Skip to main content

Op dit forum kon ik geen voorbeeldconfiguratie vinden voor Cisco IOS routers, hieronder mijn eigen configuratie voor Bonding VDSL op een Cisco 897VAB-K9. Enkele notities:

  • DNS servers zijn van Cloudflare Family
  • een basis firewall is nodig omdat IPv6 niet meer verborgen gaat achter NAT en ICMP verkeer noodzakelijk is voor IPv6
  • Televisie en bellen worden (nog) niet ondersteund in deze configuratie
  • MTU staat op 1500, dit wordt ondersteund op het KPN netwerk

Veel succes, vragen over deze config kun je in deze thread posten.

 

version 15.6
!
ip dhcp excluded-address 192.168.178.1 192.168.178.10
!
ip dhcp pool LAN
 import all
 network 192.168.178.0 255.255.255.0
 default-router 192.168.178.1
 dns-server 1.1.1.2 1.0.0.2
 lease 0 2
!
ip cef    
ipv6 unicast-routing
ipv6 cef  
ipv6 dhcp pool ISP_PREFIX
 dns-server 2606:4700:4700::1112
 dns-server 2606:4700:4700::1002
!           
parameter-map type inspect param-map
 ipv6 routing-header-enforcement loose
 sessions maximum 10000
!        
controller VDSL 0
 operating mode vdsl2
 line-mode bonding
 sync mode itu
 sra      
!        
class-map type inspect match-any ALL-TRAFFIC
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any ALLOW-ICMP-FROM-INTERNET
 match access-group name ALLOW-ICMPv4-ACL
 match access-group name ALLOW-ICMPv6-ACL
!         
policy-map type inspect I-2-O-POLICY
 class type inspect ALL-TRAFFIC
  inspect
 class class-default
  drop    
policy-map type inspect O-2-I-POLICY
 class type inspect ALLOW-ICMP-FROM-INTERNET
  inspect
 class class-default
  drop    
!         
zone security INSIDE
zone security OUTSIDE
zone-pair security I2O source INSIDE destination OUTSIDE
 service-policy type inspect I-2-O-POLICY
zone-pair security O2I source OUTSIDE destination INSIDE
 service-policy type inspect O-2-I-POLICY
!         
interface Ethernet0
 no ip address
!         
interface Ethernet0.6
 encapsulation dot1Q 6
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0
 no ip address
!
interface Vlan1
 ip address 192.168.178.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 zone-member security INSIDE
 ipv6 address ISP_PREFIX ::1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server ISP_PREFIX
!
interface Dialer1
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip verify unicast reverse-path
 zone-member security OUTSIDE
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 verify unicast reverse-path
 ipv6 dhcp client pd ISP_PREFIX rapid-commit
 ppp authentication pap callin
 ppp pap sent-username kpn password 7 07043142
 ppp ipcp dns request
 no cdp enable
!
ip nat inside source list ACL_NAT interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip ssh version 2
!
ip access-list standard ACL_NAT
 permit 192.168.178.0 0.0.0.255
!
ip access-list extended ALLOW-ICMPv4-ACL
 permit icmp any any echo-reply
 permit icmp any any unreachable
 permit icmp any any echo
 permit icmp any any time-exceeded
 permit icmp any any timestamp-request
 permit icmp any any timestamp-reply
 deny   ip any any
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
ipv6 access-list ALLOW-ICMPv6-ACL
 permit icmp any any destination-unreachable
 permit icmp any any packet-too-big
 permit icmp any any time-exceeded
 permit icmp any any parameter-problem
 permit icmp any any echo-request
 permit icmp any any echo-reply
 deny ipv6 any any
!

 

Dit kan NIET werken zonder :

interface Dialer1

  mtu 1492

  ip tcp adjust-mss 1452

Ja het werkt wel maar niet optimaal. Er zijn 2 oplossingen nl:

  1. Die jij beschrijft (en die ik niet in mijn config had opgenomen)
  2. Het instellen van een MTU hoger dan 1492

Een hogere MTU wordt ondersteund door KPN (zie hier, rfc4638) en zorgt voor minder fragmentatie maar is op een Cisco lastiger in te stellen. Een mtu van 1500 instellen op de dialer interface (zoals ik in mijn eerste config hierboven had gedaan) werkte in ieder geval niet :sweat:

Wat wel werkt is het ppp-max-payload commando, uitgelegd op deze Cisco pagina. In het geval van een VDSL controller pas je de Ethernet interface aan. Dat ziet er dan als volgt uit:

 

interface Ethernet0.6
encapsulation dot1Q 6
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-client ppp-max-payload 1508

 

Dit commando voegt dan ook een mtu van 1508 toe aan de Dialer interface. Dat zou 1500 moeten zijn (minus 8 bytes overhead) en dat is volgens mij dus een bug. Die heb ik ooit op het Cisco forum gepost (zie hier) maar daar kwam geen echt goed antwoord. Het werkt in ieder geval wel goed en je hebt iets meer bandbreedte :wink:

Volgens mij werkt dit wel , betreffende optie 2 (mtu 1500) :

 

interface Ethernet0

mtu 1508

no ip address

!

interface Ethernet0.6

encapsulation dot1Q 6

pppoe enable group global

pppoe-client dial-pool-number 1

pppoe-client ppp-max-payload 1500

 

 

Op de 1 of andere manier kan ik overigens geen client-naar-router VPDN (pptp) opzetten.

Als iemand daar een oplossing voor heeft, lees ik het graag.

Volgens mij werkt dit wel , betreffende optie 2 (mtu 1500) :

 

interface Ethernet0

mtu 1508

no ip address

!

interface Ethernet0.6

encapsulation dot1Q 6

pppoe enable group global

pppoe-client dial-pool-number 1

pppoe-client ppp-max-payload 1500

 

Die setup kende ik nog niet. Kan ‘m niet meer testen want geen Cisco meer (verhuisd dichterbij de centrale maar de 897VAB ondersteunt geen 35b)

De MTU size van de pppoe verbinding kan 1500 zijn. De overhead van een pppoe interface is 8 bytes en dus moet Ethernet0.6 dan op 1508 staan. En omdat de overhead van een vlan 4 bytes bedraagt moet Ethernet0 dan dus op 1512 staan.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden