PPPoE協議通過在以太網上提供點到點的連接,建立PPP會話,使得以太網中的主機能夠連接到遠端的寬帶接入服務器上。PPPoE具有適用范圍廣、安全性高、計費方便等特點。
一、PPPoE會話建立過程
分三個階段: ① 發現階段;② 會話階段;③ 會話終結階段。
- 發現階段: 獲取對方以太網地址,以及確定唯一的PPPoE會話。
- 會話階段: 包含兩部分:PPP協商階段和PPP報文傳輸階段。
- 會話終結階段: 會話建立以后的任意時刻,發送報文結束PPPoE會話
二、PPPoE協議報文
PADI: PPPoE發現初始報文
PADO: PPPoE發現提供報文
PADR: PPPoE發現請求報文
PADS: PPPoE發現會話確認報文
PADT: PPPoE發現終止報文
三、拓撲
四、配置全局地址池pool
[Router] ip pool pool1 //創建用於給PPPOE客戶端協商配置地址的地址池
[Router-ip-pool-pool1] network 192.168.10.0 mask 255.255.255.0 [Router-ip-pool-pool1] gateway-list 192.168.10.1 [Router-ip-pool-pool1] quit
五、配置用於PPPOE認證的方式及認證用戶
基於本地AAA的PPPOE認證
1、使用默認的認證domain(域),即PPPOE認證用戶和設備管理認證采用默認的認證策略
[Router-aaa] local-user user1 password 1008611 //創建認證用戶為user1,密碼1008611
[Router-aaa] local-user user1 service-type ppp //指定此認證用戶專屬為PPP認證服務,不能用戶其他認證
[Router-aaa] quit
2、創建專屬認證domain,配置專屬的認證授權方式與策略
(1)制定認證策略
(2)制定授權策略
(3)創建認證域—將認證與授權策略組合
(4)創建認證域關聯的用戶
[Router]aaa [Router-aaa]authentication-scheme rz //創建名稱為“rz”的認證策略
[Router-aaa-authen-rz]authentication-mode local //此認證策略采用本地認證的方式
[Router-aaa-authen-rz]quit [Router-aaa]authorization-scheme sq //創建名稱為“sq”的授權策略
[Router-aaa-author-sq]authorization-mode local //此授權策略采用本地授權的方式
[Router-aaa-author-sq]quit [Router-aaa]domain local //創建名稱為loacl的認證域
[Router-aaa-domain-local]authorization-scheme sq //關聯名稱為“sq”的授權策略
[Router-aaa-domain-local]authentication-scheme rz //關聯名稱為“rz”的認證策略
[Router-aaa-domain-local]quit [Router-aaa]quit [Router]interface Virtual-Template 1 //創建並進入虛擬接口配置模板
[Router-Virtual-Template1]ip add 192.168.10.1 24 //配置次虛擬接口的ip地址為192.168.10.1
[Router-Virtual-Template1]ppp authentication-mode chap domain local //配置當進行ppp協商認證采用本設備的名稱為local域下的認證策略與用戶
[Router-Virtual-Template1]remote address pool pool1 //ppp協商用戶的地址從本地名稱為pool1的地址池里下發
[Router-Virtual-Template1]ppp ipcp dns 114.114.114.114 //向ppp協商通過的用戶下發dns地址為114.114.114.114
[Router-Virtual-Template1]quit [Router]int G0/0/2 [Router-GigabitEthernet0/0/2]pppoe-server bind virtual-template 1 //虛擬接口模板1與本接口的pppoe-sever進程綁定
[Router-GigabitEthernet0/0/2]quit
六、PPPOE-Client客戶端配置
1、設定撥號規則
[AR-1]dialer-rule //進入撥號規則編輯器
[AR-1-Dialer1]dialer-rule 1 ip //設定撥號規則1 所有ip流量都可以觸發撥號
[AR-1-Dialer1]quit
2、創建撥號器
[AR-1]int Dialer 1 //創建虛擬撥號進程1
[AR-1-Dialer1]dialer user user2 //指定對端設備用戶名(本地有效,必須配置)
[AR-1-Dialer1]dialer bundle 1 //此撥號器綁定撥號策略編號1
[AR-1-Dialer1]dialer-group 1 //此撥號器划歸進撥號編組1
[AR-1-Dialer1]link-protocol ppp //指定此撥號器的鏈路層協議為ppp協議(默認為ppp協議)
[AR-1-Dialer1]ppp chap user user1 //設定用戶ppp協商的用戶名為user1
[AR-1-Dialer1]ppp chap password cipher 1008611 //設定用戶ppp協商的密碼為1008611
[AR-1-Dialer1]ip address ppp-negotiate //設定ppp協商完成后IP地址的獲得通過協商獲得
[AR-1-Dialer1]quit
3、掛接撥號器
[AR-1]int G0/0/2 [AR-1-GigabitEthernet0/0/2]pppoe-client dial-bundle-number 1 //本物理接口的pppoe的客戶端進程與虛擬撥號組1綁定
[AR-1-GigabitEthernet0/0/2]quit
4、配置靜態默認路由
[AR-1]ip route-static 0.0.0.0 0.0.0.0 Dialer 1 //訪問公網路由直接指定出接口為dialer 1發出
5、配置基於pppoe撥號的NAT
[Router] acl number 3002 [Router-acl-adv-3002] rule 5 permit ip source 192.168.10.0 0.0.0.255 [Router-acl-adv-3002] quit [Router] interface dialer 1 [Router-Dialer1] nat outbound 3002 [Router-Dialer1] quit
七、驗證
1、在SERVER上執行display pppoe-server session all和display virtual-access命令,查看PPPoE會話的狀態和配置信息。
2、查看AR1上的撥號接口的信息,並確認撥號接口能夠從PPPoE服務器獲得IP地址。
<AR1>display ip interface brief
