Показаны сообщения с ярлыком BRAS. Показать все сообщения
Показаны сообщения с ярлыком BRAS. Показать все сообщения

четверг, 3 октября 2013 г.

Авторизация абонентов по ip адресу, ISG, Cisco BRAS

Итак, задача: обеспечение возможности авторизации абонентов по ip адресу на устройстве Cisco.
В наличии стенд в виде Cisco 7301, билинг с сервером, умеющим протокол radius для общения с BRASами и ноутбук, изображающий из себя простого абонента.

Реализация.
1) Настройки серверов radius на bras опустим (описаны в предыдущем посте).
2) Настройки политик ISG:

class-map type control match-all ISG-IP-UNAUTH
 match timer UNAUTH-TIMER
 match authen-status unauthenticated
!
!
policy-map type service OPENGV
 ip access-group OPENGV-IN in
 ip access-group OPENGV-OUT out
!
policy-map type control IP_SUBS
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  19 authorize identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  99 service-policy type service name OPENGV
 !
 class type control always event service-start
  35 service-policy type service identifier service-name
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
 !
 class type control always event session-restart
  19 authorize identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  99 service-policy type service name OPENGV
 !
!
ip access-list extended OPENGV-IN
 permit ip any host <личный кабинет>
 permit udp any host <DNS Server 1> eq domain
 permit udp any host <DNS Server 2> eq domain
ip access-list extended OPENGV-OUT
 permit ip host <личный кабинет> any
 permit udp host <DNS Server 1> eq domain any
 permit udp host <DNS Server 2> eq domain any
3) пример настройки интерфейса для подключения абонента:
interface GigabitEthernet0/1
 ip address <адрес шлюза для абонента> ! возможно сделать просто ip unnumbered как вариант
 ip verify unicast source reachable-via rx allow-default allow-self-ping
 ip helper-address <адрес сервера DHCP>
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 media-type rj45
 speed auto
 duplex auto
 no negotiation auto
 service-policy type control IP_SUBS
 ip subscriber routed
  initiator unclassified ip-address
4) ну и немного косметики для реализации функционала IPoE subscribers:
 ip dhcp relay information trust-all
Автор: на 3 комментария:
Ярлыки: , ,

среда, 25 сентября 2013 г.

L2TP авторизация на BRASе Cisco

В качестве стенда Cisco 7301, задача - настроить авторизацию абонентов по протоколу L2TP для одного из сегментов сети.

Поскольку инфраструктура используется с полноценной поддержкой Cisco ISG нам понадобится соответствующий IOS для 7301-й.
На просторах необъятной сети был найден 122-31.SB18 в версии enterprise (sic! в версии service provider нам не хватит функционала, внезапно там нет vpdn, вообще.) В принципе все новомодные SRC, SRD, SRE и т.д. релизы также должны подойти для решения задачи, просто исторически в нашей конторе SBшные IOSы как-то особенно хорошо прижились для задач авторизации и аккаунтинга абонентов.

Итак собственно кусочки конфига:

aaa group server radius CAR
 server 192.168.1.1 auth-port 1812 acct-port 1813
 load-balance method least-outstanding ignore-preferred-server
!
aaa authentication login default local group CAR
aaa authentication ppp default group CAR
aaa authorization exec default local group CAR
aaa authorization network default group CAR
aaa authorization auth-proxy default group CAR
aaa authorization subscriber-service default local group CAR
aaa accounting delay-start all
aaa accounting suppress null-username
aaa accounting update periodic 10
aaa accounting network default start-stop group CAR
aaa accounting network ACCNT_LIST1 start-stop group CAR
это что касалось настроек порядка авторизации и аккаутинга 
продолжим:
aaa server radius dynamic-author
 client 192.168.1.1 server-key <password>
 server-key <password>
 port 1912
это для возможности получить CoA от сервера с целью например прибития сессии абонента или изменения её параметров на лету

subscriber authorization enable
vpdn enable
 !
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 2
 no l2tp tunnel authentication
!
interface Loopback0
 ip address 192.168.1.2 255.255.255.255
 no ip unreachables
!
interface Virtual-Template2
 description *** L2TP subscribers ***
 mtu 1492
 ip unnumbered Loopback0
 ip verify unicast source reachable-via rx allow-default allow-self-ping
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip tcp adjust-mss 1452
 no logging event link-status
 ppp authentication chap
 ppp ipcp dns 192.168.1.3 192.168.1.4
 service-policy type control L2TP
 service-policy type control нам необходимо предварительно настроить, это тема отдельной записи, т.к. там полно тонких материй работы с ISG
!
radius-server attribute 44 include-in-access-req vrf default
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format d
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 test username cisco key <passwotrd>
radius-server timeout 10
radius-server unique-ident 20
radius-server key <passwotrd>
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
radius-server load-balance method least-outstanding ignore-preferred-server
косметика для правильной работы с radius серверами
Автор: на Комментариев нет:
Ярлыки: , ,
Подписаться на: Сообщения (Atom)