Настройка Non-DHCP для SmartEdge

Инструкция по настройке SE100 для схемы авторизации non-DHCP

Ericsson SmartEdge SE100

Ericsson SmartEdge SE100

Для маршрутизаторов Ericsson серии Smartedge начиная с версии программного обеспечения SEOS-12.1.1.2 появилась возможность настроить систему авторизации без привязки к MAC адресу или адресу порта коммутатора, привязываясь только к IP адресу.

Триггером такой сессии является первый транзитный IP пакет от неизвестного адреса.

Система авторизации получила название non-DHCP, что означает привязка любого адреса получившего адрес IP из пула провайдера. Пакеты с src IP не попадающим в range в service-policy не вызывают срабатывание авторизации и маршрутизируются по умолчанию.

Ниже, в инструкции, мы приведем примеры настройки non-DHCP для маршрутизатора Ericsson SE100, уровней L2 и L3.

Для начала обновим версию прошивки. На сентябрь 2013 года рекомендуемая версия SEOS 12.1.1.4p3.

После обновления операционной системы SE100 или другой модели Smartedge, вывод команды sh ver должен отразить следующее:

[local]Redback#sh ver

Redback Networks SmartEdge OS Version SEOS-12.1.1.4p3-Release

Built by sysbuild@eussjlx7011.sj.us.am.ericsson.se Fri Aug 30 02:28:58 PDT 2013

Copyright (coffee) 1998-2013, Redback Networks Inc. All rights reserved.

System Bootstrap version is PowerPC,rev2.0.1.4

Installed minikernel version is 2.7

Router Up Time — 19 days, 23 hours 19 minutes 3 secs

Теперь приступим к настройке Non-dhcp CLIPS L2:

Создаём service-policy с именем policy_1 и задаём диапазон ip адресов:

service-policy name policy_1

allow clips ip range 10.16.180.2 10.16.180.254

Создаём контекст с именем nondhcp:

context nondhcp

Создаём интерфейс с именем int_1, прописываем ip адрес и задаём подсеть для подключения к интерфейсу:

interface int_1 multibind

ip address 10.16.180.1/24

ip pool 10.16.180.0/24

Создаём интерфейс с именем int_loop, прописываем ip адрес:

interface int_loop loopback

ip address 10.16.178.0/32

no logging console

Настраиваем подключение к радиусу:

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa encrypted-password default 123456789123

aaa accounting subscriber radius

radius accounting server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11513

radius coa server 10.16.176.18 encrypted-key 1234567898765432123456789 port 3899

radius server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11512

Прописываем роутинг:

ip route 0.0.0.0/0 context bgp

context bgp

no ip domain-lookup

Прописываем роутинг:

ip route 0.0.0.0/0 10.16.176.57

ip route 10.16.178.0/32 context nondhcp

ip route 10.16.180.0/24 context nondhcp

Настраиваем порт 2/1 прописываем vlan-ы:

port ethernet 2/1

no shutdown

encapsulation dot1q

dot1q pvc 1

bind interface inet bgp

dot1q pvc 2

service clips auto-detect context nondhcp service-policy policy_1

Теперь приступим к настройке Non-dhcp CLIPS L3:

Создаём service-policy с именем policy_1 и задаём диапазон ip адресов:

service-policy name policy_1

allow clips ip range 10.16.180.2 10.16.180.254

Создаём контекст с именем nondhcp:

context nondhcp

Создаём интерфейс с именем int_l3, прописываем ip адрес:

interface int_l3

ip address 192.168.112.1/24

Создаём интерфейс с именем int_loop, прописываем ip адрес:

interface int_loop loopback

ip address 10.16.178.0/32

no logging console

Настраиваем подключение к радиусу:

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa encrypted-password default 123456789123

aaa accounting subscriber radius

radius accounting server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11513

radius coa server 10.16.176.18 encrypted-key 1234567898765432123456789 port 3899

radius server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11512

Прописываем роутинг:

ip route 0.0.0.0/0 context bgp

ip route 10.16.180.32/27 192.168.112.2

context bgp

no ip domain-lookup

Прописываем роутинг:

ip route 0.0.0.0/0 10.16.176.57

ip route 10.16.178.0/32 context nondhcp

ip route 10.16.180.0/24 context nondhcp

Настраиваем порт 2/1 прописываем vlan-ы:

port ethernet 2/1

no shutdown

encapsulation dot1q

dot1q pvc 1

bind interface inet bgp

dot1q pvc 2

bind interface int_l3 nondhcp

service clips auto-detect direct context nondhcp service-policy policy_1

Все!

Параметры, которые приходят на радиус в Access-Request запросе для Non-dhcp Сlips:

› User-Name = «10.4.1.1»

› User-Password = «Redback»

› Service-Type = Outbound-User

› NAS-Identifier = «BNG»

› NAS-Port = 50397184

› NAS-Real-Port = 822083985

› NAS-Port-Type = Virtual

› NAS-Port-Id = «3/1 vlan-id 401»

› Medium-Type = DSL

› Calling-Station-Id = «BNG#3/1#401#»

› Platform-Type = 6

› OS-Version = «12.1.2.1

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *