Anticisco
http://anticisco.ru/forum/

Ка азавести маршрутизатор с vrf на ACS
http://anticisco.ru/forum/viewtopic.php?f=9&t=1375
Страница 1 из 1

Автор:  LeeoN [ 20 янв 2011, 15:43 ]
Заголовок сообщения:  Ка азавести маршрутизатор с vrf на ACS

Добрый день !
Имеется Cisco IOS Software, 3800 Software (C3845-ENTSERVICES-M), Version 12.4(15)T4, REL
EASE SOFTWARE (fc2)

на нем подняты vrf , ACS виден через vrf VT

Ввел команды :

aaa new-model
!
!
aaa group server tacacs+ TEST
server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)

ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10
!
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+

Но почему то работать не хочет, подскажите пожалуйста что не так ?
Заранее спасибо!

Автор:  Fedia [ 20 янв 2011, 18:40 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

а g0/0.10 в этом ВРФе?

Автор:  LeeoN [ 20 янв 2011, 20:55 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
а g0/0.10 в этом ВРФе?

Да как раз в этом !

Автор:  Fedia [ 20 янв 2011, 21:20 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

В старых IOS не было, а в новых есть команда настройки группы аутентификации:

aaa group server tacacs {NAME}
ip vr forwarding {VRFNAME}

Автор:  LeeoN [ 21 янв 2011, 09:13 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
В старых IOS не было, а в новых есть команда настройки группы аутентификации:

aaa group server tacacs {NAME}
ip vr forwarding {VRFNAME}


:?: Так у меня это все уже введено

Цитата:
aaa group server tacacs+ TEST
server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)

ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10

Автор:  Fedia [ 21 янв 2011, 11:37 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF"

Автор:  LeeoN [ 21 янв 2011, 12:07 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF"


Цитата:
ip vr forwarding {VRFNAME}
- это опечатка или нет (vr или vrf)

Какую команду нужно ввести чтоб посылать такакс трафик в нужный vrf ?

Автор:  Fedia [ 21 янв 2011, 13:31 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Ну вы попробуйте :)

vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет


Из контекста вроде понятно, что мы говорим про VRF

Автор:  LeeoN [ 21 янв 2011, 16:10 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
Ну вы попробуйте :)

vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет


Из контекста вроде понятно, что мы говорим про VRF



Из всего вышеперечисленного я понял - что все настройки введены правильно и в чем причина того что данная схема не работает вы Вы не знаете ! Так ?

Автор:  Fedia [ 21 янв 2011, 17:59 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Я не вижу в вашем конфиге в настройке TACACS сервера строчки
ip vrf forwarding {VRFNAME}

Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?

Сразу не понятно

Автор:  LeeoN [ 24 янв 2011, 09:28 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
Я не вижу в вашем конфиге в настройке TACACS сервера строчки
ip vrf forwarding {VRFNAME}

Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?

Сразу не понятно



Пробела нет в конфиге, ссори за непонятную надпись !
!
aaa group server tacacs+ ncuks
server-private 10.10.10.10 key 7 13061E010803
ip vrf forwarding VT
ip tacacs source-interface GigabitEthernet0/0.10
!

Автор:  Fedia [ 24 янв 2011, 13:46 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Мда, сорри тогда.

Похоже на какой-то косяк ИОСа. (как фол последней надежды :))

Автор:  LeeoN [ 24 янв 2011, 13:56 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
Мда, сорри тогда.

Похоже на какой-то косяк ИОСа. (как фол последней надежды :))

Спасибо за желание помочь !

Хотелось бы до конца разобраться в вопросе

gw(config-sg-tacacs+)#?
TACACS+ Server-group commands:
accounting Accounting specific command
default Set a command to its defaults
exit Exit from TACACS+ server-group confguration mode
ip Internet Protocol config commands
no Negate a command or set its defaults
server Specify a TACACS server
server-private Define a private TACACS server (per group)



чем отличается команда server от server-private и в каком случае вводиться default?

Автор:  Fedia [ 24 янв 2011, 15:32 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

default - означает все сбросить. Например, чтобы начать все заново.

server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.

А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?
А сам сервак обращения видит?
Может на ACS надо явно указать, что данный ААА клиент только из ВРФа?

Автор:  LeeoN [ 24 янв 2011, 18:00 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Fedia писал(а):
default - означает все сбросить. Например, чтобы начать все заново.

server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.

А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?
А сам сервак обращения видит?
Может на ACS надо явно указать, что данный ААА клиент только из ВРФа?


Такое ощущение что маршрутизатор даже не пытается подключаться так-как логин пароль спрашивает сразу - даже не задумывается ! (ASA (см. ниже) так жене фиксирует прохождение пакетов)

команда ping vrf VT 10.10.10.10 проходит на ура )

(между маршрутизатором и ACS стоит ASA ) она при пингах фиксирует то что source IP 10.17.8.49 - это ip GigabitEthernet0/0.10 - который мы указали в настройках !

Fedia писал(а):
А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит?

не проходит , но он и не проходит на тех маршрутизаторах, которые подключены к ACS и нормально функционируют !

Автор:  LeeoN [ 28 янв 2011, 16:47 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Проблема решилась !!!
Все оказалось банально (обычная невнимательность) :D
вместо
Цитата:
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+


,а надо было писать
Цитата:
aaa authentication login default group TEST local enable
aaa authentication enable default group TEST enable
aaa authorization exec default group TEST local
aaa accounting exec default stop-only group TEST
aaa accounting commands 15 default stop-only group TEST

Спасибо "Fedia" за помощь !!!

Автор:  Fedia [ 28 янв 2011, 18:41 ]
Заголовок сообщения:  Re: Ка азавести маршрутизатор с vrf на ACS

Тьфу ты, действительно :)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/