Cisco IOS의 가상 액세스 PPP 기능

소개

이 문서에서는 Cisco IOS®의 Virtual Access PPP 애플리케이션의 전반적인 아키텍처에 대해 설명합니다. 특정 기능에 대한 자세한 내용은 용어집 끝에 나열된 문서를 참조하십시오.

시작하기 전에

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사전 요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업 중인 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

용어집

다음은 이 문서에 표시될 용어입니다.

• 액세스 서버: ISDN 및 비동기 인터페이스를 포함하여 원격 액세스를 제공하는 Cisco Access Server 플랫폼.

• L2F: 레이어 2 포워딩 프로토콜(실험적 초안 RFC). 이 기술은 멀티섀시 MP 및 VPN(Virtual Private Networks)을 위한 기본 링크 레벨 기술입니다.

• 링크: 시스템에서 제공하는 연결 지점입니다. 전용 하드웨어 인터페이스(예: 비동기 인터페이스) 또는 다중 채널 하드웨어 인터페이스(예: PRI 또는 BRI)의 채널일 수 있습니다.

• MP: 멀티링크 PPP 프로토콜(RFC 1717 참조).

• 멀티섀시 MP: MP + SGBP + L2F + Vtemplate.

• PPP: 포인트-투-포인트 프로토콜(RFC 1331 참조)

• 로타리 그룹: 전화 걸기 또는 통화 수신용으로 할당된 물리적 인터페이스의 그룹입니다. 이 그룹은 전화를 걸거나 받는 데 어떤 링크도 사용할 수 있는 풀처럼 작동합니다.

• SGBP: 스택 그룹 입찰 프로토콜

• 스택 그룹: 그룹으로 작동하도록 구성되고 서로 다른 시스템의 링크가 포함된 MP 번들을 지원하는 두 개 이상의 시스템 모음입니다.

• VPDN: 가상 사설 전화 접속 네트워크. ISP(인터넷 서비스 공급자)에서 홈 게이트웨이로 PPP 링크 전달.

• Vtemplate: 가상 템플릿 인터페이스입니다.

참고: 이 문서에서 참조하는 RFC에 대한 자세한 내용은 제품 게시판인 Cisco IOS Release 11.2에서 지원되는 RFC를 참조하십시오. 또는 InterNIC에 직접 연결하는 링크에 대한 RFC 및 기타 표준 문서 가져오기

가상 액세스 인터페이스 개요

Cisco IOS Release 11.2F에서 Cisco는 다음과 같은 전화 접속 액세스 기능을 지원합니다. VPDN, Multichassis Multilink, VP, Protocol Translation using Virtual-Access, PPP/ATM. 이러한 기능은 가상 인터페이스를 사용하여 대상 머신에서 PPP를 전달합니다.

가상 액세스 인터페이스는 직렬 인터페이스와 같은 물리적 인터페이스와 마찬가지로 Cisco IOS 인터페이스입니다. 직렬 인터페이스 컨피그레이션은 직렬 인터페이스 컨피그레이션에 있습니다.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

물리적 인터페이스에는 고정 컨피그레이션이 있습니다. 그러나 가상 액세스 인터페이스는 필요에 따라 동적으로 생성됩니다(이 문서의 다음 섹션에서 다양한 사용에 대해 설명). 또한 더 이상 필요하지 않을 때 해방됩니다. 따라서 가상 액세스 인터페이스의 컨피그레이션 소스는 다른 방법으로 고정되어야 합니다.

가상 액세스가 컨피그레이션을 얻는 다양한 방법은 가상 템플릿 인터페이스 및/또는 인증 서버에 있는 RADIUS 및 TACAC+ 레코드를 통해 이루어집니다. 후자의 방법을 사용자별 가상 프로파일이라고 합니다. 전역 가상 템플릿을 사용하여 가상 액세스 인터페이스를 구성할 수 있으므로 다양한 사용자를 위한 가상 액세스 인터페이스는 하나의 가상 템플릿 인터페이스에서 동일한 컨피그레이션을 상속받을 수 있습니다. 예를 들어, 네트워크 관리자는 시스템의 모든 Virtual Access 사용자에 대해 공통 PPP 인증 방법(CHAP)을 정의하도록 선택할 수 있습니다. 특정 사용자 맞춤형 컨피그레이션의 경우, 네트워크 관리자는 가상 프로필의 사용자에 대한 인터페이스 컨피그레이션(예: PAP 인증)을 정의할 수 있습니다. 간단히 말해, Virtual Access 인터페이스에서 사용할 수 있는 일반-특정 컨피그레이션 체계를 통해 네트워크 관리자는 모든 사용자에게 공통된 인터페이스 컨피그레이션 및/또는 사용자에게 개별적으로 맞춤화된 인터페이스 컨피그레이션을 맞춤화할 수 있습니다.

위의 그림 1은 userA와 userB를 위한 가상 액세스 인터페이스 2개를 보여줍니다. 작업 1은 전역 가상 템플릿 인터페이스에서 두 가상 액세스 인터페이스로의 인터페이스 컨피그레이션 적용을 나타냅니다. 작업 2는 서로 다른 가상 프로필에서 두 가상 액세스 인터페이스로 사용자당 인터페이스 컨피그레이션을 적용하는 것을 나타냅니다.

가상 액세스 인터페이스의 애플리케이션

이 섹션에서는 Cisco IOS에서 가상 액세스 인터페이스를 사용하는 다양한 방법에 대해 설명합니다.

각 애플리케이션의 반복되는 테마를 확인할 수 있습니다. 이러한 테마는 애플리케이션에 특정한 일반 가상 템플릿을 허용합니다(작업 1). 그런 다음 사용자별 가상 프로파일이 사용자별로 적용됩니다(작업 2)

멀티링크 PPP

멀티링크 PPP는 Virtual Access 인터페이스를 번들 인터페이스로 사용하여 개별 링크를 통해 수신된 패킷을 리어셈블하고 개별 링크를 통해 전송된 패킷을 프래그먼트화합니다. 번들 인터페이스는 Multilink PPP에 해당하는 가상 템플릿에서 컨피그레이션을 가져옵니다. 네트워크 관리자가 가상 프로파일을 활성화하도록 선택하는 경우 사용자 이름별 가상 프로파일 인터페이스 컨피그레이션이 해당 사용자의 번들 인터페이스에 적용됩니다.

그림 2는 직렬 인터페이스의 멀티링크 PPP 사용을 보여줍니다. 다이얼러 인터페이스가 없으므로 가상 템플릿 인터페이스는 다음으로 정의됩니다.

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

사용자 이름별 가상 프로파일 구성(선택 사항)이 번들 인터페이스에 적용됩니다. 다이얼러 인터페이스가 포함된 경우 번들 인터페이스는 패시브 인터페이스이며 가상 템플릿 인터페이스가 필요하지 않습니다.

예를 들어 아래 그림 3은 멀티링크 PPP를 지원하도록 구성된 PRI se0:23을 보여줍니다.

가상 프로필이 활성화되면 그림 2와 같은 방식이 되돌아갑니다. 즉 다이얼러 인터페이스에서 수신 전화를 받고 가상 프로필이 활성화되면 컨피그레이션 소스가 다이얼러에서 더 이상 나오지 않습니다. 그 대신 번들 인터페이스(그림 2 참조)는 모든 프로토콜을 읽거나 쓸 "활성" 인터페이스입니다. 컨피그레이션의 소스는 먼저 가상 템플릿 인터페이스이고, 그 다음에는 특정 사용자의 가상 프로필입니다.

L2F

L2F(Link-Level Layer 2 Forwarding)를 사용하면 원격 대상에서 PPP를 종료할 수 있습니다. 일반적으로 L2F가 없으면 PPP는 전화를 건 클라이언트와 수신 전화에 응답한 NAS 사이에 있습니다. L2F를 사용하면 PPP가 대상 노드로 투영됩니다. 클라이언트는 PPP를 통해 대상 노드에 연결되어 있다고 "생각"합니다. NAS는 사실상 단순한 PPP 프레임 전달자가 됩니다. L2F 용어에서 대상 노드를 홈 게이트웨이라고 합니다.

홈 게이트웨이에서는 가상 액세스 인터페이스를 사용하여 PPP 링크를 종료합니다. 다시 가상 템플릿이 컨피그레이션의 소스로 사용됩니다. Virtual Profile(가상 프로파일)이 정의된 경우 사용자별 인터페이스 컨피그레이션이 Virtual-Access 인터페이스에 적용됩니다.

L2F 터널은 현재 UDP/IP를 통해 전파됩니다.

L2F 터널링 기술은 현재 두 가지 Cisco IOS 11.2 기능에 사용되고 있습니다. VPDN(Virtual Private Dialup Network) 및 MMP(Multichassis Multilink PPP).

VPDN

VPDN을 통해 사설 네트워크는 클라이언트에서 홈 게이트웨이로 직접 확장할 수 있습니다. 예를 들어, HP의 모바일 사용자(예: 영업 팀)는 언제 어디서나 원하는 HP 홈 게이트웨이에 항상 연결할 수 있기를 원합니다. HP는 PDN을 지원하는 ISP를 계약할 것입니다. 이러한 ISP는 jsmith@hp.com에서 ISP가 제공한 번호로 전화를 걸면 NAS에서 자동으로 HP Home-Gateway로 전달하도록 구성됩니다. 따라서 ISP는 HP 사용자의 IP 주소, 라우팅 및 HP 사용자 기반에 연결된 기타 기능을 관리할 필요가 없습니다. ISP HP 관리가 HP 홈 게이트웨이의 IP 연결 문제로 축소됩니다.

NAS: isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

홈 게이트웨이: hp 게이트웨이

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

멀티섀시

PPP Multilink는 사용자에게 온디맨드 방식으로 추가 대역폭을 제공하며 여러 링크로 구성된 논리적 파이프(번들) 간에 패킷을 분할하고 재조합할 수 있습니다. 이렇게 하면 느린 WAN 링크에서 전송 레이턴시가 줄어들고 최대 수신 유닛을 늘릴 수 있는 방법도 제공됩니다. 멀티링크는 단일 액세스 서버 환경에서 지원됩니다.

예를 들어, ISP는 비즈니스 요구 사항에 따라 확장 가능하고 유연한 방식으로 여러 액세스 서버의 여러 PRI에 단일 회전 번호를 편리하게 할당하고자 합니다.

Multischassis Multilink를 사용하면 동일한 클라이언트의 여러 Multilink 링크가 서로 다른 액세스 서버에서 종료될 수 있습니다. 동일한 번들의 개별 MP 링크가 실제로 다른 액세스 서버에서 종료될 수 있지만, MP 클라이언트에 관한 한 단일 액세스 서버에서 종료되는 것과 같습니다. 구성 요소를 VPDN의 구성 요소와 비교할 때 Multichassis는 Multilink 번들의 입찰 및 중재를 용이하게 하기 위해 추가 SGBP(StackGroup Billing Protocol)만 다릅니다. 스택 그룹 우승자의 대상 IP 주소가 SGBP를 통해 결정되면 멀티섀시는 L2F를 사용하여 NAS에서 스택 그룹 우승자인 다른 NAS로 투영합니다.

예를 들어 스택 그룹에서 두 NAS의 stackq를 호출합니다. nasa와 nasb.

나사:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

프로토콜 변환

Protocol Translation(프로토콜 변환)을 사용하면 게이트웨이(예: X.25/TCP) 전반의 PPP 캡슐화된 트래픽이 가상 액세스 인터페이스(2단계 변환)로 종료될 수 있습니다. Virtual Access 인터페이스는 1단계 변환에서도 지원됩니다.

2단계 프로토콜 변환 예:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

1단계 프로토콜 변환 예:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

이 기능은 Cisco(StrataCom) Frame Forwarding 캡슐화에 따라 데이터가 포맷될 때 라우터 ATM 인터페이스에서 여러 PPP 연결을 종료할 수 있도록 지원합니다. PPP 프로토콜은 일반적인 PPP 직렬 인터페이스에서 수신한 것처럼 라우터에서 종료됩니다. 각 PPP 연결은 별도의 ATM VC에서 캡슐화됩니다. 다른 유형의 캡슐화를 사용하는 VC도 동일한 인터페이스 상에 구성될 수 있다.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

가상 프로파일

가상 프로필은 라우터에 전화를 거는 사용자를 위해 사용자별 컨피그레이션 정보를 정의하고 적용하는 고유한 PPP 애플리케이션입니다. 가상 프로필을 사용하면 전화 접속 통화에 사용되는 미디어에 관계없이 사용자별 컨피그레이션 정보를 적용할 수 있습니다. 가상 프로파일에 대한 컨피그레이션 정보는 라우터 및 AAA 서버의 구성 방식에 따라 가상 인터페이스 템플릿, AAA 서버에 저장된 사용자별 컨피그레이션 정보 또는 둘 다에서 가져올 수 있습니다. 가상 프로필의 애플리케이션은 단일 박스 환경, VPDN 홈 게이트웨이 또는 멀티섀시 환경에 있을 수 있습니다.

가상 템플릿을 가상 프로필의 컨피그레이션 소스로 정의하려면

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

AAA를 가상 프로파일 구성의 소스로 정의하려면 다음을 수행합니다.

virtual-profile aaa

이 예에서 시스템 관리자는 John에게 알리는 경로를 필터링하고 Rick의 전화 접속 연결에 액세스 목록을 적용하기로 결정합니다. John 또는 Rick이 인터페이스 S1 또는 BRI 0을 통해 전화를 걸어 인증하면 가상 프로필이 생성됩니다. 경로 필터는 John에 적용되고 액세스 목록은 Rick에 적용됩니다.

John and Rick 사용자를 위한 AAA 컨피그레이션:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

간단히 말해, AAA cisco-avpairs는 특정 사용자에게 적용될 Cisco IOS 인터페이스별 명령을 포함합니다.