|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Ilya Evseev 2:5020/400 26 Mar 2006 22:13:10
To : All
Subject : Почему Циска хватает чужие IP-адреса
--------------------------------------------------------------------------------
Всем привет!
Имеется Циска, через которую требуется выпускать в Интернет
пользователей-абонентов из внутренней сети:
* 192.168.* - через PPPoE и PPTP,
* 217.* - простой маршрутизацией.
Hа самой Циске три гигабитных интерфейса,
которые в итоге должны использоваться так:
* первый воткнут в Интернет-коммутатор,
на нём сидят тегированные каналы к провайдерам,
* второй смотрит во внутреннюю сеть 217.* и 192.168.* с клиентами,
* третий смотрит в DMZ с биллингом NetUP UTM 3.
В PPPoE- и PPTP-туннелях клиенты получают из UTM'овского Radius'a
адреса 172.16.*. Статистику Циска отдаёт в UTM по Netflow.
Hа время отладки схема сети отличается от той,
которая должна быть, следующим образом:
* второй интерфейс вместо внутреннего коммутатора воткнут в отдельный писюк,
который притворяется клиентами,
* машина с UTM пока находится не в DMZ, а в общей внутренней сети
(217.* и 192.168.*), и для связи с UTM третий интерфейс Циски вокнут в неё.
Проблемы:
* Циска на третьем интерфейсе хватает IP-адреса клиентов.
То есть: звонит x.y и говорит, что у него пропал выход в Интернет,
мы делаем arping 192.168.x.y и видим MAC-адрес третьего интерфейса Циски.
Статистика по x и y не собиралась, но эффект устойчивый.
* Среди клиентов есть анлимщики
(от 200 человек как с публичными IP, так и работающие через туннели),
которым надо зарезать скорость на 32, 64, 128, .. килобит/сек.
Как зарезать им скорость? Иначе говоря: есть список IP и скоростей,
какие команды надо добавить в настройку Циски?
С уважением,
Илья Евсеев
Вот текущая (тестовая) конфигурация Циски:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw-xxx
!
boot-start-marker
boot-end-marker
!
logging count
logging buffered 16384 notifications
logging console warnings
!
username netup privilege 8 password 7 xxx
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting delay-start
aaa accounting update newinfo
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
ip subnet-zero
no ip source-route
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 217.xxx.xxx.xxx netup enable
!
!
ip cef
ip domain name xxx.ru
ip name-server 217.xxx.xxx.xxx
ip name-server 217.xxx.xxx.xxx
!
vpdn enable
vpdn session-limit 1000
!
vpdn-group pppoe1
description ==== PPPoE clients ====
accept-dialin
protocol pppoe
virtual-template 1
pppoe limit per-mac 1
pppoe limit max-sessions 9999
source-ip 172.16.15.254
local name IC_pppoe
source vpdn-template 1
ip precedence flash
!
vpdn-group pptp
! Default PPTP VPDN group
description ==== PPTP clients ====
accept-dialin
protocol pptp
virtual-template 1
local name IC_pptp
source vpdn-template 1
ip precedence flash
!
!
interface Loopback0
description ==== Loopback for PPPoE and PPTP ====
ip address 172.16.15.254 255.255.240.0
ip pim sparse-mode
ip route-cache policy
ip route-cache flow
!
interface GigabitEthernet0/1
description ==== Inet VLAN's ====
no ip address
no ip proxy-arp
duplex auto
speed auto
media-type rj45
no negotiation auto
no snmp trap link-status
fair-queue
no cdp enable
!
interface GigabitEthernet0/1.1
description ==== VLAN Provider #0 id:1 ====
encapsulation dot1Q 1 native
shutdown
no cdp enable
!
interface GigabitEthernet0/1.2
description ==== VLAN Provider #1 id:2 ====
encapsulation dot1Q 2
no cdp enable
!
interface GigabitEthernet0/1.3
description ==== VLAN Provider #2 id:4 ====
encapsulation dot1Q 4
ip address 217.xxx.xxx.xxx 255.255.255.248
ip nat outside
no cdp enable
!
interface GigabitEthernet0/1.4
description ==== VLAN Link Provider #3 id:70 ====
encapsulation dot1Q 70
no cdp enable
!
interface GigabitEthernet0/2
description ==== Our Network ====
ip address 192.168.15.254 255.255.240.0
no ip redirects
no ip unreachables
ip nat inside
ip route-cache policy
ip route-cache flow
duplex full
speed auto
media-type rj45
no negotiation auto
pppoe enable
no cdp enable
!
interface GigabitEthernet0/3
description ==== Connect to UTM billing (and our network now) ====
ip address 217.xxx.xxx.xxx 255.255.255.0
ip nat outside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
media-type rj45
no negotiation auto
no cdp enable
!
interface Virtual-Template1
description ==== Virtual interface for PPP(-OE; -TP) ====
mtu 1460
ip unnumbered Loopback0
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip pim sparse-mode
no logging event link-status
no peer default ip address
ppp authentication ms-chap-v2 ms-chap
!
router bgp 64520
no synchronization
bgp log-neighbor-changes
network 81.xxx.xxx.xxx mask 255.255.255.128
network 81.xxx.xxx.xxx mask 255.255.255.0
network 217.xxx.xxx.xxx
auto-summary
!
ip nat inside source list 10 interface GigabitEthernet0/1.3 overload
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip flow-export source GigabitEthernet0/2
ip flow-export version 5
ip flow-export destination 217.xxx.xxx.xxx 9800
ip flow-export destination 217.xxx.xxx.xxx 9997
no ip http server
!
!
logging history warnings
logging trap debugging
logging facility local4
logging source-interface GigabitEthernet0/2
logging 217.xxx.xxx.xxx
access-list 10 permit 172.16.0.0 0.0.15.255
access-list 11 permit 217.xxx.xxx.xxx
access-list 12 permit 192.168.0.0 0.0.15.255
dialer-list 1 protocol ip permit
no cdp run
!
radius-server configure-nas
radius-server host 217.xxx.xxx.xxx auth-port 1812 acct-port 1813
radius-server timeout 3
radius-server deadtime 1
radius-server unique-ident 11
radius-server key 7 xxx
!
!
!
!
gatekeeper
shutdown
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
password 7 xxx
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 11 in
exec-timeout 60 0
password 7 xxx
transport preferred all
transport input all
transport output all
!
ntp clock-period 17179921
ntp source GigabitEthernet0/2
ntp master 3
ntp server 217.xxx.xxx.xxx
ntp server 217.xxx.xxx.xxx
!
!
end
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
