PIX/ASA:PPPoE客戶端配置示例

下載選項

  • PDF     (426.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (84.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (71.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2012 年 4 月 26 日
文件 ID:110322

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔提供了ASA/PIX安全裝置作為乙太網點對點協定(PPPoE)客戶端的示例配置,適用於版本7.2.(1)及更高版本。

PPPoE結合了兩種廣泛接受的標準,即乙太網和PPP,以提供經驗證的方法,將IP地址分配給客戶端系統。PPPoE客戶端通常是透過遠端寬頻連線(例如DSL或電纜服務)連線到ISP的個人電腦。ISP部署PPPoE的原因在於它更便於客戶使用,並且它使用客戶現有的遠端訪問基礎設施來支援高速寬頻接入。

PPPoE提供了一種使用PPPoE網路的身份驗證方法的標準方法。當ISP使用時,PPPoE允許對IP地址進行經過身份驗證的分配。在此類實施中,PPPoE客戶端和伺服器透過運行在DSL或其他寬頻連線上的第2層橋接協定互連。

PPPoE由兩個主要階段組成:

  • 主動發現階段-在此階段,PPPoE客戶端會定位一個PPPoE伺服器(稱為接入集中器),在該伺服器上分配會話ID並建立PPPoE層

  • PPP Session Phase -在此階段中,將協商點對點協定(PPP)選項並執行身份驗證。一旦鏈路建立完成,PPPoE就用作第2層封裝方法,它允許資料透過PPPoE報頭中的PPP鏈路傳輸。

在系統初始化時,PPPoE客戶端會交換一系列資料包,以便與接入集中器建立會話。一旦建立會話,就會建立PPP鏈路,該鏈路使用密碼身份驗證協定(PAP)進行身份驗證。一旦建立PPP會話,每個資料包都會封裝在PPPoE和PPP報頭中。

注意:在自適應安全裝置上配置故障轉移或在多上下文或透明模式下配置故障轉移時,不支援PPPoE。PPPoE僅在單個路由模式下受支援,無故障轉移。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於Cisco自適應安全裝置(ASA)版本8.x及更高版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

相關產品

此配置還可用於運行版本7.2(1)及更高版本的Cisco PIX 500系列安全裝置。為了在Cisco Secure PIX防火牆上配置PPPoE客戶端,PIX OS版本6.2引入了此功能,並且針對低端PIX (501/506)。有關詳細資訊,請參閱在Cisco Secure PIX防火牆上配置PPPoE客戶端

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供設定本檔案所述功能的必要資訊。

注意:使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。

網路圖表

此文件使用以下網路設定:

asa_pppoe_01.gif

CLI配置

本檔案使用下列組態:

裝置名稱1 
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN

 !--- "ip address pppoe [setroute]" !--- The setroute option sets the default routes when the PPPoE client has !--- not yet established a connection. When you use the setroute option, you !--- cannot use a statically defined route in the configuration. !--- PPPoE is not supported in conjunction with DHCP because with PPPoE !--- the IP address is assigned by PPP. The setroute option causes a default !--- route to be created if no default route exists. !--- Enter the ip address pppoe command in order to enable the !--- PPPoE client from interface configuration mode. 

 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, !--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 

mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier. !--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

ASDM配置

要配置隨自適應安全裝置提供的PPPoE客戶端,請完成以下步驟:

注意:要使ASDM可配置ASA,請參閱允許ASDM進行HTTPS訪問

  1. 訪問ASA上的ASDM:

    打開瀏覽器,然後輸入https://<ASDM_ASA_IP_ADDRESS>

    其中ASDM_ASA_IP_ADRESS是為ASDM訪問配置的ASA介面的IP地址。

    注意:確保授權瀏覽器提供的與SSL證書真實性相關的任何警告。預設的使用者名稱和密碼皆為空白。

    ASA顯示此窗口以允許下載ASDM應用程式。此範例會將應用程式載入本機電腦,而且不會在Java Applet中執行。

    asa_pppoe_02.gif

  2. 按一下Download ASDM Launcher and Start ASDM以下載ASDM應用程式的安裝程式。

  3. 下載ASDM Launcher後,請完成提示指導的步驟以安裝軟體,然後運行Cisco ASDM Launcher。

  4. 輸入使用http -命令配置的介面的IP地址,以及使用者名稱和口令(如果已指定)。

    此示例使用cisco123作為使用者名稱,並使用cisco123作為口令。

    asa_pppoe_03.gif

  5. 選擇Configuration > Device Setup > Interfaces,突出顯示外部介面,然後按一下Edit

    asa_pppoe_04.gif

  6. 在Interface Name欄位中,輸入outside,然後選中Enable Interface覈取方塊。

  7. 在IP Address區域中按一下Use PPPoE單選按鈕。

  8. 輸入組名、PPPoE使用者名稱和密碼,然後按一下相應的PPP身份驗證型別(PAP、CHAP或MSCHAP)單選按鈕。

    asa_pppoe_05.gif

  9. 按一下Advanced頁籤,並驗證MTU大小是否設定為1492

    註:最大傳輸單元(MTU)大小自動設定為1492位元組,這是允許在乙太網幀內進行PPPoE傳輸的正確值。

    asa_pppoe_07.gif

  10. 按一下OK繼續。

  11. 驗證輸入的資訊是否正確,然後按一下Apply

    asa_pppoe_06.gif

驗證

使用本節內容,確認您的組態是否正常運作。

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

  • show ip address outside pppoe— 使用此命令以顯示當前PPPoE客戶端配置資訊。

  • show vpdn session [l2tp | pppoe] [id sess_id | 封包 | 狀態 | window] -使用此命令以檢視PPPoE會話的狀態。

以下示例顯示了此命令提供的資訊示例: 

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

清除配置

為了從配置中刪除所有vpdn group命令,請在全局配置模式下使用clear configure vpdn group命令: 

hostname(config)#clear configure vpdn group

為了刪除所有vpdn username命令,請使用clear configure vpdn username命令: 

hostname(config)#clear configure vpdn username

註:這些命令對活動的PPPoE連線沒有影響。

疑難排解

疑難排解指令

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊

  • hostname# [no] debug pppoe {event | 錯誤 | packet}— 使用此命令以對PPPoE客戶端啟用或停用調試。

子網掩碼顯示為/32

問題

使用IP address x.x.x.x 255.255.255.240 pppoe setroute命令時,IP地址分配正確,但子網掩碼顯示為/32,儘管在命令中指定為/28。為什麼會發生這種情況?

解決方案

這是正確的行為。對於PPPoe介面,子網掩碼不相關;ASA將始終將其更改為/32。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
11-May-2009
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品