The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ACL c Radius"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"ACL c Radius"  +/
Сообщение от enb83 (ok) on 08-Июл-09, 08:06 
Здравствуйте!

Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и
сервисы и передавать их на Cisco.
А также, чтобы это всё заработало!

Пробую заводить ACL листы пока только на одном клиенте.
На Radius в таблице radreply:

Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo
Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply
Cisco-AVPair+=ip:inacl#101= deny icmp any any  

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • ACL c Radius, shutdown now, 00:35 , 09-Июл-09, (1)  
    • ACL c Radius, enb83, 06:20 , 09-Июл-09, (2)  
    • ACL c Radius, enb83, 06:34 , 09-Июл-09, (3)  
      • ACL c Radius, shutdown now, 13:58 , 09-Июл-09, (4)  
        • ACL c Radius, enb83, 14:51 , 09-Июл-09, (5)  

Сообщения по теме [Сортировка по времени | RSS]


1. "ACL c Radius"  +/
Сообщение от shutdown now on 09-Июл-09, 00:35 
>[оверквотинг удален]
>Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и
>сервисы и передавать их на Cisco.
>А также, чтобы это всё заработало!
>
>Пробую заводить ACL листы пока только на одном клиенте.
>На Radius в таблице radreply:
>
>Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo
>Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply
>Cisco-AVPair+=ip:inacl#101= deny icmp any any

если заводить по радиусу, то циска именованные ACL создаёт, после `#' - номер правила в ACL

Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"
Cisco-avpair+="ip:inacl#2=permit ip any any"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ACL c Radius"  +/
Сообщение от enb83 (ok) on 09-Июл-09, 06:20 
>если заводить по радиусу, то циска именованные ACL создаёт, после `#' -
>номер правила в ACL
>
>Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"
>Cisco-avpair+="ip:inacl#2=permit ip any any"

Какие настройки на Cisco должны быть тогда, чтобы принимать с АСL c Радиуса?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ACL c Radius"  +/
Сообщение от enb83 (ok) on 09-Июл-09, 06:34 

>если заводить по радиусу, то циска именованные ACL создаёт, после `#' -
>номер правила в ACL
>
>Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"
>Cisco-avpair+="ip:inacl#2=permit ip any any"

после Send Access-Request

debug пишет:
Jul  9 09:22:06.707: RADIUS: Received from id 1645/196 10.141.1.1:1812, Access-Accept, len 203
Jul  9 09:22:06.707: RADIUS:  authenticator 9F 0C E7 71 FE 3A AE 8D - D3 83 11 DB D3 49 A4 01
Jul  9 09:22:06.707: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul  9 09:22:06.707: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP Header Compressi[1]
Jul  9 09:22:06.707: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
Jul  9 09:22:06.707: RADIUS:  Session-Timeout     [27]  6   360000
Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  58
Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   52  "ip:inacl#1= permit icmp any host 81.x.xxx.xxx echo"
Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  64
Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   58  "ip:inacl#2= permit icmp any host 81.x.xxx.xxx echo-reply"
Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  37
Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   31  "ip:inacl#3= deny icmp any any"
Jul  9 09:22:06.707: RADIUS(00000165): Received from id 1645/196
Jul  9 09:22:06.711: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
Jul  9 09:22:06.711: RADIUS/ENCODE(00000165):Orig. component type = VPDN

x - закрыл

Ping c vpn-клиента 10.141.1.xxx не проходит на 81.x.xxx.xxx

Может быть такое что при pppoe такая форма записи не действует? Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ACL c Radius"  +/
Сообщение от shutdown now on 09-Июл-09, 13:58 
>[оверквотинг удален]
>Jul  9 09:22:06.707: RADIUS(00000165): Received from id 1645/196
>Jul  9 09:22:06.711: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
>Jul  9 09:22:06.711: RADIUS/ENCODE(00000165):Orig. component type = VPDN
>
>x - закрыл
>
>Ping c vpn-клиента 10.141.1.xxx не проходит на 81.x.xxx.xxx
>
>Может быть такое что при pppoe такая форма записи не действует? Cisco-avpair="ip:inacl#1=deny
>tcp any any eq 25"

должно работать, это даже на диалапе работает (AS5300)
а вообще ping идёт? может, в рутинге проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ACL c Radius"  +/
Сообщение от enb83 (ok) on 09-Июл-09, 14:51 

>должно работать, это даже на диалапе работает (AS5300)
>а вообще ping идёт? может, в рутинге проблема?

Да, пинг идёт на внешний интерфейс 81.x.x.xx3.
Если на Cisco, ACL "ip access-group 101 in" повешать на интерфейс:

interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip access-group 101 in
ip virtual-reassembly
peer default ip address pool PPPoE1
ppp authentication pap chap Test-AUTH

и на Cisco прописать ACL:

ip access-list extended 101
!
permit icmp any host 81.x.xxx.xx1 echo
permit icmp any host 81.x.xx.xx1 echo-reply
deny icmp any any
!

то с VPN клиента пингуется только 81.x.xxx.xx1, то что нам и надо.

1 Не могу понять почему не работает через Радиус даже если ACL
хранить на Cisco, а в Радиусе просто писать в таблице radreply:
сisco-avpair+="ip:inacl=101"
сisco-avpair+="ip:outacl=101"

2 Пробывал ещё кое что. Вот отрывок debug:
Jul  9 17:47:06.761: RADIUS:   Cisco AVpair       [1]   35  "ip:traffic-class=out default drop"
Jul  9 17:47:06.761: RADIUS:  Vendor, Cisco       [26]  40
Jul  9 17:47:06.761: RADIUS:   ssg-account-info   [250] 34  "QU;512000;256000;D;512000;256000"
Jul  9 17:47:06.761: RADIUS(0000018E): Received from id 1645/226
Jul  9 17:47:06.761: RADIUS/DECODE: parse unknown cisco vsa "traffic-class" - IGNORE

Почему "traffic-class" не поддерживает?
версия IOS 12.4


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру