Безопасность : Устройства защиты Cisco PIX серии 500

Настройка PPPoE-клиента на брандмауэре Cisco Secure PIX

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Настройка
Проверка
Поиск и устранение неисправностей
      Дополнительные сведения по поиску и устранению неисправностей
      Команды поиска и устранения неисправностей
      Известные проблемы в ОС PIX версии 6.2 и 6.3
      Известные проблемы в ОС PIX версии 6.3
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

В данном документе описывается настройка PPPoE-клиента на брандмауэре Cisco Secure PIX. Операционная система PIX версии 6.2 обладает этой функцией и предназначена для ОС PIX (501/506) с ограниченными возможностями.

PPPoE-протокол объединяет два широко распространенных стандарта — Ethernet и PPP, что предоставляет аутентификационный метод назначения IP-адресов для клиентских систем. Обычно PPPoE-клиентами являются персональные компьютеры, подключенные к поставщику услуг Интернета через удаленное широкополосное соединение, например, через DSL- или кабельную сеть. Поставщики услуг Интернета используют PPPoE-протокол из-за того, что он поддерживает высокоскоростной широкополосный доступ, используя их уже существующую инфраструктуру удаленного доступа, и может быть легко использован пользователями. Брандмауэр PIX версии 6.2 обладает функцией PPPoE-клиента. Это позволяет пользователям масштаба малого или домашнего офиса использовать брандмауэр PIX для установления соединения с поставщиками услуг Интернета с помощью DSL-модемов.

В текущий момент только внешние интерфейсы PIX поддерживают эту функцию. Так как настройка производится также на внешнем интерфейсе, то существует инкапсуляция всего трафика с PPPoE/PPP-заголовками. По умолчанию механизмом аутентификации для PPPoE-протокола является протокол аутентификации по паролю (PAP-протокол).

PPPoE-протокол предоставляет стандартный метод применения методов аутентификации PPP-протокола через сеть Ethernet. При использовании поставщиками услуг Интернет, PPPoE-протокол разрешает аутентификационное назначение IP-адресов. Для этого типа применения PPPoE-клиент и сервер устанавливают соединение с помощью протоколов преобразования данных второго уровня, которые используются через DSL или другое широкополосное соединение.

Пользователь имеет возможность настроить вручную применение протокола аутентификации по квитированию вызова (CHAP-протокол) или MS-CHAP-протокол. ОС PIX версий 6.2 и 6.3 не поддерживают L2TP- и PPTP-протоколы для совместной работы с PPPoE-протоколом.

PPPoE-протокол работает в два основных этапа:

  • Этап активного обнаружения — на этом этапе PPPoE-клиент обнаруживает PPPoE-сервер, вызываемый концентратором доступа. Во время этого этапа назначается идентификатор сеанса и устанавливается PPPoE-уровень;

  • Этап сеанса PPP — на этом этапе оговариваются параметры PPP и выполняется аутентификация. После завершения установки канала связи, PPPoE функционирует в качестве метода инкапсуляции второго уровня, позволяя передачу данных через PPP-канал под PPPoE-заголовками.

При инициализации системы PPPoE-клиент открывает сеанс с динамическим контролем путем обмена сериями пакетов данных. После открытия сеанса для PPP-канала проводится настройка, которая включает в себя аутентификацию с помощью PAP-протокола. Кроме того, после открытия PPP-сеанса каждый пакет инкапсулируется в PPPoE- и PPP-пакет.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • PIX 501 с ОС PIX версии 6.3(4);

  • Маршрутизатор Cisco 1721 с ПО Cisco IOS® Release 12.3(10), настроенный в качестве PPPoE-сервера.

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В данном разделе приводятся сведения о настройке функций, описанных в этом документе.

Примечание.  Для поиска дополнительной информации о командах из данного документа используйте средство поиска команд Command Lookup Tool (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая схема сети:

pppoe-for-pix501-1.gif

Конфигурации

В данном документе используются следующие конфигурации:

В данных лабораторных испытаниях маршрутизатор Cisco 1721 выступал в качестве PPPoE-сервера. Это не требуется в домашнем/удаленном офисе, так как PPPoE-сервер находится у поставщика услуг Интернета.

Маршрутизатор Cisco 1721 в качестве PPPoE-сервера


!--- Имя пользователя согласуется с соответствующим именем на PIX.

username cisco password cisco 


!--- Разрешается использование виртуальной частной коммутируемой сети (VPDN)

vpdn enable 
! 


!--- Определяется VPDN-группа, использующая PPPoE.

vpdn-group pppoex
 accept-dialin
  protocol pppoe
  virtual-template 1 
! 
interface Ethernet0
 ip address 172.21.48.30 255.255.255.224

!--- На этом интерфейсе разрешается использование PPPoE-сеансов.

 pppoe enable 
! 

interface Virtual-Template1
 mtu 1492

!--- Не назначайте статические IP-адреса в виртуальном шаблоне, так как
!--- во время маршрутизации могут возникнуть проблемы. Вместо этого используйте команду ip unnumbered 
!--- при настройке виртуального шаблона. 

 ip unnumbered Ethernet0 
 peer default ip address pool pixpool

!--- Определение протокола аутентификации.

ppp authentication pap
! 
ip local pool pixpool 11.11.11.1 11.11.11.100 

PIX (501 или 506 ) в качестве PPPoE-клиента

pix501#write terminal
Building configuration...
: Saved
:
PIX версии 6.3 (4)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix501
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500


!--- На этом интерфейсе разрешается использование PPPoE-клиента. 
!--- По умолчанию эта функция выключена. Параметр setroute создает маршрут по умолчанию, если  
!--- маршрут по умолчанию не существует. 
 

ip address outside pppoe setroute

ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Определите VPDN-группу, которая используется для PPPoE. 
!--- Прежде всего настройте эту группу.

vpdn group pppoex request dialout pppoe


!--- Установите соответствие между именем пользователя, назначаемым поставщиком услуг Интернета, и VPDN-группой.

vpdn group pppoex localname cisco


!--- Определите протокол аутентификации.

vpdn group pppoex ppp authentication pap


!--- Создайте имя пользователя и пароль для 
!--- PPPoE-подключения, которое предоставляется поставщиком услуг Интернета.

vpdn username cisco password ********* 

terminal width 80
Cryptochecksum:e136533e23231c5bbbbf4088cee75a5a
: end
[OK]
pix501#

Проверка

В данном разделе содержатся сведения для проверки работы текущей конфигурации.

Некоторые команды show поддерживаются утилитой Output Interpreter (только для зарегистрированных пользователей), что позволяет просматривать выходные данные команд show.

  • show ip address outside pppoe — отображает сведения о текущих настройках PPPoE-клиента.

  • show vpdn tunnel pppoe — отображает сведения для определенного типа туннеля.

  • show vpdn session pppoe — отображает состояние PPPoE-сеансов.

  • show vpdn pppinterface — отображает идентификационное значение интерфейса PPPoE-туннеля. Виртуальный PPP-интерфейс создается для каждого PPPoE-туннеля.

  • show vpdn group — отображает группу, определенную для PPPoE-туннеля.

  • show vpdn username — отображает локальное имя пользователя.

Выходные данные команды show ip address outside pppoe:

501(config)#show ip address outside pppoe 
 
PPPoE Assigned IP addr: 11.11.11.1 255.255.255.255 on Interface: outside 
   Remote IP addr: 172.21.48.30 

Выходные данные команды show vpdn tunnel pppoe:

501(config)#show vpdn tunnel pppoe 
  
PPPoE Tunnel Information (Total tunnels=1 sessions=1) 
  
Tunnel id 0, 1 active sessions 
  time since change 20239 secs 
  Remote MAC Address 00:08:E3:9C:4C:71 
  3328 packets sent, 3325 received, 41492 bytes sent, 0 received 

Выходные данные команды show vpdn session pppoe:

501(config)#show vpdn session pppoe 
   
PPPoE Session Information (Total tunnels=1 sessions=1) 
 
Remote MAC is 00:08:E3:9C:4C:71 
  Session state is SESSION_UP 
    Time since event change 20294 secs, interface outside 
    PPP interface id is 1 
    3337 packets sent, 3334 received, 41606 bytes sent, 0 received 

Выходные данные команды show vpdn pppinterface:

501(config)#show vpdn pppinterface 
 
PPP virtual interface id = 1 
PPP authentication protocol is PAP 
Server ip address is 172.21.48.30 
Our ip address is 11.11.11.1 
Transmitted Pkts: 3348, Received Pkts: 3345, Error Pkts: 0 
MPPE key strength is None 
  MPPE_Encrypt_Pkts: 0,  MPPE_Encrypt_Bytes: 0 
  MPPE_Decrypt_Pkts: 0,  MPPE_Decrypt_Bytes: 0 
  Rcvd_Out_Of_Seq_MPPE_Pkts: 0 

Выходные данные команды show vpdn group:

501(config)#show vpdn group 
vpdn group pppoex request dialout pppoe 
vpdn group pppoex localname cisco 
vpdn group pppoex ppp authentication pap 

Выходные данные команды show vpdn username:

501(config)#show vpdn username 
vpdn username cisco password ********* 

Поиск и устранение неисправностей

В данном разделе описывается процесс поиска и устранения неисправностей конфигурации.

Дополнительные сведения по поиску и устранению неисправностей

Далее приведены примеры использования команд отладки для неверной конфигурации на брандмауэре PIX. Используйте следующие команды отладки.

pix#show debug
debug ppp negotiation
debug pppoe packet
debug pppoe error
debug pppoe event
  • Аутентификация не прошла (например, из-за неверного имени пользователя или пароля).

    Rcvd Link Control Protocol pkt, Action code is: Echo Reply, 
    len is: 4 Pkt dump: d0c3305c
    
    PPP pap recv authen nak: 41757468656e7469636174696f6e206661696c757265
    PPP PAP authentication failed
    Rcvd Link Control Protocol pkt, Action code is: Termination Request, 
    len is: 0
  • Недействительный протокол аутентификации (например, неправильная настройка PAP/CHAP).

    Xmit Link Control Protocol pkt, Action code is: 
    Config Request, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
    
    Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
    Pkt dump: 010405d40304c0230506d0c88668
    LCP Option: Max_Rcv_Units, len: 4, data: 05d4
    LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
    LCP Option: MAGIC_NUMBER, len: 6, data: d0c88668
    
    Xmit Link Control Protocol pkt, Action code is: Config NAK, len is: 5
    Pkt dump: 0305c22305
    LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22305
    
    Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
    Pkt dump: 05064a53ae2a
    LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a
  • PPPoE-сервер не отвечает, попытки через каждые 30 секунд.

    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e T
    ype:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    
    send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
    Type:0x8863=PPPoE-Discovery
    
      Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
      Type:0101:SVCNAME-Service Name Len:0 
      Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 
    
    padi timer expired
    

Команды поиска и устранения неисправностей

Некоторые команды show поддерживаются утилитой Output Interpreter (только для зарегистрированных пользователей), что позволяет просматривать выходные данные команды show.

Примечание. Перед использованием команд debug внимательно ознакомьтесь с содержанием документа под названием Важные сведения о командах Debug.

  • debug pppoe packet — отображает сведения о пакете.

  • debug pppoe error — отображает сообщения об ошибках.

  • debug pppoe event — отображает сведения о событии протокола.

  • debug ppp negotiation — позволяет наблюдать согласование клиентом PPP-параметров.

  • debug ppp io — отображает информацию пакета для виртуального интерфейса PPTP PPP.

  • debug ppp upap — отображает PAP-аутентификацию.

  • debug ppp error — отображает сообщения об ошибке для виртуального интерфейса PPTP PPP.

  • debug ppp chap — отображает сведения о прохождении клиентом аутентификации.

Чтобы разрешить режим отладки для PPPoE-клиента, используйте следующие команды:


!--- отображает информацию о пакете.


501(config)#debug pppoe packet 


!--- отображает сообщения об ошибках.


501(config)#debug pppoe error 


!--- отображает информацию о событиях протокола.


501(config)#debug pppoe event

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:07=PADO Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE: PADO 

send_padr:(Snd) Dest:0008.e39c.4c71 Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:19=PADR Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:65=PADS Sess:1 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

  
PPPoE: PADS 

IN PADS from PPPoE tunnel 

PPPoE: Virtual Access interface obtained.PPPoE: Got ethertype=800 
on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside 

Далее приведены дополнительные команды отладки для PPPoE-клиента:

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
 
PPP virtual access open, ifc = 0 

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102010012010405d40304c023050659d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101020012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102020012010405d40304c023050659d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210201000a0506609b39f500000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109000008609b39f5 
 
PPP xmit, ifc = 0, len: 20  data: ff03c0230101001005636973636f05636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859d9f636000000000000000000000000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0230201000500000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP upap rcvd authen ack: 
ff03c02302010005000000000000000000000000000000000000000000000000000000000000000 
00000 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 

Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59d9f636015995a10000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f636015995a1 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f5015995a1 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c609b39f5015995a1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210902000c59d9f6360159937b0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f6360159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f50159937b 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a02000c609b39f50159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109010008609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859d9f636000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636 

Проведение отладки при использовании для аутентификации команды ppp ms-chap

При настройке аутентификации PPP MS-CHAP в PIX необходимо изменить только нижеследующую строку (все остальные строки остаются теми же самыми).

Команда vpdn group pppoex ppp authentication pap заменяется на команду vpdn group pppoex ppp authentication mschap.

Разрешите отладку для нового метода аутентификации.

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
501(config)#debug ppp chap 
PPP virtual access open, ifc = 0 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a05063ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010013010405d40305c22380050659f4cf2500000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
PPP xmit, ifc = 0, len: 23  data: 
ff03c02102010013010405d40305c22380050659f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
 ff03c0210201000a05063ff50e1800000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090000083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230103001508bfe11df6d8fb524333363430202020200000000000 
000000000000000000000000 

PPP chap receive challenge: rcvd a type MS-CHAP-V1 pkt
PPP xmit, ifc = 0, len: 63  data: 
ff03c2230203003b31488506adb9ae0f4cac35866242b2bac2863870291e4a88e1458f0 
12526048734778a210325619092d3f831c3bcf3eb7201636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230303000400000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59f4cf2501592b7e0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59f4cf2501592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 3ff50e1801592b7e 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c3ff50e1801592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090100083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25

Известные проблемы в ОС PIX версии 6.2 и 6.3

  • Если маршрут по умолчанию уже настроен, то PIX не может установить PPPoE-соединение, так как не может перезаписать уже существующий по умолчанию маршрут. Если необходимо использовать маршрут по умолчанию от сервера (параметр setroute), то необходимо удалить маршрут по умолчанию из конфигурации.

  • Задается только имя пользователя и один PPPoE-сервер.

Известные проблемы в ОС PIX версии 6.3

  • При включении PPPoE и OSPF с последующим выполнением команды write memory после нахождения IP-адреса, скаченный по умолчанию маршрут через PPPoE или DHCP сохраняется в настройках конфигурации. Обходным решение является выполнение команды write memory до загрузки адреса с PPPoE-сервера.

  • PPPoE-параметр setroute, который используется для создания маршрута по умолчанию, не совместим с динамическим протоколом маршрутизации OSPF на брандмауэре PIX. Маршрут по умолчанию, генерируемый PPPoE, удаляется из таблицы маршрутизации, когда выражение "network" настраивается в соответствии с процессом OSPF. В качестве временного решения можно использовать статические маршруты.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 22855