Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.pppoe.…далее…

Что это такое?

Это настройка туннелей PPPoE (Point-to-Point Protocol over Ethernet).

Зачем это нужно?

Для организации сеансовых соединений, с аутентификацией пользователей и учётом потребления услуг, поверх сети Ethernet. Иногда применяется для этой цели поверх любых других Ethernet-подобных сетей (в частности, Wi-Fi). Также может применяться для слабой защиты трафика, например, от прослушивания кабелей Ethernet на физическом уровне.

Особенности туннеля PPPoE и требования для его создания:

Как это настроить?

Протоколы PPPoE, PPTP и L2TP представляют собой расширения PPP, позволяющие устанавливать соединения "точка-точка", вместо физической среды, через сети Ethernet и IP, соответственно. VPN такого типа обобщённо называются Virtual Private Dial-up Networks — VPDN. Они широко применяются в сетях доступа для аутентификации, авторизации и учёта работы клиентов городских и домовых сетей Ethernet и xDSL. Все три протокола имеют ряд свойств, унаследованных от PPP:

ПРИМЕЧАНИЕ. На сегодняшний день MPPE — весьма слабая защита и не рекомендуется для передачи критически важных данных.

Существенное отличие PPPoE, PPTP и L2TP от PPP заключается в том, что эти три протокола — асимметричные, т.е. основаны на чётком разделении ролей клиента и сервера. Клиент всегда инициирует соединение со своей стороны, сервер находится в режиме пассивного ожидания соединений. Как правило, сервер динамически назначает клиенту параметры IP.

На устройстве NSG могут работать одновременно несколько туннелей PPPoE. Каждое создаваемое соединение может работать в режиме клиента либо сервера PPPoE. Как и для соединений PPP по физической среде передачи, имена IP-интерфейсов назначаются динамически в формате pppN; имя же туннеля, как и имя физического порта (aNUM, mNUM и т.п.), остаётся неизменным, и именно его следует использовать в описаниях маршрутов, фильтров, событий и т.п., когда устройство NSG работает в качестве клиента. При работе в режиме сервера одному имени туннеля соответствует несколько IP-интерфейсов (по числу подключённых клиентов), и отслеживать их можно только динамически.

Для добавления туннелей используйте команды +, _new или _insert. Имя следует вводить в формате pppoeНомер или только целочисленный номер. Данный список является именованным и не упорядочивается автоматически. Для удаления используйте команду - или _remove.

Что делать, если это не работает?

  1. Убедиться в наличии физического соединения Ethernet.
  2. Смотреть журнал работы туннеля.
  3. При работе в качестве клиента — выполнить поиск доступных серверов вручную.
  4. Проконтролировать процедуру установления соединения с помощью tcpdump.
  5. Убедиться, что маршрутизация в туннель и в удалённый сегмент сети задана правильно не только на шлюзах туннеля, но и на прикладных хостах в том и другом сегменте.
  6. Убедиться, что размер MTU соединения согласован с MTU интерфейса, через который оно должно устанавливаться. MTU соединения должно быть меньше, по крайней мере, на длину заголовка PPPoE — 8 байт. В частности, при работе через физический интерфейс Ethernet максимальный размер MTU — 1492 байта; при работе через интерфейс VLAN — ещё на 4 байта меньше.
    Несоблюдение этого условия, в принципе, не препятствует работе большинства приложений, но может приводить к излишней фрагментации пакетов; некоторые же приложения могут быть весьма критичны к нему.
  7. Если TCP-соединения через туннель нормально работают при небольших размерах пакета, но "зависают" на длинных пакетах — уменьшить максимальный размер сегмента TCP для пакетов, отправляемых через данный интерфейс PPPoE (см. действие TCPMSS). Данная проблема относительно часто встречается в некорректно настроенных сетях поставщиков услуг.
  8. При работе с серверами PPPPoE, PPTP и L2TP компании Cisco Systems рекомендуется использовать на них следующие настройки для корректного согласования размера MTU и корректной обработки фрагментированных пакетов:
    vpdn-group номер	
      ip mtu adjust
    no ip cef	
    

© Network Systems Group 2015–2024 Отдел документации