forum.bitel.ru • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » BGBilling » Модули Интернета » Модуль Inet

Часовой пояс: UTC + 5 часов [ Летнее время ]

cisco + radius

Страница 1 из 1

[ Сообщений: 22 ]

Версия для печати

Пред. тема | След. тема

Автор

Сообщение

Ping333

Заголовок сообщения: cisco + radius

Добавлено: 01 мар 2014, 14:24

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

Добрый день!
пробуем радиус и cisco связать, чет туго получается. задача стандартная, говорить циске какие Ip выдавать клиенту и какие ограничения накладвать на него.
cisco 1801 ios 15, радиус стандартный от бител,
Вобщем так, прилетают запросы с циски на radius accounting

Код:

03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] update - REQUEST:
Packet type: Accounting-Request
Identifier: 104
Authenticator: {78 E9 EB 9A 29 F9 2C 7A 84 23 12 1B D0 7B 65 70}
Attributes:
  NAS-Port-Id=0/0/1/0
  NAS-IP-Address=33.46.41.12
  NAS-Port=50001
  Service-Type=2
  Framed-IP-Address=10.1.7.11
  Acct-Status-Type=3
  Acct-Delay-Time=467
  Acct-Session-Time=64816
  NAS-Port-Type=15
  Acct-Session-Id=000002C2
  Acct-Authentic=2
  cisco-avpair=connect-progress=Call Up

Common options: {macAddress=connect-progress=Call Up}
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetNas - Search by username=
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - InetServ not found for username=. Use radius.disable.servId=304
03-01/16:12:37  WARN [rdsLstnr-p-9-t-12] InetRadiusProcessor - Creating NasConnection from accounting packet [statusType=3]
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Parent: null
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Start from update packet now
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] InetRadiusProcessor - ipResourceId=-1
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] InetAccountingPeriodList - Create:
                AccountingPeriod: 486: 28.02.2014 00:00:00.0 - 28.02.2014 23:59:59.999
                AccountingPeriod: 488: 01.03.2014 00:00:00.0 - 31.03.2014 23:59:59.999
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - Load deviceOptions from serv and tariff
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetApplication - TariffOptionMap: {}
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] TrafficRangeManager - Add to RangeKey[554050783274:2:131989505] 0 (0, 6291456000)
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetApplication - OptionSet: [7]
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] Accounting - Write new connection to DB
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] Accounting - New connection id=4520
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] Accounting - Write new session to DB
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] Accounting - New session's id=19581
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - Created new AccountingSession.
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] connection - 4520:19581 Register ip: 10.1.7.11
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] IpResourceRuntimeManager - Subscribing 10.1.7.11 to contractId=2925
03-01/16:12:37 DEBUG [rdsLstnr-p-9-t-12] Accounting - InetConnection [id=4520-0, iface=4:50001, sessId=000002C2, start=28.02.2014 22:12:21                              , uname=, addr=10.1.7.11]
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetRadiusProcessor - Start from update packet - flushing counter traffics
03-01/16:12:37  INFO [rdsLstnr-p-9-t-12] InetConnectionRuntime - Time amount=64816, hh=1393660800000, cc=2843

вижу несколько созданных сессий на одном и том же договоре , правда в запросе не вижу мака,
4520 19581 RAD1[Reject-To-Accept] Cisco 1851: den_nas [33.46.41.12] 000002C2 LOGIN rad1_MAC default / 10.1.7.11 Sat Mar 01 16:12:37 KRAT 2014 Fri Feb 28 22:12:21 KRAT 2014 00:00:00 [0] 0.00000 активна подключено
Подняли freeradius, на него запросы приходят с маком.
Может кто подскажет как нормально настроить радиус

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 15:28

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

в запросе не вижу мака

Я не Ванга, но попробую угадать: речь про РРРоЕ? Если да, то имейте ввиду, что не каждый IOS шлет МАС в Calling-Station-Id.
Где-то достаточно сказать

Код:

radius-server attribute 31 send nas-port-detail mac-only

и МАС будет прилетать в том виде, какой укажете в

Код:

radius-server attribute 31 mac format <blah>

А где-то надо включать

Код:

radius-server vsa send accounting
radius-server vsa send authentication

и потом в предобработке выдирать МАС из запросов, чтобы вставить его в Calling-Station-Id.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 15:52

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

нет, не РРРоЕ. например у клиента adsl модем, смаршрутизирован на циску,
включено
radius-server vsa send accounting
radius-server vsa send authentication

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 16:10

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

не РРРоЕ

Некая сверхсекретная технология, о которой нельзя писать на форуме?

Ping333 писал(а):

у клиента adsl модем, смаршрутизирован на циску

Вы IPoE хотите поднять?

В связи с тем, что все местные экстрасенсы отдыхают после олимпиады и готовятся к предсказаниям результатов паралимпиады, предлагаю вам более подробно описать ситуацию.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 16:24

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

да, извиняюсь что коряво изъясняюсь. получается Ipoe. Смысл прост, клиент включил компьютер, получил адрес по DHCP и он в Интернете.

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 16:53

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

клиент включил компьютер, получил адрес по DHCP и он в Интернете.

Если вы хотите реализовать это при помощи ISG (технология для IPoE у циски), то, извините, у вас не выйдет, т.к. на имеющейся у вас 1801 это невозможно в принципе. Минимально необходимое для ISG железо - это:

Cisco ASR
Cisco 7200 с NPE-G1 или NPE-G2 (min NPE-400) ну или паццабокс вариации этой платформы в виде 7301 и 7201
Cisco 1000 с PRE-2, PRE-3 или PRE-4
Cisco 7600 + RSP720 + SIP-400 + ES+, но это редко используемый вариант

На вашей платформе с авторизацией и аккаунтингом вы сможете поднять только РРРоЕ, L2TP или РРТР (ХЗ есть оно в 15-м IOS или уже выпилили).
Возможно вы брали 1801 из-за того, что это ISR, т.е. просто букву перепутали, но ISR (Integrated Services Router) - это не ISG (Intelligent Services Gateway). Обменяйте вашу циску у поставщика на какой нибудь каталист 3-го уровня (3550, 3560, 3750 или 6500) и уже на нем вы сможете организовать ip unnumbered с выдачей адресов из DHCP биллинга.

Вернуться к началу

borisk

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 19:06

Клиент

Зарегистрирован: 15 мар 2009, 14:04
Сообщения: 1337
Карма: 12

Этот же ip unnumbered можно и на 1801 организовать. Но, сразу вопросы:
1) А какое количество клиентов и трафика вы планируете на ней обрабатывать?
2) Адреса белые или NAT?
3) Авторизация клиента как планируется? По MAC?
4) Какого плана "ограничения" хотите?

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 19:12

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

клиентов немного, не более 50
адреса за NAT
авторизация по МАС
ограничения только на скорость

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 01 мар 2014, 19:24

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

borisk писал(а):

ip unnumbered можно и на 1801 организовать

На таком кол-ве абонентов - можно, но более-менее красиво сделать вот это:

Ping333 писал(а):

авторизация по МАС
ограничения только на скорость

я себе представляю только в виде DHCP relay на циске + DHCP сервер на БГБ + GTS/CBWFQ через telnet/ssh/rsh.

На 50 юзеров можно вообще все руками/скриптом разрисовать и только трафик на БГБ считать.

Вернуться к началу

borisk

Заголовок сообщения: Re: cisco + radius

Добавлено: 02 мар 2014, 10:20

Клиент

Зарегистрирован: 15 мар 2009, 14:04
Сообщения: 1337
Карма: 12

Собственно да, snark прав, можно и руками. Но если все же хочется bgb...
В принципе, схема не сложная:
1) Создается loopback с сетью для dhcp
2) Создается SVI с ip unnumbered loopback X, туда же ip nat и ip helper-address
3) Конфигурится bgb. По bgb ждем конкретных вопросов, потому что весь процесс тут описывать долго, да и есть он в документации и wiki.
Единственно что вызывает трудности - это Telnet или SSHServiceActivator. Тут надо будет подумать как бы правильно его применить к вашей задаче.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 02 мар 2014, 11:29

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

не могу найти где ключ прописывать в бгб,
на циске radius-server key *****
а в бгб - communiti/secret в устройстве? если так то ошибка возникает
на пптп

Код:

*Mar  2 05:19:29.213: RADIUS/ENCODE(00000112):Orig. component type = VPDN
*Mar  2 05:19:29.213: RADIUS: DSL line rate attributes successfully added
*Mar  2 05:19:29.213: RADIUS(00000112): Config NAS IP: 0.0.0.0
*Mar  2 05:19:29.213: RADIUS(00000112): Config NAS IPv6: ::
*Mar  2 05:19:29.213: RADIUS/ENCODE(00000112): acct_session_id: 2984
*Mar  2 05:19:29.213: RADIUS(00000112): sending
*Mar  2 05:19:29.213: RADIUS/ENCODE: Best Local IP-Address 33.46.41.12 for Radius-Server 33.46.41.13
*Mar  2 05:19:29.213: RADIUS(00000112): Send Access-Request to 33.46.41.13:1813 id 1645/82, len 91
*Mar  2 05:19:29.213: RADIUS:  authenticator 35 46 51 FC 39 E1 D0 3A - D7 F9 CF CC B9 1B 0D 5C
*Mar  2 05:19:29.213: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Mar  2 05:19:29.213: RADIUS:  User-Name           [1]   6   "rad1"
*Mar  2 05:19:29.213: RADIUS:  CHAP-Password       [3]   19  *
*Mar  2 05:19:29.213: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Mar  2 05:19:29.213: RADIUS:  NAS-Port            [5]   6   86
*Mar  2 05:19:29.213: RADIUS:  NAS-Port-Id         [87]  16  "Uniq-Sess-ID86"
*Mar  2 05:19:29.213: RADIUS:  Service-Type 
       [6]   6   Framed                    [2]
gw-c1800-tur-strk#
*Mar  2 05:19:29.213: RADIUS:  NAS-IP-Address      [4]   6   33.46.41.12
*Mar  2 05:19:29.213: RADIUS(00000112): Sending a IPv4 Radius Packet
*Mar  2 05:19:29.213: RADIUS(00000112): Started 120 sec timeout
*Mar  2 05:19:29.921: RADIUS: Received from id 1645/82 33.46.41.13:1813, Access-Accept, len 26
*Mar  2 05:19:29.921: RADIUS:  authenticator 2C A8 68 0C DB 18 73 DF - 14 1A C0 2C 87 42 A7 5F
*Mar  2 05:19:29.921: RADIUS:  Framed-IP-Address   [8]   6   10.1.7.203
*Mar  2 05:19:29.921: RADIUS: response-authenticator decrypt fail, pak len 26
*Mar  2 05:19:29.921: RADIUS: packet dump: 0252001A2CA8680CDB1873DF141AC02C8742A75F08060A0107CB
*Mar  2 05:19:29.925: RADIUS: expected digest: FFFFFFA3FFFFFFF1FFFFFFBE7F7B11FFFFFF95FFFFFFF8FFFFFFAD39FFFFFFA675FFFFFFA3FFFFFFF81DFFFFFFB5
*Mar  2 05:19:29.925: RADIUS: response authen: 2CFFFFFFA8680CFFFFFFDB1873FFFFFFDF141AFFFFFFC02CFFFFFF8742FFFFFFA75F
*Mar  2 05:19:29.925: RADIUS: request  authen: 354651FC39E1D03AD7F9CFCCB91B0D5C
*Mar  2 05:19:29.925: RADIUS: Response (82) failed decrypt

Вернуться к началу

barguzin2

Заголовок сообщения: Re: cisco + radius

Добавлено: 02 мар 2014, 20:17

Клиент

Зарегистрирован: 09 фев 2011, 15:28
Сообщения: 1092
Карма: 135

в конфиге устройства

Код:

radius.secret=cisco-radius-secret

А покажите вообще настройку цыско, чтобы все-таки совсем понятно было как клиенты будут подключаться.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 02 мар 2014, 21:19

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

циска

Код:

Current configuration : 6648 bytes
!
! Last configuration change at 09:18:35 UTC Sun Mar 2 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw-c1800-tur-strk
!
boot-start-marker
boot system flash c180x-adventerprisek9-mz.151-4.M6.bin
boot-end-marker
!
!
enable secret 4 rTuFcd3npH9Q06FQO5Oh/lCs6Jhx8UNM8J6R/MWBlb6
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network VPN-USERS
 action-type start-stop
 group radius
!
!
!
!
!
!
aaa session-id common
!
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.100.1
ip dhcp excluded-address 10.1.7.1
ip dhcp excluded-address 10.1.20.1
ip dhcp excluded-address 10.1.7.200
ip dhcp excluded-address 10.1.7.201
ip dhcp excluded-address 10.1.7.202
ip dhcp excluded-address 10.1.7.203
ip dhcp excluded-address 10.1.7.204
ip dhcp excluded-address 10.1.7.205
ip dhcp excluded-address 10.1.7.206
ip dhcp excluded-address 10.1.7.207
ip dhcp excluded-address 10.1.7.208
ip dhcp excluded-address 10.1.7.209
ip dhcp excluded-address 10.1.7.210
ip dhcp excluded-address 10.1.7.211
ip dhcp excluded-address 10.1.7.212
ip dhcp excluded-address 10.1.7.213
ip dhcp excluded-address 10.1.7.214
ip dhcp excluded-address 10.1.7.215
ip dhcp excluded-address 10.1.7.49
ip dhcp excluded-address 10.1.7.50
ip dhcp excluded-address 10.1.7.51
ip dhcp excluded-address 10.1.7.52
ip dhcp excluded-address 10.1.7.53
ip dhcp excluded-address 10.1.7.54
ip dhcp excluded-address 10.1.7.55
ip dhcp excluded-address 10.1.7.56
ip dhcp excluded-address 10.1.7.57
ip dhcp excluded-address 10.1.7.58
!
ip dhcp pool Local
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.1
 domain-name strk-tur
 dns-server 8.8.8.8
!
ip dhcp pool 10.1.7.1
 network 10.1.7.0 255.255.255.0
 default-router 17.1.7.1
 dns-server 193.46.77.18
 domain-name adsl-tur-strk
!
ip dhcp pool 10.1.20.1
 network 10.1.20.0 255.255.255.0
 default-router 10.1.20.1
 domain-name adsl-tur-strk-tmp
 dns-server 8.8.8.8
!
ip dhcp pool 193.46.77.17
 network 193.46.77.16 255.255.255.240
 default-router 193.46.77.17
 domain-name tst
!
!
!
ip cef
ip domain name gw-c1800-tur-strk
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default L2TP VPDN group
 ! Default PPTP VPDN group
 accept-dialin
  protocol any
  virtual-template 1
 local name u_pptp_strk_tur
!
!
!
license udi pid CISCO1801 sn FGL164925J1
archive
 log config
  hidekeys
username lex privilege 15 password 7 04570E1E1D2E435A
!
!
ip ssh version 1
!
class-map match-all 256
 match access-group 100
class-map match-all 512
 match access-group 101
 match access-group 102
class-map match-any torrent
 match protocol bittorrent
 match protocol edonkey
!
!
policy-map 256
 class 256
  police 400000 64000 200000 conform-action transmit  exceed-action drop  violate-action drop
policy-map 512
 class 512
  police 400000 64000 200000 conform-action transmit  exceed-action drop  violate-action drop
policy-map torrent
 class torrent
  police 8000 8000 8000 conform-action transmit  exceed-action drop  violate-action drop
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 description WAN-KRK
 ip address 193.46.77.41 255.255.255.252
 ip nat outside
 ip virtual-reassembly in max-reassemblies 512
 duplex auto
 speed auto
 vlan-id dot1q 449
  description sss
  exit-vlan-config
 !
!
interface FastEthernet1
 switchport mode trunk
 no ip address
!
interface FastEthernet2
 switchport access vlan 10
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 switchport access vlan 100
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 switchport access vlan 10
 no ip address
!
interface Virtual-Template1
 ip unnumbered Vlan900
 ip mtu 1492
 ip nat inside
 ip virtual-reassembly in
 autodetect encapsulation ppp
 peer default ip address dhcp-pool 10.1.7.0
 ppp authentication chap callin
 ppp accounting VPN-USERS
!
interface Vlan1
 ip address 172.16.1.9 255.255.255.0 secondary
 ip address 192.168.222.250 255.255.255.0
!
interface Vlan10
 ip address 192.168.100.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 service-policy input torrent
 service-policy output torrent
!
interface Vlan100
 ip address 192.168.216.164 255.255.255.248 secondary
 ip address 172.16.100.20 255.255.255.0
!
interface Vlan181
 no ip address
!
interface Vlan182
 no ip address
!
interface Vlan183
 no ip address
!
interface Vlan201
 ip address 193.46.77.17 255.255.255.240
!
interface Vlan202
 ip address 193.46.77.193 255.255.255.252 secondary
 ip address 193.46.77.129 255.255.255.224 secondary
 ip address 10.1.1.5 255.255.255.252 secondary
 ip address 10.1.1.25 255.255.255.252 secondary
 ip address 10.1.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 service-policy input 512
 service-policy output 512
!
interface Vlan299
 ip address 10.226.24.233 255.255.255.0
!
interface Vlan900
 ip address 10.1.7.49 255.255.255.0 secondary
 ip address 10.1.7.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 service-policy input torrent
 service-policy output torrent
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source list 2 interface FastEthernet0 overload

ip route 193.46.77.0 255.255.255.0 193.46.77.42
!
ip radius source-interface FastEthernet1
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 2 permit 10.1.7.0 0.0.0.255
access-list 2 permit 10.1.20.0 0.0.0.255
access-list 2 permit 10.1.1.0 0.0.0.255
access-list 10 permit 10.1.7.0 0.0.0.255
access-list 100 permit ip any 10.1.7.0 0.0.0.255
access-list 100 permit ip 10.1.7.0 0.0.0.255 any
access-list 101 permit ip any 10.1.20.0 0.0.0.255
access-list 101 permit ip 10.1.20.0 0.0.0.255 any
access-list 102 permit ip any 193.46.77.192 0.0.0.3
access-list 102 permit ip 193.46.77.192 0.0.0.3 any
access-list 102 permit ip any 193.46.77.128 0.0.0.31
access-list 102 permit ip 193.46.77.128 0.0.0.31 any
!
!
!
!
!
!
radius-server retransmit 5
radius-server timeout 120
radius-server key 7 091D1C5A
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 exec-timeout 0 0
 logging synchronous
 length 0
 transport input telnet ssh
!
end


radius-server configure-nas
radius-server host  193.46.77.10 acct-port 1812 auth-port 1813
radius-server key blabla

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 03 мар 2014, 13:05

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Зачем вам РРТР? С ним одни только проблемы при настройке на СРЕ. Если хотите РРР - используйте РРРоЕ, если хотите IPoE - делайте так, как сказал borisk:

borisk писал(а):

1) Создается loopback с сетью для dhcp
2) Создается SVI с ip unnumbered loopback X, туда же ip nat и ip helper-address

P.S. Конфиг для РРРоЕ, вдруг пригодится:

Код:

aaa new-model
!
! это чтоб можно было еще один RADIUS поднять, например для тестов
aaa group server radius PPPoE_RADIUS
 server-private IP.адрес.RADIUS.сервера auth-port 1812 acct-port 1813 key der_parol
 ip radius source-interface Loopback 1
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
!
aaa authentication banner %%
aaa authentication login default local-case
aaa authentication ppp PPPoE group PPPoE_RADIUS
aaa authorization exec default local
aaa authorization network PPPoE group PPPoE_RADIUS
aaa accounting delay-start all
aaa accounting update periodic 1
aaa accounting network PPPoE start-stop group PPPoE_RADIUS
!
! отключение через PoD
aaa server radius dynamic-author
 client IP.адрес.RADIUS.сервера
 server-key der_parol
 auth-type any
!
!
bba-group pppoe global
 ac name name_of_this_PPPoE_server
!
bba-group pppoe PPPoE
 virtual-template 1
 sessions per-mac limit 1
 sessions per-vlan limit 10000
 sessions per-mac throttle 1 30 30
!
!
interface Loopback 1
 ip address IP.адрес.этого.loopback-а 255.255.255.255
!
!
interface FastEthernet 1/0
 description PPPoE
 no ip address
 !
 vlan-id dot1q 100
  pppoe enable group PPPoE
  exit-vlan-config
 !
 vlan-id dot1q 101
  pppoe enable group PPPoE
  exit-vlan-config
 !
 vlan-id dot1q 102
  pppoe enable group PPPoE
  exit-vlan-config
 !
 hold-queue 4096 in
 hold-queue 4096 out
!
!
interface Virtual-Template 1
 ip unnumbered Loopback 1
 ip verify unicast source reachable-via rx
 no ip redirects
 no ip proxy-arp
 no logging event link-status
 peer default ip address pool default
 no snmp trap link-status
 ppp authentication pap callin PPPoE
 ppp authorization PPPoE
 ppp accounting PPPoE
 ppp ipcp dns IP.адрес.1-го.DNS.сервера IP.адрес.2-го.DNS.сервера
 ppp ipcp address unique
!
ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула
ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула
!
!
radius-server attribute 31 mac format unformatted

Настройка экспорта netflow:

Код:

ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
!
ip flow-export source <название интерфейса>
ip flow-export version 5
ip flow-export destination IP.адрес.RADIUS.сервера <порт>
!
interface Virtual-Template 1
 ip flow ingress
 ip flow egress

Вернуться к началу

borisk

Заголовок сообщения: Re: cisco + radius

Добавлено: 03 мар 2014, 13:26

Клиент

Зарегистрирован: 15 мар 2009, 14:04
Сообщения: 1337
Карма: 12

Честно говоря для 1801 и 50 пользователей я все же рекомендовал бы использовать PPPoE, а не вариант с DHCP. Исключительно по причине мороки в ограничении скорости на IPoE в обычном IOS.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 03 мар 2014, 16:22

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

сделали PPTP, видны сессии, прилетают пакеты с кол-вом трафика,

Код:

Framed-IP-Address=10.1.7.209
  Acct-Input-Octets=344383
  Acct-Output-Octets=5066508
  Acct-Status-Type=3
  Acct-Delay-Time=0
  Acct-Session-Time=1982
  Acct-Input-Packets=3970
  Acct-Session-Id=00000023
  Acct-Authentic=1
  NAS-Port-Id=Uniq-Sess-ID17
  Acct-Output-Packets=5217
  Tunnel-Assignment-ID=1
  NAS-Port-Type=5

не можем настроить подчсет трафика
В привязках типа трафика , создал новый тип (Входящий трафик), поставил код вендора 9 код атрибута 46 префикс Acct-Input-Packets

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 03 мар 2014, 16:46

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

сделали PPTP

Не стоит. Поверьте человеку ушедшему от РРТР на РРРоЕ

Ping333 писал(а):

В привязках типа трафика , создал новый тип (Входящий трафик), поставил код вендора 9 код атрибута 46 префикс Acct-Input-Packets

Трафик прилетит в стандартных Acct-Input-Octets/Gigawords и Acct-Output-Octets/Gigawords.
Все будет считаться, просто сделайте так, как в доке написано:

мануал писал(а):

Для получения трафиков из стандартных атрибутов Acct-Output-Octets, Acct-Output-Gigawords (входящий трафик для клиента) необходимо указать в коде вендора и атрибута значения -2 и 1 соответственно. Acct-Input-Octets, Acct-Input-Gigawords (исходящий трафик для клиента) - значения -2 и 2.

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 04 мар 2014, 20:31

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

snark писал(а):

Не стоит. Поверьте человеку ушедшему от РРТР на РРРоЕ

скажите чем грозит, чтобы на чужие грабли не вставать?

вроде настроили. трафик считает. сессии видно.
я правильно понимаю, что в связи с тем что используем радиус, детализацию соединений клиентам не сделать?
в мониторе соединений, соединения не разрываются, ниже лог, кажется обработчик ru.bitel.bgbilling.modules.inet.dyn.device.radius.CoAProtocolHandler не те аргументы посылает

Код:

connection 03-04/22:18:42 ERROR [sa-p-11-t-51] RadiusClient - Invalid argument
java.net.SocketException: Invalid argument
        at sun.nio.ch.DatagramChannelImpl.send0(Native Method)
        at sun.nio.ch.DatagramChannelImpl.sendFromNativeBuffer(DatagramChannelImpl.java:326)
        at sun.nio.ch.DatagramChannelImpl.send(DatagramChannelImpl.java:306)
        at sun.nio.ch.DatagramChannelImpl.send(DatagramChannelImpl.java:275)
        at ru.bitel.common.io.DatagramChannelListener.send(DatagramChannelListener.java:275)
        at ru.bitel.bgbilling.kernel.network.radius.RadiusClient.sendAsync(RadiusClient.java:446)
        at ru.bitel.bgbilling.modules.inet.dyn.device.radius.CoAServiceActivator.connectionClose(CoAServiceActivator.java:116)
        at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorSet.connectionClose(ServiceActivatorSet.java:209)
        at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorDeviceWorker.doCommand(ServiceActivatorDeviceWorker.java:499)
        at ru.bitel.bgbilling.modules.inet.access.sa.ServiceActivatorDeviceWorker.doTask(ServiceActivatorDeviceWorker.java:452)
        at ru.bitel.bgbilling.kernel.event.AsyncEventWorker.internalDoTaskImpl(AsyncEventWorker.java:172)
        at ru.bitel.bgbilling.kernel.event.AsyncEventWorker.notify(AsyncEventWorker.java:164)
   ----------
--------
java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:267)
        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1146)
        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
        at java.lang.Thread.run(Thread.java:701)
        at ru.bitel.common.worker.WorkerThread.run(WorkerThread.java:40)
connection 03-04/22:18:42  INFO [sa-p-11-t-51] ServiceActivatorDeviceWorker - Process event type[2] result=true

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 04 мар 2014, 20:51

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

чем грозит, чтобы на чужие грабли не вставать?

Для РРТР жизненно необходим IP протокол, а это порождает такие проблемы, как кривые клиентские firewall-ы, спуфинг и прочие болячки, присущие IP протоколу.
Для РРРоЕ нужен только ethernet линк и все. Можно вообще выключить IP на сетевушке и он все равно будет работать.

Ping333 писал(а):

я правильно понимаю, что в связи с тем что используем радиус, детализацию соединений клиентам не сделать?

Нет, не правильно. RADIUS - это авторизация и аккаунтинг, а для детализации вам необходимо настроить netflow, т.к. только там есть src/dst IP + src/dst port.

Ping333 писал(а):

в мониторе соединений, соединения не разрываются

Конфиги?

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 05 мар 2014, 11:12

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

сделали на pppoe.
промахнулись с портом 1701 (стандартный порт l2tp), указали другой порт.
другая беда
лог с циски

Код:

*Mar  6 05:37:59.403: POD: 193.46.77.10 request queued
*Mar  6 05:37:59.403:  ++++++ POD Attribute List ++++++
*Mar  6 05:37:59.403: 87108B4C 0 00000009 username(435) 4 usertest1wer
*Mar  6 05:37:59.403: 87109220 0 00000001 nas-ip-address(585) 4 193.46.77.41
*Mar  6 05:37:59.403: 87109230 0 00000001 addr(8) 4 10.100.1.13
*Mar  6 05:37:59.407: 87109240 0 00000001 session-id(397) 4 26(1A)
*Mar  6 05:37:59.407:
*Mar  6 05:37:59.407: POD: Received Acct-Session-Id of 0000001A
*Mar  6 05:37:59.407: POD: Converted to internal Session-Id of 0000001A
*Mar  6 05:37:59.407: POD: 193.46.77.10 user rad1 10.100.1.13i sessid 0x1A key 0x0
gw-c1800-tur-strk#
*Mar  6 05:37:59.407: POD:      Line     User     IDB          Session Id Key
*Mar  6 05:37:59.407: POD: Skip Virtual- usertest1wer     10.100.1.13  0x1A       0x111F9396
*Mar  6 05:37:59.407: POD: Added Reply Message: No Matching Session
*Mar  6 05:37:59.407: POD: Added NACK Error Cause: Session Context Not Found
*Mar  6 05:37:59.407: POD: Sending NAK from port 1788 to 193.46.77.10/51483
*Mar  6 05:37:59.407: RADIUS:  18  21  4E6F204D61746368696E672053657373696F6


*Mar  6 05:37:59.407: RADIUS:  101 6   000001F7
gw-c1800-tur-strk#
*Mar  6 05:38:02.163: POD: 193.46.77.10 request queued
*Mar  6 05:38:02.163:  ++++++ POD Attribute List ++++++
*Mar  6 05:38:02.167: 87109220 0 00000009 username(435) 4 usertest1wer
*Mar  6 05:38:02.167: 87108B4C 0 00000001 nas-ip-address(585) 4 193.46.77.41
*Mar  6 05:38:02.167: 87108B5C 0 00000001 addr(8) 4 10.100.1.13
*Mar  6 05:38:02.167: 87108B6C 0 00000001 session-id(397) 4 26(1A)
*Mar  6 05:38:02.167:
*Mar  6 05:38:02.167: POD: Received Acct-Session-Id of 0000001A
*Mar  6 05:38:02.167: POD: Converted to internal Session-Id of 0000001A
*Mar  6 05:38:02.167: POD: 193.46.77.10 user rad1 10.100.1.13i sessid 0x1A key 0x0
gw-c1800-tur-strk#
*Mar  6 05:38:02.167: POD:      Line     User     IDB          Session Id Key
*Mar  6 05:38:02.167: POD: Skip Virtual- usertest1wer     10.100.1.13  0x1A       0x111F9396
*Mar  6 05:38:02.167: POD: Added Reply Message: No Matching Session
*Mar  6 05:38:02.167: POD: Added NACK Error Cause: Session Context Not Found
*Mar  6 05:38:02.167: POD: Sending NAK from port 1788 to 193.46.77.10/51483
*Mar  6 05:38:02.167: RADIUS:  18  21  4E6F204D61746368696E672053657373696F6E
*Mar  6

Вернуться к началу

Ping333

Заголовок сообщения: Re: cisco + radius

Добавлено: 06 мар 2014, 13:14

Клиент

Зарегистрирован: 29 мар 2013, 11:54
Сообщения: 262
Откуда: Краснодар
Карма: 5

нашли решение, на циске надо сказать ignore session key, без этого неработает

Вернуться к началу

snark

Заголовок сообщения: Re: cisco + radius

Добавлено: 06 мар 2014, 13:52

Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249

Ping333 писал(а):

на циске надо сказать ignore session key, без этого неработает

В каких-то иосах это надо указывать, а в каких-то не обязательно, поэтому в примере выше про это ничего нету, т.к. у меня СоА/PoD работали без ignore session-key.

Вернуться к началу

Страница 1 из 1

[ Сообщений: 22 ]

Список форумов » BGBilling » Модули Интернета » Модуль Inet

Часовой пояс: UTC + 5 часов [ Летнее время ]

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:

BiTel

cisco + radius

Кто сейчас на конференции