Подскажите пожалуйста чайнику, есть ли возможность поднять одновременно PPPoE сервер (если да, то на какое количество сессий можно рассчитывать) и NAT на cisco 2611 ?
Может ли PPPoE сервер на cisco раздавать адреса аdsl-клиентам из заданного приватного диапазона, а потом делать NAT для них же или для этого нужно использовать что-то еще ?Если возможно, большая просьба дать пример конфига.
Заранее благодарен.
>Подскажите пожалуйста чайнику, есть ли возможность поднять одновременно PPPoE серверЕсть.
(если да,
>то на какое количество сессий можно рассчитывать) и NAT на cisco
>2611 ?На 2621 - 10 сессий тянет без видимых напрягов, больше возможности проверить не было.
>Может ли PPPoE сервер на cisco раздавать адреса аdsl-клиентам из заданного приватного
>диапазона, а потом делать NAT для них же или для этого
>нужно использовать что-то еще ?Да.
>Если возможно, большая просьба дать пример конфига.
>Заранее благодарен.Лови (кусками):
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
aaa session-id commonvpdn enable
!
vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
!
async-bootp dns-server xxx.xxx.xxx.xxx
!
interface FastEthernet0/1.50
description Office_int_50
encapsulation dot1Q 50
ip address 192.168.0.1 255.255.255.0
pppoe enable
no cdp enable
!
interface Virtual-Template1
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip route-cache policy
ip route-cache flow
peer default ip address pool Office_Pool
ppp authentication chap pap callinip local pool Office_Pool 192.168.10.10 192.168.10.50
ip nat pool Office_pool xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 28 type rotaryip nat inside source list 1 pool Office_pool overload
access-list 1 permit 192.168.10.0 0.0.0.255
>>Подскажите пожалуйста чайнику, есть ли возможность поднять одновременно PPPoE сервер
>
>Есть.
>
>
>(если да,
>>то на какое количество сессий можно рассчитывать) и NAT на cisco
>>2611 ?
>
>На 2621 - 10 сессий тянет без видимых напрягов, больше возможности проверить
>не было.
>
>>Может ли PPPoE сервер на cisco раздавать адреса аdsl-клиентам из заданного приватного
>>диапазона, а потом делать NAT для них же или для этого
>>нужно использовать что-то еще ?
>
>Да.
>
>>Если возможно, большая просьба дать пример конфига.
>>Заранее благодарен.
>
>Лови (кусками):
>
>aaa authentication ppp default group radius
>aaa authorization network default group radius
>aaa accounting update periodic 5
>aaa accounting network default start-stop group radius
>aaa session-id common
>
>vpdn enable
>!
>vpdn-group 1
> accept-dialin
> protocol pppoe
> virtual-template 1
>!
>async-bootp dns-server xxx.xxx.xxx.xxx
>!
>interface FastEthernet0/1.50
> description Office_int_50
> encapsulation dot1Q 50
> ip address 192.168.0.1 255.255.255.0
> pppoe enable
> no cdp enable
>!
>interface Virtual-Template1
> ip address 192.168.10.1 255.255.255.0
> ip nat inside
> ip route-cache policy
> ip route-cache flow
> peer default ip address pool Office_Pool
> ppp authentication chap pap callin
>
>ip local pool Office_Pool 192.168.10.10 192.168.10.50
>ip nat pool Office_pool xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 28 type rotary
>
>ip nat inside source list 1 pool Office_pool overload
>
>access-list 1 permit 192.168.10.0 0.0.0.255Большое спасибо.
Еще вопрос - аутентифицию клиентов проводит радиус, т.е. одной железкой (2611) здесь не обойтись ?
У меня радиус, т.к. надо было раздавать fixed ip по юзерам. Если без этого, то local auth прокатывает.
>У меня радиус, т.к. надо было раздавать fixed ip по юзерам. Если
>без этого, то local auth прокатывает.если можно, пожалуйста подробнее о "local auth" и как изменится ли конфиг циски при этом?
>>У меня радиус, т.к. надо было раздавать fixed ip по юзерам. Если
>>без этого, то local auth прокатывает.
>
>если можно, пожалуйста подробнее о "local auth" и как изменится ли конфиг
>циски при этом?
local auth - циска хранит username-password-ы у себя в конфиге. Удобно, если по ppp надо пускать немного пользователей.aaa authentication ppp default group radius
aaa authorization network default group radiusменяем на
aaa authentication ppp default local
aaa authorization network default if-authentificated
Вот это
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
aaa session-id common
убираем.Заводим юзеров
username aaaaa password bbbbbbb
и т.д.
>Вот это
>aaa accounting update periodic 5
>aaa accounting network default start-stop group radius
>aaa session-id common
>убираем.
>
>Заводим юзеров
>username aaaaa password bbbbbbb
>и т.д.Спасибо :)
последний вопрос, а что будет в этой ситуации в счетчиках ip-accounting ?
Надо было отдать вам все конфиги и сделать дамп HDD сервера и не мучатся... :-D :-D :-D
Радиус нужен для того, чтобы обслуживание и управление аккаунтами пользователей можно было доверить кому-то, кроме администратора. Удобней становится и блокировка пользователя, и тому подобные операции. В моем случае радиус пришлось использовать, потому что требовалось обеспечить привязку ип к логину.Статистику я снимаю по netflow, т.к. дается более полная картина траффика, и, что немаловажно, более точная. Для этого и привязываю логин к ip. Возможно также считать через радиус, но для этого надо было искать патчи, а мне было лень + в радиусе менее подробная статистика + netflow уже был настроен. Что будет в ip accounting - не знаю -( Советую все же посмотреть в сторону netflow.
народ, а как в конфиге пишется диапазон, из кот. пппое выделяет адреса юзерам (в блоке под строкой vpdn enable нет упоминания о диапазоне) ?
>народ, а как в конфиге пишется диапазон, из кот. пппое выделяет адреса
>юзерам (в блоке под строкой vpdn enable нет упоминания о диапазоне)
>?
interface Virtual-Template1
peer default ip address pool Office_Pool
Вот здесь задается.
Большое спасибо.
Еще вопрос - аутентифицию клиентов проводит радиус, т.е. одной железкой (2611) здесь не обойтись ?
>Большое спасибо.
>Еще вопрос - аутентифицию клиентов проводит радиус, т.е. одной железкой (2611) здесь
>не обойтись ?
Если много народа намечается, то лучше поднять Radius на каком нибудь сервере и аутентикацию направить на него