Funciones de acceso virtual PPP en el IOS de Cisco
Contenido
Introducción
Este documento describe la arquitectura general de las aplicaciones PPP de Acceso Virtual en Cisco IOS®. Para obtener más información sobre una función específica, consulte los documentos que se encuentran al final del Glosario.
Antes de comenzar
Convenciones
Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.
Prerequisites
No hay requisitos previos específicos para este documento.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.
Glosario
A continuación se indican los términos que aparecerán en este documento.
-
Servidor de acceso: Plataformas Cisco Access Server, incluidas las interfaces asincrónicas e ISDN para proporcionar acceso remoto.
-
L2F: Protocolo de reenvío de Capa 4 (RFC borrador experimental). Esta es la tecnología de nivel de link subyacente para Multichassis MP y Redes privadas virtuales (VPN).
-
Enlace: Punto de conexión proporcionado por un sistema. Puede ser una interfaz de hardware dedicada (como una interfaz asíncrona) o un canal en una interfaz de hardware multicanal (como PRI o BRI).
-
MP: Protocolo PPP de links múltiples (consulte RFC 1717).
-
MP multichasis: MP + SGBP + L2F + Vtemplate.
-
PPP: Protocolo punto a punto (consulte RFC 1331).
-
Grupo rotativo: Un grupo de interfaces físicas asignadas para realizar o recibir llamadas. El grupo actúa como un grupo desde el cual cualquier link puede ser usado para realizar o recibir llamadas.
-
SGBP: Protocolo de licitación de grupo de pila
-
Grupo de pila: Un conjunto de dos o más sistemas que se configurarán para funcionar como grupo y para admitir agrupamientos MP con links en diferentes sistemas.
-
VPDN: Virtual Private Dialup Network. El reenvío de enlaces PPP desde un proveedor de servicios de Internet (ISP) a una puerta de enlace doméstica.
-
Vtemplate: Interfaz de plantilla virtual.
Nota: Para obtener información sobre las RFC a las que se hace referencia en este documento, vea RFCs Soportados en Cisco IOS Release 11.2, un boletín del producto; o Obtención de RFC y otros documentos de estándares para un link directamente a InterNIC.
Descripción general de la interfaz de acceso virtual
En Cisco IOS Release 11.2F, Cisco soporta estas funciones de acceso telefónico: VPDN, Multichasis de link múltiple, VP, Traducción de protocolos utilizando Acceso virtual y PPP/ATM. Estas características utilizan interfaces virtuales para transmitir PPP en sus máquinas de destino.
Una interfaz de acceso virtual es una interfaz del IOS de Cisco al igual que las interfaces físicas, por ejemplo, una interfaz serial. Una configuración de interfaz de serie se encuentra en la configuración de la interfaz de serie.
#config int s0 ip unnumbered e0 encap ppp :
Las interfaces físicas poseen configuraciones fijas y estáticas. Sin embargo, las interfaces de acceso virtual se crean en forma dinámica a pedido (los diferentes usos se tratan en la siguiente sección de este documento). También son liberados cuando ya no son necesarios. Por lo tanto, la fuente de la configuración de las interfaces de acceso virtual debe ser anclada por otros medios.
Los distintos métodos por los cuales un acceso virtual obtiene su configuración son a través de la interfaz de plantilla virtual y/o los registros RADIUS y TACAC+ que residen en el servidor de autenticación. El método anterior se denomina Perfiles virtuales por usuario. Debido a que las interfaces de acceso virtual pueden configurarse utilizando una plantilla global virtual, las interfaces de acceso virtual para varios usuarios pueden heredar configuraciones idénticas desde una interfaz de plantilla virtual. Por ejemplo, el administrador de la red puede definir un método de autenticación PPP (CHAP) común para todos los usuarios de acceso virtual del sistema. Para configuraciones específicas personalizadas por usuario, el administrador de red puede definir configuraciones de interfaz, como la autenticación PAP, específicas para el usuario en el perfil virtual. En resumen, el esquema de configuración general-a-específico para las interfaces de acceso virtual le permite al administrador de la red adaptar las configuraciones de interfaz para todos los usuarios y/o individualmente para cada usuario.
La figura 1 anterior ilustra dos de las interfaces de acceso virtual para el usuario A y el usuario B. La Operación 1 denota la aplicación de la configuración de la interfaz de una interfaz de plantilla virtual global a las dos interfaces de acceso virtual. La Operación 2 denota la aplicación de configuraciones de interfaz por usuario desde diferentes perfiles virtuales a las dos interfaces de acceso virtual.
Aplicaciones de las interfaces de acceso virtual
Esta sección describe las diversas maneras en que IOS de Cisco utiliza las interfaces de Acceso virtual.
Observará un tema recurrente de cada aplicación: permiten una plantilla virtual general específica de la aplicación (operación 1). Luego los perfiles virtuales por usuario se aplican por usuario (Operación 2)
PPP de links múltiples
Los PPP de links múltiples utilizan la interfaz de Acceso virtual como interfaz de agrupamiento para volver a ensamblar paquetes recibidos mediante links individuales y para fragmentar paquetes enviados a través de links individuales. La interfaz de agrupamiento obtiene su configuración de la plantilla virtual específica para Multilink PPP. Si el administrador de la red habilita los perfiles Virtuales, entonces se aplicará la configuración de la interfaz de Perfiles virtuales por nombre de usuario a la interfaz de agrupamiento de ese usuario.
La figura 2 muestra el uso del PPP de links múltiples de las interfaces seriales. Dado que no hay interfaz de marcación, la interfaz de plantilla virtual es definida por:
multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp chap authen
Se le aplica luego a la interfaz de agrupamiento una configuración opcional de Perfil virtual por nombre de usuario. Cuando la interfaz de marcador está involucrada, la interfaz de agrupamiento es una interfaz pasiva - no se requiere una interfaz de plantilla virtual.
Por ejemplo, la Figura 3 a continuación describe un PRI se0:23 configurado para soportar Multilink PPP.
Recuerde que si el perfil virtual está activado, el esquema se revierte al mostrado en la Figura 2. Es decir que si se recibe una llamada entrante en una interfaz de marcado y el perfil virtual está activado, el origen de la configuración ya no será desde el marcador. En cambio, la interfaz de agrupamiento (vea la figura 2) es la interfaz “activa” en la que se leerán o escribirán todos los protocolos. El origen de la configuración es, en primer lugar, la interfaz de plantilla virtual y, a continuación, el perfil virtual de un usuario concreto.
L2F
El reenvío de nivel de link de la capa 2 ó L2F permite que el PPP finalice en un destino remoto. Normalmente, sin L2F, PPP está entre el cliente marcado y el NAS que respondió la llamada entrante. Con L2F, PPP se proyecta a un nodo de destino. En lo que concierne al cliente, "cree" que está conectado al nodo de destino vía PPP. El NAS, en efecto, se convierte en una simple aplicación de reenvío de tramas PPP. En la terminología L2F, el nodo de destino se denomina gateway de inicio.
En el Gateway de inicio, la interfaz de Acceso virtual se usa para finalizar el link PPP. Una vez más, se utiliza una plantilla virtual como origen de la configuración. Si el Perfil virtual es definido, la configuración de interfaz por usuario se aplica a la interfaz de Acceso virtual.
En este momento el túnel L2F se ha propagado por UDP/IP.
La tecnología de tunelización L2F se utiliza actualmente en dos características de Cisco IOS 11.2: VPDN (Virtual Private Dialup Network) y Multichassis Multilink PPP (MMP).
VPDN
VPDN permite que las redes privadas se expandan directamente desde el cliente a la gateway de inicio elegida. Por ejemplo, los usuarios móviles (de ventas por ejemplo) de HP desean poder conectarse siempre a la gateway de inicio HP de su elección en cualquier lugar y en cualquier momento. HP contrataría a los Proveedores de servicios de Internet (ISP) que admitan PDN. Estos ISP se configurarán de manera que, si jsmith@hp.com marca alguno de los números provistos por el ISP, el NAS lo reenvía automáticamente al gateway de inicio HP. El ISP queda así libre de administrar las direcciones IP, el routing y otras funciones de los usuarios de HP vinculadas a la base de usuarios de HP. La administración HP de ISP se reduce a problemas de conectividad IP para el gateway de inicio de HP.
NAS : isp
vpdn outgoing hp.com isp ip 1.1.1.2
Gateway de inicio: gateway hp
int virtual-template 1 ip unnum e0 encap ppp ppp chap authen vpdn incoming isp hp-gateway virtual-template 1
Varios chasis
PPP Multilink proporciona a los usuarios ancho de banda adicional a demanda, con la capacidad de dividir y recombinar paquetes a través de una canalización (agrupamiento) lógica formada por varios enlaces. Esto reduce la latencia de la transmisión en los links lentos de WAN y también proporciona un método para incrementar la unidad de recepción máxima. El link múltiple se admite en un entorno de un solo servidor de acceso.
Los ISP, por ejemplo, querrían asignar según su conveniencia un único número rotativo para múltiples PRI a través de múltiples servidores de acceso, escalables y flexibles a sus necesidades comerciales.
Con Multichassis Multilink, varios enlaces Multilinks del mismo cliente pueden terminar en diferentes servidores de acceso. Si bien los links MP individuales de un mismo agrupamiento pueden terminar en distintos Servidores de acceso, en lo que respecta al cliente MP, es como si terminara en un solo servidor de acceso. Cuando se comparan los componentes con los de VPDN, la única diferencia es que Multichasis posee un Protocolo de licitación de grupo de pila (SGBP) adicional para facilitar la licitación y el arbitraje de paquetes de link múltiple. Una vez que se determina la dirección IP de destino del ganador del grupo de pila sobre SGBP, Multichassis usa L2F para proyectar desde un NAS a otro NAS cuál de ellos es el ganador del grupo de pila.
Por ejemplo, en un grupo de pila llama a stackq de dos NAS: NASA y NASB.
nasa:
username stackq password hello multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap sgbp stack stackq sgbp member nasb 1.1.1.2
nasb:
username stackq password hello multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap sgbp stack stackq sgbp member nasb 1.1.1.2
Traducción de protocolo
La traducción de protocolo permite que el tráfico encapsulado PPP a través de una puerta de enlace, como X.25/TCP, termine como interfaz de acceso virtual (traducción de dos pasos). La interfaz de acceso virtual se admite también en la traducción de un paso.
Ejemplo de traducción de protocolo en dos pasos:
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap vty-async virtual-template 1
Ejemplo de conversión de protocolo en un paso:
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap translate tcp 1.1.1.1 virtual-template 1
PPP sobre ATM
Esta función proporciona soporte para la terminación de múltiples conexiones PPP en una interfaz ATM del router cuando los datos se formatean de acuerdo con la encapsulación de reenvío de tramas de Cisco (StrataCom). El protocolo PPP es finalizado en el router como si fuera recibido desde una interfaz serie PPP típica. Cada conexión PPP se encapsulará en un VC ATM independiente. Los VC que utilizan otro tipo de encapsulamiento también pueden ser configurados en la misma interfaz.
interface Virtual-Template1 ip unnumbered e0/0 ppp authentication chap interface ATM2/0.2 point-to-point atm pvc 34 34 34 aal5ppp virtual-template 1
Perfiles virtuales
Perfiles virtuales es una aplicación PPP única que define y aplica información de configuración por usuario para aquellos usuarios que marcan a un router. Los Perfiles virtuales permiten que la información de configuración específica del usuario se aplique cualquiera sea el medio utilizado para la llamada entrante. La información de configuración para los perfiles virtuales puede provenir de una plantilla de interfaz virtual, de información de configuración por usuario almacenada en un servidor AAA o de ambas, dependiendo de la configuración del router y del servidor AAA. La aplicación de perfiles virtuales puede estar en un entorno de casilla única, en una gateway de inicio VPDN o en un entorno de chasis múltiple.
Para definir una plantilla virtual como fuente de configuración de un perfil virtual:
virtual-profile virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap :
Para definir AAA como una fuente de configuración para el perfil virtual:
virtual-profile aaa
En este ejemplo, el administrador del sistema decide filtrar las rutas que están siendo anunciadas a John y aplicar las listas de acceso a las conexiones de marcación de entrada de Rick. Cuando John o Rick marca a través de la interfaz S1 o BRI 0 y autentica, se crea un perfil virtual: Los filtros de ruta se aplican a John y las listas de acceso se aplican a Rick.
Configuración AAA para los usuarios John y Rick:
john Password = ``welcome''
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
cisco-avpair = ``ip:rte-fltr-out#5=permit any''
rick Password = ``emoclew''
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''
En resumen, los cisco-avpairs de AAA contienen comandos de Cisco IOS por interfaz para aplicarlos a un usuario específico.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
14-Dec-2001 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)