Inp Опубликовано 14 марта, 2009 · Жалоба С циской никогда не работал, поэтому прошу помочь настроить 2811 в качестве сервера доступа (pptp). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Inp Опубликовано 15 марта, 2009 (изменено) · Жалоба собрал вот такой конфиг, просьба проверить правильность написания ! 1.1.1.11 - адрес радиуса и биллинга ! public_xxxx - секретная строка snmp-community ! aaa new-model ! ! Разрешаем отключать сессии по SNMP. aaa session-mib disconnect ! aaa group server radius rad_ppp server-private 1.1.1.11 auth-port 1812 acct-port 1813 key Ваш_ключ ip radius source-interface Loopback 1 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU attribute 8 include-in-access-req attribute 31 mac format unformatted retransmit 5 timeout 30 deadtime 1 vsa send accounting vsa send authentication ! ! заход на циску aaa authentication login default local-case aaa authorization exec default local ! РРTP aaa authentication ppp РРТР group rad_ppp aaa authorization network РРТР group rad_ppp aaa accounting network PPTP start-stop group rad_ppp ! aaa accounting delay-start all aaa accounting update periodic 1 ! interface Loopback 1 ip address IP.адрес.Вашего.лупбека 255.255.255.255 ! ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула ! vpdn enable ! vpdn-group PPTP accept-dialin protocol pptp virtual-template 1 ! ! внешний интерфейс, подключенный к провайдеру interface FastEthernet1/0 ip address адрес маска ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef full-duplex ! ! субинтерфейс для соединения с RADIUS-сервером interface FastEthernet0/0. VLAN_ID encapsulation dot1Q VLAN_ID ip address 1.1.1.10 маска.Для.Радиуса interface FastEthernet0/0.VLAN_ID encapsulation dot1Q VLAN_ID ip address IP.адрес.Вашего.NAS маска.Вашего.NAS ! interface Virtual-Template 1 ip unnumbered Loopback 1 peer default ip address pool default ppp authentication pap callin PPTP ppp authorization PPTP ppp accounting PPTP ppp ipcp dns IP.адрес.Вашего.DNS ppp ipcp address unique ! Количество изначально создаваемых интерфейсов при ! старте Cisco. Ускоряет соединение пользователей. virtual-template 1 pre-clone 200 ! ! Настройки экспорта Netflow ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source FastEthernet1/0 ip flow-export version 5 ip flow-export destination 1.1.1.11 9996 ! ! Правила доступа к SNMP на Cisco. access-list 3 permit 1.1.1.11 access-list 3 deny any log ! ! Настройка SNMP. syscon address 1.1.1.11 public_xxxx syscon shelf-id 0 snmp-server community public_xxxx RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 1.1.1.11 161 snmp-server host 1.1.1.11 2c snmp-server host 1.1.1.11 aaa snmp-server host 1.1.1.11 public_xxxx snmp Изменено 15 марта, 2009 пользователем Inp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 15 марта, 2009 · Жалоба ... ppp authentication pap callin PPTP ... ИМХО надо CHAP юзать, а то парли проснифать - раз плюнуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Inp Опубликовано 15 марта, 2009 (изменено) · Жалоба ... ppp authentication pap callin PPTP ... ИМХО надо CHAP юзать, а то парли проснифать - раз плюнуть А в остальном верно написано для маршрутизатора с двумя интерфейсами? Изменено 15 марта, 2009 пользователем Inp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 16 марта, 2009 · Жалоба вроде никакого криминала в глаза не бросилось :) а пошто не запускаете? запустите - сразу видно будет, взлетело или нет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chert Опубликовано 16 марта, 2009 (изменено) · Жалоба The Cisco 2800 Series routers offer embedded encryption acceleration on the motherboard. For additional performance the Cisco 2800 Series features the ability to optionally add encryption acceleration advanced integration modules (AIMs)."Не знаю что у них там ембедед, но если "ppp encrypt mppe", то уже при 6 мегабитах будет 100% загрузки cpu.Хотя, если это доступ в инет для клиентов, тогда это шифрование нафик не нужно, надо только объяснить клиенту чтобы он в своем виндовом клиенте отключил требование шифрования. ps: или я где-то недосмотрел Изменено 16 марта, 2009 пользователем chert Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Inp Опубликовано 16 марта, 2009 · Жалоба вроде никакого криминала в глаза не бросилось :) а пошто не запускаете? запустите - сразу видно будет, взлетело или нет :) А адрес loopback какой должен быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 16 марта, 2009 · Жалоба А адрес loopback какой должен быть? IP/32 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 17 марта, 2009 (изменено) · Жалоба ИМХО надо CHAP юзать, а то парли проснифать - раз плюнутьдык РРТР, ЕМНИМС, только с СНАР и работает, а РАР там - только для пущей совместимости ... 2 Inp сэр, скажите на милость, почему мне Ваш конфиг кажется чрезмерно знакомым? вплоть до описания тех или иных вещей ... расскажите откуда он у Вас? Изменено 17 марта, 2009 пользователем snark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Inp Опубликовано 18 марта, 2009 · Жалоба ИМХО надо CHAP юзать, а то парли проснифать - раз плюнутьдык РРТР, ЕМНИМС, только с СНАР и работает, а РАР там - только для пущей совместимости ... 2 Inp сэр, скажите на милость, почему мне Ваш конфиг кажется чрезмерно знакомым? вплоть до описания тех или иных вещей ... расскажите откуда он у Вас? Написано же выше что собрал :) из 3 разных конфигов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 18 марта, 2009 · Жалоба стучитесь ко мне в личку - помогу настроить и связать это с БГБ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadislaus Опубликовано 18 марта, 2009 · Жалоба 2 snark, может Вы подскажете: Какое волшебное слово сказать циске (28хх, v12.4(21)) чтобы она радиусу отдавала атрибут 31 (Calling-Station-ID)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 18 марта, 2009 · Жалоба скорее всего никакого слова нет ... тут проскакивали сообщения что это у людей работало, но внятного ничего небыло :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 20 марта, 2009 (изменено) · Жалоба 1841-someRtr(config)#radius-server attribute ? 11 Filter-Id attribute configuration 188 Num-In-Multilink attribute configuration 218 Address-Pool attribute 25 Class attribute 30 DNIS attribute 31 Calling Station ID 32 NAS-Identifier attribute 4 NAS IP address attribute 44 Acct-Session-Id attribute 55 Event-Timestamp attribute 6 Service-Type attribute 69 Tunnel-Password attribute 77 Connect-Info attribute 8 Framed IP address attribute list List of Attribute Types nas-port NAS-Port attribute configuration Изменено 20 марта, 2009 пользователем ugluck Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 20 марта, 2009 · Жалоба наличие цифры 31 не означает что она начнет что-то слать ... впрочем, поэксперементируйте с перебором IOS-ов, вдруг в каком нить да начнет ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 20 марта, 2009 (изменено) · Жалоба пример для 7200 и SB софта, но на 2800 тоже вполне должен работать вводим vpdn aaa attribute nas-ip-address vpdn-nas и ловим Calling-Station-ID в NAS-Identifier attribute(!) на стадии коннекта конечно если ваш биллинг это умеет ;) Изменено 20 марта, 2009 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...