CẤU HÌNH PPPOE TRÊN CISCO ROUTER
Bài
viết này sẽ hướng mọi người cấu hình quay số xác thực PPPoE với nhà cung cấp
dịch vụ cụ thể là Router ISR 4421 của Cisco
Nhà cung cấp dịch vụ sẽ kéo 1 đường FTTH
tới chỗ bạn, tùy từng gói cước và nhu cầu mà được trang bị modem của nhà mạng
hay là converter. Ở đây mình gắn vào cổng G0/0/0 của router để kết nối tới ISP
(WAN), cổng G0/0/1 sẽ gắn vào switch ( LAN)
IP LAN LOCAL : 172.16.10.0/24 .
Việc đầu tiên là xin username và password xác thực pppoe cái này liên hệ với nhà cung cấp dịch vụ để lấy
Các bước cấu hình ta làm như sau:
B1: Chọn Interface kết nối PPPoE
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#no ip address
Router(config-if)#description Phisycal connected to ISP
Router(config-if)#pppoe-client dial-pool-number 1
Router(config-if)#pppoe enable
Router(config-if)#pppoe enable group global
Router(config-if)#no shutdown
B2: Cấu hình interface quay
số:
Router(config)#interface dialer 0
Router(config-if)#description connected PPPOE ISP
Router(config-if)#ip nat outside
Router(config-if)#ip address negotiated
Router(config-if)#ip mtu 1492
Router(config-if)#encapsulation ppp
Router(config-if)#ip tcp adjust-mss 1452
Router(config-if)#dialer pool 1
Router(config-if)#ppp authentication pap callin
Router(config-if)#ppp pap sent-username user password 0 pass
Router(config-if)#ppp ipcp dns request
Router(config-if)#no shutdown
B3: Tạo default route ra internet
Router(config)#ip route 0.0.0.0 0.0.0.0 dialer 0
B4: Cấu hình LAN Local
Router(config)#interface
gigabitEthernet 0/0/1
Router(config-if)#ip address 172.16.10.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shutdown
B5: Nat các dịch vụ trước khi Overload trên cổng Dialer 0
Lưu ý: khi chúng bật chế độ overload trước khi NAT có thể các port dịch vụ cần NAT được dùng cho các user để ra Internet khi đó sẽ có một cảnh báo port hiện tại đang dùng cho hệ thống,IP phải là IP tĩnh nhé ở đây khi cấu hình xác thực PPPoE thành công thì mình nhận được IP 203.205.57.58 Giả sử ở đây mình NAT ip local 172.16.10.200 port 8000 cho đầu ghi camera mình làm như sau
Router(config)# ip nat inside source static tcp 172.16.10.200 8000 203.205.57.58 8000
B6: Cấu hình một ACL cho phép các IP lan Local ra Internet
Router(config)#access-list 100 permit ip any any
B7: Nat overload trên cổng Dialer0 để mạng LAN ra internet hay còn gọi là PAT
Router(config)#ip nat inside source list 100 interface dialer 0 overload
CẤU HÌNH ACL TRÊN ASA
Khi hạ tầng CNTT doanh nghiệp phát triển và có khả năng tăng trưởng
trong tương lai doanh nghiệp thuê dải ip
công cộng VD 200.1.1.0/24 dànhcho cụm máy chủ web và email ip của web server là
10.0.0.1 được NAT tĩnh với ip public là 200.1.1.2 máy chủ email là 10.0.0.2 được NAT tĩnh với ip public là 200.1.1.3
Bước 1: Cấu
hình ban đầu với các thông số gán cho ASA
ASA(config)#
interface gigabitEthernet 0/0
ASA(config-if)#
nameif outside
ASA(config-if)#
security-level 0
ASA(config-if)#
ip address 200.1.1.254 255.255.255.0
ASA(config-if)#
no shutdown
!
ASA(config)#
interface gigabitEthernet 0/1
ASA(config-if)#
nameif DMZ
ASA(config-if)#
security-level 50
ASA(config-if)#
ip address 172.16.1.254 255.255.255.0
ASA(config-if)#
no shutdown
!
ASA(config)#
interface gigabitEthernet 0/2
ASA(config-if)#
nameif inside
ASA(config-if)#
security-level 100
ASA(config-if)#
ip address 192.168.1.254 255.255.255.0
ASA(config-if)#
no shutdown
!
Bước 2: Cấu
hình default route cho ASA
ASA(config)#
route outside 0.0.0.0 0.0.0.0 200.1.1.1
Bước 3: Cấu
hình NAT tĩnh cho Server
ASA(config)#
object network web_server
ASA(config-network-object)#
host 172.16.1.1
ASA(config-network-object)#
nat (DMZ,outside) static 200.1.1.2
!
ASA(config)#
object network email_server
ASA(config-network-object)#
host 172.16.1.2
ASA(config-network-object)#
nat (DMZ,outside) static 200.1.1.3
!
Bước 4: Mở
port 80 cho máy chủ web và por 25 cho máy chủ mail
ASA(config)#
access-list OUT_DMZ extended permit tcp any host 172.16.1.1 eq 80
ASA(config)#
access-list OUT_DMZ extended permit tcp any host 172.16.1.2 eq 25
ASA(config)#
access-group OUT_DMZ in interface outside
NAT 0
Trong trường hợp doanh nghiệp thuê dải ip công cộng cho cụm máy chủ Web gán trực tiếp trên card mạng của server mà không cần phải dịch địa chỉ cấu hình này được gọi là NAT trong suốt hay NAT 0
ciscoasa(config)# hostname ASA
ASA(config)# interface gigabitEthernet 0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 203.205.57.58 255.255.255.252
!
ASA(config)# interface gigabitEthernet 0/1
ASA(config-if)# nameif DMZ
ASA(config-if)# security-level 50
ASA(config-if)# ip address 200.1.1.1 255.255.255.0
!
ASA(config)# interface gigabitEthernet 0/2
ASA(config-if)# nameif intside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
!
ASA(config)# route outside 0.0.0.0 0.0.0.0 203.205.57.57
!
ASA(config)# object network NAT_0
ASA(config-network-object)# subnet 200.1.1.0
255.255.255.0
!
ASA(config)# object network DMZ_NET
ASA(config-network-object)# subnet 200.1.1.0
255.255.255.0
ASA(config-network-object)# nat (DMZ,outside) static NAT_0
NAT DMZ
Mạng doanh nghiệp đa phần thường có hệ thống máy chủ thường được đặt tại vùng DMZ vị trí mà các Web Server và các Mail Server thường nằm có thể truy cập được từ Internet
Hai máy chủ với IP là 10.10.10.2 và 10.10.10.3 được dịch sang các địa chỉ IP công cộng tương ứng là 200.1.1.10 và 200.1.1.11
Cấu hình trên ASA như sau:
ASA(config)# interface
gigabitEthernet 0/0
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 0
ASA(config-if)# ip address
192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# interface
gigabitEthernet 0/1
ASA(config-if)# nameif DMZ
ASA(config-if)#
security-level 50
ASA(config-if)# ip address
10.10.10.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# interface
gigabitEthernet 0/2
ASA(config-if)# nameif
intside
ASA(config-if)#
security-level 100
ASA(config-if)# ip address
192.168.3.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# route outside
0.0.0.0 0.0.0.0 192.168.1.2
!
ASA(config)# object network WEB_SERVER
ASA(config-network-object)#
host 10.10.10.2
ASA(config-network-object)#
nat (DMZ,outside) static 200.1.1.10
ASA(config)# object network EMAIL_SERVER
ASA(config-network-object)#
host 10.10.10.3
ASA(config-network-object)# nat (DMZ,outside) static 200.1.1.11
CẤU HÌNH PAT
Trong những tình huống thực tế, một doanh nghiệp chỉ nhận được một số giới hạn
một số địa chỉ công cộng từ ISP , trong khi số lượng địa chỉ tin nội bộ là lớn
hơn nhiều.Điều này có nghĩa rằng nếu chúng ta
sử dụng động NAT trong một tình huống như vậy,pool địa chỉ công cộng bên ngoài sẽ bị cạn kiệt rất nhanh khi có nhiều máy chủ nội bộ
truy cập Internet cùng một lúc.
Để khắc phục vấn đề này,
chúng ta có thể sử dụng một “many-to-one” dịch địa chỉ, gọi cũng Port Address Translation (PAT).Sử dụng PAT, nhiều kết
nối từ máy chủ nội bộ khác nhau có thể được ghép trên một địa
chỉ (công cộng) chỉ duy nhất một địa chỉ IP sử dụng số cổng nguồn khác nhau.
VD: khi host bên trong một mạng lan có địa chỉ là 192.168.1.1 kết nối với một máy chủ bên ngoài Internet, tường lửa sẽ dịch địa chỉ nguồn và cổng vào một địa IP công cộng là 203.205.57.58 với cổng nguồn 1023.Tương tự như vậy, người dẫn chương 192.168.1.2 sẽ được dịch một lần nữa với 203.205.57.58 nhưng với một cổng nguồn khác (1024). Một địa chỉ duy nhất PAT có thể hỗ trợ khoảng 64.000 host.
Khi ASA nhận IP DHCP kết nối với ISP cấu hình sẽ như sau:
ciscoasa(config)# hostname ASA
ASA(config)# interface gigabitEthernet 0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address dhcp setrout
ASA(config-if)# no shutdown
!
ASA(config)# interface gigabitEthernet 0/1
ASA(config-if)# nameif intside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# object network LAN
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)# nat (intside,outside) dynamic interface
Trong trường hợp khi doanh nghiệp thuê IP tĩnh từ ISP ở đây giả sử IP là 203.205.57.58 cấu hình sẽ như sau:
ASA(config)# object network LAN
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)# nat (intside,outside) dynamic 203.205.57.58
CẤU HÌNH CƠ BẢN TRÊN ASA
Cisco ASA 5500-X Series Firewalls
Bước 1: cấu hình các tham số tên và cấu hình quản lý truy cập SSH
ASA(config)# hostname ASA
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# ssh 192.168.1.5 255.255.255.255 inside “Chỉ cho phép host có địa chỉ 192.168.1.5 bên trong truy cập ASA”
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# username asa password Cisco123 privilege 15
ASA(config)# enable password Cisco123!
Bước 2: Cấu hình Outside WAN
Interface
ASA(config)# interface
gigabitEthernet 0/0
ASA(config-if)# description
connect to Internet
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 0
ASA(config-if)# ip address
192.168.2.1 255.255.255.0
ASA(config-if)# no shutdown
Bước 3: Cấu hình Inside Lan
Interface
ASA(config)# interface
gigabitEthernet 0/1
ASA(config-if)# description
connect to LAN
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 100
ASA(config-if)# ip address
192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
Bước 4: cấu hình PAT với giao
diện Outside
ASA(config)# nat
(inside,outside) source dynamic any interface
Bước 5: Cấu hình default route
tới ISP
ASA(config)# route outside
0.0.0.0 0.0.0.0 192.168.2.2
Bước 6: trong trường hợp sử dụng
ASA làm máy chủ DHCP cấp cho User LAN
ASA(config)# dhcpd address
192.168.1.10-192.168.1.100 inside
ASA(config)# dhcpd dns
8.8.8.8 8.8.4.4
ASA(config)# dhcpd enable
inside
Bước 7: Cấu hình ACL trên giao diện outside
do mặc định ASA từ chối ICMP cho nên ta tạo ACL để cho phép trả lời gói ICMP trở lại và ghi nhật ký các gói bị từ chối vào tường lửa nhằm phục vụ cho mục đích an ninh
ASA(config)# access-list
outside-intside extended permit icmp any any echo- reply
ASA(config)# access-list
outside-intside extended deny ip any any log
ASA(config)# access-group outside-intside in interface outside
CẤU HÌNH PPPOE TRÊN CISCO ASA
Để cấu hình username và password được sử dụng để xác thực ASA với bộ tập trung truy cập, hãy sử dụng lệnh vpdn. Để sử dụng lệnh vpdn, trước tiên cần xác định một nhóm VPDN và sau đó tạo từng user trong nhóm.
Cần lấy username FTTH và password FTTH được cung cấp từ nhà mạng của bạn
Bước 1 Xác định nhóm VPDN sẽ được sử dụng cho PPPoE bằng lệnh sau:
ASA (config)# vpdn group group_name request dialout pppoe
Bước 2 Nếu ISP yêu cầu xác thực, hãy chọn giao thức xác thực bằng cách nhập lệnh sau:
ASA(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
Bước 3 Liên kết tên người dùng được chỉ định bởi ISP với nhóm VPDN bằng cách nhập lệnh sau:
ASA(config)# vpdn group group_name localname username
Thay thế group_name với tên nhóm và tên người dùng VPDN bằng tên người dùng được chỉ định bởi ISP.
Bước 4 Tạo cặp tên người dùng và mật khẩu cho kết nối PPPoE bằng cách nhập lệnh sau:
ASA(config)# vpdn username username password password store-local
Enabling PPPoE
Bước 1 Kích hoạt ứng dụng khách PPPoE bằng cách nhập lệnh sau từ chế độ cấu hình giao diện:
ASA(config)# interface gigabitethernet 0/0
ASA(config-if)# ip address pppoe setroute
Bước 2 Chỉ định nhóm VPDN cho máy khách PPPoE sử dụng với lệnh sau từ chế độ cấu hình giao diện
ASA(config-if)# pppoe client vpdn group groupname