|
5300/2:分身有术 Date:2002.10.30 (注:由于免费主页服务调整等原因,最近本站更新较慢) Keywords: AS5300 ISDN PRI dial modem-pool AAA RADIUS IAS 一位客户新安装一台Cisco AS5300拔号访问服务器, 用两根CE1提供60路MODEM拔入。用户分成两组,每组30路, 每一组都有独立的的用户名、密码,以及各自的IP地址。 有点象把5300/2, 呵呵。 第一个要考虑的问题是用户系经CE1拔入,isdn incoming-voice modem 命令把呼叫连接到数字MODEM, 但并不指定连接到哪一个数字MODEM上。解决方法是要求ISDN交换机发送呼叫识别号,按被叫号码识别不同的用户。 第二个要考虎的问题是如何管理两组互相独立的帐号。解决的方法是AS5300 LOCAL管理一组用户,另一组用户通过AAA服务器来管理。为了降低成本,使用了Windows 2000 Server内置的IAS服务来做认证。 以下是AS5300的配置: version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname CiscoAS5300 ! aaa new-model // 为了管理两组互相独立的帐号, 启用AAA模式 aaa authentication login org line // #100 使用line vty 0 4上配置的密码做telnet登录认证,参见#101 aaa authentication enable default enable // 使用enable密码验证超级用户 aaa authentication ppp ra group radius // #82 为第二组用户定义的验证方式,参见#81 enable secret 5 $1sdf23udf6meRdnzo11 ! username user163 password 0 cisco // #72 第一组拔号用户使用的帐号和密码 username mize password 0 nnwh@163.net // 偶的帐号,严禁盗用 :-) spe 1/0 1/4 firmware location system:/ucode/mica_port_firmware ! ! resource-pool disable ! modem-pool inside pool-range 1-30 called-number 163 max-conn 30 // #5 如果用户呼叫的是163,则使用1-30号数字modem(line 1-30) ! modem-pool outside pool-range 31-60 called-number 169 max-conn 30 // #6 如果用户呼叫的是169,则使用31-60号数字modem(line 31-60) ! ip subnet-zero no ip domain-lookup ! isdn switch-type primary-net5 // #1 ISDN交换机类型 可以按#号顺序跟踪呼入流程 ! controller E1 0 // 120欧姆平衡式 RJ45 信号线 1、2、4、5 framing NO-CRC4 // #2 编帧方式:NO-CRC4 编码方式(linecode):默认的HDB3 clock source line primary // 主时钟 pri-group timeslots 1-31 // #3 把PRI接口划分为31个信道,其中第十六个信道(逻辑端口s0:15)是管理信道 ! controller E1 1 framing NO-CRC4 clock source line secondary 1 pri-group timeslots 1-31 // 划分信道后管理端口s1:15会自动出现在配置中 ! controller E1 2 clock source line secondary 2 ! controller E1 3 clock source line secondary 3 ! ! ! interface Ethernet0 // 第二组用户的出口 ip address 169.1.1.1 255.255.255.0 ! (此处略去296字...) ! interface Serial0:15 // E1 0 的管理信道 no ip address isdn switch-type primary-net5 isdn incoming-voice modem 64 // #4 MODEM呼叫转接到数据MODEM,允许最高速率64k no cdp enable // 如果要接受ISDN BRI接入,可在本端口设置 ! interface Serial1:15 no ip address isdn switch-type primary-net5 isdn incoming-voice modem 64 no cdp enable ! interface FastEthernet0 ip address 163.1.1.1 255.255.255.0 // 第一组用户的出口 duplex auto speed auto ! interface Group-Async1 // #7 第一组用户的拔号接口 description 163 ip unnumbered FastEthernet0 encapsulation ppp async mode interactive peer default ip address pool dial-pool163 ppp authentication pap chap // #71 第一组用户使用默认PPP认证方法:本地认证 group-range 1 30 // 本组用户的范围(line 1-30) ! interface Group-Async2 // #8 第二组用户的拔号接口 description 169 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool dial-pool169 ppp authentication pap ra // #81 第二用户使用Radius服务器做认证,参见#82 group-range 31 60 // 本组用户的范围(line 31-60) ! ip local pool dial-pool163 163.1.1.100 163.1.1.129 ip local pool dial-pool169 169.1.1.100 169.1.1.129 ip classless ip route 163.0.0.0 255.0.0.0 163.1.1.254 // 路由 ip route 169.0.0.0 255.0.0.0 169.1.1.254 no ip http server ip pim bidir-enable ! radius-server host 163.1.1.2 auth-port 1645 acct-port 1646 key cisco // #83 Windows 2000 IAS做Radius服务器 radius-server retransmit 3 ! line con 0 line 1 60 modem InOut modem autoconfigure discovery autoselect during-login autoselect ppp line aux 0 line vty 0 4 password 7 cisco login authentication org // #101 使用org方法来做telnet认证,参见#50 ! end 调试命令: show isdn status show isdn history show isdn service debug ppp negotiation debug ppp authentication debug radius 附:Windows 2000 IAS服务的大致配置: IAS服务安装:添加/删除程序--添加/删除Windows组件--“网络服务”组:Internet验证服务 拔号用户设置: 1.添加windows组:RA users 2.添加windows用户:user169 设置密码、“密码永不过期”、“拔入:(.)允许访问”等等 把用户加入RA users组 如需添加更多的拔号帐号,步骤同上 IAS服务设置: 管理工具--Internet验证服务 1.建立客户端: 好记的名称: Cisco AS5300 协议:RADIUS 客户端IP:163.1.1.1 客户端供应商:cisco []客户端必须总是在请求中发送签名属性 --- 此项不选 共享的机密码:cisco // #84 此密码需与 #83 key相同 2.远程访问记录(可选配置) 可以选择: [v]记录记帐请求 // 本例中未设置记帐 [v]记录身份验证请求 日志文件格式可选(.)数据库兼容文件格式 3.远程访问策略: 首先删除原有的远程访问策略 新建远程访问策略: 好记的名称:permit 条件:添加Windows-Groups--添加“RA Users”组 权限:授予远程访问权限 编加配置文件:在“身份验证”页面中,去掉MS-CHAP V2及MS-CHAP,选中:“未加密的身份(PAP,SPAP)”
欢迎来信讨论。 |