很多人都在实践中配置过CISCO的接入服务器,象2511、2620或者是5300。接入服务器提供了廉价的通过电话拨号远程访问企业网的方式。但是接入服务器提供的回拨功能却很少有人用到。回拨的过程是用户拨通接入服务器,输入用户名/密码,通过认证后,接入服务器切断与用户的连接,然后回拨用户的电话号码,重新建立连接,用户上网。回拨功能的好处是显而易见的,一是提高系统的安全性,用户上网所用的用户名/密码有可能会泄密,如果没有回拨,窃密者在任何地方用任何一部电话都可以拨号直接进入企业网。而在有回拨的情况下,接入服务器会去主动拨事先设定的和用户/密码对应的电话号码,而窃密者是不太可能到真正用户的家里或办公室拨号的,所以窃密者即使窃取了用户的密码也上不了网,这是利用了物理安全性。二是解决了用户的上网费用问题,比如用户在家里办公或对企业网络进行远程维护时,拨号上网会产生相当的电话费用,采用回拨功能,企业作为主叫的一方,几乎所有的上网电话费用都统一由企业来结算。用户只需负责初始呼叫时产生的很少的话费。
本文以Cisco
2620为例,介绍一下异步拨号和回拨功能的配置,由于是统一的IOS,它和其他的接入服务器所用的配置是类似的。本文所用的配置是实际调试通过的。
我们所用的Cisco
2620具有8端口模拟调制解调器网络模块。根据有无回拨功能、回拨号码是否固定、接入号码是否单一等的区别,我们可赋予拨号用户有四种不同权限。第一种用户是普通用户,无回拨功能。第二种用户是有回拨功能,但回拨的号码是固定的,即这个帐号只能在固定号码的电话线上网,否则无法建立连接。第三种用户拥有的功能最为强大,有回拨功能,且回拨的号码可以在验证通过之后临时指定。以上三种用户都是不限被叫号码的,即他们拨打2620的8口modem模块的任何一口所连的电话号码都可上网。还有一种特殊用户是有回拨功能,但他只有拨通了某一个特定口的号码时才可上网,受到比较大的限制。一般实用中只用到前三种用户。
用户上网的过程和拨号上163、169的过程差不多。也是拨号、modem应答、验证、验证通过登录上网络等步骤。只是回拨用户在验证通过后,会有一个断线然后等待接入服务器回拨的步骤,最后也登录上网络。
按照如下的步骤对2620进行配置:
1、设置主机名和exec的回拨服务
命令:conf t
service exec-callback
hostname as1
2、设置用户
命令:(1)username www password ****
用户www是普通用户,不具有回拨功能
(2)username zzz callback-dialstring 81234567 password
******
用户zzz是有回拨功能的,但必须用号码81234567上网,
这个号码需根据实际情况进行修改。
(3)username cisco callback-dialstring "" password
****
用户cisco可在回拨时再临时指定回拨号码。
(4)username yyy callback-dialstring 89999999
callback-line 34 password *******
用户yyy必须拨到第34(实际从33开始算起,相当第二个)个modem,
而且所用号码必须是89999999才能上网。这个号码需根据实际情况进行修改。
3、 定义Modem 闲聊脚本,它们会在以下命令line
33 40 即modem配置时应用
命令:chat-script
offhook "" "ATH1" OK
chat-script reset "" "ats0=1&c1&d2\\q3\\n7%c1"
"OK" \c
chat-script callback ABORT ERROR ABORT BUSY "" "ATDT\T"
TIMEOUT
30 "CONNECT" \c
4、配置以太网口IP地址
命令:interface
Ethernet0
ip address 10.1.1.140 255.255.252.128
5、 配置Async口
命令:interface
Group-Async1
ip unnumbered Ethernet0
ip tcp header-compression passive
encapsulation ppp
进行ppp封装
async mode interactive
定义异步接口模式为交互方式
peer default ip address pool as-pool
应用ip拨号池动态分配IP
ppp callback accept
要接受ppp的callback请求
ppp authentication pap
ppp验证采用pap协议
group-range 33 40
组范围33-40
ip local pool as-pool 10.2.1.1 10.2.1.8
在全局配置状态下给拨号用户分配地址范围
6、 定义接入参数
命令:line 33
40
autoselect during-login
在拨号时进行自动选择
autoselect ppp 自动选择ppp
login local
利用本地的用户信息进行验证。如果用户数较多,
可考虑用Radius进行验证。
modem InOut 定义modem发送和接收
script reset reset 指定在modem重置时执行的脚本
script modem-off-hook offhook 在modem挂机时执行脚本
script callback callback
在回拨时执行的脚本
完整的配置如下
conf t
service exec-callback
hostname as1
username www password ****
username zzz callback-dialstring 81234567 password ******
username cisco callback-dialstring "" password ****
username yyy callback-dialstring 89999999
(续行)callback-line 34 password *****
chat-script offhook "" "ATH1" OK
chat-script reset "" "ats0=1&c1&d2\\q3\\n7%c1" "OK"
\c
chat-script callback ABORT ERROR ABORT BUSY "" "ATDT\T"
TIMEOUT
(续行)30 "CONNECT" \c
interface Ethernet0
ip address 10.1.1.140 255.255.252.128
interface Group-Async1
ip unnumbered Ethernet0
ip tcp header-compression passive
encapsulation ppp
async mode interactive
peer default ip address pool as-pool
ppp callback accept
ppp authentication pap
group-range 33 40
ip local pool as-pool 10.2.1.1 10.2.1.8
line 33 40
autoselect during-login
autoselect ppp
login local
modem InOut
script reset reset
script modem-off-hook offhook
script callback callback
测试:完成接入服务器的配置后,给PC和接入服务器连好电话线,从PC上利用拨号网络,以配置中定义的四个用户名分别上网,用www用户时可直接上网,用zzz和cisco用户时可享受回拨服务,只是zzz的回拨号码是固定在配置中的,除了这个固定号码外,他用其他号码都无法上网。而cisco的回拨号码可以临时指定,这种帐号应该是系统管理员才有权力用的。象yyy这个用户不但回拨号码是固定的,拨出的时候必须拨到第二个异步口才能上网。