Funciones de acceso virtual PPP en el IOS de Cisco

Opciones de descarga

  • PDF     (172.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (102.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (159.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de octubre de 2018
ID del documento:14943

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la arquitectura general de las aplicaciones PPP de Acceso Virtual en Cisco IOS®. Para obtener más información sobre una función específica, consulte los documentos que se encuentran al final del Glosario.

Antes de comenzar

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Prerequisites

No hay requisitos previos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Glosario

Los siguientes son términos que aparecerán en este documento.

  • Servidor de acceso: Plataformas Cisco Access Server, incluidas las interfaces ISDN y asíncronas para proporcionar acceso remoto.

  • L2F: Protocolo de reenvío de Capa 4 (RFC borrador experimental). Esta es la tecnología de nivel de link subyacente para Multichassis MP y Redes privadas virtuales (VPN).

  • Enlace: Punto de conexión proporcionado por un sistema. Puede ser una interfaz de hardware dedicada (como una interfaz asíncrona) o un canal en una interfaz de hardware multicanal (como PRI o BRI).

  • MP: Protocolo PPP de links múltiples (consulte RFC 1717).

  • MP de varios chasis: MP + SGBP + L2F + Vtemplate.

  • PPP: Point-to-Point Protocol (consulte RFC 1331).

  • Grupo rotativo: Un grupo de interfaces físicas asignadas para realizar o recibir llamadas. El grupo actúa como un grupo desde el cual cualquier link puede ser usado para realizar o recibir llamadas.

  • SGBP: Protocolo de licitación de grupo de pila

  • Grupo de pila: Un conjunto de dos o más sistemas que se configurarán para funcionar como grupo y para admitir agrupamientos MP con links en diferentes sistemas.

  • VPDN: Virtual Private Dialup Network. El reenvío de enlaces PPP de un proveedor de servicios de Internet (ISP) a una puerta de enlace doméstica.

  • Vtemplate: Interfaz de plantilla virtual.

Nota: Para obtener información sobre los RFCs a los que se hace referencia en este documento, vea RFCs Soportados en Cisco IOS Release 11.2, un boletín de producto; o Obtención de RFC y otros documentos de estándares para un link directamente a InterNIC.

Descripción general de la interfaz de acceso virtual

En Cisco IOS Release 11.2F, Cisco soporta estas funciones de acceso por marcado: VPDN, Multichasis de link múltiple, VP, Traducción de protocolos utilizando Acceso virtual y PPP/ATM. Estas características utilizan interfaces virtuales para transmitir PPP en sus máquinas de destino.

Una interfaz de acceso virtual es una interfaz del IOS de Cisco al igual que las interfaces físicas, por ejemplo, una interfaz serial. Una configuración de interfaz de serie se encuentra en la configuración de la interfaz de serie. 

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Las interfaces físicas poseen configuraciones fijas y estáticas. Sin embargo, las interfaces de acceso virtual se crean en forma dinámica a pedido (los diferentes usos se tratan en la siguiente sección de este documento). También son liberados cuando ya no son necesarios. Por lo tanto, la fuente de la configuración de las interfaces de acceso virtual debe ser anclada por otros medios.

Los distintos métodos por los cuales un acceso virtual obtiene su configuración son a través de la interfaz de plantilla virtual y/o los registros RADIUS y TACAC+ que residen en el servidor de autenticación. El método anterior se denomina Perfiles virtuales por usuario. Debido a que las interfaces de acceso virtual pueden configurarse utilizando una plantilla global virtual, las interfaces de acceso virtual para varios usuarios pueden heredar configuraciones idénticas desde una interfaz de plantilla virtual. Por ejemplo, el administrador de la red puede decidir definir un método común de autenticación PPP (CHAP) para todos los usuarios de acceso virtual del sistema. Para configuraciones específicas por usuario personalizadas, el administrador de red puede definir configuraciones de interfaz - como la autenticación PAP - específicas para el usuario en el perfil virtual. En resumen, el esquema de configuración general-a-específico para las interfaces de acceso virtual le permite al administrador de la red adaptar las configuraciones de interfaz para todos los usuarios y/o individualmente para cada usuario.

figure1-va.gif

La figura 1 anterior ilustra dos de las interfaces de acceso virtual para el usuarioA y el usuarioB. La Operación 1 denota la aplicación de la configuración de interfaz desde una interfaz global de plantilla virtual a las dos interfaces de acceso virtual. La Operación 2 denota la aplicación de las configuraciones de interfaz por usuario de los diferentes perfiles virtuales a las dos interfaces de acceso virtual.

Aplicaciones de las interfaces de acceso virtual

Esta sección describe las diversas maneras en que IOS de Cisco utiliza las interfaces de Acceso virtual.

Observará un tema recurrente de cada aplicación: permite una plantilla virtual general específica de la aplicación (Operación 1). Luego los perfiles virtuales por usuario se aplican por usuario (Operación 2)

PPP de links múltiples

Los PPP de links múltiples utilizan la interfaz de Acceso virtual como interfaz de agrupamiento para volver a ensamblar paquetes recibidos mediante links individuales y para fragmentar paquetes enviados a través de links individuales. La interfaz de agrupamiento obtiene su configuración de la plantilla virtual específica a PPP de links múltiples. Si el administrador de la red habilita los perfiles Virtuales, entonces se aplicará la configuración de la interfaz de Perfiles virtuales por nombre de usuario a la interfaz de agrupamiento de ese usuario.

figure2-va.gif

La figura 2 muestra el uso del PPP de links múltiples de las interfaces seriales. Dado que no hay interfaz de marcación, la interfaz de plantilla virtual es definida por:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

Se le aplica luego a la interfaz de agrupamiento una configuración opcional de Perfil virtual por nombre de usuario. Cuando la interfaz del marcador está involucrada, la interfaz del paquete es una interfaz pasiva - no se requiere ninguna interfaz de plantilla virtual.

Por ejemplo, la Figura 3 a continuación describe un PRI se0:23 configurado para soportar Multilink PPP.

figure3-va.gif

Tenga en cuenta que si el perfil virtual está activado, el esquema revertirá el que se muestra en la figura 2. Es decir, si se recibe una llamada entrante en una interfaz del marcador y se habilita el perfil virtual, el origen de la configuración ya no proviene del marcador. En cambio, la interfaz de agrupamiento (vea la figura 2) es la interfaz “activa” en la que se leerán o escribirán todos los protocolos. El origen de la configuración es primero la interfaz de plantilla virtual y después el perfil virtual para un usuario determinado.

L2F

El reenvío de nivel de link de la capa 2 ó L2F permite que el PPP finalice en un destino remoto. Normalmente, sin L2F, PPP se encuentra entre el cliente marcado en y el NAS que contestó la llamada entrante. Con L2F, PPP se proyecta a un nodo de destino. En lo que concierne al cliente, "cree" que está conectado al nodo de destino vía PPP. El NAS, en efecto, se convierte en una simple aplicación de reenvío de tramas PPP. En la terminología L2F, el nodo de destino se denomina gateway de inicio.

En el Gateway de inicio, la interfaz de Acceso virtual se usa para finalizar el link PPP. Una vez más, se utiliza una plantilla virtual como origen de la configuración. Si el Perfil virtual es definido, la configuración de interfaz por usuario se aplica a la interfaz de Acceso virtual.

En este momento el túnel L2F se ha propagado por UDP/IP.

figure4-va.gif

La tecnología de tunelización L2F se utiliza actualmente en dos características de Cisco IOS 11.2: VPDN (Virtual Private Dialup Network) y Multichassis Multilink PPP (MMP).

VPDN

VPDN permite que las redes privadas se expandan directamente desde el cliente a la gateway de inicio elegida. Por ejemplo, los usuarios móviles (de ventas por ejemplo) de HP desean poder conectarse siempre a la gateway de inicio HP de su elección en cualquier lugar y en cualquier momento. HP contrataría a los Proveedores de servicios de Internet (ISP) que admitan PDN. Estos ISP se configurarán de manera que, si jsmith@hp.com marca alguno de los números provistos por el ISP, el NAS lo reenvía automáticamente al gateway de inicio HP. Por lo tanto, el ISP queda libre de administrar las direcciones IP, el routing y otras funciones de los usuarios de HP vinculadas a la base de usuarios de HP. La administración HP de ISP se reduce a problemas de conectividad IP para el gateway de inicio de HP.

NAS : isp 

  vpdn outgoing hp.com isp ip 1.1.1.2

Gateway de inicio: gateway hp 

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Varios chasis

PPP Multilink proporciona a los usuarios un ancho de banda adicional a demanda, con la capacidad de dividir y recombinar paquetes a través de un conducto lógico (agrupamiento) formado por varios enlaces. Esto reduce la latencia de la transmisión en los links lentos de WAN y también proporciona un método para incrementar la unidad de recepción máxima. El link múltiple se admite en un entorno de un solo servidor de acceso.

Los ISP, por ejemplo, querrían asignar según su conveniencia un único número rotativo para múltiples PRI a través de múltiples servidores de acceso, escalables y flexibles a sus necesidades comerciales.

Con Multichassis Multilink, varios enlaces Multilinks del mismo cliente pueden terminar en diferentes servidores de acceso. Si bien los links MP individuales de un mismo agrupamiento pueden terminar en distintos Servidores de acceso, en lo que respecta al cliente MP, es como si terminara en un solo servidor de acceso. Cuando se comparan los componentes con los de VPDN, la única diferencia es que Multichasis posee un Protocolo de licitación de grupo de pila (SGBP) adicional para facilitar la licitación y el arbitraje de paquetes de link múltiple. Una vez que se determina la dirección IP de destino del ganador del grupo de pila sobre SGBP, Multichassis usa L2F para proyectar desde un NAS a otro NAS cuál de ellos es el ganador del grupo de pila.

Por ejemplo, en un grupo de pila las llamadas apiladas de dos NAS: NASA y NASB.

nasa: 

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb: 

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

Traducción de protocolo

La Traducción de Protocolo permite que el tráfico encapsulado PPP a través de una gateway, como X.25/TCP, termine como una interfaz de acceso virtual (traducción de dos pasos). La interfaz de acceso virtual se admite también en la traducción de un paso.

Ejemplo de traducción de protocolo en dos pasos: 

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1

Ejemplo de conversión de protocolo en un paso: 

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP sobre ATM

Esta función proporciona soporte para la terminación de varias conexiones PPP en una interfaz ATM del router cuando los datos se formatean de acuerdo con la encapsulación de reenvío de tramas (StrataCom) de Cisco. El protocolo PPP es finalizado en el router como si fuera recibido desde una interfaz serie PPP típica. Cada conexión PPP se encapsulará en un VC ATM separado. Los VC que utilizan otro tipo de encapsulamiento también pueden ser configurados en la misma interfaz. 

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Perfiles virtuales

Perfiles virtuales es una aplicación PPP única que define y aplica información de configuración por usuario para aquellos usuarios que marcan a un router. Los Perfiles virtuales permiten que la información de configuración específica del usuario se aplique cualquiera sea el medio utilizado para la llamada entrante. La información de configuración para los perfiles virtuales puede provenir de una plantilla de interfaz virtual, de información de configuración por usuario almacenada en un servidor AAA o de ambas, dependiendo de la configuración del router y del servidor AAA. La aplicación de perfiles virtuales puede estar en un entorno de casilla única, en una gateway de inicio VPDN o en un entorno de chasis múltiple.

Para definir una plantilla virtual como fuente de configuración de un perfil virtual: 

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

Para definir AAA como una fuente de configuración para el perfil virtual:

virtual-profile aaa

En este ejemplo, el administrador del sistema decide filtrar las rutas que están siendo anunciadas a John y aplicar las listas de acceso a las conexiones de marcación de entrada de Rick. Cuando John o Rick marca a través de la interfaz S1 o BRI 0 y autentica, se crea un perfil virtual: los filtros de ruta se aplican a John y las listas de acceso a Rick.

Configuración AAA para los usuarios John y Rick: 

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

En resumen, los cisco-avpairs de AAA contienen comandos de Cisco IOS por interfaz para aplicarlos a un usuario específico.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
22-Oct-2018
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos