PPPoE 技术
原理
DSL 技术是宽带接入的老技术,基于电信的固定电话网 <POTS/PSTN>,
光线接入技术是一种新的宽带接入技术,基于 EPON 和 GPON 技术。
DSL,Digital Subscriber Line,数字用户线路,是以电话线为传输介质的传输技术组合:
1、较高的传输频率(up to 1 MHz)
2、在双绞线上传输高速率数据的技术
3、在用户端和中心交换局之间的应用(最后一公里的接入技术)
ADSL,Asymmetric Digital Subscriber Line,非对称数字用户线路:
在铜线上数据与电话服务共存(POTS)
非对称数据传输,提供高速下载,由于上行数据传输较少,所以提供较低的上行速率。
ADSL 和 POTS 共存:
ADSL 关键特点就是数据与电话共存,电话语音与数据在同一对电话线上传输,数据电路在程控电话交换机处分离。
在中心局端进行电话分离,在客户端采用过滤器分离语音和数据。
ATM 网络上的 IP 数据包封装主要使用以下三种方法:
RFC 1483/2684 Bridged
PPPoE
PPPoA
使用路由器拨号上网,拨号技术用到 PPPoE 技术,以 CPE 为客户端 DSLAM 为服务端。PPP over Ethernet 用于在宽带接入网中实现用户认证接入,不管在老的 DSL 技术还是新的光纤接入技术,都可以实现。PPPoE 拨号地址大部分为动态地址,但是虚拟专用网络的搭建需要使用固定地址,否则无法进行正常的协商。
部署
PPPoE server 端配置:
1、配置 BBA-group
bba-group pppoe CISCO //拨号组 bba-group ,CISCO 进程
virtual-template 1 //定义虚拟模板,用于面向用户,设置组策略
2、创建虚拟模板
interface Virual-Template 1
ip unnumbered Loopback 1 //虚拟模板地址,借用环回接口地址,节省多个物理接口 ip
peer default ip address pool CISCO-POOL //用户地址从地址池中获取
ppp authentication pap/chap
3、物理接口启用 PPPoE
interface FastEthernet0/0
no ip address //关闭物理接口
pppoe enable group CISCO //接口下开启 PPPoE,并且归属为具体的组
4、创建本地用户名数据库和地址池
//真正运营商环境一般通过 AAA 来做认证,并且调用外部数据库来管理
username r2 password cisce
ip local pool CISCO-POOL 100.1.23.10 100.1.23.100 //100.1.23 网段,从10 到 100
5、模拟 Internet 地址
interface Loopback1
ip address 3.3.3.3 255 255.255.255
PPPoE client 端配置:
1、配置虚拟拨号接口
interface dialer0 //创建逻辑拨号接口
ip mtu 1492 //PPPoE 头部占用8个字节,需要在 MTU 1500 减去 PPPoE 头部
encapsulation ppp
ip address negotiated //开启地址协商
dialer pool 1
dialer-group 1
dialer-list 1 protocol ip permit
ppp chap hostname r2 //与服务端用户密码对应
ppp chap password cisco
2、物理接口启用 PPPoE
interface f1/0
no shutdown
no ip address
pppoe enable
pppoe-client dial-pool-number 1
3、配置默认路由
ip route 0.0.0.0 0.0.0.0 dialer 0 //不能指向物理口
4、配置 NAT(如果有必要的话)
access-list 1 permit 192.168.12.0 0.0.0.255
ip nat inside source list 1 interface dialer0 overload
interface f0/0
ip address 192.168.12.2 255.255.255.0
ip nat inside
interface dialer 0
ip nat outside
5、配置 DHCP 服务(如果有必要的话)
抓包,实际 chap 过程。把广域网中好用方式的封装到以太网中。
Dynamic-map
动态 map,用于实现动态和静态 IP 之间的虚拟专用网络建立。
上述配置已经实现拨号上网,但是由于 R2 现在地址变为动态地址,导致 IPsec 虚拟专用网络只能实现 R2 到 R4 的连通,反过来则无法正常通信,此时需要在 R3 上部署动态图,以实现 R4 到 R2 的通信。
在 L2L虚拟专用网络配置 和 拨号上网配置 的基础上,修改以下配置:
R2:
interface dialer 0
crypto map l2lmap //调用 l2l 中的策略图,以下涉及策略的参考 l2l 配置
R4:
//对面 R2 的地址是动态的
crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
//针对固定地址的,可以直接写明对方地址
crypto dynamic-map dymap 1 //部署动态图
set transform-set l2ltrans
match address l2lacl
crypto map l2lmap 1 ipsec-isakmp dynamic dymap discover //在静态中调用,满足多分支站点情况
interface f0/0
crypto map l2lmap //接口下调用
