rc.init
(config)#interface Dialer 0
(config-if)#description -=ISP Name=-
(config-if)#ip address negotiated
(config-if)#ip mtu 1492
(config-if)#encapsulation ppp
(config-if)#dialer pool 1
(config-if)#ppp authentication chap callin
(config-if)#ppp chap hostname username
(config-if)#ppp chap password userpassword
Вот такие минимальные настройки для виртуального интерфейса Dialer, чтобы он смог поднимать соединение с интернет пройвадером по протоколу PPPoE. Теперь я расскажу что каждая из этих строчек означает, чтобы было понятно для чего они нужны и чтобы Вы бездумно не делали copy-paste.
description — из названия уже понятно, что это описание. Я привык всем интерфейсам на оборудование делать описание, для того чтобы было понятно что находится за этим интерфейсом или же в каком он состоянии. У меня на работе принято в описание интерфейса прописывать IP адрес клиента или же название оборудования, которое висит на этом интерфейсе. Вышедшем из строя портам я даю описание -=Bad Port=-. Старайтесь и не ленитесь давать описания портам т.к. эта наглядная информация будет удобна например при просмотре портов по команде show interfaces status.
ip address negotiated — это команда указывает, что IP адрес этому интерфейсу выдаст DHCP интернет провайдера.
ip mtu 1492 — здесь задается максимально допустимый размер Ethernet пакета в 1492 байта. Сам Ethernet пакет не может превышать 1500 байт. Заголовок PPP занимает 8 байт. Таким образом, при использование PPPoE, Ethernet пакеты больше 1492 байта будут отбрасываться. Так вот чтобы этого не происходило мы и указываем размер Ethernet пакета равным 1492 байта.
encapsulation ppp — эта строка задает тип инкапсуляции. Инкапсуляция — это метод согласования транспортных протоколов. При инкапцуляции фреймы одного протокола запаковываются в фреймы другого протокола. Так как нам необходимо фреймы протокола Ethernet на нашем маршрутизаторе на интерфейсе Dialer 0 передавать и принимать по протоколу PPPoE, то мы указываем тип инкапцуляции ppp. PPPoE является подвидом протокола PPP, поэтому указывается тип инкапсуляции ppp.
dialer pool 1 — тут задается номер пула, к которому будет принадлежать интерфейс Dialer 0.
ppp authentication chap callin — данная строка указывает тип протокола аутентификации. В данном случае устанавливается аутентификация по протоколу CHAP. Этот протокол аутентификации надежнее чем PAP, т.к. по протоколу CHAP пароль передается в зашифрованом виде. Опция callin говорит, что авторизоваться на сервере провайдера будет только наш маршрутизатор и авторизоваться серверу интернет провайдера на нашем маршрутизаторе нет необходимости.
ppp chap hostname username — указываем логин (username) для аутентификации по протоколу CHAP, выданный интернет провайдером.
ppp chap password userpassword — указываем пароль (userpassword) для аутентификации по протоколу CHAP, выданный интернет провайдером.
Если же Ваш интернет провайдер использует PAP протокол для аутентификации, то настройка аутентификации будет выглядеть вот так:
(config-if)#ppp authentication pap callin
(config-if)#ppp pap sent-username username password userpassword
Настройка WAN интерфейса
Переходим к настройке физического интерфеса:
(config)#interface FastEthernet 8
(config-if)#description -=Internet=-
(config-if)#no ip address
(config-if)#pppoe enable
(config-if)#pppoe-client dial-pool-number 1
no ip address — указываем, что данный интерфейс не будет иметь IP адрес.
pppoe enable — включаем протокол pppoe на интерфейсе. После выполнения данной команды строка будет иметь вид pppoe enable group global.
pppoe-client dial-pool-number 1 — прописываем номер пула, который необходимо повесить на данный интерфейс. Напомню, что на интерфейсе Dialer 0 мы указали dialer pool 1.
Ну что же минимальные настройки интерфейсов мы прописали. Теперь соединение по протоколу PPPoE уже должно подняться. Чтобы это посмотреть нужно ввести команду show interfaces dialer0. Если все будет настроено верно и до оборудования интернет провайдера будет связь, то интерфейс Dialer 0 получит IP адрес от интернет провайдера, а также Dialer 0 будет привязан к виртуальному интерфейсу Virtual-AccessX. Также можно будет посмотреть информацию о pppoe сессии командой show pppoe session. Можно еще посмотреть маршруты show ip route. В информации маршрутов можно будет увидеть что-то вроде этого:
C 10.10.10.10 is directly connected, Dialer0
C 185.86.0.0/32 is subnetted, 1 subnets
C 185.86.121.206 is directly connected, Dialer0
C 192.168.10.0/24 is variably subnetted, 5 subnets, 2 masks
Настройка NAT
У меня схема подключения к интернет провайдеру простая. Между провайдером и локальной сетью установлен маршрутизатор. Провайдер выдает мне IP адрес динамически, а хостов за маршрутизатором в локальной сети больше 2-ух. И чтобы все эти хосты могли иметь доступ в Интернет с одного IP адреса, выданного провайдером, на маршрутизаторе необходимо поднять NAT и указать внутрение и внешний интерфейсы. В качестве внешнего интерфейса я назначу Dialer 0. И поэтому в конфигурацию Dialer 0 я добавлю строку ip nat outside. В качестве внутреннего интерфеса NAT можно указать определенные интерфейсы куда будут подключаться хосты. В конфигурацию данных интерфейсов будет необходимо добавить строчку ip nat inside. Я же в качестве внутреннего интерфейса NAT указал интерфейс Vlan, а те порты которые будут иметь доступ в Интернет перевел в соответветствующий Vlan. Вот как это выглядит:
(config)#interface Vlan 10
(config-if)#ip address 192.168.10.1 255.255.255.240
(config-if)#ip nat inside
(config)#interface FastEthernet 1
(config-if)#switchport access vlan 10
В конфигурацию интерфейса, который будет Вами указан в качестве внешнего, автоматически добавится строка ip virtual-reassembly in.
Настройка списка доступа
После выполненных настроек интерфейсов дальше приступаем к созданию списка доступа, чтобы хосты за маршрутизатором имели доступ в Интернет. Для более быстрого доступа или же если Вы не хотите практически никак фильтровать трафик, то вполне достаточно создать простой список и применить его к NAT на интерфейсе Dialer 0.
(config)#ip access-list standard 1
(config-std-nacl)#permit 192.168.10.0 0.0.0.15
(config)#ip nat inside source list 1 interface Dialer0 overload
ip access-list standard 1 — создает стандартный список доступа под номером 1.
permit 192.168.10.0 0.0.0.15 — разрешающее правило для сети 192.168.10.0 с маской сети 255.255.255.240. Обратите внимание, что здесь задается обратная маска.
ip nat inside source list 1 interface Dialer0 overload — эта команда настраивает NAT для перегрузки по адресу, присвоенному интерфейсу Dialer 0. Причем команда inside source list 1 указывает, что преобразование исходных адресов необходимо проводить для тех которые указаны в списке доступа 1. Опция overload указывает на то, что трансляция будет перегружена. Перегрузка трансляции адресов позволяет нескольким внутренним хостам транслироваться на один и тот же IP-адрес. В нашем случае это актуально т.к. Интернет провайдер нам не предоставлет пул статических внешних IP-адресов.
Для более тщательной фильтрации трафика от локальных хостов в Интернет лучше воспользоваться расширенным списком доступа, где можно будет указывать тип протокола, порт назначения и многое другое. О настройке таких списков доступа выходят за рамки данной заметки и поэтому ограничимся простым списком.
Добавление маршрута
Ну что же практически все готово, чтобы можно было локальные хосты выпустить в Интернет. Осталось только прописать маршрут по умолчанию.
(config)#ip route 0.0.0.0 0.0.0.0 Dialer0
Эта строка устанавливает шлюз последней очереди. Все пакеты для адресованных сетей, не описанных явным образом в таблице маршрутизации, маршрутизатор будет направлять на интерфейс Dialer 0. Если после прописанного маршрута ввести команду show ip route, то в таблице маршрутизации должен появиться статический маршрут.
S* 0.0.0.0 is directly connected, Dialer0
10.0.0.0/32 is subnetted, 1 subnets
На этом настройка маршрутизатора закончена и можно тестировать доступ в Интернет.
P.S. В данной заметке я привел только минимальные настройки маршрутизатора Cisco для доступа в Интернет по протоколу PPPoE. Здесь я не стал затрагивать дополнительные настройки интерфейса Dialer и настройки расширенного списка доступа.
Настройка PPPoE в cisco
Клиенты обнаруживает сервер PPPoE, называемый концентратор доступа. На этом этапе назначаем идентификатор сеанса и устанавливаем уровень PPPoE.
Фаза сессий ГЧП
На этом этапе будут использоваться PPP и выполняется аутентификация. После подключения, PPPoE запускается на 2 уровне.
Пакеты инкапсулирование в наименование PPPoE и передаются по PPP. Чтобы создать PPP проход, вам нужно подготовится интерфейсным dialer — это виртуальный интерфейс особого типа, и именно на нем установлены все параметры PPP. Можно назначить статический IP-адрес на интерфейсе номеронабирателя, однако шаблонная практика заключается в автоматичном получении адреса от поставщик. Как параметры PPP необходимо указать имя пользователя и пароль, метод аутентификации (PAP или CHAP), размер MTU в байтах. Кроме того, интерфейс включен в пул номеронабирателя, номер которого указан на физическом интерфейсе, с которого будет выполняться «набор».
В этом примере мы создали интерфейс номеронабирателя 2, добавив его в пул dialer 1. А на интерфейсе Fa0 / 0, с которого будет происходить соединение, мы включили PPPoE и настроили набор номера с пулом dialer 1, которые включает в себя dialer 2-ой интерфейс . R18(config)#interface dialer 1 R18(config-if)#encapsulation ppp R18(config-if)#ip address negotiated R18(config-if)#ppp chap hostname VladOS R18(config-if)#ppp chap password 123456 R18(config-if)#ip mtu 1492 R18(config-if)#dialer pool 2 R18(config-if)#interface Fa0/1 R18(config-if)#no ip address R18(config-if)#pppoe enable R18(config-if)#pppoe-client dial-pool-number 1
PPPoE клиент — часть 5: Cisco
!
vpdn enable
!
vpdn-group 1
request-dialin
!
!
interface Ethernet0/0
no ip address
no ip mroute-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname pppoeuser
ppp chap password 0 pppoepassword
ppp pap sent-username pppoeuser password 0 pppoepassword
!
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ppp chap hostname pppoeuser — имя пользователя на РРР-сессию(протокол CHAP)
ppp chap password 0 pppoepassword — пароль на РРР-сессию(протокол CHAP)
ppp pap sent-username pppoeuser password 0 pppoepassword — имя пользователя и пароль на РРР-сессию(протокол CHAP)
Рекомендуется использовать CHAP во избежание возможных проблем с кражей авторизационных данных.
При настройке циски с двумя ethernet-интерфейсами столкнулся с проблемой – у клиентов из LAN открывались только некоторые сайты, а в случае с FTP – только список файлов. Например, при подключении telnet-ом на 80-й порт сайта с компьютера из локальной сети страничка не отдавалась (таймаут), то же самое с самой циски работало нормально. Подозрение на непроходимость больших пакетов не подтвердилось – пинги с размером пакетов в 1400 байт проходили нормально.
На сайте компании Циско было найдено описание проблемы:
.
Вкратце проблема из-за несоответствия MTU на компьютерах клиентов и серверов (1500) и на PPPoE-соединении роутера (1492), это приводит к тому, что пакеты от сервера размером больше 1492 байт дропаются, а при отфильтровывании ICMP-сообщений сервер не узнает об убиении его пакетов.
Проблема решилась добавлением одной строки в конфигурацию Cisco 1841:
!
interface Dialer1
ip tcp adjust-mss 1452
! именно 1452, а не 1492
!
- PPPoE клиент — часть 3: Vyatta
- Cisco PPPoE NAS
- PPPoE клиент — часть 1: Windows XP
- PPPoE клиент — часть 2: Ubuntu Linux
- Отладка PPPoE в Cisco
Cisco router и PPPoE
PPPoE комбинирует два широко распространенных стандарта: Ethernet и PPP. Это позволяет использовать аутентификацию для раздачи клиентам IP адресов, что часто используется ISP провайдерами.
PPPoE позволяет использовать стандартный метод аутентификации используя PPP поверх сети Ethernet. Как уже было сказано, PPPoE позволяет аутентифицированную раздачу IP, при этом клиент PPPoE и сервер PPPoE подключены протоколом 2-го уровня над DSL.
Подключение по PPPoE проходи две фазы:
— Active Discovery Phase. Клиент обнаруживает сервер PPPoE, который называется access concentrator. Во время этой фазы назначается Session ID и устанавливается PPPoE layer.
— PPP Session phase. На этой фазе применяются установки PPP и происходит аутентификация. После того как соединение установлено, PPPoE работает на втором уровне. Пакеты инкапсулируются в заголовки PPPoE и передаются по PPP.
Обычно провайдер дает свои клиентам DSL модем, у которого один Ethernet интерфейс подключен к сегменту клиента, а второй интерфейс обеспечивает соединение DSL. Такая идеология ограничивает подключение только одним физическим компьютером у клиента, подключенным к PPPoE.
Мы можем подключить Cisco IOS router к модему и настроить PPPoE Client IOS feature, что позволит подключить к интернет нескольких компьютеров, а также настроить целый ряд разнообразных служб типа NAT, IPSec, DHCP, DNS и т.д.
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default
ip route 0.0.0.0 0.0.0.0 Dialer1
Где:
— GigabitEthernet0/0— физ интерфейс на провайдера.
-Dialer1— Виртуальный интерфейс
— 77896040263 — выданное провайдером Username
— bzBdfVpAWU8 — выданный провайдером пароль
Последняя команда в принципе необязательна, т.к. в этой конфигурации адрес и маршрут получается автоматически.
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1, например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка
show pppoe session
show pppoe summary
show interface dialer 1