Cisco IOS의 가상 액세스 PPP 기능

소개

이 문서에서는 Cisco IOS®에서 Virtual Access PPP 애플리케이션의 전체 아키텍처에 대해 설명합니다.특정 기능에 대한 자세한 내용은 용어집 끝에 나열된 문서를 참조하십시오.

시작하기 전에

표기 규칙

문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사전 요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.라이브 네트워크에서 작업하는 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 이해해야 합니다.

용어집

다음은 이 문서에 나타나는 용어입니다.

• 액세스 서버:원격 액세스를 제공하는 ISDN 및 비동기 인터페이스를 포함한 Cisco Access Server 플랫폼

• L2F:레이어 2 포워딩 프로토콜(실험적 초안 RFC). 이는 멀티섀시 MP 및 VPN(Virtual Private Network)을 위한 기본 링크 레벨 기술입니다.

• 링크:시스템에서 제공하는 연결 지점입니다.전용 하드웨어 인터페이스(예: 비동기 인터페이스) 또는 다중 채널 하드웨어 인터페이스(예: PRI 또는 BRI)의 채널일 수 있습니다.

• MP:멀티링크 PPP 프로토콜(RFC 1717 참조).

• 멀티섀시 MP:MP + SGBP + L2F + Vtemplate.

• PPP:Point-to-Point 프로토콜(RFC 1331 참조).

• 로터리 그룹:발신 또는 수신 통화를 위해 할당된 물리적 인터페이스 그룹입니다.그룹은 통화를 발신하거나 수신하는 데 어떤 링크를 사용할 수 있는 풀처럼 작동합니다.

• SGBP:스택 그룹 입찰 프로토콜

• 스택 그룹:그룹으로 작동하고 서로 다른 시스템에 있는 링크가 포함된 MP 번들을 지원하도록 구성된 두 개 이상의 시스템 모음입니다.

• VPDN:가상 사설전화 접속 네트워크.인터넷 서비스 공급자(ISP)에서 홈 게이트웨이로 PPP 링크 전달.

• Vtemplate:가상 템플릿 인터페이스.

참고: 이 문서에서 참조하는 RFC에 대한 자세한 내용은 Cisco IOS 릴리스 11.2에서 지원되는 RFC, 제품 게시판,또는 InterNIC에 직접 연결하는 링크를 위한 RFC 및 기타 표준 문서 얻기

가상 액세스 인터페이스 개요

Cisco IOS Release 11.2F에서 Cisco는 다음과 같은 전화 접속 액세스 기능을 지원합니다.VPDN, Multichassis Multilink, VP, Protocol Translation using Virtual-Access 및 PPP/ATM.이러한 기능은 가상 인터페이스를 사용하여 대상 시스템에서 PPP를 전달합니다.

가상 액세스 인터페이스는 직렬 인터페이스와 같은 물리적 인터페이스와 마찬가지로 Cisco IOS 인터페이스입니다.직렬 인터페이스 컨피그레이션은 직렬 인터페이스 컨피그레이션에 상주합니다.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

물리적 인터페이스에는 고정 구성이 있습니다.그러나 Virtual Access 인터페이스는 온디맨드 방식으로 동적으로 생성됩니다(이 문서의 다음 섹션에서 다양한 용도에 대해 설명합니다). 이들은 더 이상 필요하지 않을 때 석방됩니다.따라서 가상 액세스 인터페이스의 구성 소스는 다른 방법으로 고정되어야 합니다.

가상 액세스에서 컨피그레이션을 가져오는 다양한 방법은 가상 템플릿 인터페이스 및/또는 인증 서버에 있는 RADIUS 및 TACAC+ 레코드를 통해 이루어집니다.후자의 방법을 사용자별 가상 프로파일이라고 합니다.가상 액세스 인터페이스는 전역 가상 템플릿을 사용하여 구성할 수 있으므로 여러 사용자를 위한 가상 액세스 인터페이스는 하나의 가상 템플릿 인터페이스에서 동일한 구성을 상속할 수 있습니다.예를 들어, 네트워크 관리자는 시스템의 모든 가상 액세스 사용자에 대해 공통 PPP 인증 방법(CHAP)을 정의하도록 선택할 수 있습니다.특정 사용자별 맞춤형 컨피그레이션의 경우 네트워크 관리자는 가상 프로필의 사용자별 인터페이스 컨피그레이션(예: PAP 인증)을 정의할 수 있습니다.간단히 말해, 네트워크 관리자는 가상 액세스 인터페이스에서 사용할 수 있는 일반-특정 컨피그레이션 체계를 사용하여 모든 사용자에게 공통된 인터페이스 컨피그레이션을 맞춤화하거나 사용자에 맞게 개별적으로 구성할 수 있습니다.

위의 그림 1은 userA와 userB에 대한 두 개의 가상 액세스 인터페이스를 보여줍니다.작업 1은 글로벌 가상 템플릿 인터페이스에서 두 가상 액세스 인터페이스로 인터페이스 컨피그레이션의 애플리케이션을 나타냅니다.작업 2는 서로 다른 가상 프로파일에서 두 가상 액세스 인터페이스로 사용자별 인터페이스 컨피그레이션을 적용함을 나타냅니다.

가상 액세스 인터페이스의 애플리케이션

이 섹션에서는 Cisco IOS에서 가상 액세스 인터페이스를 사용하는 다양한 방법에 대해 설명합니다.

각 애플리케이션의 반복적인 테마를 확인할 수 있습니다. 이 테마는 애플리케이션에 특정한 일반 가상 템플릿을 허용합니다(작업 1). 사용자별 가상 프로파일이 사용자당 적용됩니다(작업 2).

멀티링크 PPP

Multilink PPP는 Virtual Access 인터페이스를 번들 인터페이스로 사용하여 개별 링크를 통해 수신된 패킷을 리어셈블하고 개별 링크를 통해 전송된 패킷을 프래그먼트화합니다.번들 인터페이스는 멀티링크 PPP에 해당하는 가상 템플릿에서 해당 컨피그레이션을 가져옵니다.네트워크 관리자가 Virtual Profiles(가상 프로파일)를 활성화하도록 선택하면 사용자 이름별 Virtual Profile(가상 프로파일) 인터페이스 컨피그레이션이 해당 사용자의 번들 인터페이스에 적용됩니다.

그림 2는 직렬 인터페이스의 Multilink PPP를 사용하는 것을 보여줍니다.다이얼러 인터페이스가 없으므로 가상 템플릿 인터페이스는 다음에 의해 정의됩니다.

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

선택적인 사용자 이름별 가상 프로파일 컨피그레이션이 번들 인터페이스에 적용됩니다.다이얼러 인터페이스가 포함된 경우 번들 인터페이스는 패시브 인터페이스입니다. 가상 템플릿 인터페이스는 필요하지 않습니다.

예를 들어 아래 그림 3은 Multilink PPP를 지원하도록 구성된 PRI se0:23을 보여줍니다.

Virtual Profile(가상 프로파일)이 활성화된 경우 구성표는 그림 2에 표시된 것을 되돌립니다. 즉, 다이얼러 인터페이스에서 수신 통화를 수신하고 Virtual Profile(가상 프로파일)이 활성화된 경우 더 이상 다이얼러에서 컨피그레이션 소스가 표시되지 않습니다.대신 번들 인터페이스(그림 2 참조)는 모든 프로토콜을 읽거나 쓸 "활성" 인터페이스입니다.컨피그레이션의 소스는 먼저 가상 템플릿 인터페이스, 특정 사용자의 가상 프로파일 순으로 구성됩니다.

L2F

L2F(Link-Level Layer 2 Forwarding)를 사용하면 원격 대상에서 PPP를 종료할 수 있습니다.일반적으로 L2F가 없으면 PPP가 전화를 건 클라이언트와 수신 통화에 응답한 NAS 사이에 있습니다.L2F를 사용하면 PPP가 대상 노드에 투영됩니다.클라이언트가 관련 있는 경우, PPP를 통해 대상 노드에 연결되었다고 "생각"합니다.사실상 NAS는 간단한 PPP 프레임 전달자가 됩니다.L2F 용어에서 대상 노드를 홈 게이트웨이라고 합니다.

홈 게이트웨이에서 가상 액세스 인터페이스를 사용하여 PPP 링크를 종료합니다.다시, 가상 템플릿이 구성의 소스로 사용됩니다.Virtual Profile(가상 프로파일)이 정의되면 사용자별 인터페이스 컨피그레이션이 Virtual-Access 인터페이스에 적용됩니다.

L2F 터널은 현재 UDP/IP를 통해 전파됩니다.

L2F 터널링 기술은 현재 두 가지 Cisco IOS 11.2 기능에서 사용됩니다.VPDN(Virtual Private Dialup Network) 및 MMP(Multichassis Multilink PPP)

VPDN

VPDN을 사용하면 프라이빗 네트워크를 클라이언트에서 원하는 홈 게이트웨이로 직접 확장할 수 있습니다.예를 들어, HP의 모바일 사용자(예: 영업)는 언제 어디서나 HP 홈 게이트웨이에 항상 연결할 수 있기를 원합니다.HP는 PDN을 지원하는 ISP에 계약합니다.이러한 ISP는 ISP에서 제공한 번호 중 jsmith@hp.com으로 전화를 걸면 NAS가 HP 홈 게이트웨이로 자동으로 전달되도록 구성됩니다.따라서 ISP는 HP 사용자의 IP 주소, 라우팅 및 HP 사용자 기반과 연결된 기타 기능을 관리할 수 없습니다.ISP HP 관리는 HP 홈 게이트웨이의 IP 연결 문제로 줄어듭니다.

NAS:isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

홈 게이트웨이:hp 게이트웨이

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

멀티섀시

PPP Multilink는 사용자에게 필요에 따라 추가 대역폭을 제공하며, 여러 링크로 구성된 논리적 파이프(번들)에서 패킷을 분할하고 재결합하는 기능을 제공합니다.이렇게 하면 느린 WAN 링크 전체의 전송 레이턴시가 감소하며 최대 수신 유닛을 늘리는 방법도 제공됩니다.단일 Access Server 환경에서 멀티링크가 지원됩니다.

예를 들어, ISP는 여러 액세스 서버에 걸쳐 여러 PRI에 단일 로터리 번호를 편리하게 할당하여 비즈니스 요구 사항에 맞게 확장 가능하고 유연합니다.

멀티섀시 멀티링크를 사용하면 동일한 클라이언트의 여러 멀티링크 링크가 서로 다른 액세스 서버에서 종료될 수 있습니다.동일한 번들의 개별 MP 링크는 서로 다른 Access Server에서 실제로 종료될 수 있지만, MP 클라이언트가 관련 있는 한 단일 Access 서버에서 종료되는 것처럼 보입니다.구성 요소를 VPDN과 비교할 때, Multilink 번들의 입찰 및 중재 작업을 용이하게 하기 위해 SGBP(StackGroup Beding Protocol)가 추가되어 Mutichassis가 달라집니다.Stack Group 승자의 대상 IP 주소가 SGBP를 통해 결정되면 Multichassis는 L2F를 사용하여 NAS에서 Stack Group의 우승자인 다른 NAS로 프로젝트를 진행합니다.

예를 들어 스택 그룹에서 stackq를 호출하면 두 개의 NAS가 호출됩니다.nasa와 nasb.

나사:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

프로토콜 변환

Protocol Translation을 사용하면 게이트웨이(예: X.25/TCP)에서 PPP 캡슐화된 트래픽을 가상 액세스 인터페이스(2단계 변환)로 종료할 수 있습니다. Virtual Access 인터페이스는 1단계 변환에서도 지원됩니다.

2단계 프로토콜 변환 예:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

1단계 프로토콜 변환 예:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

이 기능은 Cisco(StrataCom) Frame Forwarding 캡슐화에 따라 데이터가 포맷될 때 라우터 ATM 인터페이스에서 여러 PPP 연결을 종료할 수 있도록 지원합니다.PPP 프로토콜은 일반적인 PPP 직렬 인터페이스에서 수신한 것처럼 라우터에서 종료됩니다.각 PPP 연결은 별도의 ATM VC에 캡슐화됩니다.다른 유형의 캡슐화를 사용하는 VC도 동일한 인터페이스에서 구성할 수 있습니다.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

가상 프로필

Virtual Profiles(가상 프로파일)는 라우터에 전화를 거는 사용자에게 사용자별 컨피그레이션 정보를 정의하고 적용하는 고유한 PPP 애플리케이션입니다.가상 프로필을 사용하면 전화 접속 통화에 사용된 미디어에 관계없이 사용자별 구성 정보를 적용할 수 있습니다.가상 프로파일에 대한 컨피그레이션 정보는 라우터와 AAA 서버가 구성된 방식에 따라 가상 인터페이스 템플릿, AAA 서버에 저장된 사용자별 컨피그레이션 정보 또는 둘 다에서 가져올 수 있습니다.가상 프로필의 애플리케이션은 단일 박스 환경, VPDN 홈 게이트웨이 또는 멀티섀시 환경에서 사용할 수 있습니다.

가상 템플릿을 가상 프로파일에 대한 구성 소스로 정의하려면

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

AAA를 가상 프로파일의 컨피그레이션 소스로 정의하려면

virtual-profile aaa

이 예에서는 시스템 관리자가 John에게 광고되는 경로를 필터링하고 Rick의 전화 접속 연결에 액세스 목록을 적용하기로 결정합니다.John 또는 Rick이 인터페이스 S1 또는 BRI 0을 통해 다이얼하고 인증하면 가상 프로파일이 생성됩니다.경로 필터가 John에 적용되고 액세스 목록이 Rick에 적용됩니다.

John 및 Rick 사용자를 위한 AAA 컨피그레이션:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

간단히 말해, AAA cisco-avpairs에는 특정 사용자에게 적용할 Cisco IOS 인터페이스별 명령이 포함되어 있습니다.