网络安全项目一任务三 PPPOE接入配置

项目一任务三：PPPOE接入配置网络安全技术目录/CONTENT02PPPOE简介01任务介绍03PPPOE建立过程详解04PPPOE配置05任务配置任务介绍01任务介绍PacketTracer构建了一个小型网络，包含有边界路由器、集中访问控制器（路由器）、交换机及若干个人终端，现要求对集中访问控制器进行配置以控制个人终端的网络接入，个人终端需通过集中访问控制器验证后方能获取IP地址并使用当前网络资源。PPPOE简介02PPPOE简介PPPoE=PPPOverEthernet满足不同宽带上网设备（拨号、无线、有线电视等）实现PPP在以太网上的传输实质是在共享介质的网络中提供一条逻辑上的点到点链路（SessionID）；PPPoE主要协议标准：RFC2516；PPPoE结构：C/S结构，客户端：拨号软件服务器端：电信端，集中访问控制器PPPOE简介PPPOE建立过程详解03PPPoE（Discovery）发现阶段PPPOE发现阶段数据报文

PADI(PPPOE发现初始报文)PADO(PPPOE发现提供报文)PADR(PPPOE发现请求报文)PADS(PPPOE发现会话确认报文)PADT(PPPOE发现终止报文)执行Discovery来确定对方的以太网MAC地址并建立起一个PPPoE会话标识符SESSION_IDPPPOE发现阶段数据报文客户端广播一PADI(I=Initiation)请求，查找网络中的服务器；服务器端响应一PADO(O=Offer)，将自己的一些信息告知客户端；客户端向此服务器发送一PADR(R=Request)，请求会话号；服务器端响应一PADS(S=Session-confirmation)，将分配的会话号告知对方。至此，PPPoE会话建立。后续可以进行PPP的协商了。思考：PPPoE发现阶段的主要任务是什么PPPOE建立过程详解-PADI此包中重点关注几点：1、二层目的地址是：广播地址；2、帧类型：0x8863（发现阶段帧类型）3、code：PADI0x094、sessionID：0x0000,PPPOE建立过程详解PADO-PADRPPPOE建立过程详解-PADS服务器分配了sessionID之后，发现阶段的任务就已经完成了。发现阶段的两大任务：1、寻找可用的服务器；2、得到sessionID，开始PPP的建链过程。PPPoE会话阶段有三个过程LCP协商，完成二层的建链和参数协商。认证，主要使用PAP\CHAP\MSCHAPNCP协商，使用IPCP协议，完成三层的配置。数据传输PPPOE建立过程详解此阶段服务器端将验证客户端的合法性。最常见的两种就是PAP和CHAP； PAP认证：发送的认证信息是明文，可以通过抓包工具看到用户名、密码； CHAP认证：发送的认证信息是密文，抓包工具无法解析出来真正的用户名、密码。1、LCP协商阶段:LCP=LinkControlProtocol，链路控制协议此阶段主要是协商链路的一些参数，如最大接收单元MRU、MagicNumber，以及后续认证时使用的协议等；2、认证阶段:PPPOE建立过程详解上述任一阶段失败都会导致协议终止。

如果都成功，则可以开始进行IP层的通信了；3、IPCP阶段:此阶段进行IP、DNS、WINS等的协商；4、数据传输:PPPOE建立过程详解PPPOE建立过程详解PPPOE建立过程详解PPPOE建立过程详解1、上述协商过程中服务器端和客户端地位是平等的，即无论是服务器端还是客户端都可以主动发起参数的协商，也可以主动断开链路，没有时间先后的要求。

这也就是所谓的Peer-to-Peer。PPPOE建立过程详解2、无论是LCP还是PPP，协商的方法都是：

一方发出提议，并等待对方意见；

对方的意见无非三种：a)同意——应答Ackb)不同意——应答Nak，同时指出自己能接收的值如果己方能够同意对方提议的新的值，则按对方的提议重新发一次提议。这样对方就能应答Ack了。c)不认识的属性——应答RejectPPPOE建立过程详解客户端/服务器端主动断链；心跳不通；

PPP链路建立之后，客户端和服务器端均可以发送LCPechorequest请求进行keepalive。对方收到该请求后必须应答LCPechoreply。若连续若干次未收到心跳响应，则认为链路故障，断开链路。PPPOE帧结构Discovery阶段：以太网帧的ETHER_TYPE域都设置为0x8863。PPP会话阶段：以太网帧的ETHER_TYPE域都设置为0x8864。PPPoE的payload部分包含0个或多个TAG,一个TAG是一个TLV(type-length-value)结构，TAG_TYPE域为16位值(网络字节序)PPPOE配置04PPPOE配置PPPOE结构：C/S结构服务器端：集中访问控制器，PPPOE的配置应用于Server端，客户端使用PPPOE客户端软件接入集中访问控制器，俗称拨号；集中访问控制器对用户认证：本地AAA服务器基于本地用户认证的PPPOE配置PPPOE配置（PT7.0及之前支持，配置过时）配置步骤：集中访问控制器内网接口开启PPPOE功能；开启虚拟拨号功能（vpdn,指定可以接受拨号的虚拟接口）；创建用于PPPOE接入本地用户账号、密码；创建用于PPPOE接入用户IP地址池；设置外网路由；

配置完毕后，集中访问控制器会自动产生一条指向边界路由器内网接口的静态路由，思考，虚拟接口的IP地址是否必须与物理接口地址处于同一网段。PPPOE配置（PT7.0及之前支持，配置过时）集中访问控制器内网接口开启PPPOE功能Router(config)#interfaceinterface-nameRouter(config-if)#pppoeenable开启虚拟拨号功能Router(config)#vpdnenableRouter(config)#vpdn-groupgroup-nameRouter(config-vpdn)#accept-dialinRouter(config-vpdn)#protocolpppoeRouter(config-vpdn)#virtual-templatetemplate-numberPPPOE配置（PT7.0及之前支持，配置过时）虚拟接口配置Router(config)#interfacetemplate-numberRouter(config-if)#ipunnumberedFastEthernet0/0Router(config-if)#peerdefaultipaddresspoolwxitRouter(config-if)#pppauthenticationchap创建用于PPPOE接入本地用户账号、密码Router(config-if)#usernameusernamepassword0pwd创建用于PPPOE接入用户IP地址池Router(config-if)#iplocalpoolpool-namestartendPPPOE配置（PT7.2及之后支持，思科推荐配置）配置步骤：集中访问控制器内网接口开启PPPOE功能；创建bba-group，设置拨号组，拨号虚拟接口；创建virtual-template，拨号用户地址池，数据封装方式，拨号接入物理接口开启pppoe并指定用户所属拨号组创建用于PPPOE接入本地用户账号、密码；创建用于PPPOE接入用户IP地址池；设置外网路由；配置完毕后，集中访问控制器会自动产生一条指向边界路由器内网接口的静态路由，思考，虚拟接口的IP地址是否必须与物理接口地址处于同一网段。PPPOE配置（PT7.2及之后支持，思科推荐配置）创建bba-group，设置拨号组Router(config)#bba-grouppppoegroupname拨号虚拟接口Router(config-bba-group)#virtual-templateno创建virtual-template虚拟访问接口（以太网仿真拨号）

Router(config)#interfacevirtual-templatenoRouter(config-if)#ipunnumberedinterface(pppoe接入口)Router(config-if)#encapsulationppp(pt不支持)Router(config-if)#pppauthenticationchapRouter(config-if)#peerdefaultipaddresspoolpoolnamePPPOE配置（PT7.2及之后支持，思科推荐配置）创建用于PPPOE接入用户IP地址池Router(config)#iplocalpoolpool-namestartend集中访问控制器内网接口开启PPPOE功能Router(config)#interfaceinterface-nameRouter(config-if)#pppoeenablegroupgroupname设置外网路由

Router(config)#iproutenext-hop基于AAA的PPPOE配置与基于本地的区别设置AAA服务，连接AAA集中访问控制器负责IP地址分配，用户验证交予AAA负责AAA配置Router(config)#aaanew-modelRouter(config)#aaaauthenticationpppdefaultgroupradi