Newsgroups: fido7.ru.cisco From: dan@amtel.ru From: dan@amtel.ru In article ?3866886099@access.forpost.ru?, ?Alexander Kirilin? ?internet@access.forpost.ru? wrote: > Теперь дурацкий вопрос - когда я это включил,у меня киска обрадовалась и > попыталась авторизовать и выделенки тоже,хотя там и упоминания про > аутентификацию нет....как это выключить ? Я уж по-всякому крутил..... и явно > назначал авторизацию со списком,в котором стоит none....всяко короче.Все > равно оно желает авторизоваться.А мне б этого не надо...... > Подскажи,как это убрать....счас полезу комманды и примеры смотреть - может > что сам найду. > По умолчанию что-то включено,что оно авторизует ВСЕ...... > > Alex > > Когда включается aaa authorize network tacacs+ , в IOS' ах pre- 11.3(3)T, авторизация прикладывается только ко всем интерфейсам одновременно. E.g. если имеется N асинхронных интерфейсов и N синхронных с инкапсуляцией PPP, то на синхронных интерфейсах при запуске IPCP тоже происходит авторизация. Если выключить authentication на конкретном интерфейсе, из debug aaa видно, что запрос на авторизацию идет с нулевым (пустым) именем. Таким образом, если не принимать специальных мер, aaa authorize network tacacs+ не дает работать выделенным PPP каналам с отключенной (отсутствующей) аутентификацией совместно с аутентифицируемыми/авторизуемыми dialup. Внешние симптомы проблемы (периодичность flapping'а интерфейса) варьируются для разных версий IOS. Поскольку создать локального пустого пользователя на маршрутизаторе невозможно, существуют всего три пути решения проблемы: 1. Hастроить аутентификацию на выделенных PPP, создать для них в tacacs+ авторизацию. 2. Создать в tacacs'е запись вида: # This user is used to simulate aaa authorization # for PPP run on leased lines # Permits PPP only on Serial[0-1] user = "" before authorization "/usr/local/sbin/pre_authorize $port" service = ppp protocol = ip { } } Где /usr/local/sbin/pre_authorize что-то вроде: #/bin/sh if test $1 = "Serial0" || test $1 = "Serial1" ; then exit 0 else exit 1 fi 3. Радикально решить проблему переходом на 11.3(3)T, где можно сделать так: ! aaa new-model aaa authorization network default tacacs+ if-authenticated aaa authorization network NULL none ! interface Serial0/0 encapsulation ppp ppp authorization NULL !