The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настроится сisco AAA и постоянный IP без использования RADIU..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Настроится сisco AAA и постоянный IP без использования RADIU..."  
Сообщение от igmikor (ok) on 01-Авг-08, 19:12 
Здравствуйте.
Подскажите, пожалуйста.
Настраиваю с877 для подключения удалённых клиентов с помощью Cisco software VPN клиента.
Подключение происходит. Удалённый клиент, пройдя аутентификацию по локальному пользователю и авторизацию в сети по назначенной группе, получает IP адрес из определённого пула. При каждом новом подключении IP адрес определённого удалённого клиента меняется.
Вопрос такой: можно ли, не прибегая к использованию внешнего RADIUS/TACACS сервера, настроить aaa на с877 таким образом, что бы каждому пользователю из одной  группы был назначен строго определённый IP адрес?
Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх десятков.
Можно, конечно, попробовать завести три десятка групп, три дестяка IP пулов и подготовить три десятка конфигов для клиентов, но, желательно, использовать один конфиг для всех софтварных VPN клиентов, да и конфиг на cisco не хочется "раздувать" без необходимости.
Может по MAC можно привязать?

куски конфига
...
aaa new-model
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
....
username extuser1 password 7 testpassword
!
crypto isakmp client configuration group mygroup1
key mygroup1key1
pool ippool89
acl 109

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
!
crypto dynamic-map mydynmap 10
set transform-set myset1
!
!
crypto map mycryptmap1 client authentication list userauthen
crypto map mycryptmap1 isakmp authorization list groupauthor
crypto map mycryptmap1 client configuration address respond
crypto map mycryptmap1 10 ipsec-isakmp dynamic mydynmap1
....
ip local pool ippool89 192.168.89.1 192.168.89.254
....
access-list 109 permit ip 192.168.83.0 0.0.0.255 192.168.89.0 0.0.0.255
....
interface Dialer0
....
crypto map mycryptmap1


Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настроится сisco AAA и постоянный IP без использования RADIU..."  
Сообщение от Ночной админ (ok) on 02-Авг-08, 17:42 
>Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх
>десятков.

Неужели RADIUS настолько сложен в администрировании что проще что то городить?
Настройте RADIUS и не надо будет мучатся независимо от того сколько у вас клиентов 30 или  300.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настроится сisco AAA и постоянный IP без использования RADIU..."  
Сообщение от igmikor (ok) on 07-Авг-08, 21:53 
Дело в том, что RADIUS я не настраивал, пока еще.
Думал, есть решение проще. Я посмотрел-почитал о настройке Радиуса - тут сложностей хватает.
1. В RFС описана только концепция. Реализация - на совести разработчика. Толкового описания я не нашел, к сожалению.
2. Примеры настройки касаются случая подключения dial-up пользователей. У меня другая ситуация. В моем случае - software VPN client. Это уже другой тип сервиса - не ppp.
Примера на этот случай не нашел.

Пришлось настроить cisco на работу с локальной аутоидетификацией и авторизацией.
Несколько пользователей. Каждому пользователю назначена своя собственная группа и свой собственный пул адресов. В результате, при подключении через cisco software VPN client, пользователь всегда получает только выделенный для него IP адрес.
Есть проблема при VPN подключении - SA достаточно долго хранится (3600с по умолчанию). Но это можно настройкой security-association idle-time подрегулировать, если нужно. Я проверял с одного хоста (один постоянный внешний IP) - так в этом случае если я заходил одним пользователем, дисконнектился и пытался подключиться другим пользователем - VPN канал не поднимался, пока не удалишь старые SA.

В итоге: у меня не получилось сделать одну группы для всех пользователей так, что бы пользователи всегда получали чётко назначенные им IP адреса. Может быть кто-то занает как это без Радиуса сделать на cisco, используя только aaa local? На форуме видел упоминание про  
aaa attribute list xxx / attribute type ... / username USER attribute list xxx
но я не смог настроить ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру