The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"radius и выделенная линия"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"radius и выделенная линия" 
Сообщение от milord Искать по авторуВ закладки(ok) on 13-Июл-05, 11:14  (MSK)
Hello All !

Объясните пожалуйста как нужно написать в конфиге работающего
интерфейса по выделенной линии, чтобы он не бегал за логином
к радиусу ?

У меня стоит связка freeradius + OpenLDAP

Вот что у меня, пример работающего конфига, только два "НО":
- при поднятии интерфейса Async81, который работает по выделенной
  линии идет запрос login/passwd. :-((((
- И при поднятии Async81 статический IP-адрес почему-то не ставится,
  а берется IP-адрес из pool'а. :-((((

[raddb] # more users
DEFAULT Auth-Type = System
        Fall-Through = 1

DEFAULT Service-Type == Framed-User
        Framed-MTU = 576,
        Service-Type = Framed-User,
        Fall-Through = Yes

DEFAULT Framed-Protocol == PPP
        Framed-Protocol = PPP,
        Framed-Compression = Van-Jacobson-TCP-IP,
        cisco-avpair = "ip:addr-pool=dialup"
[raddb] #

На cisco 36xx:
====

interface Async65
description Dial-In line (Port 1, Async 65)
ip unnumbered FastEthernet0/0
ip access-group 101 in
ip mtu 576
encapsulation ppp
ip tcp header-compression
async mode interactive
peer default ip address pool dilaup
ppp authentication chap pap
!
interface Async81
description Leased line N1 (Async 81)
ip unnumbered FastEthernet0/0
ip access-group 101 in
ip mtu 576
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
async mode interactive
peer default ip address xx.xx.1.65
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    Первый вопрос:
    Непонятно почему не ставится IP адрес xx.xx.1.65 при поднятии
    этого интерфейса, а берется из pool'а который я как понял указан в
radius
    в файле users. Немогу понять как сделать через radius, чтобы
    одновременно работали на нужных Async'ах IP-адреса бралось
    из pool'а адресов, и для других Async шла раздача static IP адресов.

    Пробовал убирать строку: cisco-avpair = "ip:addr-pool=dialup" из users,
    тогда перестает работать все Dialup входы.

no fair-queue
ppp authentication chap pap
!
ip local pool dialup xxx.xx.1.16 xxx.xx.1.64
!
line 65
session-timeout 20
location Dial-In line (Port 1, Async 65)
exec-timeout 120 0
no activation-character
script startup zyxel
script reset zyxel
modem InOut
autocommand  ppp
terminal-type netw
exec-character-bits 8
special-character-bits 8
transport input all
escape-character NONE
autoselect during-login
autoselect ppp
telnet break-on-ip
telnet transparent
telnet ip-on-break
autohangup
stopbits 1
speed 38400
flowcontrol hardware
!
line 81
session-timeout 20
location Leased line N1 (Async 81)
exec-timeout 120 0
no activation-character
script startup motorola
script reset motorola
modem InOut
autocommand  ppp
terminal-type netw
exec-character-bits 8
special-character-bits 8
transport preferred none
transport input all
transport output none
escape-character NONE
autoselect during-login
autoselect ppp
autohangup
stopbits 1
speed 115200
flowcontrol hardware
!
====

Второй вопрос:
Объясните пожалуйста, как убрать login/password при поднятии Async81?
Непойму понять, как это правильно написать в конфиге циске. :-((

Спасибо.

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "radius и выделенная линия" 
Сообщение от Shod emailИскать по авторуВ закладки on 13-Июл-05, 11:42  (MSK)
все это по идее прописывается в разделе AAA
aaa network authorization default local group radius
local разрешает брать ip из конфига циски, group radius - из радиуса
без логина/пассворда поднять асинк вроде вообще нельзя
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "radius и выделенная линия" 
Сообщение от milord Искать по авторуВ закладки(ok) on 13-Июл-05, 11:58  (MSK)
>все это по идее прописывается в разделе AAA
>aaa network authorization default local group radius

Вот так:
aaa authorization network default local group radius

Тогда я не пойму, что у меня не так:

aaa new-model
aaa group server radius DialUP-RADIUS
server xxx.xx.1.1 auth-port 1812 acct-port 1813
!
aaa authentication username-prompt "login: "
aaa authentication login default local group DialUP-RADIUS
aaa authentication ppp default if-needed group DialUP-RADIUS
aaa authorization exec default local group DialUP-RADIUS
aaa authorization network default local group DialUP-RADIUS
aaa authorization reverse-access default local

>local разрешает брать ip из конфига циски, group radius - из радиуса

>без логина/пассворда поднять асинк вроде вообще нельзя

:-((( Вроде можно сделать вот так:

Можно вот это прописать:
   aaa authorization network default direct none
Вот будет ли работать радиус, когда я это прописшу, вот вопрос.

и на интерфейсе
ppp authorization direct

Спасибо.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "radius и выделенная линия" 
Сообщение от Shod emailИскать по авторуВ закладки on 13-Июл-05, 13:36  (MSK)
ну я так понял у тебя в радиусе прописано чтоб всем клиентам назначался айпишник из радиусовского пула
в этом случае радиус всем клиентам будет назначать
тебе можно сделать

aaa authentication ppp default local group DialUP-RADIUS
и прописать на циске юзернэйм с пассвордом
тогда циска вообще к радиусу не полезет для этого клиента и будет свой айпи назначать

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "radius и выделенная линия" 
Сообщение от milord Искать по авторуВ закладки(ok) on 13-Июл-05, 13:47  (MSK)
>ну я так понял у тебя в радиусе прописано чтоб всем клиентам
>назначался айпишник из радиусовского пула
>в этом случае радиус всем клиентам будет назначать
>тебе можно сделать
>
>aaa authentication ppp default local group DialUP-RADIUS

Ok. Прописал, чуть позже попробую.

>и прописать на циске юзернэйм с пассвордом

Зачем это ?

>тогда циска вообще к радиусу не полезет для этого клиента и будет
>свой айпи назначать

Объясни я не понял, ведь мне же нужно на определенных Async'ах
вообще избавится от login/password. А раз у меня прописал пользователь
в local, то на интерфейсе будет опять login/passwd. Так ведь ?

Спасибо.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "radius и выделенная линия" 
Сообщение от YuryD Искать по авторуВ закладки(??) on 13-Июл-05, 14:21  (MSK)
>Объясни я не понял, ведь мне же нужно на определенных Async'ах
>вообще избавится от login/password. А раз у меня прописал пользователь
>в local, то на интерфейсе будет опять login/passwd. Так ведь ?


если использовать другие encap типа slip, то авторизация не нужна
ну и аккаунтинг тоже :-)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "radius и выделенная линия" 
Сообщение от milord Искать по авторуВ закладки(ok) on 13-Июл-05, 14:55  (MSK)
>>Объясни я не понял, ведь мне же нужно на определенных Async'ах
>>вообще избавится от login/password. А раз у меня прописал пользователь
>>в local, то на интерфейсе будет опять login/passwd. Так ведь ?
>
>
> если использовать другие encap типа slip, то авторизация не нужна
> ну и аккаунтинг тоже :-)

Угу, это я понимаю, но меня интересует ppp. :-)))

2 All: Помогите еще понять, как и где в freeradius'е прописать,
чтобы для определенного пользователя (пример test1) ставился
ВСЕГДА один и тот-же IP-адрес ?

Спасибо.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "radius и выделенная линия" 
Сообщение от Shod emailИскать по авторуВ закладки on 13-Июл-05, 14:55  (MSK)
>Объясни я не понял, ведь мне же нужно на определенных Async'ах
>вообще избавится от login/password. А раз у меня прописал пользователь
>в local, то на интерфейсе будет опять login/passwd. Так ведь ?

вот это мне самому интересно можно ли без авторизации ppp поднимать на асинках
а в чем проблема то с логином паролем? кто у тебя звонит то на эту линию?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру