设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡合作培训机构(排名不分先后)≡□≡ 其他培训机构 上海Easyinlab 3620 上同时配置了8 个口BRI 和8 个内置MODEM 用作拔入
返回列表 发新帖
查看: 859|回复: 0
收起左侧

3620 上同时配置了8 个口BRI 和8 个内置MODEM 用作拔入

[复制链接]
huangjun6920
发表于 2013-12-5 10:35:30 | 显示全部楼层 |阅读模式
一台3620 上同时配置了8 个口BRI 和8 个内置MODEM 用作拔入。因为对公服务,安全性要求比较高,
所以使用一台NT 运行Cisco Secure 2.4 (ACS) 提供AAA 服务(Authentication 认证,Authorization 授权,Ac
counting 记帐)。
PSTN 和AAA 的集成没有问题,很容易就实现了。
ISDN 拔号要实现授权不同于PSTN,根据CISCO 的文档,必须要用Per-User 的AAA 设置方法(不能通过G
roup 设置用户)和配置Virtual Profile.
由于没有较好的范例可以借鉴,只能通过观察debug ppp negotiation, debug authentication, de
bug aaa authorization 等命令的输出来摸索配置方法,所以这个配置至少花掉我24 个小时,可谓呕
心沥血之作。
曾经在这发过贴子问,没人回答,现在解决方法贴出来,供大家参考。
本例中,当用户user1 通过pstn/isdn 拔入时,AAA 服务器指示(授权)NAS(拔号访问服务器,即3620)
对该用户应用access-list 101.
! 3620 配置(摘要)
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authorization network default group tacacs+
aaa accounting network default start-stop group tacacs+
enable secret 5 $1$FdxlnA$pGA5cPuIqOOJwFT0iLWq0
!
username localuser password 0 _password
ip subnet-zero
!
!
no ip finger
更多资源请关注鸿鹄论坛:http://bbs.hh010.com
no ip domain-lookup
!
virtual-profile virtual-template 1
virtual-profile aaa
isdn switch-type basic-net3
!
!
!
interface FastEthernet0/0
ip address 10.1.10.33 255.255.255.0
duplex auto
speed auto
!
interface BRI1/0
ip unnumbered FastEthernet0/0
encapsulation ppp
no ip route-cache
no ip mroute-cache
no keepalive
dialer-group 1
isdn switch-type basic-net3
peer default ip address pool ip_pool
no fair-queue
ppp authentication chap pap
ppp multilink
!
interface BRI1/1
ip unnumbered FastEthernet0/0
encapsulation ppp
no ip route-cache
no ip mroute-cache
no keepalive
dialer-group 1
isdn switch-type basic-net3
peer default ip address pool ip_pool
no fair-queue
ppp authentication chap pap
ppp multilink
!
...
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool ip_pool
ppp authentication chap pap
更多资源请关注鸿鹄论坛:http://bbs.hh010.com
ppp multilink
ppp timeout idle 300
!
interface Group-Async0
ip unnumbered FastEthernet0/0
encapsulation ppp
ip tcp header-compression passive
async dynamic routing
async mode interactive
peer default ip address pool ip_pool
ppp authentication chap pap
group-range 65 80
!
ip local pool ip_pool 10.1.10.1 10.1.10.32
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.10.34
no ip http server
!
access-list 101 deny icmp any host 10.1.11.1 log
access-list 101 permit ip any any
dialer-list 1 protocol ip permit
tacacs-server host 10.1.10.36 single-connection
tacacs-server key _key
!
line con 0
login authentication no_tacacs
transport input none
line 65 80
autoselect during-login
autoselect ppp
modem InOut
modem autoconfigure discovery
transport input all
stopbits 1
flowcontrol hardware
! ACS 配置(用户):
设定密码,指定IP 分配方法;选中PPP IP, INACL 设为101,选中MULTILINK,LCP.




                               
登录/注册后可看大图
该贴已经同步到 huangjun6920的微博
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-2 15:55 , Processed in 0.063038 second(s), 12 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表