ميزات PPP للوصول الظاهري في Cisco IOS

المقدمة

يصف هذا المستند البنية العامة لتطبيقات Virtual Access PPP في Cisco IOS®. لمزيد من المعلومات حول ميزة معينة، ارجع إلى الوثائق المدرجة في نهاية المسرد.

قبل البدء

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

المتطلبات الأساسية

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت تعمل في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر قبل استخدامه.

مسرد المصطلحات

فيما يلي المصطلحات التي ستظهر في هذا المستند.

• خادم الوصول: الأنظمة الأساسية لخادم الوصول من Cisco، بما في ذلك الواجهات ISDN وغير المتزامنة لتوفير الوصول عن بعد.

• L2F: بروتوكول إعادة توجيه الطبقة 2 (المشروع التجريبي RFC). هذه هي تقنية مستوى الارتباط الأساسية لكل من الشبكات متعددة الهياكل MP والشبكات الخاصة الظاهرية (VPN).

• الارتباط: نقطة اتصال يوفرها نظام. وقد تكون واجهة أجهزة مخصصة (مثل واجهة غير متزامنة) أو قناة على واجهة أجهزة متعددة القنوات (مثل PRI أو BRI).

• MP: بروتوكول PPP متعدد الارتباطات (راجع RFC 1717).

• Multichassis MP: MP + SGBP + L2F + vTemplate.

• PPP: بروتوكول الاتصال من نقطة إلى نقطة (راجع RFC 1331).

• مجموعة دوارة: مجموعة من الواجهات المادية المخصصة للاتصال أو تلقي المكالمات. تعمل المجموعة كتجمع يمكن إستخدام أي إرتباط منه للطلب الخارجي أو تلقي المكالمات.

• SGBP: بروتوكول عطاء مجموعة المكدس

• مجموعة المكدس: مجموعة من نظامين أو أكثر سيتم تكوينها للعمل كمجموعة ودعم حزم MP ذات الارتباطات الموجودة على أنظمة مختلفة.

• VPDN: شبكة الاتصال الخاصة الظاهرية. إعادة توجيه إرتباطات PPP من موفر خدمة الإنترنت (ISP) إلى عبارة رئيسية.

• vTemplate: واجهة القالب الظاهري.

ملاحظة: للحصول على معلومات حول RFCs المشار إليها في هذا المستند، راجع RFCs المدعومة في الإصدار 11.2 من Cisco IOS، نشرة المنتج؛ أو الحصول على RFCs ومستندات المعايير الأخرى للحصول على إرتباط مباشرة ب InterNIC.

نظرة عامة على واجهة الوصول الظاهري

في الإصدار 11.2F من Cisco IOS، تدعم Cisco ميزات الوصول إلى الطلب الهاتفي هذه: VPDN، إرتباط متعدد الهياكل، VP، ترجمة البروتوكول باستخدام الوصول الظاهري، PPP/ATM. وتستخدم هذه الميزات الواجهات الظاهرية لحمل بروتوكول الاتصال من نقطة إلى نقطة (PPP) على أجهزتها المستهدفة.

واجهة الوصول الظاهري هي واجهة Cisco IOS، تماما مثل الواجهات المادية مثل الواجهة التسلسلية. يوجد تكوين واجهة تسلسلية في تكوين الواجهة التسلسلية.

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

تحتوي الواجهات المادية على تكوينات ثابتة ثابتة وثابتة. ومع ذلك، يتم إنشاء واجهات الوصول الظاهرية بشكل ديناميكي حسب الطلب (تتم مناقشة مختلف الاستخدامات في القسم التالي من هذا المستند). كما يتم الإفراج عنهم عندما لا تكون هناك حاجة إليهم. وبالتالي، يجب أن يتم إرساء مصدر تكوين واجهات Virtual Access بوسائل أخرى.

الطرق المختلفة التي تكتسب من خلالها Virtual Access تكوينه هي عبر واجهة القالب الظاهري و/أو سجلات RADIUS و+TACAC الموجودة على خادم المصادقة. ويطلق على هذا الأسلوب الأخير ملفات التعريف الظاهرية لكل مستخدم. نظرا لإمكانية تكوين واجهات Virtual Access باستخدام "قالب افتراضي" عمومي، يمكن لواجهات Virtual Access الخاصة بالعديد من المستخدمين وراثة تكوينات متطابقة من واجهة "قالب ظاهري" واحدة. على سبيل المثال، قد يختار مسؤول الشبكة تحديد أسلوب مصادقة PPP شائع (CHAP) لجميع مستخدمي Virtual Access في النظام. بالنسبة للتكوينات المخصصة لكل مستخدم، يمكن أن يحدد مسؤول الشبكة تكوينات الواجهة - مثل مصادقة PAP - الخاصة بالمستخدم في ملف التعريف الظاهري. باختصار، يسمح مخطط التكوين العام إلى خاص المتوفر لواجهات Virtual Access لمسؤول الشبكة بتهيئة تكوينات الواجهة الشائعة لجميع المستخدمين و/أو المصممة بشكل فردي للمستخدم.

الشكل 1 أعلاه يوضح واجهتي وصول ظاهري للمستخدم A و userB. تشير العملية 1 إلى تطبيق تكوين الواجهة من واجهة قالب ظاهري عمومي إلى واجهتي Virtual Access. تشير العملية 2 إلى تطبيق تكوينات واجهة كل مستخدم من ملفات تعريف ظاهرية مختلفة إلى واجهتي Virtual Access.

تطبيقات واجهات الوصول الظاهرية

يصف هذا القسم الطرق المختلفة التي يستخدم بها Cisco IOS واجهات الوصول الظاهرية.

ستلاحظ موضوعا متكررا لكل تطبيق - حيث أنها تسمح بوجود قالب ظاهري عام خاص بالتطبيق (العملية 1). ثم يتم تطبيق ملفات التعريف الظاهرية لكل مستخدم لكل مستخدم (العملية 2)

Multilink PPP

يستخدم PPP متعدد الارتباطات واجهة الوصول الظاهري كواجهة حزمة لإعادة تجميع الحزم المستلمة عبر إرتباطات فردية وتجزئة الحزم المرسلة عبر إرتباطات فردية. تحصل واجهة الحزمة على تكوينها من القالب الظاهري الخاص ب Multilink PPP. إذا اختار مسؤول الشبكة تمكين ملفات التعريف الظاهرية، فسيتم تطبيق تكوين واجهة ملف التعريف الظاهري لكل اسم مستخدم على واجهة الحزمة لذلك المستخدم.

الشكل 2 يصف إستخدام بروتوكول الاتصال من نقطة إلى نقطة (PPP) متعددة الارتباطات للواجهات التسلسلية. نظرا لعدم وجود واجهة المتصل، يتم تعريف واجهة القالب الظاهري بواسطة:

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

يطبق بعد ذلك لكل اسم مستخدم ملف التعريف الظاهري الاختياري على واجهة الحزمة. عندما تكون واجهة المتصل معنية، فإن واجهة الحزمة هي واجهة سلبية - لا يتطلب واجهة قالب ظاهري.

على سبيل المثال، يوضح الشكل 3 أدناه PRI se0:23 الذي تم تكوينه لدعم PPP متعدد الارتباطات.

لاحظ أنه إذا تم تمكين ملف التعريف الظاهري، فسيعود النظام إلى ما هو موضح في الشكل 2. وهذا يعني أنه في حالة تلقي مكالمة واردة على واجهة المتصل وتمكين ملف التعريف الظاهري، لن يعود مصدر التكوين من المتصل. وبدلا من ذلك، فإن واجهة الحزمة (راجع الشكل 2) هي الواجهة "النشطة" التي ستقرأ عليها جميع البروتوكولات أو ستكتب إليها. مصدر التكوين هو أولا واجهة القالب الظاهري، ثم ملف التعريف الظاهري لمستخدم معين.

L2F

تتيح إعادة توجيه الطبقة 2 على مستوى الارتباط، أو L2F، إنهاء بروتوكول الاتصال من نقطة إلى نقطة (PPP) على وجهة بعيدة. عادة، بدون L2F، يكون PPP بين العميل الذي تم طلبه ونظام NAS الذي استجاب للمكالمة الواردة. باستخدام L2F، يتم عرض PPP إلى عقدة وجهة. فيما يتعلق بالعميل، فإنه "يعتقد" أنه متصل بالعقدة الوجهة عبر PPP. تصبح NAS، في الواقع، إطار PPP البسيط الموجه. في مصطلحات L2F، دعات الغاية عقدة منزل-gateway.

في البوابة الرئيسية، يتم إستخدام واجهة الوصول الظاهري لإنهاء إرتباط PPP. مرة أخرى، يتم إستخدام "القالب الظاهري" كمصدر للتكوين. إذا تم تحديد ملف التعريف الظاهري، فسيتم تطبيق تكوين الواجهة لكل مستخدم على واجهة الوصول الظاهري.

يتم حاليا نشر نفق L2F عبر UDP/IP.

تستخدم تقنية الاتصال النفقي L2F حاليا في ميزتين من برنامج Cisco IOS 11.2: VPDN (شبكة الاتصال الخاصة الظاهرية) وPPP متعدد الارتباطات والهياكل (MMP).

VPDN

تسمح VPDN للشبكات الخاصة بالتفسحة بين دعامتين من العميل مباشرة إلى البوابة الرئيسية التي تختارها. على سبيل المثال، يرغب مستخدمو الأجهزة المحمولة (مثل المبيعات) من HP في أن يكونوا قادرين على الاتصال دوما بالبوابة الرئيسية من HP التي تختارها في أي مكان وفي أي وقت. ستتعاقد HP مع مزودي خدمة الإنترنت (ISPs) الذين سيدعمون PDN. ويمكن تكوين موفري خدمات الإنترنت هؤلاء بحيث يتم إعادة توجيه وحدات التخزين المتصلة بالشبكة (NAS) تلقائيا إلى البوابة الرئيسية من HP في حالة تحويل jsmith@hp.com إلى أي من الأرقام التي يوفرها مزود خدمة الإنترنت (ISP). وبالتالي، تم تحرير ISP من إدارة عناوين IP الخاصة بمستخدمي HP والتوجيه وغيرها من الوظائف المرتبطة بقاعدة مستخدمي HP. يتم خفض إدارة ISP HP إلى مشاكل اتصال IP لبوابة HP الرئيسية.

NAS: ISP

  vpdn outgoing hp.com isp ip 1.1.1.2 

home-gateway: hp-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

الهياكل المتعددة

يوفر PPP Multilink للمستخدمين نطاقا تردديا إضافيا حسب الطلب، مع القدرة على تقسيم الحزم وإعادة تجميعها عبر أنبوب منطقي (حزمة) مكون بواسطة إرتباطات متعددة. وهذا يقلل من زمن الانتقال عبر روابط WAN البطيئة كما يوفر طريقة لزيادة وحدة الاستقبال الأقصى. يتم دعم الارتباط المتعدد على بيئة خادم Access واحد.

على سبيل المثال، يرغب مزودو خدمات الإنترنت (ISPs) في تخصيص رقم دوري واحد لعدد من موفري الخدمات الأساسية (PRI) عبر خوادم وصول متعددة، تتسم بقابليتها للتطوير ومرونتها للوفاء باحتياجات أعمالهم.

مع ميزة الربط المتعدد للهياكل المتعددة، قد تنتهي عدة إرتباطات متعددة من نفس العميل في خوادم Access المختلفة. في حين أن إرتباطات MP الفردية من المجموعة نفسها قد تنتهي فعليا عند خوادم Access مختلفة، بقدر ما يتعلق الأمر بعميل MP، فإنها تنتهي عند خادم Access واحد. عند مقارنة المكونات بتلك الموجودة في شبكة VPDN، يختلف Mutichassis فقط بواسطة بروتوكول عطاء مجموعة المكدسات (SGBP) الإضافي لتسهيل تقديم العطاءات والتحكيم في مجموعات الارتباطات المتعددة. بمجرد تحديد عنوان IP للوجهة الخاص بالرابح في مجموعة المكدس عبر SGBP، تستخدم الهياكل المتعددة L2F للعرض من وحدات التخزين المتصلة بالشبكة (NAS) إلى وحدات التخزين المتصلة بالشبكة الأخرى (NAS) والتي يكون أحدها هو الرابح في مجموعة المكدس.

على سبيل المثال، على مجموعة مكدس تقوم باستدعاء مكدس لاثنين من NASs: NASA وNASB.

ناسا:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

ناب:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

ترجمة البروتوكول

تتيح ترجمة البروتوكول حركة مرور PPP المضمنة عبر بوابة - مثل X.25/TCP - للإنهاء كواجهة وصول ظاهري (ترجمة على خطوتين). يتم دعم واجهة الوصول الظاهري عبر ترجمة من خطوة واحدة أيضا.

مثال ترجمة البروتوكول ثنائي الخطوات:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

مثال ترجمة البروتوكول أحادي الخطوة:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP عبر ATM

توفر هذه الميزة الدعم لإنهاء إتصالات PPP المتعددة على واجهة موجه ATM عندما يتم تنسيق البيانات وفقا لعملية تضمين إعادة توجيه الإطارات (StrataCom) من Cisco. يتم إنهاء بروتوكول PPP على الموجه كما لو تم إستلامه من واجهة PPP تسلسلية نموذجية. سيتم تضمين كل اتصال PPP في بطاقة ATM VC منفصلة. قد يتم تكوين VCs باستخدام أنواع أخرى من التضمين على الواجهة نفسها.

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

ملفات التعريف الظاهرية

التوصيفات الظاهرية هي تطبيق PPP فريد يعرف ويطبق معلومات التكوين لكل مستخدم للمستخدمين الذين يتصلون بالموجه. تتيح ملفات التعريف الظاهرية تطبيق معلومات التكوين الخاصة بالمستخدم بغض النظر عن الوسائط المستخدمة لاتصال الطلب الهاتفي. يمكن أن تأتي معلومات التكوين لملفات التعريف الظاهرية من قالب واجهة افتراضية أو معلومات تكوين لكل مستخدم مخزن على خادم AAA أو كليهما، حسب كيفية تكوين الموجه وخادم AAA. يمكن أن يكون تطبيق ملفات التعريف الظاهرية في بيئة ذات صندوق واحد أو في عبارة VPDN الرئيسية أو في بيئة متعددة الهياكل.

لتعريف قالب ظاهري كمصدر تكوين لملف التعريف الظاهري:

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

لتعريف AAA كمصدر تكوين لملف التعريف الظاهري:

virtual-profile aaa

في هذا المثال، يقرر مسؤول النظام تصفية الموجهات المعلن عنها لجون وتطبيق قوائم الوصول على إتصالات طلب اتصال ريك. عندما يدخل إما جون أو ريك من خلال الواجهة S1 أو BRI 0 ويصادق، يتم إنشاء ملف تعريف ظاهري: يتم تطبيق مرشحات المسار على جون ويتم تطبيق قوائم الوصول على ريك.

تكوين AAA للمستخدمين جون وريك:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

باختصار، تحتوي أزواج AAA من Cisco على أوامر Cisco IOS لكل واجهة ليتم تطبيقها على مستخدم معين.