| forum.bitel.ru http://forum.bitel.ru/ |
|
| шлюз BGRadiusIPN - Падает вирт. интерфейс http://forum.bitel.ru/viewtopic.php?f=7&t=614 |
Страница 1 из 1 |
| Автор: | lorks [ 13 дек 2007, 15:26 ] |
| Заголовок сообщения: | шлюз BGRadiusIPN - Падает вирт. интерфейс |
Собственно по теме: Создан договор, ему назначен шлюз BGRadiusIPN, в шлюзе назначен реалм default, vrf Local (пойдет через нат. Юзер цепляется, проходит автортзацию, поднимается виртуальный интерфейс и тут же падает. Лог рутера: 14w5d: ppp235 PPP: Using default call direction 14w5d: ppp235 PPP: Treating connection as a dedicated line 14w5d: ppp235 PPP: Session handle[1800013A] Session id[235] 14w5d: ppp235 PPP: Authorization required 14w5d: ppp235 PAP: I AUTH-REQ id 135 len 14 from "test" 14w5d: ppp235 PAP: Authenticating peer test 14w5d: ppp235 PPP: Sent PAP LOGIN Request 14w5d: RADIUS/ENCODE(000000FB):Orig. component type = PPoE 14w5d: RADIUS: AAA Unsupported Attr: client-mac-address[32] 14 14w5d: RADIUS: 30 30 31 33 2E 38 66 63 37 2E 66 61 [0013.8fc7.fa] 14w5d: RADIUS: AAA Unsupported Attr: interface [158] 8 14w5d: RADIUS: 30 2F 30 2F 32 2F [0/0/2/] 14w5d: RADIUS(000000FB): Config NAS IP: 10.10.10.2 14w5d: RADIUS/ENCODE(000000FB): acct_session_id: 250 14w5d: RADIUS(000000FB): sending 14w5d: RADIUS(000000FB): Send Access-Request to 10.10.10.3:1812 id 1645/235, len 84 14w5d: RADIUS: authenticator 20 F6 9E 96 6F F3 50 31 - 78 B7 D9 EF 4D A5 65 6A 14w5d: RADIUS: Framed-Protocol [7] 6 PPP [1] 14w5d: RADIUS: User-Name [1] 6 "test" 14w5d: RADIUS: User-Password [2] 18 * 14w5d: RADIUS: NAS-Port-Type [61] 6 Virtual [5] 14w5d: RADIUS: NAS-Port [5] 6 0 14w5d: RADIUS: NAS-Port-Id [87] 10 "0/0/2/99" 14w5d: RADIUS: Service-Type [6] 6 Framed [2] 14w5d: RADIUS: NAS-IP-Address [4] 6 10.10.10.2 14w5d: RADIUS: Received from id 1645/235 10.10.10.3:1812, Access-Accept, len 102 14w5d: RADIUS: authenticator A2 EE 13 D0 56 14 77 D4 - E8 C5 D2 50 98 77 99 4C 14w5d: RADIUS: Framed-IP-Netmask [9] 6 255.255.255.255 14w5d: RADIUS: Framed-IP-Address [8] 6 10.10.11.7 14w5d: RADIUS: Service-Type [6] 6 Framed [2] 14w5d: RADIUS: Framed-Protocol [7] 6 PPP [1] 14w5d: RADIUS: Framed-MTU [12] 6 1492 14w5d: RADIUS: Vendor, Cisco [26] 52 14w5d: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip vrf forwarding Local" 14w5d: RADIUS(000000FB): Received from id 1645/235 14w5d: ppp235 PPP: Received LOGIN Response PASS 14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up 14w5d: Vi3 PAP: O AUTH-ACK id 135 len 5 14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down Лог BGBilling: Type=AUTHENTICATION_REQUEST Attributes: User-Password=???""??B???