Virtual Access PPP-functies in Cisco IOS

Inleiding

Dit document beschrijft de algemene architectuur van Virtual Access PPP-toepassingen in Cisco IOS®. Zie voor meer informatie over een bepaalde functie de documenten die aan het einde van de lijst staan.

Voordat u begint

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Voorwaarden

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.

Lijst

De volgende bepalingen worden in dit document weergegeven.

• Toegangsserver: Cisco Access Server-platforms, inclusief ISDN en asynchrone interfaces om externe toegang te bieden.

• L2F: Layer 2 Forwarding Protocol (Experimental Design RFC). Dit is de onderliggende link-level technologie voor zowel Multichassis MP als Virtual Private Networks (VPN).

• Link: Een aansluitpunt dat door een systeem is voorzien. Het kan een specifieke hardwareinterface (zoals een asynchrone interface) of een kanaal op een multikanaals hardwareinterface (zoals een PRI of BRI) zijn.

• MP: Multilink PPP Protocol (zie RFC 1717).

• Multichassis MP: MP + SGBP + L2F + Vsjabloon

• PPP: Point-to-Point Protocol (zie RFC 1331).

• Rotatiegroep: Een groep fysieke interfaces die voor het draaien of ontvangen van oproepen worden toegewezen. De groep werkt als een pool waaruit een link kan worden gebruikt om oproepen uit te bellen of te ontvangen.

• SGBP: Protocol voor stackgroepbundeling

• Stapelgroep: Een verzameling van twee of meer systemen die zodanig zijn geconfigureerd dat ze als een groep werken en MP-bundels ondersteunen met koppelingen op verschillende systemen.

• VPDN: Virtual Private Dialup-netwerk. Het doorsturen van PPP-verbindingen van een Internet Service Provider (ISP) naar een startgateway.

• Vsjabloon: Virtuele sjablooninterface.

Opmerking: Voor informatie over RFC’s waarnaar in dit document wordt verwezen, zie RFC’s die worden ondersteund in Cisco IOS release 11.2, een productbulletin; of het verkrijgen van RFC's en andere normdocumenten voor een link rechtstreeks naar InterNIC.

Overzicht van de virtuele access interface

In Cisco IOS release 11.2F ondersteunt Cisco deze inbeltoegangsfuncties: VPDN, multichassis multilink, VPN, protocolomzetting met virtuele toegang en PPP/ATM. Deze functies gebruiken virtuele interfaces om PPP op hun doelmachines te dragen.

Een virtuele toegangsinterface is een Cisco IOS-interface, net zoals fysieke interfaces zoals een seriële interface. Een seriële interfaceconconfiguratie bevindt zich in de seriële interfaceconconfiguratie.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Fysieke interfaces hebben statische, vaste configuraties. Virtuele toegangsinterfaces worden echter dynamisch op aanvraag gemaakt (de verschillende toepassingen worden in de volgende sectie van dit document besproken). Ze worden ook vrijgelaten als ze niet langer nodig zijn. Daarom moet de bron van de configuratie van de interfaces voor virtuele toegang op andere manieren worden verankerd.

De verschillende methoden waarmee een Virtual Access zijn configuratie wint zijn via de Virtual Sjablooninterface en/of RADIUS- en TACAC+-records die op een verificatieserver aanwezig zijn. Deze laatste methode wordt Virtual Profiles per gebruiker genoemd. Omdat de interfaces voor virtuele toegang kunnen worden geconfigureerd met behulp van een wereldwijd virtueel sjabloon, kunnen virtuele toegangsinterfaces voor verschillende gebruikers identieke configuraties erven vanuit één virtuele sjablooninterface. De netwerkbeheerder kan bijvoorbeeld ervoor kiezen een gemeenschappelijke PPP-verificatiemethode (CHAP) te definiëren voor alle Virtual Access-gebruikers van het systeem. Voor specifieke op maat gesneden configuraties per gebruiker kan de netwerkbeheerder interfaceconconfiguraties definiëren - zoals PAP-verificatie - die specifiek zijn voor de gebruiker in het virtuele profiel. Kort samengevat stelt het algemene-naar-specifieke configuratieschema dat beschikbaar is voor de virtuele access interfaces de netwerkbeheerder in staat om interfaceconfiguraties die gemeenschappelijk zijn voor alle gebruikers en/of afzonderlijk op de gebruiker toegesneden zijn, aan te passen.

Afbeelding 1 hierboven illustreert twee van de virtuele toegangsinterfaces voor gebruikerA en gebruikerB. Handeling 1 verwijst naar de toepassing van de interfaceconfiguratie vanuit een mondiale virtuele sjablooninterface naar de twee interfaces voor virtuele toegang. Handeling 2 verwijst naar de toepassing van interfaceconconfiguraties per gebruiker vanuit verschillende virtuele profielen naar de twee interfaces voor virtuele toegang.

Toepassingen van de virtuele toegangsinterfaces

In deze sectie worden de verschillende manieren beschreven waarop Cisco IOS virtuele access interfaces gebruikt.

U merkt een terugkerend thema van elke toepassing - ze staan een algemeen virtueel sjabloon toe dat specifiek is voor de toepassing (Bediening 1). Virtuele profielen per gebruiker worden dan toegepast per gebruiker (bediening 2)

Multilink PPP

Multilink PPP gebruikt de interface Virtual Access als een bundelinterface om pakketten die over afzonderlijke koppelingen worden ontvangen opnieuw te monteren en om pakketten te fragmenteren die over afzonderlijke koppelingen worden verzonden. De gebundelde interface krijgt zijn configuratie van Virtuele Sjabloon specifiek voor Multilink PPP. Als de netwerkbeheerder ervoor kiest om Virtuele profielen in te schakelen, wordt de configuratie van de interface van het Per-gebruikersnaam Virtuele profiel op de bundelinterface voor die gebruiker toegepast.

Afbeelding 2 toont het gebruik van Multilink PPP van seriële interfaces. Omdat er geen interface met snelkiezer is, wordt een interface met virtuele sjablonen gedefinieerd door:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

Optioneel: per-gebruikersnaam virtuele profielconfiguratie wordt vervolgens op de bundelinterface toegepast. Wanneer de dialerinterface betrokken is, is de gebundelde interface een passieve interface - er is geen virtuele sjablooninterface vereist.

Afbeelding 3 hieronder toont bijvoorbeeld een PRI se0:23 die is geconfigureerd voor ondersteuning van Multilink PPP.

Merk op dat als Virtual Profile is ingeschakeld, het schema terugkeert naar dat in Afbeelding 2. Dat wil zeggen, als een inkomende oproep op een dialerinterface wordt ontvangen en het Virtual Profile wordt geactiveerd, is de bron van de configuratie niet langer in het dialer. In plaats daarvan is de bundelinterface (zie afbeelding 2) de "actieve" interface waaraan alle protocollen zullen worden gelezen of geschreven. De bron van de configuratie is eerst de interface voor virtuele sjabloon en vervolgens het virtuele profiel voor een bepaalde gebruiker.

L2F

Link-Level Layer 2 Forwarding of L2F maakt het mogelijk dat PPP op een externe bestemming wordt afgesloten. Normaal gesproken is PPP zonder L2F tussen de client die is ingeselecteerd en de NAS die de inkomende oproep heeft beantwoord. Met L2F wordt PPP aan een doelknooppunt geprojecteerd. Wat de client betreft, denkt u dat deze verbonden is met het doelknooppunt via PPP. De NAS wordt in feite een eenvoudige PPP frame-vooruit. In L2F terminologie wordt het bestemmingsknooppunt een startgateway genoemd.

Bij de Home-Gateway wordt de Virtual Access-interface gebruikt om de PPP-link te beëindigen. Opnieuw wordt een virtuele sjabloon gebruikt als bron van de configuratie. Als Virtual Profile wordt gedefinieerd, wordt de configuratie van de gebruikersinterface toegepast op de Virtual-Access-interface.

De L2F-tunnel wordt momenteel verspreid via UDP/IP.

L2F-tunneling-technologie wordt momenteel gebruikt in twee Cisco IOS 11.2-functies: VPDN (Virtual Private Dialup Network) en Multichassis Multilink PPP (MMP).

VPDN

VPDN stelt de privénetwerken in om van de client rechtstreeks naar de startgateway te overspannen. Bijvoorbeeld, mobiele gebruikers (verkoop, bijvoorbeeld) van HP willen altijd overal en altijd kunnen verbinden met de HP Home-Gateway of choice. HP zou contracten sluiten voor ISP's die PDN ondersteunen. Deze ISP's zouden zodanig zijn geconfigureerd dat, als jsmith@hp.com in een van de door ISP opgegeven getallen draait, de NAS automatisch naar de HP Home-Gateway wordt doorgestuurd. De ISP is dus bevrijd van het beheer van de IP-adressen van de HP-gebruikers, routing en andere functies die aan de HP-gebruikersbasis zijn gekoppeld. Het beheer van ISP HP is beperkt tot IP-connectiviteit voor de HP Home-Gateway.

NAS: isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

Thuisgateway: hep-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichassis

PPP Multilink biedt gebruikers van extra bandbreedte op vraag, met de mogelijkheid om pakketten over een logische buis (bundel) te splitsen en te recombineren die door meerdere koppelingen wordt gevormd. Dit vermindert transmissietijd voor de langzame WAN-koppelingen en biedt ook een methode om de maximale ontvangsteenheid te verhogen. Multilink wordt ondersteund op één toegangsserver-omgeving.

ISP's zouden bijvoorbeeld gemakshalve één telefoonnummer aan meerdere PRI's over meerdere toegangsservers willen toewijzen, schaalbaar en flexibel aan hun bedrijfsbehoeften.

Met Multichassis Multilink kunnen meerdere multilink-links van dezelfde client eindigen bij verschillende toegangsservers. Hoewel afzonderlijke MP-koppelingen van dezelfde bundel in verschillende toegangsservers kunnen eindigen, is het, wat de MP-client betreft, alsof deze op één toegangsserver eindigen. Wanneer componenten worden vergeleken met die van VPDN, verschilt Multichassis alleen door een extra StackGroup Bidding Protocol (SGBP) om het bieden van opdrachten en het arbitrage van multilink-bundels te vergemakkelijken. Zodra het bestemming-IP-adres van de winnaar van de Stack Group via SGBP is vastgesteld, gebruikt Multichassis L2F om van de NAS naar de andere NAS te projecteren, welke de winnaar van de Stack Group is.

Bijvoorbeeld op een Stack Group roept stackq van twee NASes: nasa en nasb .

nasa :

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb :

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Protocolomzetting

Protocolomzetting stelt PPP ingekapseld verkeer over een gateway - zoals X.25/TCP - in staat om als virtuele access interface (tweestappenvertaling) te beëindigen. De interface voor virtuele toegang wordt ook ondersteund in één stap-vertaling.

Voorbeeld van omzetting in twee stappen van het protocol:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Een voorbeeld van protocolomzetting:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP via ATM

Deze optie biedt ondersteuning voor de beëindiging van meerdere PPP-verbindingen op een router-ATM-interface wanneer de gegevens zijn geformatteerd volgens de insluiting van Cisco (StrataCom) Frame Forwarding. Het PPP protocol wordt op de router beëindigd alsof het van een typische PPP seriële interface werd ontvangen. Elke PPP-verbinding wordt ingekapseld in een afzonderlijke ATM VC. VC’s die andere insluitingstypen gebruiken, kunnen ook op dezelfde interface worden geconfigureerd.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Virtuele profielen

Virtuele profielen zijn een unieke PPP-toepassing die de configuratieinformatie per gebruiker definieert en toepast voor gebruikers die naar een router inbellen. Virtuele profielen maken het mogelijk om gebruikersspecifieke configuratieinformatie toe te passen ongeacht de media die voor de inbelverbinding worden gebruikt. De configuratie-informatie voor virtuele profielen kan afkomstig zijn van een virtuele interfacsjabloon, configuratieinformatie per gebruiker die op een AAA-server is opgeslagen, of beide, afhankelijk van de manier waarop de router en AAA-server zijn geconfigureerd. De toepassing van Virtuele profielen kan in een enkel-boxomgeving, in een VPDN startgateway of in een Multichassis omgeving zijn.

U kunt als volgt een virtuele sjabloon definiëren als een bron voor de configuratie van virtueel profiel:

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

U kunt AAA als een bron voor configuratie voor virtueel profiel als volgt definiëren:

virtual-profile aaa

In dit voorbeeld besluit de systeembeheerder om routes te filteren die aan John worden geadverteerd en toegangslijsten toe te passen op Rick's inbelverbindingen. Wanneer John of Rick via interface S1 of BRI 0 inbellen en authentiek verklaren, wordt er een virtueel profiel gemaakt: Routers worden op John toegepast en toegangslijsten worden op Rick toegepast.

AAA-configuratie voor gebruikers John en Rick:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

In een notendop bevatten de AAA cisco-avparen Cisco IOS per-interface opdrachten die voor een bepaalde gebruiker moeten worden toegepast.