Inp Posted March 14, 2009 Posted March 14, 2009 С циской никогда не работал, поэтому прошу помочь настроить 2811 в качестве сервера доступа (pptp). Вставить ник Quote
Inp Posted March 15, 2009 Author Posted March 15, 2009 (edited) собрал вот такой конфиг, просьба проверить правильность написания ! 1.1.1.11 - адрес радиуса и биллинга ! public_xxxx - секретная строка snmp-community ! aaa new-model ! ! Разрешаем отключать сессии по SNMP. aaa session-mib disconnect ! aaa group server radius rad_ppp server-private 1.1.1.11 auth-port 1812 acct-port 1813 key Ваш_ключ ip radius source-interface Loopback 1 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU attribute 8 include-in-access-req attribute 31 mac format unformatted retransmit 5 timeout 30 deadtime 1 vsa send accounting vsa send authentication ! ! заход на циску aaa authentication login default local-case aaa authorization exec default local ! РРTP aaa authentication ppp РРТР group rad_ppp aaa authorization network РРТР group rad_ppp aaa accounting network PPTP start-stop group rad_ppp ! aaa accounting delay-start all aaa accounting update periodic 1 ! interface Loopback 1 ip address IP.адрес.Вашего.лупбека 255.255.255.255 ! ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула ! vpdn enable ! vpdn-group PPTP accept-dialin protocol pptp virtual-template 1 ! ! внешний интерфейс, подключенный к провайдеру interface FastEthernet1/0 ip address адрес маска ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef full-duplex ! ! субинтерфейс для соединения с RADIUS-сервером interface FastEthernet0/0. VLAN_ID encapsulation dot1Q VLAN_ID ip address 1.1.1.10 маска.Для.Радиуса interface FastEthernet0/0.VLAN_ID encapsulation dot1Q VLAN_ID ip address IP.адрес.Вашего.NAS маска.Вашего.NAS ! interface Virtual-Template 1 ip unnumbered Loopback 1 peer default ip address pool default ppp authentication pap callin PPTP ppp authorization PPTP ppp accounting PPTP ppp ipcp dns IP.адрес.Вашего.DNS ppp ipcp address unique ! Количество изначально создаваемых интерфейсов при ! старте Cisco. Ускоряет соединение пользователей. virtual-template 1 pre-clone 200 ! ! Настройки экспорта Netflow ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source FastEthernet1/0 ip flow-export version 5 ip flow-export destination 1.1.1.11 9996 ! ! Правила доступа к SNMP на Cisco. access-list 3 permit 1.1.1.11 access-list 3 deny any log ! ! Настройка SNMP. syscon address 1.1.1.11 public_xxxx syscon shelf-id 0 snmp-server community public_xxxx RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 1.1.1.11 161 snmp-server host 1.1.1.11 2c snmp-server host 1.1.1.11 aaa snmp-server host 1.1.1.11 public_xxxx snmp Edited March 15, 2009 by Inp Вставить ник Quote
ugluck Posted March 15, 2009 Posted March 15, 2009 ... ppp authentication pap callin PPTP ... ИМХО надо CHAP юзать, а то парли проснифать - раз плюнуть Вставить ник Quote
Inp Posted March 15, 2009 Author Posted March 15, 2009 (edited) ... ppp authentication pap callin PPTP ... ИМХО надо CHAP юзать, а то парли проснифать - раз плюнуть А в остальном верно написано для маршрутизатора с двумя интерфейсами? Edited March 15, 2009 by Inp Вставить ник Quote
ugluck Posted March 16, 2009 Posted March 16, 2009 вроде никакого криминала в глаза не бросилось :) а пошто не запускаете? запустите - сразу видно будет, взлетело или нет :) Вставить ник Quote
chert Posted March 16, 2009 Posted March 16, 2009 (edited) The Cisco 2800 Series routers offer embedded encryption acceleration on the motherboard. For additional performance the Cisco 2800 Series features the ability to optionally add encryption acceleration advanced integration modules (AIMs)."Не знаю что у них там ембедед, но если "ppp encrypt mppe", то уже при 6 мегабитах будет 100% загрузки cpu.Хотя, если это доступ в инет для клиентов, тогда это шифрование нафик не нужно, надо только объяснить клиенту чтобы он в своем виндовом клиенте отключил требование шифрования. ps: или я где-то недосмотрел Edited March 16, 2009 by chert Вставить ник Quote
Inp Posted March 16, 2009 Author Posted March 16, 2009 вроде никакого криминала в глаза не бросилось :) а пошто не запускаете? запустите - сразу видно будет, взлетело или нет :) А адрес loopback какой должен быть? Вставить ник Quote
2bit Posted March 16, 2009 Posted March 16, 2009 А адрес loopback какой должен быть? IP/32 Вставить ник Quote
snark Posted March 17, 2009 Posted March 17, 2009 (edited) ИМХО надо CHAP юзать, а то парли проснифать - раз плюнутьдык РРТР, ЕМНИМС, только с СНАР и работает, а РАР там - только для пущей совместимости ... 2 Inp сэр, скажите на милость, почему мне Ваш конфиг кажется чрезмерно знакомым? вплоть до описания тех или иных вещей ... расскажите откуда он у Вас? Edited March 17, 2009 by snark Вставить ник Quote
Inp Posted March 18, 2009 Author Posted March 18, 2009 ИМХО надо CHAP юзать, а то парли проснифать - раз плюнутьдык РРТР, ЕМНИМС, только с СНАР и работает, а РАР там - только для пущей совместимости ... 2 Inp сэр, скажите на милость, почему мне Ваш конфиг кажется чрезмерно знакомым? вплоть до описания тех или иных вещей ... расскажите откуда он у Вас? Написано же выше что собрал :) из 3 разных конфигов. Вставить ник Quote
snark Posted March 18, 2009 Posted March 18, 2009 стучитесь ко мне в личку - помогу настроить и связать это с БГБ Вставить ник Quote
vadislaus Posted March 18, 2009 Posted March 18, 2009 2 snark, может Вы подскажете: Какое волшебное слово сказать циске (28хх, v12.4(21)) чтобы она радиусу отдавала атрибут 31 (Calling-Station-ID)? Вставить ник Quote
snark Posted March 18, 2009 Posted March 18, 2009 скорее всего никакого слова нет ... тут проскакивали сообщения что это у людей работало, но внятного ничего небыло :( Вставить ник Quote
ugluck Posted March 20, 2009 Posted March 20, 2009 (edited) 1841-someRtr(config)#radius-server attribute ? 11 Filter-Id attribute configuration 188 Num-In-Multilink attribute configuration 218 Address-Pool attribute 25 Class attribute 30 DNIS attribute 31 Calling Station ID 32 NAS-Identifier attribute 4 NAS IP address attribute 44 Acct-Session-Id attribute 55 Event-Timestamp attribute 6 Service-Type attribute 69 Tunnel-Password attribute 77 Connect-Info attribute 8 Framed IP address attribute list List of Attribute Types nas-port NAS-Port attribute configuration Edited March 20, 2009 by ugluck Вставить ник Quote
snark Posted March 20, 2009 Posted March 20, 2009 наличие цифры 31 не означает что она начнет что-то слать ... впрочем, поэксперементируйте с перебором IOS-ов, вдруг в каком нить да начнет ... Вставить ник Quote
ingress Posted March 20, 2009 Posted March 20, 2009 (edited) пример для 7200 и SB софта, но на 2800 тоже вполне должен работать вводим vpdn aaa attribute nas-ip-address vpdn-nas и ловим Calling-Station-ID в NAS-Identifier attribute(!) на стадии коннекта конечно если ваш биллинг это умеет ;) Edited March 20, 2009 by ingress Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.