Cisco IOS 的虚拟访问 PPP 功能

简介

本文档介绍Cisco IOS®中虚拟访问PPP应用的整体架构。有关特定功能的详细信息，请参阅术语表末尾列出的文档。

开始使用前 

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。

词汇表

以下是本文档中将显示的术语。

• 接入服务器:思科接入服务器平台，包括ISDN和异步接口，用于提供远程访问。

• L2F:第2层转发协议（实验草案RFC）。 这是多机箱MP和虚拟专用网络(VPN)的底层链路级技术。

• 链接:系统提供的连接点。它可以是专用硬件接口（如异步接口）或多通道硬件接口（如PRI或BRI）上的通道。

• 议员:多链路PPP协议（参见RFC 1717）。

• 多机箱MP:MP + SGBP + L2F + Vtemplate。

• PPP:点对点协议（参见RFC 1331）。

• 旋转组:分配给拨出或接收呼叫的一组物理接口。组的作用类似于池，任何链路都可用于拨出或接收呼叫。

• SGBP:堆栈组投标协议

• 堆栈组:两个或多个系统的集合，这些系统将配置为作为一个组运行，并支持MP捆绑包，其中包含不同系统上的链路。

• VPDN:虚拟专用拨号网络。PPP链路从Internet服务提供商(ISP)转发到家庭网关。

• Vtemplate:虚拟模板接口。

注意：有关本文档中引用的RFC的信息，请参阅Cisco IOS版本11.2(产品公告)中支持的RFC;或获取直接到InterNIC的链接的RFC和其他标准文档。

虚拟访问接口概述

在Cisco IOS版本11.2F中，思科支持以下拨号访问功能：VPDN、多机箱多链路、VP、使用虚拟接入的协议转换和PPP/ATM。这些功能使用虚拟接口在目标计算机上传输PPP。

虚拟接入接口是Cisco IOS接口，与物理接口（如串行接口）类似。串行接口配置驻留在串行接口配置中。

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

物理接口具有静态、固定配置。但是，虚拟访问接口是按需动态创建的（本文档的下一节将讨论各种用途）。 当它们不再需要时，它们也会被释放。因此，虚拟访问接口的配置源必须通过其他方式锚定。

虚拟访问通过虚拟模板接口和/或驻留在身份验证服务器上的RADIUS和TACAC+记录获得其配置的各种方法。后一种方法称为每用户虚拟配置文件。由于虚拟访问接口可以使用全局虚拟模板进行配置，因此不同用户的虚拟访问接口可以从一个虚拟模板接口继承相同的配置。例如，网络管理员可以选择为系统的所有虚拟访问用户定义通用PPP身份验证方法(CHAP)。对于特定的每用户定制配置，网络管理员可以定义特定于虚拟配置文件中用户的接口配置，例如PAP身份验证。简而言之，虚拟访问接口可用的通用到特定配置方案允许网络管理员定制所有用户共用的接口配置和/或单独定制给用户的接口配置。

上图1显示了用户A和用户B的两个虚拟访问接口。操作1表示将接口配置从全局虚拟模板接口应用到两个虚拟访问接口。操作2表示将每个用户接口配置从不同的虚拟配置文件应用到两个虚拟访问接口。

虚拟访问接口的应用

本节介绍Cisco IOS使用虚拟访问接口的各种方式。

您将注意到每个应用程序的循环主题 — 它们允许特定于该应用程序的通用虚拟模板（操作1）。 然后，按用户应用每个用户虚拟配置文件（操作2）

多链路 PPP

多链路PPP将虚拟访问接口用作捆绑接口，以重组通过单个链路接收的数据包，并对通过单个链路发送的数据包进行分段。捆绑接口从特定于多链路PPP的虚拟模板获取其配置。如果网络管理员选择启用虚拟配置文件，则每个用户名的虚拟配置文件接口配置随后会应用到该用户的捆绑接口。

图2描述了串行接口使用多链路PPP的过程。由于没有拨号器接口，虚拟模板接口由以下项定义：

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

然后，可选的每用户名虚拟配置文件配置将应用于捆绑接口。当涉及拨号器接口时，捆绑接口是被动接口 — 不需要虚拟模板接口。

例如，下面的图3描述了配置为支持多链路PPP的PRI se0:23。

请注意，如果启用了虚拟配置文件，则方案将恢复图2所示的方案。即，如果拨号器接口上收到传入呼叫，并且启用了虚拟配置文件，则配置源不再来自拨号器。相反，捆绑接口（见图2）是所有协议将读取或写入的“活动”接口。配置的源首先是虚拟模板界面，然后是特定用户的虚拟配置文件。

L2F

链路级第2层转发(L2F)允许在远程目标上终止PPP。通常，如果没有L2F，PPP将介于拨入的客户端和应答来电的NAS之间。使用L2F时，PPP将预计到目的节点。就客户端而言，它“认为”它通过PPP连接到目的节点。实际上，NAS成为简单的PPP帧转发器。在L2F术语中，目标节点称为家庭网关。

在家庭网关上，虚拟接入接口用于终止PPP链路。同样，虚拟模板用作配置源。如果定义了虚拟配置文件，则每个用户接口的配置将应用于虚拟访问接口。

L2F隧道当前通过UDP/IP传播。

L2F隧道技术目前用于两个Cisco IOS 11.2功能：VPDN（虚拟专用拨号网络）和多机箱多链路PPP(MMP)。

VPDN

VPDN允许专用网络从客户端直接扩展到所选的家庭网关。例如，HP的移动用户（例如销售）希望能够随时随地连接到HP Home-Gateway所选择的。HP会为支持PDN的ISP签订合同。配置这些ISP时，如果jsmith@hp.com拨入ISP提供的任何号码，NAS会自动转发到HP家庭网关。因此，ISP不再管理HP用户的IP地址、路由和与HP用户群相关的其他功能。ISP HP管理已简化为HP家庭网关的IP连接问题。

NAS:isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

家庭网关：HP网关

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

多机箱

PPP多链路可按需为用户提供额外的带宽，并能够在由多条链路形成的逻辑管道（捆绑包）上拆分和重新组合数据包。这减少了慢速WAN链路的传输延迟，并提供了一种增加最大接收单元的方法。单个接入服务器环境支持多链路。

例如，ISP希望能够方便地将一个旋转编号分配给跨多个接入服务器的多个PRI，这可以扩展并灵活地满足其业务需求。

使用多机箱多链路时，来自同一客户端的多个多链路链路可能终止于不同的接入服务器。虽然同一捆绑包的单个MP链路实际上可能终止于不同的接入服务器，但就MP客户端而言，它就好像终止于单个接入服务器。当将组件与VPDN的组件进行比较时，多机箱仅因附加的堆叠组投标协议(SGBP)而不同，以方便多链路捆绑包的投标和仲裁。一旦通过SGBP确定堆栈组赢家的目标IP地址，多机箱就使用L2F从NAS投射到另一个NAS，其中一个是堆栈组赢家。

例如，在堆栈组调用两个NAS的stackq上：美国国家航空航天局和纳斯布。

nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

协议转换

协议转换允许网关（例如X.25/TCP）上PPP封装的流量作为虚拟接入接口终止（两步转换）。 通过一步转换也支持虚拟访问接口。

两步协议转换示例：

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

一步协议转换示例：

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

当根据思科(StrataCom)帧转发封装格式化数据时，此功能支持终止路由器ATM接口上的多个PPP连接。PPP协议在路由器上终止，就像从典型的PPP串行接口接收一样。每个PPP连接将封装在单独的ATM VC中。使用其他类型封装的VC也可以配置在同一接口上。

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

虚拟配置文件

虚拟配置文件是唯一的PPP应用，它定义并应用每个用户的配置信息，供拨入路由器的用户使用。虚拟配置文件允许应用用户特定配置信息，而不考虑拨入呼叫所用的介质。虚拟配置文件的配置信息可以来自虚拟接口模板、存储在AAA服务器上的每用户配置信息，也可以来自两者，具体取决于路由器和AAA服务器的配置方式。虚拟配置文件的应用可以在单机箱环境、VPDN家庭网关或多机箱环境中。

要将虚拟模板定义为虚拟配置文件的配置源，请执行以下操作：

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

要将AAA定义为虚拟配置文件的配置源，请执行以下操作：

virtual-profile aaa

在本例中，系统管理员决定过滤通告给John的路由，并将访问列表应用于Rick的拨入连接。当John或Rick通过接口S1或BRI 0拨入并进行身份验证时，会创建虚拟配置文件：路由过滤器应用于John，访问列表应用于Rick。

用户John和Rick的AAA配置：

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

简而言之，AAA cisco-avpairs包含要应用于特定用户的Cisco IOS per-interface命令。