利用以太网技术进行宽带接入的应用中,如何对用户进行认证、授权和计费是运营商需要考虑的问题之一。在以太网交换机上支持的一些认证手段比如8021.x主要基于以太网上的物理端口,而且在部署时需要尽量靠近边缘,甚至在运营商管理范围之外,部署和维护都不方便,具有很大的局限性。Portal Web接入方式属于三层接入,无法精确的控制接入用户且受其自身安全性的限制,也未在运营商普及。PPPoE技术将包含用户认证信息的PPP报文封装在以太网帧中,在以太网上提供点对点的连接,同时利用PAP或者CHAP认证方式对用户进行认证,很好的解决了以太网中用户接入认证的问题。
PPPoE Server:MSR3020 1809P19标准版
PPPoE client:windows 7系统客户端
RADIUS Server:EIA 7.1 E0307
PPPoE Server通过G0/0口与EIA处于同一局域网。
设备配置
RADIUS scheme视图配置
[PPPoE-radius-h3c]dis this
primary authentication 192.168.111.168 #认证服务器指向EIA
primary accounting 192.168.111.168 #计费服务器指向EIA,计费报文仅仅是维持用户在线状态,并不会产生用户费用
key authentication 123
key accounting 123 #密钥和EIA侧保持一致
user-name-format without-domain #配置用户认证时不携带后缀
PPP用户3A认证方案配置
[PPPoE-isp-h3c]dis this
authentication ppp radius-scheme h3c #认证类型为PPP,且调用radius认证
authorization ppp radius-scheme h3c
accounting ppp radius-scheme h3c
增加本地IP地址池,用于在PPP IPCP阶段给PPPoE拨号用户分配IP地址
[PPPoE]ip pool 1 172.16.0.2 172.16.0.9 #表示用户认证通过后获取172.16.0.2-172.16.0.9之间的一个地址
虚拟模板参数配置,PPP属于点对点的连接所以需要配置虚模板
[PPPoE-Virtual-Template1]dis this
ppp authentication-mode chap domain h3c #配置PPP验证采用CHAP方式,LDAP用户不支持CHAP认证,只能配置为PAP
ppp ipcp dns 114.114.114.114 #配置用户认证通过后的DNS地址
remote address pool 1 #指定用户认证通过后从该地址池获取地址
ip address 172.16.0.1 255.255.255.0 #配置虚模板接口IP地址
以太网接口视图配置
interface GigabitEthernet0/0
pppoe-server bind Virtual-Template 1 #以太网接口启用PPPoE协议
ip address 192.168.111.196 255.255.255.0 #配置接口IP地址
iMC配置
增加接入策略,其中分配IP地址改为“是”,不然PPP拨号后用户的IP地址会随机变化;
增加PPP接入服务,服务无后缀和设备侧配置保持一致
增加接入设备,密钥和设备侧保持一致,其他保持默认即可
增加接入账号并引用配置的PPP服务,在引用分配IP地址的服务时需要为用户指定IP地址,当用户认证通过后就会分配该地址
客户端配置
新建宽带拨号连接,选择“设置新的连接或网络”,接下来选择PPPoE拨号并按照提示完成新建连接
拨号测试,点击连接
输入用户名、密码
用户成功上线并获取了EIA侧分配的IP地址
EIA侧用户在线信息
设备侧用户在线信息
[PPPoE]dis connection ucibindex 29
Index=29 , Username=xun@h3c
IP=172.16.0.2 #用户IP
Access=PPP ,AuthMethod=CHAP PPP认证且采用CHAP认证方式
Port Type=Virtual ,Port Name=Virtual-Template1:0 #使用VT 1
Start=2003-11-14 09:42:21 ,Current=2003-11-14 09:44:45 ,Online=00h02m24s
Total 1 connection matched.
1:AD用户不支持CHAP认证,AD用户认证时只能配置为PAP认证;
2:需要为用户配置认证、计费和授权。
