Frozen Fido : RU.CISCO : Hе работает radius-server directed-request

ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Dmitri Lubimkov                      2:5020/400     07 Feb 2003  11:01:04
 To : All
 Subject : Hе работает radius-server directed-request
 --------------------------------------------------------------------------------

 День добрый!
 
 Есть Cisco AS5300, на ней dialup в интернет по принципу юзер/пароль, где
 юзер предварительно заключает договор и получает/выбирает себе имя.
 Также на ней dialup по карточкам, когда в качестве имени идет <номер
 
 карты>@cards а в качестве пароля pin код.
 
 Разведение по разным серверам авторизации (radius) делается через
 команду radius-server directed-request по которой абоненту разрешается
 выбирать сервер на котором авторизоваться, в данном случае cards
 Вот кусочек configа:
 .....
 aaa new-model
 aaa authentication ppp default local group radius
 aaa accounting suppress null-username
 aaa accounting network default start-stop group radius
 .....
 radius-server host 195.161.136.12 auth-port 1645 acct-port 1646
 radius-server host 195.161.136.5 auth-port 1645 acct-port 1646
 radius-server host 195.161.136.146 auth-port 1645 acct-port 1646 key
 bla-bla-bla
 radius-server retransmit 4
 radius-server timeout 6
 radius-server deadtime 1
 radius-server directed-request
 radius-server attribute 44 include-in-access-req
 radius-server key bla-bla-bla
 .....
 
 Тут первых 2 radius сервера - под обычный dialup (основной и резервный)
 Третий (195.161.136.146) соответствует имени cards для авторизации карточек.
 Т.е. для имен типа 1234567890@cards
 Все работает.  IOS - c5300-is-mz.121-17 (12.1.17 IP Plus)
 
 Теперь переезжаем на AS5350 - больше потоков, больше модемов.
 IOS - c5350-is-mz.122-2.XB10 (12.2XB10 IP Plus), пробовал также
 c5350-is-mz.122-2.XB8 - результат одинаковый
 Переносим конфигурацию один в один - обычный dialup работает, @cards нет.
 Делаем debug radius debug ppp authen, получаем:
 .....
 00:07:03: As1/72 PAP: I AUTH-REQ id 40 len 33 from
 "1234567890@195.161.136.146"
 00:07:03: As1/72 PAP: Authenticating peer 1234567890@195.161.136.146
 00:07:03: As1/72 PPP: Phase is FORWARDING, Attempting Forward
 00:07:03: As1/72 PPP: Phase is AUTHENTICATING, Unauthenticated User
 00:07:03: As1/72 PPP: Sent PAP LOGIN Request
 00:07:03: RADIUS: directed-server 195.161.136.146 extracted from username "1
 
 234567890
 @195.161.136.146"
 00:07:03: RADIUS:  AAA Unsupported     [91]  21
 00:07:03: RADIUS:   41 73 79 6E 63 31 2F 37 32 2A 53 65 72 69 61 6C
 [Async1/72*
 Serial]
 00:07:03: RADIUS:   33 2F 30                                         [3/0]
 00:07:03: RADIUS/ENCODE(00000003): Unsupported AAA attribute
 parent-interface
 00:07:03: RADIUS/ENCODE(00000003): Unsupported AAA attribute
 parent-interface-ty
 pe
 00:07:03: RADIUS/ENCODE(00000003): acct_session_id: 3
 00:07:03: RADIUS(00000003): sending
 00:07:03: RADIUS: directed-request server 195.161.136.146 is not in list
 00:07:03: RADIUS: Using first server in list.
 00:07:03: RADIUS: Send to unknown id 0 195.161.136.12:1645, Access-Request,
 len
 122
 .....
 
 Прекрасно видно, что адрес сервера авторизации 195.161.136.146 из имени
 достается, а потом заявляется мол
 "directed-request server 195.161.136.146 is not in list"
 и запрос отправляется на первый radius сервер в списке :(
 Если первых 2 сервера "вывести из строя", например сменить key на
 неправильный, и они станут dead, то авторизация автоматически попадет на
 3-й (195.161.136.146) и проходит, т.е. взаимодействие с radius-сервером
 нормальное.
 Вопрос - чего не хватает и что это за list в котором этого 195.161.136.146
 нет?
 
 Сейчас конфигурация уже немного другая, но все равно radius-server
 directed-request
 не работает с теми же симптомами.
 .....
 aaa group server radius radppp
  server 195.161.136.12 auth-port 1645 acct-port 1646
  server 195.161.136.5 auth-port 1645 acct-port 1646
  server 195.161.136.146 auth-port 1645 acct-port 1646
 
 aaa authentication ppp default local group radppp
 aaa accounting suppress null-username
 aaa accounting network default start-stop group radppp
 aaa session-id common
 .....
 radius-server host 195.161.136.12 auth-port 1645 acct-port 1646 key
 bla-bla-bla
 radius-server host 195.161.136.5 auth-port 1645 acct-port 1646 key
 bla-bla-bla
 radius-server host 195.161.136.146 auth-port 1645 acct-port 1646 key
 bla-bla-bla
 radius-server retransmit 4
 radius-server timeout 6
 radius-server deadtime 1
 radius-server directed-request restricted
 radius-server attribute 44 include-in-access-req
 .....
 
 Дмитрий
 --- ifmail v.2.15dev5
  * Origin: UNKNOWN (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Hе работает radius-server directed-request	Dmitri Lubimkov	07 Feb 2003 11:01:04

Архивное /ru.cisco/89685bfa4190.html, оценка 3 из 5, голосов 10