Ключевые слова:cisco, dialup, (найти похожие документы)
From: Савенко В. М. <artem@itx.ru.>
Date: Mon, 17 Dec 2007 14:31:37 +0000 (UTC)
Subject: Пример настройки сервера Dialup доступа на Cisco
Оригинал: http://www.itx.ru/articles/cisco-dial-up-realization.html
Перед нами стоит следующая задача - обеспечить пользователю доступ к
центральному узлу из любого места, которое имеет соединение с
телефонной сетью. Во-первых, нам необходимо сконфигурировать
последовательный интерфейс центрального маршрутизатора, к которому
подсоединен модем, и соответствующий канал. Во-вторых, нам необходимо
сконфигурировать внешний модем на маршрутизаторе центрального узла для
приема асинхронного вызова от персонального компьютера. В-третьих,
требуется сконфигурировать асинхронный последовательный порт
маршрутизатора таким образом, чтобы удаленные пользователи могли
устанавливать соединения со своих персональных компьютеров. В случае
если потребуется конфигурировать маршрутизатор "с нуля", то для
этого необходимо задать все параметры требуемые для первоначальной
конфигурации. В частности понадобится сконфигурировать имя узла,
ip-адрес, протокол маршрутизации и т.д. Это можно сделать с помощью
команд приведенных ниже.
Переходим в привилегированный режим и вводим пароль для данного режима
Router > enable Password:
Переходим в режим глобального конфигурирования
Router#configure terminal
Задаем имя маршрутизатора - Central
Router(config)#hostname Central
Отключаем службу имен доменов для избежания их долгого поиска в случае опечаток
Central(config)#no ip domain-lookup
Включаем протокол маршрутизации IGRP
для автономной системы с номером 100(данный протокол взят в качестве примера)
Central(config)#router igrp 100
Объявляем сеть 10.0.0.0 для протокола IGRP
Central(config-router)# network 10.0.0.0
Выходим из режима конфигурации протокола маршрутизации
Central(config-router)#exit
Задаем секретный пароль cisco, управляющий доступом к
привиллегированному режиму.
Central(config)#enable secret cisco
Задаем локальный пароль faith для управления доступом к различным
привилегированным уровням
Central(config)#enable password faith
Переходим в режим конфигурации интерфейса(слот 1, порт 1)
Central(config)#interface ethernet 0/0
Устанавливаем адрес 10.115.0.110 и маску устройства 255.255.255.0
Central(config-if)#ip address 10.115.0.110 255.255.255.0
Включаем интерфейс
Central(config-if)#no shutdown
Выходим из режима конфигурирования интерфейса
Central(config-if)#exit
Далее нам необходимо сконфигурировать последовательный интерфейс, к
которому подсоединен внешний модем и соответствующий канал с
использованием приведенных ниже команд. Предположим, что
синхронный/асинхронный модуль с 4 портами расположен в 4 разъеме
маршрутизатора, и что первый интерфейс этого модуля используется для
асинхронных соединений. Следует отметить, что информация о том, как
нумеруются каналы приводится в руководстве по использованию
маршрутизатора
Входим в режим конфигурации первого интерфейса в четвертом разъеме
Central(config)#interface serial 3/0
Конфигурируем последовательный интерфейс в качестве асинхронного
Central(config-if)#physical-layer async
Включаем интерфейс
Central(config-if)#no shutdown
Выходим из режима конфигурирования интерфейса
Central(config-if)#exit
Входим в режим конфигурации канала для задания
последующих параметров физического уровня
Central(config)#line 97
Задаем пароль пользователя.
Central(config-line)#login
Задаем пароль cisco при использовании данного канала
Central(config-line)#password cisco
Разрешаем использование входных и выходных модемных соединений
Central(config-line)#modem inout
Разрешаем использование любых транспортных протоколов
Central(config-line)#transport input all
Устанавливаем скорость 11520 обмена данными между маршрутизатором и модемом
Central(config-line)#speed 11520
Указываем, что будет использоваться один стоп-бит в каждом байте
Central(config-line)#stopbits 1
Задаем использование управление потоком с помощью аппаратных сигналов CTS/RTS
Central(config-line)#flowcontrol hardware
Выходим из режима конфигурирования канала
Central(config-line)#exit
Серверы доступа Cisco поддерживают как входные асинхронные соединения
(прямые соединения), так и выходные асинхронные соединения
каналов(обратные соединения). В качестве примера таких соединений
можно привести случай, когда один пользователь удаленного терминала
осуществляет соединение с сервером доступа по асинхронному каналу и
работает с прямым соединением, другой пользователь подсоединяется
через сервер доступа (обратное соединение) к удаленному модему для его
конфигурирования. Таким образом, если мы хотим конфигурировать внешний
модем при помощи обратного соединения, нам необходимо настроить на
маршрутизаторе обратный сеанс п ротокола Telnet к подсоединенному
модему.
Разрешаем выполнить обратное telnet-соединение с каналом 97. Имя
может быть любым(в нашем примере modem). Обратное соединение Telnet
осуществляется с использованием ip-адреса действительного интерфейса.
Central(config)#ip host modem 2097 10.115.0.110
Отметим, что номер 2097 потра TCP указывает на соединение протокола
Telnet (TCP порт 2000) с каналом 97.
Теперь мы можем перейти к конфигурации внешнего модема маршрутизатора.
Задача конфигурирования модема может быть возложена на маршрутизатор
либо выполнена администратором в ручную. Мы остановимся на
автоматической конфигурации.
Входим в режим конфигурации канала для задания последующих параметров физического уровня
Central(config)#line 97
Включаем режим автоматического конфигурирования модема типа Courie
Central(config-line)#modem autoconfigure type usr_courier
Выходим из режима конфигурирования канала
Central(config-line)#exit
Если ваш модем не содержится в базе данных возможностей модема
маршрутизатора (которую можно просмотреть при помощи команды show
modemcap) или он поддерживает специфический набор команд, вам
необходимо настроить его вручную. Для этого в командной строке
необходимо ввести команду modem. Данная команда выполняет соединение с
модемом по каналу 97 маршрутизатора через обратный Telnet-сеанс. Затем
появляется приглашение ввести пароль Telnet-канала. Следует ввести
пароль cisco(как было настроено выше) и нажать клавишу <Enter>. Далее
путем использования команд AT конфигурируем наш модем, руководствуясь
его документацией.
Перейдем теперь к конфигурированию сеанса PPP и управление доступом к
сети посредством механизма CHAP на маршрутизаторе центрального узла
для обеспечения удаленных соединений пользователей удаленного узла.
Central(config)#ip local pool lab 10.115.0.111 10.115.0.114 Задаем
конфигурацию пула ip-адресов. Параметр lab представляет собой имя
пула. Клиент, который с помощью удаленного соединения получает доступ
к соответствующему асинхронному каналу, назначается определенный
ip-адрес в диапазоне с 10.115.0.111 по 10.115.0.114
Входим в режим конфигурации первого интерфейса в четвертом разъеме
Central(config)#interface serial 3/0
Конфигурируем асинхронный интерфейс как "ненумерованный". Когда ненумерованный
интерфейс генерирует пакет, он использует адрес указанного в
конфигурации интерфейса в качестве адреса отправителя ip-пакетов,
иначе говоря, использует ip-адрес интерфейса ethernet 0/0.
Central(config-if)#ip unnumbered Ethernet 0/0
Обеспечиваем вызывающего пользователя ip-адресом из сконфигурированного пула.
Central(config-if)#peer default ip address pool lab
Указываем PPP в качестве
протокола инкапсуляции при передаче данных между удаленными
пользователями и маршрутизатором
Central(config-if)#encapsulation ppp
Конфигурируем проверку доступа посредством механизма CHAP
Central(config-if)#ppp authentication chap
Переводим асинхронную линию
в интерактивный режим для того, чтобы пользователь, использующий
входной удаленный доступ, мог использовать протоколы SLIP, PPP или
режим EXEC
Central(config-if)#async mode interactive
Разрешаем использование входных и выходных модемных соединений
Central(config-line)#modem inout
Отключаем протокол CDP
Central(config-if)#no cdp enable
Выходим из режима конфигурирования интерфейса
Central(config-if)#exit
Входим в режим конфигурации канала для задания
последующих параметров физического уровня
Central(config)#line 97
Указываем использование локальной
базы имен для аутентификации вызывающих абонентов
Central(config-line)#login local
Конфигурируем автоматический выбор сессии на канале 97. Иначе говоря,
позволяем серверу доступа автоматически начать соответствующий
процесс после получения стартового символа.
Central(config-line)#autoselect during-login
Конфигурируем PPP в качестве протокола автоматического выбора сессии
Central(config-line)#autoselect ppp
Выходим из режима конфигурирования канала
Central(config-line)#exit
Вводим в локальную базу аутентификации имя и пароль пользователя
Central(config)#username faith password testpass
Выходим из режима глобального конфигурирования
Central(config)#exit
Сохраняем конфигурацию
Central#copy running-config startup-config
Необходимо обратить внимание на, что в данном примере, для назначения
ip-адресу удаленному узлу клиента мы использовали метод назначения
стандартного адреса для асинхронного интерфейса из локального пула.
Можно использовать вместо локального пула DHCP сервер. Для этого в
режиме глобального конфигурирования используется команда peer default
ip address dhcp. Так же необходимо сконфигурировать соответствующие
службы с помощью команд ip helper и ip dhcp server.
Кроме того для аутентификации вызывающих абонентов можно использовать
не локальную базу имен, а посылать запрос на проверку аутентификации
на сервер безопасности(TACACS+ или RADIUS).Предположим, что в нашей
сети есть сервер безопасности, который использует протокол TACACS+.
Активизируем средства AAA
Central(config)#aaa new-model
Задаем ip-адрес 10.1.1.4 сервера безопасности
Central(config)#tacacs-server host 10.1.1.4
Указываем ключ шифрования посредством которого будут шифроваться все
сообщения обмена между маршрутизатором и демоном TACACS+
Central(config)#tacacs-server key 2bor!2b@?
Указываем, что по умолчанию для ppp аутентификации используем tacacs+
Central(config)#aaa authentication ppp default tacacs+
Если мы хотим использовать для аутентификации TACACS+, необходимо в
режиме конфигурации канала не использовать локальную базу имен для
аутентификации вызывающих абонентов (login local).
Если в нашей сети будет использоваться RADIUS, то необходимо выполнить
следующие шаги.
Активизируем средства AAA
Central(config)#aaa new-model
Задаем ip-адрес 10.1.1.4 сервера безопасности
Central(config)#radius-server host 10.1.1.4/pre>
Определяем ключ, используемый маршрутизатором и сервером RADIUS для
шифрования паролей и ответных сообщений
Central(config)#radius-server key 2bor!2b@?
Указываем, что по умолчанию для ppp аутентификации используем radius
Central(config)#aaa authentication ppp default tacacs+
1.Ошибки в тексте:
"Устанавливаем скорость 11520 обмена данными между маршрутизатором и модемом
Central(config-line)#speed 11520"
нолик пропустили - 115200 (хотя модемы тоже бывают разными)
"модема типа Courie"
2.Непонятен момент определения номера линии - я бы добавил строчку про это.
3.Непонятно зачем IGRP
4.Я так понимаю, что сервер аутентификации находится вообще в другой подсети...
Тема сервера аутентификации может решиться еще проще - на самом маршрутизаторе. Хотя на вкус и цвет...