如上圖,該園區使用者統一使用PPPOE撥号接入,并在PPPOE伺服器上進行本地認證或外部伺服器認證(ACS) 基本配置如上圖(略) PPPOE SERVER RT5上配置如下: username user1 password cisco1 //添加使用者名與密碼 username user2 password cisco2 ip local pool pppoe1 172.16.20.2 172.16.20.254//建立本位址池 vpdn enable //開啟PPPOE vpdn-group 1 //建立PPPOE的撥号組 accept-dialin //接受撥号 protocol pppoe //協定為PPPOE virtual-template 1 //建立虛拟模闆 interface Virtual-Template1 ip address 172.16.20.1 255.255.255.0 peer default ip address pool pppoe //指定對端IP從位址池PPPOE擷取 ppp authentication pap chap //使用PAP或CHAP認證 interface FastEthernet2/0.20 encapsulation dot1Q 20 pppoe enable //開啟PPPOE interface FastEthernet2/0.21 encapsulation dot1Q 21 pppoe enable //開啟PPPOE 用戶端VMXP0和VMPC9如下配置: 點網絡-屬性-建立連接配接
完成,成功添加PPPOE用戶端
在用戶端中輸入RT上添加的使用者名和密碼
認證成功,并自動擷取到IP位址.
VMPC9使用user2同樣認證成功,自動擷取到IP 使用AAA的PPPOE認證及計費下發ACL(不會使用ACS搭建AAA伺服器的請看前面博文http://tangfangxiao.blog.51cto.com/2116646/677021) 先在ACS上搭建好AAA伺服器,添加兩個使用者user3、user4
在RT5上配置radius: RT5(config)# aaa new-model //開啟AAA認證 radius-server host 172.16.25.25 key cisco //配置RADIUS伺服器位址和密鑰(與伺服器一緻) ip radius source-interface loopback 0 //指定以此IP為源發送RADIUS封包,也就是伺服器上的客戶位址 aaa authentication ppp default group radius //PPP認證使用radius認證 aaa authorization network default group radius //授權network aaa accounting network default start-stop group radius//開啟PPPOE計費
在用戶端上使用AAA伺服器上的使用者進行登入,同時在AAA的Reports and Activity的RADIUS accounting這裡面可以看到計費資訊。 下發ACL 在RT5上要先寫好ACL,配置如下: RT5(config)# access-list 101 deny ip host 172.16.20.5 host 5.5.5.5 access-list 101 permit ip any any 在AAA伺服器上配置如下:
勾選011 Filter-Id
進入user4所在的組,勾選011,在方框中輸入101.in,101就是通路控制清單号,in用在in的方向。 測試如下:
在VMXP0上輸入user3登入,測試能PING通5.5.5.5
VMPC9上用user4登入,可以看到不能PING通5.5.5.5,提示不可達,因為通路控制清單将它過濾了!
PPPOE協定工作過程: 分為三個階段,Discovery階段、Session階段、Terminate階段 Discovery階段由四個過程組成,完成之後通信雙方都會知PPPOE的Session_ID以及對方以太網位址,它們共同确定了唯一的PPPOE Session. PADI(PPPOE Active Discovery Initiation)封包 PPPOE發現階段的第一步,也即是由用戶端首先廣播發送一個PDAI封包,在此包含PPPOE client想要得到的服務類型資訊 PADO(PPPOE Active Discovery Offer)封包 PPPOE發現階段的第二步,也即是由通路集中器回應各使用者主機發送 的PADI封包,此時該封包所對應的以太網幀的源位址填充通路集中器的MAC位址,而目的位址則填充從PADI中所擷取的使用者主機的MAC位址(單點傳播)。 PADR(PPPOE Active Discovery Request)封包 PPPOE發現階段的第三步,PPPOE client選擇最先收到的PADO封包對應的PPPOE SERVER做為自己的PPPOE SERVER,并單點傳播發送一個PADR封包 PADS(PPPOE Active Discovery Session-confirmation)封包 PPPOE發現階段的第四步,也即是最後一步,此時通路集中器當收到PADR封包時,就準備進入開始一個PPP的會話了,而此時通路集中器會為在這個會話配置設定一個唯一的會話程序ID,并在發送給主機的PADS封包中攜帶上這個會話ID。
Session階段 主要是PPP協商階段和PPP封包傳輸階段 PPP協商階段分為LCP、認證、NCP LCP主要完成建立,配置和檢測資料鍊路連接配接 LCP協商成功後,開始進行認證,認證協定有CHAP、PAP 認證成功後,PPP進入NCP階段,配置不同的網絡層協定,常用的是IP控制協定IPCP,它負責配置使用者的IP和DNS等工作。 PPPOE Session的PPP協商成功後,其上就可以承載PPP資料封包,在此階段中所有的以太網資料都是單點傳播發送的。 Terminate階段 PPP通信雙方應該使用PPP協定自身(PPP終結封包)來結束PPPOE會話,但在無法使用PPP協定結束會話時可以使用PADT封包。PADT資料包可以在會話建立以後的任意時刻單點傳播發送,在收到PADT後,就不允許再使用該會話發送PPP流量了。
轉載于:https://blog.51cto.com/tangfangxiao/684109