Итак, задача: обеспечение возможности авторизации абонентов по ip адресу на устройстве Cisco.
В наличии стенд в виде Cisco 7301, билинг с сервером, умеющим протокол radius для общения с BRASами и ноутбук, изображающий из себя простого абонента.
Реализация.
1) Настройки серверов radius на bras опустим (описаны в предыдущем посте).
2) Настройки политик ISG:
В наличии стенд в виде Cisco 7301, билинг с сервером, умеющим протокол radius для общения с BRASами и ноутбук, изображающий из себя простого абонента.
Реализация.
1) Настройки серверов radius на bras опустим (описаны в предыдущем посте).
2) Настройки политик ISG:
class-map type control match-all ISG-IP-UNAUTH3) пример настройки интерфейса для подключения абонента:
match timer UNAUTH-TIMER
match authen-status unauthenticated
!
!
policy-map type service OPENGV
ip access-group OPENGV-IN in
ip access-group OPENGV-OUT out
!
policy-map type control IP_SUBS
class type control ISG-IP-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
19 authorize identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
99 service-policy type service name OPENGV
!
class type control always event service-start
35 service-policy type service identifier service-name
!
class type control always event service-stop
1 service-policy type service unapply identifier service-name
!
class type control always event session-restart
19 authorize identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
99 service-policy type service name OPENGV
!
!
ip access-list extended OPENGV-IN
permit ip any host <личный кабинет>
permit udp any host <DNS Server 1> eq domain
permit udp any host <DNS Server 2> eq domain
ip access-list extended OPENGV-OUT
permit ip host <личный кабинет> any
permit udp host <DNS Server 1> eq domain any
permit udp host <DNS Server 2> eq domain any
interface GigabitEthernet0/14) ну и немного косметики для реализации функционала IPoE subscribers:
ip address <адрес шлюза для абонента> ! возможно сделать просто ip unnumbered как вариант
ip verify unicast source reachable-via rx allow-default allow-self-ping
ip helper-address <адрес сервера DHCP>
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
media-type rj45
speed auto
duplex auto
no negotiation auto
service-policy type control IP_SUBS
ip subscriber routed
initiator unclassified ip-address
ip dhcp relay information trust-all
