среда, 25 сентября 2013 г.

L2TP авторизация на BRASе Cisco

В качестве стенда Cisco 7301, задача - настроить авторизацию абонентов по протоколу L2TP для одного из сегментов сети.

Поскольку инфраструктура используется с полноценной поддержкой Cisco ISG нам понадобится соответствующий IOS для 7301-й.
На просторах необъятной сети был найден 122-31.SB18 в версии enterprise (sic! в версии service provider нам не хватит функционала, внезапно там нет vpdn, вообще.) В принципе все новомодные SRC, SRD, SRE и т.д. релизы также должны подойти для решения задачи, просто исторически в нашей конторе SBшные IOSы как-то особенно хорошо прижились для задач авторизации и аккаунтинга абонентов.

Итак собственно кусочки конфига:

aaa group server radius CAR
 server 192.168.1.1 auth-port 1812 acct-port 1813
 load-balance method least-outstanding ignore-preferred-server
!
aaa authentication login default local group CAR
aaa authentication ppp default group CAR
aaa authorization exec default local group CAR
aaa authorization network default group CAR
aaa authorization auth-proxy default group CAR
aaa authorization subscriber-service default local group CAR
aaa accounting delay-start all
aaa accounting suppress null-username
aaa accounting update periodic 10
aaa accounting network default start-stop group CAR
aaa accounting network ACCNT_LIST1 start-stop group CAR
это что касалось настроек порядка авторизации и аккаутинга 
продолжим:
aaa server radius dynamic-author
 client 192.168.1.1 server-key <password>
 server-key <password>
 port 1912
это для возможности получить CoA от сервера с целью например прибития сессии абонента или изменения её параметров на лету

subscriber authorization enable
vpdn enable
 !
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 2
 no l2tp tunnel authentication
!
interface Loopback0
 ip address 192.168.1.2 255.255.255.255
 no ip unreachables
!
interface Virtual-Template2
 description *** L2TP subscribers ***
 mtu 1492
 ip unnumbered Loopback0
 ip verify unicast source reachable-via rx allow-default allow-self-ping
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip tcp adjust-mss 1452
 no logging event link-status
 ppp authentication chap
 ppp ipcp dns 192.168.1.3 192.168.1.4
 service-policy type control L2TP
 service-policy type control нам необходимо предварительно настроить, это тема отдельной записи, т.к. там полно тонких материй работы с ISG
!
radius-server attribute 44 include-in-access-req vrf default
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format d
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 test username cisco key <passwotrd>
radius-server timeout 10
radius-server unique-ident 20
radius-server key <passwotrd>
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
radius-server load-balance method least-outstanding ignore-preferred-server
косметика для правильной работы с radius серверами