forum.bitel.ru
http://forum.bitel.ru/

Конфигурации Cisco PPTP и Cisco PPPOE
http://forum.bitel.ru/viewtopic.php?f=5&t=1280		 Страница 1 из 1
Автор:  Dmitri [ 07 июл 2008, 15:55 ]
Заголовок сообщения:  Конфигурации Cisco PPTP и Cisco PPPOE
Уважаемые разработчики, большая просьба: если есть возможность, покажите действительную на данный момент конфигурацию cisco pptp, cisco pppoe.

Дело в том, что никак не могу четко понять, что должно быть обязательно в секции aaa...
Автор:  Dmitri [ 07 июл 2008, 20:19 ]
Заголовок сообщения:  Дополнительная группа вопросов №1
В документации есть пример, в разделе: 29. Настройка модуля DialUP с CISCO AS5300.

Просьба пояснить следующие команды:

Код:
radius-server authorization permit missing Service-Type


Почему аутентификация выполнена как if-needed:
Код:
aaa authentication ppp default if-needed group radius local


Почему авторизация сделана как if-authenticated, а не просто через группу:
Код:
aaa authorization exec default group radius if-authenticated
Автор:  Администратор [ 08 июл 2008, 00:56 ]
Заголовок сообщения: 
http://wiki.bgbilling.ru/index.php/%D0% ... 1%80%D0%B5
Автор:  snark [ 09 июл 2008, 15:52 ]
Заголовок сообщения: 
для РРРоЕ так (минимально):
Код:
aaa new-model
!
aaa group server radius rad_ppp
 server-private IP.адрес.Вашего.RADIUS auth-port 1812 acct-port 1813 key Ваш_ключ
 ip radius source-interface Loopback 1
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
!
! заход на циску
aaa authentication login default local-case
aaa authorization exec default local
! РРРоЕ
aaa authentication ppp PPPoE group rad_ppp
aaa authorization network PPPoE group rad_ppp
aaa accounting network PPPoE start-stop group rad_ppp
!
aaa accounting delay-start all
aaa accounting update periodic 1
!
!
bba-group pppoe global
 ac name имя_этого_NAS
!
bba-group pppoe PPPoE
 virtual-template 1
 sessions per-mac limit 1
 sessions per-mac throttle 1 30 30
 sessions auto cleanup
!
!
interface Loopback 1
 ip address IP.адрес.Вашего.лупбека 255.255.255.255
!
interface [скорость]Ethernet слот/порт
 no ip address
 hold-queue 4096 in
 hold-queue 4096 out
!
interface [скорость]Ethernet слот/порт.VLAN_ID
 encapsulation dot1Q VLAN_ID
 pppoe enable group PPPoE
!
interface Virtual-Template 1
 ip unnumbered Loopback 1
 peer default ip address pool default
 ppp authentication pap callin PPPoE
 ppp authorization PPPoE
 ppp accounting PPPoE
 ppp ipcp dns IP.адрес.Вашего.DNS
 ppp ipcp address unique
!
!
ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула
захотите на том же коте еще и РРТР поднять - просто добавляете к тому что выше (минимально):
Код:
aaa authentication ppp РРТР group rad_ppp
aaa authorization network РРТР group rad_ppp
aaa accounting network PPTP start-stop group rad_ppp
!
!
vpdn enable
!
vpdn-group PPTP
 accept-dialin
  protocol pptp
  virtual-template 2
!
!
interface [скорость]Ethernet слот/порт.VLAN_ID
 encapsulation dot1Q VLAN_ID
 ip address IP.адрес.Вашего.NAS маска.Вашего.NAS
!
interface Virtual-Template 2
 ip unnumbered Loopback 1
 peer default ip address pool default
 ppp authentication pap callin PPTP
 ppp authorization PPTP
 ppp accounting PPTP
 ppp ipcp dns IP.адрес.Вашего.DNS
 ppp ipcp address unique
предупреждаю сразу - не на каждом коте и не на каждом IOS-е получится одновременно поднять и РРРоЕ и РРТР!
Автор:  Dmitri [ 18 авг 2008, 14:51 ]
Заголовок сообщения: 
Спасибо большое за примеры, но остались некоторые вопросы:

1. Не понятны следующие команды:
radius-server authorization permit missing Service-Type
ppp ipcp address unique
radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format unformatted

Просьба пояснить, пожалуйста.

2. Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
Автор:  snark [ 18 авг 2008, 18:36 ]
Заголовок сообщения: 
Dmitri писал(а):
radius-server authorization permit missing Service-Type
тыц
Cisco писал(а):
To allow an access server to fully process or deny Access-Accept responses from RADIUS servers that do not send the Service-Type attribute in the Access-Accept packets, use the radius-server authorization missing Service-Type command in global configuration mode.

radius-server authorization [permit | deny] missing Service-Type
Syntax Description:
permit - (Optional) Allows an access server to fully process Access-Accept responses from RADIUS servers that do not send the Service-Type attribute.
deny - (Optional) Allows the access server to deny authorization if the Service-Type attribute is not present in the Access-Accept packet. Use this keyword if the permit missing Service-Type keyword has already been configured.



Dmitri писал(а):
ppp ipcp address unique
тыц
Cisco писал(а):
ppp ipcp address
Specifies IPCP IP address options:
accept - Accepts any nonzero IP address from the peer.
required - Disconnects the peer if no IP address is negotiated.
unique - Disconnects the peer if the IP address is already in use.



Dmitri писал(а):
radius-server attribute 8 include-in-access-req
тыц
Cisco писал(а):
To send the IP address of a user to the RADIUS server in the access request, use the radius-server attribute 8 include-in-access-req command in global configuration mode.



Dmitri писал(а):
radius-server attribute 31 mac format unformatted
тыц
Cisco писал(а):
To configure a nondefault MAC address format in the calling line ID (CLID) of a DHCP accounting packet, use the radius-server attribute 31 mac format command in global configuration mode.

radius-server attribute 31 mac format {default | ietf | unformatted}
Syntax Description:
default - Sets the MAC address format to the default format (for example, aaaa.bbbb.cccc)
ietf - Internet Engineering Task Force (IETF) format (for example, aa-aa-bb-bb-cc-cc)
unformatted - Unformatted raw MAC address (for example, aaaabbbbcccc)


перевод всего этого надеюсь не требуется?

Dmitri писал(а):
Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
дело в том что если Вы будете использовать не лупбек, а физический интерфейс, то упретесь в то что больше чем 5 РРР соединений у Вас не будет ...

используйте тот вариант который я дал в предыдущем посте и все у Вас будет работать как часы ;)
Автор:  Dmitri [ 18 авг 2008, 19:28 ]
Заголовок сообщения: 
snark писал(а):
Dmitri писал(а):
radius-server authorization permit missing Service-Type
тыц

Все равно, не понял... А зачем ждать от радиус-сервера этот сервис-тайп? Зачем он нужен?

Cisco писал(а):
To allow an access server to fully process or deny Access-Accept responses from RADIUS servers that do not send the Service-Type attribute in the Access-Accept packets, use the radius-server authorization missing Service-Type command in global configuration mode.


radius-server authorization [permit | deny] missing Service-Type
Syntax Description:
permit - (Optional) Allows an access server to fully process Access-Accept responses from RADIUS servers that do not send the Service-Type attribute.
deny - (Optional) Allows the access server to deny authorization if the Service-Type attribute is not present in the Access-Accept packet. Use this keyword if the permit missing Service-Type keyword has already been configured.



Dmitri писал(а):
ppp ipcp address unique
тыц

Правильно ли я понял, что это доп. проверка выдаваемых клиенту адресов, самим NAS`ом?

Cisco писал(а):
ppp ipcp address
Specifies IPCP IP address options:
accept - Accepts any nonzero IP address from the peer.
required - Disconnects the peer if no IP address is negotiated.
unique - Disconnects the peer if the IP address is already in use.



Dmitri писал(а):
radius-server attribute 8 include-in-access-req
тыц

Вообще - не понял. Просьба пояснить, пожалуйста.

Cisco писал(а):
To send the IP address of a user to the RADIUS server in the access request, use the radius-server attribute 8 include-in-access-req command in global configuration mode.



Dmitri писал(а):
radius-server attribute 31 mac format unformatted
тыц

Пробовал менять... почему-то не меняется формат. Вообще к меня почему-то в запросах NAS`а - нет calling station id. Пример:

Цитата:
18 16:28:07
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=s.govnov@pppoe
NAS-Port-Id=0/0/1/198
CHAP-Password=\u1\u63\u63\u63\u63\u63\u632\u94z\u63\u59\u124\u177#\u16\u63
NAS-IP-Address=192.168.2.59
NAS-Port=50094
Service-Type=2
Framed-Protocol=1
NAS-Port-Type=15
cisco-avpair=client-mac-address\u61001a.6b36.50cd


Cisco писал(а):
To configure a nondefault MAC address format in the calling line ID (CLID) of a DHCP accounting packet, use the radius-server attribute 31 mac format command in global configuration mode.

radius-server attribute 31 mac format {default | ietf | unformatted}
Syntax Description:
default - Sets the MAC address format to the default format (for example, aaaa.bbbb.cccc)
ietf - Internet Engineering Task Force (IETF) format (for example, aa-aa-bb-bb-cc-cc)
unformatted - Unformatted raw MAC address (for example, aaaabbbbcccc)


перевод всего этого надеюсь не требуется?

Dmitri писал(а):
Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
дело в том что если Вы будете использовать не лупбек, а физический интерфейс, то упретесь в то что больше чем 5 РРР соединений у Вас не будет ...

используйте тот вариант который я дал в предыдущем посте и все у Вас будет работать как часы ;)
Страница 1 из 1 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/