Keywords: AS5300 ISDN PRI dial modem-pool AAA RADIUS IAS
一位客户新安装一台Cisco AS5300拔号访问服务器, 用两根CE1提供60路MODEM拔入。用户分成两组,每组30路, 每一组都有独立的的用户名、密码,以及各自的IP地址。 有点象把5300/2, 呵呵。
第一个要考虑的问题是用户系经CE1拔入,isdn incoming-voice modem 命令把呼叫连接到数字MODEM, 但并不指定连接到哪一个数字MODEM上。解决方法是要求ISDN交换机发送呼叫识别号,按被叫号码识别不同的用户。
第二个要考虎的问题是如何管理两组互相独立的帐号。解决的方法是AS5300 LOCAL管理一组用户,另一组用户通过AAA服务器来管理。为了降低成本,使用了Windows 2000 Server内置的IAS服务来做认证。
以下是AS5300的配置:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname CiscoAS5300
!
aaa new-model // 为了管理两组互相独立的帐号, 启用AAA模式
aaa authentication login org line // #100 使用line vty 0 4上配置的密码做telnet登录认证,参见#101
aaa authentication enable default enable // 使用enable密码验证超级用户
aaa authentication ppp ra group radius // #82 为第二组用户定义的验证方式,参见#81
enable secret 5 $1sdf23udf6meRdnzo11
!
username user163 password 0 cisco // #72 第一组拔号用户使用的帐号和密码
username mize password 0 nnwh@163.net // 偶的帐号,严禁盗用 :-)
spe 1/0 1/4
firmware location system:/ucode/mica_port_firmware
!
!
resource-pool disable
!
modem-pool inside
pool-range 1-30
called-number 163 max-conn 30 // #5 如果用户呼叫的是163,则使用1-30号数字modem(line 1-30)
!
modem-pool outside
pool-range 31-60
called-number 169 max-conn 30 // #6 如果用户呼叫的是169,则使用31-60号数字modem(line 31-60)
!
ip subnet-zero
no ip domain-lookup
!
isdn switch-type primary-net5 // #1 ISDN交换机类型 可以按#号顺序跟踪呼入流程
!
controller E1 0 // 120欧姆平衡式 RJ45 信号线 1、2、4、5
framing NO-CRC4 // #2 编帧方式:NO-CRC4 编码方式(linecode):默认的HDB3
clock source line primary // 主时钟
pri-group timeslots 1-31 // #3 把PRI接口划分为31个信道,其中第十六个信道(逻辑端口s0:15)是管理信道
!
controller E1 1
framing NO-CRC4
clock source line secondary 1
pri-group timeslots 1-31 // 划分信道后管理端口s1:15会自动出现在配置中
!
controller E1 2
clock source line secondary 2
!
controller E1 3
clock source line secondary 3
!
!
!
interface Ethernet0 // 第二组用户的出口
ip address 169.1.1.1 255.255.255.0
!
(此处略去296字...)
!
interface Serial0:15 // E1 0 的管理信道
no ip address
isdn switch-type primary-net5
isdn incoming-voice modem 64 // #4 MODEM呼叫转接到数据MODEM,允许最高速率64k
no cdp enable // 如果要接受ISDN BRI接入,可在本端口设置
!
interface Serial1:15
no ip address
isdn switch-type primary-net5
isdn incoming-voice modem 64
no cdp enable
!
interface FastEthernet0
ip address 163.1.1.1 255.255.255.0 // 第一组用户的出口
duplex auto
speed auto
!
interface Group-Async1 // #7 第一组用户的拔号接口
description 163
ip unnumbered FastEthernet0
encapsulation ppp
async mode interactive
peer default ip address pool dial-pool163
ppp authentication pap chap // #71 第一组用户使用默认PPP认证方法:本地认证
group-range 1 30 // 本组用户的范围(line 1-30)
!
interface Group-Async2 // #8 第二组用户的拔号接口
description 169
ip unnumbered Ethernet0
encapsulation ppp
async mode interactive
peer default ip address pool dial-pool169
ppp authentication pap ra // #81 第二用户使用Radius服务器做认证,参见#82
group-range 31 60 // 本组用户的范围(line 31-60)
!
ip local pool dial-pool163 163.1.1.100 163.1.1.129
ip local pool dial-pool169 169.1.1.100 169.1.1.129
ip classless
ip route 163.0.0.0 255.0.0.0 163.1.1.254 // 路由
ip route 169.0.0.0 255.0.0.0 169.1.1.254
no ip http server
ip pim bidir-enable
!
radius-server host 163.1.1.2 auth-port 1645 acct-port 1646 key cisco // #83 Windows 2000 IAS做Radius服务器
radius-server retransmit 3
!
line con 0
line 1 60
modem InOut
modem autoconfigure discovery
autoselect during-login
autoselect ppp
line aux 0
line vty 0 4
password 7 cisco
login authentication org // #101 使用org方法来做telnet认证,参见#50
!
end
调试命令:
show isdn status
show isdn history
show isdn service
debug ppp negotiation
debug ppp authentication
debug radius
附:Windows 2000 IAS服务的大致配置:
IAS服务安装:添加/删除程序--添加/删除Windows组件--“网络服务”组:Internet验证服务
拔号用户设置:
1.添加windows组:RA users
2.添加windows用户:user169 设置密码、“密码永不过期”、“拔入:(.)允许访问”等等
把用户加入RA users组
如需添加更多的拔号帐号,步骤同上
IAS服务设置:
管理工具--Internet验证服务
1.建立客户端:
好记的名称: Cisco AS5300
协议:RADIUS
客户端IP:163.1.1.1
客户端供应商:cisco
[]客户端必须总是在请求中发送签名属性 --- 此项不选
共享的机密码:cisco // #84 此密码需与 #83 key相同
2.远程访问记录(可选配置)
可以选择:
[v]记录记帐请求 // 本例中未设置记帐
[v]记录身份验证请求
日志文件格式可选(.)数据库兼容文件格式
3.远程访问策略:
首先删除原有的远程访问策略
新建远程访问策略:
好记的名称ermit
条件:添加Windows-Groups--添加“RA Users”组
权限:授予远程访问权限
编加配置文件:在“身份验证”页面中,去掉MS-CHAP V2及MS-CHAP,选中:“未加密的身份(PAP,SPAP)”