Marcado y acceso remotos : Virtual Private Dialup Network (VPDN)

Configurar por usuario los VPDN sin el dominio o la información DNIS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para por usuario los VPDN sin el dominio o la información DNIS.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software Release 12.1(4) o Posterior del ½ del ¿Â de Cisco IOSïÂ.

  • Cisco IOS Software Release 12.1(4)T o Posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Antecedentes

En los escenarios del Virtual Private Dialup Network (VPDN), el servidor de acceso a la red (NAS) (un L2TP Access Concentrator, o el LAC) establece el túnel VPDN al gateway de inicio (LNS) basado en la información específica de usuario. Este túnel VPDN puede ser el Level 2 Forwarding (L2F) o el protocolo Layer 2 Tunneling Protocol (L2TP). Para determinar si un usuario debe utilizar un túnel VPDN, control:

  • Si el Domain Name es incluido como parte del nombre de usuario. Por ejemplo, con el nombre de usuario tunnelme@cisco.com, el NAS adelante este usuario al túnel para cisco.com.

  • El Dialed Number Information Service (DNIS). Éste es reenvío de llamada basado en número al que se llamó. Esto significa que el NAS puede remitir todas las llamadas con un detalle número al que se llamó al túnel apropiado. Por ejemplo, si una llamada entrante tiene número al que se llamó los 5551111, la llamada se puede remitir al túnel VPDN, mientras que una llamada a 5552222 no se remite. Esta característica requiere que la red Telco entregue número al que se llamó la información.

Para más información sobre la configuración de VPDN, vea comprensión del VPDN.

En algunas situaciones, usted puede requerir un túnel VPDN intiated sobre una base del por-nombre de usuario, con o sin la necesidad de un Domain Name en absoluto. Por ejemplo usuario ciscouser (Usuario de Cisco) puede ser tunneled al cisco.com, mientras que otros usuarios pueden ser terminados localmente en el NAS.

Nota: Este nombre de usuario no incluye la información sobre el dominio como en el ejemplo anterior.

La característica de Configuración por usuario VPDN envía el nombre de usuario estructurado entero al servidor del Authentication, Authorization, and Accounting (AAA) la primera vez que el router entra en contacto al servidor de AAA. Esto permite al Cisco IOS Software para personalizar los atributos del túnel para los usuarios individuales que utilizan un Domain Name o un DNIS común.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/10388/vpdn-username_1.gif

Configuraciones

Los únicos comandos vpdn necesarios en el NAS (LAC) soportar por usuario los VPDN son el permiso del vpdn de los comandos global configuration y el vpdn authen-antes-delanteros. El comando vpdn authen-before-forward da instrucciones el NAS (LAC) para autenticar el nombre de usuario completo antes de que tome una decisión de reenvío. Un túnel VPDN entonces se establece, sobre la base de la información devuelta por el servidor de AAA para este usuario individual; si no se devuelve ninguna información VPDN del servidor de AAA, terminan al usuario localmente. La configuración en esta sección muestra los comandos required de soportar los túneles sin la información sobre el dominio en el nombre de usuario.

Nota: Esta configuración no está completa. Solamente el VPDN, la interfaz y los comandos aaa relevantes son incluidos.

Nota: Está fuera del alcance de este documento para discutir cada Tunnel Protocol y protocolo AAA posibles. Por lo tanto, esta configuración implementa un túnel L2TP con RADIUS AAA el servidor. Adapte los principios y la configuración discutidos aquí para configurar otros tipos de túnel o protocolos AAA.

Este documento usa esta configuración:

  • VPDN NAS (LAC)

VPDN NAS (LAC)
aaa new-model
aaa authentication ppp default group radius

!--- Use RADIUS authentication for PPP authentication.

aaa authorization network default group radius

!--- Obtain authorization information from the Radius server.
!--- This command is required for the AAA server to provide VPDN attributes.

!
vpdn enable

!--- VPDN is enabled.

vpdn authen-before-forward

!--- Authenticate the complete username before making a forwarding decision.
!--- The LAC sends the username to the AAA server for VPDN attributes.

!
controller E1 0
pri-group timeslots 1-31
!
interface Serial0:15
dialer rotary-group 1

!--- D-channel for E1 0 is a member of the dialer rotary group 1.

!
interface Dialer1

!--- Logical interface for dialer rotary group 1.

ip unnumbered Ethernet0
encapsulation ppp
dialer in-band
dialer-group 1
ppp authentication chap pap callin
!
radius-server host 172.22.53.201

!--- The IP address of the RADIUS server host.
!--- This AAA server will supply the NAS(LAC) with the VPDN attributes for the user.

radius-server key cisco

!--- The RADIUS server key.


Configuración del servidor de RADIUS

Aquí están algunas configuraciones de usuario en Cisco seguro para el servidor de RADIUS de Unix (CSU):

  1. Un usuario que debe ser terminado localmente en el NAS:

       user1 Password = "cisco"
       Service-Type = Framed-User
  2. Un usuario para quien una sesión de VPDN debe ser establecida:

    user2           Password = "cisco"
    Service-Type = Framed-User,
    Cisco-AVPair = "vpdn:ip-addresses=172.22.53.141",
    Cisco-AVPair = "vpdn:l2tp-tunnel-password=cisco",
    Cisco-AVPair = "vpdn:tunnel-type=l2tp"

El NAS (LAC) utiliza los atributos especificados con Cisco-AVPair VPDN para iniciar el túnel VPDN al gateway de inicio. Asegúrese de que usted configure el gateway de inicio para validar los túneles VPDN del NAS.

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

  • caller user de la demostración — parámetros de las demostraciones para un usuario determinado, tal como la línea TTY usada, interfaz asincrónica (estante, slot o puerto), número de canal del DS0, número del módem, dirección IP asignada, parámetros de agrupamiento PPP y PPP, y así sucesivamente. Si su versión del software del IOS de Cisco no es compatible con este comando, utilice el comando show user.

  • vpdn de la demostración — información de las visualizaciones sobre el L2F activo y túneles de protocolo y identificadores de mensajes L2TP en un VPDN.

Ejemplo de Resultado del Comando show

Cuando la llamada conecta el uso el comando show caller user username así como el comando show vpdn de verificar que la llamada es acertada. Una salida de muestra se muestra abajo:

maui-nas-02#show caller user vpdn_authen

  User: vpdn_authen, line tty 12, service Async
        Active time 00:09:01, Idle time 00:00:05
  Timeouts:            Absolute  Idle      Idle
                                 Session   Exec
      Limits:          -         -         00:10:00
      Disconnect in:   -         -         -
  TTY: Line 12, running PPP on As12
  DS0: (slot/unit/channel)=0/0/5
  Line: Baud rate (TX/RX) is 115200/115200, no parity, 1 stopbits, 8 databits
  Status: Ready, Active, No Exit Banner, Async Interface Active
          HW PPP Support Active
  Capabilities: Hardware Flowcontrol In, Hardware Flowcontrol Out
                Modem Callout, Modem RI is CD,
                Line is permanent async interface, Integrated Modem
  Modem State: Ready

  User: vpdn_authen, line As12, service PPP
        Active time 00:08:58, Idle time 00:00:05
  Timeouts:            Absolute  Idle
      Limits:          -         -
      Disconnect in:   -         -
  PPP: LCP Open, CHAP (<- AAA)
  IP: Local 172.22.53.140
  VPDN: NAS , MID 4, MID Unknown
        HGW , NAS CLID 0, HGW CLID 0, tunnel open
  
!--- The VPDN tunnel is open.

  Counts: 85 packets input, 2642 bytes, 0 no buffer
          0 input errors, 0 CRC, 0 frame, 0 overrun
          71 packets output, 1577 bytes, 0 underruns
          0 output errors, 0 collisions, 0 interface resets

maui-nas-02#show vpdn

L2TP Tunnel and Session Information Total tunnels 1 sessions 1

LocID RemID Remote Name   State  Remote Address  Port  Sessions
6318  3     HGW           est    172.22.53.141   1701  1

LocID RemID TunID Intf       Username      State  Last Chg Fastswitch
4     3     6318  As12       vpdn_authen   est    00:09:33 enabled

!--- The tunnel for user vpdn_authen is in established state.

%No active L2F tunnels
%No active PPTP tunnels
%No active PPPoE tunnel

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración.

  • la autenticación PPP del debug — los mensajes de protocolo de la autenticación PPP de las visualizaciones, e incluye los intercambios de paquetes del Challenge Handshake Authentication Protocol (CHAP) y los intercambios del protocolo password authentication (PAP).

  • autenticación aaa del debug — información de las visualizaciones sobre la autenticación AAA/RADIUS.

  • debug aaa authorization — información de las visualizaciones sobre la autorización AAA/RADIUS.

  • radio del debug — la información de debugging detallada de las visualizaciones se asoció al RADIUS. Utilice la herramienta del Output Interpreter (clientes registrados solamente) para decodificar los mensajes de RADIUS del debug. Por ejemplo, refiera a la sección. Utilice la información del radio del debug para determinar se negocian qué atributos.

  • tacacs del debug — información de debugging detallada de las visualizaciones asociada al TACACS+.

  • debug vpdn event — errores y eventos del l2x de las visualizaciones que son una parte del establecimiento normal de túneles o apagan para los VPDN.

  • debug vpdn error — errores del protocolo de las visualizaciones VPDN.

  • debug vpdn l2x-event — errores y eventos detallados del l2x de las visualizaciones que son una parte del establecimiento normal de túneles o apagan para los VPDN.

  • debug vpdn l2x-error — errores del protocolo del l2x de las visualizaciones VPDN.

Ejemplo de resultado del comando debug

Aquí está la salida de los debugs para una llamada satisfactoria. En este ejemplo, observe que el NAS obtiene los atributos para el túnel VPDN del servidor de RADIUS.

vpdn-username_2.gif

maui-nas-02#show debug
General OS:
  AAA Authentication debugging is on
  AAA Authorization debugging is on
PPP:
  PPP authentication debugging is on
VPN:
  L2X protocol events debugging is on
  L2X protocol errors debugging is on
  VPDN events debugging is on
  VPDN errors debugging is onRadius protocol debugging is on
maui-nas-02#
*Jan 21 19:07:26.752: %ISDN-6-CONNECT: Interface Serial0:5 is now connected 
to N/A N/A

!--- Incoming call.

*Jan 21 19:07:55.352: %LINK-3-UPDOWN: Interface Async12, changed state to up
*Jan 21 19:07:55.352: As12 PPP: Treating connection as a dedicated line
*Jan 21 19:07:55.352: As12 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Jan 21 19:07:55.604: As12 CHAP: O CHALLENGE id 1 len 32 from "maui-nas-02"
*Jan 21 19:07:55.732: As12 CHAP: I RESPONSE id 1 len 32 from "vpdn_authen"

!--- Incoming CHAP response from user vpdn_authen.

*Jan 21 19:07:55.732: AAA: parse name=Async12 idb type=10 tty=12
*Jan 21 19:07:55.732: AAA: name=Async12 flags=0x11 type=4 shelf=0 slot=0 
adapter=0 port=12 channel=0
*Jan 21 19:07:55.732: AAA: parse name=Serial0:5 idb type=12 tty=-1
*Jan 21 19:07:55.732: AAA: name=Serial0:5 flags=0x51 type=1 shelf=0 slot=0 
adapter=0 port=0 channel=5
*Jan 21 19:07:55.732: AAA/ACCT/DS0: channel=5, ds1=0, t3=0, slot=0, ds0=5
*Jan 21 19:07:55.732: AAA/MEMORY: create_user (0x628C79EC) user='vpdn_authen' 
ruser='' port='Async12' rem_addr='async/81560' authen_type=CHAP service=PPP priv=1
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): port='Async12' list='' 
action=LOGIN service=PPP
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): using "default" list
*Jan 21 19:07:55.732: AAA/AUTHEN/START (4048817807): Method=radius (radius)
*Jan 21 19:07:55.736: RADIUS: ustruct sharecount=1
*Jan 21 19:07:55.736: RADIUS: Initial Transmit Async12 id 
6 172.22.53.201:1645, Access-Request, len 89
*Jan 21 19:07:55.736:         Attribute 4 6 AC16358C
*Jan 21 19:07:55.736:         Attribute 5 6 0000000C
*Jan 21 19:07:55.736:         Attribute 61 6 00000000
*Jan 21 19:07:55.736:         Attribute 1 13 7670646E
*Jan 21 19:07:55.736:         Attribute 30 7 38313536
*Jan 21 19:07:55.736:         Attribute 3 19 014CF9D6
*Jan 21 19:07:55.736:         Attribute 6 6 00000002
*Jan 21 19:07:55.736:         Attribute 7 6 00000001
*Jan 21 19:07:55.740: RADIUS: Received from id 6 172.22.53.201:1645, 
Access-Accept, len 136
*Jan 21 19:07:55.740:         Attribute 6 6 00000002
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 40 0000000901227670
*Jan 21 19:07:55.740:         Attribute 26 30 0000000901187670

Los pares de valores de atributos (AVP) necesarios para el túnel VPDN se empujan hacia abajo del servidor de RADIUS. Sin embargo, el radio del debug produce una salida cifrada que indica los AVP y sus valores. Usted puede pegar la salida mostrada en la fuente en negrita arriba en la herramienta del Output Interpreter (clientes registrados solamente). El producto siguiente en intrépido es la salida decodificada obtenida de la herramienta:

Access-Request 172.22.53.201:1645 id 6
Attribute Type 4:  NAS-IP-Address is 172.22.53.140
Attribute Type 5:  NAS-Port is 12
Attribute Type 61: NAS-Port-Type is Asynchronous
Attribute Type 1:  User-Name is vpdn
Attribute Type 30: Called-Station-ID(DNIS) is 8156
Attribute Type 3:  CHAP-Password is (encoded)
Attribute Type 6:  Service-Type is Framed
Attribute Type 7:  Framed-Protocol is PPP
        Access-Accept 172.22.53.201:1645 id 6
Attribute Type 6:  Service-Type is Framed
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
Attribute Type 26: Vendor is Cisco
*Jan 21 19:07:55.740: AAA/AUTHEN (4048817807): status = PASS
...
...
...
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:ip-addresses=172.22.53.141"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:l2tp-tunnel-password=cisco"
*Jan 21 19:07:55.744: RADIUS: cisco AVPair "vpdn:tunnel-type=l2tp"
*Jan 21 19:07:55.744: AAA/AUTHOR (733932081): Post authorization status = PASS_REPL
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV service=ppp
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV ip-addresses=172.22.53.141
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV l2tp-tunnel-password=cisco
*Jan 21 19:07:55.744: AAA/AUTHOR/VPDN: Processing AV tunnel-type=l2tp

!--- Tunnel information.
!--- The VPDN Tunnel will now be established and the call will be authenticated.
!--- Since the debug information is similar to that for a normal VPDN call,
!--- the VPDN tunnel establishment debug output is omitted.


Información Relacionada


Document ID: 10388