3.1 Простая конфигурация
Следующее - простая конфигурация для VPDN подключения. Клиент -
"jsmith", NAS - "isp", и корпоративный шлюз -
"hp-gw". Домен - "hp.com".
Клиент jsmith: hostname jsmith@hp.com
! Username and password of NAS challenging this client
username isp password test
NAS isp: ! VPDN NAS and Home Gateway secrets
username hp-gw password hello
username isp password there
vpdn enable
! VPDN outgoing to hp-gw (1.1.1.2)
vpdn outgoing hp.com isp ip 1.1.1.2
Корпоративный шлюз hp-gw: ! VPDN NAS and Home Gateway secrets
username hp-gw password hello
username isp password there
! The client's username and secret
username jsmith@hp.com password test
vpdn enable
!VPDN incoming from isp to (this) hp-gw.
! Use designated Virtual template
vpdn incoming isp hp-gw virtual-template 1
!Virtual Template configuration
int virtual-template 1
ip unum e0
encap ppp
ppp authen chap
3.2 Конфигурирование Multilink PPP по VPDN
Если некоторые клиенты используют Multilink PPP (MP), а
некоторые нет, то самая простая конфигурация должна быть готова к MP на NAS и
Корпоратывном шлюзе. Обратите внимание, что нет никакой потребности определять
команду виртуального шаблона MP.
NAS isp: ! Set up for Straight PPP and Multilink on the PRI
int serial0:23
ip address unum e0:
encap ppp
ppp authen chap
ppp multilink
Корпоративный шлюз hp-gw: !VPDN incoming from isp to (this) hp-gw.
! Use designated Virtual template
vpdn incoming isp hp-gw virtual-template 1
Конфигурирование виртуального шаблона int virtual-template 1
ip unum e0
encap ppp
ppp authen chap
ppp multilink
3.3 CHAP авторизация с корпоративного шлюза
По умолчанию, NAS вызывает клиента, клиент посылает ответ на
NAS, который использует L2F, чтобы туннелировать опознавательную информацию
корпоративному шлюзу, которым авторизация будет решена. Корпоративный шлюз не
посылает CHAP запрос клиенту. Если требуется, чтобы был послан CHAP запрос от
корпоративного шлюза, используется команда:
Корпоративный шлюз hp-gw: ! Make the Home Gateway explicitly challenge the client
vpdn force-local-chap
At the client, you will need to prepare for the CHAP challenge
now arriving from hp-gw: Client jsmith@hp.com: username hp-gw password test
3.4 Двунаправленный CHAP
Двунаправленный CHAP поддерживается в VPDN. Пример конфигурации
(продолжение предыдущего):
Клиент jsmith@hp.com: int s0
ppp authen chap
3.5 Пример конфигурации AAA (Authorization, and Accounting)
На NAS, AAA может использоваться, чтобы решить, использовать ли
VPDN для специфического домена.
3.5.1 Используя TACACS+
NAS isp: aaa new-model
aaa authentication ppp default tacacs+
aaa authorization network tacacs+ local
tacacs-server host 2.2.2.2
no tacacs-server directed-request
tacacs-server key bulldog
TACAC+ записи: user = hp.com {
service = ppp protocol = vpdn {
tunnel-id = isp
ip-addresses = "1.1.1.2"
nas-password = "hello"
gw-password = "there"
}
}
Последние две записи дополнительные. Они могли быть определены
отдельно: user = isp {
:
chap = cleartext "hello"
}
}
user = hp-gw {
:
chap = cleartext "there"
}
}
Корпоративный шлюз hp-gw: aaa new-model
aaa authentication ppp default tacacs+
aaa authorization network tacacs+ local
tacacs-server host 3.3.3.3
no tacacs-server directed-request
tacacs-server key unleash
TACAC+ записи:
user = isp {
:
chap = cleartext "hello"
}
}
user = hp-gw {
:
chap = cleartext "there"
}
}
user = jsmith@hp.com {
:
chap = cleartext "test"
}
}
3.5.2 Используя Radius
NAS isp: aaa new-model
aaa author network radius
aaa authen ppp default radius local
radius-server host 2.2.2.2
radius-server key malibu
Обратите внимание: Ключевое слово локальное для VPDN
туннельной идентификации. Это - не обязательно при TACACS.
Записи Radius: hp.com Password = "cisco", User-Service-Type = Outbound-User
cisco-avpair = "vpdn:tunnel-id=hp-gw",
cisco-avpair = "vpdn:ip-addresses=1.1.1.2",
cisco-avpair = "vpdn:nas-password=hello",
cisco-avpair = "vpdn:gw-password=there"
Последние два дополнительные записи. Они могли быть определены
локально на NAS.
3.6 Исходный адрес VPDN
Эта опция позволяет NAS определить исходный IP-адрес NAS. Когда
это определено, пакеты L2F к корпоративному шлюзу всегда имеют его как исходный
IP-адрес.
NAS isp: #config
vpdn vpdn source-ip 1.1.1.4
3.7 Множественный адрес назначения VPDN
TBD
3.8 VPDN поверх Frame Relay
TBD
3.9 VPDN DNIS (Dialed Number Information Service )
Эта опция позволяет выбрать VPDN туннель, в зависимости от
набранного номера (Dialed Number Information (DNIS)) обеспеченный ISDN линиями
или туннелированный модемами T1 (типа на AS5200). Например, если входящий номер,
для соединения с NAS - 1234567:
NAS isp: #config
vpdn outgoing dnis 1234567 isp ip 1.1.1.2
AAA:
Используя TACACS+ или Radius:
Вводится запись "dnis:1234567" (как, любое другое имя
пользователя).
Получение отладочной информации:
debug information:pdn event
Se0:21 VPN got DNIS string 1234567 from ISDN
Обратите внимание: неявно что, если AAA не доступно или
не соответствует для DNIS туннеля, VPDN будет искать любые существующие
конфигурации VPDN на NAS для имени домена. Короче говоря, специфика DNIS
предшествует общему соответствию для имени домена.
|