BiTel

Только осваиваю циску, прошу проверить правильность конфига (доступ по pptp). Например, при наличии Loopback не являются ли лишними субинтерфейсы для радиуса и клиентов.


! 192.168.4.1 - адрес радиуса и биллинга
! public_xxxx - секретная строка snmp-community
!
aaa new-model
!
! Разрешаем отключать сессии по SNMP.
aaa session-mib disconnect
!
aaa group server radius rad_ppp
server-private 192.168.4.1 auth-port 1812 acct-port 1813 key Ваш_ключ
ip radius source-interface Loopback 1
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
!
! заход на циску
aaa authentication login default local-case
aaa authorization exec default local
! pptp
aaa authentication ppp pptp group rad_ppp
aaa authorization network pptp group rad_ppp
aaa accounting network pptp start-stop group rad_ppp
!
aaa accounting delay-start all
aaa accounting update periodic 1
!
interface Loopback 1
ip address 192.168.4.233 255.255.255.0
!
ip local pool default 192.168.12.200 192.168.12.240
!
vpdn enable
!
vpdn-group pptp
accept-dialin
protocol pptp
virtual-template 1
!

! внешний интерфейс, подключенный к провайдеру
interface FastEthernet0/1
ip address 192.168.12.244 255.255.255.0
no cdp enable
!
interface FastEthernet0/0
no ip address
no ip redirects
no cdp enable
no ip unreachables
no ip proxy-arp
no ip route-cache cef
full-duplex
!
! субинтерфейс для соединения с RADIUS-сервером
interface FastEthernet0/0. VLAN_ID
encapsulation dot1Q VLAN_ID
ip address 192.168.4.234 255.255.255.0
!
! субинтерфейс для PPTP-клиентов
interface FastEthernet0/0.VLAN_ID
encapsulation dot1Q VLAN_ID
ip address 192.168.4.235 255.255.255.0
!

interface Virtual-Template 1
ip unnumbered Loopback 1
peer default ip address pool default
ppp authentication pap callin pptp
ppp authorization pptp
ppp accounting pptp
ppp ipcp dns 192.168.200.1
ppp ipcp address unique

! Количество изначально создаваемых интерфейсов при
! старте Cisco. Ускоряет соединение пользователей.
virtual-template 1 pre-clone 200
!
! Настройки экспорта Netflow
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 192.168.4.1 9996
!
! Правила доступа к SNMP на Cisco.
access-list 3 permit 192.168.4.1
access-list 3 deny any log
!
! Настройка SNMP.
syscon address 192.168.4.1 public_xxxx
syscon shelf-id 0
snmp-server community public_xxxx RW 3
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 192.168.4.1 161
snmp-server host 192.168.4.1 2c
snmp-server host 192.168.4.1 aaa
snmp-server host 192.168.4.1 public_xxxx snmp

кросс-пост тут и на наге зачем? можно было сразу тут ...

по теме:
Вы немного недопонимаете ...
loopback - это внутренний интерфейс, Вы анбиндите на него юзеров т.к. в циске есть ограничение в 5 коннектов если анбиндить на езернет (анбинд на loopback - это dirty hack/workaround этой особенности)
сабинтерфейсы Вам нужны только для того чтобы Вы погли пользоваться VLAN-ами для предоставления доступа, если у Вас нет планов разделения юзеров на VLAN-ы (плохая идея) - сабинтерфейсы Вам не нужны ...