On-Line Библиотека www.XServer.ru - учебники, книги, статьи, документация, нормативная литература.
       Главная         В избранное         Контакты        Карта сайта   
    Навигация XServer.ru








 

Конфигурация VPDN

3.1 Простая конфигурация

Следующее - простая конфигурация для VPDN подключения. Клиент - "jsmith", NAS - "isp", и корпоративный шлюз - "hp-gw". Домен - "hp.com".

Клиент jsmith:
  hostname jsmith@hp.com

! Username and password of NAS challenging this client

username isp password test

NAS isp:
  ! VPDN NAS and Home Gateway secrets
  username hp-gw password hello
  username isp password there

  vpdn enable

  ! VPDN outgoing to hp-gw (1.1.1.2)
  vpdn outgoing hp.com isp ip 1.1.1.2
Корпоративный шлюз hp-gw:
  ! VPDN NAS and Home Gateway secrets
  username hp-gw password hello
  username isp password there

  ! The client's username and secret
  username jsmith@hp.com password test

  vpdn enable

  !VPDN incoming from isp to (this) hp-gw.
  ! Use designated Virtual template
  vpdn incoming isp hp-gw virtual-template 1

  !Virtual Template configuration
  int virtual-template 1
  ip unum e0
  encap ppp
  ppp authen chap

3.2 Конфигурирование Multilink PPP по VPDN

Если некоторые клиенты используют Multilink PPP (MP), а некоторые нет, то самая простая конфигурация должна быть готова к MP на NAS и Корпоратывном шлюзе. Обратите внимание, что нет никакой потребности определять команду виртуального шаблона MP.

NAS isp:
  ! Set up for Straight PPP and Multilink on the PRI
  int serial0:23
  ip address unum e0:
  encap ppp
  ppp authen chap
  ppp multilink
Корпоративный шлюз hp-gw:
  !VPDN incoming from isp to (this) hp-gw.
  ! Use designated Virtual template
  vpdn incoming isp hp-gw virtual-template 1
Конфигурирование виртуального шаблона
  int virtual-template 1
  ip unum e0
  encap ppp
  ppp authen chap
  ppp multilink 

3.3 CHAP авторизация с корпоративного шлюза

По умолчанию, NAS вызывает клиента, клиент посылает ответ на NAS, который использует L2F, чтобы туннелировать опознавательную информацию корпоративному шлюзу, которым авторизация будет решена. Корпоративный шлюз не посылает CHAP запрос клиенту. Если требуется, чтобы был послан CHAP запрос от корпоративного шлюза, используется команда:

Корпоративный шлюз hp-gw:
  ! Make the Home Gateway explicitly challenge the client
  vpdn force-local-chap

At the client, you will need to prepare for the CHAP challenge now arriving from hp-gw: Client jsmith@hp.com:

username hp-gw password test

3.4 Двунаправленный CHAP

Двунаправленный CHAP поддерживается в VPDN. Пример конфигурации (продолжение предыдущего):

Клиент jsmith@hp.com:

  int s0
  ppp authen chap 

3.5 Пример конфигурации AAA (Authorization, and Accounting)

На NAS, AAA может использоваться, чтобы решить, использовать ли VPDN для специфического домена.

3.5.1 Используя TACACS+

NAS isp:
  aaa new-model
  aaa authentication ppp default tacacs+
  aaa authorization network tacacs+ local

  tacacs-server host 2.2.2.2
  no tacacs-server directed-request
  tacacs-server key bulldog
TACAC+ записи:
  user = hp.com {
            service = ppp protocol = vpdn {
            tunnel-id = isp
            ip-addresses = "1.1.1.2"
            nas-password = "hello"
            gw-password = "there"
            }
    }

Последние две записи дополнительные. Они могли быть определены отдельно:

  user = isp  {
            :
            chap = cleartext "hello"
            }
  }


  user = hp-gw  {
            :
            chap = cleartext "there"
            }
  }
Корпоративный шлюз hp-gw:
  aaa new-model
  aaa authentication ppp default tacacs+
  aaa authorization network tacacs+ local
  
  tacacs-server host 3.3.3.3
  no tacacs-server directed-request
  tacacs-server key unleash
  
  TACAC+ записи:
  user = isp  {
            :
            chap = cleartext "hello"
            }
  }
    
  user = hp-gw  {
            :
            chap = cleartext "there"
            }
  }
  
  user = jsmith@hp.com  {
            :
            chap = cleartext "test"
            }
  }

3.5.2 Используя Radius

NAS isp:
  aaa new-model
  aaa author network radius
  aaa authen ppp default radius local

  radius-server host 2.2.2.2
  radius-server key malibu

Обратите внимание: Ключевое слово локальное для VPDN туннельной идентификации. Это - не обязательно при TACACS.

Записи Radius:
  hp.com Password = "cisco", User-Service-Type = Outbound-User
    cisco-avpair = "vpdn:tunnel-id=hp-gw",
    cisco-avpair = "vpdn:ip-addresses=1.1.1.2",
    cisco-avpair = "vpdn:nas-password=hello",
    cisco-avpair = "vpdn:gw-password=there"

Последние два дополнительные записи. Они могли быть определены локально на NAS.

3.6 Исходный адрес VPDN

Эта опция позволяет NAS определить исходный IP-адрес NAS. Когда это определено, пакеты L2F к корпоративному шлюзу всегда имеют его как исходный IP-адрес.

NAS isp:
  #config
  vpdn vpdn source-ip 1.1.1.4

3.7 Множественный адрес назначения VPDN

TBD

3.8 VPDN поверх Frame Relay

TBD

3.9 VPDN DNIS (Dialed Number Information Service )

Эта опция позволяет выбрать VPDN туннель, в зависимости от набранного номера (Dialed Number Information (DNIS)) обеспеченный ISDN линиями или туннелированный модемами T1 (типа на AS5200). Например, если входящий номер, для соединения с NAS - 1234567:

NAS isp:

  #config
  vpdn outgoing dnis 1234567 isp ip 1.1.1.2

AAA:

Используя TACACS+ или Radius:

Вводится запись "dnis:1234567" (как, любое другое имя пользователя).

Получение отладочной информации:
 
 debug information:pdn event
  Se0:21 VPN got DNIS string 1234567 from ISDN

Обратите внимание: неявно что, если AAA не доступно или не соответствует для DNIS туннеля, VPDN будет искать любые существующие конфигурации VPDN на NAS для имени домена. Короче говоря, специфика DNIS предшествует общему соответствию для имени домена.

Назад       Содержание