AdmSasha

Negator, Вы как с агрегатора до BRAS PPPoE пробрасываете ?

Так никто и не ответил. Это ограничение "bridge-group" или глюк прошивки ? Неужеле никто не сталкивался с подобным. Например, какое железо соразмеримое по цене с 3550 ? Существует фича pppoe-relay, то железки которые подерживают это, дороговатые.

По условию задачи убирать его нельзя.

У меня несколько 3550. На них я и хочу агрегировать все vlan. схема примерно такая [3550]----------[3550]-----------[3550]------------------[3550] | | | | [20x2950] [20x2950] [20x2950] [Linux, PPPoE-server]

Есть 3550 (c3550-ipservicesk9-mz.122-44.SE3.bin) Нужно создать 1000 интерфейсов vlan по типу interface Vlan1519 ip unnumbered Loopback200 ip access-group 101 in ip helper-address 10.2.0.2 bridge-group 1 ! ... <тут много interface vlan> ... bridge 1 protocol vlan-bridge bridge 1 route ip Но когда добавляю более чем 256, сыпятся в лог вот такие ошибоки Методом исключения, выяснил, что начитает сыпаться такое, когда на интерфейс назначаю "bridge-group 1", т.е. как будто бы у него такие ограничения. Кто сталкивался с таким ? Или кто знает как это можно обойти ? Цель, сделать подключение vlan-user, подключение к интернет через PPPoE (для этого bridge и нужен)

На одном из форумов появилась следующая новость. Если говорить о дальнейшем развитии, то сейчас ведется работа в отношении нашей биллинговой системы, которая нам позволит избавиться от NAT и серых адресов для клиентов. Тогда мы будем выдавать всем нашим абонентам реальные адреса динамически. И когда это будет реализовано, тогда раз в сутки будет прерываться сессия для смены IP-адреса - таковы требования предоставления услуги у головной компании. Действительно, очень много провайдеров разрывают сессии раз в сутки. Я никак не могу понять, зачем это может быть нужно ?

ip nat на 3550 нет. Прокси нет, это только если специально ставить.

Есть сеть, которая агрегируется на 3550. Необходимо сделать "гостевой vlan", т.е. так, чтобы какую я бы страницу (http,80) не пытался открыть, открывалась только моя, а там типа "Доступ закрыт, т.к. не заплатил )" По сути мне нужна команда типа редиректа (acl ?) с любой_ip:80 на мой_ip:80. Есть ли такое в cisco ?

Да, но этим от подделки IP не спасешь

Забыл, что возможен такой варинт. Проброс vlan не возможен.В пределах каждой 3550 стоит уникальные vlan (на 3550 vlan агрегируются). Две 3550 и 5350 общаются по своему vlan. На 3550 уже настраивается route куда кому ходить. Не вижу в чем невозможность проброски всех вланов на 5350? Пусть себе 3550 роутят что угодно куда угодно, это абсолютно не мешает транком кинуть все уникальные вланы абонентов на 5350. На пустом месте проблему нарыли. Во первых, 1000vlan == 1000 интерфейсов на 5350 ? Vlan уникальный только до своей 3550. Если я пропускать буду транком эти vlan, то нужно делать уникальным во всей сети ? 2950 не неподдеживают port security. Будет ли разумно гонять всех до 5350 и обратно, если можно гонять трафик только до 3550 ?

pppoe нужен всем, в вот доступ друг с другом не всем. Можно чуть подробнее, кодом ? Что это такое прочитал, но как это реализуется на cisco так и не нашел. Незнаю, оно или нет, но есть xconnect. Но её опять же нет на 3550..

Это понятно, но речь шла о PPPoE.

Забыл, что возможен такой варинт. Проброс vlan не возможен. [3550] ------------[3550]-------- [5350] | | [c2950] - [c2950] [c2950]-[c2950] В пределах каждой 3550 стоит уникальные vlan (на 3550 vlan агрегируются). Две 3550 и 5350 общаются по своему vlan. На 3550 уже настраивается route куда кому ходить.

