Cisco ASA [Lab 4.1] Configure PPPoE on ASA 5525

thanhdc · Aug 18, 2014

Lab configure pppoe asa 5525

I. Sơ đồ mạng:
1. Sơ đồ Lab configure pppoe asa 5525

2. Yêu cầu:

Cấu hình PPPoE để kết nối được với ISP. Sử dụng IP tĩnh 123.30.40.58 để gán cho Interface kết nối trực tiếp tới ISP
Cấu hình các thông số mạng cơ bản (IP, Network Object, Access-List, Access-Group)
Cấu hình NAT(inside,outside) để bên trong nội bộ truy cập ra ngoài.
Cấu hình NAT(dmz,outside) để public website, khi bên ngoài truy cập http vào địa chỉ 123.30.40.59 thì sẽ vào được server website 192.168.2.20 đặt ở DMZ.

II. Triển khai Lab configure pppoe asa 5525

1. Cấu hình PPPoE ASA 5525
- B1. Định nghĩa các thông số cần thiết

Code:

ciscoasa(config)#vpdn group FTP-DIALER-GROUP request dialout pppoe
ciscoasa(config)#vpdn group FTP-DIALER-GROUP localname sgfdl-111111-222
ciscoasa(config)#vpdn group FTP-DIALER-GROUP ppp authentication chap
ciscoasa(config)#vpdn username sgfdl-111111-222 password d111111222 store-local

B2. Gán các thông số vừa tạo ở B1 cho Interface kết nối với ISP

Code:

ciscoasa(config)#interface GigabitEthernet0
ciscoasa(config-if)#pppoe client vpdn group FTP-DIALER-GROUP

B3. Kích hoạt
- TH1: Nhận IP động từ ISP

Code:

ciscoasa(config#interface GigabitEthernet0
ciscoasa(config-if)#ip address pppoe setroute

- TH2: Đặt IP tĩnh (vd bạn mua 1 dãy IP 123.30.40.56/29 từ ISP).

Bạn sử dụng các địa chỉ IP từ 123.30.40.58 đến 123.30.40.62, địa chỉ IP 123.30.40.57 được ISP sử dụng gán cho Interface mà kết nối trực tiếp đến outside network của bạn.
VD: 123.30.40.58 gán cho Interface g0 trên ASA
123.30.40.59 sử dụng làm IP public cho server web, khi bên ngoài truy cập http vào địa chỉ 123.30.40.59 thì ASA sẽ chuyển đến server web 192.168.2.20 được đặt ở vùng DMZ.

Code:

ciscoasa(config#interface GigabitEthernet0
ciscoasa(config-if)#ip address 123.30.40.58 255.255.255.248 pppoe setroute

- Tham số setroute sẽ tự động thiết lập đường default route cho bạn:

Code:

ciscoasa# show route

C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
[COLOR=#FF0000]S* 0.0.0.0 0.0.0.0 [1/0] via 123.30.40.57, outside[/COLOR]

2. Các thông số cấu hình mạng cơ bản như sau:

Code:

ciscoasa# show running-config [B]ip[/B]
    !
    interface GigabitEthernet0
     nameif outside
     security-level 0
     ip address 123.30.40.58 255.255.255.255 pppoe setroute
    !
    interface GigabitEthernet1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0
    !
    interface GigabitEthernet2
     nameif dmz
     security-level 70
     ip address 192.168.2.1 255.255.255.0
    !

Code:

ciscoasa# show running-config [B]object[/B]
    object network WWW-SERVER
     host 192.168.2.20
    object network WWW-SERVER-external-ip
     host 123.30.40.59
    object network INSIDE-SUBNET
     subnet 192.168.1.0 255.255.255.0
    object network DMZ-SUBNET
     subnet 192.168.2.0 255.255.255.0

Code:

ciscoasa# show running-config [B]access-list[/B]
    access-list Outside_access_in extended permit icmp any any
    access-list Outside_access_in extended permit tcp any object WWW-SERVER eq www
    access-list Outside_access_in extended permit tcp any object WWW-SERVER eq telnet

Code:

ciscoasa# show running-config [B]access-group[/B]
    access-group Outside_access_in in interface outside

3. Thông số cấu hình NAT:

Code:

ciscoasa# show running-config [B]nat[/B]
    object network INSIDE-SUBNET
     nat (inside,outside) dynamic interface
    object network WWW-SERVER
     nat (dmz,outside) static WWW-SERVER-external-ip

nguyenloc · Dec 19, 2014

chào bạn,

với cấu hình như thế bạn có thể ping google từ ip 192.168.0.1 không ?

root · Dec 19, 2014

Hi bạn,

Đã test trên ASA ảo (cắm thẳng đường FTTH ở nhà vào ASA trên GNS3 chạy ok) và cả ASA thật (rút đường FTTH của VNPT trên con draytek và cắm thẳng vào cổng outside của ASA) tất cả đều chạy nhé bạn.

nguyenloc · Dec 20, 2014

chào bạn,

bạn có thể chỉ tôi cách cấu hình FTTH vào ASA với PPPOE trên GNS3 được không ?. vì tôi cũng mới dùng GNS3 thôi.

tôi có cấu hình này trên ASA thật, bạn góp ý xem lý do nào tôi không thể ping ra ngoài : google, yahoo. tôi vào internet bình thường.

interface:
interface Ethernet0/0
nameif outside
security-level 0
pppoe client vpdn group MYGROUP
ip address pppoe setroute
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
dns domain-lookup outside
dns server-group DefaultDNS
name-server 208.67.222.222
domain-name mydomain.com
access-list OUT-IN extended permit icmp any any echo-reply
access-list IN-OUT extended permit ip 192.168.1.0 255.255.255.0 any
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 192.168.1.0 255.255.255.0
static (inside,outside) tcp interface www 192.168.1.2 www netmask 255.255.255.255
access-group OUT-IN in interface outside
access-group IN-OUT in interface inside

vpdn group MYGROUP request dialout pppoe
vpdn group MYGROUP localname HOME
vpdn group MYGROUP ppp authentication pap
vpdn username test password viettel store-local
threat-detection basic-threat
threat-detection scanning-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
wins-server value 192.168.1.1
dns-server value 192.168.1.1

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect icmp
inspect pptp
inspect icmp error
policy-map pptp_policy
!
service-policy global_policy global
service-policy pptp_policy interface outside
:end

cảm ơn bạn,

root · Dec 20, 2014

hi bạn,

Bạn có thể show cho mình các lệnh sau không

1. Show route
2. bạn ping ra 8.8.8.8 báo lỗi gì ? sau đó bạn thử traceroute 8.8.8.8 thử nhé ?
3. bạn dùng client bên trong ping 8.8.8.8 và show xlate cho mình nhé

- Còn nếu muốn làm lab ASA pppoe trên GNS3 có 2 cách
1. tạo 1 Router làm ISP và cấu hình pppoe
2. Nếu nhà có đường internet FTTH or ADSL có thể đưa modum về chế độ bridge để thử nhé!

Thanks,

jamid123 · Apr 5, 2015

như mình có 1 ip tĩnh do ISP cấp cấu hình PPPOE cho interface outside thì được cấp 113.163.222.12x 255.255.255.255. Rồi mình thực hiện publish web bằng địa chỉ ip publish (113.163.222.12x) thì nó báo trùng với interface outside vậy phải làm sao?

dell6400note · Apr 6, 2015

jamid123 said:
như mình có 1 ip tĩnh do ISP cấp cấu hình PPPOE cho interface outside thì được cấp 113.163.222.12x 255.255.255.255. Rồi mình thực hiện publish web bằng địa chỉ ip publish (113.163.222.12x) thì nó báo trùng với interface outside vậy phải làm sao?

Ở trên là người dùng có thuê 1 dải IP từ ISP nên cấu hình nat ra với IP nào nằm trong dải đó cũng được (trừ IP đặt cho interface outside). Bạn chỉ có 1IP tĩnh muốn publish web thì nat port 80 ra interface outside là được.

Search

Search

Cisco ASA [Lab 4.1] Configure PPPoE on ASA 5525

thanhdc

Junior – IT Sơ cấp

Lab configure pppoe asa 5525

II. Triển khai Lab configure pppoe asa 5525

Attachments

nguyenloc

Internship/Fresher

root

Leader IT/Architect

nguyenloc

Internship/Fresher

root

Leader IT/Architect

jamid123

Internship/Fresher

dell6400note

Internship/Fresher

Similar Threads