Cấu hình PPPoE: PPP over Ethernet là một sự phát triển dựa trên kỹ thuật PPP truyền thống.. PPPoE cung cấp khả năng kết nối nhiều host trong mạng qua một thiết bị chuyển mạch vào một DS
Trang 1line aux 0
line vty 0 4
end
Thực hiện:
1 Cấu hình PPPoE:
PPP over Ethernet là một sự phát triển dựa trên kỹ thuật PPP truyền thống PPPoE cung cấp khả năng kết nối nhiều host trong mạng qua một thiết bị chuyển mạch vào một DSLAM, để cung cấp một kết nối PPPoE, mỗi phiên PPP phải học địa chỉ Ethernet của remote peer và thiết lập một danh định duy nhất PPPoE gồm 2 pha: Discovery và Session:
· Discovery: khi một router muốn khởi tạo 1 phiên PPPoE, nó phải xác định địa chỉ MAC của thiết bị bên kia (Lát nửa debug sẽ cho thấy điều này)
và thiết lập một PPPoE Session-ID Trong quá trình này, CPE sẽ tìm các DSLAM và chọn một cái để sử dụng Khi quá trình này chấm dứt, cả CPE
và DSLAM đều sẽ có thông tin mà nó sử dụng để xây dựng kết nối PPPoE Khi PPPsession được thiết lập thì cả CPE và DSLAM sẽ phải phân phát tài nguyên của mình cho một PPP virtual interface
· Session: khi được thiết lập thì dữ liệu sẽ được gửi
Để cấu hình, ta thực hiện các bước sau:
PPPoE server(R1):
R1(config)#vpdn enable ßbật PPPoE
R1(config)#vpdn-group 1
R1(config-vpdn)#accept-dialin ßxác định đây là PPPoE server
R1(config-vpdn-acc-in)#protocol pppoe
R1(config-vpdn-acc-in)#virtual-template 1 ßsử dụng virtual để giao tiếp với client
R1(config-vpdn-acc-in)#exit
R1(config)#int lo1
R1(config-if)#ip add 203.162.3.2 255.255.255.255
R1(config-if)#int e0/0
R1(config-if)#pppoe enable ßbật PPPoE trên interface kết nối với client R1(config)#int virtual-template 1 ßtạo virtual template
R1(config-if)#ip unnumbered lo1
PPPoE client(R3):
R3(config)#vpdn enable
R3(config)#vpdn-group 1
R3(config-vpdn)#request-dialin ßxác định PPPoE client
R3(config-vpdn-req-in)#protocol pppoe
R3(config)#int e0/0
R3(config-if)#pppoe enable ßbật PPPoE trên interface nối với server
Trang 2R3(config-if)#pppoe-client dial-pool-number 1 ßsử dụng dialer 1 để giao tiếp với server
R3(config-if)#exit
R3(config)#int dialer 1
R3(config-if)#mtu 1492
R3(config-if)#ip add 203.162.3.1 255.255.255.0
R3(config-if)#ip nat outside
R3(config-if)#encapsulation ppp
R3(config-if)#dialer pool 1
R3(config-if)#dialer-group 1
R3(config-if)#exit
R3(config)#dialer-list 1 protocol ip permit
2 Cấu hình VPN:
Để thực hiện cấu hình VPN giữa 2 chi nhánh qua môi trường DSL, ta cũng thực hiện tương tự như các bài lab VPN trước:
R2:
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#exit
R2(config)#crypto isakmp key cisco address 203.162.3.1
R2(config)#crypto ipsec transform-set vnpro esp-des
R2(cfg-crypto-trans)#exit
R2(config)#crypto map lee 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured
R2(config-crypto-map)#set peer 203.162.3.1
R2(config-crypto-map)#set transform-set vnpro
R2(config-crypto-map)#match address 120
R2(config-crypto-map)#exit
R2(config)#int s0/0
R2(config-if)#crypto map lee
R2(config)#ip nat inside source route-map nonat interface s0/0 overload
R2(config)#access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 R2(config)#access-list 130 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 R2(config)#access-list 130 permit ip any any
R2(config)#route-map nonat
R2(config-route-map)#match ip address 130
R3:
R3(config)#crypto isakmp policy 10
Trang 3R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#hash md5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key cisco address 203.30.30.2
R3(config)#crypto ipsec transform-set vnpro esp-des
R3(cfg-crypto-trans)#exit
R3(config)#crypto map lee 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured
R3(config-crypto-map)#set peer 203.30.30.2
R3(config-crypto-map)#set transform-set vnpro
R3(config-crypto-map)#match address 120
R3(config-crypto-map)#exit
R3(config)#int dialer 1
R3(config-if)#crypto map lee
R3(config)#ip nat inside source route-map nonat interface dialer 1
overload
R3(config)#access-list 120 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 R3(config)#access-list 130 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 R3(config)#access-list 130 permit ip any any
R3(config)#route-map nonat
R3(config-route-map)#match ip address 130
Kiểm tra:
1 Kiểm tra VPN:
Ta sử dụng các lệnh show để xem thông tin về VPN:
R3:
R3#sh crypto map
Crypto Map "lee" 10 ipsec-isakmp
Peer = 203.30.30.2
Extended IP access list 120
access-list 120 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
Current peer: 203.30.30.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ vnpro, }
Interfaces using crypto map lee:
Virtual-Access1
Dialer1
R3#sh crypto isakmp policy
Protection suite of priority 10
Trang 4encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
R3#sh crypto ipsec transform-set
Transform set vnpro: { esp-des }
will negotiate = { Tunnel, },
R2:
R2#sh crypto isakmp policy
Protection suite of priority 10
encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
R2#sh crypto ipsec transform-set
Transform set vnpro: { esp-des }
will negotiate = { Tunnel, },
R2#sh crypto map
Crypto Map "lee" 10 ipsec-isakmp
Peer = 203.162.3.1
Extended IP access list 120
access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
Current peer: 203.162.3.1
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ vnpro, }
Trang 5Interfaces using crypto map lee:
Serial0/0
Tunnel0
2 Kiểm tra PPPoE:
Ta sử dụng các lệnh show và debug để xem quá trình tạo kết nối và trao đổi dữ liệu như thế nào giữa client và server:
R3#sh int
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is 0005.5e96.2cc0 (bia 0005.5e96.2cc0)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 192/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:41, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
47 packets input, 4752 bytes, 0 no buffer
Received 6 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
317 packets output, 21918 bytes, 0 underruns
251 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
251 lost carrier, 0 no carrier