PPPoE原理,配置和实操

已于 2023-09-16 20:46:41 修改
阅读量6.1k 收藏 113
点赞数 19
分类专栏: 数通 文章标签: 网络 服务器 运维
于 2023-08-27 17:00:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45953122/article/details/132525191
版权

文章目录

一、PPoE原理和配置

DSL应用场景

image-20230726094747595

数字用户线路DSL(Digital Subscriber Line)是以电话线为传输介质的传输技术,人们通常把所有的DSL技术统称为xDSL,x代表不同种类的数字用户线路技术。目前比较流行的宽带接入方式为ADSL,ADSL是非对称DSL技术,使用的是PPPoE(PPP over Ethernet)协议。

在使用DSL接入网络时,用户侧会安装调制解调器,然后通过现有的电话线与数字用户线路接入复用器(DSLAM)相连。DSLAM是各种DSL系统的局端设备,属于最后一公里接入设备。
然后,DSLAM通过高速ATM网络或者以太网将用户的数据流量转发给宽带远程接入服务器(BRAS)。BRAS是面向宽带网络应用的接入网关,位于骨干网的边缘层。

PPPoE在DSL中的应用

image-20230726094846110

运营商希望通过同一台接入设备来连接远程的多个主机,同时接入设备能够提供访问控制和计费功能。在众多的接入技术中,把多个主机连接到接入设备的最经济的方法就是以太网,而PPP协议可以提供良好的访问控制和计费功能,于是产生了在以太网上传输PPP报文的技术,即PPPoE。
PPPoE利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并运用PPP协议对接入的每个主机进行控制,具有适用范围广、安全性高、计费方便的特点。
PPPoE技术解决了用户上网收费等实际应用问题,得到了宽带接入运营商的认可并被广泛应用。

PPPoE报文

image-20230726094901954

PPPoE报文是使用Ethernet格式进行封装的,Ethernet中各字段解释如下:
DMAC:表示目的设备的MAC地址,通常为以太网单播目的地址或者以太网广播地址(0xFFFFFFFF)。
SMAC:表示源设备的以太网MAC地址。
Type:表示协议类型字段,当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。
PPPoE字段中的各个字段解释如下:
VER:表示PPPoE版本号,值为0x01。
Type:表示类型,值为0x01。
Code:表示PPPoE报文类型,不同取值标识不同的PPPoE报文类型。
PPPoE会话ID,与以太网SMAC和DMAC一起定义了一个PPPoE会话。
Length:表示PPPoE报文的Payload长度,不包括以太网头部和PPPoE头部的长度。

PPPoE会话建立过程

image-20230726094936705

PADI(PPPoE Active Discovery Initiation)报文:用户主机发起的PPPoE服务器探测报文,目的MAC地址为广播地址。
PADO(PPPoE Active Discovery Offer)报文:PPPoE服务器收到PADI报文之后的回应报文,目的MAC地址为客户端主机的MAC地址。
PADR(PPPoE Active Discovery Request)报文:用户主机收到PPPoE服务器回应的PADO报文后,单播发起的请求报文,目的地址为此用户选定的那个PPPoE服务器的MAC地址。
PADS(PPPoE Active Discovery Session Configuration)报文:PPPoE服务器分配一个唯一的会话进程ID,并通过PADS报文发送给主机。
PADT(PPPoE Active Discovery Terminate)报文:当用户或者服务器需要终止会话时,可以发送这种PADT报文。

PPPoE协议报文

image-20230726095117185

PPPoE发现阶段

image-20230726095139631

在发现阶段,PPPoE客户端在本地以太网中广播一个PADI报文,此PADI报文中包含了客户端需要的服务信息。在PADI报文中,目的MAC地址是一个广播地址,Code字段为0x09,Session ID字段为0x0000。所有PPPoE服务器收到PADI报文之后,会将报文中所请求的服务与自己能够提供的服务进行比较。

image-20230726095243458

如果服务器可以提供客户端请求的服务,就会回复一个PADO报文。客户端(RTA)可能会收到多个PPPoE服务器发送的PADO报文。在PADO报文中,目的地址是发送PADI报文的客户端MAC地址,Code字段为0x07,Session ID字段为0x0000。

image-20230726095341983

因为PPPoE客户端是以广播的形式发送PADI报文,所以客户端可能会收到多个PADO报文。在接收到的所有PADO报文中,PPPoE客户端选择最先收到的PADO报文对应的PPPoE服务器,并发送一个PADR报文给这个服务器。在PADR报文中,目的地址是选中的服务器的MAC地址,Code字段为0x19,Session ID字段为0x0000。

image-20230726095510518

PPPoE服务器收到PADR报文后,会生成一个唯一的Session ID来标识和PPPoE客户端的会话,并通过一个PADS报文把Session ID发送给PPPoE客户端。在PADS报文中,目的地址是PPPoE客户端的MAC地址,Code字段为0x65,Session ID字段是PPPoE服务器为本PPPoE会话产生的Session ID。会话建立成功后,PPPoE客户端和服务器进入PPPoE会话阶段。

PPPoE会话阶段

image-20230726095653278

PPPoE会话阶段可分为两部分:PPP协商阶段和PPP报文传输阶段。
PPPoE Session上的PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段。
LCP阶段主要完成建立、配置和检测数据链路连接。
LCP协商成功后,开始进行认证,认证协议类型由LCP协商结果决定。认证成功后,PPP进入NCP阶段,
NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP地址和DNS服务器地址等。
PPPoE Session的PPP协商成功后,就可以承载PPP数据报文。在这一阶段传输的数据包中必须包含在发现阶段确定的Session ID并保持不变。

PPPoE会话终结

image-20230726095742266

当PPPOE客户端希望关闭连接时,可以向PPPOE服务器端发送一个PADT报文。同样,如果PPPOE服务器端希望关闭连接时,也可以向PPPOE客户端发送一个PADT报文,此报文用于关闭连接。
在PADT报文中,目的MAC地址为单播地址,Session ID为希望关闭的连接的Session ID。一旦收到一个PADT报文之后,连接随即关闭。

PPPoE会话连接过程

image-20230726095809047

用户客户端向服务器发送一个PADI报文,开始PPPOE接入。
服务器向客户端发送PADO报文。
客户端根据回应,发起PADR请求给服务器。
服务器产生一个Session ID,通过PADS发给客户端。
客户端和服务器之间进行PPP的LCP协商,建立链路层通信。同时,协商使用CHAP认证方式。
服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
客户端收到Challenge报文后,并将密码和Challenge做MD5算法运算后,在Response回应报文中把结果发送给服务器。
服务器根据用户发送的信息判断用户是否合法,然后回应认证成功/失败报文,将认证结果返回给客户端。
进行NCP(如IPCP)协商,通过服务器获取到规划的IP地址等参数。

PPPoE配置(服务端)

image-20230726095838135

image-20230726095852707

image-20230726095932238

image-20230726095952754

image-20230726100016599

PPPoE配置(客户端)

image-20230726100047178

PPPoE客户端配置包括三个步骤。
首先需要配置一个拨号接口。
dialer-rule命令用于进入Dialer-rule视图,在该视图下,可以通过拨号规则来配置发起PPPoE会话的条件。
interface dialer number命令用来创建并进入Dialer接口。
dialer user user-name命令用于配置对端用户名,这个用户名必须与对端服务器上的PPP用户名相同。
dialer-group group-number命令用来将接口置于一个拨号访问组。
dialer bundle number命令用来指定Dialer接口使用的Dialer bundle。设备通过Dialer bundle将物理接口与拨号接口关联起来。

image-20230726100210170

第二个步骤是在接口上将Dialer Bundle和接口绑定:
pppoe-client dial-bundle-number number命令来实现Dialer Bundle和物理接口的绑定,用来指定PPPoE会话对应的Dialer Bundle,其中number是与PPPoE会话相对应的Dialer Bundle编号。on-demand表示PPPoE会话工作在按需拨号模式。AR2200支持报文触发方式的按需拨号。目前ARG3系列路由器支持的按需拨号方式为报文触发方式,即当物理线路Up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。
第三个步骤是配置一条缺省静态路由,该路由允许在路由表中没有相应匹配表项的流量都能通过拨号接口发起PPPoE会话。

display interface dialer[ number ]命令用于查看拨号接口的配置,便于定位拨号接口的故障。
LCP opened, IPCP opened表示链路的状态完全正常。
display pppoe-client session summary命令用于查看PPPoE客户端的PPPoE会话状态和统计信息。
本节给出了两个例子来说明不同的PPPoE会话状态。
ID表示PPPoE会话ID,Bundle ID和Dialer ID的值与拨号参数配置有关。
Intf表示客户端侧协商时的物理接口。
State表示PPPoE会话的状态,包括以下四种:

IDLE表示当前会话状态为空闲。
PADI表示PPPoE会话处于发现阶段,并已经发送PADI报文。
PADR表示PPPoE会话处于发现阶段,并已经发送PADR报文。
UP表示PPPoE会话建立成功。

配置验证

image-20230726100325486

[R1]interface Dialer 1                                          #创建dialer 1
[R1-Dialer1]link-protocol ppp                                   #协议设置为ppp
[R1-Dialer1]ppp chap user huawei                                #创建chap认证账户
[R1-Dialer1]ppp chap password simple huawei                     #创建chap认证密码
[R1-Dialer1]ip address ppp-negotiate                            #拨号接口地址从pppoe的服务器上得到
[R1-Dialer1]dialer user huawei                                  #绑定用户
[R1-Dialer1]dialer bundle 2                                     #指定diraler 1接口的编号(用于和物理接口绑定)
[R1-Dialer1]dialer-group 10                                     #绑定acl策略

[R1]interface GigabitEthernet 0/0/1                             #进入接口gi0/0/1中
[R1-GigabitEthernet0/0/1]pppoe-client dial-bundle-number 2      #将pppoe拨号接口绑定到出接口地址
[R1-GigabitEthernet0/0/1]quit                                   #退出接口配置模式

二、网络地址转换

​ 随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段
​ 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。

NAT应用场景

image-20230726105832709

企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。NAT一般部署在连接内网和外网的网关设备上。

静态NAT

image-20230726105933741

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l2vLUrsV-1693126684769)(PPPoE%E5%8E%9F%E7%90%86%E5%92%8C%E9%85%8D%E7%BD%AE.assets/image-20230726114339412.png)]

动态NAT

NAPT

image-20230726110359479

​ 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口

Easy IP

image-20230726110629772

EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口,适用于小规模的局域网部署

NAT服务器

image-20230726110721786

通过配置NAT服务器可以使外网用户访问内网服务器

静态NAT配置

image-20230726111242584

配置验证

image-20230726112000123

静态nat转换抓包实验

image-20230726142825866

  • PC1配置

image-20230726150455814

  • PC2配置

image-20230726150540531

  • R1配置

image-20230726143040053

  • R2配置

image-20230726143220433

配置验证

image-20230726150623476

image-20230726150641316

抓包:

​ 用pc1访问200.1.1.254,对R2的g0/0/0接口进行抓包:

image-20230726150849250

用pc1访问200.1.1.254,对R1的g0/0/1接口进行抓包:

image-20230726151917432

通过比较上面抓到的包,发现地址在通过R1时,将pc1的私网IP地址转换成了公网IP地址

总结

静态nat转换
私网地址去往公网地址时,在网关内,他们的源地址和目的地址是一致的,在网关外会将私网地址转换成公网地址,再到达目的ip地址

动态nat

不需要公网ip和私网ip做唯一的映射

端口nat

一个公网ip,通过不同的端口做映射

三、访问控制列表

​ 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定

​ 访问控制列表ACL (Access Control List) 可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

​ ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。
设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。

ACL应用场景

image-20230726162049957

image-20230726162144598

ACL分类

image-20230726162249702

根据不同的划分规则,ACL可以有不同的分类。最常见的三种分类是基本ACL、高级ACL和二层ACL。
基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999。
高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999。
二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999。

