實驗拓撲:
像以前做的大部分實驗,都是以大客戶或者資料中心的形式,直接拉一根網線,配好網線就能上網。但是在現實生活中,大部分使用者(比如小區)都是采用撥号上網的形式,通過驗證使用者賬号及密碼的方式上網,這樣也友善營運商區分不同使用者的業務類型以及計費方式。
如圖,将在c1與r1之間通過撥号的方式上網(而非通過配置網關的方式)。
首先進行基本配置
r1#conf t
r1(config-if)#int f0/0
r1(config-if)#ip add 12.0.0.1 255.255.255.252
r1(config-if)#no sh
r1(config-if)#ex
r1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2
r2#conf t
r2(config)#int f0/0
r2(config-if)#ip add 12.0.0.2 255.255.255.252
r2(config-if)#no sh
r2(config-if)#int f0/1
r2(config-if)#ip add 192.168.90.1 255.255.255.0
r2(config-if)#ex
r2(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1
r3#conf t
r3(config)#no ip routing
2.進行pppoe配置
pppoe有2種身份驗證方式,一種是本地驗證(在r1上驗證),第二種是運用專門的驗證伺服器驗證(在c2上驗證)
c1我綁定的網卡的是v1網卡,用真機來模拟,而c2我用一台模拟機來模拟。
(1)首先進行本地驗證的示範
在r1上配置
r1(config)#vpdn enable //開啟虛拟撥号功能
r1(config)#bba-group pppoe global
r1(config-bba-group)#virtual-template 1 //綁定虛模闆
r1(config-bba-group)#sessions max limit 200 //最大允許的會話數
r1(config-bba-group)#ex
r1(config)#ip dhcp pool pppoe //建立位址池
r1(dhcp-config)#network 112.1.1.0 255.255.255.0
r1(dhcp-config)#dns-server 1.1.1.1
r1(dhcp-config)#int f0/1
r1(config-if)#pppoe enable group global //開啟接口下pppoe
r1(config-if)#interface virtual-template1
r1(config-if)# ip address 112.1.1.1 255.255.255.0 //設定bars下行口ip位址
r1(config-if)# peer default ip address dhcp-pool pppoe
r1(config-if)#ppp authentication pap //使用pap方式驗證
r1(config-if)#username test pass abc123 //使用者名、密碼
r1(config)#end
這樣就配置完成了,這裡我配置的使用者名為test ,密碼為abc123
直接用寬帶連接配接就可以撥号登入了。
r1上show ip route
r1#show ip route
.....
112.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
c 112.1.1.0/24 is directly connected, virtual-access1.1
c 112.1.1.2/32 is directly connected, virtual-access1.1
12.0.0.0/30 is subnetted, 1 subnets
c 12.0.0.0 is directly connected, fastethernet0/0
s* 0.0.0.0/0 [1/0] via 12.0.0.2
可以發現有一個32位的ip位址已經配置設定出去了,即v1網卡的位址。
(2)伺服器身份驗證
由于路由器的資源有限,現網中很少用本地驗證的方式,去承載大量的撥号使用者名及密碼的比對條目,而是采用專門的伺服器去做身份驗證。
這裡我用c2作為伺服器,首先對c2的網卡參數進行配置。
網關設為r2的f0/1口,首先在r1上測試一下連通性
r1(config)#do ping 192.168.90.1
type escape sequence to abort.
sending 5, 100-byte icmp echos to 192.168.90.1, timeout is 2 seconds:
.!!!!
success rate is 80 percent (4/5), round-trip min/avg/max = 36/52/60 ms
沒問題。
下面需要應用一款很實用的小軟體winradius
将winradius共享進虛拟機c2,進行一些配置
設定——資料庫,設為自動配置。
操作——添加賬号,建立jack使用者,密碼abc123,還可以修改預付金額、形式等。
設定——多重秘鑰,設定ip為r1的f0/0口位址、密碼。
還可以對設定裡的認證方式、計費方式進行設定。
下面,對r1進行配置,在本地驗證的基礎上
r1(config)#aaa new-model //3a認證
r1(config)#!
r1(config)#aaa group server radius radius-groups //設定使用伺服器驗證
r1(config-sg-radius)# server 192.168.90.11 auth-port 1812 acct-port 1813
r1(config-sg-radius)#aaa authentication ppp test group radius group radius-groups
r1(config)#aaa accounting network test start-stop group radius group radius-groups
r1(config)#radius-server host 192.168.90.11 auth-port 1812 acct-port 1813 key abc123
//綁定伺服器的ip位址、端口和密碼
r1(config)#interface virtual-template1
r1(config-if)# ip address 112.1.1.1 255.255.255.0
r1(config-if)#no ppp authentication pap //去掉剛才配置的pap
r1(config-if)#ppp authentication pap chap test //使用pap、chap方式驗證
r1(config-if)#ppp accounting test
r1(config-if)#int f0/1
r1(config-if)#pppoe enable group global
r1(config-if)# no shut
r1(config-if)#end
這樣,就設定好了。
可以進行撥号登入了,使用者名jack,密碼abc123
c 112.1.1.3/32 is directly connected, virtual-access1.1
又配置設定出去一個32位的ip位址 112.1.1.3
同時winradius上也有相應的登入成功日志了
實驗完畢。