Este documento fornece uma configuração de exemplo para o mecanismo de segurança ASA/PIX como um cliente do Protocolo Ponto a Ponto sobre Ethernet (PPPoE) para versões 7.2.(1) e superiores.
O PPPoE combina dois padrões extensamente aceitados, Ethernet e PPP, a fim fornecer um método autenticado que atribua endereços IP de Um ou Mais Servidores Cisco ICM NT aos sistemas de cliente. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISP distribuem o PPPoE porque é mais fácil para clientes se usar e usa sua infraestrutura existente do Acesso remoto a fim apoiar o acesso à banda larga de alta velocidade.
O PPPoE fornece um método padrão para empregar os métodos de autenticação da rede PPPoE. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.
O PPPoE é composto por duas fases principais:
Fase da descoberta ativa — Nesta fase, o PPPoE Client encontra um servidor PPPoE, chamado um concentrador de acesso, onde um ID de sessão seja atribuído e a camada PPPoE seja estabelecida
Fase da sessão de PPP — Nesta fase, as opções do Point-to-Point Protocol (PPP) são negociadas e a autenticação é executada. Uma vez a instalação do link está completa, funções PPPoE como um método de encapsulamento da camada 2, que permita que os dados sejam transferidos sobre o link de PPP dentro dos cabeçalhos PPPoE.
Na inicialização do sistema, o PPPoE Client troca uma série de pacotes a fim estabelecer uma sessão com o concentrador de acesso. Uma vez que a sessão é estabelecida, um link de PPP estabelece-se, que use o protocolo password authentication (PAP) para a autenticação. Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.
Nota: O PPPoE não é apoiado quando o Failover é configurado na ferramenta de segurança adaptável, ou no contexto múltiplo ou no modo transparente. O PPPoE é apoiado somente no único, modo roteado, sem Failover.
Não existem requisitos específicos para este documento.
A informação neste documento é baseada na versão 8.x e mais recente adaptável da ferramenta de segurança de Cisco (ASA).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Esta configuração pode igualmente ser usada com a ferramenta de segurança da série do Cisco PIX 500, que executa a versão 7.2(1) e mais recente. A fim configurar o PPPoE Client no firewall PIX segura Cisco, a versão do PIX OS 6.2 introduz esta função e é visada para o low-end PIX (501/506). Para mais informação, refira configurar o PPPoE Client em um firewall PIX segura Cisco
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Esta seção fornece a informação necessária configurar as características descritas neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Este documento utiliza a seguinte configuração de rede:
Este documento utiliza as seguintes configurações:
Nome do dispositivo 1 |
---|
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif dmz security-level 50 ip address 10.77.241.111 255.255.255.192 ! interface Ethernet0/1 nameif outside security-level 0 !--- Specify a VPDN group for the PPPoE client pppoe client vpdn group CHN !--- "ip address pppoe [setroute]" !--- The setroute option sets the default routes when the PPPoE client has !--- not yet established a connection. When you use the setroute option, you !--- cannot use a statically defined route in the configuration. !--- PPPoE is not supported in conjunction with DHCP because with PPPoE !--- the IP address is assigned by PPP. The setroute option causes a default !--- route to be created if no default route exists. !--- Enter the ip address pppoe command in order to enable the !--- PPPoE client from interface configuration mode. ip address pppoe ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive access-list 100 extended permit ip any any access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10. 20.10.0 255.255.255.0 inactive pager lines 24 mtu dmz 1500 !--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, !--- which is the correct value to allow PPPoE transmission within an Ethernet frame. mtu outside 1492 mtu inside 1500 !--- Output suppressed. global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 !--- The NAT statements above are for ASA version 8.2 and earlier. !--- For ASA versions 8.3 and later the NAT statements are modified as follows. object network obj_any subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface !--- Output suppressed. telnet timeout 5 ssh timeout 5 console timeout 0 !--- Define the VPDN group to be used for PPPoE. vpdn group CHN request dialout pppoe !--- Associate the user name assigned by your ISP to the VPDN group. vpdn group CHN localname cisco !--- If your ISP requires authentication, select an authentication protocol. vpdn group CHN ppp authentication pap !--- Create a user name and password for the PPPoE connection. vpdn username cisco password ********* threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15 prompt hostname context Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133 : end ciscoasa# |
Termine estas etapas a fim configurar o PPPoE Client fornecido com a ferramenta de segurança adaptável:
Nota: Consulte Habilitação de Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.
Alcance o ASDM no ASA:
Abra seu navegador, e entre em https:// <ASDM_ASA_IP_ADDRESS >.
Onde ASDM_ASA_IP_ADRESS é o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação ASA que é configurada para o acesso ASDM.
Nota: Certifique-se autorizar todos os avisos que seu navegador o der relativo à autenticidade de certificado de SSL. O nome de usuário padrão e a senha são ambos placa.
O ASA indica este indicador para permitir a transferência do aplicativo ASDM. Este exemplo carrega o aplicativo no computador local e não o é executado em um Java applet.
Clique a launcher ASDM da transferência e comece o ASDM a fim transferir o instalador para o aplicativo ASDM.
Uma vez as transferências da launcher ASDM, terminam as etapas dirigidas pelas alertas a fim instalar o software, e executar o lançador ASDM Cisco.
Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT para a relação que você configurou com o HTTP - comande, e um nome de usuário e uma senha se você especificou um.
Este exemplo usa o cisco123 para o nome de usuário e o cisco123 como a senha.
Escolha a configuração > a instalação > as relações de dispositivo, destaque a interface externa, e o clique edita.
No campo de nome da relação, entre fora, e verifique a caixa de verificação de interface da possibilidade.
Clique o botão de rádio do uso PPPoE na área do endereço IP de Um ou Mais Servidores Cisco ICM NT.
Incorpore um nome do grupo, o nome de usuário PPPoE e a senha, e clique o tipo apropriado da autenticação de PPP (PAP, RACHADURA, ou MSCHAP) botão de rádio.
Clique o guia avançada, e verifique que o tamanho do MTU está ajustado a 1492.
Nota: O tamanho da unidade de transmissão máxima (MTU) é ajustado automaticamente a 1492 bytes, que é o valor correto para permitir a transmissão PPPoE dentro de um frame da Ethernet.
Clique em OK para continuar.
Verifique que a informação que você incorporou está correta, e o clique se aplica.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
mostre o endereço IP de Um ou Mais Servidores Cisco ICM NT fora do pppoe — Use este comando a fim indicar a informação de configuração atual do PPPoE Client.
mostre a sessão [l2tp do vpdn | pppoe] [sess_id identificação | pacotes | estado | indicador] — use este comando a fim ver o estado das sessões de PPPoE.
O exemplo seguinte mostra uma amostra de informação fornecida por este comando:
hostname#show vpdn Tunnel id 0, 1 active sessions time since change 65862 secs Remote Internet Address 10.0.0.1 Local Internet Address 199.99.99.3 6 packets sent, 6 received, 84 bytes sent, 0 received Remote Internet Address is 10.0.0.1 Session state is SESSION_UP Time since event change 65865 secs, interface outside PPP interface id is 1 6 packets sent, 6 received, 84 bytes sent, 0 received hostname#show vpdn session PPPoE Session Information (Total tunnels=1 sessions=1) Remote Internet Address is 10.0.0.1 Session state is SESSION_UP Time since event change 65887 secs, interface outside PPP interface id is 1 6 packets sent, 6 received, 84 bytes sent, 0 received hostname#show vpdn tunnel PPPoE Tunnel Information (Total tunnels=1 sessions=1) Tunnel id 0, 1 active sessions time since change 65901 secs Remote Internet Address 10.0.0.1 Local Internet Address 199.99.99.3 6 packets sent, 6 received, 84 bytes sent, 0 received hostname#
A fim remover todos os comandos vpdn group da configuração, use o claro configuram o comando vpdn group no modo de configuração global:
hostname(config)#clear configure vpdn group
A fim remover todos os comandos username do vpdn, use o claro configuram o comando username do vpdn:
hostname(config)#clear configure vpdn username
Nota: Estes comandos não têm nenhuma influência em conexões ativas PPPoE.
A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
o [no] do hostname# debuga o pppoe {evento | erro | pacote} — use este comando a fim permitir ou desabilitar a eliminação de erros para o PPPoE Client.
Problema
Quando você usa o comando do setroute do pppoe do endereço IP de Um ou Mais Servidores Cisco ICM NT x.x.x.x 255.255.255.240, o endereço IP de Um ou Mais Servidores Cisco ICM NT está atribuído corretamente, mas a máscara de sub-rede aparece como /32 embora se especifique no comando como /28. Por que isso acontece?
Solução
Este é o comportamento correto. O a máscara de sub-rede é irrelevante no caso da relação de PPPoe; o ASA mudá-la-á sempre a /32.