实验拓扑:
像以前做的大部分实验,都是以大客户或者数据中心的形式,直接拉一根网线,配好网线就能上网。但是在现实生活中,大部分用户(比如小区)都是采用拨号上网的形式,通过验证用户账号及密码的方式上网,这样也方便运营商区分不同用户的业务类型以及计费方式。
如图,将在c1与r1之间通过拨号的方式上网(而非通过配置网关的方式)。
首先进行基本配置
r1#conf t
r1(config-if)#int f0/0
r1(config-if)#ip add 12.0.0.1 255.255.255.252
r1(config-if)#no sh
r1(config-if)#ex
r1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2
r2#conf t
r2(config)#int f0/0
r2(config-if)#ip add 12.0.0.2 255.255.255.252
r2(config-if)#no sh
r2(config-if)#int f0/1
r2(config-if)#ip add 192.168.90.1 255.255.255.0
r2(config-if)#ex
r2(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1
r3#conf t
r3(config)#no ip routing
2.进行pppoe配置
pppoe有2种身份验证方式,一种是本地验证(在r1上验证),第二种是运用专门的验证服务器验证(在c2上验证)
c1我绑定的网卡的是v1网卡,用真机来模拟,而c2我用一台模拟机来模拟。
(1)首先进行本地验证的演示
在r1上配置
r1(config)#vpdn enable //开启虚拟拨号功能
r1(config)#bba-group pppoe global
r1(config-bba-group)#virtual-template 1 //绑定虚模板
r1(config-bba-group)#sessions max limit 200 //最大允许的会话数
r1(config-bba-group)#ex
r1(config)#ip dhcp pool pppoe //建立地址池
r1(dhcp-config)#network 112.1.1.0 255.255.255.0
r1(dhcp-config)#dns-server 1.1.1.1
r1(dhcp-config)#int f0/1
r1(config-if)#pppoe enable group global //开启接口下pppoe
r1(config-if)#interface virtual-template1
r1(config-if)# ip address 112.1.1.1 255.255.255.0 //设置bars下行口ip地址
r1(config-if)# peer default ip address dhcp-pool pppoe
r1(config-if)#ppp authentication pap //使用pap方式验证
r1(config-if)#username test pass abc123 //用户名、密码
r1(config)#end
这样就配置完成了,这里我配置的用户名为test ,密码为abc123
直接用宽带连接就可以拨号登录了。
r1上show ip route
r1#show ip route
.....
112.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
c 112.1.1.0/24 is directly connected, virtual-access1.1
c 112.1.1.2/32 is directly connected, virtual-access1.1
12.0.0.0/30 is subnetted, 1 subnets
c 12.0.0.0 is directly connected, fastethernet0/0
s* 0.0.0.0/0 [1/0] via 12.0.0.2
可以发现有一个32位的ip地址已经分配出去了,即v1网卡的地址。
(2)服务器身份验证
由于路由器的资源有限,现网中很少用本地验证的方式,去承载大量的拨号用户名及密码的匹配条目,而是采用专门的服务器去做身份验证。
这里我用c2作为服务器,首先对c2的网卡参数进行配置。
网关设为r2的f0/1口,首先在r1上测试一下连通性
r1(config)#do ping 192.168.90.1
type escape sequence to abort.
sending 5, 100-byte icmp echos to 192.168.90.1, timeout is 2 seconds:
.!!!!
success rate is 80 percent (4/5), round-trip min/avg/max = 36/52/60 ms
没问题。
下面需要应用一款很实用的小软件winradius
将winradius共享进虚拟机c2,进行一些配置
设置——数据库,设为自动配置。
操作——添加账号,新建jack用户,密码abc123,还可以修改预付金额、形式等。
设置——多重秘钥,设置ip为r1的f0/0口地址、密码。
还可以对设置里的认证方式、计费方式进行设置。
下面,对r1进行配置,在本地验证的基础上
r1(config)#aaa new-model //3a认证
r1(config)#!
r1(config)#aaa group server radius radius-groups //设置使用服务器验证
r1(config-sg-radius)# server 192.168.90.11 auth-port 1812 acct-port 1813
r1(config-sg-radius)#aaa authentication ppp test group radius group radius-groups
r1(config)#aaa accounting network test start-stop group radius group radius-groups
r1(config)#radius-server host 192.168.90.11 auth-port 1812 acct-port 1813 key abc123
//绑定服务器的ip地址、端口和密码
r1(config)#interface virtual-template1
r1(config-if)# ip address 112.1.1.1 255.255.255.0
r1(config-if)#no ppp authentication pap //去掉刚才配置的pap
r1(config-if)#ppp authentication pap chap test //使用pap、chap方式验证
r1(config-if)#ppp accounting test
r1(config-if)#int f0/1
r1(config-if)#pppoe enable group global
r1(config-if)# no shut
r1(config-if)#end
这样,就设置好了。
可以进行拨号登录了,用户名jack,密码abc123
c 112.1.1.3/32 is directly connected, virtual-access1.1
又分配出去一个32位的ip地址 112.1.1.3
同时winradius上也有相应的登录成功日志了
实验完毕。