Guía de configuración de VPDN, Cisco IOS Release 12.2SR
Descripción General de la Tecnología VPDN
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 307 KB | Inglés (4 Abril 2011) | Comentarios

Descripción General de la Tecnología VPDN

Última actualización: De abril el 01 de 2011

Las redes de dial up de soldado virtual (VPDN) llevan con seguridad los datos privados sobre una red pública, permitiendo que los usuarios remotos accedan una red privada sobre una infraestructura compartida tal como Internet. Las VPDNs mantienen las mismas políticas de seguridad y administración que una red privada, mientras que proporcionan a un método económico para conexiones punto a punto entre usuarios remotos y una red central.

Información sobre VPDNs

Descripción General de la Tecnología VPDN

Los VPDN amplían los servicios de acceso telefónico de red privada a los usuarios remotos. Tecnologías de tunelización de la capa 2 del uso VPDN para crear las conexiones Point-to-Point virtuales entre los clientes remotos y una red privada. Las VPDNs mantienen las mismas políticas de seguridad y administración que una red privada, mientras que proporcionan a un método económico para conexiones punto a punto entre usuarios remotos y una red central.

En vez de la conexión directamente con la red privada remota, los usuarios VPDN conectan con un Access Server próximo, que está situado a menudo en un Point of Presence local del Proveedor de servicios de Internet (ISP) (POP). Los datos se remiten con seguridad del Access Server a la red privada sobre Internet, proporcionando a un método rentable de comunicación entre los clientes remotos y la red privada.

Una ventaja de los VPDN es la manera que delegan las responsabilidades de la red. El cliente puede externalizar la responsabilidad de la infraestructura del Information Technology (las TIC) a un ISP que mantenga los módems a los cuales los usuarios remotos marcan adentro, el Access Server, y la experiencia de la Interacción. El cliente es entonces responsable solamente de los usuarios de autenticidad y de mantener la red privada.

La figura abajo muestra un despliegue de Red VPDN básico.

Cuadro 1. despliegue de Red VPDN básico

Un cliente PPP marca adentro a un Access Server ISP, llamado el servidor de acceso a la red (NAS). El NAS determina si debe remitir a esa sesión PPP encendido al router o al Access Server que sirven como la punta del contacto para la red privada, el servidor de túnel. El servidor de túnel autentica al usuario e inicia las negociaciones PPP. Una vez que la configuración PPP es completa, todas las tramas que se envían entre el cliente y el paso del servidor de túnel con el NAS.

Los VPDN pueden utilizar estos protocolos de túneles para hacer un túnel las tramas del nivel del link:

  • Protocolo Layer 2 Tunneling Protocol (L2TP)
  • Protocolo Layer 2 Tunneling Protocol versión 3 (L2TPv3)
  • Expedición de la capa 2 (L2F)
  • Protocolo de Tunelización punto a Punto (PPTP)

Usando uno de estos protocolos, un túnel se establece entre el NAS o el cliente y el servidor de túnel, proporcionando al transporte de datos seguros sobre una infraestructura compartida tal como Internet.


Nota


Los VPDN en el Routers de servicios de agregación Cisco ASR de la serie 1000 pueden utilizar solamente el protocolo Layer 2 Tunneling Protocol (L2TP) o el protocolo Layer 2 Tunneling Protocol versión 3 (L2TPv3) para hacer un túnel las tramas del nivel del link.

Terminología VPDN

Dispositivos de Hardware de VPDN

Generalmente tres dispositivos están implicados en el Tunelización VPDN. Dos de estos dispositivos funcionan como los puntos finales del túnel--un dispositivo inicia el túnel VPDN, y el otro dispositivo termina el túnel VPDN. Dependiendo de la arquitectura del Tunelización, diversos tipos de dispositivos pueden actuar como el punto final del túnel local.

Mientras que los nuevos protocolos el hacer un túnel se han desarrollado para los VPDN, la terminología del protocol específico se ha creado para describir algunos de los dispositivos que participan en el Tunelización VPDN. Sin embargo, estos dispositivos realizan las mismas funciones básicas no importa qué se está utilizando el Tunneling Protocol. Por la claridad utilizaremos esta terminología genérica para referir a los dispositivos VPDN en esta documentación:

  • Cliente--El dispositivo del cliente puede ser el PC de un usuario de dial in, o un router asociado a una red local. En los escenarios iniciados por el cliente del Tunelización VPDN, el dispositivo del cliente actúa como punto final del túnel.
  • NAS--El servidor de acceso a la red (NAS) es típicamente un dispositivo mantenido por un ISP que proporcione los servicios VPDN para sus clientes. El NAS es la punta local del contacto para el dispositivo del cliente. Estableciendo una conexión entre el NAS y el cliente será referido como œ del € del â que recibe un œ del € del  o del â del € del callâ que pone una llamada,  del € del â dependiendo de si se está discutiendo un dial-in o un escenario del dial-hacia fuera.

Nota


El dial-in del soporte del Routers de servicios de agregación Cisco ASR de la serie 1000 solamente.

Dependiendo de la arquitectura del Tunelización, el NAS funcionará como sigue:

    • Para los escenarios NAS-iniciados del Tunelización VPDN y los escenarios del Tunelización del dial-hacia fuera VPDN, las funciones NAS como un punto final del túnel. El dial-in VPDN de los iniciados NAS hace un túnel y termina los túneles del dial-hacia fuera VPDN.
    • Para los escenarios iniciados por el cliente del Tunelización VPDN, el NAS no funciona como un punto final del túnel; proporciona simplemente la conectividad a Internet.
  • Servidor de túnel--El servidor de túnel es mantenido típicamente por el cliente y es el punto de contacto para la red privada remota. El servidor de túnel termina el dial-in VPDN hace un túnel e inicia los túneles del dial-hacia fuera VPDN.
  • Switch del túnel--Un Switch del túnel es un dispositivo configurado para realizar el Tunelización del VPDN de multisalto. Un Switch del túnel actúa como un NAS y servidor de túnel. El Switch del túnel termina los túneles entrantes VPDN e inicia los túneles salientes VPDN que llevarán los datos encendido al salto siguiente.

Aunque un Switch del túnel sea técnico un punto final del túnel para el túnel entrante y el túnel saliente, por la simplicidad los puntos finales del túnel en un despliegue multihop se consideran ser el dispositivo que inicia el primer túnel y el dispositivo que termina el túnel final de la trayectoria multihop.


Nota


El soporte solamente L2TP del Routers de servicios de agregación Cisco ASR de la serie 1000.

Las listas abajo de la tabla los términos genéricos y los términos tecnología-específicos correspondientes que se utilizan a veces para describir el NAS y el servidor de túnel.

Terminología del hardware del cuadro 1 VPDN

Término genérico

Término L2F

Término L2TP

Término PPTP

NAS

NAS

L2TP Access Concentrator (LAC)

PPTP Access Concentrator (PAC)

Servidor de túnel

Gateway de inicio

L2TP Network Server (LNS)

PPTP Network Server (PNS)

Túneles VPDN

Un túnel VPDN existe entre los dos puntos finales del túnel. El túnel consiste en un control de conexión y un cero o más las sesiones de la capa 2. El túnel lleva los datagramas PPP y los mensajes encapsulados del control entre los puntos finales del túnel. Las sesiones VPDN múltiples pueden utilizar el mismo túnel VPDN.

Sesiones de VPDN

Crean a una sesión de VPDN entre los puntos finales del túnel cuando una conexión PPP de punta a punta se establece entre un cliente y el servidor de túnel. Los datagramas relacionados con la conexión PPP se envían sobre el túnel. Hay a relación uno a uno entre una sesión establecida y la llamada asociada. Las sesiones VPDN múltiples pueden utilizar el mismo túnel VPDN.

Arquitecturas VPDN

Tunelización VPDN de Marcado de Entrada Iniciada por el Cliente

La tunelización de VPDN de marcado iniciada por el cliente también se conoce como tunelización voluntaria. En un escenario iniciado por el cliente del Tunelización del dial-in VPDN, el dispositivo del cliente inicia un túnel de la capa 2 al servidor de túnel, y el NAS no participa en la negociación de túnel o el establecimiento. En este escenario, el NAS no es un punto final del túnel; proporciona simplemente la conectividad a Internet. El dispositivo del cliente se debe configurar para iniciar el túnel.

La ventaja principal del Tunelización iniciado por el cliente VPDN es que asegura la conexión entre el cliente y el ISP NAS. Sin embargo, los VPDN iniciados por el cliente no son como scalable y son más complejos que los VPDN NAS-iniciados.

El Tunelización iniciado por el cliente VPDN puede utilizar el protocolo L2TP o el protocolo del L2TPv3 si el dispositivo del cliente es un router. Si el dispositivo del cliente es un PC, sólo se soporta el protocolo PPTP.

La figura abajo muestra un escenario iniciado por el cliente del Tunelización VPDN.

Cuadro 2. escenario de VPDN iniciado por el cliente del dial-in

Para más información sobre las implementaciones iniciadas por el cliente del Tunelización, vea el œ del € del â el configurar del módulo iniciado por el cliente del  del € del dial-in VPDN Tunnelingâ.

Antes de configurar un despliegue iniciado por el cliente del Tunelización del dial-in VPDN, usted debe completar las tareas requeridas en el œ del € del â que configura el AAA para el módulo del  del € de VPDNsâ.

Tunelización VPDN Mediante Marcado Iniciada por NAS

La tunelización VPDN de marcado de entrada iniciada por NAS también se conoce como tunelización obligatoria. En un escenario NAS-iniciado del Tunelización del dial-in VPDN, el cliente marca adentro al NAS con un media que soporte el PPP. Si la conexión del cliente al ISP NAS está sobre un media que se considere seguro, por ejemplo el Digital Subscriber Line (DSL), el ISDN, o el Public Switched Telephone Network (PSTN), el cliente puede elegir no proporcionar la seguridad complementaria. La sesión PPP es se tuneliza de forma segura desde el NAS hasta el servidor de túnel sin que se requiera al cliente ningún conocimiento o interacción especial.

el Tunelización NAS-iniciado VPDN se puede configurar con el L2TP o el protocolo L2F.


Nota


El soporte solamente L2TP del Routers de servicios de agregación Cisco ASR de la serie 1000.

La figura abajo muestra un escenario NAS-iniciado del Tunelización del dial-in.

Cuadro 3. escenario de VPDN NAS-iniciado del dial-in

Para más información sobre las implementaciones NAS-iniciadas el hacer un túnel, vea el módulo NAS-iniciado del Tunelización del dial-in que configura VPDN.

Antes de configurar un despliegue NAS-iniciado del Tunelización del dial-in VPDN, usted debe completar las tareas requeridas en el AAA que configura para el módulo VPDN.

Tunelización VPDN de Marcado de Salida

Las implementaciones del dial-hacia fuera VPDN permiten que el servidor de túnel haga un túnel las llamadas de salida al NAS. Las VPDNs de marcado de salida permiten que una red centralizada establezca eficaz y económicamente conexiones punto a punto virtuales con cualquier cantidad de oficinas remotas.

El Tunelización del dial-hacia fuera VPDN se puede configurar solamente con el protocolo L2TP.


Nota


Los routeres Cisco pueden llevar el dial-in y las llamadas salientes en el mismo túnel L2TP.

Un escenario del Tunelización del dial-hacia fuera VPDN se muestra en la figura abajo.

Cuadro 4. escenario de VPDN del dial-Hacia fuera

Para más información sobre las implementaciones del Tunelización del dial-hacia fuera VPDN, vea el módulo adicional de las características VPDN que configura.

Antes de configurar un despliegue del Tunelización del dial-hacia fuera VPDN, usted debe completar las tareas requeridas en el AAA que configura para el módulo VPDN.

Tunelización de Multihop VPDN

El VPDN de multisalto es una configuración de VPDN especializada que permite que los paquetes pasen a través de los túneles múltiples. Por lo general, no se permite que pasen paquetes por más de un túnel. En un despliegue multihop del Tunelización, el túnel VPDN se termina después de cada salto y un nuevo túnel se inicia al destino del salto siguiente. Se soporta un máximo de cuatro saltos.

El VPDN de multisalto se requiere para los escenarios descritos en estas secciones:

VPDN que hace un túnel a un grupo de pila MMP

Se requiere el VPDN de multisalto cuando la red privada utiliza el Multilink PPP de Mutlichassis (MMP) con los servidores del túnel múltiple en un grupo de pila. Las configuraciones del grupo de pila requieren la capacidad de establecer los túneles de la capa 2 entre los dispositivos de hardware participantes. Si los datos entrantes se entregan al grupo de pila sobre un túnel VPDN, el VPDN de multisalto se requiere para que al grupo de pila funcione.

El Tunelización del VPDN de multisalto con el MMP se puede configurar usando el L2TP o el protocolo L2F.


Nota


El Routers de los servicios de la agregación de Cisco ASR 1000 soporta solamente el L2TP.

La figura abajo muestra un escenario de red usando un VPDN de multisalto con un despliegue MMP.

Cuadro 5. MMP usando el VPDN de multisalto

Para más información sobre configurar el VPDN de multisalto para las implementaciones MMP, vea el módulo del VPDN de multisalto que configura.

Antes de configurar un VPDN de multisalto para el despliegue MMP, usted debe configurar el MMP y usted debe completar las tareas requeridas en el AAA que configura para el módulo VPDN.

Tunnel Switching VPDN

El VPDN de multisalto se puede utilizar para configurar a un router como Switch del túnel. Un Switch del túnel es un dispositivo que se configura como un NAS y servidor de túnel. Un Switch del túnel puede recibir los paquetes de un túnel entrante VPDN y enviarlos hacia fuera sobre un túnel saliente VPDN. Se pueden usar configuraciones de switch del túnel entre ISPs para proporcionar servicios de VPDN a gran escala.

El Tunnel Switching Multihop se puede configurar usando el protocolo L2TP, L2F, o PPTP.


Nota


El Routers de los servicios de la agregación de Cisco ASR 1000 soporta solamente el L2TP.

La figura abajo muestra un escenario de red usando un despliegue del Tunnel Switching.

Cuadro 6. Tunnel Switching usando el VPDN de multisalto

Para más información sobre las implementaciones multihop del Tunnel Switching, vea el módulo del VPDN de multisalto que configura.

Antes de configurar un despliegue multihop del Tunnel Switching, usted debe completar las tareas requeridas en el AAA que configura para el módulo VPDN.

Protocolos del Tunneling VPDN

Protocolos de la capa 2 del uso VPDN para hacer un túnel la capa de link de protocolos de alto nivel (por ejemplo, tramas PPP o High-Level Data Link Control (HDLC) asíncrono. Los ISP configuran su NAS para recibir las llamadas de los usuarios y para remitir las llamadas al servidor de túnel del cliente.

Generalmente, el ISP mantiene solamente la información sobre el servidor de túnel del cliente. El cliente mantiene los IP Addresses del ™ del € del usersâ, la encaminamiento, y otras funciones de bases de datos de usuarios. La administración entre el ISP y el servidor de túnel se reduce a la conectividad del IP.

Esta sección contiene la información sobre éstos los protocolos de la capa 2 que se pueden utilizar para el Tunelización VPDN:


Nota


Eficaz con la Versión de Cisco 12.4(11)T, el protocolo L2F no está disponible en Cisco IOS Software.

L2TP

El L2TP es un estándar de la Fuerza de tareas de ingeniería en Internet (IETF) (IETF) que combina las mejores características de los dos más viejos protocolos de túneles: Cisco L2F y Microsoft PPTP.

El L2TP ofrece el mismo espectro del alcance total de las características que el L2F, pero las funciones adicionales de las ofertas. Un servidor de túnel con capacidad para L2TP funcionará con un L2F existente NAS y soportará en paralelo los componentes actualizados que ejecutan el L2TP. Los servidores de túnel no requieren la reconfiguración cada vez que un NAS individual se actualiza del L2F al L2TP. La tabla abajo compara los componentes de la característica L2F y L2TP.

El cuadro 2 L2F y L2TP ofrece la comparación

Función

L2F

L2TP

Control de flujo

No

Ocultación de los pares del valor de atributo (AV)

No

Carga a compartir del servidor de túnel

Servidor de túnel que empila/soporte multihop

Servidor de túnel primario y backup secundario

Soporte del nombre del Sistema de nombres de dominio (DNS)

Flexibilidad del Domain Name

Marcha lenta y tiempo de espera absoluto

Soporte del Multilink PPP

Soporte del multilink de multichasis PPP

Seguridad

  • Todos los beneficios de seguridad de PPP, incluidas diversas opciones de autenticación por usuario:
    • Challenge Handshake Authentication Protocol (CHAP)
    • Microsoft CHAP (MS-CHAP)
    • Protocolo password authentication (PAP)
  • Autenticación de túnel obligatoria
  • Todos los beneficios de seguridad de PPP, incluidas diversas opciones de autenticación por usuario:
    • GRIETA
    • MS-CHAP
    • PAP
  • Autenticación de túnel opcional

IP Address registrado tradicionales del soporte de servicios de la interconexión de redes de marcación manual solamente, que limita los tipos de aplicaciones que se implementen sobre los VPDN. Protocolos múltiples de los soportes L2TP y IP Addresses desregistrados y privado administrados. Esto permite la infraestructura de acceso existente--por ejemplo Internet, los módems, el Access Server, y los adaptadores de terminal ISDN (TA)--para ser utilizado. También permite los clientes externalicen el soporte del dial-hacia fuera, así reduciendo por encima para los costes de mantenimiento de hardware y 800 tarifas del número, y permite que concentren los recursos del gateway corporativo.

La figura abajo muestra la arquitectura básica L2TP en un entorno típico del dial-in.

Cuadro 7. arquitectura L2TP

Usando el Tunelización L2TP, el ISP o el otro servicio del acceso puede crear un túnel virtual para conectar los sitios remotos o a los usuarios remotos a las redes domésticas corporativas. El NAS situado en el POP del ISP intercambia los mensajes PPP por los usuarios remotos y comunica por las peticiones y las respuestas L2TP con el servidor de túnel de la red privada de configurar los túneles. El L2TP pasa los paquetes del nivel del protocolo a través del túnel virtual entre los puntos finales de una conexión Point-to-Point. Los capítulos de los usuarios remotos son validados por el ISP NAS, eliminados de cualquier byte conectado el enmarcar o de la transparencia, encapsulados en el L2TP, y remitidos sobre el túnel apropiado. El servidor de túnel de la red privada valida estas tramas L2TP, elimina la encapsulación L2TP, y procesa las tramas entrantes para la interfaz apropiada.

La figura abajo representa los eventos que ocurren durante el establecimiento de una conexión NAS-iniciada del dial-in L2TP.

Cuadro 8. eventos de la negociación del protocolo L2TP

Lo que sigue describe la Secuencia de eventos mostrada en la figura arriba y se cierra a la figura:

  1. El usuario remoto inicia una conexión PPP al ISP NAS usando un medio que soporta PPP, como el sistema de teléfono analógico. El NAS valida la conexión, se establece el link PPP, y se negocia el (LCP) del Link Control Protocol.
  2. Después del usuario final y del NAS negocie el LCP, el NAS autentica parcialmente al usuario final con la GRIETA o el PAP. El nombre de usuario, el Domain Name, o el Dialed Number Information Service (DNIS) se utiliza para determinar si el usuario es un cliente VPDN. Si el usuario no es un cliente VPDN, la autenticación continúa, y el cliente accederá Internet u otro servicio entrado en contacto. Si el nombre de usuario es un cliente VPDN, la asignación nombrará un punto final específico (el servidor de túnel).
  3. Los puntos finales del túnel, el NAS y el servidor de túnel, se autentican antes de que intenten cualquier túnel o establecimiento de sesión. Alternativamente, el servidor de túnel puede validar la creación de túnel sin ninguna autenticación de túnel del NAS. El NAS y los mensajes del control de intercambio del servidor de túnel para negociar al establecimiento del túnel.
  4. Una vez que existe el túnel, una sesión L2TP se crea para el usuario final. El NAS y el intercambio del servidor de túnel llaman los mensajes para negociar al establecimiento de sesión.
  5. El NAS propagará la opción de LCP negociada y la información parcialmente autenticada de la GRIETA o PAP al servidor de túnel. El servidor de túnel concentrará las opciones y la información de autenticación negociadas directamente a la interfaz de acceso virtual, permitiendo que la autenticación sea completada. Si las opciones configuradas en la interfaz de plantilla virtual no hacen juego las opciones negociadas con el NAS, la conexión fallará y una notificación de la desconexión será enviada al NAS.
  6. Los paquetes PPP se intercambian entre el cliente dial in y el servidor de túnel remoto como si no hay dispositivo intermediario (el NAS) implicado.

Las sesiones entrantes subsiguientes PPP (señaladas para el mismo servidor de túnel) no relanzan la negociación de túnel L2TP porque el túnel L2TP está ya abierto.

L2TPv3

El L2TPv3 es una versión mejorada del L2TP con la capacidad para hacer un túnel cualquier payload de la capa 2. El L2TPv3 define el protocolo L2TP para las cargas útiles de la capa 2 el hacer un túnel sobre una red de núcleo IP usando el Redes privadas virtuales (VPN) de la capa 2.

En las implementaciones VPDN, el L2TPv3 se puede utilizar para establecer un túnel iniciado por el cliente de un router local a la red del cliente remoto sobre un circuito emulado conocido como pseudowire. Hay un pseudowire asociado a cada sesión del L2TPv3.

Bastante que usando una configuración del grupo de VPDN, el L2TPv3 utiliza una configuración de clase L2TP que se asocie al pseudowire. Los pseudowires del L2TPv3 se pueden también utilizar para establecer los túneles L2TP configurando una clase L2TP en el dispositivo local y un grupo de VPDN del validar-dialin en la red del cliente.

Para información detallada sobre el protocolo del L2TPv3, vea la sección de referencias adicional.

L2F

El L2F es un Tunneling Protocol más viejo, pero todavía ofrece una amplia gama de funciones útiles. El L2F ofrece una comparación los componentes de la característica L2F y L2TP.


Nota


Eficaz con la Versión de Cisco 12.4(11)T, el protocolo L2F no está disponible en Cisco IOS Software.

La figura abajo muestra la arquitectura básica L2F en un entorno típico del dial-in.

Cuadro 9. arquitectura L2F

Usando el Tunelización L2F, el ISP o el otro servicio del acceso puede crear un túnel virtual para conectar los sitios remotos o a los usuarios remotos a la red doméstica corporativa. El NAS situado en el POP del ISP intercambia los mensajes PPP por los usuarios remotos y comunica por las peticiones y las respuestas L2F con el servidor de túnel de la red privada de configurar los túneles. El L2F pasa los paquetes del nivel del protocolo a través del túnel virtual entre los puntos finales de una conexión Point-to-Point. Los capítulos de los usuarios remotos son validados por el ISP NAS, eliminados de cualquier byte conectado el enmarcar o de la transparencia, encapsulados en el L2F, y remitidos sobre el túnel apropiado. El servidor de túnel de la red privada valida estas tramas L2F, elimina la encapsulación L2F, y procesa las tramas entrantes para la interfaz apropiada.

La figura abajo representa los eventos que ocurren durante el establecimiento de una conexión NAS-iniciada del dial-in L2F.

Cuadro 10. eventos de la negociación del protocolo L2F

Lo que sigue describe la Secuencia de eventos mostrada en la figura arriba y se cierra a la figura:

  1. El usuario remoto inicia una conexión PPP al ISP NAS usando un medio que soporta PPP, como el sistema de teléfono analógico. El NAS valida la conexión, se establece el link PPP, y se negocia el LCP.
  2. El NAS comienza la autenticación PPP enviando un desafío de la GRIETA al cliente. El cliente contesta con una respuesta de la GRIETA.
  3. Cuando el NAS recibe la respuesta de la GRIETA, cualquier el número de teléfono del cual el usuario marcado adentro (al usar la autenticación DNIS basada) o el Domain Name del usuario (al usar la autenticación basada en el Domain Name) hace juego una configuración en el NAS o su servidor del Authentication, Authorization, and Accounting (AAA). El NAS y el servidor de túnel intercambian los paquetes de control L2F, abriendo el túnel L2F.
  4. Una vez que el túnel L2F está abierto, los paquetes de sesión del intercambio L2F NAS y del servidor de túnel. El NAS envía la información del cliente del servidor de túnel de la negociación LCP, del desafío de la GRIETA, y de la respuesta de la GRIETA. El servidor de túnel crea una interfaz de acceso virtual para el cliente y responde al NAS, abriendo la sesión L2F.
  5. El servidor de túnel autentica el desafío y la respuesta de la GRIETA (usando local o el telecontrol AAA) y envía una GRIETA el paquete Auténtico-ACEPTABLE al cliente. Esto completa la autenticación CHAP de tres vías.
  6. Cuando el cliente recibe el paquete Auténtico-ACEPTABLE de la GRIETA, puede enviar los paquetes encapsulados PPP al servidor de túnel. El cliente y el servidor de túnel pueden ahora intercambiar los paquetes encapsulados PPP. El NAS actúa como promotor transparente de la trama PPP.

Las sesiones entrantes subsiguientes PPP (señaladas para el mismo servidor de túnel) no relanzan la negociación de túnel L2F porque el túnel L2F está ya abierto.

PPTP (Protocolo de arquitectura de túneles punto a punto)

El PPTP es un Network Protocol que habilita la transferencia segura de los datos de un cliente remoto a un servidor de la empresa privada creando un VPDN a través de las redes de datos TCP/IP basadas. Soportes PPTP a pedido, multiprotocol, Virtual Private Networking sobre las redes públicas, tales como Internet.

Cisco soporta solamente los VPDN iniciados por el cliente usando el PPTP. Solamente el cliente y el servidor de túnel necesitan ser configurados para el VPDN. El cliente primero establece la conectividad básica marcando adentro a un ISP NAS. Una vez que han establecido a la sesión PPP, el cliente inicia un túnel PPTP al servidor de túnel.

El Microsoft Point-to-Point Encryption (MPPE), una tecnología de encripción desarrollada por el Microsoft para cifrar los links punto a punto, se puede utilizar para cifrar PPTP VPDN. Cifra la sesión entera del cliente al servidor de túnel.

Lo que sigue describe los eventos de la negociación del protocolo que establecen un túnel iniciado por el cliente PPTP:

  1. El cliente marca adentro al ISP NAS y establece a una sesión PPP.
  2. El cliente establece una conexión TCP con el servidor de túnel.
  3. El servidor de túnel valida la conexión TCP.
  4. El cliente envía un mensaje de la petición de control de conexión del comienzo PPTP (SCCRQ) al servidor de túnel.
  5. El servidor de túnel establece un nuevo túnel PPTP y contesta con un mensaje de la contestación del control de conexión del comienzo (SCCRP).
  6. El cliente inicia la sesión enviando un mensaje del Outgoing Call ReQuest (OCRQ) al servidor de túnel.
  7. El servidor de túnel crea una interfaz de acceso virtual.
  8. Las contestaciones del servidor de túnel con una llamada saliente contestan el mensaje (OCRP).

Modos de Configuración del Grupo de VPDN

Muchas tareas de la configuración de VPDN se realizan dentro de un grupo de VPDN. Un grupo de VPDN puede ser configurado para funcionar como un grupo de VPDN NAS o como un grupo de VPDN del servidor de túnel, pero no como ambos. Sin embargo, un router individual se puede configurar con un grupo de VPDN NAS y un grupo de VPDN del servidor de túnel.

Usted puede configurar a un grupo de VPDN como tipo específico de grupo de VPDN publicando por lo menos uno de los comandos enumerados en la tabla abajo:

  • Los grupos de VPDN del servidor de túnel se pueden configurar para validar las llamadas entrantes, las llamadas salientes de la petición, o ambas.
  • Los grupos de VPDN NAS pueden ser configurados para pedir las llamadas entrantes, validan las llamadas salientes, o ambas.
Modos de configuración del subgrupo del cuadro 3 VPDN

Tipo del grupo de VPDN

Comando

Modo de comando

Prompt del modo de comando

servidor de túnel

validar-dialin

Configuración del validar-dialin VPDN

Router (config-VPDN-ACC-en) #

servidor de túnel

petición-dialout

Configuración del petición-dialout VPDN

Router (config-VPDN-req-OU) #

NAS

petición-dialin

Configuración del petición-dialin VPDN

Router (config-VPDN-req-en) #

NAS

validar-dialout

Configuración del validar-dialout VPDN

Router (config-VPDN-ACC-OU) #

Publican muchos de los comandos required de configurar correctamente el Tunelización VPDN en uno de los modos de configuración del subgrupo VPDN mostrados en la tabla arriba. La eliminación del comando configuration del subgrupo VPDN quitará todos los comandos configuration del subgrupo del subordinado VPDN también.

Adonde ir después

Una vez que usted ha identificado la arquitectura VPDN que usted quiere configurar y el Tunneling Protocol que usted utilizará, usted debe realizar las tareas requeridas en el AAA que configura para el módulo VPDN.

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos vpdn

Referencia del comando vpdn del Cisco IOS

Información sobre el multilink de multichasis PPP

Implementar el módulo del multilink de multichasis PPP

Documentación del soporte técnico para las L2TP

Layer 2 Tunnel Protocol (L2TP)

Documentación del soporte técnico para las PPTP

Point to Point Tunneling Protocol (PPTP)

Documentación del soporte técnico para las VPDNs

Virtual Private Dial-Up Network (VPDN)

Comandos de las tecnologías de marcado: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de las Tecnologías de Marcado de Cisco IOS

Información sobre el L2TPv3

L2TPv3: Módulo de la versión 3 del Tunnel Protocol de la capa 2

Estándares

Estándar

Título

Ninguno

--

MIB

MIB

Link del MIB

  • CISCO-VPDN-MGMT-MIB
  • CISCO-VPDN-MGMT-EXT-MIB

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC

Título

RFC 2341

Capa dos (protocolo) L2F de envío de Cisco

RFC 2637

Protocolo de Tunelización punto a Punto (PPTP)

RFC 2661

Protocolo layer two tunneling L2TP

RFC 3931

Protocolo de Tunelización de Capa Dos - Versión 3 (L2TPv3)

Asistencia Técnica

Descripción

Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html