Anticisco http://anticisco.ru/forum/ |
|
Ка азавести маршрутизатор с vrf на ACS http://anticisco.ru/forum/viewtopic.php?f=9&t=1375 |
Страница 1 из 1 |
Автор: | LeeoN [ 20 янв 2011, 15:43 ] |
Заголовок сообщения: | Ка азавести маршрутизатор с vrf на ACS |
Добрый день ! Имеется Cisco IOS Software, 3800 Software (C3845-ENTSERVICES-M), Version 12.4(15)T4, REL EASE SOFTWARE (fc2) на нем подняты vrf , ACS виден через vrf VT Ввел команды : aaa new-model ! ! aaa group server tacacs+ TEST server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS) ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10 ! aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default stop-only group tacacs+ aaa accounting commands 15 default stop-only group tacacs+ Но почему то работать не хочет, подскажите пожалуйста что не так ? Заранее спасибо! |
Автор: | Fedia [ 20 янв 2011, 18:40 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
а g0/0.10 в этом ВРФе? |
Автор: | LeeoN [ 20 янв 2011, 20:55 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): а g0/0.10 в этом ВРФе? Да как раз в этом ! |
Автор: | Fedia [ 20 янв 2011, 21:20 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
В старых IOS не было, а в новых есть команда настройки группы аутентификации: aaa group server tacacs {NAME} ip vr forwarding {VRFNAME} |
Автор: | LeeoN [ 21 янв 2011, 09:13 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): В старых IOS не было, а в новых есть команда настройки группы аутентификации: aaa group server tacacs {NAME} ip vr forwarding {VRFNAME} Так у меня это все уже введено Цитата: aaa group server tacacs+ TEST server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS) ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10 |
Автор: | Fedia [ 21 янв 2011, 11:37 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF" |
Автор: | LeeoN [ 21 янв 2011, 12:07 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF" Цитата: ip vr forwarding {VRFNAME} Какую команду нужно ввести чтоб посылать такакс трафик в нужный vrf ? |
Автор: | Fedia [ 21 янв 2011, 13:31 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Ну вы попробуйте vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет Из контекста вроде понятно, что мы говорим про VRF |
Автор: | LeeoN [ 21 янв 2011, 16:10 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): Ну вы попробуйте vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет Из контекста вроде понятно, что мы говорим про VRF Из всего вышеперечисленного я понял - что все настройки введены правильно и в чем причина того что данная схема не работает вы Вы не знаете ! Так ? |
Автор: | Fedia [ 21 янв 2011, 17:59 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Я не вижу в вашем конфиге в настройке TACACS сервера строчки ip vrf forwarding {VRFNAME} Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server? Сразу не понятно |
Автор: | LeeoN [ 24 янв 2011, 09:28 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): Я не вижу в вашем конфиге в настройке TACACS сервера строчки ip vrf forwarding {VRFNAME} Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server? Сразу не понятно Пробела нет в конфиге, ссори за непонятную надпись ! ! aaa group server tacacs+ ncuks server-private 10.10.10.10 key 7 13061E010803 ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10 ! |
Автор: | Fedia [ 24 янв 2011, 13:46 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Мда, сорри тогда. Похоже на какой-то косяк ИОСа. (как фол последней надежды ) |
Автор: | LeeoN [ 24 янв 2011, 13:56 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): Мда, сорри тогда. Похоже на какой-то косяк ИОСа. (как фол последней надежды ) Спасибо за желание помочь ! Хотелось бы до конца разобраться в вопросе gw(config-sg-tacacs+)#? TACACS+ Server-group commands: accounting Accounting specific command default Set a command to its defaults exit Exit from TACACS+ server-group confguration mode ip Internet Protocol config commands no Negate a command or set its defaults server Specify a TACACS server server-private Define a private TACACS server (per group) чем отличается команда server от server-private и в каком случае вводиться default? |
Автор: | Fedia [ 24 янв 2011, 15:32 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
default - означает все сбросить. Например, чтобы начать все заново. server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее. А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? А сам сервак обращения видит? Может на ACS надо явно указать, что данный ААА клиент только из ВРФа? |
Автор: | LeeoN [ 24 янв 2011, 18:00 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Fedia писал(а): default - означает все сбросить. Например, чтобы начать все заново. server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее. А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? А сам сервак обращения видит? Может на ACS надо явно указать, что данный ААА клиент только из ВРФа? Такое ощущение что маршрутизатор даже не пытается подключаться так-как логин пароль спрашивает сразу - даже не задумывается ! (ASA (см. ниже) так жене фиксирует прохождение пакетов) команда ping vrf VT 10.10.10.10 проходит на ура ) (между маршрутизатором и ACS стоит ASA ) она при пингах фиксирует то что source IP 10.17.8.49 - это ip GigabitEthernet0/0.10 - который мы указали в настройках ! Fedia писал(а): А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? не проходит , но он и не проходит на тех маршрутизаторах, которые подключены к ACS и нормально функционируют ! |
Автор: | LeeoN [ 28 янв 2011, 16:47 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Проблема решилась !!! Все оказалось банально (обычная невнимательность) вместо Цитата: aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default stop-only group tacacs+ aaa accounting commands 15 default stop-only group tacacs+ ,а надо было писать Цитата: aaa authentication login default group TEST local enable aaa authentication enable default group TEST enable aaa authorization exec default group TEST local aaa accounting exec default stop-only group TEST aaa accounting commands 15 default stop-only group TEST Спасибо "Fedia" за помощь !!! |
Автор: | Fedia [ 28 янв 2011, 18:41 ] |
Заголовок сообщения: | Re: Ка азавести маршрутизатор с vrf на ACS |
Тьфу ты, действительно |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |