VPN на vrf`ах

Зачастую возникает необходимость организовать VPN доступ в офис для сотрудников так, что бы каждый из них в зависимости от полномочий попадал извне только в свой сегмент офисной/менеджмента сети(если сети в разных vrf`ах). Имеем на руках например одну cisco2801.  Пользователей будем аутентифицировать через radius. При подключении пользователя к cisco 2801,  клонируются настройки для его виртуального интерфейса из общего шаблона и через radius персонально. Через radius мы отдаем ему ip адрес и vrf в который он должен попадать. AVpair`ы в данном случае будут такие:

Cisco AVpair "lcp:interface-config#3=ip address 10.10.5.1 255.255.255.252"
Cisco AVpair "lcp:interface-config#1=ip vrf forwarding test01"
 
Ниже основная выжимка из cisco.
 
aaa group server radius VPDN
 server 192.168.1.1 auth-port 1818 acct-port 1819
 ip vrf forwarding radius
 ip radius source-interface FastEthernet0/0.404
 
aaa authentication ppp default group VPDN
aaa authorization network default group VPDN 
 
ip vrf radius
 rd 1:400
 route-target export 1:400
 route-target import 1:400
 
ip vrf test01
 rd 1:101
 route-target export 1:101
 route-target import 1:101
 
ip vrf test02
 rd 1:102
 route-target export 1:102
 route-target import 1:102
 
vpdn enable
vpdn-group vpdn
 accept-dialin
  protocol pptp
  virtual-template 1
 
interface Virtual-Template1
 no ip address
 no ip redirects
 no ip unreachables
 no peer default ip address
 ppp authentication ms-chap-v2 VPDN
 
Вобщем-то и всё.
c2801#show ip route vrf test01                      
 
     10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
C       10.10.5.0/30 is directly connected, Virtual-Access2
C       10.10.5.2/32 is directly connected, Virtual-Access2
C       10.10.5.254/32 is directly connected, Loopback101
Level Up
Sponsors:

Контактная информация

Если у Вас есть какие-либо вопросы, Вы можете связаться с нами:

Отдел продаж: (с 10:00 до 18:00)

Icq: 155-10-6525

E-mail: sales@golas.ru