【HCIA】13.AAA与PPP及PPPOE（二）

LCP协商过程-参数不匹配

• 在LCP报文交互中出现LCP参数不匹配时，接收方回复Configure-Nak响应告知对端修改参数然后重新协商。

LCP协商过程-参数不识别

• 在LCP报文交互中出现LCP参数不识别时，接收方回复Configure-Reject响应告知对端删除不识别的参数然后重新协商。

PPP认证协商

PAP认证

• PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。

CHAP认证

• CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。

NCP协商

静态协商

• 静态IP地址协商需要手动在链路两端配置IP地址。
• 会将对方的ip地址加入到自己的直连路由中。会生成一条以对方ip为目的，掩码为32位的直连路由。

动态协商

• 动态IP地址协商支持PPP链路一端为对端配置IP地址。

1. R1向R2发送一个Configure-Request报文，此报文中会包含一个IP地址0.0.0.0，表示向对端请求IP地址；
2. R2收到上述Configure-Request报文后，认为其中包含的地址（0.0.0.0）不合法，使用Configure-Nak回应一个新的IP地址10.1.1.1；
3. R1收到此Configure-Nak报文之后，更新本地IP地址，并重新发送一个Configure-Request报文，包含新的IP地址10.1.1.1；
4. R2收到Configure-Request报文后，认为其中包含的IP地址为合法地址，回应一个Configure-Ack报文；
5. 同时，R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2，R1认为此地址合法，回应Configure-Ack报文。

[R1-Serial1/0/0]dis this
[V200R003C00]
#
interface Serial1/0/0
 link-protocol ppp
 ppp authentication-mode chap 
 remote address 2.2.2.2 
 ip address 1.1.1.1 255.255.255.0 
#
return
--------------------------------------------------------------
[R2-Serial1/0/0]dis this
[V200R003C00]
#
interface Serial1/0/0
 link-protocol ppp
 ppp chap user dalong
 ppp chap password cipher %$%$WvxFAP5iB,5:|THTuu[-,.M3%$%$
 ip address ppp-negotiate
#
return

• 可以用来模拟运营商的工作原理，运营商创建了aaa用户名密码，家里的光猫去连接上运营商设备之后，运营商就可以给光猫分配地址。

PPPOE

• PPPoE（PPP over Ethernet，以太网承载PPP协议）是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
• PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。

PPPOE的会话过程

• PPPoE的会话建立有三个阶段，PPPoE发现阶段、PPPoE会话阶段和PPPoE终结阶段。

PPPOE的报文

PPPOE的发现

• PPPoE协议发现有四个步骤：客户端发送请求、服务端响应请求、客户端确认响应和建立会话。

• PADI用来发现PPPoE服务器，以广播的形式。
• PADO用来回复客户端我是服务器，以单播的形式。
• PADR用来请求PPPoE服务器，你来当我的服务器，单播。
• PADS回复客户端我当服务器，并给你一个SESSION ID号。
• 客户端向session id号，服务器才知道他是谁。

PPPOE的会话阶段

• PPPoE会话阶段会进行PPP协商，分为LCP协商、认证协商、NCP协商三个阶段。

PPPOE的关闭连接

• 当PPPoE客户端希望关闭连接时，会向PPPoE服务器端发送一个PADT报文，用于关闭连接。
• 同样，如果PPPoE服务器端希望关闭连接时，也会向PPPoE客户端发送一个PADT报文。

PPPOE的配置

服务器端:
作为运营商，需要给客户端分配宽带账号密码,并且使用ppp协议
aaa
local-user dalong password cipher dalong
local-user zhang service-type ppp
输入宽带账号和密码之后，服 务器需要给光猫分配一个地址，地址是在地址池里面拿出的。
ip pool pppoe
network 202.100.1.0 mask 255.255.255.0
gateway-list 202.100.1.1
创建拨号模板（如果一个接口一个接口的配置，那么需要配置很多的接口，所以创建模板批量应用到很多接口）
interface virtual-template1
ppp authentication-mode chap
ip add 202.100.1.1 24
remote address pool pppoe
将拨号模板绑定到接口
int g0/0/0
pppoe-server bind virutal-template 1
运营商到此完毕
客户端：
dialer-rule 配置拨号访问组
dialer-rule 1 ip permit  指定允许所有的IPv4报文通过
-----------------------------------
int dialer 1 创建拨号口
  dialer user 123 现实中不需要这一步
  dialer bundle 1
  ppp chap user dalong
  ppp chap password cipher dalong
  ip add ppp-ne 远端获取地址
-----------------------------------
interface g0/0/0
  pppoe-clinet dial-bundl 1 关联到物理接口
向外指定默认路由
ip route-static 0.0.0.0 0 dialer 1
做NAT地址转换
int dialer 1
nat outbound 2000