很多人都在实践中配置过CISCO的接入服务器，象2511、2620或者是5300。接入服务器提供了廉价的通过电话拨号远程访问企业网的方式。但是接入服务器提供的回拨功能却很少有人用到。回拨的过程是用户拨通接入服务器，输入用户名/密码，通过认证后，接入服务器切断与用户的连接，然后回拨用户的电话号码，重新建立连接，用户上网。回拨功能的好处是显而易见的，一是提高系统的安全性，用户上网所用的用户名/密码有可能会泄密，如果没有回拨，窃密者在任何地方用任何一部电话都可以拨号直接进入企业网。而在有回拨的情况下，接入服务器会去主动拨事先设定的和用户/密码对应的电话号码，而窃密者是不太可能到真正用户的家里或办公室拨号的，所以窃密者即使窃取了用户的密码也上不了网，这是利用了物理安全性。二是解决了用户的上网费用问题，比如用户在家里办公或对企业网络进行远程维护时，拨号上网会产生相当的电话费用，采用回拨功能，企业作为主叫的一方，几乎所有的上网电话费用都统一由企业来结算。用户只需负责初始呼叫时产生的很少的话费。

本文以Cisco

2620为例，介绍一下异步拨号和回拨功能的配置，由于是统一的IOS，它和其他的接入服务器所用的配置是类似的。本文所用的配置是实际调试通过的。

我们所用的Cisco

2620具有8端口模拟调制解调器网络模块。根据有无回拨功能、回拨号码是否固定、接入号码是否单一等的区别，我们可赋予拨号用户有四种不同权限。第一种用户是普通用户，无回拨功能。第二种用户是有回拨功能，但回拨的号码是固定的，即这个帐号只能在固定号码的电话线上网，否则无法建立连接。第三种用户拥有的功能最为强大，有回拨功能，且回拨的号码可以在验证通过之后临时指定。以上三种用户都是不限被叫号码的，即他们拨打2620的8口modem模块的任何一口所连的电话号码都可上网。还有一种特殊用户是有回拨功能，但他只有拨通了某一个特定口的号码时才可上网，受到比较大的限制。一般实用中只用到前三种用户。

用户上网的过程和拨号上163、169的过程差不多。也是拨号、modem应答、验证、验证通过登录上网络等步骤。只是回拨用户在验证通过后，会有一个断线然后等待接入服务器回拨的步骤，最后也登录上网络。

按照如下的步骤对2620进行配置：

1、设置主机名和exec的回拨服务

命令：conf t

service exec-callback

hostname as1

2、设置用户

命令：(1)username www password ****

用户www是普通用户，不具有回拨功能

(2)username zzz callback-dialstring 81234567 password

******

用户zzz是有回拨功能的，但必须用号码81234567上网，

这个号码需根据实际情况进行修改。

(3)username cisco callback-dialstring "" password

****

用户cisco可在回拨时再临时指定回拨号码。

(4)username yyy callback-dialstring 89999999

callback-line 34 password *******

用户yyy必须拨到第34(实际从33开始算起，相当第二个)个modem，

而且所用号码必须是89999999才能上网。这个号码需根据实际情况进行修改。

3、 定义Modem 闲聊脚本，它们会在以下命令line

33 40 即modem配置时应用

命令：chat-script

offhook "" "ATH1" OK

chat-script reset "" "ats0=1&c1&d2\\q3\\n7%c1"

"OK" \c

chat-script callback ABORT ERROR ABORT BUSY "" "ATDT\T"

TIMEOUT

30 "CONNECT" \c

4、配置以太网口IP地址

命令：interface

Ethernet0

ip address 10.1.1.140 255.255.252.128

5、 配置Async口

命令：interface

Group-Async1

ip unnumbered Ethernet0

ip tcp header-compression passive

encapsulation ppp

进行ppp封装

async mode interactive

定义异步接口模式为交互方式

peer default ip address pool as-pool

应用ip拨号池动态分配IP

ppp callback accept

要接受ppp的callback请求

ppp authentication pap

ppp验证采用pap协议

group-range 33 40

组范围33-40

ip local pool as-pool 10.2.1.1 10.2.1.8

在全局配置状态下给拨号用户分配地址范围

6、 定义接入参数

命令：line 33

40

autoselect during-login

在拨号时进行自动选择

autoselect ppp 自动选择ppp

login local

利用本地的用户信息进行验证。如果用户数较多，

可考虑用Radius进行验证。

modem InOut 定义modem发送和接收

script reset reset 指定在modem重置时执行的脚本

script modem-off-hook offhook 在modem挂机时执行脚本

script callback callback

在回拨时执行的脚本

完整的配置如下

conf t

service exec-callback

hostname as1

username www password ****

username zzz callback-dialstring 81234567 password ******

username cisco callback-dialstring "" password ****

username yyy callback-dialstring 89999999

(续行)callback-line 34 password *****

chat-script offhook "" "ATH1" OK

chat-script reset "" "ats0=1&c1&d2\\q3\\n7%c1" "OK"

\c

chat-script callback ABORT ERROR ABORT BUSY "" "ATDT\T"

TIMEOUT

(续行)30 "CONNECT" \c

interface Ethernet0

ip address 10.1.1.140 255.255.252.128

interface Group-Async1

ip unnumbered Ethernet0

ip tcp header-compression passive

encapsulation ppp

async mode interactive

peer default ip address pool as-pool

ppp callback accept

ppp authentication pap

group-range 33 40

ip local pool as-pool 10.2.1.1 10.2.1.8

line 33 40

autoselect during-login

autoselect ppp

login local

modem InOut

script reset reset

script modem-off-hook offhook

script callback callback

测试：完成接入服务器的配置后，给PC和接入服务器连好电话线，从PC上利用拨号网络，以配置中定义的四个用户名分别上网，用www用户时可直接上网，用zzz和cisco用户时可享受回拨服务，只是zzz的回拨号码是固定在配置中的，除了这个固定号码外，他用其他号码都无法上网。而cisco的回拨号码可以临时指定，这种帐号应该是系统管理员才有权力用的。象yyy这个用户不但回拨号码是固定的，拨出的时候必须拨到第二个异步口才能上网。