Fonctions PPP d'accès virtuel dans Cisco IOS

Introduction

Ce document décrit l'architecture globale des applications PPP d'accès virtuel dans Cisco IOS®. Pour plus de renseignements sur une fonction précise, référez-vous aux documents répertoriés à la fin du glossaire.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, consultez Conventions relatives aux conseils techniques Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Glossaire

Les termes suivants apparaîtront dans ce document.

• Serveur d'accès : Plates-formes Cisco Access Server, y compris les interfaces RNIS et asynchrones pour fournir un accès à distance.

• L2F : Protocole de transfert de couche 2 (RFC provisoire expérimental). Il s'agit de la technologie de niveau liaison sous-jacente pour les réseaux multichâssis MP et VPN (Virtual Private Networks).

• Lien : Point de connexion fourni par un système. Il peut s’agir d’une interface matérielle dédiée (telle qu’une interface asynchrone) ou d’un canal sur une interface matérielle multicanal (telle qu’une interface PRI ou BRI).

• MP : Multilink PPP Protocol (voir RFC 1717).

• Multichassis MP : MP + SGBP + L2F + Vtemplate.

• PPP : Protocole point à point (voir RFC 1331).

• Groupe Rotary : Groupe d'interfaces physiques allouées pour la numérotation ou la réception d'appels. Le groupe agit comme un pool à partir duquel n'importe quelle liaison peut être utilisée pour composer ou recevoir des appels.

• SGBP : Protocole d'enchères de groupe de piles

• Groupe de piles : Ensemble de deux systèmes ou plus qui seront configurés pour fonctionner en tant que groupe et prendre en charge des offres groupées MP avec des liaisons sur différents systèmes.

• VPDN : Réseau commuté privé virtuel. Transfert de liaisons PPP d'un fournisseur d'accès Internet (FAI) vers une passerelle Home Gateway.

• Vtemplate : Interface de modèle virtuel.

Remarque : pour plus d'informations sur les RFC référencées dans ce document, consultez RFC prises en charge dans Cisco IOS version 11.2, un bulletin produit ; ou Obtention de documents RFC et d'autres documents de normes pour un lien direct vers InterNIC.

Présentation de l'interface d'accès virtuel

Dans la version 11.2F de Cisco IOS, Cisco prend en charge les fonctions d'accès commuté suivantes : VPDN, Multichassis Multilink, VP, Protocol Translation using Virtual-Access et PPP/ATM. Ces fonctionnalités utilisent des interfaces virtuelles pour transporter le protocole PPP sur leurs machines cibles.

Une interface d’accès virtuel est une interface Cisco IOS, tout comme les interfaces physiques telles qu’une interface série. Une configuration d’interface série réside dans la configuration d’interface série.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Les interfaces physiques ont des configurations statiques et fixes. Cependant, les interfaces d'accès virtuel sont créées dynamiquement à la demande (les différentes utilisations sont décrites dans la section suivante de ce document). Ils sont également libérés lorsqu'ils ne sont plus nécessaires. Par conséquent, la source de configuration des interfaces d'accès virtuel doit être ancrée par d'autres moyens.

Les différentes méthodes par lesquelles un accès virtuel obtient sa configuration sont via l'interface de modèle virtuel et/ou les enregistrements RADIUS et TACAC+ qui résident sur un serveur d'authentification. Cette dernière méthode est appelée profils virtuels par utilisateur. Étant donné que les interfaces d'accès virtuel peuvent être configurées à l'aide d'un modèle virtuel global, les interfaces d'accès virtuel pour divers utilisateurs peuvent hériter de configurations identiques d'une interface de modèle virtuel. Par exemple, l'administrateur réseau peut choisir de définir une méthode d'authentification PPP (CHAP) commune pour tous les utilisateurs d'accès virtuel du système. Pour des configurations personnalisées spécifiques par utilisateur, l'administrateur réseau peut définir des configurations d'interface, telles que l'authentification PAP, spécifiques à l'utilisateur dans le profil virtuel. En bref, le schéma de configuration général à spécifique disponible pour les interfaces d'accès virtuel permet à l'administrateur réseau d'adapter les configurations d'interface communes à tous les utilisateurs et/ou adaptées individuellement à l'utilisateur.

La Figure 1 ci-dessus illustre deux des interfaces d'accès virtuel pour l'utilisateur A et l'utilisateur B. L'opération 1 indique l'application de la configuration d'interface d'une interface de modèle virtuel globale aux deux interfaces d'accès virtuel. L'opération 2 indique l'application de configurations d'interface par utilisateur à partir de différents profils virtuels aux deux interfaces d'accès virtuel.

Applications des interfaces d'accès virtuel

Cette section décrit les différentes façons dont Cisco IOS utilise les interfaces d'accès virtuel.

Vous remarquerez un thème récurrent de chaque application - ils permettent un modèle virtuel général spécifique à l'application (Opération 1). Les profils virtuels par utilisateur sont ensuite appliqués par utilisateur (opération 2)

Multilink PPP

Le protocole PPP multiliaison utilise l'interface d'accès virtuel comme interface de groupement pour rassembler les paquets reçus sur des liaisons individuelles et pour fragmenter les paquets envoyés sur des liaisons individuelles. L'interface du bundle obtient sa configuration à partir du modèle virtuel spécifique au protocole PPP multiliaison. Si l'administrateur réseau choisit d'activer les profils virtuels, la configuration d'interface Profil virtuel par nom d'utilisateur est ensuite appliquée à l'interface d'ensemble pour cet utilisateur.

La Figure 2 illustre l'utilisation du protocole PPP multiliaison des interfaces série. Comme il n'existe pas d'interface de numérotation, une interface de modèle virtuel est définie par :

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

La configuration facultative du profil virtuel par nom d'utilisateur est ensuite appliquée à l'interface du bundle. Lorsque l'interface de numérotation est impliquée, l'interface de groupement est une interface passive - aucune interface de modèle virtuel n'est requise.

Par exemple, la Figure 3 ci-dessous illustre un PRI se0:23 configuré pour prendre en charge le protocole PPP multiliaison.

Notez que si le profil virtuel est activé, le schéma réinitialise celui illustré à la Figure 2. En d'autres termes, si un appel entrant est reçu sur une interface de numérotation et que le profil virtuel est activé, la source de configuration n'est plus le numéroteur. L'interface de l'ensemble (voir Figure 2) est l'interface « active » vers laquelle tous les protocoles seront lus ou écrits. La source de la configuration est d'abord l'interface de modèle virtuel, puis le profil virtuel pour un utilisateur particulier.

couche 2F

Le transfert de couche 2 au niveau de la liaison, ou L2F, permet de terminer le protocole PPP sur une destination distante. Normalement, sans L2F, le protocole PPP s'établit entre le client qui a appelé et le NAS qui a répondu à l'appel entrant. Avec L2F, le protocole PPP est projeté vers un noeud de destination. En ce qui concerne le client, il « pense » qu’il est connecté au noeud de destination via PPP. Le NAS, en effet, devient un simple redirecteur de trame PPP. Dans la terminologie L2F, le noeud de destination est appelé Home-Gateway.

Au niveau de la passerelle Home-Gateway, l'interface d'accès virtuel est utilisée pour terminer la liaison PPP. Là encore, un modèle virtuel est utilisé comme source de configuration. Si le profil virtuel est défini, la configuration d'interface par utilisateur est appliquée à l'interface d'accès virtuel.

Le tunnel L2F est actuellement propagé sur UDP/IP.

La technologie de tunnellisation L2F est actuellement utilisée dans deux fonctions de Cisco IOS 11.2 : VPDN (Virtual Private Dialup Network) et Multichassis Multilink PPP (MMP).

VPDN

Le VPDN permet aux réseaux privés de s’étendre du client directement à la passerelle Home Gateway de votre choix. Par exemple, les utilisateurs mobiles (commerciaux, par exemple) de HP souhaitent pouvoir se connecter en permanence à la passerelle HP Home-Gateway de leur choix, où qu'ils se trouvent et à tout moment. HP établirait un contrat pour les FAI qui prendraient en charge PDN. Ces FAI seraient configurés de telle sorte que, si jsmith@hp.com compose l'un des numéros fournis par le FAI, le NAS transfère automatiquement vers le HP Home-Gateway. Le FAI est ainsi libéré de l'administration des adresses IP des utilisateurs HP, du routage et d'autres fonctions liées à la base d'utilisateurs HP. L'administration HP du FAI est réduite à des problèmes de connectivité IP pour la passerelle HP Home-Gateway.

NAS : fournisseur d'accès

  vpdn outgoing hp.com isp ip 1.1.1.2 

Passerelle domestique : hp-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichâssis

PPP Multilink fournit aux utilisateurs une bande passante supplémentaire à la demande, avec la possibilité de diviser et de recombiner les paquets sur un canal logique (faisceau) formé par plusieurs liaisons. Ceci réduit la latence de transmission sur les liaisons WAN lentes et fournit également une méthode d'augmentation de l'unité de réception maximale. La multiliaison est prise en charge sur un seul environnement de serveur d'accès.

Les FAI, par exemple, souhaiteraient allouer de manière pratique un numéro rotatif unique à plusieurs PRI sur plusieurs serveurs d’accès, évolutifs et flexibles en fonction de leurs besoins professionnels.

Avec Multichassis Multilink, plusieurs liaisons multiliaison du même client peuvent se terminer sur différents serveurs d'accès. Alors que des liaisons MP individuelles d'un même ensemble peuvent en fait se terminer sur différents serveurs d'accès, en ce qui concerne le client MP, c'est comme si il se terminait sur un seul serveur d'accès. Lorsque les composants sont comparés à ceux du VPDN, Mutichassis ne diffère que par un protocole d'appel d'offres StackGroup supplémentaire (SGBP) pour faciliter l'appel d'offres et l'arbitrage des bundles multiliaison. Une fois que l'adresse IP de destination du gagnant du groupe de piles est décidée sur SGBP, Multichassis utilise L2F pour projeter du NAS vers l'autre NAS, lequel est le gagnant du groupe de piles.

Par exemple, sur un groupe de piles, stackq appelle deux NAS : nasa et nasb.

nasa :

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb :

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Traduction de protocole

La traduction de protocole permet au trafic encapsulé PPP sur une passerelle, telle que X.25/TCP, de se terminer en tant qu'interface d'accès virtuel (traduction en deux étapes). L'interface d'accès virtuel est également prise en charge sur une traduction en une étape.

Exemple de traduction de protocole en deux étapes :

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Exemple de traduction de protocole en une étape :

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP sur ATM

Cette fonctionnalité permet de mettre fin à plusieurs connexions PPP sur une interface ATM de routeur lorsque les données sont formatées conformément à l'encapsulation de transfert de trames de Cisco (StrataCom). Le protocole PPP se termine sur le routeur comme s’il était reçu d’une interface série PPP classique. Chaque connexion PPP est encapsulée dans un circuit virtuel ATM distinct. Les circuits virtuels utilisant d’autres types d’encapsulation peuvent également être configurés sur la même interface.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Profils virtuels

Virtual Profiles est une application PPP unique qui définit et applique les informations de configuration par utilisateur pour les utilisateurs qui se connectent à un routeur. Les profils virtuels permettent d'appliquer des informations de configuration spécifiques à l'utilisateur, quel que soit le support utilisé pour l'appel entrant. Les informations de configuration des profils virtuels peuvent provenir d'un modèle d'interface virtuelle, d'informations de configuration par utilisateur stockées sur un serveur AAA, ou des deux, selon la configuration du routeur et du serveur AAA. L'application de profils virtuels peut se faire dans un environnement à boîtier unique, dans une passerelle Home-Gateway VPDN ou dans un environnement multichâssis.

Pour définir un modèle virtuel comme source de configuration pour un profil virtuel :

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

Pour définir AAA comme source de configuration pour le profil virtuel :

virtual-profile aaa

Dans cet exemple, l'administrateur système décide de filtrer les routes annoncées à John et d'appliquer des listes d'accès aux connexions commutées de Rick. Lorsque John ou Rick compose le numéro via l'interface S1 ou BRI 0 et s'authentifie, un profil virtuel est créé : Les filtres de route sont appliqués à John et les listes d’accès à Rick.

Configuration AAA pour les utilisateurs John et Rick :

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

En bref, les AAA cisco-avpaires contiennent des commandes Cisco IOS par interface à appliquer pour un utilisateur particulier.