The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Address"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Address"  +/
Сообщение от hector email(ok) on 07-Дек-09, 10:30 
Доброго времени суток, уважаемые коллеги!

Ситуация: есть сервер RADIUS (UTM5) и есть Cisco 2651, работающая как сервер доступа (NAS). Данная связка работает для аутентификации пользователей PPPoE.

Проблема: Необходимо, чтобы Cisco 2651 назначала IP-адреса из своего диапазона IP-адресов. Однако сервер RADIUS (UTM5) присылает на Cisco атрибут Framed-IP-Address [8], который и назначается клиентам.

Вариант решения данной проблемы - отклонение данного атрибута не работает. Так же просмотрел множество проблем, но обратного свойства (клиенты получают адреса из диапазона маршрутизатора, а не из RADIUS'а), но "не выходит каменный цветок" :))  
Конфиг ниже. Заранее благодарен за рекомендации и помощь!

...

aaa group server radius ACCESS
  server 172.16.0.10 auth-port 1812 acct-port 1813
  authorization reject deny_ip_addr
  ip radius source-interface FastEthernet0/1.10
!
aaa authentication login default local
aaa authentication ppp default group radius group ACCESS
aaa authorization network default local
aaa session-id common

...


interface Loopback0
  ip address 125.125.108.1 255.255.255.255

...

interface FastEthernet0/1.10
  encapsulation dot1Q 10
  ip address 172.16.0.1 255.255.255.0

...

interface Virtual-Template1
  ip unnumbered Loopback0
  ip route-cache flow
  ip tcp header-compression
  peer ip address forced
  peer default ip address pool CLIENTPOOL
  ppp max-terminate 255
  ppp max-configure 255
  ppp max-failure 255
  ppp max-bad-auth 255
  ppp authentication ms-chap-v2

...

ip local pool CLIENTOPOOL 125.125.108.2 125.125.108.126

...

radius-server attribute list deny_ip_addr
  attribute 8

radius-server host 172.16.0.10 auth-port 1812 acct-port 1813
radius-server key 7 XXXXXXXXXXXX
radius-server vsa send authentication

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от Hammer (??) on 07-Дек-09, 13:04 
Радиус как собирал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от hector (ok) on 07-Дек-09, 13:59 
>Радиус как собирал?

Радиус уже установлен, он входит в состав биллинга UTM5. С какими параметрами он устанавливался-собирался неизвестно. Это принципиальный момент?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от hector email(ok) on 08-Дек-09, 04:25 
Решение найдено.

Варианта два:

1. Использование не дефолтных списков в aaa authentication ppp и aaa authorization network, а именно настраиваем:

aaa authentication ppp cisco_pool group radius group ACCESS
aaa authorization network cisco_pool group radius group ACCESS
...
interface Virtual-Template1
ip unnumbered Loopback0
ip route-cache flow
ip tcp header-compression
peer ip address forced
peer default ip address pool CLIENTPOOL
ppp max-terminate 255
ppp max-configure 255
ppp max-failure 255
ppp max-bad-auth 255
ppp authentication ms-chap-v2 cisco_pool

После этого маршрутизатор будет игнорировать IP-адрес клиента, присылаемый от сервера RADIUS. В этом случае атрибут framed ip address не отклоняется (не фильтруется), а просто игнорируется.

2. Не использование radius group в aaa authentication ppp, а именно настраиваем:

aaa authentication ppp cisco_pool group ACCESS
aaa authorization network cisco_pool group ACCESS

хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться).

aaa group server radius ACCESS
  server 172.16.0.10 auth-port 1812 acct-port 1813
  authorization reject deny_ip_addr
  ip radius source-interface FastEthernet0/1.10

...

radius-server attribute list deny_ip_addr
  attribute 8

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от dendi email on 26-Янв-10, 23:24 
Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес выдавала Cisco а не IAS, написал как у Вас было в изначальном варианте и все заработало
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от idc2814 on 15-Фев-13, 13:16 
> Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес
> выдавала Cisco а не IAS, написал как у Вас было в
> изначальном варианте и все заработало

Вам порекомендовали отключить на cisco прием атрибута Framed-IP-Address [8]
Это не правильное решение!

Если вы хотите чтобы клиентам назначался IP-адрес из пула самой cisco, то такому клиенту(ам) следует задать правильное значение вышеупомянутого атрибута. Оно должно быть равным 255.255.255.254
Если Вы настроите "как правильно", то получите возможность некоторым клиентам выдавать IP-адреса из пула самой cisco, а некоторым, назовем их привелигированными пользователями, назначать вручную.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."  +/
Сообщение от Ehill on 29-Апр-15, 09:36 
>[оверквотинг удален]
> aaa authorization network cisco_pool group ACCESS
> хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed
> ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться).
> aaa group server radius ACCESS
>   server 172.16.0.10 auth-port 1812 acct-port 1813
>   authorization reject deny_ip_addr
>   ip radius source-interface FastEthernet0/1.10
> ...
> radius-server attribute list deny_ip_addr
>   attribute 8

При такой настройке все стандартные атрибуты, исключая Framed-IP будут приниматься? Как я понял из описания команды, все стандартные атрибуты будут отклоняться:
The reject keyword indicates that all attributes are accepted except for the attributes specified in the listname and all standard attributes.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру