Посылаю на ISG CoA, isg почему-то дает NACK.
Вот дебаг:
Nov 10 15:31:34.763: COA: 172.30.1.130 request queued
Nov 10 15:31:34.763: RADIUS: authenticator AE C3 69 F7 B7 B0 73 7E - 4E 9C 79 BE C8 19 B5 71
Nov 10 15:31:34.763: RADIUS: Vendor, Cisco [26] 22
Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16 "S192.168.10.94"
Nov 10 15:31:34.763: RADIUS: User-Name [1] 6 "niki"
Nov 10 15:31:34.763: RADIUS: Vendor, Cisco [26] 13
Nov 10 15:31:34.763: RADIUS: ssg-command-code [252] 7
Nov 10 15:31:34.763: RADIUS: 01 6E 69 6B 69 [Account-Log-On niki]
Nov 10 15:31:34.763: ++++++ CoA Attribute List ++++++
Nov 10 15:31:34.763: 20A00F90 0 00000009 ssg-account-info(430) 14 S192.168.10.94
Nov 10 15:31:34.763: 20A022A8 0 00000009 username(396) 4 niki
Nov 10 15:31:34.763: 20A022B8 0 00000009 ssg-command-code(432) 5 01 6E 69 6B 69
Nov 10 15:31:34.763:
Nov 10 15:31:34.763: AAA SRV(0000007D): process response req
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D):Orig. component type = IEDGE_IP_SIP
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr
Nov 10 15:31:34.763: RADIUS(0000007D): sending
Nov 10 15:31:34.763: RADIUS(0000007D): Send CoA Nack Response to 172.30.1.130:45924 id 3, len 82
Nov 10 15:31:34.763: RADIUS: authenticator BE 0A F1 6B 91 A0 8E 33 - 9A 04 7D D4 D3 14 AD C6
Nov 10 15:31:34.763: RADIUS: Vendor, Cisco [26] 15
Nov 10 15:31:34.763: RADIUS: ssg-command-code [252] 9
Nov 10 15:31:34.763: RADIUS: 10 32 3B 6E 69 6B 69 [Error-Code 2;niki]
Nov 10 15:31:34.763: RADIUS: Vendor, Cisco [26] 25
Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 19 "$MA001f.5bd1.b96c"
Nov 10 15:31:34.763: RADIUS: Vendor, Cisco [26] 22
Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16 "S192.168.10.94"
Error-Code 2 - это, на сколько я понимаю, AUTHENTICATE USER FAIL (судя по http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...).Вот control policy-map:
policy-map type control option82
class type control BYE event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
21 service-policy type service name LOCALTRAFF_SERVICE
100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event session-restart
21 service-policy type service name LOCALTRAFF_SERVICE
100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event account-logon
10 authenticate aaa list weblogin
20 service-policy type service unapply name INETTRAFF3_SERVICE
!(INETTRAFF3_SERVICE - это некий гипотетический сервис, который эпплаится юзеру при логине)
вот настройки aaa:
aaa group server radius option82
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
attribute nas-port format d
!
aaa group server radius weblogin
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default local
aaa authentication login option82 group option82
aaa authentication login weblogin group weblogin
aaa authorization network default group option82
aaa authorization network option82 group option82
aaa authorization network weblogin group weblogin
aaa authorization subscriber-service default local group option82
aaa authorization subscriber-service option82 group option82
aaa accounting update periodic 1
aaa accounting network option82 start-stop group option82
!
aaa nas port extended
!
!
!
aaa server radius dynamic-author
client 172.30.1.2 server-key xxx
client 172.30.1.130 server-key xxx
auth-type any
IOS - c7301-advipservicesk9_li-mz.122-33.SRD.bin
ну во первых сразу бросается в глаза:Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr
Во вторых Account-Logon - это еще не CoA :)
Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon) используя "100 authorize aaa list option82 password cisco identifier mac-address"
Что вы хотели добиться этим конфигом ?
>
>ну во первых сразу бросается в глаза:
>
>Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addrДа, я тоже заметил
>
>Во вторых Account-Logon - это еще не CoA :)Гкхм, а что же это?
PS http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...
>
>Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon)
>используя "100 authorize aaa list option82 password cisco identifier mac-address"
>
>Что вы хотели добиться этим конфигом ?Собственно, ничего. Это некий тестовый конфиг. И я просто хочу, что бы по приходу CoA пакета с 0x1 в аттрибуте SSG-Command-Code отработал блок policy-map'а, который содержится внутри class type control always event account-logon
По сути, у меня есть некая cisco в тестовом стенде, я завернул через нее офисный wifi.
Там сидит какое-то количество пользователей, авторизованых по 100 authorize aaa list option82 password cisco identifier mac-address
Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять, почему account-logon у меня выдает NACK.
PS Все остальные SSG-Command-Code (account-logoff, session-query, service-activate и deactivate работают) Подозрение, что проблема где-то в районе настроек aaa
>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять,
>почему account-logon у меня выдает NACK.Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16 "S192.168.10.94"
необходимо, чтобы была сессия с таким ip адресом при выводе команды
sh ip subsc ses all
могу ошибиться, сейчас под рукой коробки нет...Кстати, могу подсказать контору, которая делала нам портал и как раз под WiFi.
>
>>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять,
>>почему account-logon у меня выдает NACK.
>
>Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16
>"S192.168.10.94"
>необходимо, чтобы была сессия с таким ip адресом при выводе командыКонечно, такая сессия есть
>sh ip subsc ses all
sh ip subscr detail
>Кстати, могу подсказать контору, которая делала нам портал и как раз под
>WiFi.Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов - был бы благодарен :)
>Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов -
>был бы благодарен :)5.5.5.5 - портал
7.7.7.7 - радиус
Сценарий.. приходит Account Logon, эти данные проверяются на радиусе и если все ок, возвращается профайл с запускаемым сервисом и выделенная квота.RADIUS: Received from id 1812/89 5.5.5.5:43181, Access-Request, len 92
RADIUS: authenticator 42 83 58 20 95 68 54 CE - C9 84 B9 32 BF 16 DC 49
RADIUS: User-Name [1] 12 "testuser"
RADIUS: User-Password [2] 18 *
RADIUS: Vendor, Cisco [26] 19
RADIUS: ssg-command-code [252] 13
RADIUS: 01 39 32 36 35 30 33 33 38 37 31 [Account-Log-On testuser]
RADIUS: Vendor, Cisco [26] 23
RADIUS: ssg-account-info [250] 17 "S1.1.1.1"
RADIUS(00000000): Received from id 43181/89
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS/ENCODE(000067E5): acct_session_id: 32252
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS(000067E5): sending
RADIUS(000067E5): Send Access-Request to 7.7.7.7:1812 id 1645/76, len 130
RADIUS: authenticator 4B 06 C7 3D 4F BF 63 35 - FD B1 25 41 12 9C BA 40
RADIUS: Framed-IP-Address [8] 6 1.1.1.1
RADIUS: User-Name [1] 12 "testuser"
RADIUS: User-Password [2] 18 *
RADIUS: NAS-Port-Type [61] 6 Virtual [5]
RADIUS: NAS-Port [5] 6 0
RADIUS: NAS-Port-Id [87] 11 "0/0/2/661"
RADIUS: Service-Type [6] 6 Login [1]
RADIUS: NAS-IP-Address [4] 6 6.6.6.6
RADIUS: Acct-Session-Id [44] 10 "00007DFC"
RADIUS: Nas-Identifier [32] 23 "isg"
RADIUS: Event-Timestamp [55] 6 1217400283
RADIUS: Received from id 1645/76 7.7.7.7:1812, Access-Accept, len 80
RADIUS: authenticator 17 E7 06 40 0B 92 86 EE - 3F B7 D1 57 2F 17 BE E3
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-account-info [250] 24 "NSRV_INTERNET"
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-account-info [250] 24 "ASRV_INTERNET"
RADIUS(000067E5): Received from id 1645/76
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS/ENCODE(000067E5): acct_session_id: 32253
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS(000067E5): sending
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): sending
RADIUS(000067E5): Send Access-Accept to 5.5.5.5:43181 id 89, len 122
RADIUS: authenticator D9 A9 61 15 22 FC E9 30 - DD 65 54 6E 35 6D 47 BA
RADIUS: Vendor, Cisco [26] 19
RADIUS: ssg-command-code [252] 13
RADIUS: 01 39 32 36 35 30 33 33 38 37 31 [Account-Log-On testuser]
RADIUS: Vendor, Cisco [26] 23
RADIUS: ssg-account-info [250] 17 "S1.1.1.1"
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-account-info [250] 24 "NSRV_INTERNET"
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-account-info [250] 24 "ASRV_INTERNET"
RADIUS(000067E5): Send Access-Request to 7.7.7.7:1812 id 1645/77, len 166
RADIUS: authenticator 47 16 01 C0 BD 68 0F 74 - F2 ED 59 54 74 1F 50 C5
RADIUS: User-Name [1] 12 "testuser"
RADIUS: User-Password [2] 18 *
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-service-info [251] 24 "NSRV_INTERNET"
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: Framed-IP-Address [8] 6 1.1.1.1
RADIUS: NAS-Port-Type [61] 6 Virtual [5]
RADIUS: NAS-Port [5] 6 0
RADIUS: NAS-Port-Id [87] 11 "0/0/2/661"
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: NAS-IP-Address [4] 6 6.6.6.6
RADIUS: Acct-Session-Id [44] 10 "00007DFD"
RADIUS: Nas-Identifier [32] 23 "isg"
RADIUS: Event-Timestamp [55] 6 1217400283
RADIUS: Received from id 1645/77 7.7.7.7:1812, Access-Accept, len 71
RADIUS: authenticator C7 9F 14 3C C4 BF E6 6C - 9D E4 8E 9B 99 63 39 DC
RADIUS: Acct-Interim-Interva[85] 6 60
RADIUS: Vendor, Cisco [26] 30
RADIUS: ssg-service-info [251] 24 "NPREPAID_INTERNET_GOLD"
RADIUS: Vendor, Cisco [26] 15
RADIUS: ssg-control-info [253] 9 "QT600"
Хм, это всё забавно. У вас почему-то Account-Logon приходит не как CoA, а как Access-request.А не могли бы вы конфиг показать?
>Хм, это всё забавно. У вас почему-то Account-Logon приходит не как
>CoA, а как Access-request.
>
>А не могли бы вы конфиг показать?Ну да.. почему я и грю, что Account-Logon это не CoA :)
Хотя, судя по ссылке - это называется CoA.
В моем понимании, CoA нужен только для динмического изменения политик.
Конфиг, к сожалению не могу.. нет доступа на коробку.
В принципе, все стандартно.
Одно отличие..
aaa server radius sesm, а не dynamic-author
Т.е. я CoA вообще не использую :)
>Хотя, судя по ссылке - это называется CoA.угу. конечно попробую завтра запихнуть account-logon в access-request.
хотя account-logoff выдавал ACK в CoA.>В моем понимании, CoA нужен только для динмического изменения политик.
CoA - это просто некий пакет, не более того.
>aaa server radius sesm, а не dynamic-author
попробую, спасибо
Кстати, вот пример CoA запроса...RADIUS: COA received from id 5 192.168.1.100:32777, CoA Request, len 84
COA: 192.168.1.100 request queued
RADIUS: authenticator BF 62 14 C1 6F DE 76 61 - 84 D8 D5 01 14 F8 52 80
RADIUS: Vendor, Cisco [26] 23
RADIUS: ssg-account-info [250] 17 "S10.10.10.11:85"
RADIUS: User-Name [1] 8 "IP_UC1"
RADIUS: User-Password [2] 18 *
RADIUS: Vendor, Cisco [26] 15
RADIUS: ssg-command-code [252] 9
RADIUS: 01 49 50 5F 55 43 31 [Account-Log-On IP_UC1]
>Кстати, вот пример CoA запроса...Так это ж вроде с cisco.com пример, я его видал :)
PS Я пробовал и с User-Password, и без него - ничего не меняется.
>>Кстати, вот пример CoA запроса...
>
>Так это ж вроде с cisco.com пример, я его видал :)
>
>PS Я пробовал и с User-Password, и без него - ничего не
>меняется.А попробуй включить дебаги.. там ssm все расписывает как, что и почему.
>>Кстати, вот пример CoA запроса...
>
>Так это ж вроде с cisco.com пример, я его видал :)
>
>PS Я пробовал и с User-Password, и без него - ничего не
>меняется.А какой у вас радиус сервер? Я пытался связать freeradius c cisco 7201, оказалось что просто freeradius не понимает СоА запросы. Может в вашем случае та же проблема?
>>>Кстати, вот пример CoA запроса...
>>
>>Так это ж вроде с cisco.com пример, я его видал :)
>>
>>PS Я пробовал и с User-Password, и без него - ничего не
>>меняется.
>
>А какой у вас радиус сервер? Я пытался связать freeradius c cisco
>7201, оказалось что просто freeradius не понимает СоА запросы. Может в
>вашем случае та же проблема?а причем тут freeradius к CoA?
PS последние фрирадиусы уже умеют инициировать CoA
>[оверквотинг удален]
>>>
>>>PS Я пробовал и с User-Password, и без него - ничего не
>>>меняется.
>>
>>А какой у вас радиус сервер? Я пытался связать freeradius c cisco
>>7201, оказалось что просто freeradius не понимает СоА запросы. Может в
>>вашем случае та же проблема?
>
>а причем тут freeradius к CoA?
>PS последние фрирадиусы уже умеют инициировать CoAПросто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен на радиус-сервер. А тот уже должен его обработать и послать ответ (ACK или NACK). В моем случае редирект срабатывал, но так как радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка CoA запросов для сервера только планируется в будущем) и не слушает 1700 порт (а CoA запросы идут по умолчанию через 1700 порт), то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у вас сервер :)
>Просто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен
>на радиус-сервер. А тот уже должен его обработать и послать ответ
>(ACK или NACK). В моем случае редирект срабатывал, но так как
>радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом
>иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка
>CoA запросов для сервера только планируется в будущем) и не слушает
>1700 порт (а CoA запросы идут по умолчанию через 1700 порт),
>то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у
>вас сервер :)нет. CoA отправляется прямо на cisco. Она по сути выступает в роли radius-сервера. А инициатор CoA - портал.
>CoA отправляется прямо на cisco. Она по сути выступает в роли
>radius-сервера. А инициатор CoA - портал.Здравствуйте ugenk, поделитесь пожалуйста опытом в создании web портала c CoA.
http://www.opennet.me/openforum/vsluhforumID6/19282.html
trans Дадзены артыкул была надзвычай цiкавай, тым больш што я шукаВ для думак на гэтую тэму В мiнулы чацвер.