PPPoE---共享DCC实验配置

目录

配置接口IP地址和安全区域

配置PPPoE服务端(FW2)

配置地址池并创建业务方案

创建PPPoE认证用户

配置Virtual-Template接口并加入安全区域

绑定物理接口和VT口

安全策略

配置PPPoE客户端(FW1)

配置Dialer接口并加入安全区域

配置拨号控制列表(过滤流经拨号口的报文)

将Dialer接口与物理口绑定

配置路由,使得PC1通过NAT访问PC2

安全策略

概念补充

VT接口与物理接口关系

Diaer-group拨号访问组

Diaer bundle拨号池


PPP协议讲解_多谢思考的博客-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/124987932

PPPoE讲解-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/124988104?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22124988104%22%2C%22source%22%3A%22m0_49864110%22%7D

配置接口IP地址和安全区域

FW1

interface GigabitEthernet1/0/0

 ip address 10.0.11.254 255.255.255.0

firewall zone trust

 add interface GigabitEthernet1/0/0

firewall zone untrust

 add interface GigabitEthernet1/0/1

FW2

interface GigabitEthernet1/0/0

 ip address 10.0.22.254 255.255.255.0

interface GigabitEthernet1/0/1

 ip address 12.0.0.1 255.255.255.0

firewall zone trust

 add interface GigabitEthernet1/0/0

firewall zone untrust

 add interface GigabitEthernet1/0/1

配置PPPoE服务端(FW2)

配置地址池并创建业务方案

创建为客户端提供地址的地址池

ip pool Client_ip

 section 0 112.0.0.1

创建业务方案并绑定地址池

aaa

 service-scheme pppoe

  ip-pool pppoe

创建PPPoE认证用户

user-manage user Huawei

 password Huawei@123          密码

 parent-group /default              账户所属用户组

 multi-ip online enable              允许多人使用该用户的登录名登录

 bind mode unidirectional       单向绑定用户与IP/MAC的关系,即用户只可以使用指定的IP/MAC进行认证,同时也允许其他用户使用该IP/MAC进行认证(双向绑定不允许其他用户使用)

配置Virtual-Template接口并加入安全区域

PPPoE Server通过此接口与Client端通信

蓝色为必选配置

interface Virtual-Template1

 ip address 112.0.0.254 255.255.255.0    配置接口IP地址,此地址与为Client分配的地址同一网段

 ppp authentication-mode chap       开启PPP本地认证(CHAP方式)-默认不认证

 remote service-scheme pppoe        绑定业务方案,为对端分配地址

 ppp ipcp remote-address forced      给对端分配地址时,不允许对端使用自行配置的IP地址

将VT接口加入到新创建的安全区域

firewall zone name pppoe

 set priority 55

 add interface Virtual-Template 1

绑定物理接口和VT口

interface GigabitEthernet1/0/1

 pppoe-server bind Virtual-Template 1

安全策略

PPPoE协商不需要安全策略,所以只需要放行数据策略就可以

security-policy

 rule name pppoe_data

  source-zone untrust

  source-zone pppoe

  destination-zone untrust

  destination-zone pppoe

  service ike

  action permit

配置PPPoE客户端(FW1)

配置Dialer接口并加入安全区域

PPPoE Client通过此接口与Server端通信

interface Dialer1       

 link-protocol ppp                                               链路类型为PPP

 ppp chap user Huawei                                     CHAP认证用户名

 ppp chap password cipher Huawei@123        CHAP认证密码

 ip address ppp-negotiate         设置接口IP地址协商功能

 dialer user Huawei                  使能共享DCC,并设置对端的用户名(一般配置为和用户名一致)

设置拨号使用的用户名,用于服务端进行验证,能够接收此PPoE请求,然后对其回应

当一个Dialer接口下配置多个dialer user时,就实现了用一个Dialer接口同时接入多个拨号接口的连接

 dialer bundle 1                        设置拨号口的Bundle(与物理接口绑定时使用)

 dialer-group 11                       设置拨号访问组(与拨号控制列表结合起来)

  要想使得DCC正常发送报文,就必须配置正确的DCC拨号访问组

  配置前必须使能了共享DCC或者轮询DCC

将Dialer接口加入到新创建的安全区域

firewall zone name pppoe

 set priority 55

 add interface Dialer 1

配置拨号控制列表(过滤流经拨号口的报文)

dialer-rule 11 ip permit                  拨号访问组11允许所有IP协议报文通过接口

将Dialer接口与物理口绑定

interface GigabitEthernet1/0/1

 pppoe-client dial-bundle-number 1

配置路由,使得PC1通过NAT访问PC2

配置路由

ip route-static 0.0.0.0 0.0.0.0 Dialer1

通过拨号口做NAT使得PC1访问PC2(不用在PPPoE端配置去PC1路由)

nat-policy

 rule name pppoe

  source-zone trust

  destination-zone pppoe

  action source-nat easy-ip

如果没有做NAT,则需要在PPPoE服务端配置去私网的路由

ip route-static 10.0.11.0 255.255.255.0 Virtual-Template 1 112.0.0.1

去往私网通过VT口去112.0.0.1

安全策略

PPPoE协商不需要安全策略,所以只需要放行数据策略就可以

security-policy

 rule name pppoe_data

  source-zone untrust

  source-zone pppoe

  destination-zone untrust

  destination-zone pppoe

  service ike

  action permit


概念补充

VT接口与物理接口关系

VT接口用来给dialer接口分配IP地址;所以VT接口的地址必须与为dialer接口分配的地址在同一网段

  • 如果VT接口配置IP地址;则物理接口直接绑定VT接口,不需要配置IP地址
  • 如果VT接口直接借用了物理接口的IP地址,则VT接口不需要再配置地址;此时物理接口需要配置地址并绑定VT接口,并且此IP地址与为Dialer接口分配的IP地址同一网段

Diaer-group拨号访问组

对通过接口发送的报文进行访问控制。通过dialer-rule命令将拨号访问组与acl命令对应起来

一个接口只能属于一个dialer group,若配置第二次,则覆盖第一次的配置

Diaer bundle拨号池

设置一个Dialer接口使用的拨号池,并且一个Dialer接口只能对应一个dialer bundle。

在配置该命令前,必须先执行命令dialer user [name]开启 DCC

  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值