Cisco IOS 的虚拟访问 PPP 功能

简介

本文档介绍Cisco IOS®中虚拟访问PPP应用的整体架构。有关特定功能的详细信息，请参阅术语表末尾列出的文档。

开始使用前 

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。

术语表

以下是本文档中显示的术语。

• 接入服务器:思科接入服务器平台，包括ISDN和异步接口，用于提供远程访问。

• L2F:第2层转发协议（实验草案RFC）。 这是适用于多机箱MP和虚拟专用网络(VPN)的基础链路级技术。

• 链接:由系统提供的连接点。它可以是专用硬件接口（例如异步接口）或多通道硬件接口（例如PRI或BRI）上的通道。

• MP:多链路PPP协议（请参阅RFC 1717）。

• 多机箱MP:MP + SGBP + L2F + Vtemplate。

• PPP:点对点协议（请参阅RFC 1331）。

• 扶轮社:分配给拨出或接收呼叫的一组物理接口。该组就像一个池，任何链路都可用于拨出或接收呼叫。

• SGBP:堆栈组投标协议

• 堆栈组:将配置为作为一个组运行并支持带有不同系统链路的MP捆绑包的两个或多个系统的集合。

• VPDN:虚拟专用拨号网络。将PPP链路从Internet服务提供商(ISP)转发到家庭网关。

• Vtemplate:虚拟模板接口。

注：有关本文档中引用的RFC的信息，请参阅Cisco IOS版本11.2中支持的RFC，产品公告；或获取直接到InterNIC的链路的RFC和其他标准文档。

虚拟访问接口概述

在Cisco IOS版本11.2F中，Cisco支持以下拨号访问功能：VPDN、多机箱多链路、VP、使用虚拟访问的协议转换和PPP/ATM。这些功能使用虚拟接口在其目标计算机上传输PPP。

虚拟访问接口是Cisco IOS接口，就像串行接口等物理接口一样。串行接口配置驻留在串行接口配置中。

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

物理接口具有静态的固定配置。但是，虚拟访问接口是按需动态创建的（各种用途将在本文档的下一部分讨论）。 当它们不再被需要时，它们也会被释放。因此，必须通过其他方式锚定虚拟访问接口的配置源。

虚拟访问获得其配置的各种方法是通过虚拟模板接口和/或位于身份验证服务器上的RADIUS和TACAC+记录。后一种方法称为每用户虚拟配置文件。由于虚拟访问接口可以使用全局虚拟模板进行配置，因此不同用户的虚拟访问接口可以从一个虚拟模板接口继承相同的配置。例如，网络管理员可以选择为系统的所有Virtual Access用户定义通用PPP身份验证方法(CHAP)。对于特定每用户定制配置，网络管理员可以定义特定于虚拟配置文件中的用户的接口配置，例如PAP身份验证。简而言之，虚拟访问接口可用的通用到特定配置方案允许网络管理员定制所有用户通用和/或针对用户单独定制的接口配置。

上面图1显示了用于userA和userB的两个虚拟访问接口。操作1表示接口配置从全局虚拟模板接口应用到两个虚拟访问接口。操作2表示从不同的虚拟配置文件向两个虚拟访问接口应用每个用户界面配置。

虚拟访问接口的应用

本节介绍Cisco IOS使用虚拟访问接口的各种方法。

您将注意到每个应用程序的重复出现的主题 — 它们允许特定于应用程序的常规虚拟模板（操作1）。 然后对每个用户应用每个用户的虚拟配置文件（操作2）

多链路 PPP

多链路PPP使用虚拟访问接口作为捆绑接口，以重组通过单个链路接收的数据包，并对通过单个链路发送的数据包进行分段。捆绑接口从特定于多链路PPP的虚拟模板获取其配置。如果网络管理员选择启用虚拟配置文件，则每个用户名的虚拟配置文件接口配置将应用到该用户的捆绑接口。

图2描述了串行接口的多链路PPP的使用。由于没有Dialer接口，虚拟模板接口由以下内容定义：

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

然后，可选的每用户名虚拟配置文件配置将应用到捆绑接口。当涉及拨号程序接口时，捆绑接口是被动接口 — 无需虚拟模板接口。

例如，下图3描述了配置为支持多链路PPP的PRI se0:23。

请注意，如果启用了虚拟配置文件，则方案会还原图2中所示的方案。也就是说，如果在拨号程序接口上收到传入呼叫并且启用了虚拟配置文件，则配置源将不再来自拨号程序。相反，捆绑接口（参见图2）是所有协议将读取或写入的“活动”接口。配置源是先是虚拟模板接口，然后是特定用户的虚拟配置文件。

L2F

链路级第2层转发（即L2F）允许在远程目标上终止PPP。通常，如果不使用L2F，PPP是在拨入的客户端和应答传入呼叫的NAS之间进行的。使用L2F时，PPP被投影到目标节点。就客户端而言，它“认为”它通过PPP连接到目的节点。实际上，NAS就变成了一个简单的PPP帧转发器。在L2F术语中，目标节点称为Home-Gateway。

在家庭网关处，虚拟接入接口用于终止PPP链路。同样，虚拟模板用作配置源。如果定义了虚拟配置文件，则每个用户接口配置将应用于虚拟访问接口。

L2F隧道当前通过UDP/IP传播。

L2F隧道技术目前用于两个Cisco IOS 11.2功能：VPDN(虚拟专用拨号网络)和多机箱多链路PPP(MMP)。

VPDN

VPDN允许专用网络从客户端直接跨越到所选的家庭网关。例如，HP的移动用户（例如销售人员）希望能够随时随地连接到所选的HP Home-Gateway。HP会与支持PDN的ISP签订合同。配置这些ISP后，如果jsmith@hp.com拨入任何ISP提供的号码，NAS将自动转发到HP家庭网关。因此，ISP无需管理HP用户的IP地址、路由以及与HP用户群相关的其他功能。ISP HP管理简化为HP Home-Gateway的IP连接问题。

NAS:isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

家庭网关：hp-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

多机箱

PPP Multilink可按需为用户提供更多带宽，并能通过由多条链路组成的逻辑管道（捆绑）拆分和重新组合数据包。这减少了慢速WAN链路上的传输延迟，并提供了增加最大接收单位的方法。单个访问服务器环境支持多链路。

例如，ISP希望方便地跨多个接入服务器将单个轮换号码分配给多个PRI，以满足其业务需求。

使用多机箱多链路时，来自同一客户端的多个多链路链路可能终止于不同的接入服务器。虽然同一捆绑包的各个MP链路实际上可能终止于不同的访问服务器，但就MP客户端而言，它就像终止于单个访问服务器一样。当组件与VPDN的组件进行比较时，多机箱仅与另一个堆栈组竞标协议(SGBP)不同，以方便多链路捆绑的竞标和仲裁。一旦通过SGBP确定堆栈组胜出者的目标IP地址，多机箱使用L2F从NAS投射到另一个NAS（其中一个是堆栈组胜出者）。

例如，在堆叠组上调用两个NAS的stackq:nasa和nasb。

nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

协议转换

协议转换允许网关上的PPP封装流量（例如X.25/TCP）作为虚拟访问接口终止（两步转换）。 通过一步转换也支持虚拟访问接口。

两步协议转换示例：

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

一步协议转换示例：

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

此功能支持在根据思科(StrataCom)帧转发封装格式化数据时终止路由器ATM接口上的多个PPP连接。PPP协议在路由器上终止，就像是从典型的PPP串行接口收到一样。每个PPP连接将封装在单独的ATM VC中。使用其他封装类型的VC也可在同一接口上配置。

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

虚拟配置文件

虚拟配置文件是一个独特的PPP应用，它定义并应用每个用户的配置信息，用户拨号到路由器。虚拟配置文件允许应用特定于用户的配置信息，而不考虑用于拨入呼叫的媒体。虚拟配置文件的配置信息可以来自虚拟接口模板、存储在AAA服务器上的每个用户配置信息，或同时来自两者，具体取决于路由器和AAA服务器的配置方式。虚拟配置文件的应用可以在单机箱环境、VPDN家庭网关或多机箱环境中。

要将虚拟模板定义为虚拟配置文件的配置源，请执行以下操作：

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

将AAA定义为虚拟配置文件的配置源：

virtual-profile aaa

在本示例中，系统管理员决定过滤通告给John的路由，并将访问列表应用于Rick的拨入连接。当John或Rick通过接口S1或BRI 0拨入并进行身份验证时，会创建一个虚拟配置文件：路由过滤器应用于John，访问列表应用于Rick。

用户John和Rick的AAA配置：

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

简而言之，AAA cisco-avpairs包含要应用于特定用户的Cisco IOS per-interface命令。