Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA: Exemplo de configuração do PPPoE Client

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para o mecanismo de segurança ASA/PIX como um cliente do Protocolo Ponto a Ponto sobre Ethernet (PPPoE) para versões 7.2.(1) e superiores.

O PPPoE combina dois padrões extensamente aceitados, Ethernet e PPP, a fim fornecer um método autenticado que atribua endereços IP de Um ou Mais Servidores Cisco ICM NT aos sistemas de cliente. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISP distribuem o PPPoE porque é mais fácil para clientes se usar e usa sua infraestrutura existente do Acesso remoto a fim apoiar o acesso à banda larga de alta velocidade.

O PPPoE fornece um método padrão para empregar os métodos de autenticação da rede PPPoE. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.

O PPPoE é composto por duas fases principais:

  • Fase da descoberta ativa — Nesta fase, o PPPoE Client encontra um servidor PPPoE, chamado um concentrador de acesso, onde um ID de sessão seja atribuído e a camada PPPoE seja estabelecida

  • Fase da sessão de PPP — Nesta fase, as opções do Point-to-Point Protocol (PPP) são negociadas e a autenticação é executada. Uma vez a instalação do link está completa, funções PPPoE como um método de encapsulamento da camada 2, que permita que os dados sejam transferidos sobre o link de PPP dentro dos cabeçalhos PPPoE.

Na inicialização do sistema, o PPPoE Client troca uma série de pacotes a fim estabelecer uma sessão com o concentrador de acesso. Uma vez que a sessão é estabelecida, um link de PPP estabelece-se, que use o protocolo password authentication (PAP) para a autenticação. Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.

Nota: O PPPoE não é apoiado quando o Failover é configurado na ferramenta de segurança adaptável, ou no contexto múltiplo ou no modo transparente. O PPPoE é apoiado somente no único, modo roteado, sem Failover.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão 8.x e mais recente adaptável da ferramenta de segurança de Cisco (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança da série do Cisco PIX 500, que executa a versão 7.2(1) e mais recente. A fim configurar o PPPoE Client no firewall PIX segura Cisco, a versão do PIX OS 6.2 introduz esta função e é visada para o low-end PIX (501/506). Para mais informação, refira configurar o PPPoE Client em um firewall PIX segura Cisco

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção fornece a informação necessária configurar as características descritas neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/110322/asa_pppoe_01.gif

Configuração de CLI

Este documento utiliza as seguintes configurações:

Nome de dispositivo 1
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN


!--- "ip address pppoe [setroute]"
!--- The setroute option sets the default routes when the PPPoE client has 
!--- not yet established a connection. When you use the setroute option, you 
!--- cannot use a statically defined route in the configuration. 
!--- PPPoE is not supported in conjunction with DHCP because with PPPoE 
!--- the IP address is assigned by PPP. The setroute option causes a default 
!--- route to be created if no default route exists.
!--- Enter the ip address pppoe command in order to enable the 
!--- PPPoE client from interface configuration mode.


 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, 
!--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 


mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier.
!--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

Configuração ASDM

Termine estas etapas a fim configurar o PPPoE Client fornecido com a ferramenta de segurança adaptável:

Nota: Consulte Habilitação de Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.

  1. Alcance o ASDM no ASA:

    Abra seu navegador, e entre em https:// <ASDM_ASA_IP_ADDRESS >.

    Onde ASDM_ASA_IP_ADRESS é o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação ASA que é configurada para o acesso ASDM.

    Nota: Certifique-se autorizar todos os avisos que seu navegador o der relativo à autenticidade de certificado de SSL. O nome de usuário padrão e a senha são ambos placa.

    O ASA indica este indicador para permitir a transferência do aplicativo ASDM. Este exemplo carrega o aplicativo no computador local e não o é executado em um Java applet.

    asa_pppoe_02.gif

  2. Clique a launcher ASDM da transferência e comece o ASDM a fim transferir o instalador para o aplicativo ASDM.

  3. Uma vez as transferências da launcher ASDM, terminam as etapas dirigidas pelas alertas a fim instalar o software, e executar o lançador ASDM Cisco.

  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT para a relação que você configurou com o HTTP - comande, e um nome de usuário e uma senha se você especificou um.

    Este exemplo usa o cisco123 para o nome de usuário e o cisco123 como a senha.

    asa_pppoe_03.gif

  5. Escolha a configuração > a instalação > as relações de dispositivo, destaque a interface externa, e o clique edita.

    asa_pppoe_04.gif

  6. No campo de nome da relação, entre fora, e verifique a caixa de verificação de interface da possibilidade.

  7. Clique o botão de rádio do uso PPPoE na área do endereço IP de Um ou Mais Servidores Cisco ICM NT.

  8. Incorpore um nome do grupo, o nome de usuário PPPoE e a senha, e clique o tipo apropriado da autenticação de PPP (PAP, RACHADURA, ou MSCHAP) botão de rádio.

    /image/gif/paws/110322/asa_pppoe_05.gif

  9. Clique o guia avançada, e verifique que o tamanho do MTU está ajustado a 1492.

    Nota: O tamanho da unidade de transmissão máxima (MTU) é ajustado automaticamente a 1492 bytes, que é o valor correto para permitir a transmissão PPPoE dentro de um frame da Ethernet.

    /image/gif/paws/110322/asa_pppoe_07.gif

  10. Clique em OK para continuar.

  11. Verifique que a informação que você incorporou está correta, e o clique se aplica.

    asa_pppoe_06.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre o endereço IP de Um ou Mais Servidores Cisco ICM NT fora do pppoe — Use este comando a fim indicar a informação de configuração atual do PPPoE Client.

  • mostre a sessão [l2tp do vpdn | pppoe] [sess_id identificação | pacotes | estado | indicador] — use este comando a fim ver o estado das sessões de PPPoE.

O exemplo seguinte mostra uma amostra de informação fornecida por este comando:

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

Cancelando a configuração

A fim remover todos os comandos vpdn group da configuração, use o claro configuram o comando vpdn group no modo de configuração global:

hostname(config)#clear configure vpdn group

A fim remover todos os comandos username do vpdn, use o claro configuram o comando username do vpdn:

hostname(config)#clear configure vpdn username

Nota: Estes comandos não têm nenhuma influência em conexões ativas PPPoE.

Troubleshooting

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • o [no] do hostname# debuga o pppoe {evento | erro | pacote} — use este comando a fim permitir ou desabilitar a eliminação de erros para o PPPoE Client.

A máscara de sub-rede aparece como /32

Problema

Quando você usa o comando do setroute do pppoe do endereço IP de Um ou Mais Servidores Cisco ICM NT x.x.x.x 255.255.255.240, o endereço IP de Um ou Mais Servidores Cisco ICM NT está atribuído corretamente, mas a máscara de sub-rede aparece como /32 embora se especifique no comando como /28. Por que isso acontece?

Solução

Este é o comportamento correto. O a máscara de sub-rede é irrelevante no caso da relação de PPPoe; o ASA mudá-la-á sempre a /32.


Informações Relacionadas


Document ID: 110322