配置沒有域或DNIS資訊的每使用者VPDN

簡介

本檔案為沒有網域或DNIS資訊的每使用者VPDN提供範例組態。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco IOS®軟體版本12.1(4)或更高版本。

• Cisco IOS軟體版本12.1(4)T或更高版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

在虛擬專用撥號網路(VPDN)場景中，網路接入伺服器(NAS)（L2TP接入集中器，或LAC）基於使用者特定的資訊建立到家庭網關(LNS)的VPDN隧道。此VPDN通道可以是第2層轉送(L2F)或第2層通道通訊協定(L2TP)。 要確定使用者是否應使用VPDN通道，請檢查：

• 域名是否包含在使用者名稱中。例如，使用使用者名稱tunnelme@cisco.com,NAS將此使用者轉發到cisco.com的隧道。

• 撥出號碼資訊服務(DNIS)。 這是基於被叫號碼的呼叫轉接。這意味著NAS可以將具有特定被叫號碼的所有呼叫轉發到相應的隧道。例如，如果傳入呼叫的被叫號碼為5551111，則可以將呼叫轉送到VPDN隧道，而不轉送到5552222的呼叫。此功能要求電信網路提供被叫號碼資訊。

有關VPDN配置的詳細資訊，請參閱瞭解VPDN。

在某些情況下，可能需要基於每個使用者名稱啟動VPDN隧道，無論是否需要域名。例如，使用者ciscouser可以隧道連線到cisco.com，而其他使用者可以在NAS上本地終止。

注意：此使用者名稱不包括域資訊，如上一個示例所示。

路由器第一次聯絡AAA伺服器時，VPDN每使用者組態功能會將整個結構化使用者名稱傳送到驗證、授權及計量(AAA)伺服器。這使得Cisco IOS軟體可以為使用通用網域名稱或DNIS的個別使用者自訂通道屬性。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：要查詢有關本文檔中使用的命令的其他資訊，請使用命令查詢工具(僅限註冊客戶)。

網路圖表

本檔案會使用以下網路設定：

組態

在NAS(LAC)上支援每使用者VPDN所需的唯一VPDN命令是全域性配置命令vpdn enable和vpdn auth-before-forward。vpdn authen-before-forward 命令會指示NAS(LAC)在做出轉發決策之前驗證完整的使用者名稱。然後，根據AAA伺服器為此個人使用者返回的資訊建立VPDN隧道；如果未從AAA伺服器返回VPDN資訊，則從本地終止使用者。本節中的組態顯示了在使用者名稱中沒有網域資訊的情況下支援通道所需的命令。

注意：此配置並不全面。僅包括相關的VPDN、介面和AAA命令。

注意：討論每種可能的隧道協定和AAA協定超出了本文檔的範圍。因此，此組態會使用AAA RADIUS伺服器實作L2TP通道。調整此處討論的原則和配置以配置其他隧道型別或AAA協定。

本檔案會使用以下設定：

• VPDN NAS(LAC)

aaa new-model
aaa authentication ppp default group radius

!--- Use RADIUS authentication for PPP authentication.

aaa authorization network default group radius

!--- Obtain authorization information from the Radius server. !--- This command is required for the AAA server to provide VPDN attributes.

!
vpdn enable

!--- VPDN is enabled.

vpdn authen-before-forward

!--- Authenticate the complete username before making a forwarding decision. !--- The LAC sends the username to the AAA server for VPDN attributes.

!
controller E1 0
pri-group timeslots 1-31
!
interface Serial0:15
dialer rotary-group 1

!--- D-channel for E1 0 is a member of the dialer rotary group 1.

!
interface Dialer1

!--- Logical interface for dialer rotary group 1.

ip unnumbered Ethernet0
encapsulation ppp
dialer in-band
dialer-group 1
ppp authentication chap pap callin
!
radius-server host 172.22.53.201

!--- The IP address of the RADIUS server host. !--- This AAA server will supply the NAS(LAC) with the VPDN attributes for the user.

radius-server key cisco

!--- The RADIUS server key.

RADIUS伺服器組態

以下是Cisco Secure for Unix(CSU)RADIUS伺服器上的某些使用者配置：

1. 要在NAS上本地終止的使用者：

      user1 Password = "cisco"
      Service-Type = Framed-User

2. 應為其建立VPDN會話的使用者：

   user2           Password = "cisco"
   Service-Type = Framed-User,
   Cisco-AVPair = "vpdn:ip-addresses=172.22.53.141",
   Cisco-AVPair = "vpdn:l2tp-tunnel-password=cisco",
   Cisco-AVPair = "vpdn:tunnel-type=l2tp"

NAS(LAC)使用由Cisco-AVPair VPDN指定的屬性來啟動到家庭網關的VPDN隧道。確保將家庭網關配置為接受來自NAS的VPDN隧道。

驗證

本節提供的資訊可用於確認您的組態是否正常運作。

輸出直譯器工具(僅供註冊客戶使用)支援某些show命令，此工具可讓您檢視show命令輸出的分析。

• show caller user — 顯示特定使用者的引數，如使用的TTY線路、非同步介面（機架、插槽或埠）、DS0通道號、數據機號、分配的IP地址、PPP和PPP捆綁引數等。如果您的Cisco IOS軟體版本不支援此命令，請使用show user命令。

• show vpdn — 顯示有關活動L2F和L2TP協定隧道以及VPDN中消息識別符號的資訊。

show命令輸出示例

呼叫連線時，使用show caller user username 命令以及show vpdn命令驗證呼叫是否成功。輸出示例如下所示：

maui-nas-02#show caller user vpdn_authen

  User: vpdn_authen, line tty 12, service Async
        Active time 00:09:01, Idle time 00:00:05
  Timeouts:            Absolute  Idle      Idle
                                 Session   Exec
      Limits:          -         -         00:10:00
      Disconnect in:   -         -         -
  TTY: Line 12, running PPP on As12
  DS0: (slot/unit/channel)=0/0/5
  Line: Baud rate (TX/RX) is 115200/115200, no parity, 1 stopbits, 8 databits
  Status: Ready, Active, No Exit Banner, Async Interface Active
          HW PPP Support Active
  Capabilities: Hardware Flowcontrol In, Hardware Flowcontrol Out
                Modem Callout, Modem RI is CD,
                Line is permanent async interface, Integrated Modem
  Modem State: Ready

  User: vpdn_authen, line As12, service PPP
        Active time 00:08:58, Idle time 00:00:05
  Timeouts:            Absolute  Idle
      Limits:          -         -
      Disconnect in:   -         -
  PPP: LCP Open, CHAP (<- AAA)
  IP: Local 172.22.53.140
  VPDN: NAS , MID 4, MID Unknown
        HGW , NAS CLID 0, HGW CLID 0, tunnel open
  
!--- The VPDN tunnel is open.

  Counts: 85 packets input, 2642 bytes, 0 no buffer
          0 input errors, 0 CRC, 0 frame, 0 overrun
          71 packets output, 1577 bytes, 0 underruns
          0 output errors, 0 collisions, 0 interface resets

maui-nas-02#show vpdn

L2TP Tunnel and Session Information Total tunnels 1 sessions 1

LocID RemID Remote Name   State  Remote Address  Port  Sessions
6318  3     HGW           est    172.22.53.141   1701  1

LocID RemID TunID Intf       Username      State  Last Chg Fastswitch
4     3     6318  As12       vpdn_authen   est    00:09:33 enabled

!--- The tunnel for user vpdn_authen is in established state.

%No active L2F tunnels
%No active PPTP tunnels
%No active PPPoE tunnel

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

疑難排解指令

注意：發出debug命令之前，請參閱有關Debug命令的重要資訊。

• debug ppp authentication — 顯示PPP身份驗證協定消息，包括質詢握手身份驗證協定(CHAP)資料包交換和口令身份驗證協定(PAP)交換。

• debug aaa authentication — 顯示有關AAA/RADIUS身份驗證的資訊。

• debug aaa authorization — 顯示有關AAA/RADIUS授權的資訊。

• debug radius — 顯示與RADIUS關聯的詳細調試資訊。使用輸出直譯器工具(僅供註冊客戶使用)對調試radius消息進行解碼。例如，請參閱debug輸出範例一節。使用debug radius中的資訊來確定要交涉的屬性。

• debug tacacs — 顯示與TACACS+關聯的詳細調試資訊。

• debug vpdn event — 顯示L2x錯誤和作為VPDN正常隧道建立或關閉的一部分的事件。

• debug vpdn error — 顯示VPDN協定錯誤。

• debug vpdn l2x-event — 顯示詳細的L2x錯誤和屬於VPDN正常隧道建立或關閉一部分的事件。

• debug vpdn l2x-error — 顯示VPDN L2x協定錯誤。

調試輸出示例

以下是成功呼叫的debug輸出。在以下範例中，請注意NAS從Radius伺服器取得VPDN通道的屬性。

maui-nas-02#show debug
General OS:
  AAA Authentication debugging is on
  AAA Authorization debugging is on
PPP:
  PPP authentication debugging is on
VPN:
  L2X protocol events debugging is on
  L2X protocol errors debugging is on
  VPDN events debugging is on
  VPDN errors debugging is onRadius protocol debugging is on
maui-nas-02#
*Jan 21 19:07:26.752: %ISDN-6-CONNECT: Interface Serial0:5 is now connected 
to N/A N/A

!--- Incoming call.

*Jan 21 19:07:55.352: %LINK-3-UPDOWN: Interface Async12, changed state to up
*Jan 21 19:07:55.352: As12 PPP: Treating connection as a dedicated line
*Jan 21 19:07:55.352: As12 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Jan 21 19:07:55.604: As12 CHAP: O CHALLENGE id 1 len 32 from "maui-nas-02"
*Jan 21 19:07:55.732: As12 CHAP: I RESPONSE id 1 len 32 from "vpdn_authen"

!--- Incoming CHAP response from user vpdn_authen.

*Jan 21 19:07:55.732: AAA: parse name=Async12 idb type=10 tty=12
*Jan 21 19:07:55.732: AAA: name=Async12 flags=0x11 type=4 shelf=0 slot=0 
adapter=0 port=12 channel=0
*Jan 21 19:07:55.732: AAA: parse name=Serial0:5 idb type=12 tty=-1
*Jan 21 19:07:55.732: AAA: name=Serial0:5 flags=0x51 type=1 shelf=0 slot=0 
adapter=0 port=0 channel=5
*Jan 21 19:07:55.732: AAA/ACCT/DS0: channel=5, ds1=0, t3=0, slot=0, ds0=5
*Jan 21 19:07:55.732: AAA/MEMORY: create_user (0x628C79EC) user='vpdn_authen' 
ruser='' port='Async12' rem_addr='async/81560' authen_type=CHAP service=PPP priv=1
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): port='Async12' list='' 
action=LOGIN service=PPP
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): using "default" list
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): Method=radius (radius)
*Jan 21 19:07:55.736: RADIUS: ustruct sharecount=1
*Jan 21 19:07:55.736: RADIUS: Initial Transmit Async12 id 
6 172.22.53.201:1645, Access-Request, len 89
*Jan 21 19:07:55.736:         Attribute 4 6 AC16358C
*Jan 21 19:07:55.736:         Attribute 5 6 0000000C
*Jan 21 19:07:55.736:         Attribute 61 6 00000000
*Jan 21 19:07:55.736:         Attribute 1 13 7670646E
*Jan 21 19:07:55.736:         Attribute 30 7 38313536
*Jan 21 19:07:55.736:         Attribute 3 19 014CF9D6
*Jan 21 19:07:55.736:         Attribute 6 6 00000002
*Jan 21 19:07:55.736:         Attribute 7 6 00000001
*Jan 21 19:07:55.740: RADIUS: Received from id 6 172.22.53.201:1645, 
Access-Accept, len 136
*Jan 21 19:07:55.740:         Attribute 6 6 00000002
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 30 0000000901187670

VPDN通道所需的屬性值對(AVP)會從RADIUS伺服器下推。但是，debug radius會產生一個指示了AVP及其值的編碼輸出。可以將以上粗體顯示的輸出貼上到輸出直譯器工具中(僅限註冊客戶)。 以下粗體輸出是從工具獲得的解碼輸出：

Access-Request 172.22.53.201:1645 id 6
Attribute Type 4:  NAS-IP-Address is 172.22.53.140
Attribute Type 5:  NAS-Port is 12
Attribute Type 61: NAS-Port-Type is Asynchronous
Attribute Type 1:  User-Name is vpdn
Attribute Type 30: Called-Station-ID(DNIS) is 8156
Attribute Type 3:  CHAP-Password is (encoded)
Attribute Type 6:  Service-Type is Framed
Attribute Type 7:  Framed-Protocol is PPP
        Access-Accept 172.22.53.201:1645 id 6
Attribute Type 6:  Service-Type is Framed
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
*Jan 21 19:07:55.740: AAA/AUTHEN (4048817807): status = PASS
...
...
...
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:ip-addresses=172.22.53.141"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:l2tp-tunnel-password=cisco"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:tunnel-type=l2tp"
*Jan 21 19:07:55.744: AAA/AUTHOR (733932081): Post authorization status = PASS_REPL
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV service=ppp
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV ip-addresses=172.22.53.141
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV l2tp-tunnel-password=cisco
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV tunnel-type=l2tp

!--- Tunnel information. !--- The VPDN Tunnel will now be established and the call will be authenticated. !--- Since the debug information is similar to that for a normal VPDN call, !--- the VPDN tunnel establishment debug output is omitted.

相關資訊

• 瞭解VPDN
• 配置虛擬專用撥號網路
• 如何使用RADIUS設定第2層通道通訊協定驗證
• 如何使用TACACS+設定第2層通道通訊協定驗證
• 存取技術支援頁面
• 技術支援 - Cisco Systems