Phạm Minh Tuấn
Cấu hình PPPoE trên ASA firewall
PPPoE (Point-to-Point Protocol over Ethernet): là sự kết hợp giữa hai chuẩn được sử dụng rộng rãi là PPP và Ethernet, mục đích là vừa có thể chứng thực mà cũng có thể cấp IP cho client. PPPoE client được kết nối đến ISP qua đường truyền băng thông rộng như DSL, truyền hình cáp.
PPPoE cho phép ISP sẽ gắn IP cho client khi họ đã được chứng thực.
PPPoE khi chạy sẽ gồm 2 bước chính:
B1: Active Discovery Phase, PPPoE client xác định và truy cập BRAS
B2: PPP Session Phase, dùng giao thức PPP để chứng thực (PAP hoặc CHAP). Sau khi hoàn tất PPPoE sẽ hoạt động chức năng đóng gói trên layer 2 (cho phép data được trao đổi trên PPP link dựa vào header PPPoE).
Chú ý: PPPoE không hỗ trợ Failover khi cấu hình PPPoE trong firewall ASA trong chế độ multicontext, hoặc transparent. PPPoE chỉ hoạt động ở chế độ đơn, routed mà không có failover.
Lab mô phỏng
asa#show running−config
ASA Version 8.0(2)
!
hostname asa
!
interface Ethernet0/0
nameif dmz
security−level 50
ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
nameif outside
security−level 0
Chỉ ra tên nhóm vpdn cho PPPoE client
pppoe client vpdn group VNPRO
Bật PPPoE trên Interface.
Nếu có thêm từ khóa setroute "ip address pppoe [setroute]". Setroute sẽ giúp đẩy default-route xuống PPPoE client nếu nó chưa tồn tại.
Không cần kết hợp với DHCP để cung cấp IP cho PPPoE client vì giao thức PPP đã làm việc này.
ip address pppoe
!
interface Ethernet0/2
nameif inside
security−level 100
ip address 10.10.10.1 255.255.255.0
!
access−list 100 extended permit ip any any
access−list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0
mtu dmz 1500
The maximum transmission unit (MTU): kích cỡ MTU được tự động thiết lập lài thành 1492 bytes, giá trị này sẽ cho phép PPPoE được truyền trên Frame Ethernet.
mtu outside 1492
mtu inside 1500
global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0
telnet timeout 5 ssh timeout 5 console timeout 0
Định nghĩa VPDN group cho PPPoE
vpdn group VNPRO request dialout pppoe
Kết hợp username được cung cấp bởi ISP vào VPDN group.
vpdn group VNPRO localname PhamMinhTuan
Chọn giao thức chứng thực
vpdn group VNPRO ppp authentication pap
Tạo username và password cho kết nối PPPoE
vpdn username PhamMinhTuan password *********
Cấu hình PPPoE trên ASA firewall
PPPoE (Point-to-Point Protocol over Ethernet): là sự kết hợp giữa hai chuẩn được sử dụng rộng rãi là PPP và Ethernet, mục đích là vừa có thể chứng thực mà cũng có thể cấp IP cho client. PPPoE client được kết nối đến ISP qua đường truyền băng thông rộng như DSL, truyền hình cáp.
PPPoE cho phép ISP sẽ gắn IP cho client khi họ đã được chứng thực.
PPPoE khi chạy sẽ gồm 2 bước chính:
B1: Active Discovery Phase, PPPoE client xác định và truy cập BRAS
B2: PPP Session Phase, dùng giao thức PPP để chứng thực (PAP hoặc CHAP). Sau khi hoàn tất PPPoE sẽ hoạt động chức năng đóng gói trên layer 2 (cho phép data được trao đổi trên PPP link dựa vào header PPPoE).
Chú ý: PPPoE không hỗ trợ Failover khi cấu hình PPPoE trong firewall ASA trong chế độ multicontext, hoặc transparent. PPPoE chỉ hoạt động ở chế độ đơn, routed mà không có failover.
Lab mô phỏng
asa#show running−config
ASA Version 8.0(2)
!
hostname asa
!
interface Ethernet0/0
nameif dmz
security−level 50
ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
nameif outside
security−level 0
Chỉ ra tên nhóm vpdn cho PPPoE client
pppoe client vpdn group VNPRO
Bật PPPoE trên Interface.
Nếu có thêm từ khóa setroute "ip address pppoe [setroute]". Setroute sẽ giúp đẩy default-route xuống PPPoE client nếu nó chưa tồn tại.
Không cần kết hợp với DHCP để cung cấp IP cho PPPoE client vì giao thức PPP đã làm việc này.
ip address pppoe
!
interface Ethernet0/2
nameif inside
security−level 100
ip address 10.10.10.1 255.255.255.0
!
access−list 100 extended permit ip any any
access−list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0
mtu dmz 1500
The maximum transmission unit (MTU): kích cỡ MTU được tự động thiết lập lài thành 1492 bytes, giá trị này sẽ cho phép PPPoE được truyền trên Frame Ethernet.
mtu outside 1492
mtu inside 1500
global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0
telnet timeout 5 ssh timeout 5 console timeout 0
Định nghĩa VPDN group cho PPPoE
vpdn group VNPRO request dialout pppoe
Kết hợp username được cung cấp bởi ISP vào VPDN group.
vpdn group VNPRO localname PhamMinhTuan
Chọn giao thức chứng thực
vpdn group VNPRO ppp authentication pap
Tạo username và password cho kết nối PPPoE
vpdn username PhamMinhTuan password *********
bạn có thể chỉ cho tôi cách cấu hình pppoe ASA trên GNS3
Trả lờiXóa