внешний радиус с dACL

IlikeTrains

Здравствуйте, сообщество! Я пытаюсь реализовать следующий сценарий: RADIUS-запросы от «промежуточного клиента» должны перенаправляться в нашу LAB-ISE. Звучит просто? Да, и это работает до тех пор, пока ACCESS-ACCEPT с dACL не отправляется обратно в Authenticator, и Authenticator не пытается загрузить dACL. По крайней мере, я могу сказать, что перенаправление запроса и внешняя аутентификация/авторизация работают нормально. В этом случае dACL остается проблематичным. Я уже отследил и проанализировал tcpdump по этому вопросу и попытался разработать условия для сопоставления ACCESS-REQUEST для загрузки dACL. На уровне пакетов у меня есть следующие поля для фильтрации: - Cisco AV-Pairs (aaa:service=ip_admission, val=aaa:event=acl-download)

• Message-Authenticator
• User-Name (с именем dACL)
• NAS-IP-Address Я постарался сопоставить имя dACL, чтобы инициировать перенаправление на LAB-ISE, я бы добавил что-нибудь, чтобы идентифицировать запрос по имени. Я уже пробовал условие «Radius:User-Name» равно «#ACSACL#-IP-this_very_good_default-3938d9» (вместе с другими операторами) или «NetworkAccess:UserName», но это не сработало. Перенаправление по «NAS-IP-Address» также не увенчалось успехом. Затем я выполнил отладку конечной точки, чтобы обнаружить любые ошибки/опечатки, и в отладочном выводе поле иногда именовалось «UserName». Мой клиент хочет тестировать своих клиентов в любой точке нашей инфраструктуры без изменения сетевых устройств и без простого доверительного отношения к тестовому ЦС в нашей производственной среде. Мне очень
  интересно, сталкивался ли кто-нибудь с такой же проблемой и как она была решена. Должен ли я что-то исключить из строки, чтобы она соответствовала, или это вообще возможно? Спасибо за помощь
  ![]

IlikeTrains

Я спросил об этом TAC, и получил ответ, что эти запросы не могут быть сопоставлены, поскольку они не соответствуют установленной политике. Принимающая PSN будет напрямую выдавать dACL.