Cisco Interfaces and Modules : Dispositivos de segurança Cisco PIX 500 Series

Configurando o Cliente PPPoE em um Cisco Secure PIX Firewall

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
Verificação
Troubleshooting
      Informações de Troubleshooting
      Comandos de Troubleshooting
      Avisos Conhecidos no PIX OS Versão 6.2 e 6.3
      Avisos Conhecidos no PIX OS Versão 6.3
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar o cliente de Point-to-Point Protocol (PPP) over Ethernet (PPPoE) no Cisco Secure PIX Firewall. O PIX OS versão 6.2 introduz essa função, a qual é voltada para o PIX básico (501/506).

O PPPoE combina dois padrões amplamente aceitos, Ethernet e PPP, para oferecer um método autenticado de atribuição de endereços IP a sistemas clientes. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISPs implementam PPPoE porque ele oferece suporte a acesso de banda larga de alta velocidade com a utilização da infra-estrutura de acesso remoto existente e porque ele é mais fácil para os clientes utilizarem. O PIX Firewall versão 6.2 introduz a funcionalidade de cliente PPPoE. Isso permite que usuários de escritórios pequenos e domésticos (SOHO) do PIX Firewall se conectem aos ISPs usando modems DSL.

No momento, somente a interface externa do PIX oferece suporte a essa função. Uma vez que a configuração esteja presente também na interface externa, o encapsulamento de todo o tráfego em cabeçalhos PPPoE/PPP ocorrerá. O mecanismo de autenticação padrão do PPPoE é o Password Authentication Protocol (PAP).

O PPPoE fornece um método padrão para a utilização dos métodos de autenticação do PPP sobre uma rede Ethernet. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.

O usuário tem a opção de configurar o Challenge Handshake Authentication Protocol (CHAP) ou o MS-CHAP manualmente. O PIX OS versões 6.2 e 6.3 não oferecem suporte ao Layer 2 Tunneling Protocol (L2TP) e ao Point-to-Point Tunneling Protocol (PPTP) com o PPPoE.

O PPPoE é composto por duas fases principais:

  • Fase de Descoberta Ativa — Nessa fase, o cliente PPPoE localiza um servidor PPoE, chamado de concentrador de acesso. Durante essa fase, um ID de sessão é atribuído e a camada PPPoE é estabelecida.

  • Fase da Sessão PPP — Nessa fase, as opções do PPP são negociadas e a autenticação é executada. Uma vez que a configuração do link esteja concluída, o PPPoE trabalha como um método de encapsulamento da Camada 2, permitindo que os dados sejam transferidos sobre o link PPP dentro de cabeçalhos PPPoE.

Na inicialização do sistema, o cliente PPPoE estabelece uma sessão com o AC por meio da troca de uma série de pacotes. Uma vez que a sessão seja estabelecida, um link PPP é configurado, o que inclui a autenticação com o protocolo Password Authentication (PAP). Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 501 com PIX OS versão 6.3(4)

  • Cisco 1721 Router com Cisco IOS® Software Release 12.3(10) configurado como servidor PPPoE

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Esta seção apresenta informações que você pode usar para configurar os recursos descritos neste documento.

Nota:  Para obter mais informações sobre os comandos usados neste documento, use a Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento usa a seguinte configuração de rede:

pppoe-for-pix501-1.gif

Configurações

Este documento usa estas configurações.

No teste de laboratório, um Cisco 1721 Router atuou como um servidor PPPoE. Isso não é necessário em sua casa/escritório, já que seu ISP hospeda o servidor PPPoE.

Cisco 1721 Router como Servidor PPPoE


!--- O nome de usuário corresponde ao do PIX.

username cisco password cisco 


!--- Habilite a rede dial-up privada virtual (VPDN).

vpdn enable
!


!--- Defina o grupo de VPDN usado para o PPPoE.

vpdn-group pppoex
 accept-dialin
  protocol pppoe
  virtual-template 1 
!
interface Ethernet0
 ip address 172.21.48.30 255.255.255.224

!--- Habilite sessões de PPPoE na interface.

 pppoe enable
!

interface Virtual-Template1
 mtu 1492

!--- Não use uma atribuição de IP estático em um modelo virtual porque
!--- pode haver problemas de roteamento. Em vez disso, use o comando ip unnumbered
!--- ao configurar um modelo virtual. 

 ip unnumbered Ethernet0
 peer default ip address pool pixpool

!--- Defina o protocolo de autenticação.

 ppp authentication pap
!
ip local pool pixpool 11.11.11.1 11.11.11.100 

PIX (501 ou 506 ) como Cliente PPPoE

pix501#write terminal
Building configuration...
: Saved
:
PIX Versão 6.3(4)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix501
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500


!--- Habilite a funcionalidade de cliente PPPoE na interface.
!--- Ela está desabilitada por padrão. A opção setroute cria uma
!--- rota padrão quando não há rota padrão.
 

ip address outside pppoe setroute

ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Defina o grupo de VPDN usado para o PPPoE.
!--- Configure isso primeiro.

vpdn group pppoex request dialout pppoe


!--- Associe o nome de usuário atribuído pelo ISP ao grupo de VPDN.

vpdn group pppoex localname cisco


!--- Defina o protocolo de autenticação.

vpdn group pppoex ppp authentication pap


!--- Crie um par de nome de usuário e senha para a
!--- conexão de o PPPoE (fornecidos pelo ISP).

vpdn username cisco password *********

terminal width 80
Cryptochecksum:e136533e23231c5bbbbf4088cee75a5a
: end
[OK]
pix501#

Verificação

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

  • show ip address outside pppoe — Exibe informações sobre a configuração atual do cliente PPPoE.

  • show vpdn tunnel pppoe — Exibe informações sobre túnel para o tipo específico de túnel.

  • show vpdn session pppoe — Exibe o status das sessões PPPoE.

  • show vpdn pppinterface — Exibe o valor de identificação da interface do túnel PPPoE. Uma interface virtual PPP é criada para cada túnel PPPoE.

  • show vpdn group — Exibe o grupo definido para o túnel PPPoE.

  • show vpdn username — Exibe as informações do nome do usuário local.

Esta é a saída do comando show ip address outside pppoe:

501(config)#show ip address outside pppoe

PPPoE Assigned IP addr: 11.11.11.1 255.255.255.255 on Interface: outside
   Remote IP addr: 172.21.48.30 

Esta é a saída do comando show vpdn tunnel pppoe:

501(config)#show vpdn tunnel pppoe

PPPoE Tunnel Information (Total tunnels=1 sessions=1)

Tunnel id 0, 1 active sessions
  time since change 20239 secs
  Remote MAC Address 00:08:E3:9C:4C:71
  3328 packets sent, 3325 received, 41492 bytes sent, 0 received 

Esta é a saída do comando show vpdn session pppoe:

501(config)#show vpdn session pppoe

PPPoE Session Information (Total tunnels=1 sessions=1)

Remote MAC is 00:08:E3:9C:4C:71
  Session state is SESSION_UP
    Time since event change 20294 secs, interface outside
    PPP interface id is 1
    3337 packets sent, 3334 received, 41606 bytes sent, 0 received 

Esta é a saída do comando show vpdn pppinterface:

501(config)#show vpdn pppinterface 

PPP virtual interface id = 1
PPP authentication protocol is PAP
Server ip address is 172.21.48.30
Our ip address is 11.11.11.1
Transmitted Pkts: 3348, Received Pkts: 3345, Error Pkts: 0
MPPE key strength is None
  MPPE_Encrypt_Pkts: 0,  MPPE_Encrypt_Bytes: 0
  MPPE_Decrypt_Pkts: 0,  MPPE_Decrypt_Bytes: 0
  Rcvd_Out_Of_Seq_MPPE_Pkts: 0 

Esta é a saída do comando show vpdn group:

501(config)#show vpdn group
vpdn group pppoex request dialout pppoe
vpdn group pppoex localname cisco
vpdn group pppoex ppp authentication pap 

Esta é a saída do comando show vpdn username:

501(config)#show vpdn username
vpdn username cisco password ********* 

Troubleshooting

Esta seção fornece informações que podem ser usadas no troubleshooting da sua configuração.

Informações de Troubleshooting

Estes são exemplos de depurações de erros de configuração comuns do PIX. Ative essas depurações.

pix#show debug
debug ppp negotiation
debug pppoe packet
debug pppoe error
debug pppoe event
  • A autenticação falha (por exemplo, nome de usuário/senha errados).

    Rcvd Link Control Protocol pkt, Action code is: Echo Reply,
    len is: 4 Pkt dump: d0c3305c
    
    PPP pap recv authen nak: 41757468656e7469636174696f6e206661696c757265
    PPP PAP authentication failed
    Rcvd Link Control Protocol pkt, Action code is: Termination Request,
    len is: 0
  • O protocolo de autenticação é inválido (por exemplo, PAP/CHAP mal configurado).

    Xmit Link Control Protocol pkt, Action code is:
    Config Request, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
    
    Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
    Pkt dump: 010405d40304c0230506d0c88668
    LCP Option: Max_Rcv_Units, len: 4, data: 05d4
    LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
    LCP Option: MAGIC_NUMBER, len: 6, data: d0c88668
    
    Xmit Link Control Protocol pkt, Action code is: Config NAK, len is: 5
    Pkt dump: 0305c22305
    LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22305
    
    Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
  • O servidor PPPoE não responde, novas tentativas a cada 30 segundos.

    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e T
    ype:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001
    
    padi timer expired
    

Comandos de Troubleshooting

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

  • debug pppoe packet — Exibe informações sobre pacotes.

  • debug pppoe error — Exibe mensagens de erro.

  • debug pppoe event — Exibe informações sobre eventos de protocolos.

  • debug ppp negotiation — Permite que você veja se um cliente transmite as informações de negociação de PPP.

  • debug ppp io — Exibe as informações de pacotes para a interface virtual PPTP PPP.

  • debug ppp upap — Exibe a autenticação PAP.

  • debug ppp error — Exibe mensagens de erro de interfaces virtuais PPTP PPP.

  • debug ppp chap — Exibe informações sobre se um cliente passou na autenticação.

Use estes comandos para habilitar a depuração do cliente PPPoE:


!--- Exibe informações dos pacotes.


501(config)#debug pppoe packet


!--- Exibe mensagens de erro.


501(config)#debug pppoe error 


!--- Exibe informações de eventos de protocolos.


501(config)#debug pppoe event

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12

  Type:0101:SVCNAME-Service Name Len:0

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001

padi timer expired

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:07=PADO Sess:0 Len:45

  Type:0101:SVCNAME-Service Name Len:0

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001

  Type:0102:ACNAME-AC Name Len:9 3640

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B

PPPoE: PADO

send_padr:(Snd) Dest:0008.e39c.4c71 Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:19=PADR Sess:0 Len:45

  Type:0101:SVCNAME-Service Name Len:0

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001

  Type:0102:ACNAME-AC Name Len:9 3640

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:65=PADS Sess:1 Len:45

  Type:0101:SVCNAME-Service Name Len:0

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001

  Type:0102:ACNAME-AC Name Len:9 3640

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B


PPPoE: PADS

IN PADS from PPPoE tunnel

PPPoE: Virtual Access interface obtained.PPPoE: Got ethertype=800
on PPPoE interface=outside

PPPoE: Got ethertype=800 on PPPoE interface=outside

PPPoE: Got ethertype=800 on PPPoE interface=outside 

Esta saída mostra comandos adicionais de depuração para o cliente PPPoE:

501(config)#debug ppp negotiation
501(config)#debug ppp io 
501(config)#debug ppp upap
501(config)#debug ppp error

PPP virtual access open, ifc = 0

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 0506609b39f5
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5

PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c02101010012010405d40304c023050659d9f6360000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
Pkt dump: 010405d40304c023050659d9f636
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14
Pkt dump: 010405d40304c023050659d9f636
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636

PPP xmit, ifc = 0, len: 22  data:
ff03c02102010012010405d40304c023050659d9f636

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c02101020012010405d40304c023050659d9f6360000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
Pkt dump: 010405d40304c023050659d9f636
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14
Pkt dump: 010405d40304c023050659d9f636
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636

PPP xmit, ifc = 0, len: 22  data:
ff03c02102020012010405d40304c023050659d9f636

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 0506609b39f5
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5

PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210201000a0506609b39f500000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 0506609b39f5
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4
Pkt dump: 609b39f5

PPP xmit, ifc = 0, len: 12  data: ff03c02109000008609b39f5

PPP xmit, ifc = 0, len: 20  data: ff03c0230101001005636973636f05636973636f

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210a00000859d9f636000000000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4
Pkt dump: 59d9f636

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0230201000500000000000000000000000000000000000000000000
000000000000000000000000

PPP upap rcvd authen ack:
ff03c02302010005000000000000000000000000000000000000000000000000000000000000000
00000
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210101000a0306ac15301e00000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 0306ac15301e
IPCP Option: Config IP, IP = 172.21.48.30

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 030600000000
IPCP Option: Config IP, IP = 0.0.0.0

PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000

Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 0306ac15301e
IPCP Option: Config IP, IP = 172.21.48.30

PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210301000a03060b0b0b0200000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210901000c59d9f636015995a10000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8
Pkt dump: 59d9f636015995a1

Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8
Pkt dump: 609b39f5015995a1

PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c609b39f5015995a1

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210202000a03060b0b0b0200000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210902000c59d9f6360159937b0000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8
Pkt dump: 59d9f6360159937b

Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8
Pkt dump: 609b39f50159937b

PPP xmit, ifc = 0, len: 16  data: ff03c0210a02000c609b39f50159937b

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4
Pkt dump: 609b39f5

PPP xmit, ifc = 0, len: 12  data: ff03c02109010008609b39f5

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210a01000859d9f636000000000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4
Pkt dump: 59d9f636 

Depuração na Utilização do Comando ppp ms-chap para Autenticação

Quando a autenticação PPP MS-CHAP é configurada, essa linha é a única alteração necessária no PIX (todo o resto permanece o mesmo).

O comando vpdn group pppoex ppp authentication pap é modificado para vpdn group pppoex ppp authentication mschap.

Habilite a depuração para o novo método de autenticação.

501(config)#debug ppp negotiation
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error
501(config)#debug ppp chap 
PPP virtual access open, ifc = 0

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 05063ff50e18
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18

PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a05063ff50e18

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c02101010013010405d40305c22380050659f4cf2500000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 15
Pkt dump: 010405d40305c22380050659f4cf25
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 15
Pkt dump: 010405d40305c22380050659f4cf25
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25

PPP xmit, ifc = 0, len: 23  data:
ff03c02102010013010405d40305c22380050659f4cf25

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
 ff03c0210201000a05063ff50e1800000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 05063ff50e18
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4
Pkt dump: 3ff50e18

PPP xmit, ifc = 0, len: 12  data: ff03c021090000083ff50e18

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c2230103001508bfe11df6d8fb524333363430202020200000000000
000000000000000000000000

PPP chap receive challenge: rcvd a type MS-CHAP-V1 pkt
PPP xmit, ifc = 0, len: 63  data:
ff03c2230203003b31488506adb9ae0f4cac35866242b2bac2863870291e4a88e1458f0
12526048734778a210325619092d3f831c3bcf3eb7201636973636f

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210a00000859f4cf25000000000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4
Pkt dump: 59f4cf25

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c2230303000400000000000000000000000000000000000000000000
000000000000000000000000

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210101000a0306ac15301e00000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 0306ac15301e
IPCP Option: Config IP, IP = 172.21.48.30

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 030600000000
IPCP Option: Config IP, IP = 0.0.0.0

PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000

Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 0306ac15301e
IPCP Option: Config IP, IP = 172.21.48.30

PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210301000a03060b0b0b0200000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff0380210202000a03060b0b0b0200000000000000000000000000000000
000000000000000000000000

Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 03060b0b0b02
IPCP Option: Config IP, IP = 11.11.11.1

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210901000c59f4cf2501592b7e0000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8
Pkt dump: 59f4cf2501592b7e

Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8
Pkt dump: 3ff50e1801592b7e

PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c3ff50e1801592b7e

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4
Pkt dump: 3ff50e18

PPP xmit, ifc = 0, len: 12  data: ff03c021090100083ff50e18

PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
ff03c0210a01000859f4cf25000000000000000000000000000000000000
000000000000000000000000

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4
Pkt dump: 59f4cf25

Avisos Conhecidos no PIX OS Versão 6.2 e 6.3

  • Caso a rota padrão já esteja configurada, o PIX não estabelecerá o PPPoE por não poder sobrescrever a rota padrão existente com a rota padrão fornecida pelo PPPoE. Se você desejar utilizar a rota padrão do servidor (opção setroute), o usuário precisará apagar a rota padrão na configuração.

  • Você define o nome do usuário e um servidor PPPoE somente.

Avisos Conhecidos no PIX OS Versão 6.3

  • Quando você habilita o PPPoE e o Open Shortest Path First (OSPF) e write memory é executado após a recuperação de um endereço IP, a rota padrão recebida pelo PPPoE ou pelo DHCP é salva na configuração. A solução é executar o write memory antes do endereço ser recebido do servidor PPPoE.

  • A opção setroute do PPPoE, usada para a geração de uma rota padrão, não é compatível com o protocolo de roteamento dinâmico OSPF no PIX Firewall. A rota padrão gerada pelo PPPoE é removida da tabela de roteamento quando a instrução "network" é configurada sob o processo do OSPF. A solução é utilizar rotas estáticas.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 22855