URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15520
[ Назад ]

Исходное сообщение
"ув. Гурру plizzzz help"

Отправлено apach_ , 13-Фев-08 23:35 
Задача то тривиальная, но сделать не получается Есть cisco 3750 на портах поднял статические маршруты
interface GigabitEthernet1/0/1
description PPPoE
no switchport
ip address 192.168.32.1 255.255.255.0
no shut
!
interface GigabitEthernet1/0/2
description local
no switchport
ip address 192.168.33.1 255.255.255.0
no shut
!

в gi1/0/1 сидит PPPoE сервер с 192.168.32.2 на интерфейсе и статической маршрутизацией 192.168.32.0 192.168.32.1 255.255.224.0
в gi1/0/2 сигмент локалки, так вот при попытке соедениться с PPPoE выдает подключение через минипорт ПОМОГИТЕ написать этот access list так чтоб пакетики к нему доходили.

uzel#sh run
Building configuration...

Current configuration : 11680 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname uzel
!
enable secret 5 $1$WyYN$GGHri3Ni34Md2AaMaFH/m1
!
username apache privilege 15 secret 5 $1$wmhj$PBOwaxSG5Y40r/PxuoUZi1
username rif privilege 15 secret 5 $1$HlS2$LF79PI.u7ZaFU3htKKGUj/
aaa new-model
!
aaa session-id common
clock timezone MSK 3
switch 1 provision ws-c3750g-24t
udld aggressive

ip subnet-zero
ip routing
!
cluster enable 1 0
cluster member 1 mac-address 0019.06ef.1ec0
!
mls qos map cos-dscp 0 8 16 26 32 46 46 56
!
!
macro global description cisco-global | cisco-global
errdisable recovery cause link-flap
errdisable recovery interval 60
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree extend system-id
!
!
vlan access-map SecWiz 10
action forward
match ip address SecWiz_Gi1_0_19_out_ip SecWiz_Gi1_0_1_in_ip
vlan filter SecWiz vlan-list 1
vlan internal allocation policy ascending


Содержание

Сообщения в этом обсуждении
"ув. Гурру plizzzz help"
Отправлено NetMaster , 14-Фев-08 10:56 
>[оверквотинг удален]
> description PPPoE
> no switchport
> ip address 192.168.32.1 255.255.255.0
> no shut
>
>interface GigabitEthernet1/0/2
> description local
> no switchport
> ip address 192.168.33.1 255.255.255.0
> no shut

Однака при такой конфигурации с Gi1/0/2 на Gi1/0/1 PPPoE пакеты пересылаться не будут
по причине того что PPPoE должен быть в одном проадкастовом сегменте.
Пакеты PPPoE не маршрутизируются.
Есть технология ipx|spx повех ip, но вот pppoe повех ip не видел
Он ведь так и называется PPP over Ethernet т.е. через тупой хаб,свич,в одном вилане, но не более.


"ув. Гурру plizzzz help"
Отправлено apach_ , 14-Фев-08 13:24 

>
>Однака при такой конфигурации с Gi1/0/2 на Gi1/0/1 PPPoE пакеты пересылаться не
>будут
>по причине того что PPPoE должен быть в одном проадкастовом сегменте.
>Пакеты PPPoE не маршрутизируются.
>Есть технология ipx|spx повех ip, но вот pppoe повех ip не видел
>
>Он ведь так и называется PPP over Ethernet т.е. через тупой хаб,свич,в
>одном вилане, но не более.

не пинайте начинаюшего!.))
А как же выкрутиться из подобной ситуации? пните в нужном направлении.
есть одноранговая сеть около 1500 юзеров и стремительно растет, в ней поднят PPPoE, NAT, RADIUS, локальный DNS c разными вкусностями для аб.(video,soft,game и.т.д.) НЕОБХОДИМО:

1 разрезать сеть на сигменты так чтоб сигменты друг дружки видели, но ограничить бродкаст между ними.З
2 привязать ip к mac-у
В наличии 2 Cisco 3750 в портах воткнуты оптические линки на синметы сети (сеть звездочкой)
Может быть есть красивое решение?


"ув. Гурру plizzzz help"
Отправлено other , 14-Фев-08 22:08 
Приветствую!
1. Как вам уже объяснил коллега: pppoe только Layer 2, т.е он не может машрутизиться..., ему даже не нужен ip адрес ни на интерфейсе клиента ни сервера. Как вариант бить на виланы и в каждом из них pppoe. Только не понял..., pppoe сервер не ваш?
2. Можно просто настроить авторизацию по radius и ip привяжется к логину/паролю..., imho лучше чем ip к mac.
здесь посмотрите http://www.opennet.me/tips/info/989.shtml
что в базе должно лежать тоже можно найти на этом сайте



"ув. Гурру plizzzz help"
Отправлено NetMaster , 15-Фев-08 04:11 
>1 разрезать сеть на сигменты так чтоб сигменты друг дружки видели, но
>ограничить бродкаст между ними.З
>2  привязать ip к mac-у
>В наличии 2 Cisco 3750 в портах воткнуты оптические линки на синметы
>сети (сеть звездочкой)
>Может быть есть красивое решение?

Как не жаль признавать, но... есть небольшая проблемка, так много
компьютеров в одной сети генерируют broadcast. Так называемые UDP пакетики
с 135 по 139 порты, еще их можно обозвать NetBios пакетики.
Каждая машина в сети генерирует запрос и все как сумашедшие начинают ей отвечать,
а так как их более 1000 да каждая так поступит, могу предположить следующее:
1. Вы сделали сеть класса А, и прибили своим клиентам адреса типа 10.X.Y.0/255.0.0.0,
   но при этом используете PPPoE.
2. Вы хотите чтоб они видели друг друга в сетевом окружении и качали между собой данные.
3. Но при все большем увеличении клиентской базы сеть начнет медленно умирать, или еще
   хуже вы не сталкивались с такой проблемой как пользователь поднимает у себя AS
   (Access Server) и в сети никто не может авторизоваться.
Итог: Хоть PPPoE и хорош собой, но на виланы лучше разделить иначе получим неуправляемую сеть, которая в один прекрастный момент не будет работать и виноватым будет Админ.

"привязать ip к mac-у" - ну это лучше делать в биллинге, чтоб пользователи не могли воровать пароли друг у друга по причине того что пароль отправляется в открытом виде,
а вот поднимать на каталисте secure и прописывать каждому маку свой IP бредовая мысль.

Красивое решение заключается в том, что можно поступить несколькими способами:
1. При использовании PPPoE: добится того что у пользователей на сетевой карте убрать
   TCP/IP, разбить сеть на виланы (по направлениям города например) и пусть ходят друг
   к другу по IP который будет выдавать билинг, а считать этот трафик или нет это
   политика компании. (трафик буде ходить через роутер)
2. Произвести сегментацию сети и перевести все на PPTP, тогда у каждого пользователя
   будет свой ip, сети можно сделать по меньше уже класса С, настроить между ними
   марщрутизцию и пусть ходят друг к другу, хоть напрямую, хоть через роутер.

Вариантов конечно много, но самое главное стоит помнить, чем больше хлама в сети
тем более дорогое и быстрое оборудование придется покупать. Я рад что ваша сеть сейчас
работает и ничего не тормозит, но все пихать в один широковещательный сегмент, по моему
мнению очень вредно...


"ув. Гурру plizzzz help"
Отправлено fantom , 15-Фев-08 09:27 
>[оверквотинг удален]
>   марщрутизцию и пусть ходят друг к другу, хоть напрямую,
>хоть через роутер.
>
>Вариантов конечно много, но самое главное стоит помнить, чем больше хлама в
>сети
>тем более дорогое и быстрое оборудование придется покупать. Я рад что ваша
>сеть сейчас
>работает и ничего не тормозит, но все пихать в один широковещательный сегмент,
>по моему
>мнению очень вредно...

Посмотрите в сторону pptp.


"ув. Гурру plizzzz help"
Отправлено Apach , 15-Фев-08 14:20 
>
>Посмотрите в сторону pptp.

Всем огромное Пасяба!
Вопрос о поднятии VPN стоял давно, но вот все руки не доходили. Думал обмануть судьбу порезавши сеть без перенастройки серверной части. НО..))
Побрел в серверную поднимать VPN

да кстати, вопрос в догонку - А что лучше VLANы или все таки статические маршруты?


"ув. Гурру plizzzz help"
Отправлено fantom , 15-Фев-08 14:43 
>>
>>Посмотрите в сторону pptp.
>
>Всем огромное Пасяба!
>Вопрос о поднятии VPN стоял давно, но вот все руки не доходили.
>Думал обмануть судьбу порезавши сеть без перенастройки серверной части. НО..))
>Побрел в серверную поднимать VPN
>
>да кстати, вопрос в догонку - А что лучше VLANы или все
>таки статические маршруты?

Вы ничего с ВЛАНами не перепутали? причем тут одно к другому?


"ув. Гурру plizzzz help"
Отправлено fantom , 15-Фев-08 14:44 
>>
>>Посмотрите в сторону pptp.
>
>Всем огромное Пасяба!
>Вопрос о поднятии VPN стоял давно, но вот все руки не доходили.
>Думал обмануть судьбу порезавши сеть без перенастройки серверной части. НО..))
>Побрел в серверную поднимать VPN

telnet вам в помощь :)


>
>да кстати, вопрос в догонку - А что лучше VLANы или все
>таки статические маршруты?


"ув. Гурру plizzzz help"
Отправлено apach_ , 15-Фев-08 15:58 
>>
>>да кстати, вопрос в догонку - А что лучше VLANы или все
>>таки статические маршруты

отлично...тогда следующая проблема..
линк от прова ко мне приходит  не в серверную, а в сегмент сети
CISCO3750--------HP1800(в нем абоненты и Ethernet прова)
на линке прова я нареза VLAN255 чтоб real ip в локалке не светились, а вся сеть как вы уже поняли в VLAN1. на циске:

vlan access-map SecWiz 10
action forward
match ip address SecWiz_Gi1_0_19_out_ip SecWiz_Gi1_0_1_in_ip
vlan filter SecWiz vlan-list 1
vlan internal allocation policy ascending

если будет статика как мне перебросить из статически нарезанного сегмента сети на циске реальные ip так чтоб и аб. работали и мои внешние ip не видели?



"ув. Гурру plizzzz help"
Отправлено NetMaster , 16-Фев-08 06:23 
>отлично...тогда следующая проблема..
>линк от прова ко мне приходит  не в серверную, а в
>сегмент сети
>CISCO3750--------HP1800(в нем абоненты и Ethernet прова)
>на линке прова я нареза VLAN255 чтоб real ip в локалке не
>светились, а вся сеть как вы уже поняли в VLAN1. на
>циске:
>если будет статика как мне перебросить из статически нарезанного сегмента сети на
>циске реальные ip так чтоб и аб. работали и мои внешние
>ip не видели?

Пожалуй стоит немного отвлечься и сказать слежующее
1. в первом вилане услугу лучше не предоставлять, это управляющий вилан на многих
   устройства по нему ходит много интересных вещей как igmp, stp, rstp
   в общем пригодиться пригодиться и не только это... (объяснять долго)
2. всех абонентов и реальных (статических) и pppoe или pptp рассадить по своим виланам!
   т.е. pppoe в одном вилане, статики в другом, приходящий канал от прова в отдельном,
   и никак не иначе если не хочется встретить новую кучку проблем.
   (замечание по статикам: если кто то берет 8,16 хостовую сеть из абонентов, желательно
   чтоб они сидели в разных виланах, поверьте опыту)
Думаю основа понятна а значит оде проблемы должны быть решены.