Что это такое?

Это настройка туннелей PPPoE (Point-to-Point Protocol over Ethernet).

Зачем это нужно?

Для организации сеансовых соединений, с аутентификацией пользователей и учётом потребления услуг, поверх сети Ethernet. Иногда применяется для этой цели поверх любых других Ethernet-подобных сетей (в частности, Wi-Fi). Также может применяться для слабой защиты трафика, например, от прослушивания кабелей Ethernet на физическом уровне.

Особенности туннеля PPPoE и требования для его создания:

• По туннелю передаются любые IP-пакеты.
• Клиент и сервер PPPoE должны находиться в одной широковещательной сети Ethernet (или Ethernet-подобной: VLAN, WLAN, Ethernet-over-something). При этом данный порт может, вообще говоря, не иметь IP-адреса и не использоваться как самостоятельный IP-интерфейс.
• Один сервер PPPoE может обслуживать многих клиентов.

Как это настроить?

Протоколы PPPoE, PPTP и L2TP представляют собой расширения PPP, позволяющие устанавливать соединения "точка-точка", вместо физической среды, через сети Ethernet и IP, соответственно. VPN такого типа обобщённо называются Virtual Private Dial-up Networks — VPDN. Они широко применяются в сетях доступа для аутентификации, авторизации и учёта работы клиентов городских и домовых сетей Ethernet и xDSL. Все три протокола имеют ряд свойств, унаследованных от PPP:

• Соединения имеют сеансовый, а не статический, характер.
• При установке PPP-соединения может быть выполнена аутентификация и авторизация (односторонняя или взаимная), а в процессе работы — учёт времени и потребляемого трафика. Для этих целей могут быть использованы локальная таблица пользователей или централизованные сервера TACACS+ и RADIUS.
• При установке IP-соединения могут быть согласованы параметры IP в туннеле.
• При передаче трафика может использоваться сжатие с использованием различных методов, а также защита по протоколу MPPE (Microsoft Point-to-Point Encryption).

ПРИМЕЧАНИЕ. На сегодняшний день MPPE — весьма слабая защита и не рекомендуется для передачи критически важных данных.

Существенное отличие PPPoE, PPTP и L2TP от PPP заключается в том, что эти три протокола — асимметричные, т.е. основаны на чётком разделении ролей клиента и сервера. Клиент всегда инициирует соединение со своей стороны, сервер находится в режиме пассивного ожидания соединений. Как правило, сервер динамически назначает клиенту параметры IP.

На устройстве NSG могут работать одновременно несколько туннелей PPPoE. Каждое создаваемое соединение может работать в режиме клиента либо сервера PPPoE. Как и для соединений PPP по физической среде передачи, имена IP-интерфейсов назначаются динамически в формате pppN; имя же туннеля, как и имя физического порта (aNUM, mNUM и т.п.), остаётся неизменным, и именно его следует использовать в описаниях маршрутов, фильтров, событий и т.п., когда устройство NSG работает в качестве клиента. При работе в режиме сервера одному имени туннеля соответствует несколько IP-интерфейсов (по числу подключённых клиентов), и отслеживать их можно только динамически.

Для добавления туннелей используйте команды +, _new или _insert. Имя следует вводить в формате pppoeНомер или только целочисленный номер. Данный список является именованным и не упорядочивается автоматически. Для удаления используйте команду - или _remove.

Что делать, если это не работает?

1. Убедиться в наличии физического соединения Ethernet.
2. Смотреть журнал работы туннеля.
3. При работе в качестве клиента — выполнить поиск доступных серверов вручную.
4. Проконтролировать процедуру установления соединения с помощью tcpdump.
5. Убедиться, что маршрутизация в туннель и в удалённый сегмент сети задана правильно не только на шлюзах туннеля, но и на прикладных хостах в том и другом сегменте.
6. Убедиться, что размер MTU соединения согласован с MTU интерфейса, через который оно должно устанавливаться. MTU соединения должно быть меньше, по крайней мере, на длину заголовка PPPoE — 8 байт. В частности, при работе через физический интерфейс Ethernet максимальный размер MTU — 1492 байта; при работе через интерфейс VLAN — ещё на 4 байта меньше.
   Несоблюдение этого условия, в принципе, не препятствует работе большинства приложений, но может приводить к излишней фрагментации пакетов; некоторые же приложения могут быть весьма критичны к нему.
7. Если TCP-соединения через туннель нормально работают при небольших размерах пакета, но "зависают" на длинных пакетах — уменьшить максимальный размер сегмента TCP для пакетов, отправляемых через данный интерфейс PPPoE (см. действие TCPMSS). Данная проблема относительно часто встречается в некорректно настроенных сетях поставщиков услуг.
8. При работе с серверами PPPPoE, PPTP и L2TP компании Cisco Systems рекомендуется использовать на них следующие настройки для корректного согласования размера MTU и корректной обработки фрагментированных пакетов:

   vpdn-group номер	
     ip mtu adjust
   no ip cef