forum.bitel.ru :: Просмотр темы

aaa new-model
aaa session-mib disconnect
!
aaa group server radius vpdn
server 10.11.1.11 auth-port 1812 acct-port 1813
!
aaa authentication login default local
aaa authentication ppp default group vpdn
aaa authorization exec default local
aaa authorization network default group vpdn
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network default start-stop group vpdn
!
aaa nas port extended
aaa session-id common
!
resource policy
!
syscon address 10.11.1.11 billing
syscon shelf-id 0
spe country russia
!
spe default-firmware spe-firmware-1
ip subnet-zero
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.111.1
ip dhcp ping packets 0
!
ip dhcp pool dhcp1
network 192.168.111.0 255.255.255.0
lease 30
!
!
ip address-pool local
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 10
local name server
ip precedence immediate
!
policy-map priority_marker
class class-default
set ip precedence 2
!
!
interface Loopback0
no ip address
no ip redirects
no ip mroute-cache
!
interface FastEthernet0/0
no ip address
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.40
description Real-Backbone-NET
encapsulation dot1Q 40 native
ip address x.x.x.13 255.255.255.240
no ip redirects
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/0.111
description Local-Backbone-NET
encapsulation dot1Q 111
ip address 10.11.1.13 255.255.255.0
no ip redirects
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
no ip address
no ip redirects
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1.60
description Wired-NET
encapsulation dot1Q 60 native
ip address x.x.x.81 255.255.255.248 secondary
ip address 192.168.111.1 255.255.255.0
no ip redirects
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
!
interface Virtual-Template10
ip unnumbered FastEthernet0/0.40
no ip redirects
ip route-cache flow
peer default ip address pool VPN-IPs
ppp authentication chap
!
!
ip local pool VPN-IPs x.x.x.193 x.x.x.222
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.1
ip flow-export source FastEthernet0/0.40
ip flow-export version 5
ip flow-export destination x.x.x.11 2055
!
no ip http server
!
ip radius source-interface FastEthernet0/0.111
snmp-server community billing RW 97
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps calltracker
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 10.11.1.11 161
snmp-server host 10.11.1.11 2c
snmp-server host 10.11.1.11 aaa
snmp-server host 10.11.1.11 billing
no cdp run
!
radius-server attribute 31 mac format unformatted
radius-server host 10.11.1.11 auth-port 1812 acct-port 1813 timeout 10 retransmit 5 key 7 121A0A19
radius-server vsa send accounting
radius-server vsa send authentication

Автор:	Global [ 17 май 2007, 14:09 ]
Заголовок сообщения:	Radius attribute 31
Есь NAS as5350 который терминирует клиентов по PPtP. Никак неполучается заставить передавать сабж радиус серверу. Желательно передать его в Authentication-Request пакете. Также нужно в этом же пакете присылать IP адрес впн клиента, вообще он щас приходит в Accounting-Request пакете: Tunnel-Client-EndPoint (RADIUS attribute 66). Пробовал след. иосы: Cisco IOS Software, 5350 Software (C5350-JS-M), Version 12.4(3b), RELEASE SOFTWARE (fc3), 5350 Software (C5350-IS-M), Version 12.3(10), RELEASE SOFTWARE (fc3); 5350 Software (C5350-JK9S-M), Version 12.4(7), RELEASE SOFTWARE (fc6). По данному вопросу честно говоря флудил много где, но к сожелению выхода пока ненашел. Видел на старом форуме посты где мак передавался, но железка там другая правда.

Автор:	Global [ 17 май 2007, 14:11 ]
Заголовок сообщения:
Приведу текущий конфиг: Код: aaa new-model aaa session-mib disconnect ! aaa group server radius vpdn server 10.11.1.11 auth-port 1812 acct-port 1813 ! aaa authentication login default local aaa authentication ppp default group vpdn aaa authorization exec default local aaa authorization network default group vpdn aaa accounting delay-start aaa accounting update periodic 1 aaa accounting network default start-stop group vpdn ! aaa nas port extended aaa session-id common ! resource policy ! syscon address 10.11.1.11 billing syscon shelf-id 0 spe country russia ! spe default-firmware spe-firmware-1 ip subnet-zero no ip source-route ! ! ip cef no ip dhcp use vrf connected no ip dhcp conflict logging ip dhcp excluded-address 192.168.111.1 ip dhcp ping packets 0 ! ip dhcp pool dhcp1 network 192.168.111.0 255.255.255.0 lease 30 ! ! ip address-pool local vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 10 local name server ip precedence immediate ! policy-map priority_marker class class-default set ip precedence 2 ! ! interface Loopback0 no ip address no ip redirects no ip mroute-cache ! interface FastEthernet0/0 no ip address ip route-cache flow duplex auto speed auto no cdp enable ! interface FastEthernet0/0.40 description Real-Backbone-NET encapsulation dot1Q 40 native ip address x.x.x.13 255.255.255.240 no ip redirects no ip mroute-cache no snmp trap link-status no cdp enable ! interface FastEthernet0/0.111 description Local-Backbone-NET encapsulation dot1Q 111 ip address 10.11.1.13 255.255.255.0 no ip redirects no ip mroute-cache no snmp trap link-status no cdp enable ! interface FastEthernet0/1 no ip address no ip redirects ip route-cache flow duplex auto speed auto no cdp enable ! interface FastEthernet0/1.60 description Wired-NET encapsulation dot1Q 60 native ip address x.x.x.81 255.255.255.248 secondary ip address 192.168.111.1 255.255.255.0 no ip redirects no ip proxy-arp no ip mroute-cache no snmp trap link-status no cdp enable ! ! interface Virtual-Template10 ip unnumbered FastEthernet0/0.40 no ip redirects ip route-cache flow peer default ip address pool VPN-IPs ppp authentication chap ! ! ip local pool VPN-IPs x.x.x.193 x.x.x.222 ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.1 ip flow-export source FastEthernet0/0.40 ip flow-export version 5 ip flow-export destination x.x.x.11 2055 ! no ip http server ! ip radius source-interface FastEthernet0/0.111 snmp-server community billing RW 97 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps calltracker snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 10.11.1.11 161 snmp-server host 10.11.1.11 2c snmp-server host 10.11.1.11 aaa snmp-server host 10.11.1.11 billing no cdp run ! radius-server attribute 31 mac format unformatted radius-server host 10.11.1.11 auth-port 1812 acct-port 1813 timeout 10 retransmit 5 key 7 121A0A19 radius-server vsa send accounting radius-server vsa send authentication

Автор:	Victor [ 17 май 2007, 14:55 ]
Заголовок сообщения:
MAC при PPtP-соединении ты никак не заставишь отдавать циску. Тебе на форуме циски прямо об этом сказали... MAC отдается только для PPPoE-соединений и не в 31 аттрибуте, а в Cisco-AV-Pair="client-mac-address=blablabla" и только путем тщательной подборки ИОСа (собственный опыт на 7301). В 31 аттрибуте мак отдается только для роутеров начиная с 10000 серии, если все правильно помню. Теперь по поводу IP-адреса клиента, знакомый путем долгих мучений родил для своей циски (какая-то 75xx вроде) отдачу IP-адреса клиента через такой трюк: с помощью команды: vpdn aaa attribute nas-ip-address vpdn-nas он заставил отдаваться CID в 8 аттрибуте.

Автор:	Global [ 18 май 2007, 14:50 ]
Заголовок сообщения:
Благодарю за столь подробный ответ! Цитата: Тебе на форуме циски прямо об этом сказали... Кому интересно весь пост сдесь: http://forums.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Security&topic=AAA&CommCmd=MB%3Fcmd%3Dpass_through%26location%3Doutline%40%5E1%40%40.1dde6fa8 Да дело в том что у нас в регионе у конкурента работает, бывшый админ клянеца))) Конфиги дать обещали, получится - суда выложу.

forum.bitel.ru http://forum.bitel.ru/

Radius attribute 31 http://forum.bitel.ru/viewtopic.php?f=5&t=234	Страница 1 из 1

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/