ShyLion

VIP
  • Публикаций

    1 278
  • Зарегистрирован

  • Посещение

Информация о ShyLion

  • Звание
    Доцент
  • День рождения 22.08.1976

Контакты

  • ICQ
    8757284

Информация

  • Пол
    Мужчина

Город

  • Город
    Тюмень
  1. А дебажить пробовал? debug aaa coa Ну и еще - какие атрибуты шлешь? Минимум, который нужен: User-Name и Acct-Session-Id, плюс команда. Просто идентификатора сессии недостаточно, хоть он и не уникальный и по докам вроде как достаточен, но у меня не получалось без имени пользователя. asr-1002x-621# Nov 13 09:20:26: COA: 10.0.11.90 request queued Nov 13 09:20:26: RADIUS: authenticator 16 10 98 D4 62 A7 DA 05 - 7C B7 BB EB FA A4 2C 94 Nov 13 09:20:26: RADIUS: User-Name [1] 16 "2c59.8a61.edcb" Nov 13 09:20:26: RADIUS: Acct-Session-Id [44] 10 "01E8E132" Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 18 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 12 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 31 30 [Service-Log-Off Captive10] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 18 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 12 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 32 30 [Service-Log-Off Captive20] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 34 30 30 [Service-Log-Off Captive400] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 34 31 30 [Service-Log-Off Captive410] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 35 30 30 [Service-Log-Off Captive500] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 35 31 30 [Service-Log-Off Captive510] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 32 Nov 13 09:20:26: RADIUS: ssg-account-info [250] 26 "QU;102400000;D;102400000" Nov 13 09:20:26: COA: Message Authenticator missing or failed decode Nov 13 09:20:26: ++++++ CoA Attribute List ++++++ Nov 13 09:20:26: 7F3D84C786C0 0 00000081 username(450) 14 2c59.8a61.edcb Nov 13 09:20:26: 7F3D84C77EB0 0 00000001 session-id(408) 4 32039218(1E8E132) Nov 13 09:20:26: 7F3D84C77EF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 Nov 13 09:20:26: 7F3D84C77F30 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 Nov 13 09:20:26: 7F3D84C77F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 Nov 13 09:20:26: 7F3D84C77FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 Nov 13 09:20:26: 7F3D7D180F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 Nov 13 09:20:26: 7F3D7D180FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 Nov 13 09:20:26: 7F3D7D180FF0 0 00000081 ssg-account-info(488) 24 QU;102400000;D;102400000 Nov 13 09:20:26: Nov 13 09:20:26: ++++++ Received CoA response Attribute List ++++++ Nov 13 09:20:26: 7F3D84E9CBB0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 Nov 13 09:20:26: 7F3D84E9CBF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 Nov 13 09:20:26: 7F3D84E9CC30 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 Nov 13 09:20:26: 7F3D84E9CC70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 Nov 13 09:20:26: 7F3D84E9CCB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 Nov 13 09:20:26: asr-1002x-621#7F3D84E9BE40 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 Nov 13 09:20:26: 7F3D84E9BE80 0 00000001 session-id(408) 4 32039218(1E8E132) Nov 13 09:20:26: asr-1002x-621# aaa server radius dynamic-author client z.z.z.z vrf Mgmt-inband server-key 7 zzzz port 1645 auth-type any ignore session-key !
  2. А для состояния сделают бинарные OIDы?
  3. Спасибо всем ответившим. Собсно хрен с ним. Таких абонов еденицы и /30 на линк дадим просто, если что. Тем, кому один адрес надо, авторизуем по IP и ip subscriber routed
  4. Да, не хотелось бы, чтобы при сохранении конфига оно "залипло"
  5. .1.3.6.1.4.1.40418.7.100.3.4.4 - бинарная версия того-же?
  6. Вобщем не поднимает вторую сессию со второго интерфейса, который unnumbered на тот-же что и предыдущий. Например: interface TenGigabitEthernet0/1/0.2002038 description test1 encapsulation dot1Q 200 second-dot1q 2038 ip unnumbered Loopback2 ip nat outside ip verify unicast source reachable-via rx l2-src service-policy type control IPoE_interface ip subscriber interface ! ip route x.x.x.138 255.255.255.255 TenGigabitEthernet0/1/0.2002038 x.x.x.138 name test1 ! interface TenGigabitEthernet0/1/0.2002039 description test2 encapsulation dot1Q 200 second-dot1q 2039 ip unnumbered Loopback2 ip nat outside ip verify unicast source reachable-via rx l2-src service-policy type control IPoE_interface ip subscriber interface ! ip route x.x.x.139 255.255.255.255 TenGigabitEthernet0/1/0.2002039 x.x.x.139 name test2 Кого первого завел, тот и поднимает сеанс. Стоит поменять ip на другой, просто указатьIP или за'unnumbered на другой лупбек и все поднимается. Это ограничение версии софта? У кого-то работает как в примере выше?
  7. На столько гибко не делал, просто сделал IPTV приоритетным траффиком. На свиче где источники принудительно красим в cos 3 и с тегом отдаем в остальную сеть. На всех транках в сторону абонентов: mls qos queue wrr weight 1 2 3 0 5 6 7 8 в сторону источника: mls qos trust cos На SNR красить можно так (достаточно только на свиче с источником, так как использует TCAM): ip multicast policy 10.1.1.18/32 224.0.0.0/4 cos 3 ip multicast policy 10.1.1.32/28 224.0.0.0/4 cos 3
  8. Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад.
  9. Не "или", а "и". При этом L2TP работает и без IPSec, если клиент не просит. aaa new-model ! aaa authentication login VPN group LAN_RADIUS aaa authentication ppp VPN local group LAN_RADIUS aaa authorization network VPN local group LAN_RADIUS aaa accounting network VPN action-type start-stop group LAN_RADIUS ! aaa group server radius LAN_RADIUS server-private x.x.x.x ... ip radius source-interface Loopback0 ! vpdn enable vpdn logging vpdn logging local vpdn logging user vpdn logging tunnel-drop ! vpdn-group L2TP ! Default L2TP VPDN group description l2tp group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authentication ! crypto keyring L2TP_IPSec pre-shared-key address 0.0.0.0 0.0.0.0 key WellKnownKey no crypto isakmp default policy ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 ! crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 2 ! crypto isakmp policy 30 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 40 encr aes hash md5 authentication pre-share group 2 ! crypto isakmp policy 50 encr aes authentication pre-share group 2 ! crypto isakmp policy 60 encr 3des authentication pre-share group 2 ! crypto isakmp policy 70 encr 3des hash md5 authentication pre-share ! ! crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac mode transport crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac mode transport crypto ipsec transform-set AES_256_SHA_tr esp-aes 256 esp-sha-hmac mode transport crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac mode tunnel ! ! crypto dynamic-map L2TP_IPSec 1 set nat demux set transform-set 3DES_SHA_tr crypto dynamic-map L2TP_IPSec 2 set nat demux set transform-set AES_SHA_tr crypto dynamic-map L2TP_IPSec 3 set transform-set AES_256_SHA_tr crypto dynamic-map L2TP_IPSec 4 set transform-set 3DES_SHA_tr crypto dynamic-map L2TP_IPSec 5 set transform-set AES_SHA_tr ! ! crypto map OUTSIDE local-address Loopback1 crypto map OUTSIDE 65535 ipsec-isakmp dynamic L2TP_IPSec ! interface Virtual-Template1 description PPP template mtu 1300 ip unnumbered Loopback0 no ip redirects ip flow ingress ip flow egress ip tcp adjust-mss 1260 load-interval 30 peer default ip address pool pool_general no snmp trap link-status no keepalive ppp encrypt mppe 128 ppp authentication ms-chap-v2 callin VPN ppp authorization VPN ppp accounting VPN ppp ipcp dns 10.x.x.x ppp link reorders ppp timeout retry 10 ! interface GigabitEthernet0/0.609 description Link to inet encapsulation dot1Q 609 ip address 91.... crypto map OUTSIDE ! ip local pool pool_general 10.95.xx.1 10.95.xx.254 ! Некоторые крипто-полиси и трансформы не нужны, но я уже не помню какие к чему, роутер раньше еще другие криптотуннели имел. Исключи опытным путем.   Да, нюанс: роутер ISR2, 3954E. Но вроде на ASR в этом плане все также.
  10. PPTP очень непредсказуемо работает в мобильных сетях и через прочие НАТы, то что его отовсюду потихоньку выпиливают считаю за благо. У нас на корпоративный доступ такой тимплейт: interface Virtual-Template1 description PPP template mtu 1300 ip unnumbered Loopback0 no ip redirects ip flow ingress ip flow egress zone-member security z_PPP ip tcp adjust-mss 1260 load-interval 30 peer default ip address pool pool_general no snmp trap link-status no keepalive ppp encrypt mppe 128 ppp authentication ms-chap-v2 callin VPN ppp authorization VPN ppp accounting VPN ppp ipcp dns 10.x.x.x ppp link reorders ppp timeout retry 10 Полсотни работников работают без проблем со всевозможных платформ. Радиус виндовый. Отдельным пользователям радиус меняет зону - меняется и доступ в сеть.
  11. Хотелось бы однообразия, как в лучших домах Сан-Франциско. Тут вопрос вашего имиджа.
  12. Catalyst 2960 офисные свичи. Не нужно от них хотеть провайдерского функционала.
  13. MPPE будет работать на уровне PPP. Каким таким "автоматом" ? Умолчальные установки все равно как правило не устраивают. Мы, например, убираем галку дефолтного маршрута, чтобы устанавливался только классовый 10/8. Есть четкая инструкция простая, все ее выполняют и у всех все работает.