Virtual Access PPP-Funktionen in Cisco IOS

Einleitung

In diesem Dokument wird die allgemeine Architektur von Virtual Access PPP-Anwendungen in Cisco IOS® beschrieben. Weitere Informationen zu einem bestimmten Feature finden Sie in den Dokumenten, die am Ende des Glossars aufgeführt sind.

Vorbereitungen

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Voraussetzungen

Es sind keine besonderen Voraussetzungen erforderlich, um den Inhalt dieses Dokuments nachzuvollziehen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn sich Ihr Netzwerk in der Produktionsumgebung befindet, müssen Sie sich bei jedem Befehl zunächst dessen potenzielle Auswirkungen vor Augen führen.

Glossar

Im Folgenden sind Begriffe aufgeführt, die in diesem Dokument verwendet werden.

• Zugriffsserver: Cisco Access Server-Plattformen, einschließlich ISDN und asynchroner Schnittstellen für den Remote-Zugriff.

• L2F: Layer 2 Forwarding Protocol (Experimental Draft RFC) Hierbei handelt es sich um die zugrunde liegende Link-Level-Technologie für Multichassis MP und Virtual Private Networks (VPN).

• Link: Ein von einem System bereitgestellter Verbindungspunkt. Dabei kann es sich um eine dedizierte Hardwareschnittstelle (z. B. eine asynchrone Schnittstelle) oder einen Kanal auf einer Mehrkanal-Hardwareschnittstelle (z. B. PRI oder BRI) handeln.

• MP: Multilink PPP Protocol (siehe RFC 1717).

• Multichassis MP: MP + SGBP + L2F + Vtemplate.

• PPP: Point-to-Point Protocol (siehe RFC 1331).

• Rotary-Gruppe: Eine Gruppe physischer Schnittstellen, die für das Wählen oder Empfangen von Anrufen zugewiesen sind. Die Gruppe agiert wie ein Pool, aus dem jede Verbindung zum Wählen oder Empfangen von Anrufen verwendet werden kann.

• SGBP: Stack Group Bidding-Protokoll

• Stack-Gruppe: Eine Sammlung von zwei oder mehr Systemen, die für den Betrieb als Gruppe konfiguriert werden und MP-Pakete mit Links auf verschiedenen Systemen unterstützen.

• VPDN: Virtuelles privates DFÜ-Netzwerk. Die Weiterleitung von PPP-Verbindungen von einem Internet Service Provider (ISP) zu einem Home-Gateway.

• vTemplate: Schnittstelle für virtuelle Vorlagen.

Hinweis: Informationen zu den in diesem Dokument genannten RFCs finden Sie unter RFCs Supported in Cisco IOS Release 11.2, a product bulletin; oder Abrufen von RFCs und anderen Standarddokumenten für eine direkte Verbindung zu InterNIC.

Überblick über die virtuelle Zugriffsschnittstelle

In der Cisco IOS-Version 11.2F unterstützt Cisco die folgenden DFÜ-Zugriffsfunktionen: VPDN, Multichassis Multilink, VP, Protocol Translation mit Virtual-Access und PPP/ATM. Diese Funktionen verwenden virtuelle Schnittstellen, um PPP auf ihren Zielcomputern zu übertragen.

Eine Virtual Access-Schnittstelle ist eine Cisco IOS-Schnittstelle, genau wie physische Schnittstellen wie eine serielle Schnittstelle. Eine serielle Schnittstellenkonfiguration befindet sich in der Konfiguration der seriellen Schnittstelle.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Physische Schnittstellen haben statische, feste Konfigurationen. Virtual Access-Schnittstellen werden jedoch dynamisch bei Bedarf erstellt (die verschiedenen Einsatzmöglichkeiten werden im nächsten Abschnitt dieses Dokuments behandelt). Sie werden auch dann freigegeben, wenn sie nicht mehr benötigt werden. Daher muss die Konfigurationsquelle für Virtual Access-Schnittstellen auf andere Weise verankert werden.

Die verschiedenen Methoden, mit denen ein virtueller Zugriff seine Konfiguration erhält, werden über die Schnittstelle für virtuelle Vorlagen und/oder RADIUS- und TACAC+-Datensätze auf einem Authentifizierungsserver bereitgestellt. Die zweite Methode wird als benutzerspezifische virtuelle Profile bezeichnet. Da Schnittstellen für virtuellen Zugriff mithilfe einer globalen virtuellen Vorlage konfiguriert werden können, können Schnittstellen für virtuellen Zugriff für verschiedene Benutzer identische Konfigurationen von einer Schnittstelle für virtuelle Vorlagen übernehmen. Beispielsweise kann der Netzwerkadministrator eine gemeinsame PPP-Authentifizierungsmethode (CHAP) für alle Virtual Access-Benutzer des Systems definieren. Für spezifische, auf einzelne Benutzer zugeschnittene Konfigurationen kann der Netzwerkadministrator benutzerspezifische Schnittstellenkonfigurationen im virtuellen Profil definieren, z. B. die PAP-Authentifizierung. Kurz gesagt: Das allgemeine und spezifische Konfigurationsschema, das für die Virtual Access-Schnittstellen zur Verfügung steht, ermöglicht es dem Netzwerkadministrator, Schnittstellenkonfigurationen anzupassen, die allen Benutzern gemeinsam sind und/oder individuell auf den Benutzer zugeschnitten sind.

Abbildung 1 oben zeigt zwei der Virtual Access-Schnittstellen für Benutzer A und Benutzer B. Vorgang 1 bezeichnet die Anwendung der Schnittstellenkonfiguration von einer globalen Virtual Template-Schnittstelle auf die beiden Virtual Access-Schnittstellen. Operation 2 bezeichnet die Anwendung von benutzeroberflächenspezifischen Konfigurationen aus verschiedenen virtuellen Profilen auf die beiden Virtual Access-Schnittstellen.

Anwendungen der virtuellen Zugriffsschnittstellen

In diesem Abschnitt werden die verschiedenen Nutzungsarten von Virtual Access-Schnittstellen durch Cisco IOS beschrieben.

Sie werden feststellen, ein wiederkehrendes Design jeder Anwendung - sie ermöglichen eine allgemeine virtuelle Vorlage speziell für die Anwendung (Operation 1). Benutzerspezifische virtuelle Profile werden dann pro Benutzer angewendet (Vorgang 2)

PPP mit mehreren Verbindungen

Multilink PPP nutzt die Virtual Access-Schnittstelle als Paketschnittstelle, um über einzelne Verbindungen empfangene Pakete zusammenzufassen und über einzelne Verbindungen gesendete Pakete zu fragmentieren. Die Paketschnittstelle erhält ihre Konfiguration aus der Virtual Template, die spezifisch für Multilink PPP ist. Wenn der Netzwerkadministrator virtuelle Profile aktiviert, wird die Konfiguration der benutzerspezifischen virtuellen Profilschnittstelle auf die Paketschnittstelle für diesen Benutzer angewendet.

Abbildung 2 zeigt die Verwendung von Multilink PPP für serielle Schnittstellen. Da es keine Dialer-Schnittstelle gibt, wird eine Virtual Template-Schnittstelle wie folgt definiert:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

Die optionale Virtual Profile-Konfiguration pro Benutzername wird dann auf die Paketschnittstelle angewendet. Bei der Wählschnittstelle handelt es sich bei der Paketschnittstelle um eine passive Schnittstelle. Es ist keine virtuelle Vorlagenschnittstelle erforderlich.

In Abbildung 3 unten ist beispielsweise ein PRI se0:23 dargestellt, der so konfiguriert ist, dass er Multilink-PPP unterstützt.

Beachten Sie, dass bei aktiviertem virtuellem Profil das Schema zurückgesetzt wird, das in Abbildung 2 dargestellt ist. Das heißt, wenn ein eingehender Anruf über eine Wählschnittstelle empfangen wird und das virtuelle Profil aktiviert ist, wird die Konfigurationsquelle nicht mehr vom Wähler verwendet. Stattdessen ist die Paketschnittstelle (siehe Abbildung 2) die "aktive" Schnittstelle, in die alle Protokolle gelesen oder geschrieben werden. Die Konfigurationsquelle ist zunächst die Virtual Template-Schnittstelle und dann das Virtual Profile (Virtuelles Profil) für einen bestimmten Benutzer.

L2F

Layer-2-Forwarding auf Verbindungsebene (L2F) ermöglicht das Beenden von PPP an einem Remote-Ziel. Normalerweise befindet sich PPP ohne L2F zwischen dem eingewählten Client und dem NAS-Gerät, das den eingehenden Anruf entgegennahm. Bei L2F wird die PPP zu einem Zielknoten projiziert. Soweit es den Client betrifft, "denkt" er, dass er über PPP mit dem Zielknoten verbunden ist. Das NAS wird im Prinzip zu einem einfachen PPP-Frame-Forwarder. In der L2F-Terminologie wird der Zielknoten als Home-Gateway bezeichnet.

Am Home-Gateway wird die PPP-Verbindung über die Virtual Access-Schnittstelle terminiert. Auch hier wird eine virtuelle Vorlage als Konfigurationsquelle verwendet. Wenn Virtual Profile (Virtuelles Profil) definiert ist, wird die benutzerspezifische Schnittstellenkonfiguration auf die Virtual-Access-Schnittstelle angewendet.

Der L2F-Tunnel wird derzeit über UDP/IP propagiert.

L2F-Tunneling-Technologie wird derzeit in zwei Cisco IOS 11.2-Funktionen verwendet: VPDN (Virtual Private Dialup Network) und Multichassis Multilink PPP (MMP).

VPDN

Mit VPDN können private Netzwerke vom Client direkt bis zum Home Gateway Ihrer Wahl reichen. Beispielsweise möchten mobile Benutzer (z. B. der Vertrieb) von HP jederzeit und überall auf das HP Home-Gateway ihrer Wahl zugreifen können. HP tätigte Verträge mit ISPs, die PDN unterstützten. Diese ISPs werden so konfiguriert, dass das NAS automatisch an das HP Home-Gateway weiterleitet, wenn jsmith@hp.com eine der vom ISP bereitgestellten Nummern wählt. Der ISP ist somit von der Verwaltung der IP-Adressen, des Routings und anderer Funktionen der HP-Benutzer befreit, die mit der HP-Benutzerbasis verknüpft sind. Die HP-Administration des ISP wird beim HP Home-Gateway auf Probleme mit der IP-Verbindung reduziert.

NAS: ISP

  vpdn outgoing hp.com isp ip 1.1.1.2 

Home-Gateway: HP-Gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichassis

PPP Multilink bietet Benutzern bei Bedarf zusätzliche Bandbreite und die Möglichkeit, Pakete über eine logische Leitung (Bündel) aufzuteilen und neu zu kombinieren, die aus mehreren Verbindungen besteht. Dadurch wird die Übertragungslatenz über die langsamen WAN-Verbindungen reduziert und eine Methode zur Erhöhung der maximalen Empfangseinheit bereitgestellt. Multilink wird in einer einzigen Access Server-Umgebung unterstützt.

ISPs möchten beispielsweise mehreren PRIs auf mehreren Zugriffsservern bequem eine einzelne Dreh-/Weiterleitungsnummer zuweisen, die skalierbar und flexibel an ihre geschäftlichen Anforderungen anpassbar ist.

Bei Multichassis Multilink können mehrere Multilink-Verbindungen desselben Clients an unterschiedlichen Access Servern enden. Während einzelne MP-Verbindungen desselben Bündels tatsächlich an verschiedenen Access-Servern enden können, ist es, was den MP-Client betrifft, so, als würde er an einem einzigen Access-Server enden. Wenn Komponenten mit VPDN verglichen werden, unterscheidet sich Multichassis nur durch ein zusätzliches StackGroup Biding Protocol (SGBP), um die Angebotsabgabe und die Arbitrierung von Multilink-Paketen zu erleichtern. Sobald die Ziel-IP-Adresse des Siegers der Stack Group über SGBP entschieden wurde, verwendet Multichassis L2F, um vom NAS auf das andere NAS zu projizieren, von dem das eine den Sieger der Stack Group darstellt.

Ruft beispielsweise in einer Stack-Gruppe stackq von zwei NASs auf: nasa und nasb.

Nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

Nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Protokollübersetzung

Mithilfe der Protokollübersetzung kann PPP-gekapselter Datenverkehr über ein Gateway - z. B. X.25/TCP - als Virtual Access-Schnittstelle terminiert werden (Übersetzung in zwei Schritten). Die Virtual Access-Schnittstelle wird auch über eine Übersetzung in einem Schritt unterstützt.

Beispiel für Protokollübersetzung in zwei Schritten:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Beispiel für Protokollübersetzung in einem Schritt:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP über ATM

Diese Funktion unterstützt die Beendigung mehrerer PPP-Verbindungen an einer Router-ATM-Schnittstelle, wenn die Daten entsprechend der Frame Forwarding-Kapselung von Cisco (StrataCom) formatiert sind. Das PPP-Protokoll wird auf dem Router so terminiert, als ob es von einer typischen seriellen PPP-Schnittstelle empfangen würde. Jede PPP-Verbindung wird in einem separaten ATM-VC gekapselt. VCs mit anderen Kapselungsarten können ebenfalls auf derselben Schnittstelle konfiguriert werden.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Virtuelle Profile

Virtual Profiles ist eine einzigartige PPP-Anwendung, die benutzerspezifische Konfigurationsinformationen für Benutzer definiert, die sich bei einem Router einwählen. Über virtuelle Profile können benutzerspezifische Konfigurationsinformationen unabhängig von den für den Einwahlanruf verwendeten Medien angewendet werden. Die Konfigurationsdaten für virtuelle Profile können je nach Konfiguration von Router und AAA-Server aus einer Vorlage für virtuelle Schnittstellen, aus benutzerspezifischen Konfigurationsdaten, die auf einem AAA-Server gespeichert sind, oder aus beiden stammen. Die Anwendung virtueller Profile kann in einer Einzelkomponentenumgebung, in einem VPDN Home-Gateway oder in einer Multi-Chassis-Umgebung erfolgen.

So definieren Sie eine virtuelle Vorlage als Konfigurationsquelle für das virtuelle Profil:

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

So definieren Sie AAA als Konfigurationsquelle für das virtuelle Profil:

virtual-profile aaa

In diesem Beispiel beschließt der Systemadministrator, Routen zu filtern, die John angekündigt werden, und Zugriffslisten auf Zicks Einwahlverbindungen anzuwenden. Wenn sich John oder Rick über die Schnittstelle S1 oder BRI 0 einwählt und sich authentifiziert, wird ein virtuelles Profil erstellt: Routenfilter werden auf John und Zugriffslisten auf Rick angewendet.

AAA-Konfiguration für die Benutzer John und Rick:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

Kurz gesagt, enthalten die AAA cisco-avairs Cisco IOS-Befehle für einzelne Schnittstellen, die für einen bestimmten Benutzer angewendet werden sollen.