siddkharta Posted October 13, 2015 · Report post Уважаемый All! Появился у меня вопрос к тем, кто использует PPPoE в своей работе с пользователями на Cisco ASR 1000. В данный момент настроена связка Ланбиллинг - Cisco ASR1002-X (BRAS). asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin Настройки Циски пишу с комментариями для тех, кому будет необходимо: ! bba-group pppoe PPPoE virtual-template 1 sessions per-mac limit 2 ! Сделано именно так, чтобы сессия пересоздавалась, не ожидая пока Циска убьет старую сессию sessions per-vlan limit 1000 sessions auto cleanup ! ! interface GigabitEthernet0/0/1.10 description -Old PPPoE Users- encapsulation dot1Q 10 pppoe enable group PPPoE ! ! interface Virtual-Template111 description -- Rossiyskiy PPPoE -- mtu 1492 ip unnumbered Loopback0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip tcp adjust-mss 1440 no logging event link-status no peer default ip address ! Мы берем IP адреса из Биллинга через радиус, локальных пулов нет. keepalive 60 ppp mtu adaptive ppp authentication chap pap ms-chap-v2 callin ISG-GROUP ! Ввели ms-chap-v2 для нескольких пользователей, пока те не уберут этот способ аутентификации. ! А вообще ms-chap-v2 зло, с которым надо активно бороться. К сожалению этим злом страдают не ! только напрямую подключающиеся пользователи, но и оборудование производства Zyxel ppp authorization ISG-GROUP ppp accounting ISG-GROUP ppp ipcp dns ххх.ххх.ххх.20 77.88.8.1 ppp ipcp mask 255.255.255.255 ppp ipcp address required ppp timeout idle 1800 service-policy type control ISG-CONTROL ! ! policy-map type control ISG-CONTROL class type control always event session-start 10 authenticate aaa list ISG-GROUP 20 service local ! ! ! policy-map type service SERVICE-10M service-policy input POLICY-10M-IN service-policy output POLICY-10M-OUT ! ! policy-map POLICY-10M-OUT class class-default shape average 11000000 policy-map POLICY-10M-IN class class-default police cir 11000000 bc 256000 conform-action transmit exceed-action drop ! ip nat settings pap ip nat log translations flow-export v9 udp destination ххх.ххх.ххх.25 49хх1 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries all-host 512 ! не фиг создавать торрентами кучу сессий. Пусть юзвери учатся управлять своими uTorrent-программками no ip nat service ftp ppp packet throttle 30 1 30 ! А это самая главная строчка в конфиге, еле нашел, из-за чего наша циска слишком вяло подхватывала ! сессию пользователя для аутентификации. А Cisco об этой проблеме молчит, как партизан. Почти. То есть на Биллинг возложена обязанность прислать IP-адрес из "правильной" сети в случае успешной аутентификации (деньги на счету имеются), и название сервиса, примапленного к выбранному тарифу. А вот теперь вопрос, ради которого всё это и писалось. При подключении пользователь всё получает, и ДНС и адрес и т.д. Кроме одного. Default Gateway отсутствует, хоть тресни. Я понимаю, что PPP может и так работать, но дело в том, что когда стояла Cisco 7201 в качестве BRAS, пользователь успешно получал в качестве Default Gateway IP адрес LoopBACK0. Может у меня глаза уже замылились, ткните носом, как сделать так (что прописать в Virtual Template), чтобы шлюз по умолчанию юзвери все-таки получали. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 13, 2015 · Report post В ппп разве нужен шлюз? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yakov2000 Posted October 13, 2015 · Report post interface Virtual-Template2 mtu 1492 ip unnumbered Loopback1 ip access-group ppp_in in no ip proxy-arp ip flow ingress ip verify unicast source reachable-via rx ip tcp adjust-mss 1452 no logging event link-status peer default ip address pool default keepalive 30 4 ppp mtu adaptive ppp authentication chap PPPoE_ISG ppp authorization PPPoE_ISG ppp accounting PPPoE_ISG ppp eap refuse ppp pap refuse ppp ipcp dns 8.8.8.8 ppp ipcp mask 255.255.255.255 ppp ipcp address unique ppp timeout idle 2592000 Вот такой конфиг у меня. отдает шлюз с лоопбака no peer default ip address - это зачем в твоем конфиге ? keepalive 60 - всего один раз пакет потерялся и сессию грохать ? странн Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 13, 2015 · Report post У него нет пула. И адреса даёт через фрамед айпи Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted October 14, 2015 · Report post Спасибо за пример! А вот вопрос есть ли работающие на ИОСе 3.13.01? Насколько он глючный и стоит ли оставаться на нем или все-таки "соскользнуть" на 3.10.04? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...