The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как назначить каждому пользователю уникальный IP?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 12-Июн-03, 20:24  (MSK)
Есть Cisco 3640 с модулем аналоговых модемов. На асинхронных интерфейсах настроен РРР. Что надо сделать, чтобы каждому позвонившему пользователю выдавался уникальный IP-адрес(т.е., чтобы определенному пользователю всегда выдавался его определенный IP)?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 12-Июн-03, 22:13  (MSK)
Привет,

>Есть Cisco 3640 с модулем аналоговых модемов. На асинхронных интерфейсах настроен РРР.
>Что надо сделать, чтобы каждому позвонившему пользователю выдавался уникальный IP-адрес(т.е., чтобы
>определенному пользователю всегда выдавался его определенный IP)?

1. Запускаеш RADIUS.

2. После верификации имени и пароля, RADIUS сервер высылает Cisco тот IP адрес, который соответствует имени. Для этого используется аттрибут "Framed-IP-Address = xxx.xxx.xxx.xxx".

WWell,

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от A Clockwork Orange Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 13-Июн-03, 09:36  (MSK)
>Привет,
>
>>Есть Cisco 3640 с модулем аналоговых модемов. На асинхронных интерфейсах настроен РРР.
>>Что надо сделать, чтобы каждому позвонившему пользователю выдавался уникальный IP-адрес(т.е., чтобы
>>определенному пользователю всегда выдавался его определенный IP)?
>
>1. Запускаеш RADIUS.
>
>2. После верификации имени и пароля, RADIUS сервер высылает Cisco тот IP
>адрес, который соответствует имени. Для этого используется аттрибут "Framed-IP-Address = xxx.xxx.xxx.xxx".
>
>
>WWell,

А где про радиус по-поробнее можно?
И какой из них предпочтительнее?!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от Alexander emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 13-Июн-03, 09:41  (MSK)
>>Привет,

    И тебе привет ;)

>
>А где про радиус по-поробнее можно?
>И какой из них предпочтительнее?!


http://www.google.com.ua/search?q=ic-radius&ie=UTF-8&oe=UTF-8&hl=uk&btnG=п÷п╬я┬я┐п╨+я┐+Google&meta=

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 13-Июн-03, 12:35  (MSK)
>А где про радиус по-поробнее можно?
>И какой из них предпочтительнее?!

RADIUS-ов много, большенство из них опираются на разработках Cistron (www.cistron.nl).

Я лично предпочитаю XtRadius по той причине, что онподдерживает внешнюю верификацию - т.е. при поступление имени и пароля, он вызывает внешний скрипт (или программу) и ждет от нее только одного - получить exit code "0" (заявка прошла) или что угодно другое - заявка не прошла. Если внешний скрипт вернет какю-нибудь пару типа "аттрибут = стоимость", то она автоматически передается клиенту (Cisco). Скажем, у муня вся верификация построена на внешних Perl скриптах - и в конце стоито только :

$static_ip = "123.123.123.123"
print "Framed-IP-Address = $static_ip\n";
exit(0);

Скачать XtRadius можно с http://xtradius.sourceforge.net/ .

WWell,

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от LS emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 14-Июн-03, 04:27  (MSK)
>>А где про радиус по-поробнее можно?
>>И какой из них предпочтительнее?!
>
>RADIUS-ов много, большенство из них опираются на разработках Cistron (www.cistron.nl).
>
>Я лично предпочитаю XtRadius по той причине, что онподдерживает внешнюю верификацию -
>т.е. при поступление имени и пароля, он вызывает внешний скрипт (или
>программу) и ждет от нее только одного - получить exit code
>"0" (заявка прошла) или что угодно другое - заявка не прошла.
>Если внешний скрипт вернет какю-нибудь пару типа "аттрибут = стоимость", то
>она автоматически передается клиенту (Cisco). Скажем, у муня вся верификация построена
>на внешних Perl скриптах - и в конце стоито только :
>
>
>$static_ip = "123.123.123.123"
>print "Framed-IP-Address = $static_ip\n";
>exit(0);
>
>Скачать XtRadius можно с http://xtradius.sourceforge.net/ .
>
>WWell,

Душу греет - никогда не замечал чтобы кто-то еще здесь про xtrad говорил (кроме меня). я с тобой солидарен - очень хорошая штука!


PS не видит народ своего счастья ;-))
PPS к автору - да - radius, tacacs

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 14-Июн-03, 14:41  (MSK)
...
>>Скачать XtRadius можно с http://xtradius.sourceforge.net/ .
>>
>>WWell,
>
>Душу греет - никогда не замечал чтобы кто-то еще здесь про xtrad
>говорил (кроме меня). я с тобой солидарен - очень хорошая штука!
...
>PS не видит народ своего счастья ;-))
>PPS к автору - да - radius, tacacs
Спасибо всем за советы - буду пробовать!
Хотелось бы уточнить - в документации написано, что при ррр-соединении присвоение адреса удаленному хосту может быть сделано четырьмя способами:
- статический(peer default ip address)
- через DHCP
- из локального пула адресов
- из глобального пула адресов

Какой вариант должен быть указан в случае раздачи через tacacs/radius сервер?
И еще(не хочу показаться навязчивым, но ;)  - привязка IP к пользователю возможна только через tacacs/radius? Т.е. других способов нет(просто не очень хочется включать в это дело еще одну машину - ведь если она вдруг ляжет, то вся эта кухня работать перестанет)?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от LS emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Июн-03, 16:12  (MSK)
>...
>>>Скачать XtRadius можно с http://xtradius.sourceforge.net/ .
>>>
>>>WWell,
>>
>>Душу греет - никогда не замечал чтобы кто-то еще здесь про xtrad
>>говорил (кроме меня). я с тобой солидарен - очень хорошая штука!
>...
>>PS не видит народ своего счастья ;-))
>>PPS к автору - да - radius, tacacs
>Спасибо всем за советы - буду пробовать!
>Хотелось бы уточнить - в документации написано, что при ррр-соединении присвоение адреса
>удаленному хосту может быть сделано четырьмя способами:
>- статический(peer default ip address)
>- через DHCP
>- из локального пула адресов
>- из глобального пула адресов
>
>Какой вариант должен быть указан в случае раздачи через tacacs/radius сервер?
>И еще(не хочу показаться навязчивым, но ;)  - привязка IP к
>пользователю возможна только через tacacs/radius? Т.е. других способов нет(просто не очень
>хочется включать в это дело еще одну машину - ведь если
>она вдруг ляжет, то вся эта кухня работать перестанет)?

ну "лечь" все что угодно может - делай так, чтоб не "лежало" ;-). к тому же деньги с диалапщиков берутся как правило не за трафик а за время, и учет этого времени (остаток средств на счете пользователя, etc) обычно ведется ч/з тот же радиус. так что если он загнулся, то какой смысл клиентов на халяву в интернет пускать?

авторизация дилапщиков через радиус/такакс самый удобный способ. адрес для пользователя на основании его логина и других параметров (например телефонный номер, с которого пришел вызов) в этом случае выдается такой, какой скажешь при настройке радиус - на циске даже никаких пулов прописывать не обязательно (см. в ответах выше пару - framed-ip-address = IP.IP.IP.IP). а можно указать имя локального пула на циске (из которого клиент получит адрес) или не указывать вообще ничего (будет использован локальный default пул). вобщем как захочешь - так и настроишь ;-)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Июн-03, 21:24  (MSK)
...
>ну "лечь" все что угодно может - делай так, чтоб не "лежало"
>;-). к тому же деньги с диалапщиков берутся как правило не
>за трафик а за время, и учет этого времени (остаток средств
>на счете пользователя, etc) обычно ведется ч/з тот же радиус. так
>что если он загнулся, то какой смысл клиентов на халяву в
>интернет пускать?
>
>авторизация дилапщиков через радиус/такакс самый удобный способ. адрес для пользователя на основании
>его логина и других параметров (например телефонный номер, с которого пришел
>вызов) в этом случае выдается такой, какой скажешь при настройке радиус
>- на циске даже никаких пулов прописывать не обязательно (см. в
>ответах выше пару - framed-ip-address = IP.IP.IP.IP). а можно указать имя
>локального пула на циске (из которого клиент получит адрес) или не
>указывать вообще ничего (будет использован локальный default пул). вобщем как захочешь
>- так и настроишь ;-)

Ok, спасибо. Будем делать так, чтоб не "лежало" ;)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 16-Июн-03, 10:45  (MSK)
Привет,

По поводу авторизации: вообще-то существует (довольно безумное на мой взгляд решение), когда всех абонентов можно расписать по именам и паролям не в RADIUS сервере, а на самом Cisco. Конечно, в этом случае добавить user или заменить пароль - одна макабра, но в принципе работает. Так можно уйти от проблемы с "лежанием" RADIUS сервера.

