<![CDATA[внешний радиус с dACL]]>Здравствуйте, сообщество! Я пытаюсь реализовать следующий сценарий: RADIUS-запросы от «промежуточного клиента» должны перенаправляться в нашу LAB-ISE. Звучит просто? Да, и это работает до тех пор, пока ACCESS-ACCEPT с dACL не отправляется обратно в Authenticator, и Authenticator не пытается загрузить dACL. По крайней мере, я могу сказать, что перенаправление запроса и внешняя аутентификация/авторизация работают нормально. В этом случае dACL остается проблематичным. Я уже отследил и проанализировал tcpdump по этому вопросу и попытался разработать условия для сопоставления ACCESS-REQUEST для загрузки dACL. На уровне пакетов у меня есть следующие поля для фильтрации: - Cisco AV-Pairs (aaa:service=ip_admission, val=aaa:event=acl-download)

  • Message-Authenticator
  • User-Name (с именем dACL)
  • NAS-IP-Address Я постарался сопоставить имя dACL, чтобы инициировать перенаправление на LAB-ISE, я бы добавил что-нибудь, чтобы идентифицировать запрос по имени. Я уже пробовал условие «Radius:User-Name» равно «#ACSACL#-IP-this_very_good_default-3938d9» (вместе с другими операторами) или «NetworkAccess:UserName», но это не сработало. Перенаправление по «NAS-IP-Address» также не увенчалось успехом. Затем я выполнил отладку конечной точки, чтобы обнаружить любые ошибки/опечатки, и в отладочном выводе поле иногда именовалось «UserName». Мой клиент хочет тестировать своих клиентов в любой точке нашей инфраструктуры без изменения сетевых устройств и без простого доверительного отношения к тестовому ЦС в нашей производственной среде. Мне очень
    интересно, сталкивался ли кто-нибудь с такой же проблемой и как она была решена. Должен ли я что-то исключить из строки, чтобы она соответствовала, или это вообще возможно? Спасибо за помощь
    ![🙂]

]]>https://sla247.ru/forum/topic/2272/внешний-радиус-с-daclRSS for NodeFri, 15 May 2026 17:34:48 GMTMon, 02 Mar 2026 12:21:06 GMT60<![CDATA[Reply to внешний радиус с dACL on Mon, 02 Mar 2026 12:21:07 GMT]]>Я спросил об этом TAC, и получил ответ, что эти запросы не могут быть сопоставлены, поскольку они не соответствуют установленной политике. Принимающая PSN будет напрямую выдавать dACL.

]]>https://sla247.ru/forum/post/15994https://sla247.ru/forum/post/15994Mon, 02 Mar 2026 12:21:07 GMT