forum.bitel.ru :: Просмотр темы

forum.bitel.ru http://forum.bitel.ru/

pptp на cisco 2811 http://forum.bitel.ru/viewtopic.php?f=5&t=2031	Страница 1 из 1

Автор:	Inp [ 17 мар 2009, 02:26 ]
Заголовок сообщения:	pptp на cisco 2811
Только осваиваю циску, прошу проверить правильность конфига (доступ по pptp). Например, при наличии Loopback не являются ли лишними субинтерфейсы для радиуса и клиентов. ! 192.168.4.1 - адрес радиуса и биллинга ! public_xxxx - секретная строка snmp-community ! aaa new-model ! ! Разрешаем отключать сессии по SNMP. aaa session-mib disconnect ! aaa group server radius rad_ppp server-private 192.168.4.1 auth-port 1812 acct-port 1813 key Ваш_ключ ip radius source-interface Loopback 1 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU ! ! заход на циску aaa authentication login default local-case aaa authorization exec default local ! pptp aaa authentication ppp pptp group rad_ppp aaa authorization network pptp group rad_ppp aaa accounting network pptp start-stop group rad_ppp ! aaa accounting delay-start all aaa accounting update periodic 1 ! interface Loopback 1 ip address 192.168.4.233 255.255.255.0 ! ip local pool default 192.168.12.200 192.168.12.240 ! vpdn enable ! vpdn-group pptp accept-dialin protocol pptp virtual-template 1 ! ! внешний интерфейс, подключенный к провайдеру interface FastEthernet0/1 ip address 192.168.12.244 255.255.255.0 no cdp enable ! interface FastEthernet0/0 no ip address no ip redirects no cdp enable no ip unreachables no ip proxy-arp no ip route-cache cef full-duplex ! ! субинтерфейс для соединения с RADIUS-сервером interface FastEthernet0/0. VLAN_ID encapsulation dot1Q VLAN_ID ip address 192.168.4.234 255.255.255.0 ! ! субинтерфейс для PPTP-клиентов interface FastEthernet0/0.VLAN_ID encapsulation dot1Q VLAN_ID ip address 192.168.4.235 255.255.255.0 ! interface Virtual-Template 1 ip unnumbered Loopback 1 peer default ip address pool default ppp authentication pap callin pptp ppp authorization pptp ppp accounting pptp ppp ipcp dns 192.168.200.1 ppp ipcp address unique ! Количество изначально создаваемых интерфейсов при ! старте Cisco. Ускоряет соединение пользователей. virtual-template 1 pre-clone 200 ! ! Настройки экспорта Netflow ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip flow-export source FastEthernet0/1 ip flow-export version 5 ip flow-export destination 192.168.4.1 9996 ! ! Правила доступа к SNMP на Cisco. access-list 3 permit 192.168.4.1 access-list 3 deny any log ! ! Настройка SNMP. syscon address 192.168.4.1 public_xxxx syscon shelf-id 0 snmp-server community public_xxxx RW 3 snmp-server ifindex persist snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps aaa_server snmp-server host 192.168.4.1 161 snmp-server host 192.168.4.1 2c snmp-server host 192.168.4.1 aaa snmp-server host 192.168.4.1 public_xxxx snmp

Автор:	snark [ 18 мар 2009, 03:15 ]
Заголовок сообщения:
кросс-пост тут и на наге зачем? можно было сразу тут ... по теме: Inp писал(а): Например, при наличии Loopback не являются ли лишними субинтерфейсы для радиуса и клиентов. Вы немного недопонимаете ... loopback - это внутренний интерфейс, Вы анбиндите на него юзеров т.к. в циске есть ограничение в 5 коннектов если анбиндить на езернет (анбинд на loopback - это dirty hack/workaround этой особенности) сабинтерфейсы Вам нужны только для того чтобы Вы погли пользоваться VLAN-ами для предоставления доступа, если у Вас нет планов разделения юзеров на VLAN-ы (плохая идея) - сабинтерфейсы Вам не нужны ...

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/