Mize日记:分身有术(CiscoAS5300)

1/6/2008来源:Cisco网络人气:4053

KeyWords: AS5300 ISDN PRI dial modem-pool AAA RADIUS IAS
  
  一位客户新安装一台Cisco AS5300拔号访问服务器, 用两根CE1提供60路MODEM拔入。用户分成两组,每组30路, 每一组都有独立的的用户名、密码,以及各自的ip地址。 有点象把5300/2, 呵呵。
  
  第一个要考虑的问题是用户系经CE1拔入,isdn incoming-voice modem 命令把呼叫连接到数字MODEM, 但并不指定连接到哪一个数字MODEM上。解决方法是要求ISDN交换机发送呼叫识别号,按被叫号码识别不同的用户。
  
  第二个要考虎的问题是如何治理两组互相独立的帐号。解决的方法是AS5300 LOCAL治理一组用户,另一组用户通过AAA服务器来治理。为了降低成本,使用了windows 2000 Server内置的IAS服务来做认证。
  
  以下是AS5300的配置:
  
  version 12.2
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname CiscoAS5300
  !
  aaa new-model // 为了治理两组互相独立的帐号, 启用AAA模式
  aaa authentication login org line // #100 使用line vty 0 4上配置的密码做telnet登录认证,参见#101
  aaa authentication enable default enable // 使用enable密码验证超级用户
  aaa authentication ppp ra group radius // #82 为第二组用户定义的验证方式,参见#81
  enable secret 5 $1sdf23udf6meRdnzo11
  !
  username user163 password 0 cisco // #72 第一组拔号用户使用的帐号和密码
  username mize password 0 nnwh@163.net // 偶的帐号,严禁盗用 :-)
  spe 1/0 1/4
  firmware location system:/UCode/mica_port_firmware
  !
  !
  resource-pool disable
  !
  modem-pool inside
  pool-range 1-30
  called-number 163 max-conn 30 // #5 假如用户呼叫的是163,则使用1-30号数字modem(line 1-30)
  !
  modem-pool outside
  pool-range 31-60
  called-number 169 max-conn 30 // #6 假如用户呼叫的是169,则使用31-60号数字modem(line 31-60)
  !
  ip subnet-zero
  no ip domain-lookup
  !
  isdn switch-type primary-net5 // #1 ISDN交换机类型 可以按#号顺序跟踪呼入流程
  !
  controller E1 0 // 120欧姆平衡式 RJ45 信号线 1、2、4、5
  framing NO-CRC4 // #2 编帧方式:NO-CRC4 编码方式(linecode):默认的HDB3
  clock source line primary // 主时钟
  pri-group timeslots 1-31 // #3 把PRI接口划分为31个信道,其中第十六个信道(逻辑端口s0:15)是治理信道
  !
  controller E1 1
  framing NO-CRC4
  clock source line secondary 1
  pri-group timeslots 1-31 // 划分信道后治理端口s1:15会自动出现在配置中
  !
  controller E1 2
  clock source line secondary 2
  !
  controller E1 3
  clock source line secondary 3
  !
  !
  !
  interface Ethernet0 // 第二组用户的出口
  ip address 169.1.1.1 255.255.255.0
  !
  (此处略去296字...)
  !
  interface Serial0:15 // E1 0 的治理信道
  no ip address
  isdn switch-type primary-net5
  isdn incoming-voice modem 64 // #4 MODEM呼叫转接到数据MODEM,答应最高速率64k
  no cdp enable // 假如要接受ISDN BRI接入,可在本端口设置
  !
  interface Serial1:15
  no ip address

  isdn switch-type primary-net5
  isdn incoming-voice modem 64
  no cdp enable
  !
  interface FastEthernet0
  ip address 163.1.1.1 255.255.255.0 // 第一组用户的出口
  duplex auto
  speed auto
  !
  interface Group-Async1 // #7 第一组用户的拔号接口
  description 163
  ip unnumbered FastEthernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool dial-pool163
  ppp authentication pap chap // #71 第一组用户使用默认PPP认证方法:本地认证
  group-range 1 30 // 本组用户的范围(line 1-30)
  !
  interface Group-Async2 // #8 第二组用户的拔号接口
  description 169
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool dial-pool169
  ppp authentication pap ra // #81 第二用户使用Radius服务器做认证,参见#82
  group-range 31 60 // 本组用户的范围(line 31-60)
  !
  ip local pool dial-pool163 163.1.1.100 163.1.1.129
  ip local pool dial-pool169 169.1.1.100 169.1.1.129
  ip classless
  ip route 163.0.0.0 255.0.0.0 163.1.1.254 // 路由
  ip route 169.0.0.0 255.0.0.0 169.1.1.254
  no ip http server
  ip pim bidir-enable
  !
  radius-server host 163.1.1.2 auth-port 1645 acct-port 1646 key cisco // #83 Windows 2000 IAS做Radius服务器
  radius-server retransmit 3
  !
  line con 0
  line 1 60
  modem InOut
  modem autoconfigure discovery
  autoselect during-login
  autoselect ppp
  line aux 0
  line vty 0 4
  password 7 cisco
  login authentication org // #101 使用org方法来做telnet认证,参见#50
  !
  end
  
  调试命令:
  show isdn status
  show isdn history
  show isdn service
  debug ppp negotiation
  debug ppp authentication
  debug radius
  
  
  附:Windows 2000 IAS服务的大致配置:
  
  IAS服务安装:添加/删除程序--添加/删除Windows组件--“网络服务”组:Internet验证服务
  拔号用户设置:
  1.添加windows组:RA users
  2.添加windows用户:user169 设置密码、“密码永不过期”、“拔入:(.)答应访问”等等
  把用户加入RA users组
  如需添加更多的拔号帐号,步骤同上
  IAS服务设置:
  治理工具--Internet验证服务
  1.建立客户端:
  好记的名称: Cisco AS5300
  协议:RADIUS
  客户端IP:163.1.1.1
  客户端供给商:cisco
  []客户端必须总是在请求中发送签名属性 --- 此项不选
  共享的机密码:cisco // #84 此密码需与 #83 key相同
  
  2.远程访问记录(可选配置)
  可以选择:
  [v]记录记帐请求 // 本例中未设置记帐
  [v]记录身份验证请求
  日志文件格式可选(.)数据库兼容文件格式
  3.远程访问策略:
  首先删除原有的远程访问策略
  新建远程访问策略:
  好记的名称ermit
  条件:添加Windows-Groups--添加“RA Users”组
  权限:授予远程访问权限
  编加配置文件:在“身份验证”页面中,去掉MS-CHAP V2及MS-CHAP,选中:“未加密的身份(PAP,SPAP)”