WAN : Protocole point à point (PPP)

Fonctions PPP d'accès virtuel dans Cisco IOS

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu

L2F

Introduction

Ce document décrit l'architecture globale des applications virtuelles de PPP d'Access à Cisco IOSÝ. Pour plus de renseignements sur une fonction précise, référez-vous aux documents répertoriés à la fin du glossaire.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Glossaire

Ce qui suit sont des termes qui apparaîtront dans ce document.

  • Serveur d'accès : Plateformes de serveur d'accès Cisco, y compris le RNIS et les interfaces asynchrones pour fournir l'Accès à distance.

  • L2F : Protocole de transfert de couche 2 (RFC de projet expérimental). C'est la technologie sous-jacente au niveau liaison pour la député britannique et le Réseaux privés virtuels (VPN) de Multichassis.

  • Lien : Un point de connexion fourni par un système. Ce peut être une interface de matériel dédiée (telle qu'une interface asynchrone) ou un canal sur une interface de matériel multicanale (telle qu'un PRI ou un BRI).

  • député britannique : PPP à liaisons multiples Protocol (voir le RFC 1717).

  • député britannique de Multichassis : député britannique + SGBP + L2F + Vtemplate.

  • PPP : Protocole point-à-point (voir le RFC 1331).

  • Groupe tournant : Un groupe d'interfaces physiques alloué pour composer pour sortir ou recevoir des appels. Le groupe agit comme un groupe duquel n'importe quel lien peut être utilisé pour composer pour sortir ou recevoir des appels.

  • SGBP : Groupe de pile offrant Protocol

  • Groupe de pile : Une collection de deux systèmes ou plus qui seront configurés pour fonctionner en tant que groupe et pour prendre en charge des paquets de député britannique avec des liens sur des autres systèmes.

  • VPDN : Réseau de connexion privée virtuelle. L'expédition du PPP lie d'un fournisseur de services Internet (ISP) à une passerelle domestique.

  • Vtemplate : Interface de modèle virtuel.

Remarque: Pour des informations sur des RFC référencés dans ce document, voir les RFC pris en charge dans la Cisco IOS version 11.2, un bulletin de produit ; ou obtenant des RFC et d'autres documents de normes pour un lien directement à InterNIC.

Aperçu de l'interface d'Access virtuelle

Dans la Cisco IOS version 11.2F, Cisco prend en charge ces caractéristiques d'accès commuté : VPDN, Multichassis Multilink, VP, Conversion de protocole utilisant Virtuel-Access, et PPP/ATM. Ces caractéristiques emploient des interfaces virtuelles pour porter le PPP sur leurs machines cibles.

Une interface d'Access virtuelle est Cisco IOS relient, juste comme des interfaces physiques telles qu'une interface série. Une configuration de l'interface série réside en configuration de l'interface série.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Les interfaces physiques ont la charge statique, des configurations fixes. Les interfaces d'Access virtuelles, cependant, sont dynamiquement sur demande créé (les diverses utilisations sont discutées dans la section suivante de ce document). Ils sont également libérés quand ils ne sont nécessaires plus. Par conséquent, la source de configuration des interfaces d'Access virtuelles doit être ancrée par des autres moyens.

Les diverses méthodes par lesquelles Access virtuel gagne sa configuration sont par l'intermédiaire des enregistrements d'interface de modèle virtuel et/ou de RAYON et TACAC+ qui résident sur un serveur d'authentification. La dernière méthode s'appelle les Profils virtuels de par-utilisateur. Puisque des interfaces d'Access virtuelles peuvent être configurées utilisant un modèle virtuel global, les interfaces d'Access virtuelles pour différents utilisateurs peuvent hériter des configurations identiques d'une interface de modèle virtuel. Par exemple, l'administrateur réseau peut choisir de définir une méthode d'authentification commune de PPP (CHAP) pour tous les utilisateurs virtuels d'Access du système. Pour le par-utilisateur spécifique les configurations travaillées, l'administrateur réseau peuvent définir des configurations d'interface ? telles que l'authentification PAP ? particularité à l'utilisateur dans le profil virtuel. En bref, le schéma de configuration de général-à-particularité disponible aux interfaces d'Access virtuelles permet à l'administrateur réseau pour travailler des configurations d'interface communes à tous les utilisateurs et/ou individuellement conçues en fonction l'utilisateur.

/image/gif/paws/14943/figure1-va.gif

La figure 1 ci-dessus montre deux des interfaces d'accès virtuelles pour l'userA et l'userB. L'exécution 1 dénote l'application de la configuration d'interface d'une interface de modèle virtuel globale aux deux interfaces d'Access virtuelles. L'exécution 2 dénote l'application des configurations de l'interface selon l'utilisateur de différents Profils virtuels aux deux interfaces d'Access virtuelles.

Applications des interfaces d'Access virtuelles

Cette section décrit les interfaces d'Access virtuelles de diverses de manières utilisations de Cisco IOS.

Vous noterez un thème récurrent de chaque application ? ils permettent une particularité virtuelle générale de modèle à l'application (exécution 1). des Profils virtuels de Par-utilisateur sont alors appliqués par utilisateur (exécution 2)

Multilink PPP

Le PPP à liaisons multiples emploie l'interface d'Access virtuelle comme interface de paquet pour rassembler des paquets reçus au-dessus des liaisons individuelles et pour fragmenter des paquets envoyés au-dessus des liaisons individuelles. L'interface de paquet obtient sa configuration de particularité virtuelle de modèle au PPP à liaisons multiples. Si l'administrateur de réseau choisit d'activer des Profils virtuels, la configuration d'interface de profil virtuel selon le nom d'utilisateur est alors appliquée à l'interface de paquet pour cet utilisateur.

/image/gif/paws/14943/figure2-va.gif

La figure 2 dépeint l'utilisation du PPP à liaisons multiples des interfaces série. Puisqu'il n'y a aucune interface de numérotation, une interface de modèle virtuel est définie par :

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

La configuration facultative de profil virtuel selon le nom d'utilisateur est alors appliquée à l'interface de paquet. Quand l'interface de numérotation est impliquée, l'interface de paquet est une interface passive ? aucune interface de modèle virtuel n'est exigée.

Par exemple, la figure 3 ci-dessous dépeint un PRI se0:23 configuré pour prendre en charge le PPP à liaisons multiples.

/image/gif/paws/14943/figure3-va.gif

Notez que si le profil virtuel est activé, le schéma retourne cela représenté sur le schéma 2. c'est-à-dire, si un appel entrant est reçu sur une interface de numérotation et le profil virtuel est activé, la source de configuration n'est plus du numéroteur. Au lieu de cela l'interface de paquet (voyez que le schéma 2) est l'interface « active » à la à laquelle tous les protocoles liront ou seront écrits. La source de configuration est première l'interface de modèle virtuel, puis le profil virtuel pour un utilisateur particulier.

L2F

L'expédition niveau du lien de la couche 2, ou le L2F, permet le PPP à terminer sur une destination distante. Normalement, sans L2F, le PPP est entre le client connecté et le NAS qui ont répondu à l'appel entrant. Avec L2F, le PPP est projeté à un noeud destinaire. Pour autant que le client est concerné, il « pense que » il est connecté au noeud destinaire par l'intermédiaire du PPP. Le NAS, en effet, devient un expéditeur simple de trame PPP. En terminologie L2F, le noeud destinaire s'appelle une passerelle domestique.

À la passerelle domestique, l'interface d'Access virtuelle est utilisée pour terminer le lien de PPP. De nouveau, un modèle virtuel est utilisé comme source de configuration. Si le profil virtuel est défini, la configuration de l'interface selon l'utilisateur est appliquée à l'interface d'accès virtuel.

Le tunnel L2F est actuellement propagé au-dessus d'UDP/IP.

/image/gif/paws/14943/figure4-va.gif

La technologie de tunnellisation L2F est actuellement utilisée dans deux Cisco IOS 11.2 caractéristiques : VPDN (réseau de connexion privée virtuelle) et PPP de Multichassis Multilink (MMP).

VPDN

VPDN permet aux réseaux privés pour le répartir du client directement à la passerelle domestique du choix. Par exemple, utilisateurs nomades (ventes, par exemple) du souhait de HP à pouvoir se connecter toujours à la passerelle domestique de HP du choix n'importe où, n'importe quand. Le HP se contracterait pour les ISP qui prendraient en charge PDN. Ces ISP seraient configurés tels que, si jsmith@hp.com introduit dans l'un des ISP-fournissait des nombres, le NAS automatiquement en avant à la passerelle domestique de HP. L'ISP est ainsi libéré de gérer les adresses IP des utilisateurs de HP, le routage, et d'autres fonctions attachés à la base de clients de HP. La gestion de HP ISP est réduite aux questions de connectivité IP pour la passerelle domestique de HP.

NAS : fournisseur d'accès internet

  vpdn outgoing hp.com isp ip 1.1.1.2 

Passerelle domestique : HP-passerelle

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichassis

Le ppp multilink fournit à des utilisateurs le à la demande de bande passante supplémentaire, avec la capacité de séparer et de recombiner des paquets à travers un conduit logique (paquet) constitué par de plusieurs liens. Ceci réduit la latence de transmission à travers les liaisons WAN lentes et fournit également une méthode d'augmenter le maximum reçoivent l'unité. Multilien est pris en charge sur un environnement d'unique serveur d'accès.

Les ISP, par exemple, voudraient allouer commodément un seul nombre rotatif à plusieurs PRIs à travers de plusieurs serveurs d'accès, extensible et flexible à leur entreprise a besoin.

Avec le Multichassis Multilink, les plusieurs liens de Multilien du même client peuvent se terminer à différents serveurs d'accès. Tandis que les différents liens de député britannique du même paquet peuvent réellement se terminer à différents serveurs d'accès, pour autant que le client de député britannique est concerné, il est comme si il se termine à un unique serveur d'accès. Quand des composants sont comparés à ceux de VPDN, Mutichassis diffère seulement par un StackGroup supplémentaire offrant Protocol (SGBP) pour faciliter l'offre et l'arbitrage des ensembles multiliaisons. Une fois l'adresse IP de destination du gagnant de groupe de pile est décidée au-dessus de SGBP, les utilisations L2F de Multichassis de projeter du NAS à l'autre NAS lesquels est le gagnant de groupe de pile.

Par exemple sur la pile un groupe appelle le stackq de deux NASes : la NASA et nasb.

la NASA :

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb :

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Conversion de protocole

La Conversion de protocole permet au trafic encapsulé par PPP à travers une passerelle ? telle que X.25/TCP ? pour se terminer comme interface d'Access virtuelle (traduction en deux étapes). L'interface d'Access virtuelle est prise en charge au-dessus de la traduction en une étape également.

Exemple en deux étapes de Conversion de protocole :

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Exemple en une étape de Conversion de protocole :

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP au-dessus d'atmosphère

Cette caractéristique fournit le support pour l'arrêt de plusieurs connexions PPP sur une interface de routeur ATM quand les données sont formatées selon l'encapsulation d'expédition de la vue de Cisco (StrataCom). Le protocole PPP est terminé sur le routeur comme si il ont été reçus d'une interface série typique de PPP. Chaque connexion PPP sera encapsulée dans un VC ATM séparé. VCs utilisant d'autres types d'encapsulation peut également être configuré sur la même interface.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Profils virtuels

Les Profils virtuels sont une seule application de PPP qui définit et applique les informations de configuration selon l'utilisateur pour les utilisateurs qui se connectent à un routeur. Les Profils virtuels permettent les informations de configuration spécifique à l'utilisateur à appliquer indépendamment des medias utilisés pour l'appel d'accès distant. Les informations de configuration pour des Profils virtuels peuvent provenir un modèle d'interface virtuelle, les informations de configuration selon l'utilisateur stockées sur un serveur d'AAA, ou chacun des deux, selon la façon dont le routeur et le serveur d'AAA sont configurés. L'application des Profils virtuels peut être dans un environnement d'unique, dans une passerelle domestique VPDN, ou dans un environnement multichâssis.

Pour définir un modèle virtuel comme source de configuration pour le profil virtuel :

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

Pour définir l'AAA comme source de configuration pour le profil virtuel :

virtual-profile aaa

Dans cet exemple, l'administrateur système décide de filtrer des artères étant annoncées à John et d'appliquer des Listes d'accès aux connexions entrantes de Rick. Quand John ou Rick se connecte par l'interface S1 ou BRI 0 et authentifie, un profil virtuel est créé : des filtres d'artère sont appliqués à John et des Listes d'accès sont appliquées à Rick.

Configuration d'AAA pour des utilisateurs John et Rick :

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

En un mot, l'AAA Cisco-avpairs contiennent des commandes de par-interface de Cisco IOS d'être appliqué pour un utilisateur particulier.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 14943