目录
PPP协议讲解_多谢思考的博客-CSDN博客
http://iyenn.com/rec/288218.html
配置接口IP地址和安全区域
FW1:
interface GigabitEthernet1/0/0
ip address 10.0.11.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
FW2:
interface GigabitEthernet1/0/0
ip address 10.0.22.254 255.255.255.0
interface GigabitEthernet1/0/1
ip address 12.0.0.1 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
配置PPPoE服务端(FW2)
配置地址池并创建业务方案
创建为客户端提供地址的地址池
ip pool Client_ip
section 0 112.0.0.1
创建业务方案并绑定地址池
aaa
service-scheme pppoe
ip-pool pppoe
创建PPPoE认证用户
user-manage user Huawei
password Huawei@123 密码
parent-group /default 账户所属用户组
multi-ip online enable 允许多人使用该用户的登录名登录
bind mode unidirectional 单向绑定用户与IP/MAC的关系,即用户只可以使用指定的IP/MAC进行认证,同时也允许其他用户使用该IP/MAC进行认证(双向绑定不允许其他用户使用)
配置Virtual-Template接口并加入安全区域
PPPoE Server通过此接口与Client端通信
蓝色为必选配置
interface Virtual-Template1
ip address 112.0.0.254 255.255.255.0 配置接口IP地址,此地址与为Client分配的地址同一网段
ppp authentication-mode chap 开启PPP本地认证(CHAP方式)-默认不认证
remote service-scheme pppoe 绑定业务方案,为对端分配地址
ppp ipcp remote-address forced 给对端分配地址时,不允许对端使用自行配置的IP地址
将VT接口加入到新创建的安全区域
firewall zone name pppoe
set priority 55
add interface Virtual-Template 1
绑定物理接口和VT口
interface GigabitEthernet1/0/1
pppoe-server bind Virtual-Template 1
安全策略
PPPoE协商不需要安全策略,所以只需要放行数据策略就可以
security-policy
rule name pppoe_data
source-zone untrust
source-zone pppoe
destination-zone untrust
destination-zone pppoe
service ike
action permit
配置PPPoE客户端(FW1)
配置Dialer接口并加入安全区域
PPPoE Client通过此接口与Server端通信
interface Dialer1
link-protocol ppp 链路类型为PPP
ppp chap user Huawei CHAP认证用户名
ppp chap password cipher Huawei@123 CHAP认证密码
ip address ppp-negotiate 设置接口IP地址协商功能
dialer user Huawei 使能共享DCC,并设置对端的用户名(一般配置为和用户名一致)
设置拨号使用的用户名,用于服务端进行验证,能够接收此PPoE请求,然后对其回应
当一个Dialer接口下配置多个dialer user时,就实现了用一个Dialer接口同时接入多个拨号接口的连接
dialer bundle 1 设置拨号口的Bundle(与物理接口绑定时使用)
dialer-group 11 设置拨号访问组(与拨号控制列表结合起来)
要想使得DCC正常发送报文,就必须配置正确的DCC拨号访问组
配置前必须使能了共享DCC或者轮询DCC
将Dialer接口加入到新创建的安全区域
firewall zone name pppoe
set priority 55
add interface Dialer 1
配置拨号控制列表(过滤流经拨号口的报文)
dialer-rule 11 ip permit 拨号访问组11允许所有IP协议报文通过接口
将Dialer接口与物理口绑定
interface GigabitEthernet1/0/1
pppoe-client dial-bundle-number 1
配置路由,使得PC1通过NAT访问PC2
配置路由
ip route-static 0.0.0.0 0.0.0.0 Dialer1
通过拨号口做NAT使得PC1访问PC2(不用在PPPoE端配置去PC1路由)
nat-policy
rule name pppoe
source-zone trust
destination-zone pppoe
action source-nat easy-ip
如果没有做NAT,则需要在PPPoE服务端配置去私网的路由
ip route-static 10.0.11.0 255.255.255.0 Virtual-Template 1 112.0.0.1
去往私网通过VT口去112.0.0.1
安全策略
PPPoE协商不需要安全策略,所以只需要放行数据策略就可以
security-policy
rule name pppoe_data
source-zone untrust
source-zone pppoe
destination-zone untrust
destination-zone pppoe
service ike
action permit
概念补充
VT接口与物理接口关系
VT接口用来给dialer接口分配IP地址;所以VT接口的地址必须与为dialer接口分配的地址在同一网段
如果VT接口配置IP地址;则物理接口直接绑定VT接口,不需要配置IP地址
如果VT接口直接借用物理接口的IP地址,则VT接口不需要再配置地址;物理接口配置地址并绑定VT接口,并且此IP地址与为Dialer接口分配的IP地址同一网段
Diaer-group拨号访问组
对通过接口发送的报文进行访问控制。通过dialer-rule命令将拨号访问组与acl命令对应起来。
一个接口只能属于一个dialer group,若配置第二次,则覆盖第一次的配置。
Diaer bundle拨号池
设置一个Dialer接口使用的拨号池,并且一个Dialer接口只能对应一个dialer bundle。
在配置该命令前,必须先执行命令dialer user [name]开启 DCC
评论记录:
回复评论: