Cisco router и PPPoE
PPPoE комбинирует два широко распространенных стандарта: Ethernet и PPP. Это позволяет использовать аутентификацию для раздачи клиентам IP адресов, что часто используется ISP провайдерами.
PPPoE позволяет использовать стандартный метод аутентификации используя PPP поверх сети Ethernet. Как уже было сказано, PPPoE позволяет аутентифицированную раздачу IP, при этом клиент PPPoE и сервер PPPoE подключены протоколом 2-го уровня над DSL.
Подключение по PPPoE проходи две фазы:
— Active Discovery Phase. Клиент обнаруживает сервер PPPoE, который называется access concentrator. Во время этой фазы назначается Session ID и устанавливается PPPoE layer.
— PPP Session phase. На этой фазе применяются установки PPP и происходит аутентификация. После того как соединение установлено, PPPoE работает на втором уровне. Пакеты инкапсулируются в заголовки PPPoE и передаются по PPP.
Обычно провайдер дает свои клиентам DSL модем, у которого один Ethernet интерфейс подключен к сегменту клиента, а второй интерфейс обеспечивает соединение DSL. Такая идеология ограничивает подключение только одним физическим компьютером у клиента, подключенным к PPPoE.
Мы можем подключить Cisco IOS router к модему и настроить PPPoE Client IOS feature, что позволит подключить к интернет нескольких компьютеров, а также настроить целый ряд разнообразных служб типа NAT, IPSec, DHCP, DNS и т.д.
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default
ip route 0.0.0.0 0.0.0.0 Dialer1
Где:
— GigabitEthernet0/0— физ интерфейс на провайдера.
-Dialer1— Виртуальный интерфейс
— 77896040263 — выданное провайдером Username
— bzBdfVpAWU8 — выданный провайдером пароль
Последняя команда в принципе необязательна, т.к. в этой конфигурации адрес и маршрут получается автоматически.
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1, например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка
show pppoe session
show pppoe summary
show interface dialer 1
PPPoE клиент — часть 5: Cisco
!
vpdn enable
!
vpdn-group 1
request-dialin
!
!
interface Ethernet0/0
no ip address
no ip mroute-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname pppoeuser
ppp chap password 0 pppoepassword
ppp pap sent-username pppoeuser password 0 pppoepassword
!
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ppp chap hostname pppoeuser — имя пользователя на РРР-сессию(протокол CHAP)
ppp chap password 0 pppoepassword — пароль на РРР-сессию(протокол CHAP)
ppp pap sent-username pppoeuser password 0 pppoepassword — имя пользователя и пароль на РРР-сессию(протокол CHAP)
Рекомендуется использовать CHAP во избежание возможных проблем с кражей авторизационных данных.
При настройке циски с двумя ethernet-интерфейсами столкнулся с проблемой – у клиентов из LAN открывались только некоторые сайты, а в случае с FTP – только список файлов. Например, при подключении telnet-ом на 80-й порт сайта с компьютера из локальной сети страничка не отдавалась (таймаут), то же самое с самой циски работало нормально. Подозрение на непроходимость больших пакетов не подтвердилось – пинги с размером пакетов в 1400 байт проходили нормально.
На сайте компании Циско было найдено описание проблемы:
.
Вкратце проблема из-за несоответствия MTU на компьютерах клиентов и серверов (1500) и на PPPoE-соединении роутера (1492), это приводит к тому, что пакеты от сервера размером больше 1492 байт дропаются, а при отфильтровывании ICMP-сообщений сервер не узнает об убиении его пакетов.
Проблема решилась добавлением одной строки в конфигурацию Cisco 1841:
!
interface Dialer1
ip tcp adjust-mss 1452
! именно 1452, а не 1492
!
- PPPoE клиент — часть 3: Vyatta
- Cisco PPPoE NAS
- PPPoE клиент — часть 1: Windows XP
- PPPoE клиент — часть 2: Ubuntu Linux
- Отладка PPPoE в Cisco
Cisco
1. Кабель, который протянут от провайдера А1, подключаем в cсоответствующий интерфейс, который в последующем будет настроен на получение по DHCP адреса динамически.
2. Подключаемся консольным кабелем к Cisco (консольный порт, как правило выделен синим цветом) и к вашему ПК. Консольный кабель может как быть в комплекте Вашего маршрутизатора либо приобретается дополнительно с учетом формата разъема. Консольный порт может выглядеть так:
3. После того, как Вы подключили кабель, для подключения можно использовать утилиты: Hyperterminal или Putty, если у вас ПК с ОС Windows, и Minicom в Linux.
4. Итак, открываем программу-клиент терминального подключения, например, PuTTY. В программе указываем порт соединения (COM1) и скорость подключения (9600).
Если видим черный экран, мигающий курсор и больше ничего, значит, скорее всего, скорость подключения на роутере выставлена другая. Как правило, это может быть скорость 115200.
5. Обычно при первой настройке может появится окно-диалог, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Вы может ответить путем написания «no» и нажатия Enter (т.е. мы пропускаем эту настройку). После чего мы увидим приглашение: Router>.
6. В роли PPPoE клиента может выступать и маршрутизатор Cisco, что бы его настроить нужно:
a) Создать и настроить интерфейс Dialer:
Router #configure terminal
Router(config-if)# ip address negotiated
Router(config-if)# ip mtu 1492
Router(config-if)# ip nat outside
Router(config-if)# encapsulation ppp
Router(config-if)# dialer pool 1
Router(config-if)# ppp authentication chap callin
Router(config-if)#ppp chap hostname pppoe_user1
Router(config-if)#ppp chap password 0 cisco
b) На интерфейсе, который подключен к сети провайдера А1, задать pppoe-client сопоставленный с созданным выше dialer pool (его мы указали в интерфейсе Dialer1):
Router(config-if)#pppoe-client dial-pool-number 1
c) Задать маршрут по умолчанию через интерфейс Dialer:
Router(config)#ip route 0.0.0.0 0.0.0.0 dialer 1
Пример конфигурации роутера:
Current configuration : 1215 bytes
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
enable secret 5 $1$FOp2$9G9FvXT/lRo1HqKkgwVWv/
clock timezone YST 10
aaa authentication login default local
aaa session-id common
ip domain name test.ru
ip audit po max-events 100
username cisco secret 5 $1$jOx6$M96EAbwK4qcWtGlxHLt3J/
ip address 192.168.56.254 255.255.255.0
pppoe-client dial-pool-number 1
ip address negotiated
ppp authentication chap callin
ppp chap hostname pppoe_user1
ppp chap password 0 cisco
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
access-list 1 permit 192.168.56.0 0.0.0.255
PPPoE (Point-to-point protocol over Ethernet)
PPPoE (англ. Point-to-point protocol over Ethernet) — сетевой протокол канального уровня передачи кадров PPP через Ethernet. В основном используется xDSL-сервисами. Предоставляет дополнительные возможности (аутентификация, сжатие данных, шифрование).
Стандартное MTU протокола ниже (1492 байт), чем на стандартном Ethernet (1500 байт), что иногда вызывает проблемы с плохо настроенными межсетевыми экранами.
PPPoE — это туннелирующий протокол, который позволяет настраивать (или инкапсулировать) IP, или другие протоколы, которые настраиваются на PPP, через соединения Ethernet, но с программными возможностями PPP соединений, и поэтому используется для виртуальных «звонков» на соседнюю Ethernet-машину и устанавливает соединение точка-точка, которое используется для транспортировки IP-пакетов, работающее с возможностями PPP.
Это позволяет применять традиционное PPP-ориентированное ПО для настройки соединения, которое использует не последовательный канал, а пакетно-ориентированную сеть (как Ethernet), чтобы организовать классическое соединение с логином, паролем для Интернет-соединений. Также, IP-адрес по другую сторону соединения назначается только когда PPPoE соединение открыто, позволяя динамическое переиспользование IP адресов.
Настройка PPPoE на маршрутизаторе Cisco
Одним из популярных сопособов подключения среди провайдеров Интернет является — PPPoE (Point-to-Point Protocol over Ethernet). Рассмотрим его настройку на маршрутизаторах Cisco. Данный способ справедлив правктически всех маршрутизаторов с современным IOS.
Итак, в моем случае кабель Ethernet от провайдера подключается к порту GigabitEthernet0/0, а локальная сеть подключена к GigabitEthernet0/1.
Конфигурация порта, подключенного к сети провайдера выглядит следующим обарзом:
| 1 | interface GigabitEthernet0/0 |
| 2 | no ip address |