По поводу присвоения адреса: если полязоватьса пулом, то пул может быть на Cisco или на RADIUS сервере - как тебе удобнее. В обоих случаях однако пул - динамический, т.е. RADIUDS или Cisco берет первый попавшийся свободный адрес и дает его авторизираному user-у, несмотря на имя. Вариант с DHCP есть, но это опять значит отдельная машина... мне в практике не приходилось такое запускать. Так что... я бы все-таки обратилься к RADIUS-у. Кстати, еслу много user-ов и каждому давать статический IP, то это может не понравиться uplink-у или RIPE :)

WWell,

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-03, 09:16  (MSK)
>Есть Cisco 3640 с модулем аналоговых модемов. На асинхронных интерфейсах настроен РРР.
>Что надо сделать, чтобы каждому позвонившему пользователю выдавался уникальный IP-адрес(т.е., чтобы
>определенному пользователю всегда выдавался его определенный IP)?
...
Я все сделал, как советовали, настроил tacacs, но Cisco не хочет назначать указанный в конфиге tacacs'a адрес - маршрутизатор либо назначает сам через peer default ip address, либо(по умолчанию) берет ip-адрес работающего интерфейса у пользователя(у меня берет адрес eth0). Чего уже только не пробовал.
Что я делаю неправильно? :(

Конфиг Cisco:
aaa new-model
aaa authentication ppp auth-list1 group tacacs+ local
aaa authorization network atz-list1 group tacacs+
aaa accounting network list1 start-stop group tacacs+
...
interface Async103
ip unnumbered Ethernet0/0.5
encapsulation ppp
no ip mroute-cache
dialer in-band
async mode dedicated
peer default ip address 172.16.152.103
ppp callback accept
ppp authentication chap auth-list1
ppp authorization atz-list1
ppp accounting list1

Конфиг tacacs:
user = test {
    login = cleartext test
    chap = cleartext "test"
    service = ppp protocol = ip {addr=172.16.152.150}

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-03, 13:08  (MSK)
Привет,

>Есть Cisco 3640 с модулем аналоговых модемов.

К нему, должн обыть, привязан PRI?

TACACS у тебя вроде бы правильно, хотя там должна быть еще одна скобка, т.е.

user = "static" {
   ...
   service = ppp protocol = ip {
      addr="172.20.1.1"
   }
}

Сведи конфиг Киски к минимуму:

aaa new-modem
aaa authentication ppp default TACACS+
aaa authorization network TACACS+
!
interface Async103
ip unnumbered Ethernet0
encapsulation ppp
ppp authentication chap

Это взято из http://www.de.easynet.net/tacacs-faq/tacacs-faq-19.html

По-моему, можешь убрать peer default и все такое - Cisco сам об этом позаботится. Кстати, поскольку у тебя написано Async103, если много модемов, то лучше оформить группу - тогда конфиг станет намного проще.

У меня на 5200 стоят Е-1 контроллеры (итого 60 линий), у которых:

controller E1 0
clock source line primary
pri-group timeslots 1-31
!
interface Serial0:15
ip unnumbered Ethernet0
no ip directed-broadcast
encapsulation ppp
dialer-group 1
no cdp enable
ppp authentication pap
!
interface Group-Async0
ip unnumbered Ethernet0
no ip directed-broadcast
encapsulation ppp
ip tcp header-compression passive
async mode interactive
priority-group 1
no cdp enable
ppp reliable-link
ppp authentication pap
group-range 1 60
hold-queue 10 in
!
interface Dialer0
ip unnumbered Ethernet0
no ip directed-broadcast
encapsulation ppp
dialer in-band
dialer-group 1
no fair-queue
no cdp enable
ppp authentication pap
!
line 1 60
session-timeout 7200  output
autoselect ppp
modem InOut
modem autoconfigure discovery
transport input all

Если у тебя ISDN клиенты, можно еще кое-что поднастроить...

WWell,

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-03, 13:35  (MSK)
>Привет,
>
>>Есть Cisco 3640 с модулем аналоговых модемов.
>
>К нему, должн обыть, привязан PRI?
Нет просто модуль аналоговых модемов - NM-8А - так, вроде, называется.

>TACACS у тебя вроде бы правильно, хотя там должна быть еще одна
>скобка, т.е.
Скобка есть, при неправильном конфиге tacacs бы вообще не запустился.

>Сведи конфиг Киски к минимуму:
>
>aaa new-modem
>aaa authentication ppp default TACACS+
>aaa authorization network TACACS+
>!
>interface Async103
> ip unnumbered Ethernet0
> encapsulation ppp
> ppp authentication chap
Мне бы по минимуму нежелательно ;) - на других интерфейсах работают пользователи, и если я им врублю аутентификацию, а у работающего в этот момент tacacs'a не будет соотв. учетных записей - пользователи не войдут.

>По-моему, можешь убрать peer default и все такое - Cisco сам об
>этом позаботится.
Если не указывать адрес по умолчанию, адрес берется из локального пула. Поскольку у меня он не задан, Cisco соединяет меня вообще по адресу моего "eth0". Результат опять-таки не тот ;(

Кстати, поскольку у тебя написано Async103, если много модемов,
>то лучше оформить группу - тогда конфиг станет намного проще.
Не, модемов мало, это просто номера такие;группа, соотв-но не нужна.
..

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от LS Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-03, 18:59  (MSK)
>>Есть Cisco 3640 с модулем аналоговых модемов. На асинхронных интерфейсах настроен РРР.
>>Что надо сделать, чтобы каждому позвонившему пользователю выдавался уникальный IP-адрес(т.е., чтобы
>>определенному пользователю всегда выдавался его определенный IP)?
>...
>Я все сделал, как советовали, настроил tacacs, но Cisco не хочет назначать
>указанный в конфиге tacacs'a адрес - маршрутизатор либо назначает сам через
>peer default ip address, либо(по умолчанию) берет ip-адрес работающего интерфейса у
>пользователя(у меня берет адрес eth0). Чего уже только не пробовал.
>Что я делаю неправильно? :(
>
>Конфиг Cisco:
>aaa new-model
>aaa authentication ppp auth-list1 group tacacs+ local
>aaa authorization network atz-list1 group tacacs+
>aaa accounting network list1 start-stop group tacacs+
>...
>interface Async103
> ip unnumbered Ethernet0/0.5
> encapsulation ppp
> no ip mroute-cache
> dialer in-band
> async mode dedicated
> peer default ip address 172.16.152.103


попробуй:
  peer default ip address pool test

и пропиши в этот пул адреса, которые через такакс раздавать собираешься (это уже в режиме config, а не config-if):

  ip local pool test minIP.minIP.minIP.minIP maxIP.maxIP.maxIP.maxIP

> ppp callback accept
> ppp authentication chap auth-list1
> ppp authorization atz-list1
> ppp accounting list1
>
>Конфиг tacacs:
>user = test {
>    login = cleartext test
>    chap = cleartext "test"
>    service = ppp protocol = ip {addr=172.16.152.150}

насчет самого такакса не подскажу, не помню его уже - последнее время только радиус использую. вполне возможно, что адрес, который ты пытаешься присвоить, должен быть описан в пуле самого tacacs-сервера.

PS можно дебаг такакса на циске включить и посмотреть, что происходит.  возможно IP от так-сервера вообще не передается, а может еще что интересного происходит при авторизации.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 18-Июн-03, 10:09  (MSK)
>попробуй:
>  peer default ip address pool test
>
>и пропиши в этот пул адреса, которые через такакс раздавать собираешься (это
>уже в режиме config, а не config-if):
>
>  ip local pool test minIP.minIP.minIP.minIP maxIP.maxIP.maxIP.maxIP
Я попробовал - теперь маршрутизатор выдает адреса из этого локального пула, по-прежнему игнорируя адрес из учетной записи в tacacs'e.
>насчет самого такакса не подскажу, не помню его уже - последнее время
>только радиус использую. вполне возможно, что адрес, который ты пытаешься присвоить,
>должен быть описан в пуле самого tacacs-сервера.
В том то и дело, что пул можно и на Cisco настроить. Мне надо, чтобы пользователю сопоставлялся один-единственный IP, намертво к этому пользователю привязанный.
>PS можно дебаг такакса на циске включить и посмотреть, что происходит.  
>возможно IP от так-сервера вообще не передается, а может еще что
>интересного происходит при авторизации.
Ежели чем поможет(я ничего интересного не заметил):
(на интерфейсе выставлен peer default ip address 172.16.152.103)

Лог сессии на Cisco:

*Mar  8 02:11:11.705: %LINK-3-UPDOWN: Interface Async103, changed state to up
*Mar  8 02:11:12.441: As103 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Mar  8 02:11:12.693: AAA: parse name=Async103 idb type=10 tty=103
*Mar  8 02:11:12.693: AAA: name=Async103 flags=0x11 type=4 shelf=0 slot=0 adapter=0 port=103 channel=0
*Mar  8 02:11:12.693: AAA/MEMORY: create_user (0x61A3BBF8) user='test' ruser='' port='Async103' rem_addr='async' authen_type=CHAP service=PPP priv=1
*Mar  8 02:11:12.693: AAA/AUTHEN/START (3869925838): port='Async103' list='auth-list1' action=LOGIN service=PPP
*Mar  8 02:11:12.693: AAA/AUTHEN/START (3869925838): found list auth-list1
*Mar  8 02:11:12.693: AAA/AUTHEN/START (3869925838): Method=tacacs+ (tacacs+)
*Mar  8 02:11:12.693: TAC+: send AUTHEN/START packet ver=193 id=3869925838
*Mar  8 02:11:12.897: TAC+: ver=193 id=3869925838 received AUTHEN status = PASS
*Mar  8 02:11:12.897: AAA/AUTHEN (3869925838): status = PASS
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP: Authorize LCP
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP (275103343): Port='Async103' list='atz-list1' service=NET
*Mar  8 02:11:12.897: AAA/AUTHOR/LCP: As103 (275103343) user='test'
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP (275103343): send AV service=ppp
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP (275103343): send AV protocol=lcp
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP (275103343): found list "atz-list1"
*Mar  8 02:11:12.897: As103 AAA/AUTHOR/LCP (275103343): Method=tacacs+ (tacacs+)
*Mar  8 02:11:12.897: AAA/AUTHOR/TAC+: (275103343): user=test
*Mar  8 02:11:12.897: AAA/AUTHOR/TAC+: (275103343): send AV service=ppp
*Mar  8 02:11:12.897: AAA/AUTHOR/TAC+: (275103343): send AV protocol=lcp
*Mar  8 02:11:13.101: TAC+: (275103343): received author response status = PASS_ADD
*Mar  8 02:11:13.101: As103 AAA/AUTHOR (275103343): Post authorization status = PASS_ADD
*Mar  8 02:11:13.101: As103 AAA/AUTHOR/FSM: (0): Can we start IPCP?
*Mar  8 02:11:13.101: As103 AAA/AUTHOR/FSM (3356127940): Port='Async103' list='atz-list1' service=NET
*Mar  8 02:11:13.101: AAA/AUTHOR/FSM: As103 (3356127940) user='test'
*Mar  8 02:11:13.105: As103 AAA/AUTHOR/FSM (3356127940): send AV service=ppp
*Mar  8 02:11:13.105: As103 AAA/AUTHOR/FSM (3356127940): send AV protocol=ip
*Mar  8 02:11:13.105: As103 AAA/AUTHOR/FSM (3356127940): found list "atz-list1"
*Mar  8 02:11:13.105: As103 AAA/AUTHOR/FSM (3356127940): Method=tacacs+ (tacacs+)
*Mar  8 02:11:13.105: AAA/AUTHOR/TAC+: (3356127940): user=test
*Mar  8 02:11:13.105: AAA/AUTHOR/TAC+: (3356127940): send AV service=ppp
*Mar  8 02:11:13.105: AAA/AUTHOR/TAC+: (3356127940): send AV protocol=ip
*Mar  8 02:11:13.309: TAC+: (3356127940): received author response status = PASS_ADD
*Mar  8 02:11:13.309: As103 AAA/AUTHOR (3356127940): Post authorization status = PASS_ADD
*Mar  8 02:11:13.309: As103 AAA/AUTHOR/FSM: We can start IPCP
*Mar  8 02:11:13.309: As103 AAA/AUTHOR/FSM: (0): Can we start CDPCP?
*Mar  8 02:11:13.309: As103 AAA/AUTHOR/FSM (1402623645): Port='Async103' list='atz-list1' service=NET
*Mar  8 02:11:13.313: AAA/AUTHOR/FSM: As103 (1402623645) user='test'
*Mar  8 02:11:13.313: As103 AAA/AUTHOR/FSM (1402623645): send AV service=ppp
*Mar  8 02:11:13.313: As103 AAA/AUTHOR/FSM (1402623645): send AV protocol=cdp
*Mar  8 02:11:13.313: As103 AAA/AUTHOR/FSM (1402623645): found list "atz-list1"
*Mar  8 02:11:13.313: As103 AAA/AUTHOR/FSM (1402623645): Method=tacacs+ (tacacs+)
*Mar  8 02:11:13.313: AAA/AUTHOR/TAC+: (1402623645): user=test
*Mar  8 02:11:13.313: AAA/AUTHOR/TAC+: (1402623645): send AV service=ppp
*Mar  8 02:11:13.313: AAA/AUTHOR/TAC+: (1402623645): send AV protocol=cdp
*Mar  8 02:11:13.517: TAC+: (1402623645): received author response status = FAIL
*Mar  8 02:11:13.517: As103 AAA/AUTHOR (1402623645): Post authorization status = FAIL
*Mar  8 02:11:13.517: As103 AAA/AUTHOR/FSM: We cannot start CDPCP
*Mar  8 02:11:14.101: %LINEPROTO-5-UPDOWN: Line protocol on Interface Async103, changed state to up
*Mar  8 02:11:16.205: As103 AAA/AUTHOR/IPCP: Start.  Her address 10.4.152.212, we want 172.16.152.103
     ^^^^^^^^^^^^^^^^^^^^^^ тут Cisco предлагает свой номер, хотя должен быть номер tacacs'a, по-моему
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): Port='Async103' list='atz-list1' service=NET
*Mar  8 02:11:16.209: AAA/AUTHOR/IPCP: As103 (3550118391) user='test'
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): send AV service=ppp
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): send AV protocol=ip
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): send AV addr*10.4.152.212
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): found list "atz-list1"
*Mar  8 02:11:16.209: As103 AAA/AUTHOR/IPCP (3550118391): Method=tacacs+ (tacacs+)
*Mar  8 02:11:16.209: AAA/AUTHOR/TAC+: (3550118391): user=test
*Mar  8 02:11:16.209: AAA/AUTHOR/TAC+: (3550118391): send AV service=ppp
*Mar  8 02:11:16.209: AAA/AUTHOR/TAC+: (3550118391): send AV protocol=ip
*Mar  8 02:11:16.209: AAA/AUTHOR/TAC+: (3550118391): send AV addr*10.4.152.212
*Mar  8 02:11:16.413: TAC+: (3550118391): received author response status = PASS_REPL
*Mar  8 02:11:16.413: As103 AAA/AUTHOR (3550118391): Post authorization status = PASS_REPL
*Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Reject 10.4.152.212, using 172.16.152.103 *Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Processing AV protocol=ip
*Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Processing AV addr*172.16.152.103
*Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  8 02:11:16.413: As103 AAA/AUTHOR/IPCP: Done.  Her address 10.4.152.212, we want 172.16.152.103
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP: Start.  Her address 10.4.152.212, we want 172.16.152.103
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): Port='Async103' list='atz-list1' service=NET
*Mar  8 02:11:16.517: AAA/AUTHOR/IPCP: As103 (4172506047) user='test'
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): send AV service=ppp
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): send AV protocol=ip
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): send AV addr*10.4.152.212
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): found list "atz-list1"
*Mar  8 02:11:16.517: As103 AAA/AUTHOR/IPCP (4172506047): Method=tacacs+ (tacacs+)
*Mar  8 02:11:16.521: AAA/AUTHOR/TAC+: (4172506047): user=test
*Mar  8 02:11:16.521: AAA/AUTHOR/TAC+: (4172506047): send AV service=ppp
*Mar  8 02:11:16.521: AAA/AUTHOR/TAC+: (4172506047): send AV protocol=ip
*Mar  8 02:11:16.521: AAA/AUTHOR/TAC+: (4172506047): send AV addr*10.4.152.212
*Mar  8 02:11:16.725: TAC+: (4172506047): received author response status = PASS_REPL
*Mar  8 02:11:16.725: As103 AAA/AUTHOR (4172506047): Post authorization status = PASS_REPL
*Mar  8 02:11:16.725: As103 AAA/AUTHOR/IPCP: Reject 10.4.152.212, using 172.16.152.103
*Mar  8 02:11:16.725: As103 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  8 02:11:16.725: As103 AAA/AUTHOR/IPCP: Processing AV protocol=ip
*Mar  8 02:11:16.729: As103 AAA/AUTHOR/IPCP: Processing AV addr*172.16.152.103
*Mar  8 02:11:16.729: As103 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  8 02:11:16.729: As103 AAA/AUTHOR/IPCP: Done.  Her address 10.4.152.212, we want 172.16.152.103
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Start.  Her address 172.16.152.103, we want 172.16.152.103
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Processing AV protocol=ip
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Processing AV addr*172.16.152.103
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  8 02:11:16.837: As103 AAA/AUTHOR/IPCP: Done.  Her address 172.16.152.103, we want 172.16.152.103

Лог сессии на tacacs:

Reading config
Version F4.0.3.alpha.v9 (Extended Tac_plus) Initialized 1
tac_plus server F4.0.3.alpha.v9 (Extended Tac_plus) starting
uid=0 euid=0 gid=0 egid=0 s=5
chap-login query for 'test' Async103 from 10.4.152.254 accepted
Start authorization request
user 'test' found
test may run an unlimited number of sessions
No any PAM Sevice
ppp/lcp request permitted (ppp is configured for test)
authorization query for 'test' Async103 from 10.4.152.254 accepted
Start authorization request
user 'test' found
test may run an unlimited number of sessions
No any PAM Sevice
nas:service=ppp (passed thru)
nas:protocol=ip (passed thru)
nas:absent, server:addr=172.16.152.150} -> add addr=172.16.152.150} (k)
added 1 args
out_args[0] = service=ppp input copy discarded
out_args[1] = protocol=ip input copy discarded
out_args[2] = addr=172.16.152.150} compacted to out_args[0]
1 output args
authorization query for 'test' Async103 from 10.4.152.254 accepted
Start authorization request
user 'test' found
test may run an unlimited number of sessions
No any PAM Sevice
svc=N_svc_ppp protocol=cdp not found, denied by default
authorization query for 'test' Async103 from 10.4.152.254 rejected
Start authorization request
user 'test' found
test may run an unlimited number of sessions
No any PAM Sevice
nas:service=ppp (passed thru)
nas:protocol=ip (passed thru)
nas:addr*10.4.152.212 svr:addr=172.16.152.150} -> replace with addr=172.16.152.150} (f)replaced 1 args
authorization query for 'test' Async103 from 10.4.152.254 accepted
Start authorization request
user 'test' found
test may run an unlimited number of sessions
No any PAM Sevice
nas:service=ppp (passed thru)
nas:protocol=ip (passed thru)
nas:addr*10.4.152.212 svr:addr=172.16.152.150} -> replace with addr=172.16.152.150} (f)replaced 1 args
authorization query for 'test' Async103 from 10.4.152.254 accepted

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Как назначить каждому пользователю уникальный IP?" 
Сообщение от SP Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 19-Июн-03, 09:35  (MSK)
Я выяснил, в чем проблема: tacacs неправильно считывает свой конфигурационный файл и, как следствие, сервер удаленного доступа игнорирует адрес, предлагаемый tacacs'ом.
Примеры конфигов:

Правильный(работающий):

user = test {
  login = cleartext test
  chap = cleartext "check it"
  service = ppp protocol = ip {addr = 172.16.152.159
}
# Закрывающая скобка после IP-адреса расположена на следующей строке!
}

Неработающий:

user = test {
  login = cleartext test
  chap = cleartext "check it"
  service = ppp protocol = ip {addr = 172.16.152.159}
# Закрывающая скобка после IP-адреса расположена на той же строке!
}

Проблема, как видно, в правой закрывающей скобке. Если она расположена на той же строке, что и IP-адрес, то tacacs тихо проглатывает конфиг, и сервер удаленного доступа никогда не назначит адреса, указанного tacacs'ом.

Что я использовал:
RAS: Cisco 3640 router, IOS 12.1
Tacacs: Cisco TACACS+ daemon v. F4.0.3 alpha

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру