PIX/ASA: Ejemplo de Configuración del Cliente PPPoE

Introducción

Este documento proporciona una configuración de ejemplo del dispositivo de seguridad ASA/PIX como un cliente PPPoE (Point-to-Point Protocol over Ethernet) para las versiones 7.2.(1) y posteriores.

El PPPoE combina dos estándares extensamente validados, los Ethernetes y PPP, para proporcionar un método autenticado que asigne los IP Addresses a los sistemas del cliente. Los Clientes de PPPoE son típicamente computadoras personales conectadas con un ISP sobre una conexión de banda ancha remota, tal como DSL o servicio de cable. Los ISP despliegan el PPPoE porque es más fácil que los clientes utilicen y utiliza su infraestructura existente del Acceso Remoto para soportar el acceso por banda ancha de alta velocidad.

El PPPoE proporciona un método estándar para emplear los métodos de autentificación de la red PPPoE. Cuando es utilizado por los ISP, el PPPoE permite la asignación de IP Address autenticada. En este tipo de implementación, los protocolos que interligan de la capa 2 interconectan al Cliente de PPPoE y el servidor que ejecutado encima el DSL o la otra conexión de banda ancha.

El PPPoE se compone de dos fases principales:

• Fase de la detección activa — En esta fase, el Cliente de PPPoE localiza a un servidor PPPoE, llamado un concentrador de acceso, donde se asigna un ID de sesión y se establece la capa PPPoE

• Fase de la sesión PPP — En esta fase, se negocian las opciones del Point-to-Point Protocol (PPP) y se realiza la autenticación. La configuración del link es una vez completa, las funciones PPPoE como método de encapsulación de la capa 2, que permite que los datos sean transferidos sobre el link PPP dentro de los encabezados PPPoE.

En la inicialización del sistema, el Cliente de PPPoE intercambia una serie de paquetes para establecer una sesión con el concentrador de acceso. Una vez que se establece la sesión, se configura un link PPP, que utiliza el protocolo password authentication (PAP) para la autenticación. Una vez que establecen a la sesión PPP, cada paquete se encapsula en el PPPoE y los encabezados PPP.

Nota: El PPPoE no se soporta cuando la Conmutación por falla se configura en el dispositivo de seguridad adaptante, o en el contexto múltiple o el modo transparente. El PPPoE se soporta solamente en el modo solo, ruteado, sin la Conmutación por falla.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en la versión 8.x y posterior adaptante del dispositivo de seguridad de Cisco (ASA).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad de la serie del Cisco PIX 500, que funciona con la versión 7.2(1) y posterior. Para configurar al Cliente de PPPoE en el Cisco Secure PIX Firewall, el PIX OS de la versión 6.2 introduce esta función y se apunta para el PIX de menor capacidad (501/506). Para más información, refiera a configurar al Cliente de PPPoE en un Cisco Secure PIX Firewall

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Esta sección proporciona la información necesaria configurar las características descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuración de CLI

En este documento, se utilizan estas configuraciones:

ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN

 !--- "ip address pppoe [setroute]" !--- The setroute option sets the default routes when the PPPoE client has !--- not yet established a connection. When you use the setroute option, you !--- cannot use a statically defined route in the configuration. !--- PPPoE is not supported in conjunction with DHCP because with PPPoE !--- the IP address is assigned by PPP. The setroute option causes a default !--- route to be created if no default route exists. !--- Enter the ip address pppoe command in order to enable the !--- PPPoE client from interface configuration mode. 

 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, !--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 

mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier. !--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

Configuración de ASDM

Complete estos pasos para configurar al Cliente de PPPoE proporcionado el dispositivo de seguridad adaptante:

Nota: Consulte Cómo Permitir el Acceso HTTPS para el ASDM para que el ASA sea configurado por el ASDM.

1. Acceda el ASDM en el ASA:

   Abra su hojeador, y ingrese https:// <ASDM_ASA_IP_ADDRESS >.

   Donde está la dirección IP ASDM_ASA_IP_ADRESS de la interfaz ASA que se configura para el acceso del ASDM.

   Nota: Aseegurese autorizar cualquier advertencia que su navegador le dé relacionado con la autenticidad de certificados SSL. Nombre de usuario predeterminado y la contraseña son ambos espacio en blanco.

   El ASA visualiza esta ventana para permitir la descarga de la aplicación ASDM. Este ejemplo carga la aplicación sobre la computadora local y no se ejecuta en los subprogramas java.

   

2. Haga clic el activador de ASDM de la descarga y comience el ASDM para descargar el instalador para la aplicación ASDM.

3. Una vez que el activador de ASDM descarga, complete los pasos ordenados por los prompts para instalar el software, y funcionar con el Cisco ASDM launcher.

4. Ingrese el IP Address para la interfaz que usted configuró con el HTTP - ordene, y un Nombre de usuario y una contraseña si usted especificó uno.

   Este ejemplo utiliza el cisco123 para el Nombre de usuario y el cisco123 como la contraseña.

   

5. Elija la configuración > la configuración > las interfaces de dispositivo, resalte la interfaz exterior, y el tecleo edita.

   

6. En el campo de nombre de la interfaz, ingrese afuera, y marque el rectángulo de comprobaciones de interfaz del habilitar.

7. Haga clic el botón de radio del uso PPPoE en el área de la dirección IP.

8. Ingrese un nombre del grupo, un nombre de usuario PPPoE y una contraseña, y haga clic el botón de radio apropiado del tipo de la autenticación PPP (PAP, GRIETA, o MSCHAP).

   

9. Haga clic la ficha Avanzadas, y verifiquela que la talla del MTU está fijada a 1492.

   Nota: El Tamaño de la unidad máxima de transmisión (MTU) se fija automáticamente a 1492 bytes, que es el valor correcto para permitir la transmisión PPPoE dentro de una trama Ethernet.

   

10. Para continuar, haga clic en OK (Aceptar).

11. Verifique que la información que usted ingresó esté correcta, y el tecleo se aplica.

    

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

• muestre el IP Address fuera del pppoe — Utilice este comando para visualizar la información de la configuración actual del Cliente de PPPoE.

• muestre la sesión [l2tp del vpdn | pppoe] [sess_id identificación | paquetes | estado | ventana] — utilice este comando para ver el estatus de las sesiones PPPoE.

El siguiente ejemplo muestra una muestra de información proporcionada por este comando:

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

Borrar la configuración

Para quitar todos los comandos vpdn group de la configuración, utilice el comando vpdn group claro de la configuración en el modo de configuración global:

hostname(config)#clear configure vpdn group

Para quitar todos los comandos username del vpdn, utilice el comando username claro del vpdn de la configuración:

hostname(config)#clear configure vpdn username

Nota: Estos comandos no tienen ninguna influencia en las conexiones activas PPPoE.

Troubleshooting

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

• del hostname# pppoe del debug [no] {evento | error | paquete} — utilice este comando para habilitar o inhabilitar el debugging para el Cliente de PPPoE.

La máscara de subred aparece como /32

Problema

Cuando usted utiliza el comando del setroute del pppoe de la dirección IP x.x.x.x 255.255.255.240, la dirección IP se asigna correctamente, pero la máscara de subred aparece como /32 aunque se especifique en el comando como /28. ¿Por qué ocurre esto?

Solución

Ésta es la conducta correcta. El máscara de subred es inútil en el caso de la interfaz del pppoe; el ASA la cambiará siempre a /32.

Información Relacionada

• Cisco ASA 5500 Series Adaptive Security Appliances
• Configuración del cliente PPPoE en Cisco 2600 para conexión con un CPE DSL de terceros
• Cisco Adaptive Security Device Manager
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones