WAN : Protocolo punto a punto (PPP)

Funciones de acceso virtual PPP en el IOS de Cisco

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido

L2F

Introducción

Este documento describe la arquitectura general de las aplicaciones PPP del acceso virtual en el ½ del ¿Â de Cisco IOSïÂ. Para obtener más información sobre una función específica, consulte los documentos que se encuentran al final del Glosario.

Antes de comenzar

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

prerrequisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Glosario

Los siguientes son los términos que aparecerán en este documento.

  • Servidor de acceso: Plataformas de Cisco Access Server, incluyendo el ISDN y las interfaces asincrónicas para proporcionar el Acceso Remoto.

  • L2F: Protocolo de reenvío de Capa 4 (RFC borrador experimental). Esta es la tecnología de nivel de link subyacente para Multichassis MP y Redes privadas virtuales (VPN).

  • Link: Un punto de conexión proporcionado por un sistema. Puede ser una interfaz de hardware dedicada (como una interfaz asíncrona) o un canal en una interfaz de hardware multicanal (como PRI o BRI).

  • MP: Protocolo del Multilink PPP (véase el RFC 1717).

  • Multichassis MP: MP + SGBP + L2F + Vtemplate.

  • PPP: Protocolo Point-to-Point (véase el RFC 1331).

  • Grupo rotativo: Un grupo de interfaces físicas asignadas para realizar o recibir llamadas. El grupo actúa como un grupo desde el cual cualquier link puede ser usado para realizar o recibir llamadas.

  • SGBP: Protocolo de licitación de grupo de pila

  • Grupo de pila: Un conjunto de dos o más sistemas que se configurarán para funcionar como grupo y para admitir agrupamientos MP con links en diferentes sistemas.

  • VPDN: Virtual Private Dialup Network. La expedición de los links PPP de un Proveedor de servicios de Internet (ISP) a un gateway de inicio.

  • Vtemplate: Interfaz de plantilla virtual.

Nota: Para la información sobre los RFC referidos a este documento, vea los RFC soportados en el Cisco IOS Release 11.2, un boletín de productos; u obteniendo los RFC y otros documentos de los estándares para un link directamente al InterNIC.

Descripción general de la interfaz de acceso virtual

En el Cisco IOS Release 11.2F, Cisco soporta estas características del acceso por marcado: VPDN, Multichasis de link múltiple, VP, Traducción de protocolos utilizando Acceso virtual y PPP/ATM. Estas características utilizan interfaces virtuales para transmitir PPP en sus máquinas de destino.

Una interfaz de acceso virtual es una interfaz del IOS de Cisco al igual que las interfaces físicas, por ejemplo, una interfaz serial. Una configuración de interfaz de serie se encuentra en la configuración de la interfaz de serie.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Las interfaces físicas poseen configuraciones fijas y estáticas. Sin embargo, las interfaces de acceso virtual se crean en forma dinámica a pedido (los diferentes usos se tratan en la siguiente sección de este documento). También son liberados cuando ya no son necesarios. Por lo tanto, la fuente de la configuración de las interfaces de acceso virtual debe ser anclada por otros medios.

Los distintos métodos por los cuales un acceso virtual obtiene su configuración son a través de la interfaz de plantilla virtual y/o los registros RADIUS y TACAC+ que residen en el servidor de autenticación. El método anterior se denomina Perfiles virtuales por usuario. Debido a que las interfaces de acceso virtual pueden configurarse utilizando una plantilla global virtual, las interfaces de acceso virtual para varios usuarios pueden heredar configuraciones idénticas desde una interfaz de plantilla virtual. Por ejemplo, el administrador de la red puede elegir definir un método de autenticación de PPP común (GRIETA) para todos los usuarios del acceso virtual del sistema. Para las configuraciones personalizadas por usuario específico, el administrador de la red puede definir las configuraciones de la interfaz – tales como autenticación PAP – específico al usuario en el perfil virtual. En resumen, el esquema de configuración general-a-específico para las interfaces de acceso virtual le permite al administrador de la red adaptar las configuraciones de interfaz para todos los usuarios y/o individualmente para cada usuario.

/image/gif/paws/14943/figure1-va.gif

El cuadro 1 antedicho ilustra dos de las interfaces de acceso virtual para el userA y el userB. La operación 1 denota la aplicación de la configuración de la interfaz de una interfaz de la plantilla virtual global a las dos interfaces de acceso virtual. La operación 2 denota la aplicación de las configuraciones de interfaz por usuario de diversos Perfiles virtuales a las dos interfaces de acceso virtual.

Aplicaciones de las interfaces de acceso virtual

Esta sección describe las diversas maneras en que IOS de Cisco utiliza las interfaces de Acceso virtual.

Usted notará un tema recurrente de cada aplicación – permiten un específico general de la plantilla virtual a la aplicación (operación 1). Luego los perfiles virtuales por usuario se aplican por usuario (Operación 2)

PPP de links múltiples

Los PPP de links múltiples utilizan la interfaz de Acceso virtual como interfaz de agrupamiento para volver a ensamblar paquetes recibidos mediante links individuales y para fragmentar paquetes enviados a través de links individuales. El bundle interface consigue su configuración del específico de la plantilla virtual al Multilink PPP. Si el administrador de la red habilita los perfiles Virtuales, entonces se aplicará la configuración de la interfaz de Perfiles virtuales por nombre de usuario a la interfaz de agrupamiento de ese usuario.

/image/gif/paws/14943/figure2-va.gif

La figura 2 muestra el uso del PPP de links múltiples de las interfaces seriales. Dado que no hay interfaz de marcación, la interfaz de plantilla virtual es definida por:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

Se le aplica luego a la interfaz de agrupamiento una configuración opcional de Perfil virtual por nombre de usuario. Cuando la interfaz del dialer está implicada, el bundle interface es una interfaz pasiva – no se requiere ninguna interfaz de plantilla virtual.

Por ejemplo, la Figura 3 a continuación describe un PRI se0:23 configurado para soportar Multilink PPP.

/image/gif/paws/14943/figure3-va.gif

Recuerde que si el perfil virtual está activado, el esquema se revierte al mostrado en la Figura 2. Es decir que si se recibe una llamada entrante en una interfaz de marcado y el perfil virtual está activado, el origen de la configuración ya no será desde el marcador. En cambio, la interfaz de agrupamiento (vea la figura 2) es la interfaz “activa” en la que se leerán o escribirán todos los protocolos. La fuente de la configuración es primera la interfaz de plantilla virtual, entonces el perfil virtual para un usuario determinado.

L2F

El reenvío de nivel de link de la capa 2 ó L2F permite que el PPP finalice en un destino remoto. Normalmente, sin el L2F, el PPP está entre el cliente marcado adentro y el NAS que contestaron a la llamada entrante. Con L2F, PPP se proyecta a un nodo de destino. En lo que concierne al cliente, "cree" que está conectado al nodo de destino vía PPP. El NAS, en efecto, se convierte en una simple aplicación de reenvío de tramas PPP. En la terminología L2F, el nodo de destino se denomina gateway de inicio.

En el Gateway de inicio, la interfaz de Acceso virtual se usa para finalizar el link PPP. Una vez más una plantilla virtual se utiliza como la fuente de la configuración. Si el Perfil virtual es definido, la configuración de interfaz por usuario se aplica a la interfaz de Acceso virtual.

En este momento el túnel L2F se ha propagado por UDP/IP.

/image/gif/paws/14943/figure4-va.gif

La tecnología de tunelización L2F se utiliza actualmente en dos características de Cisco IOS 11.2: VPDN (Virtual Private Dialup Network) y Multichassis Multilink PPP (MMP).

VPDN

VPDN permite que las redes privadas se expandan directamente desde el cliente a la gateway de inicio elegida. Por ejemplo, los usuarios móviles (de ventas por ejemplo) de HP desean poder conectarse siempre a la gateway de inicio HP de su elección en cualquier lugar y en cualquier momento. HP contrataría a los Proveedores de servicios de Internet (ISP) que admitan PDN. Estos ISP se configurarán de manera que, si jsmith@hp.com marca alguno de los números provistos por el ISP, el NAS lo reenvía automáticamente al gateway de inicio HP. El ISP se libera así de administrar los IP Addresses de los usuarios HP, la encaminamiento, y otras funciones atadas a la base de usuario HP. La administración HP de ISP se reduce a problemas de conectividad IP para el gateway de inicio de HP.

NAS : isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

Gateway de inicio: gateway hp

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichassis

El multilink PPP proporciona a los usuarios con el ancho de banda adicional a pedido, con la capacidad de partir y las recombinaciones de paquetes a través de un conducto lógico (conjunto) formado por los links múltiples. Esto reduce la latencia de la transmisión en los links lentos de WAN y también proporciona un método para incrementar la unidad de recepción máxima. El link múltiple se admite en un entorno de un solo servidor de acceso.

Los ISP, por ejemplo, querrían asignar según su conveniencia un único número rotativo para múltiples PRI a través de múltiples servidores de acceso, escalables y flexibles a sus necesidades comerciales.

Con Multichassis Multilink, varios enlaces Multilinks del mismo cliente pueden terminar en diferentes servidores de acceso. Si bien los links MP individuales de un mismo agrupamiento pueden terminar en distintos Servidores de acceso, en lo que respecta al cliente MP, es como si terminara en un solo servidor de acceso. Cuando se comparan los componentes con los de VPDN, la única diferencia es que Multichasis posee un Protocolo de licitación de grupo de pila (SGBP) adicional para facilitar la licitación y el arbitraje de paquetes de link múltiple. Una vez que se determina la dirección IP de destino del ganador del grupo de pila sobre SGBP, Multichassis usa L2F para proyectar desde un NAS a otro NAS cuál de ellos es el ganador del grupo de pila.

Por ejemplo en un grupo de pila llama el stackq de dos NASes: NASA y NASB.

nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Traducción de protocolo

La Traducción de protocolo permite que el tráfico encapsulado PPP a través de un gateway – tal como X.25/TCP – termine como interfaz de acceso virtual (traducción de dos etapas). La interfaz de acceso virtual se admite también en la traducción de un paso.

Ejemplo de traducción de protocolo en dos pasos:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Ejemplo de conversión de protocolo en un paso:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP sobre ATM

Esta característica proporciona el soporte para las terminaciones de conexiones PPP múltiples en una interfaz de ATM de router cuando los datos se formatan según la encapsulación del reenvío de tramas de Cisco (Stratacom). El protocolo PPP es finalizado en el router como si fuera recibido desde una interfaz serie PPP típica. Cada conexión PPP será encapsulada en un VC separado atmósfera. Los VC que utilizan otro tipo de encapsulamiento también pueden ser configurados en la misma interfaz.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Perfiles virtuales

Perfiles virtuales es una aplicación PPP única que define y aplica información de configuración por usuario para aquellos usuarios que marcan a un router. Los Perfiles virtuales permiten que la información de configuración específica del usuario se aplique cualquiera sea el medio utilizado para la llamada entrante. La información de configuración para los perfiles virtuales puede provenir de una plantilla de interfaz virtual, de información de configuración por usuario almacenada en un servidor AAA o de ambas, dependiendo de la configuración del router y del servidor AAA. La aplicación de perfiles virtuales puede estar en un entorno de casilla única, en una gateway de inicio VPDN o en un entorno de chasis múltiple.

Para definir una plantilla virtual como fuente de configuración de un perfil virtual:

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

Para definir AAA como una fuente de configuración para el perfil virtual:

virtual-profile aaa

En este ejemplo, el administrador del sistema decide filtrar las rutas que están siendo anunciadas a John y aplicar las listas de acceso a las conexiones de marcación de entrada de Rick. Cuando John o Rick marca a través de la interfaz S1 o BRI 0 y autentica, se crea un perfil virtual: los filtros de la ruta se aplican a Juan y las Listas de acceso se aplican a Rick.

Configuración AAA para los usuarios John y Rick:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

En resumen, los cisco-avpairs de AAA contienen comandos de Cisco IOS por interfaz para aplicarlos a un usuario específico.


Información Relacionada


Document ID: 14943