Virtual Access PPP-functies in Cisco IOS-softwarereleases

Inleiding

Dit document beschrijft de algemene architectuur van Virtual Access PPP-toepassingen in Cisco IOS®. Raadpleeg de documenten aan het einde van de woordenlijst voor meer informatie over een bepaalde functie.

Voordat u begint

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Voorwaarden

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een live netwerk werkt, zorg er dan voor dat u de potentiële impact van iedere opdracht begrijpt voor u deze gebruikt.

Woordenlijst

Het volgende zijn termen die in dit document worden weergegeven.

• Access Server: Cisco Access Server-platforms, inclusief ISDN en asynchrone interfaces, voor externe toegang.

• L2F: Layer 2 Forwarding Protocol (Experimental Draft RFC). Dit is de onderliggende link-level technologie voor zowel Multichassis MP als Virtual Private Networks (VPN).

• Verband: Een aansluitpunt dat wordt geboden door een systeem. Het kan een speciale hardware-interface zijn (zoals een asynchrone interface) of een kanaal op een multi-channel hardware-interface (zoals een PRI of BRI).

• MP: Multilink PPP-protocol (zie RFC 1717).

• Meervoudige chassis MP: MP + SGBP + L2F + Vtemplate.

• PPP: Point-to-Point Protocol (zie RFC 1331).

• Rotatiegroep: Een groep fysieke interfaces die worden toegewezen voor het uitbellen of ontvangen van gesprekken. De groep werkt als een pool van waaruit elke link kan worden gebruikt om oproepen uit te bellen of te ontvangen.

• GBP: Stack Group Bidding Protocol

• Stapelgroep: Een verzameling van twee of meer systemen die zullen worden geconfigureerd om als een groep te functioneren en MP-bundels met koppelingen op verschillende systemen te ondersteunen.

• VPDN: Virtual Private Dialup-netwerk. Het doorsturen van PPP-links van een Internet Service Provider (ISP) naar een Home Gateway.

• Vtemplate: Virtuele sjablooninterface.

N.B.: Zie RFC’s die in Cisco IOS release 11.2, een productbulletin, worden ondersteund voor informatie over RFC’s die in dit document worden genoemd; of het verkrijgen van RFC's en andere normalisatiedocumenten voor een directe koppeling naar InterNIC.

Overzicht van de virtuele toegangsinterface

In Cisco IOS-softwarerelease 11.2F ondersteunt Cisco deze functies voor inbeltoegang: VPDN, Multichassis Multilink, VPN, protocolomzetting met Virtual-Access en PPP/ATM. Deze eigenschappen gebruiken virtuele interfaces om PPP op hun doelmachines te dragen.

Een Virtual Access-interface is een Cisco IOS-interface, net als fysieke interfaces zoals een seriële interface. Een seriële interfaceconfiguratie bevindt zich in de seriële interfaceconfiguratie.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

Fysieke interfaces hebben statische, vaste configuraties. Virtual Access interfaces worden echter dynamisch op aanvraag gemaakt (de verschillende toepassingen worden besproken in de volgende sectie van dit document). Ze worden ook vrijgelaten als ze niet langer nodig zijn. Daarom moet de bron voor de configuratie van virtuele toegangsinterfaces op een andere manier worden verankerd.

De verschillende methoden waarmee een Virtual Access zijn configuratie verkrijgt, zijn via de Virtual Template interface en/of RADIUS- en TACAC+-records die zich op een Verificatieserver bevinden. Deze laatste methode wordt virtuele profielen per gebruiker genoemd. Omdat virtuele toegangsinterfaces kunnen worden geconfigureerd met een globale virtuele sjabloon, kunnen virtuele toegangsinterfaces voor verschillende gebruikers identieke configuraties erven van één virtuele sjabloon interface. De netwerkbeheerder kan er bijvoorbeeld voor kiezen een gemeenschappelijke PPP-verificatiemethode (CHAP) te definiëren voor alle Virtual Access-gebruikers van het systeem. Voor specifieke configuraties per gebruiker op maat kan de netwerkbeheerder interfaceconfiguraties - zoals PAP-verificatie - definiëren die specifiek zijn voor de gebruiker in het virtuele profiel. Kortom, de algemene-naar-specifieke configuratieregeling die beschikbaar is voor de Virtual Access-interfaces stelt de netwerkbeheerder in staat om interfaceconfiguraties op maat te maken die gemeenschappelijk zijn voor alle gebruikers en/of individueel op maat zijn gemaakt voor de gebruiker.

Afbeelding 1 hierboven illustreert twee van de Virtual Access interfaces voor userA en userB. Operatie 1 geeft de toepassing van interfaceconfiguratie aan van een globale virtuele sjablooninterface op de twee virtuele toegangsinterfaces. Operatie 2 duidt de toepassing aan van configuraties van de per-gebruikersinterface van verschillende virtuele profielen op de twee virtuele toegangsinterfaces.

Toepassingen van de virtuele toegangsinterfaces

In deze sectie worden de verschillende manieren beschreven waarop Cisco IOS virtuele toegangsinterfaces gebruikt.

U zult een terugkerend thema van elke toepassing opmerken - zij staan een algemene virtuele template specifiek voor de toepassing toe (Operatie 1). Virtuele profielen per gebruiker worden dan per gebruiker toegepast (Handeling 2)

Multilink PPP

Multilink PPP gebruikt de Virtual Access-interface als een bundelinterface om pakketten die via afzonderlijke koppelingen worden ontvangen, opnieuw samen te stellen en om pakketten die via afzonderlijke koppelingen worden verzonden, te fragmenteren. De bundelinterface krijgt zijn configuratie van Virtual Template specifiek voor Multilink PPP. Als de netwerkbeheerder ervoor kiest om virtuele profielen in te schakelen, wordt de interfaceconfiguratie per gebruiker (Virtual Profile) toegepast op de bundelinterface voor die gebruiker.

Afbeelding 2 toont het gebruik van Multilink PPP van seriële interfaces. Omdat er geen snelkiezer interface is, wordt een virtuele sjabloon interface gedefinieerd door:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

Optionele per-gebruikersnaam Virtual Profile configuratie wordt dan toegepast op de bundelinterface. Wanneer de dialer interface is betrokken, is de bundel interface een passieve interface - geen virtuele sjabloon interface is vereist.

Afbeelding 3 hieronder toont bijvoorbeeld een PRI se0:23 die is geconfigureerd om Multilink PPP te ondersteunen.

Merk op dat als het Virtuele Profiel wordt toegelaten, de regeling die in Figuur 2 wordt getoond terugkeert. Namelijk als een inkomende vraag op een dialerinterface wordt ontvangen en het Virtuele Profiel wordt toegelaten, is de bron van configuratie niet meer van dialer. In plaats daarvan is de interface van de Bundel (zie afbeelding 2) de "actieve" interface waarnaar alle protocollen zullen lezen of geschreven worden. De bron van de configuratie is eerst de virtuele sjablooninterface en vervolgens het virtuele profiel voor een bepaalde gebruiker.

L2F

Layer 2 Forwarding (L2F) op linkniveau maakt het mogelijk dat PPP op een externe bestemming wordt beëindigd. Normaal gesproken, zonder L2F, is PPP tussen de ingebelde client en de NAS die de inkomende oproep beantwoordde. Met L2F wordt PPP geprojecteerd naar een bestemmingsknooppunt. De client "denkt" dat hij via PPP verbonden is met het doelknooppunt. De NAS wordt in feite een eenvoudige PPP frame-doorvoerder. In L2F terminologie, wordt het bestemmingsknooppunt een Home-Gateway genoemd.

Bij de Home-Gateway wordt de Virtual Access interface gebruikt om de PPP-link te beëindigen. Opnieuw, wordt een Virtuele Malplaatje gebruikt als bron van configuratie. Als Virtual Profile is gedefinieerd, wordt de configuratie per gebruikersinterface toegepast op de Virtual-Access-interface.

De L2F-tunnel wordt momenteel via UDP/IP verspreid.

L2F-tunneltechnologie wordt momenteel gebruikt in twee Cisco IOS 11.2-functies: VPDN (Virtual Private Dialup Network) en Multichassis Multilink PPP (MMP).

VPDN

VPDN maakt het mogelijk dat de particuliere netwerken van de client rechtstreeks naar de thuisgateway van keuze gaan. Bijvoorbeeld, mobiele gebruikers (verkoop, bijvoorbeeld) van HP willen altijd in staat zijn om te verbinden met de HP Home-Gateway van keuze overal en altijd. HP zou een contract sluiten voor ISP’s die PDN ondersteunen. Deze ISP's zouden zodanig zijn geconfigureerd dat, als jsmith@hp.com indrukt in een van de door de ISP verstrekte nummers, de NAS automatisch doorstuurt naar de HP Home-Gateway. De ISP is dus bevrijd van het beheer van de IP-adressen, routing en andere functies van de HP-gebruikers die gekoppeld zijn aan het gebruikersbestand van HP. De ISP HP-administratie is beperkt tot IP-connectiviteitsproblemen voor de HP Home-Gateway.

NAS: isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

Home-Gateway: hp-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

Multichassis

PPP Multilink biedt gebruikers extra bandbreedte op aanvraag, met de mogelijkheid om pakketten te splitsen en opnieuw te combineren over een logische buis (bundel) die wordt gevormd door meerdere koppelingen. Dit vermindert transmissieletentie over de langzame WAN-verbindingen en biedt ook een methode om de maximale ontvangsteenheid te verhogen. Multilink wordt ondersteund op één Access Server-omgeving.

ISP's willen bijvoorbeeld eenvoudig één roterend nummer toewijzen aan meerdere PRI's over meerdere toegangsservers, die schaalbaar en flexibel zijn voor hun bedrijfsbehoeften.

Met Multichassis Multilink kunnen meerdere Multilink links van dezelfde client bij verschillende toegangsservers eindigen. Hoewel individuele MP-links van dezelfde bundel daadwerkelijk kunnen eindigen op verschillende toegangsservers, wat de MP-client betreft, is het alsof deze wordt beëindigd op één toegangsserver. Wanneer de componenten met die van VPDN worden vergeleken, verschilt Multichassis slechts door een extra Protocol van het Bieden StackGroup (SGBP) om het bieden en arbitrage van Multilink Bundels te vergemakkelijken. Zodra het IP-adres van de Stack Group-winnaar over SGBP is bepaald, gebruikt Multichassis L2F om van de NAS naar de andere NAS te projecteren, die de Stack Group-winnaar is.

Bijvoorbeeld op een Stack Group roept stackq van twee NASes: nasa en nasb.

nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

Protocolomzetting

Protocolomzetting maakt het mogelijk dat PPP-ingesloten verkeer via een gateway - zoals X.25/TCP - wordt afgesloten als een virtuele toegangsinterface (tweestapsvertaling). De Virtual Access-interface wordt ook via een eenstapsvertaling ondersteund.

Voorbeeld van protocolomzetting in twee stappen:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

Voorbeeld van eenstapsprotocolomzetting:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

Deze functie biedt ondersteuning voor de beëindiging van meerdere PPP-verbindingen op een router-ATM-interface wanneer de gegevens zijn geformatteerd volgens de insluiting voor Frame Forwarding van Cisco (StrataCom). Het PPP-protocol wordt op de router beëindigd alsof het van een typische PPP-seriële interface werd ontvangen. Elke PPP-verbinding wordt ingekapseld in een afzonderlijke ATM VC. VCs die andere types van inkapseling gebruiken kan ook op de zelfde interface worden gevormd.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

Virtuele profielen

Virtuele profielen is een unieke PPP-toepassing die per gebruiker configuratieinformatie definieert en toepast voor gebruikers die inbellen op een router. Met virtuele profielen kan gebruikersspecifieke configuratieinformatie worden toegepast ongeacht de media die voor de inbelverbinding worden gebruikt. De configuratie-informatie voor virtuele profielen kan afkomstig zijn van een virtuele interfacesjabloon, configuratie-informatie per gebruiker die is opgeslagen op een AAA-server, of beide, afhankelijk van hoe de router en AAA-server zijn geconfigureerd. Toepassing van virtuele profielen kan worden uitgevoerd in een single-box omgeving, in een VPDN Home-Gateway of in een multichassis omgeving.

Een virtuele sjabloon definiëren als een bron van configuratie voor een virtueel profiel:

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

U definieert AAA als een bron van configuratie voor virtueel profiel als volgt:

virtual-profile aaa

In dit voorbeeld besluit de systeembeheerder om routes te filteren die worden geadverteerd naar John en om toegangslijsten toe te passen op de inbelverbindingen van Rick. Wanneer John of Rick inbellen via interface S1 of BRI 0 en verificaties, wordt er een virtueel profiel gemaakt: routefilters worden toegepast op John en toegangslijsten worden toegepast op Rick.

AAA-configuratie voor gebruikers John en Rick:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

Kort samengevat bevatten de AAA cisco-avpairs Cisco IOS per-interface-opdrachten die voor een bepaalde gebruiker moeten worden toegepast.