Сообщения без ответов | Активные темы Текущее время: 11 дек 2019, 07:10



Ответить на тему  [ Сообщений: 17 ] 
Ка азавести маршрутизатор с vrf на ACS 
Автор Сообщение

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Добрый день !
Имеется Cisco IOS Software, 3800 Software (C3845-ENTSERVICES-M), Version 12.4(15)T4, REL
EASE SOFTWARE (fc2)

на нем подняты vrf , ACS виден через vrf VT

Ввел команды :

aaa new-model
!
!
aaa group server tacacs+ TEST
server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)

ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10
!
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+

Но почему то работать не хочет, подскажите пожалуйста что не так ?
Заранее спасибо!


20 янв 2011, 15:43
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
а g0/0.10 в этом ВРФе?


20 янв 2011, 18:40
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
а g0/0.10 в этом ВРФе?

Да как раз в этом !


20 янв 2011, 20:55
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
В старых IOS не было, а в новых есть команда настройки группы аутентификации:

aaa group server tacacs {NAME}
ip vr forwarding {VRFNAME}


20 янв 2011, 21:20
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
В старых IOS не было, а в новых есть команда настройки группы аутентификации:

aaa group server tacacs {NAME}
ip vr forwarding {VRFNAME}


:?: Так у меня это все уже введено

Цитата:
aaa group server tacacs+ TEST
server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)

ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10


21 янв 2011, 09:13
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF"


21 янв 2011, 11:37
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF"


Цитата:
ip vr forwarding {VRFNAME}
- это опечатка или нет (vr или vrf)

Какую команду нужно ввести чтоб посылать такакс трафик в нужный vrf ?


21 янв 2011, 12:07
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Ну вы попробуйте :)

vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет


Из контекста вроде понятно, что мы говорим про VRF


21 янв 2011, 13:31
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
Ну вы попробуйте :)

vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет


Из контекста вроде понятно, что мы говорим про VRF



Из всего вышеперечисленного я понял - что все настройки введены правильно и в чем причина того что данная схема не работает вы Вы не знаете ! Так ?


21 янв 2011, 16:10
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Я не вижу в вашем конфиге в настройке TACACS сервера строчки
ip vrf forwarding {VRFNAME}

Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?

Сразу не понятно


21 янв 2011, 17:59
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
Я не вижу в вашем конфиге в настройке TACACS сервера строчки
ip vrf forwarding {VRFNAME}

Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?

Сразу не понятно



Пробела нет в конфиге, ссори за непонятную надпись !
!
aaa group server tacacs+ ncuks
server-private 10.10.10.10 key 7 13061E010803
ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10
!


24 янв 2011, 09:28
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Мда, сорри тогда.

Похоже на какой-то косяк ИОСа. (как фол последней надежды :))


24 янв 2011, 13:46
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
Мда, сорри тогда.

Похоже на какой-то косяк ИОСа. (как фол последней надежды :))

Спасибо за желание помочь !

Хотелось бы до конца разобраться в вопросе

gw(config-sg-tacacs+)#?
TACACS+ Server-group commands:
accounting Accounting specific command
default Set a command to its defaults
exit Exit from TACACS+ server-group confguration mode
ip Internet Protocol config commands
no Negate a command or set its defaults
server Specify a TACACS server
server-private Define a private TACACS server (per group)



чем отличается команда server от server-private и в каком случае вводиться default?


24 янв 2011, 13:56
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
default - означает все сбросить. Например, чтобы начать все заново.

server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.

А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?
А сам сервак обращения видит?
Может на ACS надо явно указать, что данный ААА клиент только из ВРФа?


24 янв 2011, 15:32
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Fedia писал(а):
default - означает все сбросить. Например, чтобы начать все заново.

server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.

А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?
А сам сервак обращения видит?
Может на ACS надо явно указать, что данный ААА клиент только из ВРФа?


Такое ощущение что маршрутизатор даже не пытается подключаться так-как логин пароль спрашивает сразу - даже не задумывается ! (ASA (см. ниже) так жене фиксирует прохождение пакетов)

команда ping vrf VT 10.10.10.10 проходит на ура )

(между маршрутизатором и ACS стоит ASA ) она при пингах фиксирует то что source IP 10.17.8.49 - это ip GigabitEthernet0/0.10 - который мы указали в настройках !

Fedia писал(а):
А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?

не проходит , но он и не проходит на тех маршрутизаторах, которые подключены к ACS и нормально функционируют !


24 янв 2011, 18:00
Профиль

Зарегистрирован: 20 янв 2010, 10:53
Сообщения: 103
Проблема решилась !!!
Все оказалось банально (обычная невнимательность) :D
вместо
Цитата:
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+


,а надо было писать
Цитата:
aaa authentication login default group TEST local enable
aaa authentication enable default group TEST enable
aaa authorization exec default group TEST local
aaa accounting exec default stop-only group TEST
aaa accounting commands 15 default stop-only group TEST

Спасибо "Fedia" за помощь !!!


28 янв 2011, 16:47
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Тьфу ты, действительно :)


28 янв 2011, 18:41
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB