pppoe认证服务器稳定吗,AAA之PPPOE认证

园区网PPPOE接入

1dca0fbe3391265b5def45b4afa07032.png

如上图,该园区用户统一使用PPPOE拨号接入,并在PPPOE服务器上进行本地认证或外部服务器认证(ACS)

基本配置如上图(略)

PPPOE SERVER RT5上配置如下:

username user1 password cisco1 //添加用户名与密码

username user2 password cisco2

ip local pool pppoe1 172.16.20.2 172.16.20.254//建立本地址池

vpdn enable //开启PPPOE

vpdn-group 1 //建立PPPOE的拨号组

accept-dialin //接受拨号

protocol pppoe //协议为PPPOE

virtual-template 1 //创建虚拟模板

interface Virtual-Template1

ip address 172.16.20.1 255.255.255.0

peer default ip address pool pppoe //指定对端IP从地址池PPPOE获取

ppp authentication pap chap //使用PAP或CHAP认证

interface FastEthernet2/0.20

encapsulation dot1Q 20

pppoe enable //开启PPPOE

interface FastEthernet2/0.21

encapsulation dot1Q 21

pppoe enable //开启PPPOE

客户端VMXP0和VMPC9如下配置:

点网络-属性-新建连接

52f11649d29271442e6ed49f1d715a0c.png

2c9446bfa162a27eec2b94041e868163.png

2ddd9cdbfd3a3da986b22f4d67b36e66.png

f4455a3cfaa7c8e030d8d1e5d24a160a.png

完成,成功添加PPPOE客户端

1be1d670ba49e98f02738ee95acd4265.png

在客户端中输入RT上添加的用户名和密码

386bdb74d7a458627b92da9ad382427d.png

认证成功,并自动获取到IP地址.

d334469e975d08f15aeb34746fe4ea08.png

VMPC9使用user2同样认证成功,自动获取到IP

使用AAA的PPPOE认证及计费下发ACL(不会使用ACS搭建AAA服务器的请看前面博文http://tangfangxiao.blog.51cto.com/2116646/677021)

先在ACS上搭建好AAA服务器,添加两个用户user3、user4

bee22ec94d0f3aff3bf14b7ccd6e62b1.png

在RT5上配置radius:

RT5(config)#

aaa new-model                             //开启AAA认证

radius-server host 172.16.25.25 key cisco  //配置RADIUS服务器地址和密钥(与服务器一致)

ip radius source-interface loopback 0       //指定以此IP为源发送RADIUS报文,也就是服务器上的客户地址

aaa authentication ppp default group radius  //PPP认证使用radius认证

aaa authorization network default group radius //授权network

aaa accounting network default start-stop group radius//开启PPPOE计费

cb723eb445f90d2d391377edf797cb4f.png

在客户端上使用AAA服务器上的用户进行登录,同时在AAA的Reports and Activity的RADIUS accounting这里面可以看到计费信息。

下发ACL

在RT5上要先写好ACL,配置如下:

RT5(config)#

access-list 101 deny ip host 172.16.20.5 host 5.5.5.5

access-list 101 permit ip any any

在AAA服务器上配置如下:

4e398f67c55cdd515fb9c3f947b8cec7.png

a3e024c98aa144167fc0273f73252919.png

勾选011 Filter-Id

0b1d2495617d9979ea472a89967c5e49.png

进入user4所在的组,勾选011,在方框中输入101.in,101就是访问控制列表号,in用在in的方向。

测试如下:

75e9ed8fb5ab6ce86ace40cbc047f459.png

在VMXP0上输入user3登录,测试能PING通5.5.5.5

0f1431b5c784974f3279ba56d00860cb.png

VMPC9上用user4登录,可以看到不能PING通5.5.5.5,提示不可达,因为访问控制列表将它过滤了!

PPPOE协议工作过程:

分为三个阶段,Discovery阶段、Session阶段、Terminate阶段

Discovery阶段由四个过程组成,完成之后通信双方都会知PPPOE的Session_ID以及对方以太网地址,它们共同确定了唯一的PPPOE Session.

PADI(PPPOE Active Discovery Initiation)报文

PPPOE发现阶段的第一步,也即是由客户端首先广播发送一个PDAI报文,在此包含PPPOE client想要得到的服务类型信息

PADO(PPPOE Active Discovery Offer)报文

PPPOE发现阶段的第二步,也即是由访问集中器回应各用户主机发送  的PADI报文,此时该报文所对应的以太网帧的源地址填充访问集中器的MAC地址,而目的地址则填充从PADI中所获取的用户主机的MAC地址(单播)。

PADR(PPPOE Active Discovery Request)报文

PPPOE发现阶段的第三步,PPPOE client选择最先收到的PADO报文对应的PPPOE SERVER做为自己的PPPOE SERVER,并单播发送一个PADR报文

PADS(PPPOE Active Discovery Session-confirmation)报文

PPPOE发现阶段的第四步,也即是最后一步,此时访问集中器当收到PADR报文时,就准备进入开始一个PPP的会话了,而此时访问集中器会为在这个会话分配一个唯一的会话进程ID,并在发送给主机的PADS报文中携带上这个会话ID。

a93aeb36a8aeaa74b123dd4f53278b8d.png

Session阶段

主要是PPP协商阶段和PPP报文传输阶段

PPP协商阶段分为LCP、认证、NCP

LCP主要完成建立,配置和检测数据链路连接

LCP协商成功后,开始进行认证,认证协议有CHAP、PAP

认证成功后,PPP进入NCP阶段,配置不同的网络层协议,常用的是IP控制协议IPCP,它负责配置用户的IP和DNS等工作。

PPPOE Session的PPP协商成功后,其上就可以承载PPP数据报文,在此阶段中所有的以太网数据都是单播发送的。

Terminate阶段

PPP通信双方应该使用PPP协议自身(PPP终结报文)来结束PPPOE会话,但在无法使用PPP协议结束会话时可以使用PADT报文。PADT数据包可以在会话建立以后的任意时刻单播发送,在收到PADT后,就不允许再使用该会话发送PPP流量了。

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:数字20 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值