拓扑
在工作中,外网接入的可能方式是ADSL拨号,虽然看起来很简单,但在这里谈谈Cisco 防火墙ASA以上注意事项及配置。
1、PPPOE配置部分
Router-ASA(config)# vpdn group isp request dialout pppoe Router-ASA(config)# vpdn group isp ppp authentication pap Router-ASA(config)# vpdn username ccieh3c password ccieh3c.com Router-ASA(config)# vpdn group isp localname ccieh3c
注意问题
以上是PAP认证,ASA如果发现账号密码,不支持调用两种方式 接口是正确的,但拨号不能上升,所以可以更换CHAP试试。 vpdn group isp ppp authentication chap
调用到接口
Router-ASA(config)# interface e0 //外网接口 Router-ASA(config-if)# pppoe client vpdn group isp Router-ASA(config-if)# ip address pppoe setroute 【必须敲击此参数,否则将没有默认路由】 Router-ASA(config-if)# no shutdown
3.检查是否正确获取地址和路由
E1.内网接口已经配置好网接口已通过PPPOE获取到的。
已经有路由了。注意如果 ip address pppoe setroute ,没敲setroute的话,那么ASA没有默认路由。
4、NAT配置
Router-ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0 Router-ASA(config)# global (outside) 1 interface Router-ASA(config)# access-list permit-icmp permit icmp any any Router-ASA(config)# access-group permit-icmp in interface outside 注:这里放行ICMP便于测试
5、验证
容易遇到的问题
(1)一些网站或应用程序打开缓慢且无法打开,这很可能是MTU与TCP MSS因此,可以尝试更多的值来达到理想的效果。 Router-pppoe_client(config)#interface dialer 1 Router-pppoe_client(config-if)#ip mtu 1492 //建议范围为10000~1492之间 Router-pppoe_client(config-if)#ip tcp adjust-mss 1420 //范围在1000~1452之间 (2)一些小企业或SOHO水平网络可以申请民用拨号线。此时,您可以先用计算机拨入测试效果,然后发现无法拨入路由器。很可能是运营商绑定了,需要打电话放松。 (3)ADSL私网地址可以分配,所以在申请时需要考虑是否需要做映射服务或一些VPN拨入,申请时需要向对方说明清楚。(包括80端口是否可用)
如果您有任何问题或文章中的错误和疏忽,欢迎留言指出,博客看到后会立即修改。谢谢您的支持。更多的技术文章都在网络之路上Blog(其他平台同名)版权属于网络之路Blog所有,