Détails techniques sur le Support PPPoE

Détails

Informations de base

• RFC1661 et RFC2516 sont pris en charge
• Configuration de l’interface physique par
  • Le nombre maximal d’instances de PPPoE sur un périphérique est le nombre d’interfaces physiques de l’appareil
  • Une seule instance PPPoE peut être configurée sur chaque interface physique
    Remarque: Impossible de configurer PPPoE sur une sous-interface VLAN étiquetée
• Le chemin redondant PPPoE peut être configuré par L'utilisation de plusieurs interfaces physiques
  Remarque: les paramètres PBF (redirection de base de la stratégie) sont nécessaires pour le chemin redondant
• Paramètres d’adresse IP statiques
  • Public static IP adresse de PPPoE paramètres permet d’adresse IP avec masque de 32 bits uniquement
  • Normalement (si il n’y a pas de paramètres SSL-VPN), paramètres de l’adresse IP statique n’est pas nécessaire
• Attribution de plage IP FAI peut être utilisée avec les paramètres NAT
• Négociation de MTU
• Authentification PAP/CHAP

SSL-VPN avec PPPoE

• De l’arrêt de SSL-VPN loopback je / F avec une adresse IP privée adresse via physique je / F avec l’adresse IP attribué par PPPoE
  • Avec le mode SSL, utilisez destination NAT pour le trafic TCP/443 à PAN périphérique afin de se connecter au portail SSL-VPN
  • Avec le mode IPsec, nous ne pouvons pas se connecter au portail SSL-VPN
• De l’arrêt de SSL-VPN physique je / F avec PPPoE adresse IP attribuée
  • Par l’utilisation du paramètre « Adresse IP statique », mode fois IPsec et SSL peut être travaillé
    • Lorsque « IP range » est attribuée par FAI, définissez une adresse IP statique comme adresse IP le plus bas (voir [attribution de plage IP])
  • Il y a 2 options pour terminer SSL-VPN à l’adresse IP attribuée dynamiquement. Dans ce cas, DNS dynamique (DDNS) est généralement utilisé pour fournir le portail URL de SSL-VPN aux clients
    • Utilisez Destination NAT loopback je / F avec une adresse IP privée
    • Avec PAN-OS 3.1.7 plus tard, plage d’adresses IP est assignée, utilisez destination NAT loopback je / F avec une adresse IP disponible à l’adresse IP range (sauf l’adresse IP le plus bas)

Routage

• Itinéraire par défaut de PPPoE peut être re-distribuer aux protocoles de routage dynamique
  • Cas d’échec de connexion PPPoE, l’itinéraire redistribué est purgé immédiatement

KeepAlive

• PAN-OS envoie LCP KeepAlive toutes les 3 secondes, et lien PPPoE se coupera si le message KeepAlive échoue 5 fois
• L’intervalle et le nombre de fois de KeepAlive n’est pas configurable
• Après que PPPoE lien tombe en panne, PAN-OS va essayer de se reconnecter toutes les 10 secondes

Basculement

• Dispositif passif prendra la relève la connexion PPPoE du dispositif actif lorsque le basculement se produit
  • Il n’y a pas besoin de re-connecter PPPoE au dispositif passif lorsque le basculement se produit
• Lorsque le périphérique actif est fonctionnel, si les paramètres «état de la liaison passive» sont «auto», PPPoE n'est pas connecté au périphérique passif
  Remarque: dans ce cas, le I/F physique du périphérique passif sera en place, mais aucun processus PPPoE n'est travaillé

propriétaire : kmiwa