Уважаемый All!
Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000.
В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS).
asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin
Настройки Циски пишу с комментариями для тех, кому будет необходимо:
!
bba-group pppoe PPPoE
virtual-template 1
sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию
sessions per-vlan limit 1000
sessions auto cleanup
!
!
interface GigabitEthernet0/0/1.10
description -Old PPPoE Users-
encapsulation dot1Q 10
pppoe enable group PPPoE
!
!
interface Virtual-Template111
description -- Rossiyskiy PPPoE --
mtu 1492
ip unnumbered Loopback0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip tcp adjust-mss 1440
no logging event link-status
no peer default ip address
! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет.
keepalive 60
ppp mtu adaptive
ppp authentication chap pap ms-chap-v2 callin ISG-GROUP
! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации.
! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не
! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel
ppp authorization ISG-GROUP
ppp accounting ISG-GROUP
ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1
ppp ipcp mask 255.255.255.255
ppp ipcp address required
ppp timeout idle 1800
service-policy type control ISG-CONTROL
!
!
policy-map type control ISG-CONTROL
class type control always event session-start
10 authenticate aaa list ISG-GROUP
20 service local
!
!
!
policy-map type service SERVICE-10M
service-policy input POLICY-10M-IN
service-policy output POLICY-10M-OUT
!
!
policy-map POLICY-10M-OUT
class class-default
shape average 11000000
policy-map POLICY-10M-IN
class class-default
police cir 11000000 bc 256000 conform-action transmit exceed-action drop
!
ip nat settings pap
ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 180
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 120
ip nat translation max-entries all-host 512
! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками
no ip nat service ftp
ppp packet throttle 30 1 30
! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала
! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти.
То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу.
А вот теперь вопрос, ради которого всё это и писалось.
При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни.
Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS,
пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0.
Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.
