Ключевые слова:cisco, modem, dialupasync, nat, (найти похожие документы)
From: Олег Гребенёв <grol55@mail.ru.>
Newsgroups: email
Date: Mon, 11 May 2009 17:02:14 +0000 (UTC)
Subject: Организация модемного пула на маршрутеризаторе Cisco 3825
Возникла задача организовать резервный канал связи для доступа
пользователей из районов через модемное соединение. Дело в том, что
периодически существующий канал связи в интернет далеких регионах нашей
огромной Родины отваливается при чем всерьез и надолго, а отчетность
cдавать надо точно в срок. Поэтому возникла идея организовать резервный
канал через аналоговые модемы. Это выходить хоть и дороже из-за
междугородней связи и вразы медленней, но жизнь вынуждает человека на
множество добровольных действий и всё-таки на крайний случай отчетность
через интернет сотрудники сдать смогут.
Итак, имеется роутер Cisco 3825 с платой NM-8AM-V2 - IOS 12.4(21). Не
будем умножать количество сущностей сверх необходимости, поэтому
авторизация пользователей будет происходить на этом же маршрутеризаторе,
т.е. внешние RADIUS, TACACS+ сервера использовать не будем.
Полный конфиг приведен в конце, но заложенные идеи в него следующие:
1. Включить ААА и настроить так, чтобы пользователи из регионов могли
проходить аутентификацию и авторизацию локально
2. Завести пользователей
3. Сконфигурировать группу асинхронных интерфейсов
4. Сконфигурировать физические линии
5. Настроить NAT для выхода в Интернет
1. Включить ААА и настроить так, чтобы пользователи из регионов могли
проходить аутентификацию и авторизацию локально.
aaa new-model
aaa authentication login default
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
2. Завести пользователей
username admin privilege 15 secret 5 $XXXXXXXXXXXXXXXXXXXXX
username region01 password 0 qwerty
Внимание! Пароли для пользователей из регионов *не должны *быть
зашифрованы, иначе авторизация не пройдет.
3. Сконфигурировать группу асинхронных интерфейсов
Чтобы была возможна маршрутеризация необходимо добавить виртуальный
интерфейс Loopback0, в одной подсети с раздаваемыми айпи - адресами для
модемов
interface Loopback0
ip address 192.168.72.254 255.255.255.0
interface Group-Async1
ip unnumbered Loopback0 #конфигурируем асинхранные интерфейсы как
ненумеруемые, используя для раздачи ip-адресов интерфейс Loopback0
ip virtual-reassembly
encapsulation ppp # используем в качестве инкапсуляции ppp
async dynamic routing # конфигурируем интерфейсы для динамической
# маршрутеризации, пока не нужно, но на будущее :-)
async mode interactive #назначаем интерактивный режим доступа
peer default ip address pool dialin_pool #адреса раздаем из пула dialin_pool
ppp authentication ms-chap-v2 ms-chap chap pap #используем для
# аутентификации перечисленные методы ms-chap-v2, ms-chap, chap, pap. В
# windows xp по умолчанию стоит ms-chap-v2 поэтому он используется первым.
group-range 1/0 1/7 # номера интерфейсов которые мы группируем в одну логическую группу
routing dynamic # снова динамическая маршрутеризация
ip local pool dialin_pool 192.168.72.1 192.168.72.8 #пул из которого раздаются ip-адреса
4. Сконфигурировать физические линии
modem country smart_acf Russia # показываем, что модем у нас из России
line 1/0 1/7
modem InOut # конфигурируем модем для входящих и исходящих звонков
transport input all # разрешаем всем протоколам соединятся к линии
autoselect during-login # автовыбор отображения логина и пароля после подключения
autoselect ppp # автовыбор ppp
stopbits 1
flowcontrol hardware
5. Настроить NAT для выхода в Интернет
Это внешний интерфейс его адрес выдал провайдер. Во всех внешних
ip-адресах первые 2 числа заменены на 555.
interface GigabitEthernet0/0
ip address 555.555.72.254 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
!
! Это внутренний интерфейс
interface Group-Async1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
encapsulation ppp
async dynamic routing
async mode interactive
peer default ip address pool dialin_pool
ppp authentication ms-chap-v2 ms-chap chap pap
group-range 1/0 1/7
routing dynamic
!
! Это шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 555.555.72.1
! Это DNS-сервер
ip name-server 555.555.1.3
! А это сама команда для включения NAT, а точнее PAT.
ip nat inside source list DialupNet interface GigabitEthernet0/0 overload
!
! Список тех, для кого разрешен NAT.
ip access-list extended DialupNet
permit ip 192.168.72.0 0.0.0.255 any
А вот и полный конфиг.
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-gk-01
!
boot-start-marker
boot-end-marker
!
enable secret 5 $XXXXXXXXXXXXXXXXX/
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
aaa session-id common
modem country smart_acf russia
ip cef
!
ip domain name u72.ru <http://u72.ru>
ip name-server 555.555.1.3
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
voice-card 0
no dspfarm
!
username admin privilege 15 secret 5 $XXXXXXXXXXXXXXXXXXXXX
username region password 0 qwerty
!
interface Loopback0
ip address 192.168.72.254 255.255.255.0
!
interface GigabitEthernet0/0
ip address 555.555.72.254 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 10.72.131.198 255.255.252.0
duplex auto
speed auto
media-type rj45
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Group-Async1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
encapsulation ppp
async dynamic routing
async mode interactive
peer default ip address pool dialin_pool
ppp authentication ms-chap-v2 ms-chap chap pap
group-range 1/0 1/7
routing dynamic
!
ip local pool dialin_pool 192.168.72.1 192.168.72.8
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 555.555.72.1
!
no ip http server
ip nat inside source list DialupNet interface GigabitEthernet0/0 overload
!
ip access-list extended DialupNet
permit ip 192.168.72.0 0.0.0.255 any
!
control-plane
!
line con 0
line aux 0
line 1/0 1/7
modem InOut
transport input all
autoselect during-login
autoselect ppp
stopbits 1
flowcontrol hardware
line vty 0 4
transport input telnet ssh
!
scheduler allocate 20000 1000
!
Cisco 3825 надо не забыть физически скоммутировать телефонные линии,
которые в неё заходят, т.е. соединить проводами телефонную патч-панель и
входы RJ-12 платы NM-8AM-V2 Сisco 3812.
На клиенте надо создать новое подключение WindowsXP Программы
Стандартные Связь Мастер новых подключений. Процедура подключения
стандартная - через обычный модем.