PIX/ASA: Exemplo de configuração do PPPoE Client

Opções de download

  • PDF     (423.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (365.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (514.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de abril de 2012
ID do documento:110322

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento fornece uma configuração de exemplo para o mecanismo de segurança ASA/PIX como um cliente do Protocolo Ponto a Ponto sobre Ethernet (PPPoE) para versões 7.2.(1) e superiores.

O PPPoE combina dois padrões extensamente aceitados, Ethernet e PPP, a fim fornecer um método autenticado que atribua endereços IP de Um ou Mais Servidores Cisco ICM NT aos sistemas de cliente. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISP distribuem o PPPoE porque é mais fácil para clientes se usar e usa sua infraestrutura existente do Acesso remoto a fim apoiar o acesso à banda larga de alta velocidade.

O PPPoE fornece um método padrão para empregar os métodos de autenticação da rede PPPoE. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.

O PPPoE é composto por duas fases principais:

  • Fase da descoberta ativa — Nesta fase, o PPPoE Client encontra um servidor PPPoE, chamado um concentrador de acesso, onde um ID de sessão seja atribuído e a camada PPPoE seja estabelecida

  • Fase da sessão de PPP — Nesta fase, as opções do Point-to-Point Protocol (PPP) são negociadas e a autenticação é executada. Uma vez a instalação do link está completa, funções PPPoE como um método de encapsulamento da camada 2, que permita que os dados sejam transferidos sobre o link de PPP dentro dos cabeçalhos PPPoE.

Na inicialização do sistema, o PPPoE Client troca uma série de pacotes a fim estabelecer uma sessão com o concentrador de acesso. Uma vez que a sessão é estabelecida, um link de PPP estabelece-se, que use o protocolo password authentication (PAP) para a autenticação. Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.

Nota: O PPPoE não é apoiado quando o Failover é configurado na ferramenta de segurança adaptável, ou no contexto múltiplo ou no modo transparente. O PPPoE é apoiado somente no único, modo roteado, sem Failover.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão 8.x e mais recente adaptável da ferramenta de segurança de Cisco (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança da série do Cisco PIX 500, que executa a versão 7.2(1) e mais recente. A fim configurar o PPPoE Client no firewall PIX segura Cisco, a versão do PIX OS 6.2 introduz esta função e é visada para o low-end PIX (501/506). Para mais informação, refira configurar o PPPoE Client em um firewall PIX segura Cisco

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção fornece a informação necessária configurar as características descritas neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

asa_pppoe_01.gif

Configuração de CLI

Este documento utiliza as seguintes configurações:

Nome do dispositivo 1 
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN

 !--- "ip address pppoe [setroute]" !--- The setroute option sets the default routes when the PPPoE client has !--- not yet established a connection. When you use the setroute option, you !--- cannot use a statically defined route in the configuration. !--- PPPoE is not supported in conjunction with DHCP because with PPPoE !--- the IP address is assigned by PPP. The setroute option causes a default !--- route to be created if no default route exists. !--- Enter the ip address pppoe command in order to enable the !--- PPPoE client from interface configuration mode. 

 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, !--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 

mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier. !--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

Configuração ASDM

Termine estas etapas a fim configurar o PPPoE Client fornecido com a ferramenta de segurança adaptável:

Nota: Consulte Habilitação de Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.

  1. Alcance o ASDM no ASA:

    Abra seu navegador, e entre em https:// <ASDM_ASA_IP_ADDRESS >.

    Onde ASDM_ASA_IP_ADRESS é o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação ASA que é configurada para o acesso ASDM.

    Nota: Certifique-se autorizar todos os avisos que seu navegador o der relativo à autenticidade de certificado de SSL. O nome de usuário padrão e a senha são ambos placa.

    O ASA indica este indicador para permitir a transferência do aplicativo ASDM. Este exemplo carrega o aplicativo no computador local e não o é executado em um Java applet.

    asa_pppoe_02.gif

  2. Clique a launcher ASDM da transferência e comece o ASDM a fim transferir o instalador para o aplicativo ASDM.

  3. Uma vez as transferências da launcher ASDM, terminam as etapas dirigidas pelas alertas a fim instalar o software, e executar o lançador ASDM Cisco.

  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT para a relação que você configurou com o HTTP - comande, e um nome de usuário e uma senha se você especificou um.

    Este exemplo usa o cisco123 para o nome de usuário e o cisco123 como a senha.

    asa_pppoe_03.gif

  5. Escolha a configuração > a instalação > as relações de dispositivo, destaque a interface externa, e o clique edita.

    asa_pppoe_04.gif

  6. No campo de nome da relação, entre fora, e verifique a caixa de verificação de interface da possibilidade.

  7. Clique o botão de rádio do uso PPPoE na área do endereço IP de Um ou Mais Servidores Cisco ICM NT.

  8. Incorpore um nome do grupo, o nome de usuário PPPoE e a senha, e clique o tipo apropriado da autenticação de PPP (PAP, RACHADURA, ou MSCHAP) botão de rádio.

    asa_pppoe_05.gif

  9. Clique o guia avançada, e verifique que o tamanho do MTU está ajustado a 1492.

    Nota: O tamanho da unidade de transmissão máxima (MTU) é ajustado automaticamente a 1492 bytes, que é o valor correto para permitir a transmissão PPPoE dentro de um frame da Ethernet.

    asa_pppoe_07.gif

  10. Clique em OK para continuar.

  11. Verifique que a informação que você incorporou está correta, e o clique se aplica.

    asa_pppoe_06.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre o endereço IP de Um ou Mais Servidores Cisco ICM NT fora do pppoe — Use este comando a fim indicar a informação de configuração atual do PPPoE Client.

  • mostre a sessão [l2tp do vpdn | pppoe] [sess_id identificação | pacotes | estado | indicador] — use este comando a fim ver o estado das sessões de PPPoE.

O exemplo seguinte mostra uma amostra de informação fornecida por este comando: 

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

Cancelando a configuração

A fim remover todos os comandos vpdn group da configuração, use o claro configuram o comando vpdn group no modo de configuração global: 

hostname(config)#clear configure vpdn group

A fim remover todos os comandos username do vpdn, use o claro configuram o comando username do vpdn: 

hostname(config)#clear configure vpdn username

Nota: Estes comandos não têm nenhuma influência em conexões ativas PPPoE.

Troubleshooting

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • o [no] do hostname# debuga o pppoe {evento | erro | pacote} — use este comando a fim permitir ou desabilitar a eliminação de erros para o PPPoE Client.

A máscara de sub-rede aparece como /32

Problema

Quando você usa o comando do setroute do pppoe do endereço IP de Um ou Mais Servidores Cisco ICM NT x.x.x.x 255.255.255.240, o endereço IP de Um ou Mais Servidores Cisco ICM NT está atribuído corretamente, mas a máscara de sub-rede aparece como /32 embora se especifique no comando como /28. Por que isso acontece?

Solução

Este é o comportamento correto. O a máscara de sub-rede é irrelevante no caso da relação de PPPoe; o ASA mudá-la-á sempre a /32.

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos