URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7056
[ Назад ]
Исходное сообщение
"acct-stop"
Отправлено egor krukov , 21-Янв-05 10:04 
Подскажите как на cisco 5300 настроить получение атрибута acct-stop
для отключения пользователя когда он исчерпал свой лимит времини
Содержание
Сообщения в этом обсуждении
"acct-stop"
Отправлено nikl , 22-Янв-05 14:06 
>Подскажите как на cisco 5300 настроить получение атрибута acct-stop
>для отключения пользователя когда он исчерпал свой лимит времини


после аутентификации пользователя послать на циску атрибут
Session-Timeout = X, где X кол-во секунд, которые ему можно
висеть на линии. По истечении времени он будет скинут
Ну и атрибут придет тут-же.

"acct-stop"
Отправлено egor krukov , 24-Янв-05 09:54 
>>Подскажите как на cisco 5300 настроить получение атрибута acct-stop
>>для отключения пользователя когда он исчерпал свой лимит времини
>
>
>после аутентификации пользователя послать на циску атрибут
>Session-Timeout = X, где X кол-во секунд, которые ему можно
>висеть на линии. По истечении времени он будет скинут
>Ну и атрибут придет тут-же.

это понятно но на cisco не появляется атрибут
radius передает session-timeout а cisco его не воспринимает
приважу пример конфига


Current configuration : 4382 bytes
!
! Last configuration change at 18:27:38 murmans Fri Jan 21 2005
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname test-as
!
aaa new-model
!
aaa user profile test-as
!
aaa authentication login default none
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting delay-start
aaa accounting nested
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
aaa session-id common
enable secret 5 XXXXXXXXXXXXXXXXXXXX
enable password 7 XXXXXXXXX
!
spe 0/0 0/9
firmware location system:/ucode/mica_port_firmware
!
!
resource-pool disable
clock timezone murmansk 3
!
modem country mica russia
ip subnet-zero
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
ip ssh time-out 120
ip ssh authentication-retries 3
ip address-pool local
!
!
!
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
controller E1 0
channel-group 1 timeslots 1-31
description xxxxxxxxxxxxxx
!
controller E1 1
framing NO-CRC4
clock source line primary
ds0-group 1 timeslots 1-15,17-31 type r2-digital r2-compelled ani
cas-custom 1
  country israel
  debounce-time 10
  caller-digits 5
  dnis-digits min 3 max 6
  ani-digits min 3 max 10
  dnis-complete
description POOL 636222
!
controller E1 2
framing NO-CRC4
clock source line secondary 2
channel-group 1 timeslots 1-31
!
controller E1 3
framing NO-CRC4
clock source line secondary 3
channel-group 1 timeslots 1-31
!
controller E1 4
framing NO-CRC4
clock source line secondary 4
channel-group 1 timeslots 1-31
!
controller E1 5
clock source line secondary 5
!
controller E1 6
clock source line secondary 6
!
controller E1 7
clock source line secondary 7
!
!
!
interface Ethernet0
description GUPTI MO
ip address xxx.xxx.xxx.xxx 255.255.255.0
ip broadcast-address xxx.xxx.xxx.xxx
ip route-cache flow
!
interface Serial0
bandwidth 2048
no ip address
shutdown
no fair-queue
clockrate 2048
!
interface Serial1
no ip address
shutdown
no fair-queue
clockrate 2015232
!
interface Serial2
no ip address
shutdown
no fair-queue
clockrate 2015232
!
interface Serial3
no ip address
shutdown
no fair-queue
clockrate 2015232
!
interface Serial0:1
description xxxxxxxxx
bandwidth 1984
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
ip broadcast-address xxx.xxx.xxx.xxx
ip accounting output-packets
ip route-cache flow
!
interface Serial2:1
bandwidth 1984
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
ip broadcast-address xxx.xxx.xxx.xxx
!
interface Serial3:1
bandwidth 2048
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
ip broadcast-address xxx.xxx.xxx.xxx
!
interface Serial4:1
bandwidth 2048
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
ip broadcast-address xxx.xxx.xxx.xxx
ip route-cache flow
shutdown
!
interface FastEthernet0
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
ip broadcast-address xxx.xxx.xxx.xxx
ip route-cache flow
duplex full
speed 100
!
interface Group-Async1
ip unnumbered FastEthernet0
ip dhcp relay information trusted
encapsulation ppp
ip tcp header-compression
async mode interactive
ppp authentication pap
group-range 1 30
!
ip local pool default xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip flow-export version 5
ip flow-export destination xxx.xxx.xxx.xxx 9800
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0:1
ip route xxx.xxx.xxx.xxx 255.255.255.xxx Serial3:1
ip route xxx.xxx.xxx.xxx 255.255.255.xxx Serial4:1
no ip http server
!
ip radius source-interface FastEthernet0
access-list 1 remark SNMP access
access-list 1 permit xxx.xxx.xxx.xxx
access-list 1 permit xxx.xxx.xxx.xxx

snmp-server community public RO 1
snmp-server ifindex persist
snmp-server enable traps tty
!
radius-server host xxx.xxx.xxx.xxx auth-port 1645 acct-port 1646 key 7 xxxxxxxxxxxxxxxxxxxxx
radius-server retransmit 3
call rsvp-sync
!
!
mgcp profile default
!
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
!
line con 0
line 1 30
modem InOut
transport input all
autoselect ppp
line 31 120
modem shutdown
line aux 0
line vty 0 4
exec-timeout 0 0
password 7 xxxxxxxxxxxxxxxxxxxx
logout-warning 600
length 0
!
ntp clock-period 17179699
ntp server xxx.xxx.xxx.xxx
end

"acct-stop"
Отправлено nikl , 24-Янв-05 12:34 
>>>Подскажите как на cisco 5300 настроить получение атрибута acct-stop
>>>для отключения пользователя когда он исчерпал свой лимит времини
>>
>>
>>после аутентификации пользователя послать на циску атрибут
>>Session-Timeout = X, где X кол-во секунд, которые ему можно
>>висеть на линии. По истечении времени он будет скинут
>>Ну и атрибут придет тут-же.
>
>это понятно но на cisco не появляется атрибут
>radius передает session-timeout а cisco его не воспринимает

на циске говоришь 'debug radius authentication', в логе смотришь,
что идет с и на нее. Видишь примерно вот:

RADIUS/ENCODE(0000800B): acct_session_id: 51331
RADIUS(0000800B): sending
RADIUS: Send to unknown id 197 x.x.x.x:1812, Access-Request, len 111
RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
RADIUS:  User-Name           [1]   11  "pupkin"
RADIUS:  User-Password       [2]   18  *
RADIUS:  NAS-Port            [5]   6   55
RADIUS:  NAS-Port-Type       [61]  6   Async                     [0]
RADIUS:  Calling-Station-Id  [31]  9   "12345"
RADIUS:  Called-Station-Id   [30]  8   "67890"
RADIUS:  Service-Type        [6]   6   Framed                    [2]
RADIUS:  NAS-IP-Address      [4]   6   x.x.x.x
RADIUS: Received from id 197 x.x.x.x:1812, Access-Accept, len 26
RADIUS:  Session-Timeout     [27]  6   3674
RADIUS: Received from id 800B

Видно, что Session-Timeout = 3674
Если атрибут Session-Timeout не видишь, значит, ты его неправильно
формируешь в Radius'e.

"acct-stop"
Отправлено vmn2003 , 24-Янв-05 14:45 
Там нада на самой циске включить обработку Session-Timeout,
по-моему что-то типа

aaa authorization network default if-authentication group radius
или
aaa authorization network default group radius if-authentication

без этого ей хоть в лоб, хоть по лбу, а Session-Timeout не воспринимает ;)