форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"ACL c Radius"		+/–
Сообщение от enb83 (ok) on 08-Июл-09, 08:06
Здравствуйте! Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и сервисы и передавать их на Cisco. А также, чтобы это всё заработало! Пробую заводить ACL листы пока только на одном клиенте. На Radius в таблице radreply: Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply Cisco-AVPair+=ip:inacl#101= deny icmp any any
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL c Radius"		+/–
Сообщение от shutdown now on 09-Июл-09, 00:35
>[оверквотинг удален] >Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и >сервисы и передавать их на Cisco. >А также, чтобы это всё заработало! > >Пробую заводить ACL листы пока только на одном клиенте. >На Radius в таблице radreply: > >Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo >Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply >Cisco-AVPair+=ip:inacl#101= deny icmp any any если заводить по радиусу, то циска именованные ACL создаёт, после `#' - номер правила в ACL Cisco-avpair="ip:inacl#1=deny tcp any any eq 25" Cisco-avpair+="ip:inacl#2=permit ip any any"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ACL c Radius"		+/–
	Сообщение от enb83 (ok) on 09-Июл-09, 06:20
	>если заводить по радиусу, то циска именованные ACL создаёт, после `#' - >номер правила в ACL > >Cisco-avpair="ip:inacl#1=deny tcp any any eq 25" >Cisco-avpair+="ip:inacl#2=permit ip any any" Какие настройки на Cisco должны быть тогда, чтобы принимать с АСL c Радиуса?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ACL c Radius"		+/–
	Сообщение от enb83 (ok) on 09-Июл-09, 06:34
	>если заводить по радиусу, то циска именованные ACL создаёт, после `#' - >номер правила в ACL > >Cisco-avpair="ip:inacl#1=deny tcp any any eq 25" >Cisco-avpair+="ip:inacl#2=permit ip any any" после Send Access-Request debug пишет: Jul  9 09:22:06.707: RADIUS: Received from id 1645/196 10.141.1.1:1812, Access-Accept, len 203 Jul  9 09:22:06.707: RADIUS:  authenticator 9F 0C E7 71 FE 3A AE 8D - D3 83 11 DB D3 49 A4 01 Jul  9 09:22:06.707: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1] Jul  9 09:22:06.707: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP Header Compressi[1] Jul  9 09:22:06.707: RADIUS:  Service-Type        [6]   6   Outbound                  [5] Jul  9 09:22:06.707: RADIUS:  Session-Timeout     [27]  6   360000 Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  58 Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   52  "ip:inacl#1= permit icmp any host 81.x.xxx.xxx echo" Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  64 Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   58  "ip:inacl#2= permit icmp any host 81.x.xxx.xxx echo-reply" Jul  9 09:22:06.707: RADIUS:  Vendor, Cisco       [26]  37 Jul  9 09:22:06.707: RADIUS:   Cisco AVpair       [1]   31  "ip:inacl#3= deny icmp any any" Jul  9 09:22:06.707: RADIUS(00000165): Received from id 1645/196 Jul  9 09:22:06.711: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up Jul  9 09:22:06.711: RADIUS/ENCODE(00000165):Orig. component type = VPDN x - закрыл Ping c vpn-клиента 10.141.1.xxx не проходит на 81.x.xxx.xxx Может быть такое что при pppoe такая форма записи не действует? Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ACL c Radius"		+/–
	Сообщение от shutdown now on 09-Июл-09, 13:58
	>[оверквотинг удален] >Jul  9 09:22:06.707: RADIUS(00000165): Received from id 1645/196 >Jul  9 09:22:06.711: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up >Jul  9 09:22:06.711: RADIUS/ENCODE(00000165):Orig. component type = VPDN > >x - закрыл > >Ping c vpn-клиента 10.141.1.xxx не проходит на 81.x.xxx.xxx > >Может быть такое что при pppoe такая форма записи не действует? Cisco-avpair="ip:inacl#1=deny >tcp any any eq 25" должно работать, это даже на диалапе работает (AS5300) а вообще ping идёт? может, в рутинге проблема?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ACL c Radius"		+/–
	Сообщение от enb83 (ok) on 09-Июл-09, 14:51
	>должно работать, это даже на диалапе работает (AS5300) >а вообще ping идёт? может, в рутинге проблема? Да, пинг идёт на внешний интерфейс 81.x.x.xx3. Если на Cisco, ACL "ip access-group 101 in" повешать на интерфейс: interface Virtual-Template1 ip unnumbered Loopback0 ip nat inside ip access-group 101 in ip virtual-reassembly peer default ip address pool PPPoE1 ppp authentication pap chap Test-AUTH и на Cisco прописать ACL: ip access-list extended 101 ! permit icmp any host 81.x.xxx.xx1 echo permit icmp any host 81.x.xx.xx1 echo-reply deny icmp any any ! то с VPN клиента пингуется только 81.x.xxx.xx1, то что нам и надо. 1 Не могу понять почему не работает через Радиус даже если ACL хранить на Cisco, а в Радиусе просто писать в таблице radreply: сisco-avpair+="ip:inacl=101" сisco-avpair+="ip:outacl=101" 2 Пробывал ещё кое что. Вот отрывок debug: Jul  9 17:47:06.761: RADIUS:   Cisco AVpair       [1]   35  "ip:traffic-class=out default drop" Jul  9 17:47:06.761: RADIUS:  Vendor, Cisco       [26]  40 Jul  9 17:47:06.761: RADIUS:   ssg-account-info   [250] 34  "QU;512000;256000;D;512000;256000" Jul  9 17:47:06.761: RADIUS(0000018E): Received from id 1645/226 Jul  9 17:47:06.761: RADIUS/DECODE: parse unknown cisco vsa "traffic-class" - IGNORE Почему "traffic-class" не поддерживает? версия IOS 12.4
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема