Discar e acessar : Virtual Private Dialup Network (VPDN)

Configurando por usuário VPDN sem domínio ou informação de DNIS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para o usuário per. VPDN sem o domínio ou a informação de DNIS.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software Release 12.1(4) ou Mais Recente de Cisco IOS�.

  • Cisco IOS Software Release 12.1(4)T ou Mais Recente.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

Em encenações do Virtual Private Dial-up Network (VPDN), no servidor do acesso de rede (NAS) (um L2TP Access Concentrator, ou no LAC) estabelece o túnel VPDN ao Home Gateway (LNS) baseado na informação específica de usuário. Este túnel VPDN pode ser o Level 2 Forwarding (L2F) ou o protocolo Layer 2 Tunneling Protocol (L2TP). Para determinar se um usuário deve usar um túnel VPDN, verificação:

  • Se o Domain Name é incluído como parte do username. Por exemplo, com o username tunnelme@cisco.com, o NAS para a frente este usuário ao túnel para cisco.com.

  • O Dialed Number Information Service (DNIS). Este é encaminhamento de chamada baseado no número chamado. Isto significa que o NAS pode enviar todos os atendimentos com um número chamado particular ao túnel apropriado. Por exemplo, se uma chamada recebida tem o número chamado 5551111, o atendimento pode ser enviado ao túnel VPDN, quando um atendimento a 5552222 não for enviado. Esta característica exige que a rede telco entrega a informação do número chamado.

Para obter mais informações sobre da configuração de VPDN, veja compreendendo o VPDN.

Em algumas situações, você pode exigir um túnel VPDN ser intiated em uma base por-username, com ou sem a necessidade para um Domain Name de todo. Por exemplo o ciscouser do usuário pode ser escavado um túnel ao cisco.com, quando outros usuários puderem ser terminados localmente no NAS.

Nota: Este username não inclui a informação de domínio como no exemplo anterior.

A característica de Configuração para usuários VPDN envia o username estruturado inteiro ao server do Authentication, Authorization, and Accounting (AAA) a primeira vez que o roteador contacta o servidor AAA. Isto permite o Cisco IOS Software de personalizar atributos de túnel para os usuários individuais que usam um Domain Name ou um DNIS comum.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/10388/vpdn-username_1.gif

Configurações

Os únicos comandos vpdn necessários no NAS (LAC) apoiar por usuário VPDN são os comandos global configuration que o vpdn permite e vpdn authen-antes-dianteiro. O comando vpdn authen-before-forward instrui o NAS (LAC) para autenticar o username completo antes que faça uma decisão de encaminhamento. Um túnel VPDN é estabelecido então, com base na informação retornada pelo servidor AAA para este usuário individual; se nenhuma informações de VPDN é retornada do servidor AAA, o usuário está terminado localmente. A configuração nesta seção mostra os comandos required apoiar túneis sem a informação de domínio no username.

Nota: Essa configuração não é abrangente. Somente o VPDN, a relação e os comandos aaa relevantes são incluídos.

Nota: É além do alcance deste documento para discutir cada protocolo de túnel e protocolo de AAA possíveis. Daqui, esta configuração executa um túnel L2TP com server dos RADIUS AAA. Adapte os princípios e a configuração discutidos aqui para configurar outros tipos de túnel ou protocolos de AAA.

Este documento utiliza esta configuração:

  • VPDN NAS (LAC)

VPDN NAS (LAC)
aaa new-model
aaa authentication ppp default group radius

!--- Use RADIUS authentication for PPP authentication.

aaa authorization network default group radius

!--- Obtain authorization information from the Radius server.
!--- This command is required for the AAA server to provide VPDN attributes.

!
vpdn enable

!--- VPDN is enabled.

vpdn authen-before-forward

!--- Authenticate the complete username before making a forwarding decision.
!--- The LAC sends the username to the AAA server for VPDN attributes.

!
controller E1 0
pri-group timeslots 1-31
!
interface Serial0:15
dialer rotary-group 1

!--- D-channel for E1 0 is a member of the dialer rotary group 1.

!
interface Dialer1

!--- Logical interface for dialer rotary group 1.

ip unnumbered Ethernet0
encapsulation ppp
dialer in-band
dialer-group 1
ppp authentication chap pap callin
!
radius-server host 172.22.53.201

!--- The IP address of the RADIUS server host.
!--- This AAA server will supply the NAS(LAC) with the VPDN attributes for the user.

radius-server key cisco

!--- The RADIUS server key.


Configuração de servidor RADIUS

Estão aqui algumas configurações do usuário em Cisco seguro para o servidor Radius de Unix (CSU):

  1. Um usuário que deva ser terminada localmente no NAS:

       user1 Password = "cisco"
       Service-Type = Framed-User
  2. Um usuário para quem uma sessão de VPDN deve ser estabelecida:

    user2           Password = "cisco"
    Service-Type = Framed-User,
    Cisco-AVPair = "vpdn:ip-addresses=172.22.53.141",
    Cisco-AVPair = "vpdn:l2tp-tunnel-password=cisco",
    Cisco-AVPair = "vpdn:tunnel-type=l2tp"

O NAS (LAC) usa os atributos especificados com Cisco-AVPair VPDN para iniciar o túnel VPDN ao Home Gateway. Assegure-se de que você configure o Home Gateway para aceitar túneis VPDN do NAS.

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • caller user da mostra — parâmetros das mostras para um usuário particular, tal como a linha TTY usada, o interface assíncrono (prateleira, entalhe ou porta), o número de canal DS0, número de modem, endereço IP de Um ou Mais Servidores Cisco ICM NT atribuído, parâmetros de pacote PPP e PPP, e assim por diante. Se sua versão do Cisco IOS Software não suporta este comando, utilize o comando show user.

  • vpdn da mostra — informação dos indicadores sobre o L2F ativo e os túneis de protocolo e os identificadores de mensagem L2TP em um VPDN.

Exemplo de saída do comando show

Quando o atendimento conectar o uso o comando show caller user username assim como o comando show vpdn verificar que o atendimento é bem sucedido. Um exemplo de saída é mostrado abaixo:

maui-nas-02#show caller user vpdn_authen

  User: vpdn_authen, line tty 12, service Async
        Active time 00:09:01, Idle time 00:00:05
  Timeouts:            Absolute  Idle      Idle
                                 Session   Exec
      Limits:          -         -         00:10:00
      Disconnect in:   -         -         -
  TTY: Line 12, running PPP on As12
  DS0: (slot/unit/channel)=0/0/5
  Line: Baud rate (TX/RX) is 115200/115200, no parity, 1 stopbits, 8 databits
  Status: Ready, Active, No Exit Banner, Async Interface Active
          HW PPP Support Active
  Capabilities: Hardware Flowcontrol In, Hardware Flowcontrol Out
                Modem Callout, Modem RI is CD,
                Line is permanent async interface, Integrated Modem
  Modem State: Ready

  User: vpdn_authen, line As12, service PPP
        Active time 00:08:58, Idle time 00:00:05
  Timeouts:            Absolute  Idle
      Limits:          -         -
      Disconnect in:   -         -
  PPP: LCP Open, CHAP (<- AAA)
  IP: Local 172.22.53.140
  VPDN: NAS , MID 4, MID Unknown
        HGW , NAS CLID 0, HGW CLID 0, tunnel open
  
!--- The VPDN tunnel is open.

  Counts: 85 packets input, 2642 bytes, 0 no buffer
          0 input errors, 0 CRC, 0 frame, 0 overrun
          71 packets output, 1577 bytes, 0 underruns
          0 output errors, 0 collisions, 0 interface resets

maui-nas-02#show vpdn

L2TP Tunnel and Session Information Total tunnels 1 sessions 1

LocID RemID Remote Name   State  Remote Address  Port  Sessions
6318  3     HGW           est    172.22.53.141   1701  1

LocID RemID TunID Intf       Username      State  Last Chg Fastswitch
4     3     6318  As12       vpdn_authen   est    00:09:33 enabled

!--- The tunnel for user vpdn_authen is in established state.

%No active L2F tunnels
%No active PPTP tunnels
%No active PPPoE tunnel

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

Nota: Antes de emitir comandos de depuração, consulte as informações importantes sobre eles.

  • debugar a autenticação de PPP — mensagens de protocolo da autenticação de PPP dos indicadores, e inclua intercâmbios de pacotes do protocolo de autenticação de cumprimento do desafio (RACHADURA) e trocas do protocolo password authentication (PAP).

  • debugar a autenticação aaa — informação dos indicadores na autenticação AAA/RADIUS.

  • debug aaa authorization — informação dos indicadores na autorização AAA/RADIUS.

  • debugar o raio — informação detalhada sobre debug dos indicadores associado com o RAIO. Use a ferramenta Output Interpreter (clientes registrados somente) para descodificar as mensagens do raio debugar. Por exemplo, refira a seção do exemplo de debug. Use a informação do debugam o raio para determinar que atributos são negociados.

  • debugar tacacs — informação detalhada sobre debug dos indicadores associado com o TACACS+.

  • debug vpdn event — erros e eventos do L2x dos indicadores que são uma parte do estabelecimento normal de túnel ou uma parada programada para VPDN.

  • debug vpdn error — erros de protocolo dos indicadores VPDN.

  • debug vpdn l2x-event — erros e eventos detalhados do L2x dos indicadores que são uma parte do estabelecimento normal de túnel ou uma parada programada para VPDN.

  • debug vpdn l2x-error — erros de protocolo do L2x dos indicadores VPDN.

Exemplo de debug

Está aqui o resultado do debug para uma chamada bem sucedida. Neste exemplo, note que o NAS obtém os atributos para o túnel VPDN do servidor Radius.

vpdn-username_2.gif

maui-nas-02#show debug
General OS:
  AAA Authentication debugging is on
  AAA Authorization debugging is on
PPP:
  PPP authentication debugging is on
VPN:
  L2X protocol events debugging is on
  L2X protocol errors debugging is on
  VPDN events debugging is on
  VPDN errors debugging is onRadius protocol debugging is on
maui-nas-02#
*Jan 21 19:07:26.752: %ISDN-6-CONNECT: Interface Serial0:5 is now connected 
to N/A N/A

!--- Incoming call.

*Jan 21 19:07:55.352: %LINK-3-UPDOWN: Interface Async12, changed state to up
*Jan 21 19:07:55.352: As12 PPP: Treating connection as a dedicated line
*Jan 21 19:07:55.352: As12 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Jan 21 19:07:55.604: As12 CHAP: O CHALLENGE id 1 len 32 from "maui-nas-02"
*Jan 21 19:07:55.732: As12 CHAP: I RESPONSE id 1 len 32 from "vpdn_authen"

!--- Incoming CHAP response from user vpdn_authen.

*Jan 21 19:07:55.732: AAA: parse name=Async12 idb type=10 tty=12
*Jan 21 19:07:55.732: AAA: name=Async12 flags=0x11 type=4 shelf=0 slot=0 
adapter=0 port=12 channel=0
*Jan 21 19:07:55.732: AAA: parse name=Serial0:5 idb type=12 tty=-1
*Jan 21 19:07:55.732: AAA: name=Serial0:5 flags=0x51 type=1 shelf=0 slot=0 
adapter=0 port=0 channel=5
*Jan 21 19:07:55.732: AAA/ACCT/DS0: channel=5, ds1=0, t3=0, slot=0, ds0=5
*Jan 21 19:07:55.732: AAA/MEMORY: create_user (0x628C79EC) user='vpdn_authen' 
ruser='' port='Async12' rem_addr='async/81560' authen_type=CHAP service=PPP priv=1
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): port='Async12' list='' 
action=LOGIN service=PPP
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): using "default" list
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): Method=radius (radius)
*Jan 21 19:07:55.736: RADIUS: ustruct sharecount=1
*Jan 21 19:07:55.736: RADIUS: Initial Transmit Async12 id 
6 172.22.53.201:1645, Access-Request, len 89
*Jan 21 19:07:55.736:         Attribute 4 6 AC16358C
*Jan 21 19:07:55.736:         Attribute 5 6 0000000C
*Jan 21 19:07:55.736:         Attribute 61 6 00000000
*Jan 21 19:07:55.736:         Attribute 1 13 7670646E
*Jan 21 19:07:55.736:         Attribute 30 7 38313536
*Jan 21 19:07:55.736:         Attribute 3 19 014CF9D6
*Jan 21 19:07:55.736:         Attribute 6 6 00000002
*Jan 21 19:07:55.736:         Attribute 7 6 00000001
*Jan 21 19:07:55.740: RADIUS: Received from id 6 172.22.53.201:1645, 
Access-Accept, len 136
*Jan 21 19:07:55.740:         Attribute 6 6 00000002
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 30 0000000901187670

Os pares de valor de atributo (AVP) necessários para o túnel VPDN são abaixados do servidor Radius. Contudo, debugar o raio produz uma saída codificada que indica os AVP e seus valores. Você pode colar a saída mostrada na fonte em negrito acima na ferramenta Output Interpreter (clientes registrados somente). A seguinte saída em corajoso é a saída descodificada obtida da ferramenta:

Access-Request 172.22.53.201:1645 id 6
Attribute Type 4:  NAS-IP-Address is 172.22.53.140
Attribute Type 5:  NAS-Port is 12
Attribute Type 61: NAS-Port-Type is Asynchronous
Attribute Type 1:  User-Name is vpdn
Attribute Type 30: Called-Station-ID(DNIS) is 8156
Attribute Type 3:  CHAP-Password is (encoded)
Attribute Type 6:  Service-Type is Framed
Attribute Type 7:  Framed-Protocol is PPP
        Access-Accept 172.22.53.201:1645 id 6
Attribute Type 6:  Service-Type is Framed
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
*Jan 21 19:07:55.740: AAA/AUTHEN (4048817807): status = PASS
...
...
...
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:ip-addresses=172.22.53.141"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:l2tp-tunnel-password=cisco"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:tunnel-type=l2tp"
*Jan 21 19:07:55.744: AAA/AUTHOR (733932081): Post authorization status = PASS_REPL
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV service=ppp
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV ip-addresses=172.22.53.141
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV l2tp-tunnel-password=cisco
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV tunnel-type=l2tp

!--- Tunnel information.
!--- The VPDN Tunnel will now be established and the call will be authenticated.
!--- Since the debug information is similar to that for a normal VPDN call,
!--- the VPDN tunnel establishment debug output is omitted.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 10388