Cisco Radiusd: NAS-Identifier

В логах Radius-а:
[acct_unique] WARNING: Attribute NAS-Identifier was not found in request, unique ID MAY be inconsistent                     


Смотрим дебуг и, действительно, Radius никакого NAS-Identifier не получает.

Включаем на Cisco:
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req


Теперь получаем:
NAS-Identifier = «myhost.domain.tld»

Cisco: DHCP для выдачи DNS-сервера IPv6-клиентам

Есть PPPoE-клиенты, которые получают IPv6-адреса через SLAAC, префикс сети передаётся Radius-сом, также из Radius-а передаётся маршрут на дополнительную подсеть. Но вот адрес DNS-сервера выдать клиенту можно пока только через DHCP. Команда «ipv6 nd ra-dns-server» не работает, avpair «ipv6-dns-servers-addr» тоже.

Впрочем настройка DHCP-сервера для этих задач совсем несложная, заодно передадим и домен по-умолчанию:
!
ipv6 dhcp server IPV6_DHCP
dns-server 2001:db8:1::1
domain-name elcat.kg
!
interface Virtual-Template1
ipv6 nd other-config-flag
ipv6 dhcp server IPV6_DHCP
!

Опция «ipv6 nd other-config-flag» указывает, кто хостам надо использовать DHCP для других настроек, кроме получения адреса:
Hosts should use DHCP for non-address config

Cisco: IPv6 OSPF

Как настраивать IPv6 на циске писать не буду, да и вообще обойдусь минимумов слов )

Роутер R1
!
interface Vlan111
description R1
ipv6 address FE80::12 link-local
ipv6 address 2001:0db8:1::219/64
ipv6 ospf mtu-ignore
ipv6 ospf 1 area 0
!
router ospfv3 1
router-id 1.1.1.219
passive-interface default
no passive-interface Vlan111
!
address-family ipv6 unicast
area 0 range 2001:0db8::/32
default-information originate
redistribute connected
redistribute static
exit-address-family
!

Роутер R2
!
interface Vlan111
description R2
ipv6 address 2001:0db8:1::247/64
ipv6 ospf 1 area 0
ipv6 ospf mtu-ignore
!
router ospfv3 1
router-id 1.1.1.247
!
address-family ipv6 unicast
passive-interface default
no passive-interface Vlan222
redistribute connected
redistribute static
area 0 range 2001:0db8::/32
exit-address-family
!


Без команды «ipv6 ospf mtu-ignore», заданной на интерфейсах соседи постоянно падают с жалобой «Neighbor Down: Too many retransmissions» и никакие маршруты не передаются.

Команда «default-information originate» на роутере R1 даёт указание роутеру отправлять соседям ещё и default-route.

Несколько команд, чтобы посмотреть интересную информацию:
sh ipv6 route ospf
sh ipv6 ospf database

Cisco: Ограничение прав для пользователя

Возникла необходимость завести на роутере Cisco пользователя с минимально необходимыми для наших задач правами.

Для начало нужно убедиться, что включено вот это:
aaa new-model
aaa authorization exec default local

Заводим нужного пользователя с минимальным уровнем привилегий (0):
username test privilege 0 password Pass1234

По-умолчанию уровень привилегий равен 1, так что зайдя под обычным пользователем вы будете на уровень выше.

Даём указанному уровню доступ к нужным командам:
privilege exec level 0 traceroute
privilege exec level 0 ping
privilege exec level 0 show ip
privilege exec level 0 show

Указанные разрешения рекурсивные, т.е. чтобы работало «show ip», надо разрешить и «show».
Посмотреть доступные команды можно войдя под этим пользователем и введя знак вопроса. При этом внимательный админ заметит, что разрешена команда «enable», нам это не нужно, а потому разрешаем её только для уровня 1 и выше:
privilege exec level 1 enable

Убрать ранее введённые привилегии можно вот так:
privilege exec reset traceroute

П.С. На всякий случай подстрахуйтесь и настройте доступ через консоль сразу в привилегированный режим:
line con 0
privilege level 15
Пароль будет запрощен, но уровень привилегий будет сразу максимальным. Это может помочь если ошибётесь с настройками привилегий.

Автоконфигурирование IPv6 на Cisco

Есть роутер Cisco, на соответствующем интерфейсе включен ipv6. Надо убедиться, что роутер не позволяет хостам из этой сети автоматически получать адрес ipv6 при помощи механизма SLAAC (Stateless Address Autoconfiguration).

Отключить выдачу адресов ipv6 по запросу на автоконфигурирование:
interface Vlan66
 ipv6 nd prefix default 300 300 no-autoconfig
!


Запретить отправку объявлений о том, что мы роутер (Router Advertisements — RA):
interface Vlan66
 ipv6 nd ra suppress all
!


Если на роутере запрещёна отправка RA, то хост не сможет получить префикс сети от роутера и, соответственно, назначить себе «реальный» адрес, т.е. хост шлёт запросы Router Solicitation, но не получает ответа от роутера, в котором и должен быть передан префикс сети и прочие данные.
Если отправка RA не запрещена, но запрещено автоконфигурирование, то протокол Neighbor Discovery работает, соседи видны, но только по локальным адресам (link-local), например:
cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AFEC                     1 001d.0fbe.afec  DELAY Vl66


Если хост получил от роутера префикс сети, то он назначает себе адрес на основе полученного префикса и своего MAC-адреса. И мы можем увидеть его на роутере:
cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AFEC                     0 001d.0fbe.afec  REACH Vl66
2001:db8::21D:FFF:FEBE:AFEC                0 001d.0fbe.afec  REACH Vl66


Короче говоря, чтобы работало автоконфигурирование нужно чтобы на циске были разрешены и автоконфигурирование и RA.

Даже если отключить на роутере RA уже после получения хостом адреса, связь через некоторое время пропадает. По крайней мере у меня так происходит между циской и CentOS 6.5. Обнаружение соседей (Neighbor Discovery) при этом работает. CentOS при попытке пингануть роутер ругается «Network is unreachable».