lapoty Опубликовано 15 июля, 2011 · Жалоба Есть сетка в ~1к абонентов которые подключаются по PPPoE, сессии терминирует asr1002rp1, выпуская в мир через динамический NAT. ТТК подкинул PI /24, в итоге появилось возможность части давать реальные IP. Посоветуйте (подскажите) как организовать (изменить конфиг) asr1002rp1 для таких изменившихся условий. Пока же получается либо "серые" либо "белые". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmalyar Опубликовано 16 июля, 2011 · Жалоба самый простой вариант синхронизировать их, но могут возникнуть трудности )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
melmaxnvk Опубликовано 16 июля, 2011 · Жалоба Не знаю как на ASR, но на 7201 серые и белые адреса нормально работают у меня в данный момент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 17 июля, 2011 · Жалоба покажите конфиг, чтоли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lapoty Опубликовано 18 июля, 2011 (изменено) · Жалоба покажите конфиг, чтоли. interface GigabitEthernet0/0/2 description ##--Ext--## ip address XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY no ip redirects no ip proxy-arp ip nat outside ip virtual-reassembly negotiation auto interface GigabitEthernet0/0/3 description ##--Local--## ip address ZZZ.ZZZ.ZZZ.ZZZ YYY.YYY.YYY.YYY negotiation auto pppoe enable group global interface Virtual-Template1 mtu 1492 ip unnumbered Loopback1 ip nat inside ip flow ingress ip flow egress ip virtual-reassembly no logging event link-status no peer default ip address ppp max-bad-auth 3 ppp authentication chap ms-chap-v2 ppp authorization radius ppp accounting radius ppp ipcp dns 8.8.8.8 ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ip nat inside source list NAT interface GigabitEthernet0/0/2 overload Не знаю как на ASR, но на 7201 серые и белые адреса нормально работают у меня в данный момент. Если не затруднит покажите пожалуйста свой конфиг. Сравню со своим и возможно что то сплагиачу с Вашего Изменено 18 июля, 2011 пользователем lapoty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
melmaxnvk Опубликовано 19 июля, 2011 · Жалоба Если не затруднит покажите пожалуйста свой конфиг. Сравню со своим и возможно что то сплагиачу с Вашего bba-group pppoe global virtual-template 1 sessions max limit 32000 sessions per-mac limit 5 sessions per-vlan limit 10000 sessions auto cleanup ! interface GigabitEthernet0/0.191 description *** pppoe_test *** encapsulation dot1Q 191 ip address 10.203.0.1 255.255.255.0 ip access-group pppoe_lan_in in ip access-group pppoe_lan_out out no ip redirects no ip proxy-arp pppoe enable group global no cdp enable ! interface GigabitEthernet0/1.17 description "UpLink" encapsulation dot1Q 17 ip address ip access-group uplink-in in ip access-group uplink-out out no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip nbar protocol-discovery no cdp enable ! interface Virtual-Template1 description *** pppoe termination *** ip unnumbered Loopback0 no ip redirects no ip proxy-arp ip nat inside ip flow ingress ip flow egress no logging event link-status no peer default ip address ppp authentication chap pppoe ppp authorization pppoe ppp accounting pppoe ppp ipcp dns XX.XX.XX.XX YY.YY.YY.YY ! ip nat pool customers_net AA.AA.AA.AA BB.BB.BB.BB prefix-length 28 ip nat inside source list customers_net pool customers_net overload ip access-list extended customers_net permit ip 10.129.0.0 0.0.255.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lapoty Опубликовано 19 июля, 2011 (изменено) · Жалоба melmaxnvk спасибо. Еще вопрос, подключаем второго ISP с его статикой. Думаю через него теперь натить, а через "старого" выпускать в мир белых абонентов. Как реализовать? Даная железка кроме терминирования PPPoE работает еще и в качестве пограничного маршрутизатора. Изменено 19 июля, 2011 пользователем lapoty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 20 июля, 2011 · Жалоба Реализовать можно через PBR (Policy-Based Routing) + SLA. Но лучше заиметь собственную AS с собственным блоком публичных адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lapoty Опубликовано 21 июля, 2011 (изменено) · Жалоба melmaxnvk конфиг лупбэка и радиуса покажи пожалуйста. Вопрос ко всем кто эксплуатирует asr1002, какая версия IOS более-менее безглючная для этой железки? Изменено 21 июля, 2011 пользователем lapoty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
melmaxnvk Опубликовано 21 июля, 2011 · Жалоба melmaxnvk конфиг лупбэка и радиуса покажи пожалуйста. Вопрос ко всем кто эксплуатирует asr1002, какая версия IOS более-менее безглючная для этой железки? interface Loopback0 ip address AA.AA.AA.AA 255.255.255.255 end ... interface Loopback1 ip address 10.10.10.9 255.255.255.255 end .. aaa group server radius my_radius server 192.168.101.2 auth-port 1812 acct-port 1813 ip radius source-interface Loopback1 deadtime 10 ! radius-server host 192.168.101.2 auth-port 1812 acct-port 1813 key 7 KEYKEYKEYKEY Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lapoty Опубликовано 24 июля, 2011 (изменено) · Жалоба melmaxnvk если не затруднит, покажи вывод команд sh run | inc aaa sh run | inc radius Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin Проверьте на предмет разрешения имен (резольва) у клиентов после внесения различных изменений конфигурации на лету. У 3 версии с этим проблемы, во всяком случае у NAT абонентов точно. Лечится выключением и включением питания. Проверено, на более ранних версиях такой проблемы не наблдается. Изменено 24 июля, 2011 пользователем lapoty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
melmaxnvk Опубликовано 25 июля, 2011 · Жалоба melmaxnvk если не затруднит, покажи вывод команд sh run | inc aaa sh run | inc radius Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin Проверьте на предмет разрешения имен (резольва) у клиентов после внесения различных изменений конфигурации на лету. У 3 версии с этим проблемы, во всяком случае у NAT абонентов точно. Лечится выключением и включением питания. Проверено, на более ранних версиях такой проблемы не наблдается. #sh run | i aaa aaa new-model aaa session-mib disconnect aaa group server radius my_radius aaa authentication login default local aaa authentication ppp pppoe group radius aaa authorization exec default local aaa authorization network default local aaa authorization network pppoe group radius aaa accounting update periodic 5 aaa accounting network pppoe start-stop group my_radius aaa session-id common snmp-server enable traps aaa_server #sh run | i radius aaa group server radius my_radius ip radius source-interface Loopback1 radius-server host 192.168.101.2 auth-port 1812 acct-port 1813 key 7 KEYKEYKEYKEY А как связан резолвинг имен с ASR? Она перестает пропускать запросы до DNS-сервера? Сейчас каждый час меняется конфиг(policy-map) по крону для изменения скоростей у клиентов. Пока таких проблем не наблюдаю, но проверю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lapoty Опубликовано 25 июля, 2011 · Жалоба А как связан резолвинг имен с ASR? Она перестает пропускать запросы до DNS-сервера? Сейчас каждый час меняется конфиг(policy-map) по крону для изменения скоростей у клиентов. Пока таких проблем не наблюдаю, но проверю. Не разбирался, некогда было, то что это скорее всего глюк IOS косвенно подтверждается исчезновением глюка при откате на более старшую версию. Хотя изначально конфиг писался на asr1000rp1-adventerprisek9.03.02.01.S.151-1.S1.bin (железка с модулем шифрования), пробовали на asr1000rp1-adventerprise.03.03.01.S.151-2.S1.bin тоже самое, в итоге остановились пока на asr1000rp1-advipservicesk9.02.05.02.122-33.XNE2.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...