[lapoty]

Есть сетка в ~1к абонентов которые подключаются по PPPoE, сессии терминирует asr1002rp1, выпуская в мир через динамический NAT. ТТК подкинул PI /24, в итоге появилось возможность части давать реальные IP. Посоветуйте (подскажите) как организовать (изменить конфиг) asr1002rp1 для таких изменившихся условий. Пока же получается либо "серые" либо "белые".

[dmalyar]

самый простой вариант синхронизировать их, но могут возникнуть трудности ))))

[melmaxnvk]

Не знаю как на ASR, но на 7201 серые и белые адреса нормально работают у меня в данный момент.

[pliskinsad]

покажите конфиг, чтоли.

[lapoty]

покажите конфиг, чтоли.

interface GigabitEthernet0/0/2

description ##--Ext--##

ip address XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY

no ip redirects

no ip proxy-arp

ip nat outside

ip virtual-reassembly

negotiation auto

 

interface GigabitEthernet0/0/3

description ##--Local--##

ip address ZZZ.ZZZ.ZZZ.ZZZ YYY.YYY.YYY.YYY

negotiation auto

pppoe enable group global

 

interface Virtual-Template1

mtu 1492

ip unnumbered Loopback1

ip nat inside

ip flow ingress

ip flow egress

ip virtual-reassembly

no logging event link-status

no peer default ip address

ppp max-bad-auth 3

ppp authentication chap ms-chap-v2

ppp authorization radius

ppp accounting radius

ppp ipcp dns 8.8.8.8

ppp timeout retry 3

ppp timeout authentication 45

ppp timeout idle 3600

 

ip nat inside source list NAT interface GigabitEthernet0/0/2 overload

 

Не знаю как на ASR, но на 7201 серые и белые адреса нормально работают у меня в данный момент.

Если не затруднит покажите пожалуйста свой конфиг. Сравню со своим и возможно что то сплагиачу с Вашего

Изменено 18 июля, 2011 пользователем lapoty

[melmaxnvk]

Если не затруднит покажите пожалуйста свой конфиг. Сравню со своим и возможно что то сплагиачу с Вашего

 

bba-group pppoe global

virtual-template 1

sessions max limit 32000

sessions per-mac limit 5

sessions per-vlan limit 10000

sessions auto cleanup

!

 

interface GigabitEthernet0/0.191

description *** pppoe_test ***

encapsulation dot1Q 191

ip address 10.203.0.1 255.255.255.0

ip access-group pppoe_lan_in in

ip access-group pppoe_lan_out out

no ip redirects

no ip proxy-arp

pppoe enable group global

no cdp enable

!

 

interface GigabitEthernet0/1.17

description "UpLink"

encapsulation dot1Q 17

ip address

ip access-group uplink-in in

ip access-group uplink-out out

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip nbar protocol-discovery

no cdp enable

!

 

interface Virtual-Template1

description *** pppoe termination ***

ip unnumbered Loopback0

no ip redirects

no ip proxy-arp

ip nat inside

ip flow ingress

ip flow egress

no logging event link-status

no peer default ip address

ppp authentication chap pppoe

ppp authorization pppoe

ppp accounting pppoe

ppp ipcp dns XX.XX.XX.XX YY.YY.YY.YY

!

 

 

ip nat pool customers_net AA.AA.AA.AA BB.BB.BB.BB prefix-length 28

ip nat inside source list customers_net pool customers_net overload

 

ip access-list extended customers_net

permit ip 10.129.0.0 0.0.255.255 any

[lapoty]

melmaxnvk спасибо.

 

Еще вопрос, подключаем второго ISP с его статикой. Думаю через него теперь натить, а через "старого" выпускать в мир белых абонентов. Как реализовать?

Даная железка кроме терминирования PPPoE работает еще и в качестве пограничного маршрутизатора.

Изменено 19 июля, 2011 пользователем lapoty

[leveler]

Реализовать можно через PBR (Policy-Based Routing) + SLA.

Но лучше заиметь собственную AS с собственным блоком публичных адресов.

[lapoty]

melmaxnvk конфиг лупбэка и радиуса покажи пожалуйста.

 

 

Вопрос ко всем кто эксплуатирует asr1002, какая версия IOS более-менее безглючная для этой железки?

Изменено 21 июля, 2011 пользователем lapoty

[melmaxnvk]

melmaxnvk конфиг лупбэка и радиуса покажи пожалуйста.

 

 

Вопрос ко всем кто эксплуатирует asr1002, какая версия IOS более-менее безглючная для этой железки?

 

interface Loopback0

ip address AA.AA.AA.AA 255.255.255.255

end

 

...

 

interface Loopback1

ip address 10.10.10.9 255.255.255.255

end

 

..

aaa group server radius my_radius

server 192.168.101.2 auth-port 1812 acct-port 1813

ip radius source-interface Loopback1

deadtime 10

!

 

radius-server host 192.168.101.2 auth-port 1812 acct-port 1813 key 7 KEYKEYKEYKEY

 

 

Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin

[lapoty]

melmaxnvk если не затруднит, покажи вывод команд

sh run | inc aaa

sh run | inc radius

 

 

Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin

Проверьте на предмет разрешения имен (резольва) у клиентов после внесения различных изменений конфигурации на лету. У 3 версии с этим проблемы, во всяком случае у NAT абонентов точно. Лечится выключением и включением питания. Проверено, на более ранних версиях такой проблемы не наблдается.

Изменено 24 июля, 2011 пользователем lapoty

[melmaxnvk]

melmaxnvk если не затруднит, покажи вывод команд

sh run | inc aaa

sh run | inc radius

 

 

Как раз тоже приобрели ASR-1002. Месяц на тесте(терминация pppoe, NATa нет) полет нормальный: asr1000rp1-advipservices.03.01.00.S.150-1.S.bin

Проверьте на предмет разрешения имен (резольва) у клиентов после внесения различных изменений конфигурации на лету. У 3 версии с этим проблемы, во всяком случае у NAT абонентов точно. Лечится выключением и включением питания. Проверено, на более ранних версиях такой проблемы не наблдается.

 

 

#sh run | i aaa

aaa new-model

aaa session-mib disconnect

aaa group server radius my_radius

aaa authentication login default local

aaa authentication ppp pppoe group radius

aaa authorization exec default local

aaa authorization network default local

aaa authorization network pppoe group radius

aaa accounting update periodic 5

aaa accounting network pppoe start-stop group my_radius

aaa session-id common

snmp-server enable traps aaa_server

 

#sh run | i radius

aaa group server radius my_radius

ip radius source-interface Loopback1

radius-server host 192.168.101.2 auth-port 1812 acct-port 1813 key 7 KEYKEYKEYKEY

 

А как связан резолвинг имен с ASR? Она перестает пропускать запросы до DNS-сервера? Сейчас каждый час меняется конфиг(policy-map) по крону для изменения скоростей у клиентов. Пока таких проблем не наблюдаю, но проверю.

[lapoty]

 

 

А как связан резолвинг имен с ASR? Она перестает пропускать запросы до DNS-сервера? Сейчас каждый час меняется конфиг(policy-map) по крону для изменения скоростей у клиентов. Пока таких проблем не наблюдаю, но проверю.

 

Не разбирался, некогда было, то что это скорее всего глюк IOS косвенно подтверждается исчезновением глюка при откате на более старшую версию. Хотя изначально конфиг писался на asr1000rp1-adventerprisek9.03.02.01.S.151-1.S1.bin (железка с модулем шифрования), пробовали на asr1000rp1-adventerprise.03.03.01.S.151-2.S1.bin тоже самое, в итоге остановились пока на asr1000rp1-advipservicesk9.02.05.02.122-33.XNE2.bin