第6章 PPPOE 认证 用户 的 配置 6.1 组网图 500)this.width=500;" border=0> 『 配置 环境参数』 计算机上需要安装相应的 PPPOE 拨号软件 MA5200F 的上行口地址: 200.100.0.1 MA5200F 对端路由器地址: 200.100.0.2 RADIUS SERVER 的 IP 地址: 202.10.1.2
第6章 PPPOE 认证 用户 的 配置
6.1 组网图
『 配置 环境参数』
计算机上需要安装相应的 PPPOE 拨号软件
MA5200F 的上行口地址: 200.100.0.1
MA5200F 对端路由器地址: 200.100.0.2
RADIUS SERVER 的 IP 地址: 202.10.1.2
6.2 数据 配置 步骤
『 PPPOE 认证 用户 的接入流程是:』
l 在进行 PPPOE 接入业务的时候,和前面的 VLAN 业务相比较多了了一个 VT ( virtual template )的概念,在 VT 下面指定了关于 PPP 协商的一些数据。因此, 用户 在进行 PPPOE 拨号的时候首先就是根据 VT 下面所 配置 的协商数据进行 LCP 的协商。
l 用户 的报文从 5200 的某一个端口进入的时候 5200 就会根据事先 配置 好的 portvlan 的数据来确定这样的一个 用户 是属于哪个域的,在 portvlan 下面还 配置 了 用户 的 认证 方式是采用 PPPOE 认证 ;
l 该 用户 在找到自己所属的域之后就会根据域下面 配置 的地址池分配一个 ip 地址,然后根据域下面设置好的 认证 和计费策略来进行 认证 和计费( radius 还是本地), 认证 通过之后该 用户 就能正常的上网了。
在了解了 用户 报文的基本接入流程之后我们就开始来 配置 数据,从上面的接入流程我们可以看出来,比较关键和重要的几个数据是: VT 、地址池、域、 认证 计费策略、 PORTVLAN 的数据以及 RADIUS 数据。
【 配置 VT (虚模板)】
VT 的作用主要是进行 PPP 拨号时候的 LCP 协商,比如 认证 方式( PAP or CHAP ),协商超时时间, ppp 的二层检测数据等等。因此我们在进行 PPPOE 业务 配置 的时候首先就需要 配置 VT 。
1. 创建 virtual template :
[MA5200F]interface Virtual-Template 1
2. 配置 PPPOE 的 认证 方式( PAP or CHAP ):
[MA5200F-Virtual-Template1]ppp authentication-mode chap
这样 5200 和 用户 终端之间的 PPP 协商就采用了 chap 的方式进行。
【绑定 VT 到相应的接口】
在 PPPOE 的 配置 中我们还需要将 VT 绑定到相应的接口下面去。假设我们采用 2 号以太网口接入 PPPOE 用户 ,那么我们就需要将 VT 绑定到 2 号以太网接口的下面:
1. 进入 2 号以太网接口的 配置 视图:
[MA5200F]interface Ethernet 2
2. 将 VT 绑定到 2 号以太网接口上面:
[MA5200F-Ethernet2]pppoe-server bind virtual-template 1
这样我们就可以利用 2 号以太网接口来接入 PPPOE 用户 了。
【 配置 地址池】
PPPOE 用户 在进行 NCP 的协商阶段需要获得一个 IP 地址,这个地址是存在在一个事先设定好的地址池中的,这个地址池可以存在在一个远端的 DHCP 服务器上面,也可以存在在 5200 本机上面,如果地址池是在 5200 上面的话那么首先就要 配置 这个地址池的相关参数。
1. 创建一个名为 huawei 的地址池:
[MA5200F]ip pool huawei local
2. 配置 地址池的网关以及掩码:
[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
3. 配置 地址池的地址段:
[MA5200F-ip-pool-huawei]section 0 61.10.1. 2 61.10.1.1 0
注意:
地址池中间还需要根据具体的情况 配置 相应的 DNS 服务器。
★ 如果采用的是外置的地址池的话就按照下面的内容进行 配置 :
注意:
MA5200R007 版本在采用外置地址池的情况下也需要在本地 配置 此地址池,所不同的在建立地址池的时候需要将地址池的属性设置为 remote ,而且地址池中只需要指定 gateway ,而不需要 配置 地址段 section 。同时还需要建立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway )
1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组:
[MA5200F]dhcp-server group remotedhcp
2. 设置此 DHCP SERVER 组:
这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。
[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10
3. 创建一个远端地址池:
[MA5200F]ip pool huaweiremote remote
4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:
[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp
好了,现在我们已经给 用户 配置 了一个地址池,接下来我们要为 用户 设置相应的 认证 和计费方案。
【 配置 认证 方案】
这里我们 配置 一个采用 radius 认证 的 认证 方案,在实际的应用当中 认证 方案可以是本地的也可以是 radius 的,如果是采用本地的 认证 方案,则需要在 5200 上面生成 用户 名和密码;如果是采用 radius 的 认证 方案,则需要在 radius 上面生成 用户 名和密码。
1. 进入 AAA 视图:
[MA5200F]aaa
2. 添加一个新的 认证 方案 Auth1 :
[MA5200F-aaa]authentication-scheme Auth1
这样接下来就进入了相应的 认证 方案视图。
3. 设置 认证 方案:
我们已经创建了一个新的 认证 方案 Auth1 ,接下来我们将定义这个 认证 方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-mode radius
这里我们将 Auth1 这一个 认证 方案定义为了 radius (远端) 认证 ,也就是说采用这样的一个 认证 方案的 用户 的帐号是在远端的 radius 服务器上进行 认证 的,当然在实际的开局中我们也可以根据实际的情况将 认证 方案设置为其它的类型,如 local ,这样的话这个 用户 的帐号将在 5200 本地生成并进行 认证 。
【 配置 计费方案】
1. 进入 AAA 视图:
[MA5200F]aaa
2. 添加一个新的计费方案 Acct1 :
[MA5200F-aaa]accounting-scheme Acct1
3. 设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-mode radius
这里我们将 Acct1 这一个计费方案定义为了 radius (远端)计费,也就是说采用这样的一个计费方案的 用户 是在远端计费服务器上进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型,如 local ,这样的话这个 用户 将会在 5200 本地进行计费。
【 配置 radius 服务器】
注意:
如果前面 配置 的 认证 方案是本地 认证 的话这一步可以不用 配置 。
我们既然采用了 radius 的 认证 和计费方式,那么我们就需要在 5200 上面 配置 有关 radius 服务器的参数,这些参数包括了:服务器的地址、计费和 认证 端口、密钥等等。
1. 进入 radius 服务器 配置 视图:
[MA5200F]radius-server group radius1
其中的“ radius1 ”是 5200 上面 radius 配置 项的名字,长度不能超过 32 个字符。
2. 配置 主备用 radius 服务地址和端口号:
配置 主用 radius 服务器地址和端口号
[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812
配置 备用 radius 服务器地址和端口号(如果没有备用服务器这一步可以不配)
[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary
3. 配置 主备用计费服务地址和端口号:
配置 主用计费服务器地址和端口号
[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813
配置 备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配)
[MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary
4. 配置 共享密钥:
共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数,两端一定要设置的一致,因此在设置共享密钥之前需要和 radius 方面进行协商,这里我们假定共享密钥是 huawei 。
[MA5200F-radius-radius1]radius-server key Huawei
【 配置 域】
这里 配置 的是进行 PPPOE 认证 的时候所使用的域,在域里面需要指定 用户 所使用的地址池, 认证 和计费方案等参数。
在 5200 上面每一个 用户 都是属于一个指定的(或者是默认的)域的,因此,在进行 用户 的 配置 之前我们首先要 配置 用户 所属的域的一些参数。
1. 进入 AAA 视图:
[MA5200F]aaa
2. 新建一个名为 isp 的域:
[MA5200F-aaa]domain isp
接下来便进入了相应的域的 配置 视图。
3. 指定该域的 认证 方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
这里我们将该域的 认证 方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ,分别是 radius 认证 和 radius 计费。
4. 指定该域所使用的 raidus 服务器(如果是采用本地 认证 这一步可以不用 配置 ):
[MA5200F-aaa-domain-isp]radius-server group radius1
这里我们就将先前 配置 的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。这样属于 isp 域的 用户 都将到这样的一个 radius 服务器上进行 认证 。
【 配置 VLAN 端口】
配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户 认证 前后所使用的域,所采用的 认证 方法。
1. 进入端口 VLAN 的 配置 视图:
[MA5200F]portvlan ethernet 2 vlan 1 1
这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的 配置 视图。
2. 设置该端口 VLAN 为二层普通 用户 接入类型:
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层 认证 类型的端口,一般用于接入 VLAN 用户 。
3. 配置 用户 所使用的域:
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
这里只 配置 了 认证 时的域为 isp ,对于 认证 前的域系统在默认的情况下使用 default0 这个域,所以可以不用 配置 。
4. 配置 端口的 认证 方法:
[MA5200F-ethernet-2-vlan1-1]authentication-method pppoe
注意:
这里和前面的绑定 认证 以及 WEB 认证 所不同的是将端口的 认证 方法指定为了 pppoe ,这样从 2 号以太网端口上来的 VLAN ID 为 1 的 用户 就是采用的 pppoe 认证 的方式。
【 配置 本地 用户 参数】
注意:
如果是采用 radius 认证 请跳过这一步。
1. 进入 [local-aaa-server] 的视图:
[MA5200F]local-aaa-server
2. 添加 用户 :
[MA5200F-local-aaa-server]user hua@isp password 123
这样我们就添加了一个 用户 名为 hua@isp ,密码为 123 的本地 用户 。
【 配置 上行接口以及路由】
配置 上行接口的目的是为了和上层的路由器或者交换机相连接,在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。
1. 进入端口 VLAN 的 配置 视图:
[MA5200F]portvlan ethernet 24 0 1
2. 设置端口 VLAN 的接入类型为非管理类型:
[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface
在 access-type 后面有多个选项,其中的 interface 是指的非管理类型的端口,用于连接上层交换机。
3. 创建 VLAN 子接口:
[MA5200F]interface Ethernet 24. 0
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”,然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“ VLAN 子接口”。
这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以 配置 不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID ,三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对 用户 的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。
4. 在 VLAN 子接口下 配置 ip 地址:
[MA5200F-Ethernet24. 0 ]ip address 200.100.0.1 255.255.255.252
5. 配置 默认路由:
对于一般条件的接入业务, 5200 上面只需要 配置 一条指向上行路由器端口的默认路由就可以了:
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0. 2
6.3 测试验证
用户 终端利用 PPPOE 拨号器能够正常进行拨号 认证 , 认证 通过之后应该能够 ping 通对端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面 用户 网段的回程路由)。
同时可用 display access-user 来查看 用户 是否上线。
}}-->