djserg-minyar

Ребята всем привет, а подскажите, делал ли кто аналог Cisco доступа с распределением Юзеров по Вланам в зависимости от Radius атрибут? Dynamic VLAN Assignment with RADIUS У нас на Cisco точках подобное работает без проблем. А вот на микротике вроде тоже недавно заточили, но что то с наскоку не получилось поднять. Использовал статью с МУМа https://mum.mikrotik.com//presentations/CN16/presentation_3107_1461137144.pdf Прописал Radius видновый (NPS) в микротике. С аналогично, что прописано в Циске. Авторизация проходит успешно, Accept пакеты прилетают, в логах NPS есть удачная авторизация. Но вот не выдает никак клиенту адрес, по настройкам аналогичным из статьи. т.е. в ответе от radius в микротик должен прилететь атрибут Vlan-Id, CapsMan исходя из этих настроек, должен выдать клиенты телефон из нужного dhcp. Но не выдает(( Может кто настраивал аналогичную схему, подскажите что не так.

Добрый день Покупали у вас http://shop.nag.ru/catalog/00007.Avtomatizatsiya-i-monitoring/05629.ERD-Kontrollery/10591.SNR-ERD-23 и 3 датчика к нему http://shop.nag.ru/catalog/00007.Avtomatizatsiya-i-monitoring/06630.Datchiki/08428.SNR-DTS хотели получать информацию с него по SNMP, что бы добавить в мониторинг MRTG основную информацию получаю по запросу snmpwalk -v 1 -c public 192.168.100.21 1.3.6.1 iso.3.6.1.2.1.1.1.0 = STRING: "Fmv_10.1" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.40418.2.3 iso.3.6.1.2.1.1.5.0 = STRING: "ERD-3.4_46:245" iso.3.6.1.2.1.2.2.1.1.0 = INTEGER: 1 iso.3.6.1.2.1.2.2.1.6.0 = Hex-STRING: F8 F0 82 02 2E F5 iso.3.6.1.2.1.4.20.1.1.0 = IpAddress: 192.168.100.21 iso.3.6.1.4.1.40418.2.3.1.1.0 = IpAddress: 192.168.100.21 iso.3.6.1.4.1.40418.2.3.1.2.0 = IpAddress: 192.168.100.251 iso.3.6.1.4.1.40418.2.3.1.3.0 = IpAddress: 0.0.0.0 iso.3.6.1.4.1.40418.2.3.1.4.0 = IpAddress: 0.0.0.0 iso.3.6.1.4.1.40418.2.3.2.1.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.2.2.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.2.3.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.1.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.2.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.3.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.4.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.5.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.6.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.7.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.3.8.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.4.1.0 = INTEGER: 27 iso.3.6.1.4.1.40418.2.3.4.2.1.0 = Hex-STRING: 28 80 EF C6 04 00 00 EF iso.3.6.1.4.1.40418.2.3.4.2.2.0 = INTEGER: 48 iso.3.6.1.4.1.40418.2.3.4.2.3.0 = Hex-STRING: 28 42 E2 C5 04 00 00 7A iso.3.6.1.4.1.40418.2.3.4.2.4.0 = INTEGER: 54 iso.3.6.1.4.1.40418.2.3.4.3.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.4.4.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.4.5.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.4.6.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.5.1.0 = STRING: "public" iso.3.6.1.4.1.40418.2.3.5.2.0 = INTEGER: 0 iso.3.6.1.4.1.40418.2.3.5.3.0 = STRING: "ALARM" iso.3.6.1.4.1.40418.2.3.5.4.0 = STRING: "ALARM2" iso.3.6.1.4.1.40418.2.3.5.5.0 = STRING: "1st sensor" iso.3.6.1.4.1.40418.2.3.5.6.0 = STRING: "2nd sensor" iso.3.6.1.4.1.40418.2.3.5.7.0 = STRING: "3rd sensor" End of MIB Какой параметр из него это показания температуры?

И вот эти две с этими настройками при подключении к интерфейсу gi0/0 напрямую, все работало без всяких проблем. собственно мало, что изменилось только интерфейс на котором необходимо pppoe поднимать.

по второй схеме подключения получил вот такой лог вывода, чего то не хватает ему Mar 10 18:40:30: Sending PADI: Interface = GigabitEthernet0/0 Mar 10 18:40:30: PPPoE 0: I PADI R:0007.7d7a.b3a0 L:ffff.ffff.ffff Vl501 Mar 10 18:40:30: Service tag: NULL Tag Mar 10 18:40:30: PPPoE 0: O PADO, R:0007.7d7a.b3a3 L:0007.7d7a.b3a0 Vl501 Mar 10 18:40:30: Service tag: NULL Tag Mar 10 18:40:30: PPPoE 0: I PADO R:0007.7d7a.b3a3 L:0007.7d7a.b3a0 Gi0/0 Mar 10 18:40:32: PPPOE: we've got our pado and the pado timer went off Mar 10 18:40:32: OUT PADR from PPPoE Session Mar 10 18:40:32: PPPoE 0: I PADR R:0007.7d7a.b3a0 L:0007.7d7a.b3a3 Vl501 Mar 10 18:40:32: Service tag: NULL Tag Mar 10 18:40:32: PPPoE : encap string prepared Mar 10 18:40:32: [5]PPPoE 5: Access IE handle allocated Mar 10 18:40:32: [5]PPPoE 5: AAA unique ID 15 allocated Mar 10 18:40:32: [5]PPPoE 5: Virtual-template lookup failed Mar 10 18:40:32: PPPoE 0: O PADS R:0007.7d7a.b3a0 L:0007.7d7a.b3a3 Vl501 Mar 10 18:40:32: [5]PPPoE 5: Destroying R:0007.7d7a.b3a0 L:0007.7d7a.b3a3 Vl501 Mar 10 18:40:32: [5]PPPoE 5: AAA account stopped Mar 10 18:40:32: [5]PPPoE 5: session not in hash Mar 10 18:40:32: PPPoE 0: I PADS R:0007.7d7a.b3a3 L:0007.7d7a.b3a0 Gi0/0 Mar 10 18:40:32: IN PADS from PPPoE Session Mar 10 18:40:32: PPPoE: pppoe_pad_err: AC: Cannot open PPPoE session. Mar 10 18:40:32: PPPoE : Shutting down client session Mar 10 18:40:32: PPPoE : Failed to notify platform about session shutdown, no vaccess swidb Mar 10 18:40:32: [0]PPPoE 0: O PADT R:0000.0000.0000 L:0000.0000.0000 Gi0/0 без aaa new-model ругался в попытках авторизации Mar 10 18:46:07: AAA/ACCT: Can't allocate event without aaa new-model Mar 10 18:46:07: AAA/ACCT: Can't allocate event without aaa new-model включил aaa new-model на авторизацию стал получать данный ответ Mar 10 18:44:15: AAA/ACCT/CLIENT(0000001F): recv 1000000000bps xmit 1000000000bps Mar 10 18:44:15: AAA/ACCT/HC(0000001F): Register PPPoE/3E000010 64 bit counter support not configured Mar 10 18:44:15: AAA/ACCT/HC(0000001F): Update PPPoE/3E000010 Mar 10 18:44:15: AAA/ACCT/HC(0000001F): no HC PPPoE/3E000010 Mar 10 18:44:15: AAA/ACCT/EVENT/(0000001F): CALL START Mar 10 18:44:15: Getting session id for NET(0000001F) : db=3075000C Mar 10 18:44:15: AAA/ACCT(00000000): add node, session 3 Mar 10 18:44:15: AAA/ACCT/NET(0000001F): add, count 1 Mar 10 18:44:15: AAA/ACCT/EVENT/(0000001F): NET DOWN Mar 10 18:44:15: AAA/ACCT/NET(0000001F): Method list not found Mar 10 18:44:15: AAA/ACCT(0000001F): del node, session 3 Mar 10 18:44:15: AAA/ACCT/NET(0000001F): free_rec, count 0 Mar 10 18:44:15: /AAA/ACCTNET(0000001F) reccnt 0, csr FALSE, osr 0 Mar 10 18:44:15: AAA/ACCT/CLIENT(0000001F): recv 1000000000bps xmit 1000000000bps Mar 10 18:44:15: AAA/ACCT/HC(0000001F): Update PPPoE/3E000010 Mar 10 18:44:15: AAA/ACCT/HC(0000001F): no HC PPPoE/3E000010 Mar 10 18:44:15: AAA/ACCT/EVENT/(0000001F): CALL STOP Mar 10 18:44:15: AAA/ACCT(0000001F) reccnt 0, osr 0 Смущает данное сообщение

совсем не обязательно, вланы обозначены в начале конфига, а транковый порт их и так пропустит. Но чем не совет, попробовал, не помогло((( Mar 10 18:30:27: padi timer expired Mar 10 18:30:27: Sending PADI: Interface = Vlan501 Mar 10 18:30:43: padi timer expired Mar 10 18:30:43: Sending PADI: Interface = Vlan501 Mar 10 18:30:56: padi timer expired

Пробовал немного переработать схему, один из портов HWIC загнал в нужный влан, и соединил перемычкой их с GI0/1 interface GigabitEthernet0/0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 interface GigabitEthernet0/1/4 description to_PPPoE_Link switchport access vlan 501 no ip address interface GigabitEthernet0/1/7 description from Linksys switchport mode trunk no ip address interface Vlan100 ip vrf forwarding ID_HOST no ip dhcp client request dns-nameserver ip address dhcp ip nat outside ip virtual-reassembly in ! interface Vlan501 no ip address interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly in max-reassemblies 1024 encapsulation ppp ip tcp adjust-mss 1436 dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname LOGIN ppp chap password 7 PASS no cdp enable ip nat inside source route-map PPPoE-NAT interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 схема чуть изменилась логи pppoe аналогичные. Если подключить на прямую к gi0/1 то pppoe поднимается без проблем.

Всем добрый день, имеем CISCO1941W-A/K9 с IOS c1900-universalk9-mz.SPA.154-3.M1.bin хочется поднять на нем pppoe которое прокинуто от провайдера через коммутатор Вланом с коммутатора Linksys SRW208MP обоих провайдеров принимаю на коммутатор Access портами и данные порты загоняю в вланы 100 (для провайдера который дает DHCP) и Влан501 (для провайдера который дает PPPoE) и транком прогоняю эти вланы в циску. Далее на циске принимаю их с транкового порта при попытке повесить pppoe на int vlan пишет H(config-if)# INT VLAN 501 H(config-if)# pppoe enable group global H(config-if)# pppoe-client dial-pool-number 1 %The preferred method for configuring a pppoe-client is on an ethernet sub-interface кроме данного лога, более ничего не получаю полный листинг конфига vlan 100 name provider1 vlan 501 name Provider2 interface GigabitEthernet0/1/7 description from Linksys switchport mode trunk no ip address interface Vlan100 ip vrf forwarding ID_HOST no ip dhcp client request dns-nameserver ip address dhcp ip nat outside ip virtual-reassembly in ! interface Vlan501 no ip address pppoe enable group global pppoe-client dial-pool-number 1 interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly in max-reassemblies 1024 encapsulation ppp ip tcp adjust-mss 1436 dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname LOGIN ppp chap password 7 PASS no cdp enable ip nat inside source route-map PPPoE-NAT interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 схема сети

все верно, так и делал. Он оповещает об этом в консоли.

в общем провел еще один Эксперимент. С ПК (10.255.255.1), Цех 1 - пингую Cisco3750 (10.255.255.3) без проблем, очень редко проскакивают пинги до сервера (10.255.255.4) с Циски 3750 (10.255.255.3), пингую только машину в Цехе1 (10.255.255.1) когда SYSTEM MTU было 1546 пролазили пинги только с mtu 1500 Request 51 timed out (size 1501) Success rate is 0 percent (0/55) сделал system mtu 1500 Reply to request 41 (1 ms) (size 1491) Reply to request 42 (1 ms) (size 1492) Reply to request 43 (9 ms) (size 1493) Reply to request 44 (1 ms) (size 1494) Reply to request 45 (1 ms) (size 1495) Reply to request 46 (8 ms) (size 1496) Request 47 timed out (size 1497) Request 48 timed out (size 1498) Request 49 timed out (size 1499) Request 50 timed out (size 1500) Request 51 timed out (size 1501) Request 52 timed out (size 1502) Request 53 timed out (size 1503) Request 54 timed out (size 1504) но вопрос, почему трафик icmp так избирательно ходит, собственно в этот момент ничего не работает(((

На сколько понял, данная команда NATIV VLAN начинает с ТЕГОМ передавать через TRUNK порты. По идее данная команда никак не должна была повлиять. Или я ошибаюсь?

В общем не поднялось(( может, что в конфиге не так, но на эксперимент времени очень мало было. Порты подключения чуть изменились, но логика та же осталась Настройка Cisco 3750 System MTU size is 1504 bytes System Jumbo MTU size is 1504 bytes Routing MTU size is 1504 bytes spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending vlan 2037 name Provider ! vlan 3800 name LAN interface GigabitEthernet1/0/19 description loop_QinQ switchport access vlan 2037 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ! interface GigabitEthernet1/0/20 description loop_QinQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 3800 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ! interface GigabitEthernet1/0/23 description Provider switchport trunk encapsulation dot1q switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root interface GigabitEthernet1/0/24 description Server switchport trunk encapsulation dot1q switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Настройки 3550 System MTU size is 1504 bytes spanning-tree mode rapid-pvst spanning-tree extend system-id ! vlan internal allocation policy ascending vlan dot1q tag native vlan 2037 name Provider ! vlan 3800 name LAN interface GigabitEthernet0/9 description Provider switchport trunk encapsulation dot1q switchport trunk allowed vlan 2037 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ! interface GigabitEthernet0/10 description LAN switchport trunk encapsulation dot1q switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ! interface GigabitEthernet0/11 description loop_QinQ switchport access vlan 2037 switchport mode dot1q-tunnel duplex full no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root ! interface GigabitEthernet0/12 description loop_QinQ switchport trunk encapsulation dot1q switchport trunk allowed vlan 3800 switchport mode trunk duplex full spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root смущает присутствие на 3550 и еще один момент, на 3750 порты для петли соединили обычным прямым кабелем, линк поднялся. На 3550 прямым кабелем не поднимается, пришлось делать кросовер. Схема подключения принципиально не менялась вопрос, либо, что то с настройками не так, либо дело все таки в провайдере. Как отдебажить это?

а MTU правили на них?

похоже придется петлей заморочиться, т.к. коммутаторы без управления оставлять не вариант. еще вспомнил что провайдер на одной из точек выдает два влана, и этот влан так же тегированный надо прогнать по сети. Все такие остается только вариант с петлей(((. Еще провайдера надо попросить, чтобы на своих длинках Jumbo Frame активировал.

С обоих сторон провайдера мы принимаем влан в Cisco свитчи, а вот за нашими цисками уже длинки с вланами. Если предположить, что со стороны нашей локалки я в циску в порт с такими настройками interface GigabitEthernet1/0/11 description From_LAN switchport access vlan 1234 switchport mode dot1q-tunnel подключу dlink, который будет отдавать ТЭГированный вланы, то получиться с экономить один порт на нашем оборудовании. Со стороны провайдера порты с настройками должны выглядить так interface GigabitEthernet1/0/1 description QnQ_Provider switchport trunk encapsulation dot1q switchport trunk allowed vlan 1234 switchport mode trunk spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root Я все правильно представляю?