第6章 PPPOE认证用户的配置

6.1 组网图

『配置环境参数』

计算机上需要安装相应的PPPOE拨号软件

MA5200F的上行口地址：200.100.0.1

MA5200F对端路由器地址：200.100.0.2

RADIUS SERVER的IP地址：202.10.1.2

6.2 数据配置步骤

『PPPOE认证用户的接入流程是：』

l 在进行PPPOE接入业务的时候，和前面的VLAN业务相比较多了了一个VT（virtual template）的概念，在VT下面指定了关于PPP协商的一些数据。因此，用户在进行PPPOE拨号的时候首先就是根据VT下面所配置的协商数据进行LCP的协商。

l 用户的报文从5200的某一个端口进入的时候5200就会根据事先配置好的portvlan的数据来确定这样的一个用户是属于哪个域的，在portvlan下面还配置了用户的认证方式是采用PPPOE认证；

l 该用户在找到自己所属的域之后就会根据域下面配置的地址池分配一个ip地址，然后根据域下面设置好的认证和计费策略来进行认证和计费（radius还是本地），认证通过之后该用户就能正常的上网了。

在了解了用户报文的基本接入流程之后我们就开始来配置数据，从上面的接入流程我们可以看出来，比较关键和重要的几个数据是：VT、地址池、域、认证计费策略、PORTVLAN的数据以及RADIUS数据。

【配置VT（虚模板）】

VT的作用主要是进行PPP拨号时候的LCP协商，比如认证方式（PAP or CHAP），协商超时时间，ppp的二层检测数据等等。因此我们在进行PPPOE业务配置的时候首先就需要配置VT。

1. 创建virtual template：

[MA5200F]interface Virtual-Template 1

2. 配置PPPOE的认证方式（PAP or CHAP）：

[MA5200F-Virtual-Template1]ppp authentication-mode chap

这样5200和用户终端之间的PPP协商就采用了chap的方式进行。

【绑定VT到相应的接口】

在PPPOE的配置中我们还需要将VT绑定到相应的接口下面去。假设我们采用2号以太网口接入PPPOE用户，那么我们就需要将VT绑定到2号以太网接口的下面：

1. 进入2号以太网接口的配置视图：

[MA5200F]interface Ethernet 2

2. 将VT绑定到2号以太网接口上面：

[MA5200F-Ethernet2]pppoe-server bind virtual-template 1

这样我们就可以利用2号以太网接口来接入PPPOE用户了。

【配置地址池】

PPPOE用户在进行NCP的协商阶段需要获得一个IP地址，这个地址是存在在一个事先设定好的地址池中的，这个地址池可以存在在一个远端的DHCP服务器上面，也可以存在在5200本机上面，如果地址池是在5200上面的话那么首先就要配置这个地址池的相关参数。

1. 创建一个名为huawei的地址池：

[MA5200F]ip pool huawei local

2. 配置地址池的网关以及掩码：

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0

3. 配置地址池的地址段：

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10

★ 如果采用的是外置的地址池的话就按照下面的内容进行配置：

1. 建立外置一个名为remotedhcp的DHCP SERVER组：

[MA5200F]dhcp-server group remotedhcp

2. 设置此DHCP SERVER组：

这里主要是指定此DHCP SERVER组所指向的DHCP SERVER的IP地址。

[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10

3. 创建一个远端地址池：

[MA5200F]ip pool huaweiremote remote

4. 指定地址池的gateway以及绑定DHCP SERVER组：

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0

[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp

好了，现在我们已经给用户配置了一个地址池，接下来我们要为用户设置相应的认证和计费方案。

【配置认证方案】

这里我们配置一个采用radius认证的认证方案，在实际的应用当中认证方案可以是本地的也可以是radius的，如果是采用本地的认证方案，则需要在5200上面生成用户名和密码；如果是采用radius的认证方案，则需要在radius上面生成用户名和密码。

1. 进入AAA视图：

[MA5200F]aaa

2. 添加一个新的认证方案Auth1：

[MA5200F-aaa]authentication-scheme Auth1

这样接下来就进入了相应的认证方案视图。

3. 设置认证方案：

我们已经创建了一个新的认证方案Auth1，接下来我们将定义这个认证方案的具体内容。

[MA5200F-aaa-authen-auth1]authentication-mode radius

这里我们将Auth1这一个认证方案定义为了radius（远端）认证，也就是说采用这样的一个认证方案的用户的帐号是在远端的radius服务器上进行认证的，当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型，如local，这样的话这个用户的帐号将在5200本地生成并进行认证。

【配置计费方案】

1. 进入AAA视图：

[MA5200F]aaa

2. 添加一个新的计费方案Acct1：

[MA5200F-aaa]accounting-scheme Acct1

3. 设置计费方案：

[MA5200F-aaa-accounting-acct1]accounting-mode radius

这里我们将Acct1这一个计费方案定义为了radius（远端）计费，也就是说采用这样的一个计费方案的用户是在远端计费服务器上进行计费的，当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型，如local，这样的话这个用户将会在5200本地进行计费。

【配置radius服务器】

我们既然采用了radius的认证和计费方式，那么我们就需要在5200上面配置有关radius服务器的参数，这些参数包括了：服务器的地址、计费和认证端口、密钥等等。

1. 进入radius服务器配置视图：

[MA5200F]radius-server group radius1

其中的“radius1”是5200上面radius配置项的名字，长度不能超过32个字符。

2. 配置主备用radius服务地址和端口号：

配置主用radius服务器地址和端口号

[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812

配置备用radius服务器地址和端口号（如果没有备用服务器这一步可以不配）

[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary

3. 配置主备用计费服务地址和端口号：

配置主用计费服务器地址和端口号

[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813

配置备用计费服务器地址和端口号（如果没有备用服务器这一步可以不配）

[MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary

4. 配置共享密钥：

共享密钥是5200和radius之间进行报文加密交互的重要参数，两端一定要设置的一致，因此在设置共享密钥之前需要和radius方面进行协商，这里我们假定共享密钥是huawei。

[MA5200F-radius-radius1]radius-server key Huawei

【配置域】

这里配置的是进行PPPOE认证的时候所使用的域，在域里面需要指定用户所使用的地址池，认证和计费方案等参数。

在5200上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的配置之前我们首先要配置用户所属的域的一些参数。

1. 进入AAA视图：

[MA5200F]aaa

2. 新建一个名为isp的域：

[MA5200F-aaa]domain isp

接下来便进入了相应的域的配置视图。

3. 指定该域的认证方案和计费方案：

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1

这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案Auth1和Acct1，分别是radius认证和radius计费。

4. 指定该域所使用的raidus服务器（如果是采用本地认证这一步可以不用配置）：

[MA5200F-aaa-domain-isp]radius-server group radius1

这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。这样属于isp域的用户都将到这样的一个radius服务器上进行认证。

【配置VLAN端口】

配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域，所采用的认证方法。

1. 进入端口VLAN的配置视图：

[MA5200F]portvlan ethernet 2 vlan 1 1

这里的含义是进入了2号以太网端口的从1开始总共1个VLAN ID的配置视图。

2. 设置该端口VLAN为二层普通用户接入类型：

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber

在access-type后面有多个选项，其中的layer-subscriber是指的普通的二层认证类型的端口，一般用于接入VLAN用户。

3. 配置用户所使用的域：

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp

这里只配置了认证时的域为isp，对于认证前的域系统在默认的情况下使用default0这个域，所以可以不用配置。

4. 配置端口的认证方法：

[MA5200F-ethernet-2-vlan1-1]authentication-method pppoe

【配置本地用户参数】

1. 进入[local-aaa-server]的视图：

[MA5200F]local-aaa-server

2. 添加用户：

[MA5200F-local-aaa-server]user hua@isp password 123

这样我们就添加了一个用户名为hua@isp，密码为123的本地用户。

【配置上行接口以及路由】

配置上行接口的目的是为了和上层的路由器或者交换机相连接，在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。

1. 进入端口VLAN的配置视图：

[MA5200F]portvlan ethernet 24 0 1

2. 设置端口VLAN的接入类型为非管理类型：

[MA5200F-ethernet-24-vlan0-0]access-type interface

在access-type后面有多个选项，其中的interface是指的非管理类型的端口，用于连接上层交换机。

3. 创建VLAN子接口：

[MA5200F]interface Ethernet 24.0

这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”，然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。

这样，一个物理端口上就可以创建多个逻辑的VLAN子接口，每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行，并且带上相应的VLAN ID，三层交换机（或者二层交换机）就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。

4. 在 VLAN子接口下配置ip地址：

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252

5. 配置默认路由：

对于一般条件的接入业务，5200上面只需要配置一条指向上行路由器端口的默认路由就可以了：

[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

6.3 测试验证

用户终端利用PPPOE拨号器能够正常进行拨号认证，认证通过之后应该能够ping通对端路由器的地址202.100.0.2（对端路由器需要做到MA5200F下面用户网段的回程路由）。

同时可用display access-user来查看用户是否上线。