Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

PIX/ASA : Exemple de configuration de client PPPoE

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration pour les dispositifs de sécurité ASA/PIX en tant que client de protocole point-à-point sur Ethernet (PPPoE) pour les versions 7.2.(1) et plus.

Le PPPoE combine deux normes largement reçues, des Ethernets et PPP, afin de fournir une méthode authentifiée qui assigne des adresses IP aux systèmes client. Les PPPoE Client sont typiquement des PCs connectés à un ISP au-dessus d'une connexion haut débit distante, telle que le DSL ou le service par câble. Les ISP déploient le PPPoE parce qu'il est plus facile pour des clients à utiliser-et qu'il emploie leur infrastructure existante d'Accès à distance afin de prendre en charge l'accès haut débit ultra-rapide.

Le PPPoE fournit une méthode standard pour utiliser les méthodes d'authentification de réseau de PPPoE. Une fois utilisé par des ISP, le PPPoE permet l'attribution authentifiée des adresses IP. Dans ce type d'implémentation, le PPPoE Client et le serveur sont interconnectés par les protocoles de pontage de la couche 2 qui exécutent plus d'un DSL ou toute autre connexion haut débit.

Le PPPoE se compose de deux phases principales :

  • Phase active de détection — Dans cette phase, le PPPoE Client localise un serveur de PPPoE, appelé un concentrateur d'accès, où un ID de session est assigné et la couche de PPPoE est établie

  • Phase de session PPP — Dans cette phase, des options de Protocole point à point (PPP) sont négociées et l'authentification est exécutée. Une fois l'installation de lien est complète, des fonctions de PPPoE comme méthode d'encapsulation de la couche 2, qui permet des données à transférer au-dessus du lien de PPP dans des en-têtes de PPPoE.

À l'initialisation de système, le PPPoE Client permute une gamme de paquets afin d'établir une session avec le concentrateur d'accès. Une fois que la session est établie, un lien de PPP est installé, qui utilise le Password Authentication Protocol (PAP) pour l'authentification. Une fois que la session PPP est établie, chaque paquet est encapsulé dans les en-têtes de PPPoE et de PPP.

Remarque: Le PPPoE n'est pas pris en charge quand le Basculement est configuré sur l'appliance de sécurité adaptable, ou dans le plusieurs contexte ou le mode transparent. Le PPPoE est seulement pris en charge en mode simple et conduit, sans Basculement.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la version 8.x et ultérieures de l'appliance de sécurité adaptable Cisco (ASA).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le Cisco PIX 500 Series Security Appliance, qui exécute la version 7.2(1) et ultérieures. Afin de configurer le PPPoE Client sur le pare-feu Cisco Secure PIX, la version 6.2 OS PIX introduit cette fonction et est visée pour le PIX bas de gamme (501/506). Le pour en savoir plus, se rapportent à configurer le PPPoE Client sur un pare-feu Cisco Secure PIX

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section fournit les informations nécessaires pour configurer les caractéristiques décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/110322/asa_pppoe_01.gif

Configuration CLI

Ce document utilise les configurations suivantes :

Nom du périphérique 1
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN


!--- "ip address pppoe [setroute]"
!--- The setroute option sets the default routes when the PPPoE client has 
!--- not yet established a connection. When you use the setroute option, you 
!--- cannot use a statically defined route in the configuration. 
!--- PPPoE is not supported in conjunction with DHCP because with PPPoE 
!--- the IP address is assigned by PPP. The setroute option causes a default 
!--- route to be created if no default route exists.
!--- Enter the ip address pppoe command in order to enable the 
!--- PPPoE client from interface configuration mode.


 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, 
!--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 


mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier.
!--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

Configuration ASDM

Terminez-vous ces étapes afin de configurer le PPPoE Client équipé d'appliance de sécurité adaptable :

Remarque: Référez-vous à Permettre l'accès HTTPS pour l'ASDM afin de permettre l'ASA d'être configuré par l'ASDM.

  1. Accédez à l'ASDM sur l'ASA :

    Ouvrez votre navigateur, et entrez dans https:// <ASDM_ASA_IP_ADDRESS >.

    Là où ASDM_ASA_IP_ADRESS est l'adresse IP de l'interface ASA qui est configurée pour l'accès ASDM.

    Remarque: Prenez soin d'autoriser tous les avertissements que votre navigateur vous donne en ce qui concerne l'authenticité de certificat SSL. Le nom d'utilisateur et le mot de passe par défaut sont deux blanc.

    L'ASA affiche cette fenêtre pour permettre le téléchargement de l'application ASDM. Cet exemple charge l'application sur l'ordinateur local et ne fonctionne pas dans une applet Java.

    asa_pppoe_02.gif

  2. Cliquez sur Download ASDM Launcher and Start ASDM pour télécharger le programme d'installation de l'application ASDM.

  3. Une fois que les téléchargements de lanceur ASDM, se terminent les étapes dirigées par les demandes afin d'installer le logiciel, et exécuter le lanceur de Cisco ASDM.

  4. Écrivez l'adresse IP pour l'interface que vous avez configurée avec le HTTP - commandez, et un nom d'utilisateur et un mot de passe si vous spécifiiez un.

    Cet exemple utilise cisco123 pour le nom d'utilisateur et cisco123 comme mot de passe.

    asa_pppoe_03.gif

  5. Choisissez la configuration > l'installation de périphérique > les interfaces, mettez en valeur l'interface extérieure, et cliquez sur Edit.

    asa_pppoe_04.gif

  6. Dans le champ Interface Name, entrez dehors, et cochez la case d'interface d'enable.

  7. Cliquez sur la case d'option de PPPoE d'utilisation dans la région d'adresse IP.

  8. Entrez un nom de groupe, le nom d'utilisateur PPPoE et le mot de passe, et cliquez sur la case d'option appropriée du type d'authentification de PPP (PAP, CHAP, ou MSCHAP).

    /image/gif/paws/110322/asa_pppoe_05.gif

  9. Cliquez sur l'onglet Avancé, et le vérifiez que la taille de MTU est placée à 1492.

    Remarque: La taille de Maximum Transmission Unit (MTU) est automatiquement placée à 1492 octets, qui est la valeur correcte pour permettre la transmission de PPPoE dans une trame Ethernet.

    /image/gif/paws/110322/asa_pppoe_07.gif

  10. Cliquez sur OK pour continuer.

  11. Vérifiez que les informations que vous avez écrites sont correctes, et cliquent sur Apply.

    asa_pppoe_06.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • affichez l'IP address en dehors du PPPoE — Employez cette commande afin d'afficher les informations de configuration en cours de PPPoE Client.

  • show vpdn session [l2tp | PPPoE] [sess_id d'id | paquets | état | fenêtre] — employez cette commande afin de visualiser le statut de sessions de PPPoE.

L'exemple suivant affiche un échantillon des informations fourni par cette commande :

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

Effacer la configuration

Afin de retirer toutes les commandes de groupe de vpdn de la configuration, utilisez le clair configurent la commande de groupe de vpdn en mode de configuration globale :

hostname(config)#clear configure vpdn group

Afin de retirer toutes les commandes de nom d'utilisateur de vpdn, utilisez le clair configurent la commande de nom d'utilisateur de vpdn :

hostname(config)#clear configure vpdn username

Remarque: Ces commandes n'ont aucun affect sur les connexions PPPoE actives.

Dépannez

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • debug pppoe de hostname# [non] {événement | erreur | paquet} — employez cette commande afin d'activer ou désactiver l'élimination des imperfections pour le PPPoE Client.

Le masque de sous-réseau apparaît comme /32

Problème

Quand vous utilisez la commande de setroute de PPPoE de l'adresse IP x.x.x.x 255.255.255.240, l'adresse IP est assignée correctement, mais le masque de sous-réseau apparaît comme /32 bien qu'il soit spécifié dans la commande comme /28. Que se passe-t-il ?

Solution

C'est le comportement correct. Le le masque de sous-réseau est inutile dans le cas de l'interface de PPPoE ; l'ASA le changera toujours à /32.


Informations connexes


Document ID: 110322