форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от kukachik (ok) on 07-Сен-04, 06:29  (MSK)
Вот делал тут такую штуку, решил опубликовать может кого заинтересует. сделано на Cisco 7507, коммутатор Catalyst 5000 все интерфейсы FE Помимо предоставления фиктивных адресов через Radius, создан VLAN с реальными адресами для тех клиентов, которым в силу определенных причин необходимы реальные адреса. Первым делом разрешите на cisco Radius: aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local !запрет использования Radius для exec aaa authorization network default group radius aaa accounting network default start-stop group radius Разрешите VPN: vpdn enable Создайте группу: vpdn-group 1 accept-dialin protocol pppoe virtual-template 1 Создайте сабинтерфейсы для VLAN на внутреннем Ethernet интерфейсе: interface FastEthernet0/0.1 description PPTP clients encapsulation dot1Q 2 ip address 192.168.0.1 255.255.255.0 no ip redirects ip nat inside pppoe enable interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 81.ххх.ххх.ххх 255.255.255.240 Добавьте ip nat outside на Internet интерфейсе Создайте Virtual-Template1 interface Virtual-Template1 ip unnumbered FastEthernet0/0.1 ip nat inside ppp authentication chap pap callin Добавьте использование функции NAT overload на Internet интерфейсе для адресов из access-list 1 ip nat inside source list 1 interface FastEthernet1/0 overload access-list 1 permit 192.168.2.0 0.0.0.255 !для этих адресов разрешить NAT На этом интерфейсе живет Radius сервер: ip radius source-interface FastEthernet0/0.2 Это его настройки: radius-server configure-nas radius-server host 81.ххх.ххх.ххх auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server timeout 30 radius-server key xxxxxxxxxxxxxxxxx P.S. Radius у меня сам выдает IP вида 192.168.2.ххх по имени пользователя. Если вам это не подходит то сделайте: ip local pool PPPoE 192.168.2.2 192.168.2.254 Вот собственно и все комментарии приветствуются :-)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от ss_labs on 07-Сен-04, 16:31  (MSK)
у этой схемы я заметил некоторый недостаток: аккаунтинг приходит только по факту завершения сесии. у серверов доступа lucent есть очень интересная фишка: особый тип записи радиус-аккаунтинга. раз в несколько минут сервер присылает так называемый checkpoint: с обычными радиус-парами в т.ч. duration, bytes-in, bytes-out проанализировав эту информацию, можно недопустить переработку клиентом времени и трафика. если б эта возможность была в cisco ...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от bash (??) on 08-Сен-04, 02:51  (MSK)
	насколько я знаю, такая особенность в циске есть... alive-пакеты
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от ss_labs on 09-Сен-04, 09:08  (MSK)
	>насколько я знаю, такая особенность в циске есть... alive-пакеты а можно подробнее?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от kukachik (ok) on 09-Сен-04, 10:39  (MSK)
	>>насколько я знаю, такая особенность в циске есть... alive-пакеты > > >а можно подробнее? http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftupdte.htm
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от ss_labs on 09-Сен-04, 11:52  (MSK)
	>>>насколько я знаю, такая особенность в циске есть... alive-пакеты >> >> >>а можно подробнее? > >http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftupdte.htm а можно взглянуть на пример radius-accounting записи, посылаемой cisco radius-серверу с помощью aaa accounting update [ newinfo]  [ periodic number]?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от kukachik (ok) on 08-Сен-04, 06:41  (MSK)
	>у этой схемы я заметил некоторый недостаток: аккаунтинг приходит только по факту >завершения сесии. > >у серверов доступа lucent есть очень интересная фишка: особый тип записи радиус-аккаунтинга. >раз в несколько минут сервер присылает так называемый checkpoint: с обычными >радиус-парами в т.ч. duration, bytes-in, bytes-out проанализировав эту информацию, можно недопустить >переработку клиентом времени и трафика. > >если б эта возможность была в cisco ... есть такое: aaa accounting update newinfo или через некий интервал в примере упустил это
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от Lan on 08-Сен-04, 12:22  (MSK)
Сделал такую же штуку на 2621, работает уже полгода, но есть трабл... :( Некоторые клиенты (XP, win98, W2K) выдают при подключении ошибку 733. При этом радиусова авторизация проходит, появляется стоповая запись... Как я понял, возможно связано с количеством одновременных сессий. Никто не боролся с подобным траблом?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от bash (??) on 09-Сен-04, 02:35  (MSK)
	>Сделал такую же штуку на 2621, работает уже полгода, но есть трабл... >:( Некоторые клиенты (XP, win98, W2K) выдают при подключении ошибку 733. >При этом радиусова авторизация проходит, появляется стоповая запись... Как я понял, >возможно связано с количеством одновременных сессий. > >Никто не боролся с подобным траблом? ещё как боролись, эт действительно связано с количеством одновременных сессий. я лечил так: на Virtual-Template прописать ip unnumbered Loopback0 и подними loopback
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от landoc (??) on 09-Сен-04, 13:31  (MSK)
	>>Сделал такую же штуку на 2621, работает уже полгода, но есть трабл... >>:( Некоторые клиенты (XP, win98, W2K) выдают при подключении ошибку 733. >>При этом радиусова авторизация проходит, появляется стоповая запись... Как я понял, >>возможно связано с количеством одновременных сессий. >> >>Никто не боролся с подобным траблом? > > >ещё как боролись, эт действительно связано с количеством одновременных сессий. я лечил >так: >на Virtual-Template прописать > ip unnumbered Loopback0 >и подними loopback а можно подробнее?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от Slava (??) on 15-Дек-04, 19:06  (MSK)
	>Сделал такую же штуку на 2621, работает уже полгода... У меня тоже на 2621, конфу я взял на основе предложенного здесь примера. Но есть пара вопросов : -1- Даже если пользователь не качает трафик, в радиус логах он, тем не менее растет сос средней скоростью 3.5 байта в сек. Оказалось это PPP LCP эхо запросы и ответы. Эхо запрос поступает примерно раз в 5 сек. Вот дебаг : Dec 15 18:56:26: Vi1.1 LCP-FS: Received id 65, sent id 65, line up Dec 15 18:56:30: Vi1.1 LCP-FS: I ECHOREQ [Open] id 11 len 8 magic 0x8EF2D26C Dec 15 18:56:30: Vi1.1 LCP-FS: O ECHOREP [Open] id 11 len 8 magic 0x0F288CCB Dec 15 18:56:37: Vi1.1 LCP: O ECHOREQ [Open] id 66 len 12 magic 0x0F288CCB Dec 15 18:56:37: Vi1.1 LCP-FS: I ECHOREP [Open] id 66 len 12 magic 0x8EF2D26C -2- После разрыва ADSL-соединения сеанс держится некоторое время (15-20 сек.). Почему это не происходит сразу ? Дело в LCP таймаутах ? Это важно потому, что злоумышленник может плодить сеансы быстро подключаясь и отключаясь, забивая циску.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от ak (??) on 09-Сен-04, 15:16  (MSK)
а ни у кого проблем рода описанных по ссылке не возникало? http://www.fido-online.com/x/_-0?Msg?29sZWh&378&34733&32
	Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от ak (??) on 15-Сен-04, 11:52  (MSK)
>Вот делал тут такую штуку, решил опубликовать может кого заинтересует. > >сделано на Cisco 7507, коммутатор Catalyst 5000 все интерфейсы FE то kukachik   такой вопрос..   какой rsp ?   вообще сколько сессий одновреммено держит ?   попытки спрогнозировать производительность не делали?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от kukachik (ok) on 15-Сен-04, 11:56  (MSK)
	>>Вот делал тут такую штуку, решил опубликовать может кого заинтересует. >> >>сделано на Cisco 7507, коммутатор Catalyst 5000 все интерфейсы FE > >то kukachik > >  такой вопрос.. >  какой rsp ? старый RSP2 >  вообще сколько сессий одновреммено держит ? у меня клиентов не много, до 40 сессий >  попытки спрогнозировать производительность не делали? не дошли еще руки до этого, но при 10 сессиях нагрузки практически нет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "PPPoE сервер на Cisco с авторизацией через Radius"
Сообщение от ilinav on 16-Сен-04, 09:30  (MSK)
Скажите новичку, а какой смысл имеет virtual-template?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "PPPoE сервер на Cisco с авторизацией через Radius"
	Сообщение от kukachik (ok) on 16-Сен-04, 09:57  (MSK)
	>Скажите новичку, а какой смысл имеет virtual-template? http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_command_reference_chapter09186a00800ca52f.html а вот что это такое: Virtual Profiles is a unique Point-to-Point Protocol (PPP) application that can create and configure a virtual access interface dynamically when a dial-in call is received, and tear down the interface dynamically when the call ends.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.