Mize日記:分身有術(CiscoAS5300)

2019-11-04 23:17:47

字體：大中小

來源：轉載

供稿：網友

KeyWords: AS5300 ISDN PRI dial modem-pool AAA RADIUS IAS
　　
　　一位客戶新安裝一臺Cisco AS5300拔號訪問服務器, 用兩根CE1提供60路MODEM拔入。用戶分成兩組，每組30路, 每一組都有獨立的的用戶名、密碼，以及各自的ip地址。有點象把5300/2，呵呵。
　　
　　第一個要考慮的問題是用戶系經CE1拔入，isdn incoming-voice modem 命令把呼叫連接到數字MODEM, 但并不指定連接到哪一個數字MODEM上。解決方法是要求ISDN交換機發送呼叫識別號,按被叫號碼識別不同的用戶。
　　
　　第二個要考虎的問題是如何治理兩組互相獨立的帳號。解決的方法是AS5300 LOCAL治理一組用戶，另一組用戶通過AAA服務器來治理。為了降低成本，使用了windows 2000 Server內置的IAS服務來做認證。
　　
　　以下是AS5300的配置：
　　
　　version 12.2
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　!
　　hostname CiscoAS5300
　　!
　　aaa new-model // 為了治理兩組互相獨立的帳號, 啟用AAA模式
　　aaa authentication login org line // #100 使用line vty 0 4上配置的密碼做telnet登錄認證，參見#101
　　aaa authentication enable default enable // 使用enable密碼驗證超級用戶
　　aaa authentication ppp ra group radius // #82 為第二組用戶定義的驗證方式,參見#81
　　enable secret 5 $1sdf23udf6meRdnzo11
　　!
　　username user163 password 0 cisco // #72 第一組拔號用戶使用的帳號和密碼
　　username mize password 0 nnwh@163.net // 偶的帳號，嚴禁盜用 :-)
　　spe 1/0 1/4
　　firmware location system:/UCode/mica_port_firmware
　　!
　　!
　　resource-pool disable
　　!
　　modem-pool inside
　　pool-range 1-30
　　called-number 163 max-conn 30 // #5 假如用戶呼叫的是163，則使用1-30號數字modem(line 1-30)
　　!
　　modem-pool outside
　　pool-range 31-60
　　called-number 169 max-conn 30 // #6 假如用戶呼叫的是169，則使用31-60號數字modem(line 31-60)
　　!
　　ip subnet-zero
　　no ip domain-lookup
　　!
　　isdn switch-type primary-net5 // #1 ISDN交換機類型可以按#號順序跟蹤呼入流程
　　!
　　controller E1 0 // 120歐姆平衡式 RJ45 信號線 1、2、4、5
　　framing NO-CRC4 // #2 編幀方式：NO-CRC4 編碼方式(linecode):默認的HDB3
　　clock source line primary // 主時鐘
　　pri-group timeslots 1-31 // #3 把PRI接口劃分為31個信道，其中第十六個信道(邏輯端口s0:15)是治理信道
　　!
　　controller E1 1
　　framing NO-CRC4
　　clock source line secondary 1
　　pri-group timeslots 1-31 // 劃分信道后治理端口s1:15會自動出現在配置中
　　!
　　controller E1 2
　　clock source line secondary 2
　　!
　　controller E1 3
　　clock source line secondary 3
　　!
　　!
　　!
　　interface Ethernet0 // 第二組用戶的出口
　　ip address 169.1.1.1 255.255.255.0
　　!
　　(此處略去296字...)
　　!
　　interface Serial0:15 // E1 0 的治理信道
　　no ip address
　　isdn switch-type primary-net5
　　isdn incoming-voice modem 64 // #4 MODEM呼叫轉接到數據MODEM，答應最高速率64k
　　no cdp enable // 假如要接受ISDN BRI接入，可在本端口設置
　　!
　　interface Serial1:15
　　no ip address

　　isdn switch-type primary-net5
　　isdn incoming-voice modem 64
　　no cdp enable
　　!
　　interface FastEthernet0
　　ip address 163.1.1.1 255.255.255.0 // 第一組用戶的出口
　　duplex auto
　　speed auto
　　!
　　interface Group-Async1 // #7 第一組用戶的拔號接口
　　description 163
　　ip unnumbered FastEthernet0
　　encapsulation ppp
　　async mode interactive
　　peer default ip address pool dial-pool163
　　ppp authentication pap chap // #71 第一組用戶使用默認PPP認證方法：本地認證
　　group-range 1 30 // 本組用戶的范圍(line 1-30)
　　!
　　interface Group-Async2 // #8 第二組用戶的拔號接口
　　description 169
　　ip unnumbered Ethernet0
　　encapsulation ppp
　　async mode interactive
　　peer default ip address pool dial-pool169
　　ppp authentication pap ra // #81 第二用戶使用Radius服務器做認證，參見#82
　　group-range 31 60 // 本組用戶的范圍(line 31-60)
　　!
　　ip local pool dial-pool163 163.1.1.100 163.1.1.129
　　ip local pool dial-pool169 169.1.1.100 169.1.1.129
　　ip classless
　　ip route 163.0.0.0 255.0.0.0 163.1.1.254 // 路由
　　ip route 169.0.0.0 255.0.0.0 169.1.1.254
　　no ip http server
　　ip pim bidir-enable
　　!
　　radius-server host 163.1.1.2 auth-port 1645 acct-port 1646 key cisco // #83 Windows 2000 IAS做Radius服務器
　　radius-server retransmit 3
　　!
　　line con 0
　　line 1 60
　　modem InOut
　　modem autoconfigure discovery
　　autoselect during-login
　　autoselect ppp
　　line aux 0
　　line vty 0 4
　　password 7 cisco
　　login authentication org // #101 使用org方法來做telnet認證，參見#50
　　!
　　end
　　
　　調試命令：
　　show isdn status
　　show isdn history
　　show isdn service
　　debug ppp negotiation
　　debug ppp authentication
　　debug radius
　　
　　
　　附：Windows 2000 IAS服務的大致配置：
　　
　　IAS服務安裝：添加/刪除程序--添加/刪除Windows組件--“網絡服務”組:Internet驗證服務
　　拔號用戶設置：
　　1.添加windows組:RA users
　　2.添加windows用戶：user169 設置密碼、“密碼永不過期”、“拔入：(.)答應訪問”等等
　　把用戶加入RA users組
　　如需添加更多的拔號帳號，步驟同上
　　IAS服務設置：
　　治理工具--Internet驗證服務
　　1.建立客戶端:
　　好記的名稱: Cisco AS5300
　　協議：RADIUS
　　客戶端IP：163.1.1.1
　　客戶端供給商：cisco
　　[]客戶端必須總是在請求中發送簽名屬性 --- 此項不選
　　共享的機密碼:cisco // #84 此密碼需與 #83 key相同
　　
　　2.遠程訪問記錄(可選配置)
　　可以選擇：
　　[v]記錄記帳請求 // 本例中未設置記帳
　　[v]記錄身份驗證請求
　　日志文件格式可選(.)數據庫兼容文件格式
　　3.遠程訪問策略:
　　首先刪除原有的遠程訪問策略
　　新建遠程訪問策略:
　　好記的名稱ermit
　　條件：添加Windows-Groups--添加“RA Users”組
　　權限：授予遠程訪問權限
　　編加配置文件：在“身份驗證”頁面中，去掉MS-CHAP V2及MS-CHAP,選中:“未加密的身份(PAP,SPAP)”

上一篇：Cisco防火墻選購配置完全指南

下一篇：CCNA網絡小菜鳥筆記