Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации для использования PIX/ASA в качестве клиента PPPoe

10 февраля 2011 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 апреля 2012) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Родственные продукты
      Условные обозначения
Настройка
      Схема сети
      Настройка в интерфейсе командной строки
      Настройка посредством ASDM
Проверка
Очистка конфигурации
Поиск и устранение неполадок
      Команды для устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе приведен пример конфигурации для использования устройства защиты ASA/PIX в качестве клиента протокола PPP по Ethernet (PPPoE) для версий 7.2.(1) и выше.

Протокол PPPoE объединяет два широко распространенных стандарта — Ethernet и PPP, обеспечивая механизм назначения IP-адресов клиентским системам с прохождением аутентификации. Обычно PPPoE-клиентами являются персональные компьютеры, подключенные к поставщику услуг Интернета через удаленное широкополосное соединение, например, через DSL-канал или кабельную сеть. Поставщики услуг Интернета используют протокол PPPoE, поскольку он сравнительно прост для пользователей и использует существующую инфраструктуру удаленного доступа поставщика услуг.

Протокол PPPoE реализует стандартный метод применения методов аутентификации в сети PPPoE. С точки зрения поставщика услуг Интернета протокол PPPoE позволяет назначать IP-адреса с прохождением аутентификации. Для этого вида применения PPPoE-клиент и сервер устанавливают соединение с помощью протоколов моста второго уровня, действующих через DSL-канал или другое широкополосное соединение.

PPPoE-протокол работает в два основных этапа:

  • Этап активного обнаружения — на этом этапе PPPoE-клиент обнаруживает PPPoE-сервер, вызываемый концентратором доступа. Последний назначает идентификатор сеанса и устанавливает уровень PPPoE.

  • Этап сеанса PPP — на этом этапе оговариваются параметры протокола PPP и выполняется аутентификация. После завершения установки канала связи, PPPoE функционирует в качестве метода инкапсуляции второго уровня, делая возможной передачу данных через PPP-канал под PPPoE-заголовками.

При инициализации системы PPPoE-клиент открывает сеанс с концентратором доступа путем обмена сериями пакетов данных. После открытия сеанса устанавливается PPP-соединение, использующее протокол парольной аутентификации (PAP). Кроме того, после открытия PPP-сеанса каждый пакет инкапсулируется в PPPoE- и PPP-пакет.

Примечание. PPPoE не поддерживается в случае, если на устройстве адаптивной защиты настроено аварийное переключение, а также в многоконтекстном и прозрачном режимах. PPPoE поддерживается только в одиночном режиме с маршрутизацией и без переключения при отказе.

Предварительные условия

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе касается устройств адаптивной защиты Cisco ASA серии 5500, работающих под управлением ПО версии 8.x или более поздней версии.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Родственные продукты

Эту конфигурацию также можно использовать для устройств защиты Cisco PIX серии 500, работающих под управлением ПО версии 7.2(1) и более поздних версий. Для настройки клиента PPPoE в межсетевом экране Cisco Secure PIX операционная система PIX версии 6.2 снабжена этой функцией, ориентированной на устройства PIX (501/506) младшего сегмента. Дополнительные сведения см. в документе Настройка клиента PPPoE на межсетевом экране Cisco Secure PIX.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе представлены сведения по настройке функций, описанных в данном документе.

Примечание. Для поиска дополнительной информации о командах, приведенных в данном документе, используйте инструмент Средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/110322/asa_pppoe_01.gif

Настройка в интерфейсе командной строки

В этом документе используются следующие конфигурации:

Имя устройства 1
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN


!--- "ip address pppoe [setroute]"
!--- The setroute option sets the default routes when the PPPoE client has 
!--- not yet established a connection. When you use the setroute option, you 
!--- cannot use a statically defined route in the configuration. 
!--- PPPoE is not supported in conjunction with DHCP because with PPPoE 
!--- the IP address is assigned by PPP. The setroute option causes a default 
!--- route to be created if no default route exists.
!--- Enter the ip address pppoe command in order to enable the 
!--- PPPoE client from interface configuration mode.


 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, 
!--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 


mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0


--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

Настройка посредством ASDM

Для настройки клиента PPPoE, поставляемого вместе с устройством адаптивной защиты, выполните следующие шаги:

Примечание.  Чтобы узнать, как разрешить настройку ASA с помощью ASDM, см. раздел Включение HTTPS-доступа для ASDM.

  1. Войдите в ASDM на устройстве ASA.

    Откройте браузер и введите https://<IP-АДРЕС_ASDM_ASA>.

    Где IP-АДРЕС_ASDM_ASA — IP-адрес интерфейса ASA, настроенного для доступа к ASDM.

    Примечание. Подтверждайте все предупреждения, связанные с проверкой SSL-сертификата, выдаваемые браузером. По умолчанию имя пользователя и пароль являются пустыми.

    ASA отобразит следующее окно для загрузки приложения ASDM. В данном примере используется приложение, загруженное на локальный компьютер, а не приложение Java.

    /image/gif/paws/110322/asa_pppoe_02.gif

  2. Нажмите кнопку Download ASDM Launcher and Start ASDM (Загрузить программу запуска ASDM и запустить ASDM), чтобы загрузить файл установки приложения ASDM.

  3. После загрузки ASDM Launcher выполните все шаги, сопровождаемые соответствующими подсказками, необходимые для установки приложения и запуска Cisco ASDM Launcher.

  4. Введите IP-адрес интерфейса, который был настроен с помощью команды http -, а также введите имя пользователя и пароль, если вы их указали ранее.

    В этом примере используется имя пользователя cisco123 и пароль cisco123.

    /image/gif/paws/110322/asa_pppoe_03.gif

  5. Выберите Configuration > Device Setup > Interfaces (Конфигурация > Настройка устройств > Интерфейсы), выделите внешний интерфейс и нажмите кнопку Edit (Редактировать).

    /image/gif/paws/110322/asa_pppoe_04.gif

  6. В поле Interface Name (Название интерфейса) введите outside и отметьте флажок Enable Interface (Включить интерфейс).

  7. Выберите переключатель Use PPPoE (Использовать PPPoE) в области IP Address (IP-адрес).

  8. Введите имя группы, имя пользователя PPPoE и пароль и выберите переключателем соответствующий тип аутентификации PPP (PAP, CHAP или MSCHAP).

    /image/gif/paws/110322/asa_pppoe_05.gif

  9. Щелкните вкладку Advanced (Дополнительно) и убедитесь, что установлен размер MTU 1492 байта.

    Примечание. Максимальный размер блока передаваемой информации (MTU) автоматически устанавливается равным 1492 байтам. Это значение отвечает требованиям передачи PPPoE в кадре Ethernet.

    /image/gif/paws/110322/asa_pppoe_07.gif

  10. Для продолжения нажмите кнопку OK.

  11. Проверьте правильность сведений и нажмите кнопку Apply (Применить).

    /image/gif/paws/110322/asa_pppoe_06.gif

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных (OIT), доступный только зарегистрированным пользователям, поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show ip address outside pppoe — показывает текущую информацию о конфигурации клиента PPPoE.

  • show vpdn session [l2tp | pppoe] [id sess_id | packets | state | window] — показывает состояние сеансов PPPoE.

Образец сведений, предоставляемых этой командой, показан в следующем примере:

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

Очистка конфигурации

Для удаления из конфигурации всех команд vpdn group выполните команду clear configure vpdn group в режиме глобальной конфигурации:

hostname(config)#clear configure vpdn group

Для удаления всех команд vpdn username используйте команду clear configure vpdn username:

hostname(config)#clear configure vpdn username

Примечание. Эти команды не действуют на активные подключения PPPoE.

Поиск и устранение неполадок

Команды для устранения неполадок

Интерпретатор выходных данных (OIT), доступный только зарегистрированным пользователям, поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

  • hostname# [no] debug pppoe {event | error | packet} — включает или отключает отладку для клиента PPPoE.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 110322