The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Пример настройки сервера Dialup доступа на Cisco (cisco dialup)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, dialup,  (найти похожие документы)
From: Савенко В. М. <artem@itx.ru.> Date: Mon, 17 Dec 2007 14:31:37 +0000 (UTC) Subject: Пример настройки сервера Dialup доступа на Cisco Оригинал: http://www.itx.ru/articles/cisco-dial-up-realization.html Перед нами стоит следующая задача - обеспечить пользователю доступ к центральному узлу из любого места, которое имеет соединение с телефонной сетью. Во-первых, нам необходимо сконфигурировать последовательный интерфейс центрального маршрутизатора, к которому подсоединен модем, и соответствующий канал. Во-вторых, нам необходимо сконфигурировать внешний модем на маршрутизаторе центрального узла для приема асинхронного вызова от персонального компьютера. В-третьих, требуется сконфигурировать асинхронный последовательный порт маршрутизатора таким образом, чтобы удаленные пользователи могли устанавливать соединения со своих персональных компьютеров. В случае если потребуется конфигурировать маршрутизатор "с нуля", то для этого необходимо задать все параметры требуемые для первоначальной конфигурации. В частности понадобится сконфигурировать имя узла, ip-адрес, протокол маршрутизации и т.д. Это можно сделать с помощью команд приведенных ниже. Переходим в привилегированный режим и вводим пароль для данного режима Router > enable Password: Переходим в режим глобального конфигурирования Router#configure terminal Задаем имя маршрутизатора - Central Router(config)#hostname Central Отключаем службу имен доменов для избежания их долгого поиска в случае опечаток Central(config)#no ip domain-lookup Включаем протокол маршрутизации IGRP для автономной системы с номером 100(данный протокол взят в качестве примера) Central(config)#router igrp 100 Объявляем сеть 10.0.0.0 для протокола IGRP Central(config-router)# network 10.0.0.0 Выходим из режима конфигурации протокола маршрутизации Central(config-router)#exit Задаем секретный пароль cisco, управляющий доступом к привиллегированному режиму. Central(config)#enable secret cisco Задаем локальный пароль faith для управления доступом к различным привилегированным уровням Central(config)#enable password faith Переходим в режим конфигурации интерфейса(слот 1, порт 1) Central(config)#interface ethernet 0/0 Устанавливаем адрес 10.115.0.110 и маску устройства 255.255.255.0 Central(config-if)#ip address 10.115.0.110 255.255.255.0 Включаем интерфейс Central(config-if)#no shutdown Выходим из режима конфигурирования интерфейса Central(config-if)#exit Далее нам необходимо сконфигурировать последовательный интерфейс, к которому подсоединен внешний модем и соответствующий канал с использованием приведенных ниже команд. Предположим, что синхронный/асинхронный модуль с 4 портами расположен в 4 разъеме маршрутизатора, и что первый интерфейс этого модуля используется для асинхронных соединений. Следует отметить, что информация о том, как нумеруются каналы приводится в руководстве по использованию маршрутизатора Входим в режим конфигурации первого интерфейса в четвертом разъеме Central(config)#interface serial 3/0 Конфигурируем последовательный интерфейс в качестве асинхронного Central(config-if)#physical-layer async Включаем интерфейс Central(config-if)#no shutdown Выходим из режима конфигурирования интерфейса Central(config-if)#exit Входим в режим конфигурации канала для задания последующих параметров физического уровня Central(config)#line 97 Задаем пароль пользователя. Central(config-line)#login Задаем пароль cisco при использовании данного канала Central(config-line)#password cisco Разрешаем использование входных и выходных модемных соединений Central(config-line)#modem inout Разрешаем использование любых транспортных протоколов Central(config-line)#transport input all Устанавливаем скорость 11520 обмена данными между маршрутизатором и модемом Central(config-line)#speed 11520 Указываем, что будет использоваться один стоп-бит в каждом байте Central(config-line)#stopbits 1 Задаем использование управление потоком с помощью аппаратных сигналов CTS/RTS Central(config-line)#flowcontrol hardware Выходим из режима конфигурирования канала Central(config-line)#exit Серверы доступа Cisco поддерживают как входные асинхронные соединения (прямые соединения), так и выходные асинхронные соединения каналов(обратные соединения). В качестве примера таких соединений можно привести случай, когда один пользователь удаленного терминала осуществляет соединение с сервером доступа по асинхронному каналу и работает с прямым соединением, другой пользователь подсоединяется через сервер доступа (обратное соединение) к удаленному модему для его конфигурирования. Таким образом, если мы хотим конфигурировать внешний модем при помощи обратного соединения, нам необходимо настроить на маршрутизаторе обратный сеанс п ротокола Telnet к подсоединенному модему. Разрешаем выполнить обратное telnet-соединение с каналом 97. Имя может быть любым(в нашем примере modem). Обратное соединение Telnet осуществляется с использованием ip-адреса действительного интерфейса. Central(config)#ip host modem 2097 10.115.0.110 Отметим, что номер 2097 потра TCP указывает на соединение протокола Telnet (TCP порт 2000) с каналом 97. Теперь мы можем перейти к конфигурации внешнего модема маршрутизатора. Задача конфигурирования модема может быть возложена на маршрутизатор либо выполнена администратором в ручную. Мы остановимся на автоматической конфигурации. Входим в режим конфигурации канала для задания последующих параметров физического уровня Central(config)#line 97 Включаем режим автоматического конфигурирования модема типа Courie Central(config-line)#modem autoconfigure type usr_courier Выходим из режима конфигурирования канала Central(config-line)#exit Если ваш модем не содержится в базе данных возможностей модема маршрутизатора (которую можно просмотреть при помощи команды show modemcap) или он поддерживает специфический набор команд, вам необходимо настроить его вручную. Для этого в командной строке необходимо ввести команду modem. Данная команда выполняет соединение с модемом по каналу 97 маршрутизатора через обратный Telnet-сеанс. Затем появляется приглашение ввести пароль Telnet-канала. Следует ввести пароль cisco(как было настроено выше) и нажать клавишу <Enter>. Далее путем использования команд AT конфигурируем наш модем, руководствуясь его документацией. Перейдем теперь к конфигурированию сеанса PPP и управление доступом к сети посредством механизма CHAP на маршрутизаторе центрального узла для обеспечения удаленных соединений пользователей удаленного узла. Central(config)#ip local pool lab 10.115.0.111 10.115.0.114 Задаем конфигурацию пула ip-адресов. Параметр lab представляет собой имя пула. Клиент, который с помощью удаленного соединения получает доступ к соответствующему асинхронному каналу, назначается определенный ip-адрес в диапазоне с 10.115.0.111 по 10.115.0.114 Входим в режим конфигурации первого интерфейса в четвертом разъеме Central(config)#interface serial 3/0 Конфигурируем асинхронный интерфейс как "ненумерованный". Когда ненумерованный интерфейс генерирует пакет, он использует адрес указанного в конфигурации интерфейса в качестве адреса отправителя ip-пакетов, иначе говоря, использует ip-адрес интерфейса ethernet 0/0. Central(config-if)#ip unnumbered Ethernet 0/0 Обеспечиваем вызывающего пользователя ip-адресом из сконфигурированного пула. Central(config-if)#peer default ip address pool lab Указываем PPP в качестве протокола инкапсуляции при передаче данных между удаленными пользователями и маршрутизатором Central(config-if)#encapsulation ppp Конфигурируем проверку доступа посредством механизма CHAP Central(config-if)#ppp authentication chap Переводим асинхронную линию в интерактивный режим для того, чтобы пользователь, использующий входной удаленный доступ, мог использовать протоколы SLIP, PPP или режим EXEC Central(config-if)#async mode interactive Разрешаем использование входных и выходных модемных соединений Central(config-line)#modem inout Отключаем протокол CDP Central(config-if)#no cdp enable Выходим из режима конфигурирования интерфейса Central(config-if)#exit Входим в режим конфигурации канала для задания последующих параметров физического уровня Central(config)#line 97 Указываем использование локальной базы имен для аутентификации вызывающих абонентов Central(config-line)#login local Конфигурируем автоматический выбор сессии на канале 97. Иначе говоря, позволяем серверу доступа автоматически начать соответствующий процесс после получения стартового символа. Central(config-line)#autoselect during-login Конфигурируем PPP в качестве протокола автоматического выбора сессии Central(config-line)#autoselect ppp Выходим из режима конфигурирования канала Central(config-line)#exit Вводим в локальную базу аутентификации имя и пароль пользователя Central(config)#username faith password testpass Выходим из режима глобального конфигурирования Central(config)#exit Сохраняем конфигурацию Central#copy running-config startup-config Необходимо обратить внимание на, что в данном примере, для назначения ip-адресу удаленному узлу клиента мы использовали метод назначения стандартного адреса для асинхронного интерфейса из локального пула. Можно использовать вместо локального пула DHCP сервер. Для этого в режиме глобального конфигурирования используется команда peer default ip address dhcp. Так же необходимо сконфигурировать соответствующие службы с помощью команд ip helper и ip dhcp server. Кроме того для аутентификации вызывающих абонентов можно использовать не локальную базу имен, а посылать запрос на проверку аутентификации на сервер безопасности(TACACS+ или RADIUS).Предположим, что в нашей сети есть сервер безопасности, который использует протокол TACACS+. Активизируем средства AAA Central(config)#aaa new-model Задаем ip-адрес 10.1.1.4 сервера безопасности Central(config)#tacacs-server host 10.1.1.4 Указываем ключ шифрования посредством которого будут шифроваться все сообщения обмена между маршрутизатором и демоном TACACS+ Central(config)#tacacs-server key 2bor!2b@? Указываем, что по умолчанию для ppp аутентификации используем tacacs+ Central(config)#aaa authentication ppp default tacacs+ Если мы хотим использовать для аутентификации TACACS+, необходимо в режиме конфигурации канала не использовать локальную базу имен для аутентификации вызывающих абонентов (login local). Если в нашей сети будет использоваться RADIUS, то необходимо выполнить следующие шаги. Активизируем средства AAA Central(config)#aaa new-model Задаем ip-адрес 10.1.1.4 сервера безопасности Central(config)#radius-server host 10.1.1.4/pre> Определяем ключ, используемый маршрутизатором и сервером RADIUS для шифрования паролей и ответных сообщений Central(config)#radius-server key 2bor!2b@? Указываем, что по умолчанию для ppp аутентификации используем radius Central(config)#aaa authentication ppp default tacacs+

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
  • 1, Валентин (??), 09:49, 27/12/2007 [ответить]  
  • +/
    1.Ошибки в тексте:
    "Устанавливаем скорость 11520 обмена данными между маршрутизатором и модемом
         Central(config-line)#speed 11520"
    нолик пропустили - 115200 (хотя модемы тоже бывают разными)
    "модема типа Courie"

    2.Непонятен момент определения номера линии - я бы добавил строчку про это.

    3.Непонятно зачем IGRP
    4.Я так понимаю, что сервер аутентификации находится вообще в другой подсети...
    Тема сервера аутентификации может решиться еще проще - на самом маршрутизаторе. Хотя на вкус и цвет...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру