaa new-model ! ! это чтоб можно было еще один RADIUS поднять, например для тестов aaa group server radius PPPoE_RADIUS server-private IP.адрес.RADIUS.сервера auth-port 1812 acct-port 1813 key der_parol ip radius source-interface Loopback 1 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU ! aaa authentication banner %% aaa authentication login default local-case aaa authentication ppp PPPoE group PPPoE_RADIUS aaa authorization exec default local aaa authorization network PPPoE group PPPoE_RADIUS aaa accounting delay-start all aaa accounting update periodic 1 aaa accounting network PPPoE start-stop group PPPoE_RADIUS ! ! отключение через PoD aaa server radius dynamic-author client IP.адрес.RADIUS.сервера server-key der_parol auth-type any ! ! bba-group pppoe global ac name name_of_this_PPPoE_server ! bba-group pppoe PPPoE virtual-template 1 sessions per-mac limit 1 sessions per-vlan limit 10000 sessions per-mac throttle 1 30 30 ! ! interface Loopback 1 ip address IP.адрес.этого.loopback-а 255.255.255.255 ! ! interface FastEthernet 1/0 description PPPoE no ip address ! vlan-id dot1q 100 pppoe enable group PPPoE exit-vlan-config ! vlan-id dot1q 101 pppoe enable group PPPoE exit-vlan-config ! vlan-id dot1q 102 pppoe enable group PPPoE exit-vlan-config ! hold-queue 4096 in hold-queue 4096 out ! ! interface Virtual-Template 1 ip unnumbered Loopback 1 ip verify unicast source reachable-via rx no ip redirects no ip proxy-arp no logging event link-status peer default ip address pool default no snmp trap link-status ppp authentication pap callin PPPoE ppp authorization PPPoE ppp accounting PPPoE ppp ipcp dns IP.адрес.1-го.DNS.сервера IP.адрес.2-го.DNS.сервера ppp ipcp address unique ! ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула ! ! radius-server attribute 31 mac format unformatted Настройка экспорта netflow: Код: ip flow-cache timeout inactive 10
ip flow-cache timeout active 1 ! ip flow-export source <название интерфейса> ip flow-export version 5 ip flow-export destination IP.адрес.RADIUS.сервера <порт> ! interface Virtual-Template 1 ip flow ingress ip flow egress |
Автор: | borisk [ 03 мар 2014, 13:26 ] |
Заголовок сообщения: | Re: cisco + radius |
Честно говоря для 1801 и 50 пользователей я все же рекомендовал бы использовать PPPoE, а не вариант с DHCP. Исключительно по причине мороки в ограничении скорости на IPoE в обычном IOS. |
Автор: | Ping333 [ 03 мар 2014, 16:22 ] |
Заголовок сообщения: | Re: cisco + radius |
сделали PPTP, видны сессии, прилетают пакеты с кол-вом трафика, Код: Framed-IP-Address=10.1.7.209 Acct-Input-Octets=344383 Acct-Output-Octets=5066508 Acct-Status-Type=3 Acct-Delay-Time=0 Acct-Session-Time=1982 Acct-Input-Packets=3970 Acct-Session-Id=00000023 Acct-Authentic=1 NAS-Port-Id=Uniq-Sess-ID17 Acct-Output-Packets=5217 Tunnel-Assignment-ID=1 NAS-Port-Type=5 не можем настроить подчсет трафика В привязках типа трафика , создал новый тип (Входящий трафик), поставил код вендора 9 код атрибута 46 префикс Acct-Input-Packets |
Автор: | snark [ 03 мар 2014, 16:46 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): сделали PPTP Не стоит. Поверьте человеку ушедшему от РРТР на РРРоЕ ![]() Ping333 писал(а): В привязках типа трафика , создал новый тип (Входящий трафик), поставил код вендора 9 код атрибута 46 префикс Acct-Input-Packets Трафик прилетит в стандартных Acct-Input-Octets/Gigawords и Acct-Output-Octets/Gigawords. Все будет считаться, просто сделайте так, как в доке написано: мануал писал(а): Для получения трафиков из стандартных атрибутов Acct-Output-Octets, Acct-Output-Gigawords (входящий трафик для клиента) необходимо указать в коде вендора и атрибута значения -2 и 1 соответственно. Acct-Input-Octets, Acct-Input-Gigawords (исходящий трафик для клиента) - значения -2 и 2.
|
Автор: | Ping333 [ 04 мар 2014, 20:31 ] |
Заголовок сообщения: | Re: cisco + radius |
snark писал(а): Не стоит. Поверьте человеку ушедшему от РРТР на РРРоЕ ![]() скажите чем грозит, чтобы на чужие грабли не вставать? вроде настроили. трафик считает. сессии видно. я правильно понимаю, что в связи с тем что используем радиус, детализацию соединений клиентам не сделать? в мониторе соединений, соединения не разрываются, ниже лог, кажется обработчик ru.bitel.bgbilling.modules.inet.dyn.device.radius.CoAProtocolHandler не те аргументы посылает Код: connection 03-04/22:18:42 ERROR [sa-p-11-t-51] RadiusClient - Invalid argument java.net.SocketException: Invalid argument at sun.nio.ch.DatagramChannelImpl.send0(Native Method) at sun.nio.ch.DatagramChannelImpl.sendFromNativeBuffer(DatagramChannelImpl.java:326) at sun.nio.ch.DatagramChannelImpl.send(DatagramChannelImpl.java:306) at sun.nio.ch.DatagramChannelImpl.send(DatagramChannelImpl.java:275) at ru.bitel.common.io.DatagramChannelListener.send(DatagramChannelListener.java:275) at ru.bitel.bgbilling.kernel.network.radius.RadiusClient.sendAsync(RadiusClient.java:446) at ru.bitel.bgbilling.modules.inet.dyn.device.radius.CoAServiceActivator.connectionClose(CoAServiceActivator.java:116) at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorSet.connectionClose(ServiceActivatorSet.java:209) at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorDeviceWorker.doCommand(ServiceActivatorDeviceWorker.java:499) at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorDeviceWorker.doTask(ServiceActivatorDeviceWorker.java:452) at ru.bitel.bgbilling.kernel.event.AsyncEventWorker.internalDoTaskImpl(AsyncEventWorker.java:172) at ru.bitel.bgbilling.kernel.event.AsyncEventWorker.notify(AsyncEventWorker.java:164) ---------- -------- java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:267) at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1146) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) at java.lang.Thread.run(Thread.java:701) at ru.bitel.common.worker.WorkerThread.run(WorkerThread.java:40) connection 03-04/22:18:42 INFO [sa-p-11-t-51] ServiceActivatorDeviceWorker - Process event type[2] result=true |
Автор: | snark [ 04 мар 2014, 20:51 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): чем грозит, чтобы на чужие грабли не вставать? Для РРТР жизненно необходим IP протокол, а это порождает такие проблемы, как кривые клиентские firewall-ы, спуфинг и прочие болячки, присущие IP протоколу. Для РРРоЕ нужен только ethernet линк и все. Можно вообще выключить IP на сетевушке и он все равно будет работать. Ping333 писал(а): я правильно понимаю, что в связи с тем что используем радиус, детализацию соединений клиентам не сделать? Нет, не правильно. RADIUS - это авторизация и аккаунтинг, а для детализации вам необходимо настроить netflow, т.к. только там есть src/dst IP + src/dst port. Ping333 писал(а): в мониторе соединений, соединения не разрываются Конфиги? |
Автор: | Ping333 [ 05 мар 2014, 11:12 ] |
Заголовок сообщения: | Re: cisco + radius |
сделали на pppoe. промахнулись с портом 1701 (стандартный порт l2tp), указали другой порт. другая беда лог с циски Код: *Mar 6 05:37:59.403: POD: 193.46.77.10 request queued
*Mar 6 05:37:59.403: ++++++ POD Attribute List ++++++ *Mar 6 05:37:59.403: 87108B4C 0 00000009 username(435) 4 usertest1wer *Mar 6 05:37:59.403: 87109220 0 00000001 nas-ip-address(585) 4 193.46.77.41 *Mar 6 05:37:59.403: 87109230 0 00000001 addr(8) 4 10.100.1.13 *Mar 6 05:37:59.407: 87109240 0 00000001 session-id(397) 4 26(1A) *Mar 6 05:37:59.407: *Mar 6 05:37:59.407: POD: Received Acct-Session-Id of 0000001A *Mar 6 05:37:59.407: POD: Converted to internal Session-Id of 0000001A *Mar 6 05:37:59.407: POD: 193.46.77.10 user rad1 10.100.1.13i sessid 0x1A key 0x0 gw-c1800-tur-strk# *Mar 6 05:37:59.407: POD: Line User IDB Session Id Key *Mar 6 05:37:59.407: POD: Skip Virtual- usertest1wer 10.100.1.13 0x1A 0x111F9396 *Mar 6 05:37:59.407: POD: Added Reply Message: No Matching Session *Mar 6 05:37:59.407: POD: Added NACK Error Cause: Session Context Not Found *Mar 6 05:37:59.407: POD: Sending NAK from port 1788 to 193.46.77.10/51483 *Mar 6 05:37:59.407: RADIUS: 18 21 4E6F204D61746368696E672053657373696F6 *Mar 6 05:37:59.407: RADIUS: 101 6 000001F7 gw-c1800-tur-strk# *Mar 6 05:38:02.163: POD: 193.46.77.10 request queued *Mar 6 05:38:02.163: ++++++ POD Attribute List ++++++ *Mar 6 05:38:02.167: 87109220 0 00000009 username(435) 4 usertest1wer *Mar 6 05:38:02.167: 87108B4C 0 00000001 nas-ip-address(585) 4 193.46.77.41 *Mar 6 05:38:02.167: 87108B5C 0 00000001 addr(8) 4 10.100.1.13 *Mar 6 05:38:02.167: 87108B6C 0 00000001 session-id(397) 4 26(1A) *Mar 6 05:38:02.167: *Mar 6 05:38:02.167: POD: Received Acct-Session-Id of 0000001A *Mar 6 05:38:02.167: POD: Converted to internal Session-Id of 0000001A *Mar 6 05:38:02.167: POD: 193.46.77.10 user rad1 10.100.1.13i sessid 0x1A key 0x0 gw-c1800-tur-strk# *Mar 6 05:38:02.167: POD: Line User IDB Session Id Key *Mar 6 05:38:02.167: POD: Skip Virtual- usertest1wer 10.100.1.13 0x1A 0x111F9396 *Mar 6 05:38:02.167: POD: Added Reply Message: No Matching Session *Mar 6 05:38:02.167: POD: Added NACK Error Cause: Session Context Not Found *Mar 6 05:38:02.167: POD: Sending NAK from port 1788 to 193.46.77.10/51483 *Mar 6 05:38:02.167: RADIUS: 18 21 4E6F204D61746368696E672053657373696F6E *Mar 6 |
Автор: | Ping333 [ 06 мар 2014, 13:14 ] |
Заголовок сообщения: | Re: cisco + radius |
нашли решение, на циске надо сказать ignore session key, без этого неработает |
Автор: | snark [ 06 мар 2014, 13:52 ] |
Заголовок сообщения: | Re: cisco + radius |
Ping333 писал(а): на циске надо сказать ignore session key, без этого неработает В каких-то иосах это надо указывать, а в каких-то не обязательно, поэтому в примере выше про это ничего нету, т.к. у меня СоА/PoD работали без ignore session-key. |
Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |