- ASR 1002 проблемы с PPPoE, fantom, 18:59 , 25-Май-09 (1)
Убрать имя сервера PPPoE?
- ASR 1002 проблемы с PPPoE, Nick, 23:41 , 25-Май-09 (2)
>Убрать имя сервера PPPoE?Извините, но я не совсем понял Ваш вопрос. Имя сервиса прописано. > as name tester Рекомендуете его убрать?
- ASR 1002 проблемы с PPPoE, fantom, 12:08 , 26-Май-09 (3)
>>Убрать имя сервера PPPoE? > >Извините, но я не совсем понял Ваш вопрос. > >Имя сервиса прописано. >> as name tester > >Рекомендуете его убрать? Как показал опыт с 28-ой серией - для начала убрать..
- ASR 1002 проблемы с PPPoE, Nick, 12:20 , 26-Май-09 (4)
>Как показал опыт с 28-ой серией - для начала убрать...Если Вас не затруднить, поясните поподробнее. сначала sr(config-bba-group)#no ac name А потом как вернуть имя сервиса? Какова последовательность действий? Просто выключить пробовал - не помогает.
- ASR 1002 проблемы с PPPoE, eking, 14:12 , 26-Май-09 (5)
1. Radius-сервер не должен отсылать никаких параметров связанных с шифрованием или сжатием данных. tcpdump'ом можно посмотреть, что передается от радиуса. Лучше вообще ничего лишнего, кроме IP клиента и политики/DNS не передавать2. в конфиге aaa policy interface-config allow-subinterface ну и резать скорость так: access-list 120 permit ip x.x.x.x 0.0.0.7 any access-list 120 permit ip any x.x.x.x 0.0.0.7 class-map match-all name match access-group 120
policy-map asr512k-in description upload policy for 512k users class name police 819000 102375 102375 class class-default police 410000 51250 51250 policy-map asr512k-out description download policy for 512k users class name police 1024000 128000 128000 class class-default police 512000 64000 64000 class name - режем скорость на заданное направление. class class-default - на все остальные направления Радиус передает параметры: mysql> select * from radgroupreply where groupname like "asr512k%"; +-----+-----------+-----------------+----+------------------------------------------------------------+------+ | id | GroupName | Attribute | op | Value | prio | +-----+-----------+-----------------+----+------------------------------------------------------------+------+ | 180 | asr512k | Service-Type | := | Framed-User | 0 | | 186 | asr512k | Framed-Protocol | := | PPP | 0 | | 192 | asr512k | Cisco-AVPair | += | ip:dns-servers="a.a.a.a b.b.b.b c.c.c.c" | 0 | | 198 | asr512k | Cisco-AVPair | += | ip:sub-policy-Out=asr512k-out | 0 | | 204 | asr512k | Cisco-AVPair | += | ip:sub-policy-In=asr512k-in | 0 | +-----+-----------+-----------------+----+------------------------------------------------------------+------+ 5 rows in set (0.00 sec) Кратко, но просто нет времени на полный ответ. :(
- ASR 1002 проблемы с PPPoE, Nick, 10:04 , 27-Май-09 (6)
Большое спасибо Вам за ответ, но к сожалению он не решает проблемы. До радиуса дело вообще не доходит. Такое чувство, что циска просто ИГНОРИРУЕТ PADI-пакеты. Что с этим делать, я не знаю. Возможно где-то в конфигурации не хватает строчки, позволяющей работу протокола PPPoEхотя есть строки vpdn enable pppoe enable group global (на интерфейсе)
- ASR 1002 проблемы с PPPoE, fozz, 13:09 , 27-Май-09 (7)
>Большое спасибо Вам за ответ, но к сожалению он не решает проблемы. > >До радиуса дело вообще не доходит. Такое чувство, что циска просто ИГНОРИРУЕТ >PADI-пакеты. >Что с этим делать, я не знаю. Возможно где-то в конфигурации не >хватает строчки, позволяющей работу протокола PPPoE > >хотя есть строки >vpdn enable >pppoe enable group global (на интерфейсе) для начала попробуйте подцепиться PPPoE на обычный интерфейс, без вланов (у вас вон полно отключенных). Если получится, то посмотрите в фичнавигаторе для вашей IOS поддержку 'PPPoE over 802.1q', ее может не оказаться, тогда надо заменить IOS.
- ASR 1002 проблемы с PPPoE, Nick, 13:18 , 27-Май-09 (8)
>для начала попробуйте подцепиться PPPoE на обычный интерфейс, без вланов (у вас >вон полно отключенных). Если получится, то посмотрите в фичнавигаторе для вашей >IOS поддержку 'PPPoE over 802.1q', ее может не оказаться, тогда надо >заменить IOS. Подобный эксперимент уже проводился, и так же не дал положительного результата. То есть на интерфейсе Gigabit 0/0/0 pppoe-сервис так же не отвечает на PADI. Другие интерфейсы подключить нет физической возможности (просто нет модуля). На счёт IOS я точно не знаю, но на сколько мне удалось выяснить - поддержка pppoe over 802.1q имеется.
- ASR 1002 проблемы с PPPoE, fantom, 15:57 , 27-Май-09 (9)
Куски рабочего конфига: Настройки радиус сервера у вас свои...aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting send stop-record authentication failure aaa accounting update periodic 2 aaa accounting network default start-stop group radius bba-group pppoe global virtual-template 1 Остальное - ограничения, их можно и позже навесить. interface Loopback1 ip address 10.255.255.255 255.255.255.255 Предрочитаю с лупбека брать IP для unnumbered interface GigabitEthernet0/0.100 encapsulation dot1Q 100 pppoe enable group global Ну тут все понятно :) interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool VPN_POOL keepalive 15 3 ppp authentication chap ip local pool VPN_POOL 192.168.1.0 192.168.1.255 собственно пул адресов. 1. Смотреть на кошке debug pppoe и разрешить все подрят (для начала) 2. В настройках pppoe клиента ИМЯ СЕРНИСА ОСТАВИТЬ ПУСТЫМ!!!!!! 3. Пробовать...
- ASR 1002 проблемы с PPPoE, Nick, 17:00 , 27-Май-09 (10)
На одном из форумов получил ответ, что оказывается установленный на циске IOS функции BRAS не поддерживает.Пожалуйста, развейте окончательно мои сомнения. Согалсно выводу команды show version, вот данные об IOS Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-IPBASEK9-M), Version 12.2(33)XNB1, RELEASE SOFTWARE (fc1) Нас уверяли что эта версия IOS позволит маршрутизатору работать как ISG. Если действительно версия неподходящая, буду признателен, если поможете с выбором версии IOS и дадите ссылку, где её (систему) можно скачать.
- ASR 1002 проблемы с PPPoE, eking, 14:13 , 29-Май-09 (11)
>[оверквотинг удален] >функции BRAS не поддерживает. > >Пожалуйста, развейте окончательно мои сомнения. >Согалсно выводу команды show version, вот данные об IOS >Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-IPBASEK9-M), Version 12.2(33)XNB1, RELEASE SOFTWARE (fc1) > >Нас уверяли что эта версия IOS позволит маршрутизатору работать как ISG. > >Если действительно версия неподходящая, буду признателен, если поможете с выбором версии IOS >и дадите ссылку, где её (систему) можно скачать. http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp - feature navigator
- ASR 1002 проблемы с PPPoE, Nick, 14:21 , 29-Май-09 (12)
Всем большое спасибо. На этом тема, видимо, закрыта. Буду искать нужный IOS.
- ASR 1002 проблемы с PPPoE, eking, 14:37 , 29-Май-09 (13)
Итак, что передает радиус:сервер:~ # radtest ххххх йййййй localhost 1812 ннннннн Sending Access-Request of id 73 to 127.0.0.1:1812 User-Name = "ххххх" User-Password = "йййййй" NAS-IP-Address = stat1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=73, length=173 Framed-IP-Address = а.б.ц.д Service-Type = Framed-User Framed-Protocol = PPP Cisco-AVPair = "ip:dns-servers="ч.ч.ч.ч й.й.й.й ы.ы.ы.ы"" Cisco-AVPair = "ip:sub-policy-Out=asr5m-out" Cisco-AVPair = "ip:sub-policy-Out=asr5m-in" сервер:~ # Конфиг перенесен с 72ХХ. Но работает сейчас на ASR1002 version 12.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname BRAS ! boot-start-marker boot system bootflash:asr1000rp1-adventerprisek9.02.03.01.122-33.XNC1.bin boot-end-marker ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! logging buffered 2048000 enable password ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa authorization subscriber-service default group radius aaa accounting update periodic 1 aaa accounting network default start-stop group radius ! ! ! ! aaa server radius dynamic-author server-key auth-type any ! aaa session-id common aaa policy interface-config allow-subinterface ! transport-map type persistent telnet telnethandler banner wait ^C --You waiting enter to the vty line-- ^C connection wait none ! clock timezone UKR 2 clock summer-time UKRDT recurring last Sun Mar 3:00 last Sun Oct 2:00 ip subnet-zero ip source-route ip domain name xxx.yyy.ua ip name-server a.a.a.a ip name-server b.b.b.b ip name-server c.c.c.c ip name-server d.d.d.d no ip dhcp use vrf connected ip dhcp excluded-address 10.131.0.1 10.131.0.2 .... ! ip dhcp pool 0 network 10.131.0.0 255.255.255.0 dns-server a.b.c.90 a.a.a.65 .... ! ! ! ! virtual-profile virtual-template 1 ! multilink bundle-name authenticated vpdn enable ! vpdn-group 1 ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any ! ! ! username dsfdsaf password ! redundancy mode sso ! ! ! ! ! ! class-map match-all name1 match access-group 120 class-map match-all name2 match access-group 121 ! policy-map statonly-out description download policy for users allowed only local resources and stat server class name2 police 64000 8000 8000 class class-default police 8000 policy-map asr64k-out description download policy for 64k users class name1 police 1024000 128000 128000 class name2 police 2048000 256000 256000 class class-default police 64000 8000 8000 policy-map asr512k-in description upload policy for 512k users class name1 police 819000 102375 102375 class name2 police 1638000 204750 204750 class class-default police 410000 51250 51250 policy-map asr512k-out description download policy for 512k users class name1 police 1024000 128000 128000 class name2 police 2048000 256000 256000 class class-default police 512000 64000 64000 policy-map asr5m-in description upload policy for 5m users class name1 police 819000 102375 102375 class name2 police 6553000 819000 819000 class class-default police 4096000 512000 512000 policy-map asr128k-out description download policy for 128k users class name1 police 1024000 128000 128000 class name2 police 2048000 256000 256000 class class-default police 128000 16000 16000 policy-map asr64k-in description upload policy for 64k users class name1 police 819000 102375 102375 class name2 police 1638000 204750 204750 class class-default police 52000 6500 6500 policy-map asr2m-in description upload policy for 2m users class name1 police 819000 102375 102375 class name2 police 3276500 409562 409562 class class-default police 1638000 204750 204750 policy-map asr1m-in description upload policy for 1m users class name1 police 819000 102375 102375 class name2 police 1638000 204750 204750 class class-default police 819000 102375 102375 policy-map name2prio class name1 priority 40 class name2 priority 30 class class-default priority 10 policy-map asr1m-out description download policy for 1m users class name1 police 1024000 128000 128000 class name2 police 2048000 256000 256000 class class-default police 1024000 128000 128000 policy-map asr2m-out description download policy for 2m users class name1 police 1024000 128000 128000 class name2 police 4096000 512000 512000 class class-default police 2048000 256000 256000 policy-map asr5m-out description download policy for 5m users class name1 police 1024000 128000 128000 class name2 police 8192000 1024000 1024000 class class-default police 5120000 640000 640000 policy-map asr256k-in description upload policy for 256k users class name1 police 819000 102375 102375 class name2 police 1638000 204750 204750 class class-default police 204000 25500 25500 policy-map asr128k-in description upload policy for 128k users class name1 police 819000 102375 102375 class name2 police 1638000 204750 204750 class class-default police 103000 12875 12875 policy-map statonly-in class name2 police 64000 8000 8000 class class-default police 8000 policy-map asr256k-out description download policy for 256k users class name1 police 1024000 128000 128000 class name2 police 2048000 256000 256000 class class-default police 256000 32000 32000 ! ! ! ! bba-group pppoe global virtual-template 1 sessions max limit 32000 sessions per-mac limit 5 sessions per-vlan limit 4000 ! ! interface GigabitEthernet0/0/0 no ip address load-interval 30 no negotiation auto ! interface GigabitEthernet0/0/0.1 description encapsulation dot1Q 1 native ip address 10.1.1.5 255.255.255.0 ip access-group 97 in ip access-group 97 out ! interface GigabitEthernet0/0/1 no ip address load-interval 30 no negotiation auto ! interface GigabitEthernet0/0/1.4 encapsulation dot1Q 4 ip address g.g.g.g 255.255.255.252 ! interface GigabitEthernet0/0/2 no ip address load-interval 30 no negotiation auto ! .... interface GigabitEthernet0/0/2.99 description encapsulation dot1Q 99 ip address 10.130.0.3 255.255.0.0 secondary ip address 10.128.0.1 255.255.0.0 ip access-group 151 in ip access-group 150 out pppoe enable group global pppoe max-sessions 4000 ! interface GigabitEthernet0/0/3 no ip address load-interval 30 no negotiation auto ! .... interface GigabitEthernet0/0/3.101 description encapsulation dot1Q 101 ip address 10.140.0.3 255.255.0.0 secondary ip address 10.131.0.1 255.255.255.0 ip access-group 151 in ip access-group 150 out pppoe enable group global pppoe max-sessions 4000 ! .... ! interface GigabitEthernet0 description vrf forwarding Mgmt-intf ip address 10.10.10.44 255.255.255.0 negotiation auto ! interface Virtual-Template1 mtu 1492 ip unnumbered GigabitEthernet0/0/3.101 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip tcp adjust-mss 1452 no peer default ip address ppp max-bad-auth 3 ppp authentication pap ppp timeout authentication 15 ! ip classless ip route 0.0.0.0 0.0.0.0 g.g.g.g ip route 10.0.0.0 255.0.0.0 Null0 250 ! ip flow-export version 5 origin-as bgp-nexthop ip flow-export destination 10.1.1.15 9999 ip flow-export destination 10.1.1.251 9999 ip flow-aggregation cache destination-prefix cache entries 131072 cache timeout inactive 30 cache timeout active 10 mask destination minimum 32 enabled ! ip http server no ip http secure-server ! ! ip prefix-list cutdefault seq 5 permit 0.0.0.0/0 ip radius source-interface GigabitEthernet0/0/0.1 vrf default access-list 50 deny 10.0.0.0 0.255.255.255 access-list 50 deny 172.16.0.0 0.15.255.255 access-list 50 deny 192.168.0.0 0.0.255.255 access-list 50 permit any .... access-list 120 permit ip q.q.q.q 0.0.0.7 any access-list 120 permit ip any q.q.q.q 0.0.0.7 access-list 121 permit ip any a.b.c.z 0.0.0.15 access-list 121 permit ip a.b.c.z 0.0.0.15 any .... access-list compiled ! snmp-server community RW 99 ! radius-server configure-nas radius-server host 10.1.q.q auth-port 1812 acct-port 1813 radius-server timeout 30 radius-server key 7 radius-server vsa send accounting radius-server vsa send authentication ! ! control-plane ! ! line con 0 length 15 international stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! transport type persistent telnet input telnethandler ! ntp logging ntp clock-period 17256204 ntp access-group peer 94 ntp access-group serve 95 ntp peer 198.72.72.10 ntp peer 80.53.57.158 ntp peer 216.218.192.202 ntp peer 18.26.4.105 ntp peer 213.239.201.102 ntp peer 194.67.106.186 ntp peer 216.218.254.202 prefer end четыре строчки в одной отдельной строке означают, что вырезана часть конфига, подобная предыдущим нескольким строкам.
- ASR 1002 проблемы с PPPoE, Nick, 14:54 , 29-Май-09 (14)
Недостающая строчка найдена)))> boot system bootflash:asr1000rp1-adventerprisek9.02.03.01.122-33.XNC1.bin Если Вас не затруднить - поделитесь образом IOS. Я уже создал тему на форуме в разделе Поиск IOS. Прошу Вас ответить туда. Ещё раз спасибо.
|