В качестве стенда Cisco 7301, задача - настроить авторизацию абонентов по протоколу L2TP для одного из сегментов сети.
Поскольку инфраструктура используется с полноценной поддержкой Cisco ISG нам понадобится соответствующий IOS для 7301-й.
На просторах необъятной сети был найден 122-31.SB18 в версии enterprise (sic! в версии service provider нам не хватит функционала, внезапно там нет vpdn, вообще.) В принципе все новомодные SRC, SRD, SRE и т.д. релизы также должны подойти для решения задачи, просто исторически в нашей конторе SBшные IOSы как-то особенно хорошо прижились для задач авторизации и аккаунтинга абонентов.
Итак собственно кусочки конфига:
продолжим:
Поскольку инфраструктура используется с полноценной поддержкой Cisco ISG нам понадобится соответствующий IOS для 7301-й.
На просторах необъятной сети был найден 122-31.SB18 в версии enterprise (sic! в версии service provider нам не хватит функционала, внезапно там нет vpdn, вообще.) В принципе все новомодные SRC, SRD, SRE и т.д. релизы также должны подойти для решения задачи, просто исторически в нашей конторе SBшные IOSы как-то особенно хорошо прижились для задач авторизации и аккаунтинга абонентов.
Итак собственно кусочки конфига:
aaa group server radius CARэто что касалось настроек порядка авторизации и аккаутинга
server 192.168.1.1 auth-port 1812 acct-port 1813
load-balance method least-outstanding ignore-preferred-server
!
aaa authentication login default local group CAR
aaa authentication ppp default group CAR
aaa authorization exec default local group CAR
aaa authorization network default group CAR
aaa authorization auth-proxy default group CAR
aaa authorization subscriber-service default local group CAR
aaa accounting delay-start all
aaa accounting suppress null-username
aaa accounting update periodic 10
aaa accounting network default start-stop group CAR
aaa accounting network ACCNT_LIST1 start-stop group CAR
продолжим:
aaa server radius dynamic-authorэто для возможности получить CoA от сервера с целью например прибития сессии абонента или изменения её параметров на лету
client 192.168.1.1 server-key <password>
server-key <password>
port 1912
subscriber authorization enable
vpdn enable
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication
!
interface Loopback0
ip address 192.168.1.2 255.255.255.255
no ip unreachables
!
interface Virtual-Template2service-policy type control нам необходимо предварительно настроить, это тема отдельной записи, т.к. там полно тонких материй работы с ISG
description *** L2TP subscribers ***
mtu 1492
ip unnumbered Loopback0
ip verify unicast source reachable-via rx allow-default allow-self-ping
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip tcp adjust-mss 1452
no logging event link-status
ppp authentication chap
ppp ipcp dns 192.168.1.3 192.168.1.4
service-policy type control L2TP
!косметика для правильной работы с radius серверами
radius-server attribute 44 include-in-access-req vrf default
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format d
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 test username cisco key <passwotrd>
radius-server timeout 10
radius-server unique-ident 20
radius-server key <passwotrd>
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
radius-server load-balance method least-outstanding ignore-preferred-server