shefys Опубликовано 1 мая, 2011 · Жалоба давайте я вам всех "блондинок", которым на работе корп. доступ в виде PPTP сделали, и просто всех хороших людей со старыми и никому ненужными протоколами, буду переводить в Сан Хосе. и вы им будете объяснять, а лучше за них платить навязанную услугу внешнего адреса :) да, блондинок здесь и вправду не хватает ;) На самом деле, я понимаю, что если что-то не работает, то виноват провайдер. Есть несколько вариантов решения: 1) использовать ALG (на PPA этого не будет). 2) делать отдельный "белый" пул адресов, который вешать на сессии "проблемных" клиентов. 3) выдавать серый адрес юзерам, но делать NAT 1:1 - в таком случае другие пользователи не будут плакать, что у них серые, а вот у этих белые адреса. 4) ничего не делать, посылать пользователей к их админам 5) предлагать использовать IPv6 :) 6) можно попытаться редиректить такой трафик на специальную машинку, занимающуюся ALG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 2 мая, 2011 · Жалоба Помогите начинающему ериксоноводу, пытаюсь на se 100 настроить сервер доступа l2tp, может кто поделится примером конфигурации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 2 мая, 2011 · Жалоба По документации максимум смог извлечь информации чтоб накидать такой конфиг aaa accounting l2tp tunnel radius aaa accounting l2tp session radius radius accounting server x.x.x.x encrypted-key xxxx ! l2tp-peer default description vpn.ru session-auth chap function lns-only ! Клиент к серверу даже не пытается подключиться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 (изменено) · Жалоба минимальная настройка следующая ! context local ! interface loop loopback ip address 1.1.1.1/32 ! ! interface uplink ip address x.x.x.x/30 ! interface downlink ip address y.y.y.y/30 ! interface subs multibind lastresort ip unnumbered loop logging console ! aaa authentication subscriber radius ! radius server 10.126.131.167 encrypted-key 3828082561D6BDD6 ! ! l2tp-peer unnamed local 1.1.1.1 session-auth chap context local function lns-only ! ! ** End Context ** ! port ethernet 2/2 no shutdown medium-type copper encapsulation dot1q dot1q pvc 100 bind uplink local dot1q pvc 200 bind downlink local ! Абоненты приходят по l2tp в контекст local на адрес 1.1.1.1 и там же происходит их аутентификация. Если есть необходимость, то сами тунели l2tp можно опускать в один котекст, а идущие внутри ррр сессии в другой. Ну и не забыть для примера выше добавить маршруты для радиус, плюс default (или запустить динамический протокол маршрутизации). P.S. Забыл сказать, что для данного примера вам нужно с радиуса присылать адрес абоненту в Framed-IP-Address Изменено 2 мая, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 2 мая, 2011 · Жалоба Кидает в лог следущее при попытке подключения Aug 7 05:51:06: %L2TP-6-TUNNEL: MikroTik: Couldn't create peer for incoming SCCRQ Вот текущий конфиг ! context bras ! no ip domain-lookup ! interface loop loopback ip address 172.16.0.1/32 ! interface subs multibind ip unnumbered loop ! interface uplink description -g2/1- ip address x.x.x.x/27 ip mtu 1500 ip icmp suppress packet-too-big ip arp timeout 900 ip access-group DropIn in ! interface user ! interface users description -g2/2- ip address 192.168.0.20/24 ip mtu 1500 ip icmp suppress packet-too-big ip arp timeout 900 ip access-group PermitIn in logging console ip martian 10.0.0.0/8 ip martian 192.168.0.0/24 ! ip access-list DropIn seq 10 deny ip 10.0.0.0 0.255.255.255 any seq 20 deny ip 169.254.0.0 0.0.255.255 any seq 30 deny ip any 10.0.0.0 0.255.255.255 seq 40 deny ip any 169.254.0.0 0.0.255.255 seq 50 deny ip any 192.168.0.0 0.0.255.255 seq 1000 permit ip any any ! ip access-list PermitIn seq 10 permit ip 192.168.0.0 0.0.0.255 seq 20 permit ip 10.0.0.0 0.255.255.255 ! enable authentication local ! aaa authentication administrator local aaa authentication administrator maximum sessions 1 aaa authentication subscriber radius aaa accounting l2tp tunnel radius aaa accounting l2tp session radius radius accounting server 192.168.0.253 encrypted-key xxxx ! radius server 192.168.0.253 encrypted-key xxxx ! ip route 10.0.0.0/8 192.168.0.254 ! l2tp-peer unnamed local 172.16.0.1 session-auth chap context bras function lns-only ! ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 (изменено) · Жалоба вот тут попробуйте подправить (чтоб как в моем примере было) interface subs multibind lastresort Изменено 2 мая, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 2 мая, 2011 · Жалоба сделал эффект тотже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 · Жалоба покажите плиз show config port, show radius server. С какого ip приходят пакеты от клиента? какой ip указан в качестве vpn сервера на клиенте? Клиент его пингует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 · Жалоба если они должны цепляться на 192.168.0.20 то переделайте вот тут: ! l2tp-peer unnamed local 192.168.0.20 session-auth chap context bras function lns-only ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 · Жалоба ok :), чтоб долго не гадать - качните policy how to с нага, там все самое необходимое расписано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 2 мая, 2011 · Жалоба ну профили вроде несложно настроить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 мая, 2011 · Жалоба вопрос: в коммутаторах доступа присутствует функция igmp authentication, смысл её заключается в том при каждом запросе группы, она предварительно аутентифицируется через RADIUS, так же задействован MVR(ISM), и L3 роутер отдаёт мультикаст через отдельный VLAN(не пользовательский). в концепции единой точки оказания услуг(vlan-per-customer) предусматривается единая точка оказания - BRAS(предположим он же отдаёт мультикаст), но если поменять схему(убрать IGMP Auth и MVR с доступа) и сделать чтобы BRAS аутентифицировал IGMP запросы(каналы которые можно смотреть) то теряется масштабируемость, фактически мультикаст превращается в юникаст. Возможно ли в SE сделать RADIUS прокси, т.