URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6279
[ Назад ]

Исходное сообщение
"CISCO 2610 в качестве сервера доступа pptp."
Отправлено harlan , 06-Окт-04 07:37

Начальство поставило мне кошмарную задачку, попробую её обрисовать.
Есть CISCO 2610 XM.
Serial 0/0 смотрит "в мир" и имеет реальный IP.
FastEthernet "порезан" на vlans
В данный момент меня интересует только interface FastEthernet0/0.1
Дело в том, что на нём "сидит" локальная сеть, часть IP-адресов которой "белые", а часть - "серые". Соответственно на интерфейсе прописаны два IP-адреса:
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address A.B.C.D 255.255.255.224
ip address 10.0.0.1 255.255.0.0 secondary
!
Клиенты с "белыми" адресами должны иметь доступ в интернет "напрямую" (без NAT)
Клиенты с "серыми" адресами делятся ещё на две части:
1. Выходят в интернет без аутентификации (через NAT)
2. Устанавливают pptp-соединение, проходят аутентификацию (radius) и получают реальный IP из пула A.B.C.E/27
По всем клиентам должна сниматься статистика по NetFlow.
Вопросы:
1. Возможно ли реализовать подобную схему на вышеупомянутой железке?
2. Как сказать CISCO, что эти адреса надо натить, а эти не надо?
3. Как заставить CISCO выделять IP адреса из определённого пула?
Вроде бы пока всё.

Содержание

CISCO 2610 в качестве сервера доступа pptp.,harlan, 11:40 , 08-Окт-04
- CISCO 2610 в качестве сервера доступа pptp.,snark, 11:18 , 23-Окт-04
- CISCO 2610 в качестве сервера доступа pptp.,vmn2003, 11:43 , 23-Окт-04

Сообщения в этом обсуждении

"CISCO 2610 в качестве сервера доступа pptp."
Отправлено harlan , 08-Окт-04 11:40

Ладно, перепишу задачу:
Serial 0/0 смотрит "в мир" и имеет реальный IP.
FastEthernet "порезан" на vlans
В данный момент меня интересует только interface FastEthernet0/0.1
Дело в том, что на нём "сидит" локальная сеть, часть IP-адресов которой
"белые", а часть - "серые". Соответственно на интерфейсе прописаны два IP-адреса:
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address A.B.C.D 255.255.255.224
ip address 10.0.0.1 255.255.0.0 secondary
!
Клиенты с "белыми" адресами должны иметь доступ в интернет "напрямую" (без NAT)
Клиенты с "серыми" устанавливают pptp-соединение, проходят аутентификацию (radius) и получают реальный IP из пула
A.B.C.E/27
По всем клиентам должна сниматься статистика по NetFlow.
Вопросы:
1. Возможно ли реализовать подобную схему на вышеупомянутой железке?
2. Как заставить CISCO выделять IP адреса для клиентов pptp-сессий из определённого пула?
Вроде бы пока всё.

"CISCO 2610 в качестве сервера доступа pptp."
Отправлено snark , 23-Окт-04 11:18

>Вопросы:
>1. Возможно ли реализовать подобную схему на вышеупомянутой железке?
>2. Как заставить CISCO выделять IP адреса для клиентов pptp-сессий из определённого
>пула?
копай в сторону vpdn

"CISCO 2610 в качестве сервера доступа pptp."
Отправлено vmn2003 , 23-Окт-04 11:43

Что-то типа этого
aaa authentication ppp default group radius
aaa authorization network default group radius if-authenticated
aaa accounting network default start-stop group radius
aaa accounting network vpn start-stop group radius
aaa accounting connection default start-stop group radius
aaa session-id common
ip subnet-zero
no ip source-route
!
ip cef
vpdn enable
!
vpdn-group vpn
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
mtu 1492
ip unnumbered Ethernet0/0.1
no ip route-cache cef
peer default ip address pool vpn-pool
ppp authentication pap
ppp timeout idle 200000
!
ip local pool vpn-pool A.A.A.A B.B.B.B
!
radius-server attribute nas-port format d
radius-server host D.D.D.D auth-port X acct-port Y
radius-server key 7 qwqwqwqwq
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
!