Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando o PPPoE Client em um firewall PIX segura Cisco

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Junho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar o cliente de Point-to-Point Protocol (PPP) over Ethernet (PPPoE) no Cisco Secure PIX Firewall. A versão do PIX OS 6.2 introduz esta função e é visada para o low-end PIX (501/506).

O PPPoE combina dois padrões amplamente aceitos, Ethernet e PPP, para oferecer um método autenticado de atribuição de endereços IP a sistemas clientes. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISPs implementam PPPoE porque ele oferece suporte a acesso de banda larga de alta velocidade com a utilização da infra-estrutura de acesso remoto existente e porque ele é mais fácil para os clientes utilizarem. O PIX Firewall versão 6.2 introduz a funcionalidade de cliente PPPoE. Isso permite que usuários de escritórios pequenos e domésticos (SOHO) do PIX Firewall se conectem aos ISPs usando modems DSL.

Atualmente, somente a interface externa dos suportes de PIX esta função. Uma vez que a configuração está igualmente na interface externa, há um encapsulamento de todo o tráfego com encabeçamentos PPPoE/PPP. O mecanismo de autenticação padrão para o PPPoE é o protocolo password authentication (PAP).

O PPPoE fornece um método padrão para a utilização dos métodos de autenticação do PPP sobre uma rede Ethernet. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.

O usuário tem a opção para configurar o protocolo de autenticação de cumprimento do desafio (RACHADURA) ou o MS-CHAP manualmente. As versões do PIX OS 6.2 e 6.3 não apoiam o protocolo Layer 2 Tunneling Protocol (L2TP) e o Point-to-Point Tunneling Protocol (PPTP) com PPPoE.

O PPPoE é composto por duas fases principais:

  • Fase de Descoberta Ativa — Nessa fase, o cliente PPPoE localiza um servidor PPoE, chamado de concentrador de acesso. Durante essa fase, um ID de sessão é atribuído e a camada PPPoE é estabelecida.

  • Fase da Sessão PPP — Nessa fase, as opções do PPP são negociadas e a autenticação é executada. Uma vez que a configuração do link esteja concluída, o PPPoE trabalha como um método de encapsulamento da Camada 2, permitindo que os dados sejam transferidos sobre o link PPP dentro de cabeçalhos PPPoE.

Na inicialização do sistema, o cliente PPPoE estabelece uma sessão com o AC por meio da troca de uma série de pacotes. Uma vez que a sessão seja estabelecida, um link PPP é configurado, o que inclui a autenticação com o protocolo Password Authentication (PAP). Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 501 com versão do PIX OS 6.3(4)

  • Cisco 1721 Router com o Software Release 12.3(10) de Cisco IOS� configurado como um servidor PPPoE

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção apresenta-o com a informação que você pode se usar a fim configurar as características este documento descreve.

Nota: A fim encontrar a informação adicional nos comandos que este documento usa, usa a ferramenta de consulta de comandos (clientes registrados somente).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/22855/pppoe-for-pix501-1.gif

Configurações

Este documento utiliza estas configurações.

Neste teste de laboratório, um Cisco 1721 Router atua como um servidor PPPoE. Você não precisa este em seus HOME/escritório remoto desde que seu ISP hospeda o servidor PPPoE.

Cisco 1721 Router como o servidor PPPoE

!--- Username matches that on the PIX.

username cisco password cisco 


!--- Enable virtual private dial-up network (VPDN).

vpdn enable 
! 


!--- Define the VPDN group that you use for PPPoE.

vpdn-group pppoex 
 accept-dialin 
  protocol pppoe 
  virtual-template 1 
! 
interface Ethernet0 
 ip address 172.21.48.30 255.255.255.224 

!--- Enable PPPoE sessions on the interface.

 pppoe enable 
! 

interface Virtual-Template1 
 mtu 1492 

!--- Do not use a static IP assignment within a virtual template since 
!--- routing problems can occur. Instead, use the ip unnumbered command
!--- when you configure a virtual template. 

 ip unnumbered Ethernet0 
 peer default ip address pool pixpool

!--- Define authentication protocol.

 ppp authentication pap 
! 
ip local pool pixpool 11.11.11.1 11.11.11.100 

PIX (501 ou 506) como o PPPoE Client
pix501#write terminal
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix501
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500


!--- Enable PPPoE client functionality on the interface. 
!--- It is off by default. The setroute option creates a default  
!--- route if no default route exists. 
 

ip address outside pppoe setroute

ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Define the VPDN group that you use for PPPoE. 
!--- Configure this first.

vpdn group pppoex request dialout pppoe


!--- Associate the username that the ISP assigns to the VPDN group.

vpdn group pppoex localname cisco


!--- Define authentication protocol.

vpdn group pppoex ppp authentication pap


!--- Create a username and password pair for the PPPoE 
!--- connection (which your ISP provides).

vpdn username cisco password ********* 

terminal width 80
Cryptochecksum:e136533e23231c5bbbbf4088cee75a5a
: end
[OK]
pix501#

Verificar

Esta seção fornece a informação que você pode se usar a fim confirmar que sua configuração trabalha corretamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • show ip address outside pppoe — Exibe informações sobre a configuração atual do cliente PPPoE.

  • show vpdn tunnel pppoe — Exibe informações sobre túnel para o tipo específico de túnel.

  • show vpdn session pppoe — Exibe o status das sessões PPPoE.

  • show vpdn pppinterface — Exibe o valor de identificação da interface do túnel PPPoE. Uma interface virtual PPP é criada para cada túnel PPPoE.

  • show vpdn group — Exibe o grupo definido para o túnel PPPoE.

  • show vpdn username — Exibe as informações do nome do usuário local.

Esta é a saída do comando show ip address outside pppoe:

501(config)#show ip address outside pppoe 
 
PPPoE Assigned IP addr: 11.11.11.1 255.255.255.255 on Interface: outside 
   Remote IP addr: 172.21.48.30 

Esta é a saída para o comando show vpdn tunnel pppoe:

501(config)#show vpdn tunnel pppoe 
  
PPPoE Tunnel Information (Total tunnels=1 sessions=1) 
  
Tunnel id 0, 1 active sessions 
  time since change 20239 secs 
  Remote MAC Address 00:08:E3:9C:4C:71 
  3328 packets sent, 3325 received, 41492 bytes sent, 0 received 

Esta é a saída do comando show vpdn session pppoe:

501(config)#show vpdn session pppoe 
   
PPPoE Session Information (Total tunnels=1 sessions=1) 
 
Remote MAC is 00:08:E3:9C:4C:71 
  Session state is SESSION_UP 
    Time since event change 20294 secs, interface outside 
    PPP interface id is 1 
    3337 packets sent, 3334 received, 41606 bytes sent, 0 received 

Esta é a saída para o comando show vpdn pppinterface:

501(config)#show vpdn pppinterface 
 
PPP virtual interface id = 1 
PPP authentication protocol is PAP 
Server ip address is 172.21.48.30 
Our ip address is 11.11.11.1 
Transmitted Pkts: 3348, Received Pkts: 3345, Error Pkts: 0 
MPPE key strength is None 
  MPPE_Encrypt_Pkts: 0,  MPPE_Encrypt_Bytes: 0 
  MPPE_Decrypt_Pkts: 0,  MPPE_Decrypt_Bytes: 0 
  Rcvd_Out_Of_Seq_MPPE_Pkts: 0 

Esta é a saída para o comando show vpdn group:

501(config)#show vpdn group 
vpdn group pppoex request dialout pppoe 
vpdn group pppoex localname cisco 
vpdn group pppoex ppp authentication pap 

Esta é a saída do comando show vpdn username:

501(config)#show vpdn username 
vpdn username cisco password ********* 

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Informações de Troubleshooting

Estas são amostra debugam das faltas de configuração comum no PIX. Gire sobre estes debuga.

pix#show debug
debug ppp negotiation
debug pppoe packet
debug pppoe error
debug pppoe event
  • A autenticação falha (por exemplo, nome de usuário/senha incorreto).

    Rcvd Link Control Protocol pkt, Action code is: Echo Reply, 
    len is: 4 Pkt dump: d0c3305c
    
    PPP pap recv authen nak: 41757468656e7469636174696f6e206661696c757265
    PPP PAP authentication failed
    Rcvd Link Control Protocol pkt, Action code is: Termination Request, 
    len is: 0
  • O protocolo de autenticação é inválido (por exemplo, PAP/CHAP desconfigurado).

    Xmit Link Control Protocol pkt, Action code is: 
    Config Request, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
    
    Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
    Pkt dump: 010405d40304c0230506d0c88668
    LCP Option: Max_Rcv_Units, len: 4, data: 05d4
    LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
    LCP Option: MAGIC_NUMBER, len: 6, data: d0c88668
    
    Xmit Link Control Protocol pkt, Action code is: Config NAK, len is: 5
    Pkt dump: 0305c22305
    LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22305
    
    Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
  • O servidor PPPoE não responde, experimenta de novo cada 30 segundos.

    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e T
    ype:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Debugação antes de usar comandos debug.

  • debug pppoe packet — Exibe informações sobre pacotes.

  • debug pppoe error — Exibe mensagens de erro.

  • debug pppoe event — Exibe informações sobre eventos de protocolos.

  • debug ppp negotiation — Permite que você veja se um cliente transmite as informações de negociação de PPP.

  • debug ppp io - Exibe as informações de pacotes para a interface virtual PPP PPTP.

  • debug ppp upap — Exibe a autenticação PAP.

  • debug ppp error — Exibe mensagens de erro de interfaces virtuais PPTP PPP.

  • debug ppp chap — Exibe informações sobre se um cliente passou na autenticação.

Use estes comandos a fim permitir a eliminação de erros para o PPPoE Client:


!--- Displays packet information.


501(config)#debug pppoe packet 


!--- Displays error messages.


501(config)#debug pppoe error 


!--- Displays protocol event information.


501(config)#debug pppoe event

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:07=PADO Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE: PADO 

send_padr:(Snd) Dest:0008.e39c.4c71 Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:19=PADR Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:65=PADS Sess:1 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

  
PPPoE: PADS 

IN PADS from PPPoE tunnel 

PPPoE: Virtual Access interface obtained.PPPoE: Got ethertype=800 
on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside 

Esta saída mostra comandos debugging adicionais para o PPPoE Client:

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
 
PPP virtual access open, ifc = 0 

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102010012010405d40304c023050659d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101020012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102020012010405d40304c023050659d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210201000a0506609b39f500000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109000008609b39f5 
 
PPP xmit, ifc = 0, len: 20  data: ff03c0230101001005636973636f05636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859d9f636000000000000000000000000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0230201000500000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP upap rcvd authen ack: 
ff03c02302010005000000000000000000000000000000000000000000000000000000000000000 
00000 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 

Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59d9f636015995a10000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f636015995a1 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f5015995a1 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c609b39f5015995a1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210902000c59d9f6360159937b0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f6360159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f50159937b 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a02000c609b39f50159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109010008609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859d9f636000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636 

Depuração na Utilização do Comando ppp ms-chap para Autenticação

Quando você configura a autenticação PPP MS-CHAP, esta linha é a única mudança que você precisa no PIX (todo o resto permanece o mesmo).

O comando vpdn group pppoex ppp authentication pap é modificado para vpdn group pppoex ppp authentication mschap.

Enable debuga para o método de autenticação novo.

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
501(config)#debug ppp chap 
PPP virtual access open, ifc = 0 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a05063ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010013010405d40305c22380050659f4cf2500000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
PPP xmit, ifc = 0, len: 23  data: 
ff03c02102010013010405d40305c22380050659f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
 ff03c0210201000a05063ff50e1800000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090000083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230103001508bfe11df6d8fb524333363430202020200000000000 
000000000000000000000000 

PPP chap receive challenge: rcvd a type MS-CHAP-V1 pkt
PPP xmit, ifc = 0, len: 63  data: 
ff03c2230203003b31488506adb9ae0f4cac35866242b2bac2863870291e4a88e1458f0 
12526048734778a210325619092d3f831c3bcf3eb7201636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230303000400000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59f4cf2501592b7e0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59f4cf2501592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 3ff50e1801592b7e 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c3ff50e1801592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090100083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25

Advertências conhecidas na versão do PIX OS 6.2 e 6.3

  • Se a rota padrão é configurada já, o PIX não estabelece o PPPoE porque não pode overwrite a rota padrão existente com a rota padrão que o PPPoE fornece. Se você desejar utilizar a rota padrão do servidor (opção setroute), o usuário precisará apagar a rota padrão na configuração.

  • Você define o username e o um servidor PPPoE somente.

Advertências conhecidas na versão do PIX OS 6.3

  • Quando você habilita o PPPoE e o Open Shortest Path First (OSPF) e write memory é executado após a recuperação de um endereço IP, a rota padrão recebida pelo PPPoE ou pelo DHCP é salva na configuração. A solução é executar o write memory antes do endereço ser recebido do servidor PPPoE.

  • A opção setroute do PPPoE, usada para a geração de uma rota padrão, não é compatível com o protocolo de roteamento dinâmico OSPF no PIX Firewall. A rota padrão que o PPPoE gera está removida da tabela de roteamento quando a indicação da “rede” é configurada sob o processo de OSPF. A ação alternativa é usar rotas estáticas.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 22855