Jump to content
Калькуляторы

Cisco ASR 1000 PPPoE непонятности с Default gateway Cisco ASR 1000 PPPoE непонятности с Default gateway

Уважаемый All!

Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000.

В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS).

asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin

Настройки Циски пишу с комментариями для тех, кому будет необходимо:

!

bba-group pppoe PPPoE

virtual-template 1

sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию

sessions per-vlan limit 1000

sessions auto cleanup

!

!

interface GigabitEthernet0/0/1.10

description -Old PPPoE Users-

encapsulation dot1Q 10

pppoe enable group PPPoE

!

!

interface Virtual-Template111

description -- Rossiyskiy PPPoE --

mtu 1492

ip unnumbered Loopback0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip tcp adjust-mss 1440

no logging event link-status

no peer default ip address

! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет.

keepalive 60

ppp mtu adaptive

ppp authentication chap pap ms-chap-v2 callin ISG-GROUP

! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации.

! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не

! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel

ppp authorization ISG-GROUP

ppp accounting ISG-GROUP

ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1

ppp ipcp mask 255.255.255.255

ppp ipcp address required

ppp timeout idle 1800

service-policy type control ISG-CONTROL

!

!

policy-map type control ISG-CONTROL

class type control always event session-start

10 authenticate aaa list ISG-GROUP

20 service local

!

!

!

policy-map type service SERVICE-10M

service-policy input POLICY-10M-IN

service-policy output POLICY-10M-OUT

!

!

policy-map POLICY-10M-OUT

class class-default

shape average 11000000

policy-map POLICY-10M-IN

class class-default

police cir 11000000 bc 256000 conform-action transmit exceed-action drop

!

ip nat settings pap

ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries all-host 512

! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками

no ip nat service ftp

ppp packet throttle 30 1 30

! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала

! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти.

 

То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу.

 

А вот теперь вопрос, ради которого всё это и писалось.

При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни.

Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS,

пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0.

Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали.

Share this post


Link to post
Share on other sites

interface Virtual-Template2

mtu 1492

ip unnumbered Loopback1

ip access-group ppp_in in

no ip proxy-arp

ip flow ingress

ip verify unicast source reachable-via rx

ip tcp adjust-mss 1452

no logging event link-status

peer default ip address pool default

keepalive 30 4

ppp mtu adaptive

ppp authentication chap PPPoE_ISG

ppp authorization PPPoE_ISG

ppp accounting PPPoE_ISG

ppp eap refuse

ppp pap refuse

ppp ipcp dns 8.8.8.8

ppp ipcp mask 255.255.255.255

ppp ipcp address unique

ppp timeout idle 2592000

 

Вот такой конфиг у меня. отдает шлюз с лоопбака

no peer default ip address - это зачем в твоем конфиге ?

keepalive 60 - всего один раз пакет потерялся и сессию грохать ? странн

Share this post


Link to post
Share on other sites

Спасибо за пример!

А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this