PPPoE 技術
原理
DSL 技術是寬帶接入的老技術,基於電信的固定電話網 <POTS/PSTN>,
光線接入技術是一種新的寬帶接入技術,基於 EPON 和 GPON 技術。
DSL,Digital Subscriber Line,數字用戶線路,是以電話線爲傳輸介質的傳輸技術組合:
1、較高的傳輸頻率(up to 1 MHz)
2、在雙絞線上傳輸高速率數據的技術
3、在用戶端和中心交換局之間的應用(最後一公里的接入技術)
ADSL,Asymmetric Digital Subscriber Line,非對稱數字用戶線路:
在銅線上數據與電話服務共存(POTS)
非對稱數據傳輸,提供高速下載,由於上行數據傳輸較少,所以提供較低的上行速率。
ADSL 和 POTS 共存:
ADSL 關鍵特點就是數據與電話共存,電話語音與數據在同一對電話線上傳輸,數據電路在程控電話交換機處分離。
在中心局端進行電話分離,在客戶端採用過濾器分離語音和數據。
ATM 網絡上的 IP 數據包封裝主要使用以下三種方法:
RFC 1483/2684 Bridged
PPPoE
PPPoA
使用路由器撥號上網,撥號技術用到 PPPoE 技術,以 CPE 爲客戶端 DSLAM 爲服務端。PPP over Ethernet 用於在寬帶接入網中實現用戶認證接入,不管在老的 DSL 技術還是新的光纖接入技術,都可以實現。PPPoE 撥號地址大部分爲動態地址,但是虛擬專用網絡的搭建需要使用固定地址,否則無法進行正常的協商。
部署
PPPoE server 端配置:
1、配置 BBA-group
bba-group pppoe CISCO //撥號組 bba-group ,CISCO 進程
virtual-template 1 //定義虛擬模板,用於面向用戶,設置組策略
2、創建虛擬模板
interface Virual-Template 1
ip unnumbered Loopback 1 //虛擬模板地址,借用環回接口地址,節省多個物理接口 ip
peer default ip address pool CISCO-POOL //用戶地址從地址池中獲取
ppp authentication pap/chap
3、物理接口啓用 PPPoE
interface FastEthernet0/0
no ip address //關閉物理接口
pppoe enable group CISCO //接口下開啓 PPPoE,並且歸屬爲具體的組
4、創建本地用戶名數據庫和地址池
//真正運營商環境一般通過 AAA 來做認證,並且調用外部數據庫來管理
username r2 password cisce
ip local pool CISCO-POOL 100.1.23.10 100.1.23.100 //100.1.23 網段,從10 到 100
5、模擬 Internet 地址
interface Loopback1
ip address 3.3.3.3 255 255.255.255
PPPoE client 端配置:
1、配置虛擬撥號接口
interface dialer0 //創建邏輯撥號接口
ip mtu 1492 //PPPoE 頭部佔用8個字節,需要在 MTU 1500 減去 PPPoE 頭部
encapsulation ppp
ip address negotiated //開啓地址協商
dialer pool 1
dialer-group 1
dialer-list 1 protocol ip permit
ppp chap hostname r2 //與服務端用戶密碼對應
ppp chap password cisco
2、物理接口啓用 PPPoE
interface f1/0
no shutdown
no ip address
pppoe enable
pppoe-client dial-pool-number 1
3、配置默認路由
ip route 0.0.0.0 0.0.0.0 dialer 0 //不能指向物理口
4、配置 NAT(如果有必要的話)
access-list 1 permit 192.168.12.0 0.0.0.255
ip nat inside source list 1 interface dialer0 overload
interface f0/0
ip address 192.168.12.2 255.255.255.0
ip nat inside
interface dialer 0
ip nat outside
5、配置 DHCP 服務(如果有必要的話)
抓包,實際 chap 過程。把廣域網中好用方式的封裝到以太網中。
Dynamic-map
動態 map,用於實現動態和靜態 IP 之間的虛擬專用網絡建立。
上述配置已經實現撥號上網,但是由於 R2 現在地址變爲動態地址,導致 IPsec 虛擬專用網絡只能實現 R2 到 R4 的連通,反過來則無法正常通信,此時需要在 R3 上部署動態圖,以實現 R4 到 R2 的通信。
在 L2L虛擬專用網絡配置 和 撥號上網配置 的基礎上,修改以下配置:
R2:
interface dialer 0
crypto map l2lmap //調用 l2l 中的策略圖,以下涉及策略的參考 l2l 配置
R4:
//對面 R2 的地址是動態的
crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
//針對固定地址的,可以直接寫明對方地址
crypto dynamic-map dymap 1 //部署動態圖
set transform-set l2ltrans
match address l2lacl
crypto map l2lmap 1 ipsec-isakmp dynamic dymap discover //在靜態中調用,滿足多分支站點情況
interface f0/0
crypto map l2lmap //接口下調用