PIX/ASA: PPPoE 클라이언트 컨피그레이션 예

소개

이 문서에서는 버전 7.2.(1) 이상에 대해 PPPoE(Point-to-Point Protocol over Ethernet) 클라이언트로서 ASA/PIX 보안 어플라이언스의 샘플 컨피그레이션을 제공합니다.

PPPoE는 널리 사용되는 두 가지 표준인 이더넷과 PPP를 결합하여 클라이언트 시스템에 IP 주소를 할당하는 인증된 방법을 제공합니다. PPPoE 클라이언트는 일반적으로 DSL 또는 케이블 서비스와 같은 원격 광대역 연결을 통해 ISP에 연결된 개인용 컴퓨터입니다. ISP는 고객이 사용하기 쉽고 기존 원격 액세스 인프라를 사용하여 고속 광대역 액세스를 지원하기 때문에 PPPoE를 구축합니다.

PPPoE는 PPPoE 네트워크의 인증 방법을 채택하는 표준 방법을 제공합니다. ISP에서 사용할 경우 PPPoE는 인증된 IP 주소 할당을 허용합니다. 이러한 유형의 구현에서 PPPoE 클라이언트 및 서버는 DSL 또는 기타 광대역 연결을 통해 실행되는 레이어 2 브리징 프로토콜에 의해 상호 연결됩니다.

PPPoE는 두 가지 주요 단계로 구성됩니다.

• Active Discovery Phase(활성 검색 단계) - 이 단계에서 PPPoE 클라이언트는 액세스 집중장치라고 하는 PPPoE 서버를 찾습니다. 여기서 세션 ID가 할당되고 PPPoE 계층이 설정됩니다

• PPP Session Phase(PPP 세션 단계) - 이 단계에서는 PPP(Point-to-Point Protocol) 옵션이 협상되고 인증이 수행됩니다. 링크 설정이 완료되면 PPPoE는 레이어 2 캡슐화 방법으로 작동하여 PPPoE 헤더 내의 PPP 링크를 통해 데이터를 전송할 수 있습니다.

시스템 초기화 시 PPPoE 클라이언트는 액세스 집중장치와의 세션을 설정하기 위해 일련의 패킷을 교환합니다. 세션이 설정되면 PAP(Password Authentication Protocol)를 인증에 사용하는 PPP 링크가 설정됩니다. PPP 세션이 설정되면 각 패킷은 PPPoE 및 PPP 헤더에서 캡슐화됩니다.

참고: PPPoE는 Adaptive Security Appliance에서, 또는 다중 컨텍스트 또는 투명 모드에서 장애 조치가 구성된 경우 지원되지 않습니다. PPPoE는 장애 조치 없이 단일 라우팅 모드에서만 지원됩니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 Cisco ASA(Adaptive Security Appliance) 버전 8.x 이상을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 컨피그레이션은 버전 7.2(1) 이상을 실행하는 Cisco PIX 500 Series Security Appliance에서도 사용할 수 있습니다. Cisco Secure PIX Firewall에서 PPPoE 클라이언트를 구성하기 위해 PIX OS 버전 6.2는 이 기능을 도입했으며 로우엔드 PIX(501/506)를 대상으로 합니다. 자세한 내용은 Cisco Secure PIX Firewall에서 PPPoE 클라이언트 구성을 참조하십시오

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에서는 이 문서에서 설명하는 기능을 구성하는 데 필요한 정보를 제공합니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

CLI 컨피그레이션

이 문서에서는 다음 설정을 사용합니다.

ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif dmz
 security-level 50
 ip address 10.77.241.111 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0

!--- Specify a VPDN group for the PPPoE client 

 pppoe client vpdn group CHN

 !--- "ip address pppoe [setroute]" !--- The setroute option sets the default routes when the PPPoE client has !--- not yet established a connection. When you use the setroute option, you !--- cannot use a statically defined route in the configuration. !--- PPPoE is not supported in conjunction with DHCP because with PPPoE !--- the IP address is assigned by PPP. The setroute option causes a default !--- route to be created if no default route exists. !--- Enter the ip address pppoe command in order to enable the !--- PPPoE client from interface configuration mode. 

 ip address pppoe
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.
20.10.0 255.255.255.0 inactive
pager lines 24
mtu dmz 1500

!--- The maximum transmission unit (MTU) size is automatically set to 1492 bytes, !--- which is the correct value to allow PPPoE transmission within an Ethernet frame. 

mtu outside 1492
mtu inside 1500


!--- Output suppressed.


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!--- The NAT statements above are for ASA version 8.2 and earlier. !--- For ASA versions 8.3 and later the NAT statements are modified as follows.

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface


!--- Output suppressed.


telnet timeout 5
ssh timeout 5
console timeout 0

!--- Define the VPDN group to be used for PPPoE.

vpdn group CHN request dialout pppoe

!--- Associate the user name assigned by your ISP to the VPDN group.

vpdn group CHN localname cisco

!--- If your ISP requires authentication, select an authentication protocol.
 
vpdn group CHN ppp authentication pap

!--- Create a user name and password for the PPPoE connection.

vpdn username cisco password *********


threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
prompt hostname context
Cryptochecksum:3cf813b751fe78474dfb1d61bb88a133
: end
ciscoasa#

ASDM 컨피그레이션

Adaptive Security Appliance와 함께 제공되는 PPPoE 클라이언트를 구성하려면 다음 단계를 완료하십시오.

참고: ASDM에서 ASA를 구성하도록 허용하려면 ASDM에 대한 HTTPS 액세스 허용을 참조하십시오.

1. ASA에서 ASDM에 액세스합니다.

   브라우저를 열고 https:// <ASDM_ASA_IP_ADDRESS>를 입력합니다.

   여기서 ASDM_ASA_IP_ADDRESS는 ASDM 액세스를 위해 구성된 ASA 인터페이스의 IP 주소입니다.

   참고: 브라우저에서 SSL 인증서 신뢰성과 관련된 경고를 승인해야 합니다. 기본 사용자 이름과 암호는 모두 비어 있습니다.

   ASA는 ASDM 애플리케이션을 다운로드할 수 있도록 이 창을 표시합니다. 이 예에서는 응용 프로그램을 로컬 컴퓨터로 로드하며 Java 애플릿에서 실행되지 않습니다.

   

2. ASDM 애플리케이션의 설치 프로그램을 다운로드하려면 Download ASDM Launcher and Start ASDM(ASDM 시작 및 ASDM 다운로드)을 클릭합니다.

3. ASDM Launcher가 다운로드되면 프롬프트에서 지시하는 단계를 완료하여 소프트웨어를 설치하고 Cisco ASDM Launcher를 실행합니다.

4. http - 명령으로 구성한 인터페이스의 IP 주소와 사용자 이름 및 비밀번호를 지정한 경우 입력합니다.

   이 예에서는 사용자 이름에 cisco123을 사용하고 비밀번호로 cisco123을 사용합니다.

   

5. Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Interfaces(인터페이스)를 선택하고 외부 인터페이스를 강조 표시한 다음 Edit(편집)를 클릭합니다.

   

6. Interface Name(인터페이스 이름) 필드에 outside를 입력하고 Enable Interface(인터페이스 활성화) 확인란을 선택합니다.

7. IP Address(IP 주소) 영역에서 Use PPPoE(PPPoE 사용) 라디오 버튼을 클릭합니다.

8. 그룹 이름, PPPoE 사용자 이름 및 비밀번호를 입력하고 적절한 PPP 인증 유형(PAP, CHAP 또는 MSCHAP) 라디오 버튼을 클릭합니다.

   

9. Advanced(고급) 탭을 클릭하고 MTU 크기가 1492로 설정되어 있는지 확인합니다.

   참고: MTU(Maximum Transmission Unit) 크기는 자동으로 1492바이트로 설정되며, 이는 이더넷 프레임 내에서 PPPoE 전송을 허용하는 올바른 값입니다.

   

10. OK(확인)를 클릭하여 계속합니다.

11. 입력한 정보가 올바른지 확인하고 Apply(적용)를 클릭합니다.

    

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

• show ip address outside pppoe - 현재 PPPoE 클라이언트 컨피그레이션 정보를 표시하려면 이 명령을 사용합니다.

• show vpdn session [l2tp] | pppoe] [id sess_id | 패킷 | 상태 | window] - PPPoE 세션의 상태를 보려면 이 명령을 사용합니다.

다음 예에서는 이 명령에서 제공하는 정보 샘플을 보여 줍니다.

hostname#show vpdn
Tunnel id 0, 1 active sessions
     time since change 65862 secs
     Remote Internet Address 10.0.0.1
    Local Internet Address 199.99.99.3
     6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
     Session state is SESSION_UP
       Time since event change 65865 secs, interface outside
       PPP interface id is 1
       6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
  Session state is SESSION_UP
    Time since event change 65887 secs, interface outside
    PPP interface id is 1
    6 packets sent, 6 received, 84 bytes sent, 0 received

hostname#show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
   time since change 65901 secs
   Remote Internet Address 10.0.0.1
   Local Internet Address 199.99.99.3
   6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

컨피그레이션 지우기

컨피그레이션에서 모든 vpdn group 명령을 제거하려면 글로벌 컨피그레이션 모드에서 clear configure vpdn group 명령을 사용합니다.

hostname(config)#clear configure vpdn group

모든 vpdn username 명령을 제거하려면 clear configure vpdn username 명령을 사용합니다.

hostname(config)#clear configure vpdn username

참고: 이러한 명령은 활성 PPPoE 연결에는 영향을 미치지 않습니다.

문제 해결

트러블슈팅 명령

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

참고: debug 명령을 사용하기 전에 Debug 명령에 대한 중요 정보를 참조하십시오.

• hostname# [no] debug pppoe {event | 오류 | packet} - PPPoE 클라이언트에 대한 디버깅을 활성화하거나 비활성화하려면 이 명령을 사용합니다.

서브넷 마스크는 /32로 표시됩니다.

문제

IP address x.x.x.x 255.255.255.240 pppoe setroute 명령을 사용할 때 IP 주소가 올바르게 할당되지만, 명령에서 /28로 지정되더라도 서브넷 마스크는 /32로 나타납니다. 왜 이런 일이 일어나죠?

솔루션

이는 올바른 동작입니다. 서브넷 마스크는 PPPoe 인터페이스의 경우 관련이 없습니다. ASA는 항상 /32로 변경합니다.

관련 정보

• Cisco ASA 5500 Series Adaptive Security Appliance
• 비 Cisco DSL CPE에 연결하기 위해 Cisco 2600에서 PPPoE 클라이언트 구성
• Cisco Adaptive Security Device Manager
• 기술 지원 및 문서 − Cisco Systems