Fonctionnalités de l'Accès Virtuel (Virtual-Access) dans l'IOS Cisco ccnp_cch
Sommaire • Introduction - Glossaire • Présentation générale du "Virtual-Access" • Applications des interfaces "Virtual-Access" - PPP Multilink - L2F - VPDN ccnp_cch
Introduction Glossaire Ce document décrit l'architecture générale des applications Virtual-Access PPP dans L'IOS Cisco. Glossaire Les termes suivants sont utilisés dans ce document. • Access-Server : Plateformes Cisco Access Server incluant les interfaces RNIS et asynchrones pour fournir des accès distants. • L2F : Layer 2 Forwarding protocol C'est la technologie sous-jacente de couche liaison PPP Multilink Multichassis et les VPNs (Virtual Private Networks) • Link : Connexion point à point fournie par un système. Cela peut être une interface hardware dédiée (comme une interface asynchrone), un canal ou un ensemble de canaux hardware tels que (Interface BRI ou PRI). • MP : Protocole PPP Multilink (RFC 1717) • Multichassis MP : MP + SGBP + L2F + Vtemplate • PPP : Point to Point Protocol (RFC 1331) • Rotary Group : Groupe d'interfaces physiques allouées pour initier ou recevoir des appels. Le groupe agit comme un pool de liaisons dans lequel chacune des liaisons peut être utilisée pour initier ou recevoir un appel. • SGBP : Stack Group Binding Protocol • Stack Group : Ensemble de deux ou plusieurs systèmes qui seront configurés pour opérer comme un groupe et qui supporteront des groupes Multilink avec des liaisons vers les différents systèmes. • VPDN : Virtual Private Dialup Network Acheminement de connexions PPP depuis un fournisseur d'accès Internet vers une passerelle utilisateur. • Vtemplate : Virtual Template interface ccnp_cch
Présentation générale du "Virtual Access" A partir de l'IOS Cisco 11 Présentation générale du "Virtual Access" A partir de l'IOS Cisco 11.2F, l'IOS supporte toutes ces fonctionnalités pour les accès distants : VPDN, Multilink Multichassis, Virtual Profile, Traduction de protocole avec Virtual Access et PPP/ATM. Ces fonctionnalités utilisent des interfaces virtuelles pour transporter PPP vers les machines cibles. Une interface Virtual Access est une interface IOS Cisco, comme toute autre interface du routeur. Les interfaces physiques ont des configurations figées. Les interfaces Virtual-Access sont créees de manière dynamique à la demande (Les différentes utilisations sont décrites dans la section suivante). Elles sont également retirées ou libérées si elles n'ont plus d'utilité. Aussi la source de configuration d'une interface Virtual-Access doit être sécurisée par d'autres moyens. Les différentes méthodes avec lesquelles l'interface Virtual-Access acquiert sa confi- guration sont l'interface Virtual-Template et/ou des enregistrements RADIUS et TACAS+ résidants sur un serveur d'authentification. La dernière méthode est appelée "Per-user Virtual Profiles". Comm les interfaces Virtual-Access peuvent être confi- gurées en utilisant une interface Virtual Template Globale, les interfaces Virtual- Access pour différents utilisateurs peuvent hériter de configurations identiques à partir d'une configuration Virtual-Template. Par exemple l'administrateur réseau peut choisir de définir une méthode d'authentification (CHAP) pour tous les utilisateurs "Virtual Access" du système. Pour des configurations spécifiques à l'utilisateur, l'administrateur réseau peut définir des configuration d'interface avec une méthode d'authentification PAP propre à l'utilisateur dans le "Virtual Profile". En bref, le schéma de configuration utilisé pour les interfaces "Virtual-Access" permet à l'administrateur réseau de réaliser des configurations communes à tous les utilisa- teurs et/ou des configurations propres à l'utilisateur. Utilisateur A Utilisateur B interface virtual-template 1 ip unnumbered encapsulation ppp ppp authentication chap Opération 1 Opération 1 Utilisateur A Virtual Profile bridge-group 1 Opération 2 Utilisateur B Virtual Profile ip address 1.1.1.1 255.0.0.0 Opération 2 Figure.1 Interfaces Virtual-Access La figure 1 ci-dessus montre deux interfaces Virtual-Access pour les utilisateurs A et B. L'opération 1 décrit l'application de configuration de l'interface à partir d'une interface Virtual-Template globale aux deux interfaces Virtual-Access. l'opération 2 décrit l'application de configuration d'interface par utilisateur à partir de deux Virtual Profiles différents aux deux Interfaces Virtual-Access. ccnp_cch
Utilisateur A Interface Multilink Applications des interfaces Virtual-Access Cette section décrit comment l'IOS Cisco utilise les interfaces Virtual-Access. Vous pouvez noter un thème récurrent pour chaque application, elles autorisent une interface Virtual Template globale spécifique à l'application (opération 1). Des Virtual Profiles par utilisateur sont ensuite appliqués à chaque utilisateur. PPP Multilink PPP Multilink utilise l'interface Virtual-Access comme une interface de groupe pour réassembler les paquets les fragments reçus sur les différentes liaisons et pour fragmenter les paquets transmis sur les différentes liaisons. L'interface de groupe récupère sa configuration à partir d'une interface Virtual Template spécifique au PPP Multilink. Si l'administrateur réseau choisit de valider les "Virtual Profiles", la configuration interface "per-username Virtual Profile" est ensuite appliquée à l'interface de groupe pour cet utilisateur. Protocole (ex:IP) Utilisateur A Se0 Se1 Utilisateur A Interface Multilink Opération 1 Opération 2 Figure.2 La figure décrit l'utilisation de Multilink PPP avec des interfaces Serial. Comme il n'y a pas d'interface Dialer, une interface Virtual Template est définie par: multilink virtual-template 1 ! interface virtual-template 1 ip unnumbered Ethernet0 encapsulation ppp ppp authentication chap ccnp_cch
Dialer Se0:23 Interface Multilink Utilisateur A ccnp_cch Une configuration optionnelle "per-username Virtual Profile" est ensuite appliquée à l'interface de groupe Multilink. Quand l'interface Dialer est incluse, l'interface de groupe Multilink est passive, aucune interface Virtual-template n'est requise. Par exemple la figure 3 ci-dessous décrit la configuration du support PPP Multilink sur l'interface RNIS PRI Se0:23. Protocole (ex:IP) Utilisateur A géré dans un Dialer map Dialer Se0:23 Interface Multilink Se0:11 Se0:12 Utilisateur A Figure.3 Notez que si le Virtual Profile est validé, le schéma revient à celui de la figure 2. Ce qui signifie que si un appel entrant est reçu sur une interface Dialer et qu'un Virtual Profile est validé, la source de configuration n'est plus obtenue par l'inter- face Dialer. C'est l'interface de groupe Multilink (voir fig.2) qui est l'interface active vers laquelle tous les protocoles sont lus ou écrits. L'interface source de la confi- guration est d'abord l'interface Virtual-template et ensuite le Virtual Profile pour cet utilisateur particulier. ccnp_cch
Interface Virtual-Access L2F L'acheminement au niveau liaison de couche 2, u L2F, permet au protocole PPP d'aboutir jusqu'à la destination finale. Normalement sans L2F, PPP est exécuté entre le client et le serveur NAS qui répond à l'appel entrant. Avec L2F, le protocole PPP est acheminé jusqu'au nœud final. Autant qu'il peut être concerné, le client croit qu'il est connecté au nœud de destination finale par PPP. En effet le serveur NAS devient un simple achemineur de trames PPP. Dans la terminologie L2F, le nœud de destination est appelé Home-Gateway. A l'extrémité Home-Gateway, l'interface Virtual-Access est utilisée pour réaliser l'aboutissement de la connexion PPP. De nouveau, une interface Virtual-Template est utilisée comme source de configuration. Si un Virtual-Profile est défini, la con- figuration interface par utilisateur est appliquée à l'interface Virtual-Access. Le tunnel L2/ est propagé sur IP/UDP. Réseau Home-Gateway Opération 1 Opération2 NAS L2 Client PPP Interface Virtual-Access Figure.4 La technologie de tunnel L2F est couranment employée dans deux fonctionnalités de l'IOS Cisco: VPDN (Virtual Private Dialup Network) et Multichassis Multilink PPP (MMP). ccnp_cch
VPDN VPDN permet à des réseaux privés de s'étendre du client distant directement vers la home gateway de son choix. Par exemple les utilisateurs mobiles de CFI désirent être capables de se connecter à la Home-Gateway de leur choix de quelque endroit où il se trouve et à toute heure. CFI devra passer un contrat avec des opérateurs supportant les PDN. Ces opérateurs devront être configurés de telle sorte que si jcsopuce@cfi.comappelle un numéro entrant dans la liste de ceux gérés par les opérateurs, le NAS acheminera automatiquement vers la Home-Gateway de CFI. L'opérateur est libéré de l'administration des adresses IP des utilisateurs CFI, du routage et d'autres fonctions liées à la gestion de la base utilisateurs de CFI. L'administration de CFI par l'opérateur est réduite à la connectivité IP pour la Home-Gateway de CFI. NAS: Opérateur vpdn outgoing cfi.com isp ip 1.1.1.2 Home-Gateway: CFI-gateway interface virtual-template 1 ip unnumbered ethernet0 encapsulation ppp ppp chap authentication ! vpdn incoming isp CFI-gateway virtual-template 1 Multichassis PPP Multilink fournit aux utilisateurs de la bande passante additionnelle à la demande avec des capacités de fragmentation de paquets et de réassemblage à travers un groupe logique formé de multiples liaisons physiques. Ceci réduit le temps de latence sur les réseaux WAN bas débit et fournit également une méthode pour accroitre le MRU (Maximum Receive Unit). PPP multilink est supporte dans un environnement de Serveur d'Accès unique. Les opérateurs, par exemple, aimeraient allouer aisément et selon l'évolution de leurs besoins, un seul numéro d'appel communu à plusieurs interfaces PRI réparties sur plusieurs Seveurs d'Accès . Avec Multichassis Multilink, les liaisons Multilink d'un même client peuvent aboutir sur différents Serveurs d'Accès. Quand les composantes sont comparées à celles d'un VPDN, le Multlink Multichassis diffère uniquement par l'addition du protocole SGBP (StackGroup Bidding Protocol) pour faciliter l'arbitrage et l'ordonnancement des groupes Multilink. Une fois que l'adresse IP du Group Stack élu est décidée par SGBP, Multichassis utilise L2F pour etablir un tunnel vers l'autre NAS qui lui aussi a été élu dans le StackGroup. ccnp_cch
Par exemple sur le Stack Group appelé stackq de deux NAS: nasa et nasb nasa: username stackq password hello multilink virtual-template 1 ! interface virtual-template 1 ip unnumbered ethernet0 encapsulation ppp ppp authentication chap ! sgbp stack stackq sgbp member nasb 1.1.1.2 nasb: username stackq password hello multilink virtual-template 1 ! interface virtual-template 1 ip unnumbered ethernet0 encapsulation ppp ppp authentication chap ! sgbp member nasb 1.1.1.2 Traduction de protocole La traduction de protocole permet au trafic PPP encapsulé au travers d'une passe- relle telle que X25/TCP d'aboutir comme une interface Virtual-Access (traduction en deux étapes). L'interface Virtual-Access supporte également une traduction en une étapes. Traduction en deux étapes: interface Virtual-Template 1 ip unnumbered ethernet0 encapsulation ppp ppp authentication chap ! vty-async virtual-template 1 Traduction en une étape interface Virtual-Template 1 ip unnumbered ethernet0 encapsulation ppp ppp authentication chap ! vty-async virtual-template 1 ccnp_cch
PPP over ATM Cette fonctionnalité fournit un support pour l'aboutissement de plusieurs connexions PPP sur une interface ATM d'un routeur quand les données sont formatées selon l'encapsulation Cisco Frame Forwarding. Le PPP aboutit sur un routeur comme s'il était reçu sur une interface serial classique. Chaque connexion PPP sera encapsulée dans un VC ATM séparé. Des VCs utilisant d'autres types d'encapsulation peuvent être également configurés sur la même inter- face. ! interface Virtual-Template 1 ip ununumbered Ethernet0 ppp authentication chap ! interface ATM2/0.2 point-to-point atm pvc 34 34 34 aal5ppp virtual-template 1 Virtual Profiles Virtual Profiles est une application PPP unique qui définit et applique des informa- tions de configuration par utilisateur à des utilisateurs qui initient des appels pour se connecter au routeur. Les Virtual Profiles permettent d'appliquer une configura- tion spécifique à l'utilisateur indépendanment de la nature de l'interface physique utilisée pour l'appel. L'information de configuration pour le Virtual Profile peut provenir de l'interface Virtual-Template, d'une information stockée dans un serveur AAA ou les deux, cela dépend de la configuration du routeur et du serveur AAA. L'application des Virtual Profiles peut se faire sur un équipement unique, dans une VPDN Home-Gateway ou dans un environnement Multichassis. Définition d'une interface Virtual-Template comme source de configuration pour un Virtual Profile: virtual-profile virtual-Template 1 ! interface Virtual-template 1 ip unnumbered Ethernet0 encapsulation ppp ppp authentication chap ! Définition d'un serveur AAA comme source de configurtion: virtual-profile aaa Dans cet exemple l'administrateur système décide de filtrer les routes annoncées pour Philippe et applique une liste d'accès aux connexions entrantes de Xavier. Quand Philippe ou Xavier se connec- tent par les interfaces S1 ou BRI0 et s'authentifient, un virtual prifile est crée. ccnp_cch
Les filtres de routes sont appliqués à Philippe et les listes d'accès à Xavier. Configurations AAA pour les utilisateurs Philippe et Xavier : Philippe Password = `` Welcome`` User-Service-Type = Framed -User, Framed-Protocol = PPP, cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60``, cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255``, cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255``, cisco-avpair = ``ip:rte-fltr-out#5=permit any`` Xavier Password = ``electronet`` User-Service-Type = Framed -User, Framed-Protocol = PPP, cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate``, cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any``, cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate``, cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any`` Les cisco-avpairs contiennent les commandes IOS Cisco par interface devant être appliquées à un utilisateur particulier. ccnp_cch