Автор |
Сообщение |
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Добрый день ! Имеется Cisco IOS Software, 3800 Software (C3845-ENTSERVICES-M), Version 12.4(15)T4, REL EASE SOFTWARE (fc2)
на нем подняты vrf , ACS виден через vrf VT
Ввел команды :
aaa new-model ! ! aaa group server tacacs+ TEST server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)
ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10 ! aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default stop-only group tacacs+ aaa accounting commands 15 default stop-only group tacacs+
Но почему то работать не хочет, подскажите пожалуйста что не так ? Заранее спасибо!
|
20 янв 2011, 15:43 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
а g0/0.10 в этом ВРФе?
|
20 янв 2011, 18:40 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): а g0/0.10 в этом ВРФе? Да как раз в этом !
|
20 янв 2011, 20:55 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
В старых IOS не было, а в новых есть команда настройки группы аутентификации:
aaa group server tacacs {NAME} ip vr forwarding {VRFNAME}
|
20 янв 2011, 21:20 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): В старых IOS не было, а в новых есть команда настройки группы аутентификации:
aaa group server tacacs {NAME} ip vr forwarding {VRFNAME} Так у меня это все уже введено Цитата: aaa group server tacacs+ TEST server-private 10.10.10.10 key 7 13061E010803 (где 10.10.10.10 - ACS)
ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10
|
21 янв 2011, 09:13 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF"
|
21 янв 2011, 11:37 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): У вас введено "использовать вот такой адрес источника" а не "посылать такакас трафик вот в этот VRF" Цитата: ip vr forwarding {VRFNAME} - это опечатка или нет (vr или vrf) Какую команду нужно ввести чтоб посылать такакс трафик в нужный vrf ?
|
21 янв 2011, 12:07 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну вы попробуйте vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет Из контекста вроде понятно, что мы говорим про VRF
|
21 янв 2011, 13:31 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): Ну вы попробуйте vr - опечатка, но смысла не меняет, ибо отработает как сокращение от vrf. Там других атрибутов на vr нет Из контекста вроде понятно, что мы говорим про VRF Из всего вышеперечисленного я понял - что все настройки введены правильно и в чем причина того что данная схема не работает вы Вы не знаете ! Так ?
|
21 янв 2011, 16:10 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Я не вижу в вашем конфиге в настройке TACACS сервера строчки ip vrf forwarding {VRFNAME}
Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?
Сразу не понятно
|
21 янв 2011, 17:59 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): Я не вижу в вашем конфиге в настройке TACACS сервера строчки ip vrf forwarding {VRFNAME}
Или она идет после пробела (см. пост с конфигом) все еще в режиме настройки aaa server?
Сразу не понятно Пробела нет в конфиге, ссори за непонятную надпись ! ! aaa group server tacacs+ ncuks server-private 10.10.10.10 key 7 13061E010803 ip vrf forwarding VT ip tacacs source-interface GigabitEthernet0/0.10 !
|
24 янв 2011, 09:28 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Мда, сорри тогда. Похоже на какой-то косяк ИОСа. (как фол последней надежды )
|
24 янв 2011, 13:46 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): Мда, сорри тогда. Похоже на какой-то косяк ИОСа. (как фол последней надежды ) Спасибо за желание помочь ! Хотелось бы до конца разобраться в вопросе gw(config-sg-tacacs+)#? TACACS+ Server-group commands: accounting Accounting specific command default Set a command to its defaults exit Exit from TACACS+ server-group confguration mode ip Internet Protocol config commands no Negate a command or set its defaults server Specify a TACACS server server-private Define a private TACACS server (per group) чем отличается команда server от server-private и в каком случае вводиться default?
|
24 янв 2011, 13:56 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
default - означает все сбросить. Например, чтобы начать все заново.
server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.
А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? А сам сервак обращения видит? Может на ACS надо явно указать, что данный ААА клиент только из ВРФа?
|
24 янв 2011, 15:32 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Fedia писал(а): default - означает все сбросить. Например, чтобы начать все заново.
server-private - чтобы ТАКАКС использовался только для этого ВРФ, по идее.
А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? А сам сервак обращения видит? Может на ACS надо явно указать, что данный ААА клиент только из ВРФа? Такое ощущение что маршрутизатор даже не пытается подключаться так-как логин пароль спрашивает сразу - даже не задумывается ! (ASA (см. ниже) так жене фиксирует прохождение пакетов) команда ping vrf VT 10.10.10.10 проходит на ура ) (между маршрутизатором и ACS стоит ASA ) она при пингах фиксирует то что source IP 10.17.8.49 - это ip GigabitEthernet0/0.10 - который мы указали в настройках ! Fedia писал(а): А телнет на ACS на 49 порт от имени интерфейса g0/0 проходит? не проходит , но он и не проходит на тех маршрутизаторах, которые подключены к ACS и нормально функционируют !
|
24 янв 2011, 18:00 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Проблема решилась !!! Все оказалось банально (обычная невнимательность) вместо Цитата: aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default stop-only group tacacs+ aaa accounting commands 15 default stop-only group tacacs+
,а надо было писать Цитата: aaa authentication login default group TEST local enable aaa authentication enable default group TEST enable aaa authorization exec default group TEST local aaa accounting exec default stop-only group TEST aaa accounting commands 15 default stop-only group TEST
Спасибо "Fedia" за помощь !!!
|
28 янв 2011, 16:47 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Тьфу ты, действительно
|
28 янв 2011, 18:41 |
|
|