forum.opennet.ru - "как прописать два радиус-сервера в кошке ?" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"как прописать два радиус-сервера в кошке ?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"как прописать два радиус-сервера в кошке ?"
Сообщение от redmoon (??) on 29-Ноя-06, 10:01
Всем зрасте. интересует вот такой вопрос: есть cisco2621. на ней поднят pppoe-сервер, на него ходят пользователи, их логины и пароли отправляются в радиус на удаленном linux, если да - то они идут в интернет, если нет - то не идут. стала задача - сделать на киске кроме пппое сервера еще и vpn-сервер. Ну сказано-сделано. Но проблема состоит в том что пользователи, идущие в впн, авторизовываются через радиус-сервер, предназначенный для pppoe-шников, как такого избежать? ниже конфиг: ! ! .... aaa new-model ! ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update newinfo periodic 1 aaa accounting network default start-stop group radius aaa session-id common ! {не знаю зачем это, но прочитал здесь на форуме, что это нужно для работы pppoe, так и сделал} ... vpdn enable {как я понимаю - включаем поддержку туннелей, без этого не будет работать пппое и впн} ! ...... ! ! vpdn-group 1 {группа, созданная для pppoe-шников} accept-dialin protocol pppoe virtual-template 1 ! ! ! vpdn-group 2 {группа для vpn-щиков} ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 2 ! ! interface Virtual-Template1 {темплайт для пппое-шников} mtu 1492 ip unnumbered FastEthernet0/0.1 ip access-group fast_eth_0_1_in in ip access-group fast_eth_0_1_out out ip accounting output-packets ip nat inside ppp authentication chap pap ms-chap ! interface Virtual-Template2 {темплайт для впн-щиков} description VPN-Server mtu 1378 ip unnumbered FastEthernet0/0.1 ip access-group fast_eth_0_1_in in ip access-group fast_eth_0_1_out out ip accounting output-packets ip nat inside ppp authentication chap pap ms-chap ms-chap-v2 ! ! radius-server host 192.168.11.2 auth-port 1812 acct-port 1813 {собственно, работающий радиус} radius-server key 7 062023187C6F3A2A radius-server authorization permit missing Service-Type ! вот такой у меня конфиг. только блин и пппое-ники и впн-щики идут авторизовываться в этот один радиус. а мне нужно что бы этот, выше описанный радиус был только для пппоешников, а для впн-щиков другой радиус, который уже настроен и ждет своего часа. ЗЫ просьба сильно не пинать, цискам только учусь, НО с очень большим энтузиазмом. просто в навигации по cisco.com - нифига не разобрался. Подскажите если не сложно. Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

как прописать два радиус-сервера в кошке ?, vorch, 10:40 , 29-Ноя-06, (1)

как прописать два радиус-сервера в кошке ?, redmoon, 10:53 , 29-Ноя-06, (2)

как прописать два радиус-сервера в кошке ?, silencer, 10:56 , 29-Ноя-06, (3)

как прописать два радиус-сервера в кошке ?, Lacunacoil, 10:59 , 29-Ноя-06, (4)

как прописать два радиус-сервера в кошке ?, redmoon, 11:01 , 29-Ноя-06, (5)

как прописать два радиус-сервера в кошке ?, redmoon, 11:08 , 29-Ноя-06, (6)

как прописать два радиус-сервера в кошке ?, silencer, 11:22 , 29-Ноя-06, (8)

как прописать два радиус-сервера в кошке ?, silencer, 11:16 , 29-Ноя-06, (7)

как прописать два радиус-сервера в кошке ?, redmoon, 11:25 , 29-Ноя-06, (9)

как прописать два радиус-сервера в кошке ?, Krivoy, 15:23 , 05-Дек-06, (10)

как прописать два радиус-сервера в кошке ?, silencer, 10:30 , 06-Дек-06, (11)

как прописать два радиус-сервера в кошке ?, Krivoy, 11:45 , 06-Дек-06, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "как прописать два радиус-сервера в кошке ?"

Сообщение от vorch on 29-Ноя-06, 10:40

Думается мне, что копать вам надо не циску, а радиус. Возможность задания в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до второго радиус-сервера запрос может дойти только в том случае, когда первый перестанет отвечать.
С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго провайдера - реализовано именно через настроку режима прокси.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "как прописать два радиус-сервера в кошке ?"

Сообщение от redmoon (??) on 29-Ноя-06, 10:53

>Думается мне, что копать вам надо не циску, а радиус. Возможность задания
>в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до
>второго радиус-сервера запрос может дойти только в том случае, когда первый
>перестанет отвечать.
>С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так
>можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто
>будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ
>NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают
>партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго
>провайдера - реализовано именно через настроку режима прокси.

да, действительно,спасибо. полистал форум .. все говорят - что этого нельзя добиться.
печально, а так хотелось .. а вы не пробовали поиграться с aaa group server radius <group name> ?
нашел здесь же в форуме.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "как прописать два радиус-сервера в кошке ?"

Сообщение от silencer (ok) on 29-Ноя-06, 10:56

Делаешь две группы серверов на циске
aaa group server radius <имя 1-ой группы>
server ...
!
aaa group server radius <имя 2-ой группы>
server ...
!
aaa authentication ppp <list1> group <имя 1-ой группы>
aaa authentication ppp <list2> group <имя 2-ой группы>
! аналогично для авторизации и аккаунтинга
!
interface Virtual-Template1
  ppp authentication chap pap ms-chap <list1>
!
interface Virtual-Template2
  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
!
По крайней мере с такаксом такое проходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "как прописать два радиус-сервера в кошке ?"

Сообщение от Lacunacoil (ok) on 29-Ноя-06, 10:59

>Делаешь две группы серверов на циске
>
>aaa group server radius <имя 1-ой группы>
> server ...
>!
>aaa group server radius <имя 2-ой группы>
> server ...
>!
>
>aaa authentication ppp <list1> group <имя 1-ой группы>
>aaa authentication ppp <list2> group <имя 2-ой группы>
>! аналогично для авторизации и аккаунтинга
>!
>
>interface Virtual-Template1
>  ppp authentication chap pap ms-chap <list1>
>!
>interface Virtual-Template2
>  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
>!
Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "как прописать два радиус-сервера в кошке ?"

Сообщение от redmoon (??) on 29-Ноя-06, 11:01

>>Делаешь две группы серверов на циске
>>
>>aaa group server radius <имя 1-ой группы>
>> server ...
>>!
>>aaa group server radius <имя 2-ой группы>
>> server ...
>>!
>>
>>aaa authentication ppp <list1> group <имя 1-ой группы>
>>aaa authentication ppp <list2> group <имя 2-ой группы>
>>! аналогично для авторизации и аккаунтинга
>>!
>>
>>interface Virtual-Template1
>>  ppp authentication chap pap ms-chap <list1>
>>!
>>interface Virtual-Template2
>>  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
>>!
>Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся...

спасибо мужики.
а вы как тогда прокомментируете, что мол у циски не может быть два радиуса, только как один основной второй как резервный . - или это не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "как прописать два радиус-сервера в кошке ?"

Сообщение от redmoon (??) on 29-Ноя-06, 11:08

а ничего не произойдет опасного связанного с тем что у меня не два пппое, а один пппое и один впн ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "как прописать два радиус-сервера в кошке ?"

Сообщение от silencer (ok) on 29-Ноя-06, 11:22

>а ничего не произойдет опасного связанного с тем что у меня не
>два пппое, а один пппое и один впн ?
Да нет, они же у тебя на разные темплейты биндятся...
А вот переход лучше продумать...
Я бы сначала сделал первую группу, занес в нее существующий сервер, потом создал ааа-листы под нее, потом перебросил темплейт пппое-шный на эти листы...
А потом уже не спеша занимался бы второй группой

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "как прописать два радиус-сервера в кошке ?"

Сообщение от silencer (ok) on 29-Ноя-06, 11:16

>спасибо мужики.
>а вы как тогда прокомментируете, что мол у циски не может быть
>два радиуса, только как один основной второй как резервный . -
>или это не так?
Я так себе это понимаю:
Если у тебя в одной группе 2 сервера, то циска не сможет балансировать запросы на два сервера. Все запросы пойдут на первый сервер в группе, а в случае его падения - на второй.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "как прописать два радиус-сервера в кошке ?"

Сообщение от redmoon (??) on 29-Ноя-06, 11:25

>>спасибо мужики.
>>а вы как тогда прокомментируете, что мол у циски не может быть
>>два радиуса, только как один основной второй как резервный . -
>>или это не так?
>Я так себе это понимаю:
>Если у тебя в одной группе 2 сервера, то циска не сможет
>балансировать запросы на два сервера. Все запросы пойдут на первый сервер
>в группе, а в случае его падения - на второй
короче так :) юзеры в 18-00 по москве пойдут домой :))
вот тогда и будем играться :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "как прописать два радиус-сервера в кошке ?"

Сообщение от Krivoy (ok) on 05-Дек-06, 15:23

  Простите насквозь что вклиниваюсь, но из поиска по форуму сделал вывод что авторизация на втором радиусе происходит только тогда когда первый именно не ответил и если первый ответил status = FAIL попытка авторизации через второй НЕ производится???
И всё же я попробовал по варианту
http://www.opennet.me/openforum/vsluhforumID6/3276.html
и по варианту что оба радиус-сервера находятся в одной группе - результат в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно сслучайно....
sh deb aaa authe
term mon
и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска всё-таки пытается лезть на второй хотя первый как обычно ответил status = FAIL. С чем это может быть связано? Cisco 3620
Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP
Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list
Dec  5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN
Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius)
Dec  5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL
Dec  5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up
Dec  5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1
Dec  5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=18 channel=0
Dec  5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1
Dec  5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list
Dec  5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius)
Dec  5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down
Dec  5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL
Dec  5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius)
Dec  5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL
Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try
Dec  5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR
Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate
Dec  5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up
Dec  5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1
Dec  5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=51 channel=0
Dec  5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1
Dec  5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP
Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list
Dec  5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN
Dec  5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius)
Dec  5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL
Dec  5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
Dec  5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1
Dec  5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "как прописать два радиус-сервера в кошке ?"

Сообщение от silencer (ok) on 06-Дек-06, 10:30

>  Простите насквозь что вклиниваюсь, но из поиска по форуму сделал
>вывод что авторизация на втором радиусе происходит только тогда когда первый
>именно не ответил и если первый ответил status = FAIL попытка
>авторизации через второй НЕ производится???
> И всё же я попробовал по варианту
> http://www.opennet.me/openforum/vsluhforumID6/3276.html
>и по варианту что оба радиус-сервера находятся в одной группе - результат
>в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно
>сслучайно....
>sh deb aaa authe
>term mon
>и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска
>всё-таки пытается лезть на второй хотя первый как обычно ответил status
>= FAIL. С чем это может быть связано? Cisco 3620
>
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list
>Dec  5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius)
>Dec  5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL
>Dec  5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up
>
>Dec  5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1
>Dec  5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0
>port=18 channel=0
>Dec  5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1
>Dec  5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18'
>rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list
>Dec  5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius)
>Dec  5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down
>
>Dec  5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL
>Dec  5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius)
>Dec  5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL
>Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try
>
>Dec  5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR
>Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate
>Dec  5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up
>
>Dec  5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1
>Dec  5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0
>port=51 channel=0
>Dec  5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1
>Dec  5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51'
>rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
>Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP
>Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list
>Dec  5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN
>Dec  5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius)
>Dec  5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL
>Dec  5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
>
>Dec  5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1
>Dec  5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t
>
Похоже на глюк какой-то.
Может это как-то связано с тем, что именно в этом случае виртуал-аксесс отваливается между отправкой запроса и получением ответа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "как прописать два радиус-сервера в кошке ?"

Сообщение от Krivoy (ok) on 06-Дек-06, 11:45

   Мне подсказали что действительно версия с глюком в иосе довольно реальна. Так что подобновлю ка я иос тем более что это не последний глюк с VPN(PPTP Mgmt)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "как прописать два радиус-сервера в кошке ?"
Сообщение от vorch on 29-Ноя-06, 10:40
Думается мне, что копать вам надо не циску, а радиус. Возможность задания в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до второго радиус-сервера запрос может дойти только в том случае, когда первый перестанет отвечать. С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго провайдера - реализовано именно через настроку режима прокси.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "как прописать два радиус-сервера в кошке ?"
	Сообщение от redmoon (??) on 29-Ноя-06, 10:53
	>Думается мне, что копать вам надо не циску, а радиус. Возможность задания >в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до >второго радиус-сервера запрос может дойти только в том случае, когда первый >перестанет отвечать. >С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так >можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто >будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ >NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают >партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго >провайдера - реализовано именно через настроку режима прокси. да, действительно,спасибо. полистал форум .. все говорят - что этого нельзя добиться. печально, а так хотелось .. а вы не пробовали поиграться с aaa group server radius <group name> ? нашел здесь же в форуме.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "как прописать два радиус-сервера в кошке ?"
Сообщение от silencer (ok) on 29-Ноя-06, 10:56
Делаешь две группы серверов на циске aaa group server radius <имя 1-ой группы> server ... ! aaa group server radius <имя 2-ой группы> server ... ! aaa authentication ppp <list1> group <имя 1-ой группы> aaa authentication ppp <list2> group <имя 2-ой группы> ! аналогично для авторизации и аккаунтинга ! interface Virtual-Template1 ppp authentication chap pap ms-chap <list1> ! interface Virtual-Template2 ppp authentication chap pap ms-chap ms-chap-v2 <list2> ! По крайней мере с такаксом такое проходит
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "как прописать два радиус-сервера в кошке ?"
	Сообщение от Lacunacoil (ok) on 29-Ноя-06, 10:59
	>Делаешь две группы серверов на циске > >aaa group server radius <имя 1-ой группы> > server ... >! >aaa group server radius <имя 2-ой группы> > server ... >! > >aaa authentication ppp <list1> group <имя 1-ой группы> >aaa authentication ppp <list2> group <имя 2-ой группы> >! аналогично для авторизации и аккаунтинга >! > >interface Virtual-Template1 > ppp authentication chap pap ms-chap <list1> >! >interface Virtual-Template2 > ppp authentication chap pap ms-chap ms-chap-v2 <list2> >! Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "как прописать два радиус-сервера в кошке ?"
	Сообщение от redmoon (??) on 29-Ноя-06, 11:01
	>>Делаешь две группы серверов на циске >> >>aaa group server radius <имя 1-ой группы> >> server ... >>! >>aaa group server radius <имя 2-ой группы> >> server ... >>! >> >>aaa authentication ppp <list1> group <имя 1-ой группы> >>aaa authentication ppp <list2> group <имя 2-ой группы> >>! аналогично для авторизации и аккаунтинга >>! >> >>interface Virtual-Template1 >> ppp authentication chap pap ms-chap <list1> >>! >>interface Virtual-Template2 >> ppp authentication chap pap ms-chap ms-chap-v2 <list2> >>! >Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся... спасибо мужики. а вы как тогда прокомментируете, что мол у циски не может быть два радиуса, только как один основной второй как резервный . - или это не так?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "как прописать два радиус-сервера в кошке ?"
	Сообщение от redmoon (??) on 29-Ноя-06, 11:08
	а ничего не произойдет опасного связанного с тем что у меня не два пппое, а один пппое и один впн ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "как прописать два радиус-сервера в кошке ?"
	Сообщение от silencer (ok) on 29-Ноя-06, 11:22
	>а ничего не произойдет опасного связанного с тем что у меня не >два пппое, а один пппое и один впн ? Да нет, они же у тебя на разные темплейты биндятся... А вот переход лучше продумать... Я бы сначала сделал первую группу, занес в нее существующий сервер, потом создал ааа-листы под нее, потом перебросил темплейт пппое-шный на эти листы... А потом уже не спеша занимался бы второй группой
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "как прописать два радиус-сервера в кошке ?"
	Сообщение от silencer (ok) on 29-Ноя-06, 11:16
	>спасибо мужики. >а вы как тогда прокомментируете, что мол у циски не может быть >два радиуса, только как один основной второй как резервный . - >или это не так? Я так себе это понимаю: Если у тебя в одной группе 2 сервера, то циска не сможет балансировать запросы на два сервера. Все запросы пойдут на первый сервер в группе, а в случае его падения - на второй.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "как прописать два радиус-сервера в кошке ?"
	Сообщение от redmoon (??) on 29-Ноя-06, 11:25
	>>спасибо мужики. >>а вы как тогда прокомментируете, что мол у циски не может быть >>два радиуса, только как один основной второй как резервный . - >>или это не так? >Я так себе это понимаю: >Если у тебя в одной группе 2 сервера, то циска не сможет >балансировать запросы на два сервера. Все запросы пойдут на первый сервер >в группе, а в случае его падения - на второй короче так :) юзеры в 18-00 по москве пойдут домой :)) вот тогда и будем играться :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "как прописать два радиус-сервера в кошке ?"
	Сообщение от Krivoy (ok) on 05-Дек-06, 15:23
	Простите насквозь что вклиниваюсь, но из поиска по форуму сделал вывод что авторизация на втором радиусе происходит только тогда когда первый именно не ответил и если первый ответил status = FAIL попытка авторизации через второй НЕ производится??? И всё же я попробовал по варианту http://www.opennet.me/openforum/vsluhforumID6/3276.html и по варианту что оба радиус-сервера находятся в одной группе - результат в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно сслучайно.... sh deb aaa authe term mon и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска всё-таки пытается лезть на второй хотя первый как обычно ответил status = FAIL. С чем это может быть связано? Cisco 3620 Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list Dec 5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius) Dec 5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL Dec 5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr='' authen_type=CHAP service=PPP priv=1 Dec 5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up Dec 5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1 Dec 5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=18 channel=0 Dec 5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1 Dec 5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0' Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list Dec 5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius) Dec 5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down Dec 5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL Dec 5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius) Dec 5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL Dec 5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try Dec 5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR Dec 5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate Dec 5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1 Dec 5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up Dec 5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1 Dec 5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=51 channel=0 Dec 5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1 Dec 5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0' Dec 5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP Dec 5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list Dec 5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN Dec 5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius) Dec 5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL Dec 5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1 Dec 5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up Dec 5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1 Dec 5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "как прописать два радиус-сервера в кошке ?"
	Сообщение от silencer (ok) on 06-Дек-06, 10:30
	> Простите насквозь что вклиниваюсь, но из поиска по форуму сделал >вывод что авторизация на втором радиусе происходит только тогда когда первый >именно не ответил и если первый ответил status = FAIL попытка >авторизации через второй НЕ производится??? > И всё же я попробовал по варианту > http://www.opennet.me/openforum/vsluhforumID6/3276.html >и по варианту что оба радиус-сервера находятся в одной группе - результат >в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно >сслучайно.... >sh deb aaa authe >term mon >и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска >всё-таки пытается лезть на второй хотя первый как обычно ответил status >= FAIL. С чем это может быть связано? Cisco 3620 > >Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP >Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list >Dec 5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN >Dec 5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius) >Dec 5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL >Dec 5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr='' >authen_type=CHAP service=PPP priv=1 >Dec 5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up > >Dec 5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1 >Dec 5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0 >port=18 channel=0 >Dec 5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1 >Dec 5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18' >rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0' >Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP >Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list >Dec 5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN >Dec 5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius) >Dec 5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down > >Dec 5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL >Dec 5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius) >Dec 5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL >Dec 5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try > >Dec 5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR >Dec 5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate >Dec 5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr='' >authen_type=CHAP service=PPP priv=1 >Dec 5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up > >Dec 5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1 >Dec 5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0 >port=51 channel=0 >Dec 5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1 >Dec 5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51' >rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0' >Dec 5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP >Dec 5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list >Dec 5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN >Dec 5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius) >Dec 5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL >Dec 5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr='' >authen_type=CHAP service=PPP priv=1 >Dec 5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up > >Dec 5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1 >Dec 5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t > Похоже на глюк какой-то. Может это как-то связано с тем, что именно в этом случае виртуал-аксесс отваливается между отправкой запроса и получением ответа.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "как прописать два радиус-сервера в кошке ?"
	Сообщение от Krivoy (ok) on 06-Дек-06, 11:45
	Мне подсказали что действительно версия с глюком в иосе довольно реальна. Так что подобновлю ка я иос тем более что это не последний глюк с VPN(PPTP Mgmt)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]