есть такая схема [c2950] - [c2950] - [3550] - [5350] В 2950 подключен народ, некоторые из них должны видить друг-друга, а некорые нет. У каждого свой vlan. В 5350 запущен pppoe сервер. Собственно вопрос, как пробросить pppoe через 3550 ? relay pppoe на 3550 нет ( Есть возможность сделать на интерфейсах bridge, но как сделать чтобы бриджить только на определенный интерфейс (на тот куда подключена 3550)? Кто что посоветует ?

Имеется freeradius, cisco2950, WinXP_SP3, желание сделать авторизации по 802.1x по "md5 задача" Подскажите пример EAP авторизации через rlm_perl. Какие данные отдавать, чтобы порт включить. $RAD_REPLY{'Session-Timeout'} = "1412650"; $RAD_REPLY{'Tunnel-Type'} = "VLAN"; $RAD_REPLY{'Tunnel-Medium-Type'} = "IEEE-802"; $RAD_REPLY{'Tunnel-Private-Group-Id'} = "77"; $RAD_CHECK{'Auth-Type'} = 'Accept'; $RAD_REPLY{'Auth-Type'} = 'Accept'; Ничего не дают. authenticate { Auth-Type EAP { perl } }

Требуется каждому dialpeer назначать свой радиус сервер Пробую так ! aaa group server radius group1 server 192.168.128.82 auth-port 1812 acct-port 1813 ! aaa group server radius group_test server 192.168.128.65 auth-port 1812 acct-port 1813 ! aaa authentication login group_test group group_test aaa authentication login group1 group group1 aaa authorization exec group_test group group_test aaa authorization exec group1 group group1 aaa accounting connection group_test start-stop group group_test aaa accounting connection group1 start-stop group group1 ! aaa session-id common ! ! voice class aaa 20 authorization method group_test accounting method group_test ! voice class aaa 10 authorization method group1 accounting method group1 ! ! ! application service ivr_test flash:test.tcl paramspace russian location flash:prompts/ru/ param uid-len 9 param pin-len 0 paramspace russian prefix ru paramspace russian language ru paramspace russian index 1 ! service ivr_dogovor flash:dogovor.tcl paramspace russian location flash:prompts/ru/ param uid-len 9 param pin-len 0 paramspace russian prefix ru paramspace russian language ru paramspace russian index 1 ! package russian flash:ru_translate.tcl param prefix ru param language ru ! ! ! controller E1 1/0 framing NO-CRC4 pri-group timeslots 1-31 ! controller E1 1/1 ! controller E1 1/2 ! controller E1 1/3 gw-accounting aaa suppress pots ! ! translation-rule 1 Rule 0 ^. 9999# ! ! ! ! radius-server host 192.168.128.82 auth-port 1812 acct-port 1813 radius-server host 192.168.128.65 auth-port 1812 acct-port 1813 radius-server key 7 00140011 radius-server vsa send accounting radius-server vsa send authentication ! ! ! dial-peer voice 100 pots huntstop service ivr_dogovor voice-class aaa 10 incoming called-number 47003 ! dial-peer voice 500 pots huntstop service ivr_test voice-class aaa 20 incoming called-number 47009 ! authentication и authorization проходит тама где и предузумевается, но accounting идет только в тот радиус, который первым стоит в конфиге. Прошивка: c5350-jk9s-mz.124-7a.bin

Как с cisco5350 выслать пакет на радиус со своим придуманым полем, например, "X-BILLING-HP=23543" ? На радиус стороне, достаточно в справочнике забить это поле. А вот как принять и отправить это поле с cisco непонятно.... Возможно ли это вообще ?

Схема ISDN->cisco5350->mcca(IVR) interface Serial1/0:15 no ip address encapsulation hdlc isdn switch-type primary-net5 isdn incoming-voice modem isdn send-alerting no isdn gtd no cdp enable ! dial-peer voice 2 pots huntstop incoming called-number 47001 no digit-strip direct-inward-dial port 1/0:D forward-digits all ! dial-peer voice 20 voip tone ringback alert-no-PI incoming called-number 47001 destination-pattern 47001 session target ipv4:192.168.128.82 dtmf-relay h245-alphanumeric ! Звонок сбрасывается... Но если делать через донабор, то всё нормально... Что недоуказал ? Цель, на телефон 47001 сразу перебросить звонок на mcca, которая по адресу 192.168.128.82