Cisco Router PPPoe server （included dynamic address）and client configuration

解决中心端不能主动发起的问题，采用DDNS技术，为每一个分支端申请一个动态域名，中心可以把peer设置成分支的DDNS发起连接

路由器动态域名配置：

  Ip ddns update method 名字

   HTTP

  Add http://用户名:密码@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a> interval maximum 28 0 0 0                        ——————？先敲ctrl+V再敲？

 Interface Dialer 1

  Ip ddns update hostname “注册的域名”

  Ip ddns update 名字 host members.dyndns.org

IPsec *** 动态域名配置

Ip name-server 202.106.0.20                ——————路由器解析域名的DNS服务器

Crypto isakmp key 0 cisco 61.149.0.0 255.255.0.0

Crypto isakmp key 0 cisco 222.129.0.0 255.255.0.0

——设置分支端可能获取的网段，也可以用8个0

Crypto map cisco 10 ipsec-isakmp

Set peer 域名 dynamic(如果不输入dynamic就会一次固定ip地址和域名)

Set transform-set cisco

Match address ***

动态域名解析

为了解决动态MAP中心端不能主动发起的问题，还有两端都是动态获取地址的问题，可以采用动态域名解析技术（DDNS）。为每个分支机构申请一个动态域名，中心端可以把每个peer设置成分支机构的动态域名来主动发起连接。

配置

配置ddns

ip ddns update method method_name

 add http://username:password@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>(这里的用户名密码是从DDNS提供商那里得到的用户名密码，后面的是固定的）

 exit

interval maximum day hour minute second

interface dialaer1

 ip ddns update hostname register_domain_name

 ip ddns update method_name host DDNS_ISP_domain(把动态域名提供商提供的注册到的二级域名关联到这个dailer接口上，这个接口会从这个二级域名获取IP地址)

ip name-server DNS_IP

crypto isakmp key 0 keystring address IP mask

(设置分支机构可能获取的网段，也可以用8个0代替，这里不能设置host，只有在证书认证环境下用host)

crypto map crypto_map_name number ipsec-isakmp

set peer register_domain_name dynamic（必须配置dynamic，不然就直接向DNS服务器解析那个注册域名刷到配置上了）

set transform-set tr_set_name

match address acl

其余配置跟L2L一样。

aaa authentication login linepro line none

aaa authentication login x1.5 local

aaa authorization network x1.5 local

username cisco password cisco

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

exit

ip local pool ***.pool 172.16.1.11 172.16.1.20

crypto isakmp client configuration group zxg

key cisco

pool ***.pool

crypto isakmp profile cisco

  match identity group zxg

  client authentication list x1.5

  isakmp authorization list x1.5

  client configuration address respond

crypto ipsec transform-set cisco esp-des esp-md5-hmac

crypto dynamic-map cisco 10

set transform-set cisco

set isakmp-profile cisco

exit

crypto map cisco 10 ipsec-isakmp dynamic cisco

*PPPOEserver配置：*

GW:int f0/0

no sh

no ip add (无需配置IP)

pppoe enable （激活PPPOE功能）

username pppoeuser password 0 cisco

ip local pool pppoe.pool 202.100.1.100 202.100.1.200

bba-group pppoe global

virtual-template 1

int virtual-template 1

ip unnumbered lo 0

peer default ip add pool leon

ppp authentication pap (国内很多运营商的默认策略)

router PPPOE Client 配置（1）

PPPOE Client：

int f0/0

no ip add (无需配置ip)

pppoe-client dial-pool-number 1(激活PPPOE客户端功能)

int dialer 1

ip add negotiated

ip mtu 1492 （减去PPPOE+PPP头部的8个字节）

encapsulation ppp

dialer pool 1

ppp authentication pap callin (callout 不认证对端)

ppp pap sent-username pppoeuser password 0 cisco

ip access-list ex pat

permit ip 20.1.1.0 0.0.0.255 any

ip nat inside source list pat interface dialer 1 overload

int lo 0

ip add 20.1.1.1 255.255.255.0  （mon）

ip nat inside

int dialer 1

ip nat outside

ip route 0.0.0.0 0.0.0.0 dialer1 permanent （永久的）

转载于:https://blog.51cto.com/leon1986/1358656