Есть брас на основе Juniper MX сейчас работает в режиме PPPoE, но встала необходимость прикрутить параллельно еще и IPoE и так вопрос, джунипер понимает для данной схемы авторизации радиус атрибуты. Есть ли возможность подружить UTM5 и Juniper MX с IPoE через радиус, чтоб получилась примерно такая схема:
Клиент подключен к ONU через gepon, при авторизации мак клиента или онушки передается по грядке свичей в виде 82 опции к джуниперу, он берет этот мак проверяет через радиус и если такая учетка есть в не заблокированных то выдает по DHCP параметры подключения плюс дополнительно навешивает динамический шейпер в зависимости от тарифа клиента. Уже трижды перечитал доку по UTM, но не нашел как реализовать такую схему, вроди как DHCP и Radius не связанные части системы. Если кто делал что-то похожее пните в нужном направлении, описание опций, которые понимает джун через радиус:
http://juniper.tw/techpubs/en_US/junos1 ... rview.html
Изпользование radius для DHCP option 82 возможно ли?
Можно надеяться на поддержку радиуспар для Juniper MX? Просто сейчас в том-же PPPoE шейпер приходится навешивать через костыль вида:serjk писал(а):Сейчас занимаемся аналогичным функционалом для Cisco ISG, войдет в 5.3-003, первые сборки будут в начале нового года.
Код: Выделить всё
/bin/echo "Acct-Session-Id='$1', ERX-Service-Activate:1=svc-pppoe-policer-$3m" | /usr/bin/radclient -x $2 coa $COA_PASSWORD > /dev/null 2>&1а с Linux ISG работать будет? ([хотя чего не будетserjk писал(а):Сейчас занимаемся аналогичным функционалом для Cisco ISG, войдет в 5.3-003, первые сборки будут в начале нового года.
)
Последний раз редактировалось banec Пн дек 22, 2014 10:18, всего редактировалось 1 раз.
-
torrus
- Сообщения: 73
- Зарегистрирован: Чт фев 02, 2012 16:10
- Откуда: Александров
- Контактная информация:
Re: Изпользование radius для DHCP option 82 возможно ли?
Вот из-за этого я не смог запустить на редбаке SE100 dhcp proxyRico-X писал(а):... Уже трижды перечитал доку по UTM, но не нашел как реализовать такую схему, вроди как DHCP и Radius не связанные части системы. ...
Внутр. сервер рэдбака хорош,но гибкости нет ессно.А,без связности DHCP и Radius UTM5,у меня эрик плюётся и не авторизовывает абонов.Пичалька вобщем.Сорри за некропост, но т.к. тема поднята мной, сообщаю что схему реализовал, пришлось полностью отказаться от модуля DHCP. Для UTM все рулится средствами джунипера, связка всего этого счастья идет через Radius. На одних и тех-же виланах идет совместная работа как PPPoE так и DHCP Option82, при этом можно использовать одни и те-же пулы для динамической выдачи адресов. UTM не требует ни какой допилки, прикрученный криво isg нафиг не упал, но благодаря ему я начал глубоко копать тему и он подкинул идею реализации. Если кому интересно - пишите, если нафиг никому не нужна такая схема, не вижу смысла тратить время на описание.
Можно как ответил Shiva, но я делал так. В качестве браса стоит JuniperMX на нем же запущен DHCP сервер, настроен так:Nik0n писал(а): Опиши плиз главную идею - как авторизоваться в RADIUS UTM5 по параметрам Options 82 (допустим BRAS умеет отдавать Agent-Circuit-Id и Agent-Remote-Id).
Код: Выделить всё
pool-match-order {
external-authority;
ip-address-first;
option-82;
}
group IPoE-Opt82 {
authentication {
password IPoE-Opt82;
username-include {
user-prefix Opt82;
option-82 remote-id;
}
}
dynamic-profile dhcp-user-profile;
interface demux0.0 {
overrides {
process-inform;
}
}
}
Код: Выделить всё
username-include {
user-prefix Opt82;
option-82 remote-id;Пример ответа UTM-radius для такого запроса:
Код: Выделить всё
radtest -t pap opt82.fcfaf7c575d8 IPoE-Opt82 XX.XX.6.6 1812 RadiusPassword
Sending Access-Request of id 103 to ХХ.ХХ.6.6 port 1812
User-Name = "opt82.fcfaf7c575d8"
User-Password = "IPoE-Opt82"
NAS-IP-Address = XX.XX.6.6
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host XX.XX.6.6 port 1812, id=103, length=45
Service-Type = Framed-User
Framed-Protocol = PPP
Acct-Interim-Interval = 700
Framed-Pool = "POOL1"Код: Выделить всё
Type: DHCP
User Name: Opt82.FCFAF7C5BF59
IP Address: ХХ.ХХ.112.32
IP Netmask: 255.255.248.0
Primary DNS Address: ХХ.ХХ.6.38
Secondary DNS Address: ХХ.ХХ.52.193
Logical System: default
Routing Instance: default
Interface: demux0.250
Interface type: Static
Underlying Interface: demux0.250
Dynamic Profile Name: dhcp-user-profile
Dynamic Profile Version: 1
MAC Address: 00:24:01:ad:be:18
Idle Timeout (seconds): 600
State: Active
Radius Accounting ID: 718769
Session ID: 718769
VLAN Id: 250
Agent Circuit ID: len 5
00 fa 00 09 02
Agent Remote ID: len 6
fc fa f7 c5 bf 59
Login Time: 2015-09-22 16:59:08 GMT-3
Service Sessions: 1
DHCP Options: len 86
35 01 01 3d 07 01 00 24 01 ad be 18 0c 07 44 49 52 2d 33 30
30 3c 0b 75 64 68 63 70 20 30 2e 39 2e 38 32 04 5f d7 73 b1
37 07 01 03 06 0f 2c 2e 2f 52 23 01 05 00 fa 00 09 02 02 06
fc fa f7 c5 bf 59 09 12 00 00 0c f8 0d 01 0b 4f 4c 54 5f 41
76 74 6f 64 65 6c
IP Address Pool: POOL4
Service Session ID: 718770
Service Session Name: svc-pppoe-policer-100m
Service Session Version: 1
State: Active
Family: inet
IPv4 Input Filter Name: policer-100m-pp0.1073803305-in
IPv4 Output Filter Name: policer-100m-pp0.1073803305-out
-
Nik0n
- Сообщения: 77
- Зарегистрирован: Пн сен 14, 2009 13:53
- Откуда: Екатеринбург
- Контактная информация:
Вот он ключевой момент:
К сожалению Redback SE100 так не умеет.
Как я и говорил он отдает Options82 только в Agent-Circuit-Id и Agent-Remote-Id, а в UserName для IPoE передает MAC (либо IP).
Спасибо за информацию.
Код: Выделить всё
username-include {
user-prefix Opt82;
option-82 remote-id;Как я и говорил он отдает Options82 только в Agent-Circuit-Id и Agent-Remote-Id, а в UserName для IPoE передает MAC (либо IP).
Спасибо за информацию.