Добрый день,Имею следующий набор: Cisco 7204 в нее включены DSL клиенты посредством пира, дальше эта 7204 выпускает через пограничный маршрутизатор (BigIron 4000) DSL клиентов в мир, авторизация через Radius.
Немного опишу ситуацию, что бы было ясно к чему я все это буду говорить: Все в целом работает отлично, пользователи авторизуются, есть работа со статическим и динамическим пулом, радиус все делает хорошо, но появилась задача следующего рода: внутри одной компании надо четко разделить клиентов, при чем по признаку IP в том числе, по этому ряд DSL клиентов переехал на другие IP и как бы все, но тут еще вопрос стал за разделением самой 7204 на две части логические, а именно: У половины клиентов свой шлюз, у второй половины свой, и они как бы должны быть видны в маршрутах когда клиенты делают от себя traceroute. Собственно между 7204 и bi-4000 у меня была 1 физика , она одна и осталась, я повесил на тот же интерфес еще одну сеть /30 , тем самым выдав по шлюзу еще на стороне маршрутизатора и на стороне 7204.... пока что в одном влане. Так вот загвоздока в том, что какие бы клиенты не делали трассу, они видят в маршрутах один и тот же "primary ip" с интерфейсов описанных выше, а хотелось бы их разделить причем так , что бы на 7204 и bi8000 маршруты этих клиентов не пересекались, т.е каждые клиенты думают , что идут через собственный маршрутизатор, а реально он 1 :)
Почему я создал эту тему в разделе про Radius, потому что я уже проковырялся кучу времени с PBR на обоих девайсах, перечитал кучу документации по цискам и ничего не вышло, как говорится заресетился и начал все по новой так сказать с самого начала , и начал со стороны клиента...
У Клиента картина выглядит так:
IP: x.x.x.x
GW: x.x.x.x (такой же как IP), маска /32
first hop: y.y.y.yКогда смотрю Settings в PPOE на венде , вижу Server-IP-Address y.y.y.y, и он у всех, не зависимо от IP или других принадлежностей сейчас одинаков и поменять его у меня не получилось через Reply с NAS-Identifier & NAS-IP-ADDRESS. А в маршруте самым первым хопом и получается этот самый y.y.y.y который пока не удалось поменять еще на стороне клиента (т.е я хочу что бы DSL клиент получил другой default GW, а даже наверное не GW... потому, что как я описал выше у нас IP=GW а вот в маршруте первый хоп это адрес 7204....).. я так понимаю зависит это от данных в RADIUS или это как-той другой методой сам NAS передает клиенту? При стандартном IP роутинге обычно next-hop = default GW, а тут как бы клиенты /32 получают, как их делить на группы с разными GW ?
В общем буду висеть тут пока не найду решение :))) Так что готов к обсуждениям, выдаче большего объема информации если надо, есть топология включения в JPG.
Помогайте люди добрые :)
>[оверквотинг удален]
>или это как-той другой методой сам NAS передает клиенту? При стандартном
>IP роутинге обычно next-hop = default GW, а тут как бы
>клиенты /32 получают, как их делить на группы с разными GW
>?
>
>В общем буду висеть тут пока не найду решение :))) Так что
>готов к обсуждениям, выдаче большего объема информации если надо, есть топология
>включения в JPG.
>
>Помогайте люди добрые :)1. Конфиг кошки - в студию!
2. Скорее всего в Virtual-template интерфейсе есть параметр ip unnumb?
надо для других абонов создать свою bba-gr и свой Virtual-template с другим ip unnumb...
3. MPSL вам поможет сбацать различные пути до bi-4000 и будет кошка выглядеть как 2 маршрутера...
3. Вернее не столько MPLS, сколько vrf
>3. Вернее не столько MPLS, сколько vrfПомнится видел упоминание что есть radius-атрибут в какой VRF надо поместить интерфейс.
>>3. Вернее не столько MPLS, сколько vrf
>
>Помнится видел упоминание что есть radius-атрибут в какой VRF надо поместить интерфейс.
>А точнее чуток? Я не супер знаток DSL... Так пока , начинающий.
>>>3. Вернее не столько MPLS, сколько vrf
>>
>>Помнится видел упоминание что есть radius-атрибут в какой VRF надо поместить интерфейс.
>>
>
>А точнее чуток? Я не супер знаток DSL... Так пока , начинающий.
>А причем тут DSL?
VRF - к DSL отношения никакого не имеет.1. Создаете на кошке 2 VRF-а.
2. Создаете 2 интерфейса до вашего айрона (с VLAN-ами он надеюсь работать умеет? - вот 2 разных VLAN-а и соорудить)
3. 1 интерфейс на айрона+интерфейсы нужных абонентов помещаете в один VRF.
4. 2 интерфейс на айрона+интерфейсы нужных абонентов помещаете в другой VRF.Наслаждаетесь жизнью....
>[оверквотинг удален]
>А причем тут DSL?
>VRF - к DSL отношения никакого не имеет.
>
>1. Создаете на кошке 2 VRF-а.
>2. Создаете 2 интерфейса до вашего айрона (с VLAN-ами он надеюсь работать
>умеет? - вот 2 разных VLAN-а и соорудить)
>3. 1 интерфейс на айрона+интерфейсы нужных абонентов помещаете в один VRF.
>4. 2 интерфейс на айрона+интерфейсы нужных абонентов помещаете в другой VRF.
>
>Наслаждаетесь жизнью....С Вланами обе железки работают, а не достаточно будет просто VLAN-ы разные сделать и поместить два разных шлюза в разные вланы? от этого маршрут не поменяется? Потому , что сейчас VLAN на 7204 не спускается, т.е только со стороны ADSL PEER, а со стороны айрона UNTAG...
Так же я почитал про VRF, не совсем понятен следующий аспект, должна ли сторона BigIRON поддерживать VRF ? Или это все произойдет на Cisco и все, BigIron не при делах вообще ?
Подскажите еще вот что: "интерфейс на айрона+интерфейсы нужных абонентов", как я их туда буду помешать, если интерфейсы у них постоянно разные, они ж то подключились, то отключились, по какому признаку их в VRF можно засовывать?
Так же не совсем понятно как разделять на два VRF, если у меня всего 1 интерфейс на вход и 1 на выход, получится сделать 2 группы с одними и теми же интерфейсами?
>[оверквотинг удален]
>>4. 2 интерфейс на айрона+интерфейсы нужных абонентов помещаете в другой VRF.
>>
>>Наслаждаетесь жизнью....
>
>С Вланами обе железки работают, а не достаточно будет просто VLAN-ы разные
>сделать и поместить два разных шлюза в разные вланы? от этого
>маршрут не поменяется? Потому , что сейчас VLAN на 7204 не
>спускается, т.е только со стороны ADSL PEER, а со стороны айрона
>UNTAG...
>Ну так если обе железки под вашим контролем и Ethernet между ними тоже проходит через подконтрольную вам сеть - что мешает? можно старый оставить untag, а новый добавить tag.
>Так же я почитал про VRF, не совсем понятен следующий аспект, должна
>ли сторона BigIRON поддерживать VRF ? Или это все произойдет на
>Cisco и все, BigIron не при делах вообще ?
>Да, BigIRON не при делах, он о vrf вообще ничего и подозревать не будет.
>
>Подскажите еще вот что: "интерфейс на айрона+интерфейсы нужных абонентов", как я их
>туда буду помешать, если интерфейсы у них постоянно разные, они ж
>то подключились, то отключились, по какому признаку их в VRF можно
>засовывать?Почитайте теорию.
В двух словах: интерфейсы абонов конфигурятся по шаблону, шаблон - Virtual-Template <N>
Один шаблон для одних абонов, второй - для других...
или как правильно было замечено - передавать соответствующим атрибутом с радиуса.>
>
>Так же не совсем понятно как разделять на два VRF, если у
>меня всего 1 интерфейс на вход и 1 на выход, получится
>сделать 2 группы с одними и теми же интерфейсами?interface GigabitEthernet0/2.1017
encapsulation dot1Q 1017
ip address v.v.v.v 255.255.255.248
no snmp trap link-status
!
interface GigabitEthernet0/2.1018
encapsulation dot1Q 1018
ip address v.v.v.v 255.255.255.252
ip vrf forwarding VRF_2
no snmp trap link-statusвот два интерфейса, создаете еще что-то типа
interface GigabitEthernet0/1.200
description "th-BigIron4000 VLAN 200"
ip address y.y.y.y 255.255.255.252
ip vrf forwarding VRF_2
encapsulation dot1Q 200interface Virtual-Template2
ip unnumbered GigabitEthernet0/1.200
ip vrf forwarding VRF_2
ip mtu 1460
ip tcp header-compression
ip tcp adjust-mss 1420
load-interval 60
no peer default ip address
keepalive 30
ppp mru match
ppp authentication pap chap xxxxx.com
ppp authorization xxxxx.com
ppp accounting xxxxx.com
ppp multilink
ppp multilink links maximum 4
ppp multilink links minimum 2
ppp multilink interleaveip route vrf VRF_2 0.0.0.0 0.0.0.0 <IP айрона на vlan200 интерфейсе>
Где-то в настройках vpdn-group
vpdn-group l2tp-1018
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
lcp renegotiation always
source vpdn-template xxxxx.comНадо найти ссылку на VRF или source интерфейс...
>[оверквотинг удален]
>Где-то в настройках vpdn-group
>vpdn-group l2tp-1018
>! Default L2TP VPDN group
>accept-dialin
> protocol l2tp
> virtual-template 2
>lcp renegotiation always
>source vpdn-template xxxxx.com
>
>Надо найти ссылку на VRF или source интерфейс...День добрый,
Начинает по чуток проясняться, про interface GigabitEthernet0/2.1018 можно забыть это таким образом трактуются VLAN-ы на 7204, а 1018 - VLAN Уже давно не используется, т.е фактически происходит следующее: у меня 1 линк внутрь сети и 1 линк от апстрима с потоком... Дело в том, что все клиенты не зависимо от того хочу я или нет будут приходить отсюда: "GigabitEthernet0/2.1017", это единственное место откуда они приходят на 7204. Выходить они допустим могут или через Gi0/1 или через доп. физику которую я включу между девайсами, но хотелось бы оперировать логикой :) А не 28 шнурочков между устройствами кидать :)
Сеть вся подконтрольна, 7204, bi4000, и все что между ними, само собой DSL апстрим в 7204 заходит его я не контролирую. ;)
С Уважением,
>[оверквотинг удален]
>>включения в JPG.
>>
>>Помогайте люди добрые :)
>
>1. Конфиг кошки - в студию!
>2. Скорее всего в Virtual-template интерфейсе есть параметр ip unnumb?
>надо для других абонов создать свою bba-gr и свой Virtual-template с другим
>ip unnumb...
>3. MPSL вам поможет сбацать различные пути до bi-4000 и будет кошка
>выглядеть как 2 маршрутера...Весь конфиг не вижу смысла кидать , там еще отдельно BGP настроено и маршрутизация внутренняя, кидаю то, что на прямую относится к DSL:
(Интерфейс который смотрит в bi4000)
interface GigabitEthernet0/1
description "th-BigIron4000 2/4"
ip address y.y.y.y 255.255.255.252 secondary
ip address x.x.x.x 255.255.255.224
load-interval 60
duplex full
speed 1000
media-type rj45
no negotiation auto
(Интерфейс откуда приходит сигнал)interface GigabitEthernet0/2
description "Bell.ca"
no ip address
load-interval 60
duplex full
speed 1000
media-type rj45
no negotiation autointerface GigabitEthernet0/2.1017
encapsulation dot1Q 1017
ip address v.v.v.v 255.255.255.248
no snmp trap link-status
!
interface GigabitEthernet0/2.1018
encapsulation dot1Q 1018
ip address v.v.v.v 255.255.255.252
no snmp trap link-status
!
vpdn enable
!
vpdn-template xxxxx.com
description "xxxxx.com Cuscometrs"
local name xxxxx.com
l2tp tunnel password x xxxxxxxxxxxxxxxxx
!
vpdn-group l2tp-1017
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation always
source vpdn-template xxxxx.cominterface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip mtu 1460
ip tcp header-compression
ip tcp adjust-mss 1420
load-interval 60
no peer default ip address
keepalive 30
ppp mru match
ppp authentication pap chap xxxxx.com
ppp authorization xxxxx.com
ppp accounting xxxxx.com
ppp multilink
ppp multilink links maximum 4
ppp multilink links minimum 2
ppp multilink interleave
Собственно, очень хочется перебирать IP адресами с интерфейса Gi0/1, а соответственно так же на Bi4000. Через 1 физику , нужно получить два маршрута разных по IP адресам.
>[оверквотинг удален]
> ppp accounting xxxxx.com
> ppp multilink
> ppp multilink links maximum 4
> ppp multilink links minimum 2
> ppp multilink interleave
>
>
>Собственно, очень хочется перебирать IP адресами с интерфейса Gi0/1, а соответственно так
>же на Bi4000. Через 1 физику , нужно получить два маршрута
>разных по IP адресам.Или я отстал от жизни...
И где тут PPPoE??????
>[оверквотинг удален]
>> ppp multilink links minimum 2
>> ppp multilink interleave
>>
>>
>>Собственно, очень хочется перебирать IP адресами с интерфейса Gi0/1, а соответственно так
>>же на Bi4000. Через 1 физику , нужно получить два маршрута
>>разных по IP адресам.
>
>Или я отстал от жизни...
>И где тут PPPoE??????Я честно говоря не очень силен, но у клиентов PPPoE поднимается, авторизация через наш NAS происходит путем Radius, может я что-то не так понял?
>[оверквотинг удален]
>>>Собственно, очень хочется перебирать IP адресами с интерфейса Gi0/1, а соответственно так
>>>же на Bi4000. Через 1 физику , нужно получить два маршрута
>>>разных по IP адресам.
>>
>>Или я отстал от жизни...
>>И где тут PPPoE??????
>
>Я честно говоря не очень силен, но у клиентов PPPoE поднимается, авторизация
>через наш NAS происходит путем Radius, может я что-то не так
>понял?Исходя из конфига кошки у вас там l2tp, ну никак не pppoe
>[оверквотинг удален]
>>>
>>>Или я отстал от жизни...
>>>И где тут PPPoE??????
>>
>>Я честно говоря не очень силен, но у клиентов PPPoE поднимается, авторизация
>>через наш NAS происходит путем Radius, может я что-то не так
>>понял?
>
>Исходя из конфига кошки у вас там l2tp, ну никак не pppoe
>Принял в наследство AS IS... По этому пока что разбираюсь :)))