Configurando o cliente PPPoE em um Cisco Secure PIX Firewall

Atualizado:26 de setembro de 2008

ID do documento:22855

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Prerequisites

Requirements

Componentes Utilizados

Conventions

Configurar

Diagrama de Rede

Configurações

Verificar

Troubleshoot

Informações de Troubleshooting

Comandos para Troubleshooting

Advertências conhecidas no PIX OS versões 6.2 e 6.3

Avisos conhecidos no PIX OS versão 6.3

Informações Relacionadas

Introduction

Este documento descreve como configurar o cliente de Point-to-Point Protocol (PPP) over Ethernet (PPPoE) no Cisco Secure PIX Firewall. O PIX OS versão 6.2 apresenta essa função e destina-se ao PIX low-end (501/506).

O PPPoE combina dois padrões amplamente aceitos, Ethernet e PPP, para oferecer um método autenticado de atribuição de endereços IP a sistemas clientes. Os clientes PPPoE são, em geral, computadores pessoais conectados a um ISP por uma conexão de banda larga remota, como o DSL ou o serviço de cabo. Os ISPs implementam PPPoE porque ele oferece suporte a acesso de banda larga de alta velocidade com a utilização da infra-estrutura de acesso remoto existente e porque ele é mais fácil para os clientes utilizarem. O PIX Firewall versão 6.2 introduz a funcionalidade de cliente PPPoE. Isso permite que usuários de escritórios pequenos e domésticos (SOHO) do PIX Firewall se conectem aos ISPs usando modems DSL.

Atualmente, somente a interface externa do PIX suporta essa função. Quando a configuração também estiver na interface externa, haverá encapsulamento de todo o tráfego com cabeçalhos PPPoE/PPP. O mecanismo de autenticação padrão para PPPoE é o Password Authentication Protocol (PAP).

O PPPoE fornece um método padrão para a utilização dos métodos de autenticação do PPP sobre uma rede Ethernet. Quando utilizado por ISPs, o PPPoE permite a atribuição autenticada de endereços IPs. Nesse tipo de implementação, o cliente e o servidor PPPoE são interconectados por protocolos de bridging da Camada 2 executados sobre uma conexão DSL ou outras conexões de banda larga.

O usuário tem a opção de configurar manualmente o Challenge Handshake Authentication Protocol (CHAP) ou MS-CHAP. As versões 6.2 e 6.3 do SO PIX não suportam o protocolo L2TP (Layer 2 Tunneling Protocol) e o PPTP (Point-to-Point Tunneling Protocol) com PPPoE.

O PPPoE é composto por duas fases principais:

Fase de Descoberta Ativa — Nessa fase, o cliente PPPoE localiza um servidor PPoE, chamado de concentrador de acesso. Durante essa fase, um ID de sessão é atribuído e a camada PPPoE é estabelecida.
Fase da Sessão PPP — Nessa fase, as opções do PPP são negociadas e a autenticação é executada. Uma vez que a configuração do link esteja concluída, o PPPoE trabalha como um método de encapsulamento da Camada 2, permitindo que os dados sejam transferidos sobre o link PPP dentro de cabeçalhos PPPoE.

Na inicialização do sistema, o cliente PPPoE estabelece uma sessão com o AC por meio da troca de uma série de pacotes. Uma vez que a sessão seja estabelecida, um link PPP é configurado, o que inclui a autenticação com o protocolo Password Authentication (PAP). Uma vez que a sessão PPP esteja estabelecida, cada pacote é encapsulado nos cabeçalhos PPPoE e PPP.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

PIX 501 com PIX OS versão 6.3(4)
Roteador Cisco 1721 com Cisco IOS® Software Release 12.3(10) configurado como um servidor PPPoE

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção apresenta as informações que você pode usar para configurar os recursos descritos neste documento.

Nota: Para obter mais informações sobre os comandos usados neste documento, use a Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza estas configurações.

Roteador Cisco 1721 como servidor PPPoE
PIX (501 ou 506) como cliente PPPoE

Neste teste de laboratório, um roteador Cisco 1721 atua como um servidor PPPoE. Você não precisa disso em sua casa/escritório remoto, pois o ISP hospeda o servidor PPPoE.

Roteador Cisco 1721 como servidor PPPoE
!--- Username matches that on the PIX. username cisco password cisco !--- Enable virtual private dial-up network (VPDN). vpdn enable ! !--- Define the VPDN group that you use for PPPoE. vpdn-group pppoex accept-dialin protocol pppoe virtual-template 1 ! interface Ethernet0 ip address 172.21.48.30 255.255.255.224 !--- Enable PPPoE sessions on the interface. pppoe enable ! interface Virtual-Template1 mtu 1492 !--- Do not use a static IP assignment within a virtual template since !--- routing problems can occur. Instead, use the ip unnumbered* command !--- when you configure a virtual template.* ip unnumbered Ethernet0 peer default ip address pool pixpool !--- Define authentication protocol. ppp authentication pap ! ip local pool pixpool 11.11.11.1 11.11.11.100

Roteador Cisco 1721 como servidor PPPoE


!--- Username matches that on the PIX.

username cisco password cisco 


!--- Enable virtual private dial-up network (VPDN).

vpdn enable 
! 


!--- Define the VPDN group that you use for PPPoE.

vpdn-group pppoex 
 accept-dialin 
  protocol pppoe 
  virtual-template 1 
! 
interface Ethernet0 
 ip address 172.21.48.30 255.255.255.224 

!--- Enable PPPoE sessions on the interface.

 pppoe enable 
! 

interface Virtual-Template1 
 mtu 1492 

!--- Do not use a static IP assignment within a virtual template since !--- routing problems can occur. Instead, use the ip unnumbered command !--- when you configure a virtual template. 

 ip unnumbered Ethernet0 
 peer default ip address pool pixpool

!--- Define authentication protocol.

 ppp authentication pap 
! 
ip local pool pixpool 11.11.11.1 11.11.11.100

PIX (501 ou 506) como cliente PPPoE
pix501#write terminal Building configuration... : Saved : PIX Version 6.3(4) interface ethernet0 10baset interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pix501 domain-name cisco.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names pager lines 24 mtu outside 1500 mtu inside 1500 !--- Enable PPPoE client functionality on the interface. !--- It is off by default. The setroute* option creates a default !--- route if no default route exists.* ip address outside pppoe setroute ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 192.168.1.0 255.255.255.0 0 0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 !--- Define the VPDN group that you use for PPPoE. !--- Configure this first. vpdn group pppoex request dialout pppoe !--- Associate the username that the ISP assigns to the VPDN group. vpdn group pppoex localname cisco !--- Define authentication protocol. vpdn group pppoex ppp authentication pap !--- Create a username and password pair for the PPPoE !--- connection (which your ISP provides). vpdn username cisco password ********* terminal width 80 Cryptochecksum:e136533e23231c5bbbbf4088cee75a5a : end [OK] pix501#

PIX (501 ou 506) como cliente PPPoE

pix501#write terminal
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix501
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500


!--- Enable PPPoE client functionality on the interface. !--- It is off by default. The setroute option creates a default !--- route if no default route exists. 

ip address outside pppoe setroute

ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Define the VPDN group that you use for PPPoE. !--- Configure this first.

vpdn group pppoex request dialout pppoe


!--- Associate the username that the ISP assigns to the VPDN group.

vpdn group pppoex localname cisco


!--- Define authentication protocol.

vpdn group pppoex ppp authentication pap


!--- Create a username and password pair for the PPPoE !--- connection (which your ISP provides).

vpdn username cisco password ********* 

terminal width 80
Cryptochecksum:e136533e23231c5bbbbf4088cee75a5a
: end
[OK]
pix501#

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

show ip address outside pppoe — Exibe informações sobre a configuração atual do cliente PPPoE.
show vpdn tunnel pppoe — Exibe informações sobre túnel para o tipo específico de túnel.
show vpdn session pppoe — Exibe o status das sessões PPPoE.
show vpdn pppinterface — Exibe o valor de identificação da interface do túnel PPPoE. Uma interface virtual PPP é criada para cada túnel PPPoE.
show vpdn group — Exibe o grupo definido para o túnel PPPoE.
show vpdn username — Exibe as informações do nome do usuário local.

Esta é a saída do comando show ip address outside pppoe:

501(config)#show ip address outside pppoe 
 
PPPoE Assigned IP addr: 11.11.11.1 255.255.255.255 on Interface: outside 
   Remote IP addr: 172.21.48.30

Esta é a saída do comando show vpdn tunnel pppoe:

501(config)#show vpdn tunnel pppoe 
  
PPPoE Tunnel Information (Total tunnels=1 sessions=1) 
  
Tunnel id 0, 1 active sessions 
  time since change 20239 secs 
  Remote MAC Address 00:08:E3:9C:4C:71 
  3328 packets sent, 3325 received, 41492 bytes sent, 0 received

Esta é a saída do comando show vpdn session pppoe:

501(config)#show vpdn session pppoe 
   
PPPoE Session Information (Total tunnels=1 sessions=1) 
 
Remote MAC is 00:08:E3:9C:4C:71 
  Session state is SESSION_UP 
    Time since event change 20294 secs, interface outside 
    PPP interface id is 1 
    3337 packets sent, 3334 received, 41606 bytes sent, 0 received

Esta é a saída do comando show vpdn pppinterface:

501(config)#show vpdn pppinterface 
 
PPP virtual interface id = 1 
PPP authentication protocol is PAP 
Server ip address is 172.21.48.30 
Our ip address is 11.11.11.1 
Transmitted Pkts: 3348, Received Pkts: 3345, Error Pkts: 0 
MPPE key strength is None 
  MPPE_Encrypt_Pkts: 0,  MPPE_Encrypt_Bytes: 0 
  MPPE_Decrypt_Pkts: 0,  MPPE_Decrypt_Bytes: 0 
  Rcvd_Out_Of_Seq_MPPE_Pkts: 0

Esta é a saída do comando show vpdn group:

501(config)#show vpdn group 
vpdn group pppoex request dialout pppoe 
vpdn group pppoex localname cisco 
vpdn group pppoex ppp authentication pap

Esta é a saída do comando show vpdn username:

501(config)#show vpdn username 
vpdn username cisco password *********

Troubleshoot

Esta seção disponibiliza informações para a solução de problemas de configuração.

Informações de Troubleshooting

Estes são exemplos de depurações de configurações incorretas comuns no PIX. Ative essas depurações.

pix#show debug
debug ppp negotiation
debug pppoe packet
debug pppoe error
debug pppoe event

Falha na autenticação (por exemplo, nome de usuário/senha inválido).

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, 
len is: 4 Pkt dump: d0c3305c

PPP pap recv authen nak: 41757468656e7469636174696f6e206661696c757265
PPP PAP authentication failed
Rcvd Link Control Protocol pkt, Action code is: Termination Request, 
len is: 0

O protocolo de autenticação é inválido (por exemplo, PAP/CHAP configurado incorretamente).

Xmit Link Control Protocol pkt, Action code is: 
Config Request, len is: 6
Pkt dump: 05064a53ae2a
LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14
Pkt dump: 010405d40304c0230506d0c88668
LCP Option: Max_Rcv_Units, len: 4, data: 05d4
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023
LCP Option: MAGIC_NUMBER, len: 6, data: d0c88668

Xmit Link Control Protocol pkt, Action code is: Config NAK, len is: 5
Pkt dump: 0305c22305
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22305

Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6
Pkt dump: 05064a53ae2a
LCP Option: MAGIC_NUMBER, len: 6, data: 4a53ae2a

O servidor PPPoE não responde, tente novamente a cada 30 segundos.

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e T
ype:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
  Type:0101:SVCNAME-Service Name Len:0 
  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
  Type:0101:SVCNAME-Service Name Len:0 
  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0007.5057.e27e 
Type:0x8863=PPPoE-Discovery

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
  Type:0101:SVCNAME-Service Name Len:0 
  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

debug pppoe packet — Exibe informações sobre pacotes.
debug pppoe error — Exibe mensagens de erro.
debug pppoe event — Exibe informações sobre eventos de protocolos.
debug ppp negotiation — Permite que você veja se um cliente transmite as informações de negociação de PPP.
debug ppp io — Exibe as informações do pacote para a interface virtual PPTP PPP.
debug ppp upap — Exibe a autenticação PAP.
debug ppp error — Exibe mensagens de erro de interfaces virtuais PPTP PPP.
debug ppp chap — Exibe informações sobre se um cliente passou na autenticação.

Use estes comandos para ativar a depuração para o cliente PPPoE:


!--- Displays packet information.


501(config)#debug pppoe packet 


!--- Displays error messages.


501(config)#debug pppoe error 


!--- Displays protocol event information.


501(config)#debug pppoe event

send_padi:(Snd) Dest:ffff.ffff.ffff Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:09=PADI Sess:0 Len:12 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

padi timer expired 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:07=PADO Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE: PADO 

send_padr:(Snd) Dest:0008.e39c.4c71 Src:0008.a37f.be88 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:19=PADR Sess:0 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

PPPoE:(Rcv) Dest:0008.a37f.be88 Src:0008.e39c.4c71 Type:0x8863=PPPoE-Discovery 

  Ver:1 Type:1 Code:65=PADS Sess:1 Len:45 

  Type:0101:SVCNAME-Service Name Len:0 

  Type:0103:HOSTUNIQ-Host Unique Tag Len:4 00000001 

  Type:0102:ACNAME-AC Name Len:9 3640 

  Type:0104:ACCOOKIE-AC Cookie Len:16 D69B0AAF 0DEBC789 FF8E1A75 2E6A3F1B 

  
PPPoE: PADS 

IN PADS from PPPoE tunnel 

PPPoE: Virtual Access interface obtained.PPPoE: Got ethertype=800 
on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside 

PPPoE: Got ethertype=800 on PPPoE interface=outside

Esta saída mostra comandos de depuração adicionais para o cliente PPPoE:

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
 
PPP virtual access open, ifc = 0 

Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 

Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102010012010405d40304c023050659d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101020012010405d40304c023050659d9f6360000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 14 
Pkt dump: 010405d40304c023050659d9f636 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 4, data: c023 
LCP Option: MAGIC_NUMBER, len: 6, data: 59d9f636 
 
PPP xmit, ifc = 0, len: 22  data: 
ff03c02102020012010405d40304c023050659d9f636 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a0506609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210201000a0506609b39f500000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0506609b39f5 
LCP Option: MAGIC_NUMBER, len: 6, data: 609b39f5 

Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109000008609b39f5 
 
PPP xmit, ifc = 0, len: 20  data: ff03c0230101001005636973636f05636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859d9f636000000000000000000000000000000000000 
000000000000000000000000 

Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0230201000500000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP upap rcvd authen ack: 
ff03c02302010005000000000000000000000000000000000000000000000000000000000000000 
00000 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 

Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 

Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59d9f636015995a10000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f636015995a1 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f5015995a1 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c609b39f5015995a1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210902000c59d9f6360159937b0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59d9f6360159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 609b39f50159937b 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a02000c609b39f50159937b 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 609b39f5 
 
PPP xmit, ifc = 0, len: 12  data: ff03c02109010008609b39f5 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859d9f636000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59d9f636

Depuração na Utilização do Comando ppp ms-chap para Autenticação

Quando você configura a autenticação PPP MS-CHAP, esta linha é a única alteração necessária no PIX (todas as outras permanecem as mesmas).

O comando vpdn group pppoex ppp authentication pap é modificado para vpdn group pppoex ppp authentication mschap.

Ative a depuração para o novo método de autenticação.

501(config)#debug ppp negotiation 
501(config)#debug ppp io 
501(config)#debug ppp upap 
501(config)#debug ppp error 
501(config)#debug ppp chap 
PPP virtual access open, ifc = 0 
 
Xmit Link Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
PPP xmit, ifc = 0, len: 14  data: ff03c0210101000a05063ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c02101010013010405d40305c22380050659f4cf2500000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config Request, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
Xmit Link Control Protocol pkt, Action code is: Config ACK, len is: 15 
Pkt dump: 010405d40305c22380050659f4cf25 
LCP Option: Max_Rcv_Units, len: 4, data: 05d4 
LCP Option: AUTHENTICATION_TYPES, len: 5, data: c22380 
LCP Option: MAGIC_NUMBER, len: 6, data: 59f4cf25 
 
PPP xmit, ifc = 0, len: 23  data: 
ff03c02102010013010405d40305c22380050659f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data:
 ff03c0210201000a05063ff50e1800000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 05063ff50e18 
LCP Option: MAGIC_NUMBER, len: 6, data: 3ff50e18 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090000083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230103001508bfe11df6d8fb524333363430202020200000000000 
000000000000000000000000 

PPP chap receive challenge: rcvd a type MS-CHAP-V1 pkt
PPP xmit, ifc = 0, len: 63  data: 
ff03c2230203003b31488506adb9ae0f4cac35866242b2bac2863870291e4a88e1458f0 
12526048734778a210325619092d3f831c3bcf3eb7201636973636f 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a00000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c2230303000400000000000000000000000000000000000000000000 
000000000000000000000000 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210101000a0306ac15301e00000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 030600000000 
IPCP Option: Config IP, IP = 0.0.0.0 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210101000a030600000000 
 
Xmit IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 0306ac15301e 
IPCP Option: Config IP, IP = 172.21.48.30 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210201000a0306ac15301e 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210301000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config NAK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
Xmit IP Control Protocol pkt, Action code is: Config Request, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP xmit, ifc = 0, len: 14  data: ff0380210102000a03060b0b0b02 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff0380210202000a03060b0b0b0200000000000000000000000000000000 
000000000000000000000000 
 
Rcvd IP Control Protocol pkt, Action code is: Config ACK, len is: 6 
Pkt dump: 03060b0b0b02 
IPCP Option: Config IP, IP = 11.11.11.1 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210901000c59f4cf2501592b7e0000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Request, len is: 8 
Pkt dump: 59f4cf2501592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Reply, len is: 8 
Pkt dump: 3ff50e1801592b7e 
 
PPP xmit, ifc = 0, len: 16  data: ff03c0210a01000c3ff50e1801592b7e 
 
Xmit Link Control Protocol pkt, Action code is: Echo Request, len is: 4 
Pkt dump: 3ff50e18 
 
PPP xmit, ifc = 0, len: 12  data: ff03c021090100083ff50e18 
 
PPP rcvd, ifc = 0, pppdev: 1, len: 42, data: 
ff03c0210a01000859f4cf25000000000000000000000000000000000000 
000000000000000000000000 
 
Rcvd Link Control Protocol pkt, Action code is: Echo Reply, len is: 4 
Pkt dump: 59f4cf25

Advertências conhecidas no PIX OS versões 6.2 e 6.3

Se a rota padrão já estiver configurada, o PIX não estabelece o PPPoE porque não pode substituir a rota padrão existente pela rota padrão fornecida pelo PPPoE. Se você desejar utilizar a rota padrão do servidor (opção setroute), o usuário precisará apagar a rota padrão na configuração.
Você define apenas o nome de usuário e um servidor PPPoE.

Avisos conhecidos no PIX OS versão 6.3

Quando você habilita o PPPoE e o Open Shortest Path First (OSPF) e write memory é executado após a recuperação de um endereço IP, a rota padrão recebida pelo PPPoE ou pelo DHCP é salva na configuração. A solução é executar o write memory antes do endereço ser recebido do servidor PPPoE.
A opção setroute do PPPoE, usada para a geração de uma rota padrão, não é compatível com o protocolo de roteamento dinâmico OSPF no PIX Firewall. A rota padrão que o PPPoE gera é removida da tabela de roteamento quando a instrução "network" é configurada no processo OSPF. A solução é usar rotas estáticas.