Инструкция по настройке SE100 для схемы авторизации non-DHCP
Ericsson SmartEdge SE100
Для маршрутизаторов Ericsson серии Smartedge начиная с версии программного обеспечения SEOS-12.1.1.2 появилась возможность настроить систему авторизации без привязки к MAC адресу или адресу порта коммутатора, привязываясь только к IP адресу.
Триггером такой сессии является первый транзитный IP пакет от неизвестного адреса.
Система авторизации получила название non-DHCP, что означает привязка любого адреса получившего адрес IP из пула провайдера. Пакеты с src IP не попадающим в range в service-policy не вызывают срабатывание авторизации и маршрутизируются по умолчанию.
Ниже, в инструкции, мы приведем примеры настройки non-DHCP для маршрутизатора Ericsson SE100, уровней L2 и L3.
Для начала обновим версию прошивки. На сентябрь 2013 года рекомендуемая версия SEOS 12.1.1.4p3.
После обновления операционной системы SE100 или другой модели Smartedge, вывод команды sh ver должен отразить следующее:
[local]Redback#sh ver
Redback Networks SmartEdge OS Version SEOS-12.1.1.4p3-Release
Built by sysbuild@eussjlx7011.sj.us.am.ericsson.se Fri Aug 30 02:28:58 PDT 2013
Copyright (coffee) 1998-2013, Redback Networks Inc. All rights reserved.
System Bootstrap version is PowerPC,rev2.0.1.4
Installed minikernel version is 2.7
Router Up Time – 19 days, 23 hours 19 minutes 3 secs
Теперь приступим к настройке Non-dhcp CLIPS L2:
Создаём service-policy с именем policy_1 и задаём диапазон ip адресов:
service-policy name policy_1
allow clips ip range 10.16.180.2 10.16.180.254
Создаём контекст с именем nondhcp:
context nondhcp
Создаём интерфейс с именем int_1, прописываем ip адрес и задаём подсеть для подключения к интерфейсу:
interface int_1 multibind
ip address 10.16.180.1/24
ip pool 10.16.180.0/24
Создаём интерфейс с именем int_loop, прописываем ip адрес:
interface int_loop loopback
ip address 10.16.178.0/32
no logging console
Настраиваем подключение к радиусу:
aaa authentication administrator local
aaa authentication administrator maximum sessions 1
aaa authentication subscriber radius
aaa encrypted-password default 123456789123
aaa accounting subscriber radius
radius accounting server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11513
radius coa server 10.16.176.18 encrypted-key 1234567898765432123456789 port 3899
radius server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11512
Прописываем роутинг:
ip route 0.0.0.0/0 context bgp
context bgp
no ip domain-lookup
Прописываем роутинг:
ip route 0.0.0.0/0 10.16.176.57
ip route 10.16.178.0/32 context nondhcp
ip route 10.16.180.0/24 context nondhcp
Настраиваем порт 2/1 прописываем vlan-ы:
port ethernet 2/1
no shutdown
encapsulation dot1q
dot1q pvc 1
bind interface inet bgp
dot1q pvc 2
service clips auto-detect context nondhcp service-policy policy_1
Теперь приступим к настройке Non-dhcp CLIPS L3:
Создаём service-policy с именем policy_1 и задаём диапазон ip адресов:
service-policy name policy_1
allow clips ip range 10.16.180.2 10.16.180.254
Создаём контекст с именем nondhcp:
context nondhcp
Создаём интерфейс с именем int_l3, прописываем ip адрес:
interface int_l3
ip address 192.168.112.1/24
Создаём интерфейс с именем int_loop, прописываем ip адрес:
interface int_loop loopback
ip address 10.16.178.0/32
no logging console
Настраиваем подключение к радиусу:
aaa authentication administrator local
aaa authentication administrator maximum sessions 1
aaa authentication subscriber radius
aaa encrypted-password default 123456789123
aaa accounting subscriber radius
radius accounting server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11513
radius coa server 10.16.176.18 encrypted-key 1234567898765432123456789 port 3899
radius server 10.16.176.35 encrypted-key 1234567898765432123456789 port 11512
Прописываем роутинг:
ip route 0.0.0.0/0 context bgp
ip route 10.16.180.32/27 192.168.112.2
context bgp
no ip domain-lookup
Прописываем роутинг:
ip route 0.0.0.0/0 10.16.176.57
ip route 10.16.178.0/32 context nondhcp
ip route 10.16.180.0/24 context nondhcp
Настраиваем порт 2/1 прописываем vlan-ы:
port ethernet 2/1
no shutdown
encapsulation dot1q
dot1q pvc 1
bind interface inet bgp
dot1q pvc 2
bind interface int_l3 nondhcp
service clips auto-detect direct context nondhcp service-policy policy_1
Все!
Параметры, которые приходят на радиус в Access-Request запросе для Non-dhcp Сlips:
› User-Name = “10.4.1.1”
› User-Password = “Redback”
› Service-Type = Outbound-User
› NAS-Identifier = “BNG”
› NAS-Port = 50397184
› NAS-Real-Port = 822083985
› NAS-Port-Type = Virtual
› NAS-Port-Id = “3/1 vlan-id 401”
› Medium-Type = DSL
› Calling-Station-Id = “BNG#3/1#401#”
› Platform-Type = 6
› OS-Version = “12.1.2.1
Russian
Armenian
English
French
German
Italian
Mongolian
Spanish