Рассмотрим, как настроить маршрутизатор Cisco и межсетевой экран Cisco ASA в качестве клиента PPPoE.
Содержание:
Топология
Исследуемая топология состоит из маршрутизатора Cisco 1941 с образом Cisco IOS Release 15.2 IP Base, Cisco ASA 5505 с встроенным 8-портовым коммутатором с ОС версии 9.2(3). Также в качестве РРРоЕ-сервера используется маршрутизатор MikroTik с соответствующей ОС RouterOS. Допускается использование маршрутизаторов и межсетевых экранов других моделей, а также других версий операционной системы Cisco IOS. В зависимости от модели устройства и версии Cisco IOS, доступные команды и результаты их выполнения могут отличаться от тех, которые показаны в этой статье.
Сценарий
Интернет-провайдеры часто используют протокол PPPoE для передачи данных по каналам DSL своим заказчикам. PPP поддерживает назначение IP-адреса устройству на удаленном терминале канала PPP. Что еще более важно, PPP поддерживает аутентификацию по протоколу CHAP. Интернет-провайдеры могут проверять данные учета, чтобы узнать, был ли оплачен счет клиента, прежде чем позволить ему подключиться к Интернету.
Краткие сведения о технологии PPPoE
PPPoE объединяет два общепринятых стандарта — Ethernet и PPP, для обеспечения аутентифицированного метода назначения IP-адресов клиентским системам. Клиентами PPPoE обычно являются персональные компьютеры, подключенные к провайдеру через удаленное широкополосное соединение, такое как DSL или кабельная служба. Интернет-провайдеры внедряют PPPoE, потому что он поддерживает высокоскоростной широкополосный доступ, используя свою существующую инфраструктуру удаленного доступа, и потому что его проще использовать клиентам.
PPPoE предоставляет стандартные методы аутентификации протокола PPP (Point-to-Point Protocol) по сети Ethernet. При использовании Интернет-провайдерами, PPPoE позволяет назначать IP-адреса с проверкой подлинности.
PPPoE состоит из двух основных этапов:
- Фаза активного обнаружения — на этом этапе клиент PPPoE находит сервер PPPoE, называемый концентратором доступа. Назначается идентификатор сеанса и устанавливается уровень PPPoE.
- Фаза сеанса PPP — на этом этапе согласовываются параметры PPP и выполняется аутентификация. После завершения настройки канала, PPPoE функционирует, как метод инкапсуляции уровня 2, позволяя передавать данные по каналу PPP в заголовках PPPoE.
При инициализации системы, клиент PPPoE устанавливает сеанс с концентратором доступа путем обмена сериями пакетов. Как только сеанс установлен, устанавливается связь PPP, которая включает аутентификацию с использованием протокола PAP (Password Authentication protocol) или CHAP (Challenge Handshake Authentication Protocol). Как только сеанс PPP установлен, каждый пакет инкапсулируется в заголовки PPPoE и PPP.
Задачи
- Настройка маршрутизатора интернет-провайдера.
- Настройка маршрутизатора клиента Edge-1 в качестве РРРоЕ-клиента.
- Настройка Cisco ASA Edge-2 в качестве РРРоЕ-клиента.
Часть 1. Настройка маршрутизатора Интернет-провайдера
В качестве PPPoE-сервера использовался маршрутизатор MikroTik. Ниже приведены настройки PPPoE-сервера.
Создание PPPoE-сервера:
Настройка PPPoE-сервиса:
Настройка логина и пароля для PPPoE-клиентов:
Настройка PPPoE-профиля:
Настройка пула DHCP для PPPoE-клиентов:
Часть 2. Настройка маршрутизатора клиента Edge-1 в качестве РРРоЕ-клиента
Перед тем как приступить к настройкам клиента PPPoE, у провайдера необходимо получить следующие данные:
- логин (username);
- пароль (password);
- детали адресной информации (статический IP-адрес, если вы его купили у провайдера, и соответственно адрес шлюза по умолчанию; либо вы получаете эти данные по DHCP от PPPoE-сервера);
- метод аутентификации (CHAP, MSCHAP или PAP).
Настроим интерфейс G0/1 для подключения по протоколу PPPoE.
Свяжем интерфейс Gi0/1 с интерфейсом номеронабирателя. Используем имя пользователя pppoe_user и пароль pppoe_pass, настроенные в части 1.
Настроим статический маршрут по умолчанию на интерфейс номеронабирателя.
Настроим отладку на маршрутизаторе Edge-1 для отображения согласования PPP и PPPoE.
Теперь включим интерфейс Gi0/1 на маршрутизаторе Edge-1 и посмотрим как работает PPPoE.
Команды проверки настроек:
Часть 3. Настройка Cisco ASA Edge-2 в качестве РРРоЕ-клиента
Чтобы настроить имя пользователя и пароль, используемые для аутентификации Cisco ASA на концентраторе доступа, применяем команду vpdn. Чтобы использовать команду vpdn, сначала определим группу VPDN (Virtual Private Dial-up Network), а затем создадим отдельных пользователей в группе.
Применим группу VPDN к интерфейсу (или интерфейсу VLAN, в нашем случае мы используем ASA5505), затем настроим получение IP-адреса по DHCP:
Настроим отладку на межсетевом экране Edge-2 для отображения согласования PPP и PPPoE:
Команды проверки настроек:
Включим физический интерфейс и посмотрим как будет работать PPPoE.
Выводы
Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как настроить маршрутизатор Cisco / Cisco ASA в качестве клиента PPPoE.
Читайте также о сетевых мостах в Дебиан.
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.