生活中的我們大多說是通過這種方式接入互聯網的。Internet的發展的的確確改變了我們的日常生活,信息化走進了我們的生活當中。當我們點擊“連接”的時候,我們是如何連接上去的,神祕的背後到底是什麼東東?我們要知其然,還要知其所以然。
家庭用戶通過ADSL(非對稱數據用戶環線)撥號的方式接入的網絡,還需要一個調制解調器(數模轉換的工具)的配合,也就是我們通常說的“貓”(Modem),如果使用的電話線上網的話,還需要一個分離器(電話線路中的高頻信號和低頻信號分離)的配合,在運營提供商那裏提供的設備纔是今天的重點,這應該也是最有神祕色彩的地方。首先,ISP(因特網服務提供商)會在提供一個接入服務器(NAS)來接受用戶的撥號請求,接入服務器自身只負責驗證用戶的合法性。在接入服務器的後方還有驗證服務器,主要就是審計,計費等工作。其實,就是我們常說的AAA服務器;那麼這個接入服務器是怎樣配置的呢?又是如何提供公網IP地址的呢?下面,我們一步一步的來揭開它的神祕面紗。
首先,我們要了解的是PPPOE的工作過程,其過程可以分爲兩個階段:
第一,PPPOE discovery phase ====》PPPOE 的發現階段
第二,PPPOE sessions phase ====》PPPOE 的會話階段
PPPoE的詳細配置信息:(圖1==》我們以路由器來模擬NAS)
1.配置VPDN----VPDN的中文含義:虛擬專用撥入網
vpdn enalbe =====>開啓vpdn的功能
vpdn-group 1 =====>定義vpdn-group 1
accept-dialin =====>接受客戶端的撥入
protocol pppoe =====>客戶端使用pppoe協議撥入
virtual-template 1 =====>定義虛擬接口模塊
注意:以上的命令是在老版本的配置命令(IOS 12.3以前命令格式)。
在高版本的路由器中的配置如下:
vpdn enable =====>開啓vpdn的功能
bba-group pppoe global =====>全局啓用了PPPOE協議
virtual-template 1 =====>創建虛擬接口模板(用於動態創建虛擬接口)
2.定義IP地址池(客戶端撥入是獲取的IP地址的地址集合)
ip local pool ADSL 202.106.1.1 202.106.1.10
3.定義virtual-template(虛擬接口模板)
interface virtual-template 1
ip add xxxx.xxxx.xxxx.xxx ===>ISP自定義的IP地址(最好是lookback地址)
peer default ip address pool ADSL ==>從ADSLpool 地址池中分配IP地址
enc ppp =====>封裝PPP協議
ppp authentication pap =====>鏈路通過PAP驗證
4.定義本地用戶數據庫(用於PPPoE客戶端撥入的賬號信息)
username tangsir password linux%@!
username husir password h3cte%@!
username liusir password mcitp%@!
5.在接口激活PPPOE
int e0/0
pppoe enable =====>接口下激活pppoe
下面我以腳本的形式來配置IOS:(Internet 即NAS)
enable
conf t
enable secret cisco
service password-encryption
security passwords min-length 6
no ip domain-lookup
no cdp run
line console 0
no exec-timeout
logging synchronous
exit
line console 0
password cisco
login
exit
line vty 0 4
password cisco
login
exit
alias exec shuji sh ip int b
alias exec vl sh vlan-s
alias exec route sh ip route
hostname Internet
vpdn enable
bba-group pppoe global
virtual-template 1
exit
ip local pool ADSL 202.106.1.1 202.106.1.10
int virtual-template 1
ip add 1.1.1.1 255.255.255.0
no shut
encap ppp
ppp authentication pap
peer default ip address pool ADSL
compress stac
exit
username tangsir password linux%@!
username husir password h3cte%@!
username liusir password mcitp%@!
int e0/1
pppoe enable
no shut
int e0/2
pppoe enable
no shut
end
wr
好的,基本的的配置結束了,當我們要管理用戶信息的時候,怎麼辦?
我們可以使用以下的命令來實現:
1.show vpdn ====>查看所有的VPDN連接
2.show user ====> 查看當前正在使用的用戶
當然,如果是這樣管理用戶的話,也太麻煩了吧!而且功能上有些不足。不用擔心,現在已經是桌面化管理了,就是咱們所說的AAA服務器。如果你不會操作的話,那你太對不起微軟了,呵呵!!
主認證方設置完畢後,如何設置被認證方呢?即如何設置PPPOE虛擬撥號工具。我們就拿XP OS 爲例,此係統自帶了PPPOE的虛擬撥號工具,下面是如何創建的方法:首先,打開“網絡連接”;接着單擊窗口左側“網絡任務”下的“創建一個新的連接”打開“新建連接嚮導”,單擊“下一步”;在網絡連接類型中選擇“連接到Internet”,單擊“下一步”;然後在出現的窗口中選擇“手動設置我的連接”,單擊“下一步”;在Internet連接窗口中選擇“用要求用戶名和密碼的寬帶連接來連接”,單擊“下一步”;輸入ISP名稱,比如“ADSL”,單擊“下一步”;依次輸入用戶名、密碼、確認密碼,單擊“下一步”;最後,單擊“完成”即可。當然這也是PPP協議用戶認證的典型例子(PAP);
企業想要於互聯網通信的話,那麼企業的邊界路由器或者是企業的外緣防火牆於外界相連的接口必須要是公網的IP地址纔是可以通信的。大多數企業都是通過ISP(因特網服務提供商)來申請公有的IP地址,那麼就沒有別的辦法了嗎?答案是有的。接下來,我們通過路由器設備PPPOE撥號,從internet獲取IP地址。
配置信息:
1.路由器接口下啓用pppoe,並創建一個撥號地址池 1
pppoe enable
pppoe-client dial-pool-number 1
2.定義一個虛擬接口dial 1 ,並調用撥號地址池 1
3.虛擬撥號接口封裝PPP協議
4.向主認證方發送認證用戶和密碼
5.啓用地址協商方式獲取IP地址
邊界路由器上的相關配置信息:
interface Ethernet0/1
no ip address
half-duplex
pppoe enalbe
pppoe-client dial-pool-number 1
int Dialer1
ip address negotiated
encapsulation ppp
dialer pool 1
ppp pap sent-username tangsir password linux%@!
在試驗的環境下,需要指定虛擬接口dialer 1的默認路由:ip route 0.0.0.0 0.0.0.0 dialer 1
特別注意:實際的網絡工程當中,我的這個拓撲圖是一定不存在的,這裏只是爲了模擬的需要。真是環境中有很多的鏈路連接設備,以PPP協議爲例:大家不要以爲就是電信的一根線拉到了你的公司,事實上是運營商在本地的交換機上拉一根光纖到一個稱爲SDH(可以認爲是光端機,光信號轉電信號的設備)設備上,然後CPE的SDH設備會提供接口給公司的邊界路由器。作爲網絡工程人員,我們所負責的是公司內部的邊界路由器和CPE設備之間的連接,其餘的基本上都是電信的事情。
小弟水平有限,有不足之處請多多指教!!
本文出自 “唐Sir” 博客,請務必保留此出處http://servershuji.blog.51cto.com/1283121/568068