Здравствуйте. Помогите пожалуйста реализовать задачу.Есть сабж на нём три интерфейса, один (10.10.10.1) инкапсулируется в L3 свитч который является ядром, на свитче много VLANs инкапсулируется один из них. Второй(x.x.x.x) это подсеть белых IP адресов - 2921 для них является шлюзом ) инкапсулируется другим VLAN'ом в тот же L3 свитч. Третий (y.y.y.2) смотрит к провайдеру. Первая задача поднять L2TP сервер для того чтобы могли коннектиться DLink'и DIR-100 с аутентификацией на NPS (Radius). Вторая, если это возможно, чтобы подсети вида 172.17.0.0/28 объединённые в супернет 172.17.0.0/16 которые за этими DLink'ами были видны из внутренних подсетей. Можно ли вообще такое сделать? Вот текущий конфиг:
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network VPN
action-type start-stop
group radius
!
aaa session-id common
!
clock timezone Moscow 4 0
!
no ipv6 cef
no ip source-route
ip cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key SUPERKEY address 0.0.0.0 0.0.0.0 no-xauth
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map DYNMAP 10
set nat demux
set transform-set 3DES-MD5
!
crypto map CRYPTO 10 ipsec-isakmp dynamic DYNMAP
!
interface Loopback0
description ===== for VPN =====
ip address 10.10.11.1 255.255.255.0
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
description ===== External Services =====
encapsulation dot1Q 6
ip address x.x.x.x x.x.x.x
crypto map CRYPTO
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
description ===== Management =====
encapsulation dot1Q 10
ip address 10.10.10.1 255.255.255.255
!
interface GigabitEthernet0/1.2
!
interface GigabitEthernet0/2
description ===== Internet =====
ip address y.y.y.2 255.255.255.252
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group VPN in
peer default ip address pool VPN
ppp encrypt mppe 128
ppp authentication ms-chap-v2
ppp accounting VPN
!
ip local pool VPN 10.10.11.2 10.10.11.254
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 y.y.y.1
ip route 10.10.10.0 255.255.255.0 10.10.10.255
ip route 172.17.0.0 255.255.0.0 10.10.11.1
!
ip access-list extended VPN
permit icmp any any
permit tcp any any
permit udp any any
deny ip any any
!
radius server RADIUS
address ipv4 z.z.z.z auth-port 1812 acct-port 1813
key 7 45645735684789
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
privilege level 15
logging synchronous
transport input ssh
!
end
>[оверквотинг удален]
> transport input all
> transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
> stopbits 1
> line vty 0 4
> exec-timeout 5 0
> privilege level 15
> logging synchronous
> transport input ssh
> !
> end1. Можно
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t1/feature/gui...2. С dir-100 вряд ли, думаю нат помешает.