Настройка cisco с поддеркой ISG

Материал из BiTel WiKi

Перейти к: навигация, поиск

Вот конфигурация циски, которая у нас работала на тестовом стенде. Авторизация происходит по dhcp opt.82 Мы выбрали так чтоб она происходила без вписания логина и пароля на странице авторизации. Тоетьс абонент втыкает провод, по dhcp получает IP адрес и в зависимости от того - разрешена ли ему авторизация или нет, если не разрешена, то что бы он не набрал - его будет релееть на страницу статистики. Поехали. Это первый вариант, чуть позже отформатирую статью.

!
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius SERVER_GROUP1
server 10.10.10.1 auth-port 1812 acct-port 1813
!
aaa authentication login AUTHEN_LIST1 group SERVER_GROUP1
aaa authorization network default group SERVER_GROUP1
aaa authorization subscriber-service AUTHOR_LIST1 group SERVER_GROUP1
aaa accounting delay-start all
aaa accounting update periodic 5
aaa accounting network ACCNT_LIST1 start-stop group SERVER_GROUP1
!
aaa nas port extended
!
!
!
!
aaa session-id unique
!
!
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
no ip domain lookup
redirect server-group REDIRECT_SERVER_GROUP1
server ip 10.10.10.9 port 80           // куда релееть
!
!
!
subscriber authorization enable
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
policy-map type control RULE_IP_SESSION2a
class type control always event session-start
30 authorize aaa list AUTHOR_LIST1 password 123 identifier circuit-id
40 service-policy type service name SERVICE_406_L4R
!
class type control always event session-restart
30 authorize aaa list AUTHOR_LIST1 password 123 identifier circuit-id
40 service-policy type service name SERVICE_406_L4R
!
class type control always event account-logon
10 authenticate aaa list AUTHEN_LIST1
!
class type control always event service-stop
1 service-policy type service unapply identifier service-name
10 log-session-state
!
!
!
!
!
!
!
interface Loopback0
!
interface Loopback12
no ip address
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip mroute-cache
duplex full
no cdp enable
!
interface FastEthernet0/0.300
encapsulation dot1Q 300
ip address 10.10.10.25 255.255.255.248
ip helper-address 10.10.10.1
no cdp enable
service-policy type control RULE_IP_SESSION2a
ip subscriber routed
initiator dhcp class-aware
!
interface FastEthernet1/0
ip address 10.10.10.18 255.255.255.252
no ip redirects
ip nat outside
ip flow ingress
no ip mroute-cache
duplex full
no cdp enable
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.17
no ip http server
no ip http secure-server
!
!
!
ip radius source-interface FastEthernet1/0
access-list 135 permit ip any host 10.10.10.9
access-list 135 deny ip any any
access-list 199 deny ip any host 10.10.10.9
access-list 199 permit tcp any any eq www
no cdp run
 
radius-server attribute 44 include-in-access-req vrf default
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server host 10.10.10.1 auth-port 1812 acct-port 1813 key aaacisco
radius-server retransmit 5
radius-server timeout 30
radius-server directed-request
radius-server vsa send accounting
radius-server vsa send authentication
!
Личные инструменты