BiTel

Форум BiTel		 bgbilling.ru     docs.bitel.ru     wiki.bitel.ru     dbinfo.bitel.ru     bgcrm.ru     billing.bitel.ru     bitel.ru    
Текущее время: 03 июл 2025, 13:12

Сообщения без ответов | Активные темы


Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]



Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Версия для печати Пред. тема | След. тема 
Автор Сообщение
Dmitri
 Заголовок сообщения: Конфигурации Cisco PPTP и Cisco PPPOE
СообщениеДобавлено: 07 июл 2008, 15:55 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Уважаемые разработчики, большая просьба: если есть возможность, покажите действительную на данный момент конфигурацию cisco pptp, cisco pppoe.

Дело в том, что никак не могу четко понять, что должно быть обязательно в секции aaa...
Вернуться к началу
 Профиль  
 
Dmitri
СообщениеДобавлено: 07 июл 2008, 20:19 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
В документации есть пример, в разделе: 29. Настройка модуля DialUP с CISCO AS5300.

Просьба пояснить следующие команды:

Код:
radius-server authorization permit missing Service-Type


Почему аутентификация выполнена как if-needed:
Код:
aaa authentication ppp default if-needed group radius local


Почему авторизация сделана как if-authenticated, а не просто через группу:
Код:
aaa authorization exec default group radius if-authenticated
Вернуться к началу
 Профиль  
 
Администратор
 Заголовок сообщения:
СообщениеДобавлено: 08 июл 2008, 00:56 
Не в сети
Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93
http://wiki.bgbilling.ru/index.php/%D0% ... 1%80%D0%B5
Вернуться к началу
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: 09 июл 2008, 15:52 
Не в сети
Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249
для РРРоЕ так (минимально):
Код:
aaa new-model
!
aaa group server radius rad_ppp
 server-private IP.адрес.Вашего.RADIUS auth-port 1812 acct-port 1813 key Ваш_ключ
 ip radius source-interface Loopback 1
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
!
! заход на циску
aaa authentication login default local-case
aaa authorization exec default local
! РРРоЕ
aaa authentication ppp PPPoE group rad_ppp
aaa authorization network PPPoE group rad_ppp
aaa accounting network PPPoE start-stop group rad_ppp
!
aaa accounting delay-start all
aaa accounting update periodic 1
!
!
bba-group pppoe global
 ac name имя_этого_NAS
!
bba-group pppoe PPPoE
 virtual-template 1
 sessions per-mac limit 1
 sessions per-mac throttle 1 30 30
 sessions auto cleanup
!
!
interface Loopback 1
 ip address IP.адрес.Вашего.лупбека 255.255.255.255
!
interface [скорость]Ethernet слот/порт
 no ip address
 hold-queue 4096 in
 hold-queue 4096 out
!
interface [скорость]Ethernet слот/порт.VLAN_ID
 encapsulation dot1Q VLAN_ID
 pppoe enable group PPPoE
!
interface Virtual-Template 1
 ip unnumbered Loopback 1
 peer default ip address pool default
 ppp authentication pap callin PPPoE
 ppp authorization PPPoE
 ppp accounting PPPoE
 ppp ipcp dns IP.адрес.Вашего.DNS
 ppp ipcp address unique
!
!
ip local pool default начальный.IP.адрес.пула конечный.IP.адрес.пула
захотите на том же коте еще и РРТР поднять - просто добавляете к тому что выше (минимально):
Код:
aaa authentication ppp РРТР group rad_ppp
aaa authorization network РРТР group rad_ppp
aaa accounting network PPTP start-stop group rad_ppp
!
!
vpdn enable
!
vpdn-group PPTP
 accept-dialin
  protocol pptp
  virtual-template 2
!
!
interface [скорость]Ethernet слот/порт.VLAN_ID
 encapsulation dot1Q VLAN_ID
 ip address IP.адрес.Вашего.NAS маска.Вашего.NAS
!
interface Virtual-Template 2
 ip unnumbered Loopback 1
 peer default ip address pool default
 ppp authentication pap callin PPTP
 ppp authorization PPTP
 ppp accounting PPTP
 ppp ipcp dns IP.адрес.Вашего.DNS
 ppp ipcp address unique
предупреждаю сразу - не на каждом коте и не на каждом IOS-е получится одновременно поднять и РРРоЕ и РРТР!
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 18 авг 2008, 14:51 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Спасибо большое за примеры, но остались некоторые вопросы:

1. Не понятны следующие команды:
radius-server authorization permit missing Service-Type
ppp ipcp address unique
radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format unformatted

Просьба пояснить, пожалуйста.

2. Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
Вернуться к началу
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: 18 авг 2008, 18:36 
Не в сети
Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249
Dmitri писал(а):
radius-server authorization permit missing Service-Type
тыц
Cisco писал(а):
To allow an access server to fully process or deny Access-Accept responses from RADIUS servers that do not send the Service-Type attribute in the Access-Accept packets, use the radius-server authorization missing Service-Type command in global configuration mode.

radius-server authorization [permit | deny] missing Service-Type
Syntax Description:
permit - (Optional) Allows an access server to fully process Access-Accept responses from RADIUS servers that do not send the Service-Type attribute.
deny - (Optional) Allows the access server to deny authorization if the Service-Type attribute is not present in the Access-Accept packet. Use this keyword if the permit missing Service-Type keyword has already been configured.



Dmitri писал(а):
ppp ipcp address unique
тыц
Cisco писал(а):
ppp ipcp address
Specifies IPCP IP address options:
accept - Accepts any nonzero IP address from the peer.
required - Disconnects the peer if no IP address is negotiated.
unique - Disconnects the peer if the IP address is already in use.



Dmitri писал(а):
radius-server attribute 8 include-in-access-req
тыц
Cisco писал(а):
To send the IP address of a user to the RADIUS server in the access request, use the radius-server attribute 8 include-in-access-req command in global configuration mode.



Dmitri писал(а):
radius-server attribute 31 mac format unformatted
тыц
Cisco писал(а):
To configure a nondefault MAC address format in the calling line ID (CLID) of a DHCP accounting packet, use the radius-server attribute 31 mac format command in global configuration mode.

radius-server attribute 31 mac format {default | ietf | unformatted}
Syntax Description:
default - Sets the MAC address format to the default format (for example, aaaa.bbbb.cccc)
ietf - Internet Engineering Task Force (IETF) format (for example, aa-aa-bb-bb-cc-cc)
unformatted - Unformatted raw MAC address (for example, aaaabbbbcccc)


перевод всего этого надеюсь не требуется?

Dmitri писал(а):
Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
дело в том что если Вы будете использовать не лупбек, а физический интерфейс, то упретесь в то что больше чем 5 РРР соединений у Вас не будет ...

используйте тот вариант который я дал в предыдущем посте и все у Вас будет работать как часы ;)
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 18 авг 2008, 19:28 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
snark писал(а):
Dmitri писал(а):
radius-server authorization permit missing Service-Type
тыц

Все равно, не понял... А зачем ждать от радиус-сервера этот сервис-тайп? Зачем он нужен?

Cisco писал(а):
To allow an access server to fully process or deny Access-Accept responses from RADIUS servers that do not send the Service-Type attribute in the Access-Accept packets, use the radius-server authorization missing Service-Type command in global configuration mode.


radius-server authorization [permit | deny] missing Service-Type
Syntax Description:
permit - (Optional) Allows an access server to fully process Access-Accept responses from RADIUS servers that do not send the Service-Type attribute.
deny - (Optional) Allows the access server to deny authorization if the Service-Type attribute is not present in the Access-Accept packet. Use this keyword if the permit missing Service-Type keyword has already been configured.



Dmitri писал(а):
ppp ipcp address unique
тыц

Правильно ли я понял, что это доп. проверка выдаваемых клиенту адресов, самим NAS`ом?

Cisco писал(а):
ppp ipcp address
Specifies IPCP IP address options:
accept - Accepts any nonzero IP address from the peer.
required - Disconnects the peer if no IP address is negotiated.
unique - Disconnects the peer if the IP address is already in use.



Dmitri писал(а):
radius-server attribute 8 include-in-access-req
тыц

Вообще - не понял. Просьба пояснить, пожалуйста.

Cisco писал(а):
To send the IP address of a user to the RADIUS server in the access request, use the radius-server attribute 8 include-in-access-req command in global configuration mode.



Dmitri писал(а):
radius-server attribute 31 mac format unformatted
тыц

Пробовал менять... почему-то не меняется формат. Вообще к меня почему-то в запросах NAS`а - нет calling station id. Пример:

Цитата:
18 16:28:07
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=s.govnov@pppoe
NAS-Port-Id=0/0/1/198
CHAP-Password=\u1\u63\u63\u63\u63\u63\u632\u94z\u63\u59\u124\u177#\u16\u63
NAS-IP-Address=192.168.2.59
NAS-Port=50094
Service-Type=2
Framed-Protocol=1
NAS-Port-Type=15
cisco-avpair=client-mac-address\u61001a.6b36.50cd


Cisco писал(а):
To configure a nondefault MAC address format in the calling line ID (CLID) of a DHCP accounting packet, use the radius-server attribute 31 mac format command in global configuration mode.

radius-server attribute 31 mac format {default | ietf | unformatted}
Syntax Description:
default - Sets the MAC address format to the default format (for example, aaaa.bbbb.cccc)
ietf - Internet Engineering Task Force (IETF) format (for example, aa-aa-bb-bb-cc-cc)
unformatted - Unformatted raw MAC address (for example, aaaabbbbcccc)


перевод всего этого надеюсь не требуется?

Dmitri писал(а):
Почему в Virtual-Template лучше использовать ip unnumbered loopback, а не какой-либо внешний интерфейс NAS`а?
дело в том что если Вы будете использовать не лупбек, а физический интерфейс, то упретесь в то что больше чем 5 РРР соединений у Вас не будет ...

используйте тот вариант который я дал в предыдущем посте и все у Вас будет работать как часы ;)

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
POWERED_BY
Русская поддержка phpBB
[ Time : 0.039s | 30 Queries | GZIP : On ]