forum.bitel.ru :: Просмотр темы

aaa new-model

aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius

aaa session-id common

bba-group pppoe global
virtual-template 1
sessions max limit 8000
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup

interface GigabitEthernet0/1
ip address 212.42.xxx.xxx 255.255.255.240
ip flow ingress
ip flow egress
media-type rj45
speed auto
duplex auto
negotiation auto

interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
pppoe enable group global
no cdp enable
!
interface Virtual-Template1
mtu 1492
ip unnumbered Loopback0
no peer default ip address
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp accounting radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600

ip radius source-interface GigabitEthernet0/1

radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key test
radius-server vsa send accounting
radius-server vsa send authentication

bba-group pppoe global
virtual-template 1
sessions max limit 8000
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup

sessions auto cleanup

interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
pppoe enable group global
no cdp enable

interface Virtual-Template1
mtu 1492
ip unnumbered Loopback0
no peer default ip address
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp accounting radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600

no peer default ip address

ppp authentication chap radius

ppp authentication pap callin

ppp timeout retry 3
ppp timeout authentication 45

ppp timeout idle 3600

radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1

radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 non-standard
radius-server key test

radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 key test

Building configuration...

Current configuration : 2950 bytes
!
! Last configuration change at 14:26:16 KGR Tue Aug 24 2010 by ip0203
! NVRAM config last updated at 14:22:12 KGR Tue Aug 24 2010 by ip0203
!
version 12.2
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
!
hostname router7206VXR
!
boot-start-marker
boot system flash disk2:c7200p-advipservicesk9-mz.122-33.SRC6.bin
boot-end-marker
!
security passwords min-length 1
!
aaa new-model
!
!
aaa group server radius rad_pppoe
server-private 212.42.xxx.xxx auth-port 1812 acct-port 1813 key test
!
aaa authentication login default local-case
aaa authentication ppp PPPoE group rad_pppoe
aaa authorization exec default local
aaa authorization network PPPoE group rad_pppoe
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network PPPoE start-stop group rad_pppoe
!
!
!
!
!
aaa session-id common
clock timezone KGR 6
ip subnet-zero
!
!
!
!
ip cef
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip domain name router7206VXR.xxx
!
!
multilink bundle-name authenticated
!
!
archive
log config
hidekeys
username ip0203 privilege 15 password 0 xxx
!
!
!
!
!
!
bba-group pppoe global
virtual-template 1
sessions max limit 8000
sessions per-mac limit 1
sessions per-vlan limit 500
!
!
interface Loopback0
ip address 10.10.10.1 255.255.255.255
!
interface GigabitEthernet0/1
ip address 212.42.xxx.xxx 255.255.255.240
ip flow ingress
ip flow egress
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface FastEthernet0/2
no ip address
shutdown
speed auto
duplex auto
!
interface GigabitEthernet0/2
no ip address
shutdown
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
pppoe enable group global
no cdp enable
!
interface Virtual-Template1
ip unnumbered Loopback0
ppp max-bad-auth 3
ppp authentication pap callin PPPoE
ppp authorization PPPoE
ppp accounting PPPoE
!
ip classless
ip route 0.0.0.0 0.0.0.0 212.42.120.254
!
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination 212.42.xxx.xxx 2001
!
no ip http server
no ip http secure-server
!
ip radius source-interface GigabitEthernet0/1
logging alarm informational
access-list 2001 deny ip any 212.42.96.0 0.0.31.255
access-list 2001 deny ip any 77.95.56.0 0.0.7.255
access-list 2001 deny ip any 94.143.192.0 0.0.7.255
access-list 2001 permit ip any any
access-list 2002 deny ip 212.42.96.0 0.0.31.255 any
access-list 2002 deny ip 77.95.56.0 0.0.7.255 any
access-list 2002 deny ip 94.143.192.0 0.0.7.255 any
access-list 2002 permit ip any any
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
privilege level 15
transport input ssh
!
ntp clock-period 17180491
ntp source GigabitEthernet0/1
ntp server 92.249.120.2
ntp server 86.57.151.12
end

router7206VXR(config-if)#do sh run interface GigabitEthernet0/3
Building configuration...

Current configuration : 153 bytes
!
interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
pppoe enable group global
no cdp enable
end

router7206VXR(config-if)#no pppoe enable group global
router7206VXR(config-if)#
router7206VXR(config-if)#do sh run interface GigabitEthernet0/3
Building configuration...

Current configuration : 126 bytes
!
interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
no cdp enable
end

router7206VXR(config-if)#pppoe enable
router7206VXR(config-if)#
router7206VXR(config-if)#do sh run interface GigabitEthernet0/3
Building configuration...

Current configuration : 153 bytes
!
interface GigabitEthernet0/3
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
pppoe enable group global
no cdp enable
end

router7206VXR(config-if)#

#вендоры - производители оборудования и их коды
vendors=9=Cisco;12341=MPD
#минимальная и максимальная длина пароля
drop.sleep.timeout=3600
password.length.min=3
password.length.max=10
#длина автоматически генерируемого пароля
password.length.auto=6
#допустимые в пароле символы
password.chars=1234567890QWERT
#сколько лет отображать в просмотре сессий через web
showyears=2
#XSL для печати и отправки на почту сессий
xslt.1=dialup_login_sessions.xsl
xslt.1.csv=dialup_login_sessions_csv.xsl
reportTitle.1=Отчет по сессиям DialUp
#XSL для печати и отправки на почту наработки по логинам
xslt.2=dialup_login_amount.xsl
xslt.2.csv=dialup_login_amount_csv.xsl
reportTitle.2=Отчет по наработке на логины DialUp
#коды услуг, не затрагиваемых при перерасчёте, например, если услуга используется для занесения наработки скриптом
#service.recalc.ignore=

#в просмотре сессий в на Web странице кол-во выводимых на странице сессий
show.sessions.on.page=25
#пункты Web - меню
web.menuItem1=Просмотр сессий
web.menuItem2=Статистика
#web.menuItem3=Смена пароля на логины DialUp
web.menuItem3=none
web.menuItem4=Учётные периоды
#web.menuItem5=Управление динамическим ДНС
web.menuItem5=none
#граница не карточных логинов
top.nocard.login=30000
#адрес и порт управления RADIUS сервера для возможности завершения сессий в мониторе модуля
#адрес должен совпадать с адресом где стоит RADIUS сервер, порт с admin.port из radius.properties
radius.manage=127.0.0.1:1955

############### опции RADIUS сервера #######################
#1 - проверять наличие в договоре всех требуемых услуг при авторизации, иначе ошибка авторизации "Услуга запрещена"
check.service=0
#код модуля "карточки", 0 - модуль "карточки" не используется
card.module.id=0
#количество одновременных сессий, разрешённых карточным логинам
#card.login.session.count=1
#время в секундах, через которое происходит пересчёт в режиме CHECKER
update.time=60
#время в секундах, через которое проверяется необходимость пересчёта в режиме CHECKER
run.sleep=3
#глобальный пул адресов
pools.test=212.42.ххх.ххх-212.42.ххх.ххх
pools.test1=192.168.0.1-192.168.0.10

#для DialUP - режим работы
#1 - режим UPDATE - пересчёт во время прохождения UPDATE пакетов
#2 - режим CHECKER - пересчёт по таймеру, UPDATE пакеты используются для получения
#информации о трафике
dialup.workmode=1
#для режима UPDATE - время в секундах после последнего UPDATE пакета, по истечении которого сессия считается неактивной
#(не учитывается в подсчёте числа одновременных соединений)
max.update.timeout=120
#сколько максимально секунд соединение в статусе wait ждёт Start пакета
max.wait.timeout=120
#разрешение пользователям без определённой группы REALM ов использовать группу default
realmgr.default=default;unlim
#атрибуты, передаваемые в AUTH_ACCEPT пакете при авторизации по реалму default
#в данном случае это интервал между отправкой Update пакетов, в секундах, протокол PPP, и тип сервиса, см: RFC2865
realm.default=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.unlim=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
#Атрибуты радиуса доступные в списке атрибутов в редактировании логина
radius.attributes=Service-Type;Framed-Protocol;Framed-IP-Address;Framed-IP-Netmask;Framed-Routing;Filter-Id;Framed-MTU;Framed-Compression;Login-IP-Host;Login-Service;Login-TCP-Port;Old-Password;Reply-Message;Callback-Number;Callback-Id;Expiration;Framed-Route;Framed-IPX-Network;State;Class;Session-Timeout;Idle-Timeout;Termination-Action;NAS-Identifier;Proxy-State;Framed-Pool
#игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно
ignore.acct.session.time=1
#если установлено в 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. выше realm.default)
add.service.type.and.framed.protocol=0
#если установлено в 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается)
#согласно http://rfclibrary.hosting.com/rfc/rfc2548/rfc2548-25.asp
#add.mppe.enc.types.and.policy=1
#задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow
#для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии
delay.stop=5
#удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
#drop.framed.pool.attr=1
#прерывать сессии с того же Calling-Station-Id, если при авторизации произошла ошибка "Превышен лимит сессий"
#(может быть полезно, если на насе остаются несуществующие сессии и клиент не может переподключится)
check.duplicate.session=1
#Не разрывать сессии, при изменении действующего тарифного плана в ходе обсчёта.
#При установке этой опции разрывы и отправку CoA пакетов нужно контроллировать устновкой зон в тарифах.
#no.session.break.on.tariff.change=1
#########################################################

#Наборы атрибутов, доступные при редактировании логина

attrset.1.title=256in
attrset.1.attributes=Cisco-AVPair=lcp:interface-config#1=rate-limit output access-group 2002 256000 48000 96000 conform-action transmit exceed-action drop
attrset.2.title=256out
attrset.2.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2001 256000 48000 96000 conform-action transmit exceed-action drop
attrset.3.title=512in
attrset.3.attributes=Cisco-AVPair=lcp:interface-config#1=rate-limit output access-group 2002 512000 96000 192000 conform-action transmit exceed-action drop
attrset.4.title=512out
attrset.4.attributes=Cisco-AVPair=lcp:interface-config=rate-limit intput access-group 2001 512000 96000 192000 conform-action transmit exceed-action drop
#attrset.5.title=512in/shape
#attrset.5.attributes=Cisco-AVPair=lcp:interface-config=traffic-shape group 2001 512000 96000 192000 2000

#конфиги коллектора NetFlow

#размер буфера приема
collector.capture.flow.buffer.capacity=4194304
#рекомендация размера буфера сокета
collector.capture.flow.socket.buffer.capacity=524288
#количество потоков для порта по умолчанию
collector.capture.flow.thread.count=1000

#порт приема для netflow потока
#номер порта
collector.capture.flow.port.1=2001
#тип слушателя - netflow
collector.capture.flow.port.1.type=netflow
#количество потоков для порта
#collector.capture.flow.port.1.thread.count=8

#callback.support=0
drop.sleep.timeout=3600
month.break=1
nas.inspector.sleep_time=5
nas.inspector.kill.max_messages=5

# SNMP
#nas.inspector.snmp.port=161
#nas.inspector.snmp.community=8888

nas.port_time.default.*=2
nas.port_traffic.default.*=3:COLLECTOR;5:COLLECTOR;7:COLLECTOR;8:COLLECTOR;4:COLLECTOR;6:COLLECTOR
nas.port_time.unlim.*=9
nas.port_traffic.unlim.*=3:COLLECTOR;5:COLLECTOR;7:COLLECTOR;8:COLLECTOR;4:COLLECTOR;6:COLLECTOR

netflow.receive.from=212.42.120.246
realm.default=Framed-Pool=test
realm.unlim=Framed-Pool=test

ipn.module.id=2
ipn.source.id=1

dialup.workmode=1
#
dialup.workmode=1
nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector
nas.inspector.pod.host=212.42.ххх.ххх
nas.inspector.pod.port=1700
nas.inspector.pod.secret=test
#перечисление атрибутов, необходимых в PoD пакете, если пустое - высылаются все атрибуты
#nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id;NAS-Port
#nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id
nas.inspector.pod.attributes=Acct-Session-Id

netflow.service.link.248=7 IN 81.88.192.1-81.88.207.254
netflow.service.link.249=8 OUT 81.88.192.1-81.88.207.254

pools.test=212.42.ххх.ххх-212.42.ххх.ххх

realm.default=Framed-Pool=test

interface Loopback0
ip address 10.10.10.1 255.255.255.255
...
interface Virtual-Template1
ip unnumbered Loopback0

1-26/16:10:25 INFO [pool-5-thread-9] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=ip0203
NAS-Port-Id=0/0/0/0
User-Password=********
NAS-IP-Address=212.42.120.246
NAS-Port=9
Service-Type=2
Framed-Protocol=1
NAS-Port-Type=5
Calling-Station-Id=000c2923b362

11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Process auth
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=ip0203
NAS-Port-Id=0/0/0/0
User-Password=********
NAS-IP-Address=212.42.120.246
NAS-Port=9
Service-Type=2
Framed-Protocol=1
NAS-Port-Type=5
Calling-Station-Id=000c2923b362

11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Finding login..
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking access allow..
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking password..
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking contract status
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking tariff..
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking balance..
11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Set address time: 1
11-26/16:10:25 INFO [pool-5-thread-9] radius - RESPONSE:
Type=AUTHENTICATION_ACCEPT
Process time auth: 34 init_tariff: 3; set_ip: 1; common_auth: 25
Attributes:
Acct-Interim-Interval=60
Service-Type=2
Framed-Protocol=1
Framed-IP-Address=212.42.120.234
Framed-Pool=test
cisco-avpair=lcp:interface-config#1=rate-limit output access-group 2002 256000 48000 96000 conform-action transmit exceed-action drop

Trace:
Login found.

11-26/16:10:25 INFO [pool-6-thread-17] radius - ACCOUNT:
Type=ACCOUNTING_REQUEST
Attributes:
User-Name=ip0203
NAS-Port-Id=0/0/0/0
NAS-IP-Address=212.42.120.246
NAS-Port=9
Service-Type=2
Framed-Protocol=1
Acct-Status-Type=1
Acct-Delay-Time=0
NAS-Port-Type=5
Calling-Station-Id=000c2923b362
Acct-Session-Id=00000009
Acct-Authentic=1

11-26/16:10:25 INFO [pool-6-thread-17] radius - RESPONSE:
Type=ACCOUNTING_RESPONSE
Process time start: 13
Attributes:

11-26/16:10:25 INFO [pool-6-thread-18] radius - ACCOUNT:
Type=ACCOUNTING_REQUEST
Attributes:
User-Name=ip0203
NAS-IP-Address=212.42.120.246
NAS-Port=9
Service-Type=2
Framed-Protocol=1
Acct-Input-Octets=84
Acct-Output-Octets=42
Acct-Status-Type=2
Acct-Delay-Time=0
Acct-Session-Time=0
Acct-Input-Packets=5
Acct-Session-Id=00000009
Acct-Authentic=1
NAS-Port-Id=0/0/0/0
Acct-Terminate-Cause=1
Acct-Output-Packets=4
Calling-Station-Id=000c2923b362
NAS-Port-Type=5

11-26/16:10:25 INFO [pool-6-thread-18] radius - RESPONSE:
Type=ACCOUNTING_RESPONSE
Process time stop: 3
Attributes:

pools.test=212.42.ххх.ххх-212.42.ххх.ххх

sessions auto cleanup

ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp accounting radius
ppp timeout retry 3
ppp timeout authentication 45

#удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
drop.framed.pool.attr=1

sessions auto cleanup

ppp authentication chap radius
ppp authorization radius
ppp accounting radius

ppp authentication chap

aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius

aaa group server radius bgbilling
server-private 212.42.xxx.xxx auth-port 1812 acct-port 1813 key super_duper_key
ip radius source-interface GigabitEthernet 0/1

aaa authentication ppp clients group bgbilling
aaa authorization network clients group bgbilling
aaa accounting delay-start all
aaa accounting network clients start-stop group bgbilling

interface Virtual-Template 1
...
ppp authentication pap callin clients
ppp authorization clients
ppp accounting clients

Автор:	ip0203 [ 24 авг 2010, 12:32 ]
Заголовок сообщения:	Cisco pppoe error 736
Коллеги доброго времени суток. Столкнулся со следующей проблемой. При использовании ISG IOS: 2 30343452 Aug 22 2010 15:58:50 +06:00 c7200p-adventerprisek9-mz.122-33.SRE1.bin 3 26894488 Aug 24 2010 11:02:42 +06:00 c7200p-adventerprisek9-mz.122-33.SRC6.bin 4 24790808 Aug 24 2010 05:24:40 +06:00 c7200p-advipservicesk9-mz.122-33.SRC6.bin ошибка - TCP/IP протокол сообщает об ошибке 736: удаленный компьютер завершил работу протокола управления на IOS 1 32829360 Apr 22 2000 11:06:30 +06:00 c7200-npe-G2-advsecurityk9-mz.124-20.T.bin все работает норм циску конфигурял по ману с вики - http://wiki.bgbilling.ru/index.php/Настройка_PPPoE_сервера_на_Cisco-роутере ниже конфиг Код: aaa new-model aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting update periodic 5 aaa accounting network default start-stop group radius aaa session-id common bba-group pppoe global virtual-template 1 sessions max limit 8000 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup interface GigabitEthernet0/1 ip address 212.42.xxx.xxx 255.255.255.240 ip flow ingress ip flow egress media-type rj45 speed auto duplex auto negotiation auto interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto pppoe enable group global no cdp enable ! interface Virtual-Template1 mtu 1492 ip unnumbered Loopback0 no peer default ip address ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 ip radius source-interface GigabitEthernet0/1 radius-server attribute 8 include-in-access-req radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU radius-server attribute 31 mac format unformatted radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 non-standard radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 radius-server key test radius-server vsa send accounting radius-server vsa send authentication Не подскажете в чем может быть дело?

Автор:	snark [ 24 авг 2010, 13:41 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
тут ip0203 писал(а): Код: bba-group pppoe global virtual-template 1 sessions max limit 8000 sessions per-mac limit 1 sessions per-vlan limit 500 sessions auto cleanup на всякий случай уберите Код: sessions auto cleanup хотя фишка и хорошая, но у меня она вызывала креш иоса (версию не помню), так что пока, в начале, уберите, а потом добавить всегда можно тут ip0203 писал(а): Код: interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto pppoe enable group global no cdp enable достаточно просто написать Код: pppoe enable т.к. "group global" - это дефолтная ББА группа котора используется если небыло назначего иного имени тут ip0203 писал(а): Код: interface Virtual-Template1 mtu 1492 ip unnumbered Loopback0 no peer default ip address ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 удалите Код: mtu 1492 т.к. кот сам разберется с MTU, а его жесткое указание порой ничего хорошего не дает удалите Код: no peer default ip address ибо не надо замените Код: ppp authentication chap radius на Код: ppp authentication pap callin РАР потому что для РРРоЕ это дефолт, а callin - чтоб ваш кот не думал лезть за авторизацией к клиенту удалите Код: ppp timeout retry 3 ppp timeout authentication 45 чтоб не мешать циске параметр Код: ppp timeout idle 3600 можно передать и через радиус BTW, я не нашел в Вашем конфиге интерфейса "Loopback 0" - он вообще есть? поднят? адрес на нем есть? вот это все ip0203 писал(а): Код: radius-server retransmit 5 radius-server timeout 30 radius-server deadtime 1 вообще вынесите из конфига к чертям! это надо тюнить тогда и только тогда когда радиус под хорошей нагрузкой, а не когда Вы тока запускаетесь это ip0203 писал(а): Код: radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 non-standard radius-server key test для краткости можно записать так: Код: radius-server host 212.42.xxx.xxx auth-port 1812 acct-port 1813 key test и уберите оттуда "non-standard"!!! тут я выкладывал примерный конфиг, тока там, по ошибке тоже написал "ppp authentication chap"

Автор:	ip0203 [ 24 авг 2010, 14:38 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
переделал конфиг по вашему линку ниже все что получилось полностью Код: Building configuration... Current configuration : 2950 bytes ! ! Last configuration change at 14:26:16 KGR Tue Aug 24 2010 by ip0203 ! NVRAM config last updated at 14:22:12 KGR Tue Aug 24 2010 by ip0203 ! version 12.2 service timestamps debug datetime localtime service timestamps log datetime localtime no service password-encryption ! hostname router7206VXR ! boot-start-marker boot system flash disk2:c7200p-advipservicesk9-mz.122-33.SRC6.bin boot-end-marker ! security passwords min-length 1 ! aaa new-model ! ! aaa group server radius rad_pppoe server-private 212.42.xxx.xxx auth-port 1812 acct-port 1813 key test ! aaa authentication login default local-case aaa authentication ppp PPPoE group rad_pppoe aaa authorization exec default local aaa authorization network PPPoE group rad_pppoe aaa accounting delay-start aaa accounting update periodic 1 aaa accounting network PPPoE start-stop group rad_pppoe ! ! ! ! ! aaa session-id common clock timezone KGR 6 ip subnet-zero ! ! ! ! ip cef ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip domain name router7206VXR.xxx ! ! multilink bundle-name authenticated ! ! archive log config hidekeys username ip0203 privilege 15 password 0 xxx ! ! ! ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 8000 sessions per-mac limit 1 sessions per-vlan limit 500 ! ! interface Loopback0 ip address 10.10.10.1 255.255.255.255 ! interface GigabitEthernet0/1 ip address 212.42.xxx.xxx 255.255.255.240 ip flow ingress ip flow egress media-type rj45 speed auto duplex auto negotiation auto ! interface FastEthernet0/2 no ip address shutdown speed auto duplex auto ! interface GigabitEthernet0/2 no ip address shutdown media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto pppoe enable group global no cdp enable ! interface Virtual-Template1 ip unnumbered Loopback0 ppp max-bad-auth 3 ppp authentication pap callin PPPoE ppp authorization PPPoE ppp accounting PPPoE ! ip classless ip route 0.0.0.0 0.0.0.0 212.42.120.254 ! ip flow-export source GigabitEthernet0/1 ip flow-export version 5 ip flow-export destination 212.42.xxx.xxx 2001 ! no ip http server no ip http secure-server ! ip radius source-interface GigabitEthernet0/1 logging alarm informational access-list 2001 deny ip any 212.42.96.0 0.0.31.255 access-list 2001 deny ip any 77.95.56.0 0.0.7.255 access-list 2001 deny ip any 94.143.192.0 0.0.7.255 access-list 2001 permit ip any any access-list 2002 deny ip 212.42.96.0 0.0.31.255 any access-list 2002 deny ip 77.95.56.0 0.0.7.255 any access-list 2002 deny ip 94.143.192.0 0.0.7.255 any access-list 2002 permit ip any any ! ! ! control-plane ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 privilege level 15 transport input ssh ! ntp clock-period 17180491 ntp source GigabitEthernet0/1 ntp server 92.249.120.2 ntp server 86.57.151.12 end с pppoe enable group global интересная штука - group global добавляется автоматом Код: router7206VXR(config-if)#do sh run interface GigabitEthernet0/3 Building configuration... Current configuration : 153 bytes ! interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto pppoe enable group global no cdp enable end router7206VXR(config-if)#no pppoe enable group global router7206VXR(config-if)# router7206VXR(config-if)#do sh run interface GigabitEthernet0/3 Building configuration... Current configuration : 126 bytes ! interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto no cdp enable end router7206VXR(config-if)#pppoe enable router7206VXR(config-if)# router7206VXR(config-if)#do sh run interface GigabitEthernet0/3 Building configuration... Current configuration : 153 bytes ! interface GigabitEthernet0/3 no ip address media-type rj45 speed auto duplex auto negotiation auto pppoe enable group global no cdp enable end router7206VXR(config-if)# ошибка таже 736

Автор:	skyb [ 24 авг 2010, 14:46 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
иос менять непробовали?

Автор:	snark [ 24 авг 2010, 15:23 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
по конфигу кота пройдемся позже, а щас выкладывайте конфиг модуля и, на всякий пожарный, наса

forum.bitel.ru http://forum.bitel.ru/

Cisco pppoe error 736 http://forum.bitel.ru/viewtopic.php?f=5&t=4466	Страница 1 из 1

Автор:	ip0203 [ 24 авг 2010, 15:33 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
Модуль Код: #вендоры - производители оборудования и их коды vendors=9=Cisco;12341=MPD #минимальная и максимальная длина пароля drop.sleep.timeout=3600 password.length.min=3 password.length.max=10 #длина автоматически генерируемого пароля password.length.auto=6 #допустимые в пароле символы password.chars=1234567890QWERT #сколько лет отображать в просмотре сессий через web showyears=2 #XSL для печати и отправки на почту сессий xslt.1=dialup_login_sessions.xsl xslt.1.csv=dialup_login_sessions_csv.xsl reportTitle.1=Отчет по сессиям DialUp #XSL для печати и отправки на почту наработки по логинам xslt.2=dialup_login_amount.xsl xslt.2.csv=dialup_login_amount_csv.xsl reportTitle.2=Отчет по наработке на логины DialUp #коды услуг, не затрагиваемых при перерасчёте, например, если услуга используется для занесения наработки скриптом #service.recalc.ignore= #в просмотре сессий в на Web странице кол-во выводимых на странице сессий show.sessions.on.page=25 #пункты Web - меню web.menuItem1=Просмотр сессий web.menuItem2=Статистика #web.menuItem3=Смена пароля на логины DialUp web.menuItem3=none web.menuItem4=Учётные периоды #web.menuItem5=Управление динамическим ДНС web.menuItem5=none #граница не карточных логинов top.nocard.login=30000 #адрес и порт управления RADIUS сервера для возможности завершения сессий в мониторе модуля #адрес должен совпадать с адресом где стоит RADIUS сервер, порт с admin.port из radius.properties radius.manage=127.0.0.1:1955 ############### опции RADIUS сервера ####################### #1 - проверять наличие в договоре всех требуемых услуг при авторизации, иначе ошибка авторизации "Услуга запрещена" check.service=0 #код модуля "карточки", 0 - модуль "карточки" не используется card.module.id=0 #количество одновременных сессий, разрешённых карточным логинам #card.login.session.count=1 #время в секундах, через которое происходит пересчёт в режиме CHECKER update.time=60 #время в секундах, через которое проверяется необходимость пересчёта в режиме CHECKER run.sleep=3 #глобальный пул адресов pools.test=212.42.ххх.ххх-212.42.ххх.ххх pools.test1=192.168.0.1-192.168.0.10 #для DialUP - режим работы #1 - режим UPDATE - пересчёт во время прохождения UPDATE пакетов #2 - режим CHECKER - пересчёт по таймеру, UPDATE пакеты используются для получения #информации о трафике dialup.workmode=1 #для режима UPDATE - время в секундах после последнего UPDATE пакета, по истечении которого сессия считается неактивной #(не учитывается в подсчёте числа одновременных соединений) max.update.timeout=120 #сколько максимально секунд соединение в статусе wait ждёт Start пакета max.wait.timeout=120 #разрешение пользователям без определённой группы REALM ов использовать группу default realmgr.default=default;unlim #атрибуты, передаваемые в AUTH_ACCEPT пакете при авторизации по реалму default #в данном случае это интервал между отправкой Update пакетов, в секундах, протокол PPP, и тип сервиса, см: RFC2865 realm.default=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1 realm.unlim=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1 #Атрибуты радиуса доступные в списке атрибутов в редактировании логина radius.attributes=Service-Type;Framed-Protocol;Framed-IP-Address;Framed-IP-Netmask;Framed-Routing;Filter-Id;Framed-MTU;Framed-Compression;Login-IP-Host;Login-Service;Login-TCP-Port;Old-Password;Reply-Message;Callback-Number;Callback-Id;Expiration;Framed-Route;Framed-IPX-Network;State;Class;Session-Timeout;Idle-Timeout;Termination-Action;NAS-Identifier;Proxy-State;Framed-Pool #игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно ignore.acct.session.time=1 #если установлено в 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. выше realm.default) add.service.type.and.framed.protocol=0 #если установлено в 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается) #согласно http://rfclibrary.hosting.com/rfc/rfc2548/rfc2548-25.asp #add.mppe.enc.types.and.policy=1 #задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow #для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии delay.stop=5 #удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером #drop.framed.pool.attr=1 #прерывать сессии с того же Calling-Station-Id, если при авторизации произошла ошибка "Превышен лимит сессий" #(может быть полезно, если на насе остаются несуществующие сессии и клиент не может переподключится) check.duplicate.session=1 #Не разрывать сессии, при изменении действующего тарифного плана в ходе обсчёта. #При установке этой опции разрывы и отправку CoA пакетов нужно контроллировать устновкой зон в тарифах. #no.session.break.on.tariff.change=1 ######################################################### #Наборы атрибутов, доступные при редактировании логина attrset.1.title=256in attrset.1.attributes=Cisco-AVPair=lcp:interface-config#1=rate-limit output access-group 2002 256000 48000 96000 conform-action transmit exceed-action drop attrset.2.title=256out attrset.2.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2001 256000 48000 96000 conform-action transmit exceed-action drop attrset.3.title=512in attrset.3.attributes=Cisco-AVPair=lcp:interface-config#1=rate-limit output access-group 2002 512000 96000 192000 conform-action transmit exceed-action drop attrset.4.title=512out attrset.4.attributes=Cisco-AVPair=lcp:interface-config=rate-limit intput access-group 2001 512000 96000 192000 conform-action transmit exceed-action drop #attrset.5.title=512in/shape #attrset.5.attributes=Cisco-AVPair=lcp:interface-config=traffic-shape group 2001 512000 96000 192000 2000 #конфиги коллектора NetFlow #размер буфера приема collector.capture.flow.buffer.capacity=4194304 #рекомендация размера буфера сокета collector.capture.flow.socket.buffer.capacity=524288 #количество потоков для порта по умолчанию collector.capture.flow.thread.count=1000 #порт приема для netflow потока #номер порта collector.capture.flow.port.1=2001 #тип слушателя - netflow collector.capture.flow.port.1.type=netflow #количество потоков для порта #collector.capture.flow.port.1.thread.count=8 нас Код: #callback.support=0 drop.sleep.timeout=3600 month.break=1 nas.inspector.sleep_time=5 nas.inspector.kill.max_messages=5 # SNMP #nas.inspector.snmp.port=161 #nas.inspector.snmp.community=8888 nas.port_time.default.=2 nas.port_traffic.default.=3:COLLECTOR;5:COLLECTOR;7:COLLECTOR;8:COLLECTOR;4:COLLECTOR;6:COLLECTOR nas.port_time.unlim.=9 nas.port_traffic.unlim.=3:COLLECTOR;5:COLLECTOR;7:COLLECTOR;8:COLLECTOR;4:COLLECTOR;6:COLLECTOR netflow.receive.from=212.42.120.246 realm.default=Framed-Pool=test realm.unlim=Framed-Pool=test ipn.module.id=2 ipn.source.id=1 dialup.workmode=1 # dialup.workmode=1 nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector nas.inspector.pod.host=212.42.ххх.ххх nas.inspector.pod.port=1700 nas.inspector.pod.secret=test #перечисление атрибутов, необходимых в PoD пакете, если пустое - высылаются все атрибуты #nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id;NAS-Port #nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id nas.inspector.pod.attributes=Acct-Session-Id из конфига не выложил коечто по нетфлоу не думаю что играет роль типа Код: netflow.service.link.248=7 IN 81.88.192.1-81.88.207.254 netflow.service.link.249=8 OUT 81.88.192.1-81.88.207.254 дело именно в иосе в с конфигой из первого поста - и не исг иосом все пашет

Автор:	skyb [ 24 авг 2010, 15:40 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
у нас было то что несбрасывались сессии по snmp поменяли иос и вуаля

Автор:	ip0203 [ 24 авг 2010, 16:59 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
skyb писал(а): у нас было то что несбрасывались сессии по snmp поменяли иос и вуаля у меня наоборот иос нужно поменять чтобы заработало СоА

Автор:	snark [ 24 авг 2010, 17:20 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
глупый вопрос но ... NPE какой?

Автор:	ip0203 [ 24 авг 2010, 18:13 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
snark писал(а): глупый вопрос но ... NPE какой? Cisco 7206VXR (NPE-G2)

Автор:	snark [ 24 авг 2010, 18:56 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
про NPE я спрашивал на всякий случай, а то бывали инциденты когда не в G2 пытались залить "c7200p-ххх" в общем так ... мне видится только одно решение - подбирать нормальный, рабочий IOS, т.к. Ваш походу глючный ... если нужно именно ISG - то начните с последних 12.2SB типа c7200p-is-mz.122-31.SB18.bin (в базовом варианте, т.е. РРРоЕ + полисеры/шейперы они точно работают, только не все фичи могут заработать, например QinQ и т.п. - тут смотреть надо) и поднимайтесь выше BTW, Вам точно нужны фичи ADVANCED ENTERPRISE SERVICES фичерсета? может обойдетесь простеньким IP PLUS? все что нужно для разливания интернетов там есть

Автор:	ip0203 [ 24 авг 2010, 19:18 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
snark писал(а): про NPE я спрашивал на всякий случай, а то бывали инциденты когда не в G2 пытались залить "c7200p-ххх" в общем так ... мне видится только одно решение - подбирать нормальный, рабочий IOS, т.к. Ваш походу глючный ... если нужно именно ISG - то начните с последних 12.2SB типа c7200p-is-mz.122-31.SB18.bin (в базовом варианте, т.е. РРРоЕ + полисеры/шейперы они точно работают, только не все фичи могут заработать, например QinQ и т.п. - тут смотреть надо) и поднимайтесь выше BTW, Вам точно нужны фичи ADVANCED ENTERPRISE SERVICES фичерсета? может обойдетесь простеньким IP PLUS? все что нужно для разливания интернетов там есть Ок, буду методом научного тыка подбирать, насчет ентерпрайса конешно все фичи я бы даже сказал большая часть не нужны, попробую что попроще. Такой вопрос еще как определить что иос ISG - есть какой либо список таких иосов? Смотреть каждый в фиченавигаторе на предмет наличия ISG(Coa) или наоборот по фиче ИОСЫ довольно муторное занятие на мой взгляд.

Автор:	snark [ 24 авг 2010, 20:14 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
для 72-х цисок ISG есть только в 12.2SB и 12.2SR IOS-ах, ЕМНИМС BTW, в конфиге модуля у Вас прописан пул: Код: pools.test=212.42.ххх.ххх-212.42.ххх.ххх более того - Вы его используете: Код: realm.default=Framed-Pool=test но при этом в конфиге коты мы видим: Код: interface Loopback0 ip address 10.10.10.1 255.255.255.255 ... interface Virtual-Template1 ip unnumbered Loopback0 отбрасывая мысль "cef умный - он сам во всем разберется" интересно как Вы себе представляли хождение пакетов когда шлюзом для адресов из одной подсети служит адрес из другой?

Автор:	ip0203 [ 26 ноя 2010, 16:16 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
вновь вернулся к теме pppoe на 7606 с поддержкой Соа, перепробовав кучу иос затыкаюсь все на тойже 736 ошибке процес авторизации проходит норм, но после же первого акаунтинга сессия рвется в ошибка тишина, в логах появляется запись о сессии 53 35 106 73737373 ( ip0203 ) false 26.11.2010 16:10:25 26.11.2010 16:10:30 00:00:05 [5] 0.00000 000c2923b362 / 42 / 84 212.42.120.234 вот кусок radius.log Код: 1-26/16:10:25 INFO [pool-5-thread-9] radius - AUTH: Type=AUTHENTICATION_REQUEST Attributes: User-Name=ip0203 NAS-Port-Id=0/0/0/0 User-Password=****** NAS-IP-Address=212.42.120.246 NAS-Port=9 Service-Type=2 Framed-Protocol=1 NAS-Port-Type=5 Calling-Station-Id=000c2923b362 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Process auth Type=AUTHENTICATION_REQUEST Attributes: User-Name=ip0203 NAS-Port-Id=0/0/0/0 User-Password=****** NAS-IP-Address=212.42.120.246 NAS-Port=9 Service-Type=2 Framed-Protocol=1 NAS-Port-Type=5 Calling-Station-Id=000c2923b362 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Finding login.. 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking access allow.. 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking password.. 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking contract status 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking tariff.. 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Checking balance.. 11-26/16:10:25 DEBUG [pool-5-thread-9] DialUpProcessor - Set address time: 1 11-26/16:10:25 INFO [pool-5-thread-9] radius - RESPONSE: Type=AUTHENTICATION_ACCEPT Process time auth: 34 init_tariff: 3; set_ip: 1; common_auth: 25 Attributes: Acct-Interim-Interval=60 Service-Type=2 Framed-Protocol=1 Framed-IP-Address=212.42.120.234 Framed-Pool=test cisco-avpair=lcp:interface-config#1=rate-limit output access-group 2002 256000 48000 96000 conform-action transmit exceed-action drop Trace: Login found. 11-26/16:10:25 INFO [pool-6-thread-17] radius - ACCOUNT: Type=ACCOUNTING_REQUEST Attributes: User-Name=ip0203 NAS-Port-Id=0/0/0/0 NAS-IP-Address=212.42.120.246 NAS-Port=9 Service-Type=2 Framed-Protocol=1 Acct-Status-Type=1 Acct-Delay-Time=0 NAS-Port-Type=5 Calling-Station-Id=000c2923b362 Acct-Session-Id=00000009 Acct-Authentic=1 11-26/16:10:25 INFO [pool-6-thread-17] radius - RESPONSE: Type=ACCOUNTING_RESPONSE Process time start: 13 Attributes: 11-26/16:10:25 INFO [pool-6-thread-18] radius - ACCOUNT: Type=ACCOUNTING_REQUEST Attributes: User-Name=ip0203 NAS-IP-Address=212.42.120.246 NAS-Port=9 Service-Type=2 Framed-Protocol=1 Acct-Input-Octets=84 Acct-Output-Octets=42 Acct-Status-Type=2 Acct-Delay-Time=0 Acct-Session-Time=0 Acct-Input-Packets=5 Acct-Session-Id=00000009 Acct-Authentic=1 NAS-Port-Id=0/0/0/0 Acct-Terminate-Cause=1 Acct-Output-Packets=4 Calling-Station-Id=000c2923b362 NAS-Port-Type=5 11-26/16:10:25 INFO [pool-6-thread-18] radius - RESPONSE: Type=ACCOUNTING_RESPONSE Process time stop: 3 Attributes: snark писал(а): отбрасывая мысль "cef умный - он сам во всем разберется" интересно как Вы себе представляли хождение пакетов когда шлюзом для адресов из одной подсети служит адрес из другой? не совсем понимаю о чем речь, пппое интерфейс для циски - директ конектед, и использует он дефолтный гейт.

Автор:	ip0203 [ 26 ноя 2010, 17:07 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
для юзера гейтом будет его же ип DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 212.42.123.231 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : 212.42.123.231 DNS-серверы . . . . . . . . . . . : 212.42.102.xxx NetBIOS через TCP/IP. . . . . . . : отключен типо такого, это с продакшена(mpd) могу показать подобное с циски без исг - тоже самое

Автор:	snark [ 26 ноя 2010, 18:00 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
ip0203 писал(а): для юзера гейтом будет его же ип DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 212.42.123.231 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : 212.42.123.231 DNS-серверы . . . . . . . . . . . : 212.42.102.xxx NetBIOS через TCP/IP. . . . . . . : отключен типо такого, это с продакшена(mpd) могу показать подобное с циски без исг - тоже самое я в курсе как это выглядит я вообще то про трейсы говорил, впрочем это ваше личное дело показывать клиентам в трейсе адрес из серой сети или реальный адрес ...

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/

Автор:	snark [ 26 ноя 2010, 17:01 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
ip0203 писал(а): snark писал(а): отбрасывая мысль "cef умный - он сам во всем разберется" интересно как Вы себе представляли хождение пакетов когда шлюзом для адресов из одной подсети служит адрес из другой? не совсем понимаю о чем речь, пппое интерфейс для циски - директ конектед, и использует он дефолтный гейт. я про юзеров говорю ... для юзеров гейтом будет 10.10.10.1, а адреса у них Код: pools.test=212.42.ххх.ххх-212.42.ххх.ххх

Автор:	ip0203 [ 26 ноя 2010, 18:43 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
Клиентских подсетей несколько, одной маской не обьедениш, тоесть первый хоп "правильным" можно сделать только для одной, поэтому решил пусть будет для всех не правильный, серый.

Автор:	snark [ 26 ноя 2010, 19:56 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
маска 255.255.255.255 для белого адреса на лупбеке прекрасно работает для любого кол-ва подсетей

Автор:	ip0203 [ 26 ноя 2010, 20:14 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
думаете это критично какой адрес на лубэке? как бы я хотел что бы в этом была вся проблема

Автор:	snark [ 26 ноя 2010, 21:15 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
уберите из конфига: Код: sessions auto cleanup и Код: ppp max-bad-auth 3 ppp authentication chap radius ppp authorization radius ppp accounting radius ppp timeout retry 3 ppp timeout authentication 45 и попробуйте

Автор:	optimous [ 29 ноя 2010, 13:46 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
Такая же басня была... По-моему, полечилось (путем долгих научных тыканий) вот этим: Код: #удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером drop.framed.pool.attr=1

Автор:	snark [ 29 ноя 2010, 14:16 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
ну ... вообще-то это надо было сразу отрубать Код: sessions auto cleanup я попросил убрать на всяк пожарный, т.к. у меня с этой фичей иос просто крешился и спасал тока ребут, а вот это: Код: ppp authentication chap radius ppp authorization radius ppp accounting radius достаточно привести к виду: Код: ppp authentication chap т.к. в конфиге уже есть: Код: aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting network default start-stop group radius ключевое слово "default", т.е. РРР будет в любом случае авторизовываться в радиусе прописанном в конфиге ... проще говоря - у вас нету ААА группы "radius", а есть указание "весь РРР ААА процесс идет через тот радиус который я укажу в глобальном конфиге", так что бестолку ссылаться на ААА группу "radius" такая конструкция хорошо смотрелась если бы у вас было нечто подобное: Код: aaa group server radius bgbilling server-private 212.42.xxx.xxx auth-port 1812 acct-port 1813 key super_duper_key ip radius source-interface GigabitEthernet 0/1 aaa authentication ppp clients group bgbilling aaa authorization network clients group bgbilling aaa accounting delay-start all aaa accounting network clients start-stop group bgbilling interface Virtual-Template 1 ... ppp authentication pap callin clients ppp authorization clients ppp accounting clients

Автор:	ip0203 [ 04 янв 2011, 17:32 ]
Заголовок сообщения:	Re: Cisco pppoe error 736
optimous писал(а): Такая же басня была...По-моему, полечилось (путем долгих научных тыканий) вот этим:Код:#удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS серверомdrop.framed.pool.attr=1 snark писал(а): ну ... вообще-то это надо было сразу отрубать слона я и не заметил - дело было в framed.pool.attr=1, его кстати не было в конфиге модуля который я выкладывал. Всем с НГ!!! Отписавшимся - спасибо большое за терпение и помощь ).