е. в качестве радиус сервера на коммутаторе будет указан адрес SE, при ААА абонента(static/dynamic CLIPS) SE передаётся профиль пользователя(мультикаст влан,разрешённые группы, мак адрес приставки), и при запросе канала(кстати запрос придёт в мультикаст влане, с подделаным IP адресом, но мак адресом приставки) SE уже отвечал коммутатору, и соответственно пускал группу в мультикаст влане? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 2 мая, 2011 · Жалоба сейчас реализована фича, которая позволяет принимать контрольные сообщения igmp в выделенном, не абонентском dot1q pvc, как от известных, так и от неизвестных абонентских маков (регулируется). Соответсвенно, в этот же pvc она отдает сам мультикаст. Детали сейчас точно не помню, это работает для рррое точно, могу проверить для clips. Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 мая, 2011 · Жалоба Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно? это часть проблемы. интересно было бы, чтобы BRAS аутентифицировал каналы(на основании один раз выданного профиля через RADIUS), но точкой оказания этой услуги всё равно выступает коммутатор, просто он будет должен запрашивать у BRAS, а не у центрального RADIUS сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 2 мая, 2011 · Жалоба ingress а зачем? логичнее для этого юзать отдельный радиус, который будет рулить igmp в соотвествии с биллингом или чем надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 мая, 2011 · Жалоба а зачем? а за тем что радиус должен быть один, а не 100500 под каждую фенечку, и он должен ААА абонента проводить с одной точки, вот эта одна точка и есть BRAS(а не тысячи коммутаторов), биллинг выдал ему профиль IPTV для пользователя, а дальше BRAS решает что давать а что нет, просто "вентиль" услуги в данном случае всё равно находится на коммутаторе, просто потому что "вентиль" на самом BRAS не возможен в условиях масштабируемости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 3 мая, 2011 · Жалоба блин теперь не удается победить OSPF Вот конфиг на циске(5 цисок все работает): router ospf 99 router-id 1.1.1.1 log-adjacency-changes redistribute connected subnets passive-interface default no passive-interface FastEthernet0/1 network x.x.x.x 0.0.1.255 area 1 network y.y.y.y 0.0.0.31 area 0 Вот конфиг эриксона(циски не видит...): router ospf 99 fast-convergence router-id 1.1.1.2 area 0.0.0.0 passive interface uplink summary-address y.y.y.y/27 area 0.0.0.1 passive redistribute subscriber summary-address x.x.x.x/23 В доке както туговато с примерами( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 3 мая, 2011 · Жалоба обе арии сделали пассивными, а значит и все интерфейсы в них, попробуйте убрать passive Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 3 мая, 2011 · Жалоба странно passive убрал заработало... хотя это неправильно... чтото я тогда недопонял смысл passive, видимо это не тоже что у циски passive-interface default Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 3 мая, 2011 · Жалоба Почему неправильно? в документации написано, что если команда passive применяется к арии, то она делает пассивными все интерфейсы в этой арии. В SE конфигурация арии наполняется интерфейсами явно, т.е. либо вы указываете имя интерфейса, либо ip, но не wildcard. Т.о. необходимость в команде passive-interface default (cisco) нет, т.к. логика тут немного другая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smiler999 Опубликовано 3 мая, 2011 · Жалоба Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 3 мая, 2011 · Жалоба Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER. <host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE> | <host>---<access_sw>----dot1q-------+ ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smiler999 Опубликовано 3 мая, 2011 (изменено) · Жалоба Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER. <host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE> | <host>---<access_sw>----dot1q-------+ ... А по подробнее нету схемы с описанием для новичков что называется... И немного непонятно как будет устроена архитектура внутри сети,я какие адреса начиная с SE и заканчивая user. Изменено 3 мая, 2011 пользователем smiler999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 3 мая, 2011 · Жалоба осталось победить нетфлоу... пытаюсь создать ip профиль нужных команд невижу... [local]bras(config)#flow ? admission-control Configure Flow Admission-Control и все.... а по доке flow ip profile profile-name Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
carleone Опубликовано 3 мая, 2011 · Жалоба Действительно, а есть ли success story PPPoE + netflow? А то IPoE, IPoE... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...