BiTel

Собственно по теме:

Создан договор, ему назначен шлюз BGRadiusIPN, в шлюзе назначен реалм default, vrf Local (пойдет через нат.

Юзер цепляется, проходит автортзацию, поднимается виртуальный интерфейс и тут же падает.

Лог рутера:

14w5d: ppp235 PPP: Using default call direction
14w5d: ppp235 PPP: Treating connection as a dedicated line
14w5d: ppp235 PPP: Session handle[1800013A] Session id[235]
14w5d: ppp235 PPP: Authorization required
14w5d: ppp235 PAP: I AUTH-REQ id 135 len 14 from "test"
14w5d: ppp235 PAP: Authenticating peer test
14w5d: ppp235 PPP: Sent PAP LOGIN Request
14w5d: RADIUS/ENCODE(000000FB):Orig. component type = PPoE
14w5d: RADIUS: AAA Unsupported Attr: client-mac-address[32] 14
14w5d: RADIUS: 30 30 31 33 2E 38 66 63 37 2E 66 61 [0013.8fc7.fa]
14w5d: RADIUS: AAA Unsupported Attr: interface [158] 8
14w5d: RADIUS: 30 2F 30 2F 32 2F [0/0/2/]
14w5d: RADIUS(000000FB): Config NAS IP: 10.10.10.2
14w5d: RADIUS/ENCODE(000000FB): acct_session_id: 250
14w5d: RADIUS(000000FB): sending
14w5d: RADIUS(000000FB): Send Access-Request to 10.10.10.3:1812 id 1645/235, len 84
14w5d: RADIUS: authenticator 20 F6 9E 96 6F F3 50 31 - 78 B7 D9 EF 4D A5 65 6A
14w5d: RADIUS: Framed-Protocol [7] 6 PPP [1]
14w5d: RADIUS: User-Name [1] 6 "test"
14w5d: RADIUS: User-Password [2] 18 *
14w5d: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
14w5d: RADIUS: NAS-Port [5] 6 0
14w5d: RADIUS: NAS-Port-Id [87] 10 "0/0/2/99"
14w5d: RADIUS: Service-Type [6] 6 Framed [2]
14w5d: RADIUS: NAS-IP-Address [4] 6 10.10.10.2
14w5d: RADIUS: Received from id 1645/235 10.10.10.3:1812, Access-Accept, len 102
14w5d: RADIUS: authenticator A2 EE 13 D0 56 14 77 D4 - E8 C5 D2 50 98 77 99 4C
14w5d: RADIUS: Framed-IP-Netmask [9] 6 255.255.255.255
14w5d: RADIUS: Framed-IP-Address [8] 6 10.10.11.7
14w5d: RADIUS: Service-Type [6] 6 Framed [2]
14w5d: RADIUS: Framed-Protocol [7] 6 PPP [1]
14w5d: RADIUS: Framed-MTU [12] 6 1492
14w5d: RADIUS: Vendor, Cisco [26] 52
14w5d: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip vrf forwarding Local"
14w5d: RADIUS(000000FB): Received from id 1645/235
14w5d: ppp235 PPP: Received LOGIN Response PASS
14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
14w5d: Vi3 PAP: O AUTH-ACK id 135 len 5
14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down

Лог BGBilling:

Type=AUTHENTICATION_REQUEST
Attributes:
User-Password=???""??B???-Y??]
NAS-IP-Address=10.10.10.2
NAS-Port-Id=0/0/2/99
Service-Type=2
NAS-Port-Type=5
User-Name=test
Framed-Protocol=1
NAS-Port=0

INFO 13.12.2007 12:18:38 AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Password=test
NAS-IP-Address=10.10.10.2
NAS-Port-Id=0/0/2/99
Service-Type=2
NAS-Port-Type=5
User-Name=test
Framed-Protocol=1
NAS-Port=0

INFO 13.12.2007 12:18:38 RESPONSE:
Type=AUTHENTICATION_ACCEPT
Process time:12
Attributes:
Framed-IP-Netmask=255.255.255.255
Framed-IP-Address=10.10.11.7
Service-Type=2
Framed-Protocol=1
Framed-MTU=1492
cisco-avpair=lcp:interface-config=ip vrf forwarding Local

В чем может быть проблема?

Админы!

I need your help !!!

Есть уточнение.

Похоже cisco не понимает cisco-avpair=lcp:interface-config=ip vrf forwarding.

Если засунуть в соответствующий vrf интерфейс Virtual-Template, через который терминируется клиентский Virtual-Access интерфейс (на него навешивается через радиус cisco-avpair=), то все OK.

Есть вариант навесить еще и Loopback unnumbered сразу на Virtual-Access.
Тогда должно зацепиться.

Но как это сделать в IPNRadius?

У кого работает BGRadiusIPN не сочтите за труд - подсобите.

Нет - unnumbered не годиться, так как адрес у клиента должен быть.
Может через атрибуты для алармов разные bba-group выбирать, тогда терминация будет через разные Virtual-Template и все будет OK...

Похоже я сам с собой общаюсь - странновато для форума.

во первых lcp:interface-config#1

во вторых рекомендуймый способ ip:vrf-id=<vrf-name>
ip:ip-unnumbered=Loopback<n>

потом подробнее что не работает?

sh run inter virtual-access xxx что говорит?

версия софта какая?

Version 12.4(9)T3

BG - 4.1

Ну как правильнее Vrf навесить это понятно, однако радиус IPN'овский делает это по своему усмотрению и через cisco-avpair=lcp:interface-config=ip vrf forwarding Local.

Далее...

sh int сделать ни как, ибо он поднимается и сразу падает...

unnumbered навесился вот в таком виде:

15w2d: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip vrf forwarding Local"
15w2d: RADIUS: Vendor, Cisco [26] 46
15w2d: RADIUS: Cisco AVpair [1] 40 "ip:ip-unnumbered=GigabitEthernet0/2.100"
15w2d: RADIUS(00000461): Received from id 1645/48
15w2d: ppp88 PPP: Received LOGIN Response PASS
15w2d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
15w2d: Vi3 CHAP: O SUCCESS id 1 len 4
15w2d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down

Но результат тот же - Up/Down...

blib, ежили не затруднит опишите рабочий вариант...
Что на Virtual-Template?
Что в атрибутах "Типы правил" в BG?

А можете показать как передать атрибуты чтобы заработало? И например попробовать с FreeRadius, проверить работоспособность?

мы не используем vrf для ppp, совсем.
конфиг покажите полностью я посмотрю.
а vrf то есть такой?
именно Local он case-sensitive.

Теперь он такой (так как Virtual-Template1 жестко в vrf Local и ip unnumbered Loopback1, то все - OK):

bba-group pppoe 1
virtual-template 1
!
!
interface Loopback1
ip vrf forwarding Local
ip address 192.168.122.2 255.255.255.255
ip flow ingress
!
!
interface GigabitEthernet0/2.96
description ---==== PPPoE TEST ====---
encapsulation dot1Q 96
ip vrf forwarding Local
pppoe enable group 1
no cdp enable
!
interface GigabitEthernet0/2.97
description ---==== OUT ====---
encapsulation dot1Q 97
ip vrf forwarding Local
ip address 192.168.121.2 255.255.255.0
ip flow ingress
no cdp enable
!
!
interface Virtual-Template1
ip vrf forwarding Local
ip unnumbered Loopback1
ppp authentication chap Eth
ppp authorization Eth
ppp accounting Eth-PPPoE
ppp ipcp dns 10.10.10.1
!
Ежили убрать с Virtual-Template1 ip unnumbered Loopback1 и ip vrf forwarding Local и попытаться навесить их через радиус, то юзер авторизуется, но картина как ранее описывал:
14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
14w5d: Vi3 PAP: O AUTH-ACK id 135 len 5
14w5d: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down

to Администратор:

cisco на синтаксис вида
ip:vrf-id=<vrf-name>
ip:ip-unnumbered=Loopback<n>
не ругается, но и не принимает.
Это видно как в логах маршрутизатора, так и радиуса.

Дописывал это дело в "Типы правил" в виде realm=default
attributes=Service-Type=2;Framed-Protocol=1;Framed-IP-NetMask=255.255.255.255;Framed-MTU=1492;Cisco-AVPair=ip:ip-unnumbered=Loopback1

BG кажет сие:
Type=AUTHENTICATION_ACCEPT
Process time:1
Attributes:
Framed-IP-Netmask=255.255.255.255
Framed-IP-Address=192.168.121.7
Service-Type=2
Framed-Protocol=1
Framed-MTU=1492
cisco-avpair=lcp:interface-config=ip vrf forwarding Local
cisco-avpair=ip:ip-unnumbered=Loopback1

т.е. передается все правильно...

Неужели ни у кого это дело с vrf не используется?

Вот как работает у нас.

Конфиг циски:


В БГ: модуль "Выделенные каналы" (у нас mid=1), вкладка "Типы правил", создано правило "default":


Там же, вкладка "Типы шлюзов", создан тип шлюза "pppoe_gw":


Вкладка "Шлюзы" -- создать шлюз с ip совпадающим с source ip с циски для обращения к Radius, тип -- pppoe_gw.

to antp:

Спасибо огромное за отклик!

В таком варианте завелось.

Думаю, что проблема была в конфиге маршрутизатора в сеции настроек radius-server.
Конкретно пока не разобрался в чем.

Кстате совсем не обязательно ip unnumbered GigabitEthernet0/1.635 на
interface Virtual-Template35

Не понял зачем нужно это:
Cisco-AVPair=multilink:max-links=6;Cisco-AVPair=multilink:min-links=1

Но проверил, что таким образом легко навесить все что угодно.
Сделал rate-limit - отработал на раз.

Т.о. можно несколько правил насочинять в BG и цеплять их на шлюз в договоре, что есть гуд.

antp, а зачем все-таки на на клиентский vi multilink вешаете?

У меня точно такая же проблема, только действия, описанные выше не помагает, да и в логах радиуса не передается параметр
Cisco-AVPair=lcp:interface-config=ip unnumbered Loopback1
может проясните ситуацию

В Типах правил в билинге покажите что у вас написано.

realm=default
attributes= Acct-Interim-Interval = 60; Service-Type = 2; Framed-Protocol = 1; Framed-Compression =1; Framed-MTU=1492; Port-Limit=1; Cisco-AVPair=lcp:interface-config=ip unnumbered Loopback1
Но даже если правило вида
realm=test и больше ничего, то результат одинаковый

В договоре-то REALM и vrf верные выбраны?

Если в логе IPN-радиуса пусто, то вероятней всего cisco недонастроен..

Посмотрите конфиг от antp по части радиус-атрибутов..

У меня в таком варианте все заработало.

cisco что пишет в логе?
На то, что нет ответа от радиуса не ругается?