-Y??] NAS-IP-Address=10.10.10.2 NAS-Port-Id=0/0/2/99 Service-Type=2 NAS-Port-Type=5 User-Name=test Framed-Protocol=1 NAS-Port=0 INFO 13.12.2007 12:18:38 AUTH: Type=AUTHENTICATION_REQUEST Attributes: User-Password=test NAS-IP-Address=10.10.10.2 NAS-Port-Id=0/0/2/99 Service-Type=2 NAS-Port-Type=5 User-Name=test Framed-Protocol=1 NAS-Port=0 INFO 13.12.2007 12:18:38 RESPONSE: Type=AUTHENTICATION_ACCEPT Process time:12 Attributes: Framed-IP-Netmask=255.255.255.255 Framed-IP-Address=10.10.11.7 Service-Type=2 Framed-Protocol=1 Framed-MTU=1492 cisco-avpair=lcp:interface-config=ip vrf forwarding Local В чем может быть проблема? |
|
| Автор: | lorks [ 13 дек 2007, 17:29 ] |
| Заголовок сообщения: | |
Админы! I need your help !!! |
|
| Автор: | lorks [ 15 дек 2007, 00:04 ] |
| Заголовок сообщения: | |
Есть уточнение. Похоже cisco не понимает cisco-avpair=lcp:interface-config=ip vrf forwarding. Если засунуть в соответствующий vrf интерфейс Virtual-Template, через который терминируется клиентский Virtual-Access интерфейс (на него навешивается через радиус cisco-avpair=), то все OK. Есть вариант навесить еще и Loopback unnumbered сразу на Virtual-Access. Тогда должно зацепиться. Но как это сделать в IPNRadius? У кого работает BGRadiusIPN не сочтите за труд - подсобите. |
|
| Автор: | lorks [ 15 дек 2007, 23:31 ] |
| Заголовок сообщения: | |
Нет - unnumbered не годиться, так как адрес у клиента должен быть. Может через атрибуты для алармов разные bba-group выбирать, тогда терминация будет через разные Virtual-Template и все будет OK... Похоже я сам с собой общаюсь - странновато для форума. 
|
|
| Автор: | blib [ 17 дек 2007, 13:33 ] |
| Заголовок сообщения: | |
во первых lcp:interface-config#1 во вторых рекомендуймый способ ip:vrf-id=<vrf-name> ip:ip-unnumbered=Loopback<n> потом подробнее что не работает? sh run inter virtual-access xxx что говорит? |
|
| Автор: | blib [ 17 дек 2007, 13:35 ] |
| Заголовок сообщения: | |
версия софта какая? |
|
| Автор: | lorks [ 17 дек 2007, 13:54 ] |
| Заголовок сообщения: | |
Version 12.4(9)T3 |
|
| Автор: | lorks [ 17 дек 2007, 14:14 ] |
| Заголовок сообщения: | |
BG - 4.1 |
|
| Автор: | lorks [ 17 дек 2007, 19:01 ] |
| Заголовок сообщения: | |
Ну как правильнее Vrf навесить это понятно, однако радиус IPN'овский делает это по своему усмотрению и через cisco-avpair=lcp:interface-config=ip vrf forwarding Local. Далее... sh int сделать ни как, ибо он поднимается и сразу падает... unnumbered навесился вот в таком виде: 15w2d: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip vrf forwarding Local" 15w2d: RADIUS: Vendor, Cisco [26] 46 15w2d: RADIUS: Cisco AVpair [1] 40 "ip:ip-unnumbered=GigabitEthernet0/2.100" 15w2d: RADIUS(00000461): Received from id 1645/48 15w2d: ppp88 PPP: Received LOGIN Response PASS 15w2d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up 15w2d: Vi3 CHAP: O SUCCESS id 1 len 4 15w2d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down Но результат тот же - Up/Down... blib, ежили не затруднит опишите рабочий вариант... Что на Virtual-Template? Что в атрибутах "Типы правил" в BG? |
|
| Автор: | Администратор [ 18 дек 2007, 13:02 ] |
| Заголовок сообщения: | |
А можете показать как передать атрибуты чтобы заработало? И например попробовать с FreeRadius, проверить работоспособность? |
|
| Автор: | blib [ 18 дек 2007, 13:14 ] |
| Заголовок сообщения: | |
мы не используем vrf для ppp, совсем. конфиг покажите полностью я посмотрю. а vrf то есть такой? именно Local он case-sensitive. |
|
| Автор: | lorks [ 18 дек 2007, 13:37 ] |
| Заголовок сообщения: | |
Теперь он такой (так как Virtual-Template1 жестко в vrf Local и ip unnumbered Loopback1, то все - OK): bba-group pppoe 1 virtual-template 1 ! ! interface Loopback1 ip vrf forwarding Local ip address 192.168.122.2 255.255.255.255 ip flow ingress ! ! interface GigabitEthernet0/2.96 description ---==== PPPoE TEST ====--- encapsulation dot1Q 96 ip vrf forwarding Local pppoe enable group 1 no cdp enable ! interface GigabitEthernet0/2.97 description ---==== OUT ====--- encapsulation dot1Q 97 ip vrf forwarding Local ip address 192.168.121.2 255.255.255.0 ip flow ingress no cdp enable ! ! interface Virtual-Template1 ip vrf forwarding Local ip unnumbered Loopback1 ppp authentication chap Eth ppp authorization Eth ppp accounting Eth-PPPoE ppp ipcp dns 10.10.10.1 ! Ежили убрать с Virtual-Template1 ip unnumbered Loopback1 и ip vrf forwarding Local и попытаться навесить их через радиус, то юзер авторизуется, но картина как ранее описывал: 14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up 14w5d: Vi3 PAP: O AUTH-ACK id 135 len 5 14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down |
|
| Автор: | lorks [ 18 дек 2007, 13:45 ] |
| Заголовок сообщения: | |
to Администратор: cisco на синтаксис вида ip:vrf-id=<vrf-name> ip:ip-unnumbered=Loopback<n> не ругается, но и не принимает. Это видно как в логах маршрутизатора, так и радиуса. Дописывал это дело в "Типы правил" в виде realm=default attributes=Service-Type=2;Framed-Protocol=1;Framed-IP-NetMask=255.255.255.255;Framed-MTU=1492;Cisco-AVPair=ip:ip-unnumbered=Loopback1 BG кажет сие: Type=AUTHENTICATION_ACCEPT Process time:1 Attributes: Framed-IP-Netmask=255.255.255.255 Framed-IP-Address=192.168.121.7 Service-Type=2 Framed-Protocol=1 Framed-MTU=1492 cisco-avpair=lcp:interface-config=ip vrf forwarding Local cisco-avpair=ip:ip-unnumbered=Loopback1 т.е. передается все правильно... |
|
| Автор: | lorks [ 18 дек 2007, 16:40 ] |
| Заголовок сообщения: | |
Неужели ни у кого это дело с vrf не используется? |
|
| Автор: | antp [ 19 дек 2007, 16:19 ] |
| Заголовок сообщения: | |
lorks писал(а): Неужели ни у кого это дело с vrf не используется?
Вот как работает у нас. Конфиг циски: Код: bba-group pppoe dataPVC virtual-template 35 ! interface Loopback35 ip vrf forwarding Internet ip address 77.233.164.254 255.255.255.128 ! interface GigabitEthernet0/1.635 description Data PVC encapsulation dot1Q 635 pppoe enable group dataPVC ! interface Virtual-Template35 ip unnumbered GigabitEthernet0/1.635 ip flow ingress ip flow egress mpls netflow egress no peer default ip address ppp authentication chap pap pppoe ppp authorization pppoe ! radius-server attribute 44 include-in-access-req radius-server attribute 188 format non-standard radius-server attribute 32 include-in-access-req radius-server attribute 30 original-called-number radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server configure-nas radius-server host x.x.x.x auth-port 1812 acct-port 1813 key 7 *** radius-server host x.x.x.x auth-port 1812 acct-port 1813 key 7 *** radius-server retransmit 1 radius-server directed-request radius-server vsa send accounting radius-server vsa send authentication В БГ: модуль "Выделенные каналы" (у нас mid=1), вкладка "Типы правил", создано правило "default": Код: realm=default attributes=Service-Type=2;Framed-Protocol=1;Framed-MTU=1492;Port-Limit=1;Cisco-AVPair=multilink:max-links=6;Cisco-AVPair=multilink:min-links=1;Cisco-AVPair=lcp:interface-config=ip unnumbered Loopback35 Там же, вкладка "Типы шлюзов", создан тип шлюза "pppoe_gw": Код: rule_type.editor.class=bitel.billing.module.services.ipn.editor.RadiusPPPoERuleTypeEditor
user_rule.editor.class=bitel.billing.module.services.ipn.editor.RadiusPPPoEContractRuleEditor gate_manager.class=bitel.billing.server.ipn.PPPoEGateWorker radius.host=127.0.0.1 radius.port=1955 vrf.1=Internet vrf.2=VoIP_MPLS Вкладка "Шлюзы" -- создать шлюз с ip совпадающим с source ip с циски для обращения к Radius, тип -- pppoe_gw. |
|
| Автор: | lorks [ 19 дек 2007, 21:46 ] |
| Заголовок сообщения: | |
to antp: Спасибо огромное за отклик! В таком варианте завелось. Думаю, что проблема была в конфиге маршрутизатора в сеции настроек radius-server. Конкретно пока не разобрался в чем. Кстате совсем не обязательно ip unnumbered GigabitEthernet0/1.635 на interface Virtual-Template35 Не понял зачем нужно это: Cisco-AVPair=multilink:max-links=6;Cisco-AVPair=multilink:min-links=1 Но проверил, что таким образом легко навесить все что угодно. Сделал rate-limit - отработал на раз. Т.о. можно несколько правил насочинять в BG и цеплять их на шлюз в договоре, что есть гуд. |
|
| Автор: | lorks [ 21 дек 2007, 13:55 ] |
| Заголовок сообщения: | |
antp, а зачем все-таки на на клиентский vi multilink вешаете? |
|
| Автор: | mrustik [ 20 фев 2008, 20:17 ] |
| Заголовок сообщения: | шлюз BGRadiusIPN - Падает вирт. интерфейс |
У меня точно такая же проблема, только действия, описанные выше не помагает, да и в логах радиуса не передается параметр Cisco-AVPair=lcp:interface-config=ip unnumbered Loopback1 может проясните ситуацию |
|
| Автор: | lorks [ 20 фев 2008, 20:35 ] |
| Заголовок сообщения: | |
В Типах правил в билинге покажите что у вас написано. |
|
| Автор: | mrustik [ 21 фев 2008, 09:34 ] |
| Заголовок сообщения: | |
realm=default attributes= Acct-Interim-Interval = 60; Service-Type = 2; Framed-Protocol = 1; Framed-Compression =1; Framed-MTU=1492; Port-Limit=1; Cisco-AVPair=lcp:interface-config=ip unnumbered Loopback1 Но даже если правило вида realm=test и больше ничего, то результат одинаковый |
|
| Автор: | lorks [ 22 фев 2008, 16:26 ] |
| Заголовок сообщения: | |
В договоре-то REALM и vrf верные выбраны? Если в логе IPN-радиуса пусто, то вероятней всего cisco недонастроен.. Посмотрите конфиг от antp по части радиус-атрибутов.. У меня в таком варианте все заработало. cisco что пишет в логе? На то, что нет ответа от радиуса не ругается? |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|