forum.opennet.ru - "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Address" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Address"

Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Address"	+/–
Сообщение от hector (ok) on 07-Дек-09, 10:30
Доброго времени суток, уважаемые коллеги! Ситуация: есть сервер RADIUS (UTM5) и есть Cisco 2651, работающая как сервер доступа (NAS). Данная связка работает для аутентификации пользователей PPPoE. Проблема: Необходимо, чтобы Cisco 2651 назначала IP-адреса из своего диапазона IP-адресов. Однако сервер RADIUS (UTM5) присылает на Cisco атрибут Framed-IP-Address [8], который и назначается клиентам. Вариант решения данной проблемы - отклонение данного атрибута не работает. Так же просмотрел множество проблем, но обратного свойства (клиенты получают адреса из диапазона маршрутизатора, а не из RADIUS'а), но "не выходит каменный цветок" :)) Конфиг ниже. Заранее благодарен за рекомендации и помощь! ... aaa group server radius ACCESS server 172.16.0.10 auth-port 1812 acct-port 1813 authorization reject deny_ip_addr ip radius source-interface FastEthernet0/1.10 ! aaa authentication login default local aaa authentication ppp default group radius group ACCESS aaa authorization network default local aaa session-id common ... interface Loopback0 ip address 125.125.108.1 255.255.255.255 ... interface FastEthernet0/1.10 encapsulation dot1Q 10 ip address 172.16.0.1 255.255.255.0 ... interface Virtual-Template1 ip unnumbered Loopback0 ip route-cache flow ip tcp header-compression peer ip address forced peer default ip address pool CLIENTPOOL ppp max-terminate 255 ppp max-configure 255 ppp max-failure 255 ppp max-bad-auth 255 ppp authentication ms-chap-v2 ... ip local pool CLIENTOPOOL 125.125.108.2 125.125.108.126 ... radius-server attribute list deny_ip_addr attribute 8 radius-server host 172.16.0.10 auth-port 1812 acct-port 1813 radius-server key 7 XXXXXXXXXXXX radius-server vsa send authentication
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., Hammer, 13:04 , 07-Дек-09, (1)

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., hector, 13:59 , 07-Дек-09, (2)

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., hector, 04:25 , 08-Дек-09, (3)

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., dendi, 23:24 , 26-Янв-10, (4)

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., idc2814, 13:16 , 15-Фев-13, (5)

Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..., Ehill, 09:36 , 29-Апр-15, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от Hammer (??) on 07-Дек-09, 13:04

Радиус как собирал?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от hector (ok) on 07-Дек-09, 13:59

>Радиус как собирал?
Радиус уже установлен, он входит в состав биллинга UTM5. С какими параметрами он устанавливался-собирался неизвестно. Это принципиальный момент?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от hector (ok) on 08-Дек-09, 04:25

Решение найдено.
Варианта два:
1. Использование не дефолтных списков в aaa authentication ppp и aaa authorization network, а именно настраиваем:
aaa authentication ppp cisco_pool group radius group ACCESS
aaa authorization network cisco_pool group radius group ACCESS
...
interface Virtual-Template1
ip unnumbered Loopback0
ip route-cache flow
ip tcp header-compression
peer ip address forced
peer default ip address pool CLIENTPOOL
ppp max-terminate 255
ppp max-configure 255
ppp max-failure 255
ppp max-bad-auth 255
ppp authentication ms-chap-v2 cisco_pool
После этого маршрутизатор будет игнорировать IP-адрес клиента, присылаемый от сервера RADIUS. В этом случае атрибут framed ip address не отклоняется (не фильтруется), а просто игнорируется.
2. Не использование radius group в aaa authentication ppp, а именно настраиваем:
aaa authentication ppp cisco_pool group ACCESS
aaa authorization network cisco_pool group ACCESS
хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться).
aaa group server radius ACCESS
  server 172.16.0.10 auth-port 1812 acct-port 1813
  authorization reject deny_ip_addr
  ip radius source-interface FastEthernet0/1.10
...
radius-server attribute list deny_ip_addr
  attribute 8

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от dendi on 26-Янв-10, 23:24

Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес выдавала Cisco а не IAS, написал как у Вас было в изначальном варианте и все заработало

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от idc2814 on 15-Фев-13, 13:16

> Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес
> выдавала Cisco а не IAS, написал как у Вас было в
> изначальном варианте и все заработало
Вам порекомендовали отключить на cisco прием атрибута Framed-IP-Address [8]
Это не правильное решение!
Если вы хотите чтобы клиентам назначался IP-адрес из пула самой cisco, то такому клиенту(ам) следует задать правильное значение вышеупомянутого атрибута. Оно должно быть равным 255.255.255.254
Если Вы настроите "как правильно", то получите возможность некоторым клиентам выдавать IP-адреса из пула самой cisco, а некоторым, назовем их привелигированными пользователями, назначать вручную.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..." +/–

Сообщение от Ehill on 29-Апр-15, 09:36

>[оверквотинг удален]
> aaa authorization network cisco_pool group ACCESS
> хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed
> ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться).
> aaa group server radius ACCESS
>   server 172.16.0.10 auth-port 1812 acct-port 1813
>   authorization reject deny_ip_addr
>   ip radius source-interface FastEthernet0/1.10
> ...
> radius-server attribute list deny_ip_addr
>   attribute 8
При такой настройке все стандартные атрибуты, исключая Framed-IP будут приниматься? Как я понял из описания команды, все стандартные атрибуты будут отклоняться:
The reject keyword indicates that all attributes are accepted except for the attributes specified in the listname and all standard attributes.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
Сообщение от Hammer (??) on 07-Дек-09, 13:04
Радиус как собирал?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
	Сообщение от hector (ok) on 07-Дек-09, 13:59
	>Радиус как собирал? Радиус уже установлен, он входит в состав биллинга UTM5. С какими параметрами он устанавливался-собирался неизвестно. Это принципиальный момент?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
Сообщение от hector (ok) on 08-Дек-09, 04:25
Решение найдено. Варианта два: 1. Использование не дефолтных списков в aaa authentication ppp и aaa authorization network, а именно настраиваем: aaa authentication ppp cisco_pool group radius group ACCESS aaa authorization network cisco_pool group radius group ACCESS ... interface Virtual-Template1 ip unnumbered Loopback0 ip route-cache flow ip tcp header-compression peer ip address forced peer default ip address pool CLIENTPOOL ppp max-terminate 255 ppp max-configure 255 ppp max-failure 255 ppp max-bad-auth 255 ppp authentication ms-chap-v2 cisco_pool После этого маршрутизатор будет игнорировать IP-адрес клиента, присылаемый от сервера RADIUS. В этом случае атрибут framed ip address не отклоняется (не фильтруется), а просто игнорируется. 2. Не использование radius group в aaa authentication ppp, а именно настраиваем: aaa authentication ppp cisco_pool group ACCESS aaa authorization network cisco_pool group ACCESS хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться). aaa group server radius ACCESS server 172.16.0.10 auth-port 1812 acct-port 1813 authorization reject deny_ip_addr ip radius source-interface FastEthernet0/1.10 ... radius-server attribute list deny_ip_addr attribute 8
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
	Сообщение от dendi on 26-Янв-10, 23:24
	Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес выдавала Cisco а не IAS, написал как у Вас было в изначальном варианте и все заработало
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
	Сообщение от idc2814 on 15-Фев-13, 13:16
	> Спасибо огромадное!!!!!!!!!!!!!!!!!!!!!!!!!!!! Правда проблема была наоборот адрес > выдавала Cisco а не IAS, написал как у Вас было в > изначальном варианте и все заработало Вам порекомендовали отключить на cisco прием атрибута Framed-IP-Address [8] Это не правильное решение! Если вы хотите чтобы клиентам назначался IP-адрес из пула самой cisco, то такому клиенту(ам) следует задать правильное значение вышеупомянутого атрибута. Оно должно быть равным 255.255.255.254 Если Вы настроите "как правильно", то получите возможность некоторым клиентам выдавать IP-адреса из пула самой cisco, а некоторым, назовем их привелигированными пользователями, назначать вручную.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco 2651 + RADIUS (UTM5) - не игнорируется Framed-IP-Addre..."	+/–
	Сообщение от Ehill on 29-Апр-15, 09:36
	>[оверквотинг удален] > aaa authorization network cisco_pool group ACCESS > хотя, aaa authorization network может быть и дефолтная, но атрибут 8 (framed > ip address) при соответсвующей настройке (см.ниже) будет отклоняться (фильтроваться). > aaa group server radius ACCESS > server 172.16.0.10 auth-port 1812 acct-port 1813 > authorization reject deny_ip_addr > ip radius source-interface FastEthernet0/1.10 > ... > radius-server attribute list deny_ip_addr > attribute 8 При такой настройке все стандартные атрибуты, исключая Framed-IP будут приниматься? Как я понял из описания команды, все стандартные атрибуты будут отклоняться: The reject keyword indicates that all attributes are accepted except for the attributes specified in the listname and all standard attributes.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору