Jump to content
Калькуляторы

Cisco ASR 1000 PPPoE непонятности с Default gateway Cisco ASR 1000 PPPoE непонятности с Default gateway

Уважаемый All!

Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000.

В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS).

asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin

Настройки Циски пишу с комментариями для тех, кому будет необходимо:

!

bba-group pppoe PPPoE

virtual-template 1

sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию

sessions per-vlan limit 1000

sessions auto cleanup

!

!

interface GigabitEthernet0/0/1.10

description -Old PPPoE Users-

encapsulation dot1Q 10

pppoe enable group PPPoE

!

!

interface Virtual-Template111

description -- Rossiyskiy PPPoE --

mtu 1492

ip unnumbered Loopback0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip tcp adjust-mss 1440

no logging event link-status

no peer default ip address

! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет.

keepalive 60

ppp mtu adaptive

ppp authentication chap pap ms-chap-v2 callin ISG-GROUP

! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации.

! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не

! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel

ppp authorization ISG-GROUP

ppp accounting ISG-GROUP

ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1

ppp ipcp mask 255.255.255.255

ppp ipcp address required

ppp timeout idle 1800

service-policy type control ISG-CONTROL

!

!

policy-map type control ISG-CONTROL

class type control always event session-start

10 authenticate aaa list ISG-GROUP

20 service local

!

!

!

policy-map type service SERVICE-10M

service-policy input POLICY-10M-IN

service-policy output POLICY-10M-OUT

!

!

policy-map POLICY-10M-OUT

class class-default

shape average 11000000

policy-map POLICY-10M-IN

class class-default

police cir 11000000 bc 256000 conform-action transmit exceed-action drop

!

ip nat settings pap

ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries all-host 512

! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками

no ip nat service ftp

ppp packet throttle 30 1 30

! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала

! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти.

 

То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу.

 

А вот теперь вопрос, ради которого всё это и писалось.

При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни.

Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS,

пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0.

Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.

Share this post


Link to post
Share on other sites

interface Virtual-Template2

mtu 1492

ip unnumbered Loopback1

ip access-group ppp_in in

no ip proxy-arp

ip flow ingress

ip verify unicast source reachable-via rx

ip tcp adjust-mss 1452

no logging event link-status

peer default ip address pool default

keepalive 30 4

ppp mtu adaptive

ppp authentication chap PPPoE_ISG

ppp authorization PPPoE_ISG

ppp accounting PPPoE_ISG

ppp eap refuse

ppp pap refuse

ppp ipcp dns 8.8.8.8

ppp ipcp mask 255.255.255.255

ppp ipcp address unique

ppp timeout idle 2592000

 

Вот такой конфиг у меня. отдает шлюз с лоопбака

no peer default ip address - это зачем в твоем конфиге ?

keepalive 60 - всего один раз пакет потерялся и сессию грохать ? странн

Share this post


Link to post
Share on other sites

Спасибо за пример!

А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.