ACL规则

image-20230726162408839

​ 一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。需要注意的是,ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。
​ 配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号,规则编号决定了规则被匹配的顺序。例如,如果将步长设定为5,则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2,则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长,使规则之间留有一定的空间,用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外,ARG3系列路由器默认规则编号的步长是5。
自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。
​ 本示例中,RTA收到了来自两个网络的报文。默认情况下,RTA会依据ACL的配置顺序来匹配这些报文。网络172.16.0.0/24发送的数据流量将被RTA上配置的ACL2000的规则15匹配,因此会被拒绝。而来自网络172.17.0.0/24的报文不能匹配访问控制列表中的任何规则,因此RTA对报文不做任何处理,而是正常转发。

基本ACL配置

image-20230726162839278

​ acl [ number ] 命令用来创建一个ACL,并进入ACL视图。
​ rule [ rule-id ] { deny | permit } source { source-address source-wildcard | any } 命令用来增加或修改ACL的规则。deny用来指定拒绝符合条件的数据包,permit用来指定允许符合条件的数据包,source用来指定ACL规则匹配报文的源地址信息,any表示任意源地址。
​ traffic-filter { inbound | outbound }acl{ acl-number }命令用来在接口上配置基于ACL对报文进行过滤。
本示例中,主机A发送的流量到达RTA后,会匹配ACL2000中创建的规则rule deny source 192.168.1.0 0.0.0.255,因而将被拒绝继续转发到Internet。主机B发送的流量不匹配任何规则,所以会被RTA正常转发到Internet。

​ 执行display acl 命令可以验证配置的基本ACL。
​ 本例中,所配置的ACL只有一条规则,即拒绝源IP地址在192.168.1.0/24范围的所有IP报文。
执行display traffic-filter applied-record命令可以查看设备上所有基于ACL进行报文过滤的应用信息,这些信息可以帮助用户了解报文过滤的配置情况并核对其是否正确,同时也有助于进行相关的故障诊断与排查。

配置确认

image-20230726163010780

高级ACL配置

image-20230726164029285

image-20230726170019251

​ 基本ACL可以依据源IP地址进行报文过滤,而高级ACL能够依据源/目的IP地址、源/目的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数(SYN|ACK|FIN等)进行报文过滤。
​ 本示例中,RTA上定义了高级ACL3000,其中第一条规则“rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21”用于限制源地址范围是192.168.1.0/24,目的IP地址为172.16.10.1,目的端口号为21的所有TCP报文;第二条规则“rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0 ”用于限制源地址范围是192.168.2.0/24,目的地址是172.16.10.2的所有TCP报文;第三条规则“rule permit ip”用于匹配所有IP报文,并对报文执行允许动作。

​ 执行display acl 命令可以验证配置的高级ACL。
​ 显示信息表明:RTA上一共配置了3条高级ACL规则。第一条规则用于拒绝来自源IP地址192.168.1.0/24,目的IP地址为172.16.10.1,目的端口为21(SFTP)的TCP报文;第二条规则用于拒绝来自源IP地址192.168.2.0/24,目的IP地址为172.16.10.2的所有TCP报文;第三条规则允许所有IP报文通过。

四、实操

1.端口nat转换实操

image-20230726173947981

  • 首先连接并配置设备的响应IP地址
  • 配置R1
acl 2000
rule permit source 192.168.1.0 0.0.0.255
q
nat address-group 1 12.1.1.2 12.1.1.2

#进入g0/0/0接口
int g0/0/0
nat outbound 2000 address-group 1
  • 使用pc1访问R2

image-20230726174506553

  • 在R1的g0/0/0接口查看抓包

image-20230726174653878

​ 可以看到,都是从12.1.1.2去访问12.1.1.254的现在让pc1持续ping12.1.1.254,然后使用pc访问12.1.1.254,如果使用动态nat映射的话,就会访问不通,如果能访问通,说明使用的是端口映射。通过下面的图可以看出R1做了端口映射。

image-20230726175159504

  • 添加一台服务器和一台客户机

image-20230726193223264

​ 让客户机去访问server1服务器,并通过在R1的g0/0/0接口和LSW1的gg0/0/4接口抓包查看:

image-20230726193454485

​ R1的g0/0/0接口抓包:

image-20230726193530201

​ LSW1的g0/0/4接口抓包:

image-20230726193635661

​ 可以看出端口做了转换。

2.动态nat转换实操

image-20230726195808055

  • 连接并配置各个接口的IP地址
  • R2配置
[Huawei-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[Huawei]nat address-group 1 12.1.1.2 12.1.1.4
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
  • 在R2的g0/0/0接口抓包

image-20230726202952462

如图所示,当主机访问服务器IP:12.1.1.5时会和公网IP12.1.1.2、12.1.1.3、12.1.1.4做映射,当映射还没有删除时,如果继续访问服务器,就会请求超时,当之前的映射释放时,会再次访问成功。

image-20230726203409157

3.easy ip实操

image-20230726205119278

  • 首先连接并配置各个接口的IP
  • R2配置:
[Huawei-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[Huawei-GigabitEthernet0/0/0]nat outbound 2000
  • 使用pc1访问服务器12.1.1.5:

image-20230726205449537

  • 抓取R2的g0/0/0接口:

image-20230726205705363

在图中可以看出,只用了一个公网IP在访问服务器,并且在pc1一直访问的同时,其他pc机可能访问到服务器。

4.acl2000(基础acl实操)

image-20230726213812423

  • 连接并配置各个接口的IP地址

  • pc1,pc2,LSW1,AR1之间建立单臂路由,相关配置如下:

    LSW1配置:

    [Huawei]vlan batch 10 20
[Huawei-Ethernet0/0/1]port link-type hybrid 
[Huawei-Ethernet0/0/1]port hybrid pvid vlan 10
[Huawei-Ethernet0/0/1]port hybrid untagged vlan 10 20

[Huawei-Ethernet0/0/2]port link-type hybrid 
[Huawei-Ethernet0/0/2]port hybrid untagged vlan 10 20
[Huawei-Ethernet0/0/2]port hybrid pvid vlan 20

[Huawei-Ethernet0/0/3]port link-type hybrid 
[Huawei-Ethernet0/0/3]port hybrid tagged vlan 10 20

    R1配置:

    [Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable 

[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable 


[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 #配置g0/0/1接口IP

  • 配置完单臂路由之后,pc1,pc2,pc3之间能够正常相互通信,现在要求只有pc1能够访问pc3,而pc2不能访问pc3。

    R1配置:

    [Huawei]acl 2000

[Huawei-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.25

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

​ 分别使用pc1和pc2访问pc3

image-20230726215448612

image-20230726215504554

由上面两图可知,现在只有pc1能够访问pc3,配置成功。

5.高级acl实操

image-20230726223040098

  • 连接并配置各个接口的IP地址

  • pc1,pc2,LSW1,AR1之间建立单臂路由,相关配置如下:

    LSW1配置:

    [Huawei]vlan batch 10 20
[Huawei-Ethernet0/0/1]port link-type hybrid 
[Huawei-Ethernet0/0/1]port hybrid pvid vlan 10
[Huawei-Ethernet0/0/1]port hybrid untagged vlan 10 20

[Huawei-Ethernet0/0/2]port link-type hybrid 
[Huawei-Ethernet0/0/2]port hybrid untagged vlan 10 20
[Huawei-Ethernet0/0/2]port hybrid pvid vlan 20

[Huawei-Ethernet0/0/3]port link-type hybrid 
[Huawei-Ethernet0/0/3]port hybrid tagged vlan 10 20

    R1配置:

    [Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable 

[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable 


[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 #配置g0/0/1接口IP

  • 此时pc1能够访问pc3和server1

  • 现在要求:让pc1能够访问到pc3,但访问不到server1

    R1配置:

    [Huawei]acl 3000

[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

  • 现在使用pc1访问server1和pc3:

    image-20230726223637846

image-20230726223715583

abitEthernet0/0/0.2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable

[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.254 24 #配置g0/0/1接口IP




- 此时pc1能够访问pc3和server1

- 现在要求:让pc1能够访问到pc3,但访问不到server1

R1配置:

```shell
[Huawei]acl 3000

[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0.0.0.0

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

  • 现在使用pc1访问server1和pc3:

    [外链图片转存中…(img-fSebUZOq-1693126684780)]

[外链图片转存中…(img-X2l7pubd-1693126684780)]

详细讲解PPPOE配置实例
2403_82393522的博客
01-05 3441
PPPOE(Point-to-Point Protocol over Ethernet)是一种用于在以太网上建立点对点连接的网络协议,他通常用于宽度接入,允许用户通过以太网连接到互联网。以下命令均在华为系列的设备来配置
pppoe配置
m0_64881482的博客
07-31 1558
pppoe配置
网络协议详解】——PPP/PPPOE技术(学习笔记)
最新发布
2201_75633021的博客
02-24 1313
PPP(Point-to-Point Protocol)协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。PPPoE(PPP over Ethernet)协议是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器
PPPoE:基于以太网的 PPP--网络大典
Javvin的专栏
12-31 2109
     PPPOE (基于以太网的 PPP)提供通过简单桥接接入设备连接远端接入设备的服务。在这个模型下,每个用户主机利用自身的 PPP 堆栈,用户使用熟悉的界面。接入控制,计费、服务类型等都可以针对每个用户来进行,而不是每个站点。  为了提供以太网上的点到点连接,每一个 PPP 会话必须知道远程通信对方的以太网地址,并建立一个唯一的会话标识符。PPPoE 包含一个以太网地址发现协议来提供这
PPPOE配置
m0_63694279的博客
06-14 1654
Client-dialer-rule]dialer-rule 2 ip permit //dialer-rule编号为2,允许任何报文。[Client-Dialer2]dialer user temp //配置Dialer user 的用户名。[Client-Dialer2]dialer bundle 1 //创建一个dialer bundle号。[Client-Dialer2]dialer-group 2 //dialer-rule关联。8.将dialer口绑定到物理接口上,这里采用按需拨号。
PPPOE配置
热门推荐
qq_50981675的博客
02-25 1万+
配置PPPOE客户端通过PPPoE拨号连接到PPPoE服务器 拓扑图: 要求: 1、路由器R2的PPPoE服务器端的IP地址为1.1.1.254/24,他通过GE0/0/0接口与路由器R1相连。 2、PPPoE采用PPPCHAP认证,用户名为“jan”,密码为“huawei@123”。 3、本案例仅实现路由器的R1通过PPPoE与路由器R2相连。 4、PC的IP地址为192.168.1.1,网关为192.168.1.254,路由器R2de LoopBack0接口的IP地址为2.2.2.2/24。
PPPoE工作原理
学习网络技术
07-13 8306
近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。        1 PPPoE协议概述   1.1PPPoE的工作原理      PPPoE(PPP over
纯软件小区宽带接入方案实操:RP-PPPOE/PowerRadius部署与管理
1. **服务器端**:服务器使用双网卡的PC,安装并配置了ppp2.4.43、rp-pppoe 3.84 radiusclient 0.5.2等关键软件。配置文件如/etc/ppp需要进行相应的调整,包括PowerRadius的安装,以确保服务的正常启动。服务器...
华为交换机配置入门实战系列教程(ENSP)
啊渊的专栏
03-08 8685
​《第一讲:测试环境的基本搭建》 主要讲解使用了哪些软件。 《第二讲:主机直连配置》 主要讲解了两台主机通过网线直接连线配置通信。 《第三讲:交换机的基本介绍》 主要讲解了交换机需要用到的一些基本知识讲解。 《第四讲:两主机通过交换机通信》 两台PC机链接一台交换机配置相同vlan使其进行通信。 《第五讲:不同交换机配置相同vlan通信》 两台PC机分别链接两台交换机,并且两台PC主机配置相同的vlan。 《第六讲:不同vlan相互通信》 两台PC机链接一台交换机,两主机配置不同vlan使其
DB020007ME60PPP业务的配置(V1R2)ISSUE10.pptx
10-11
DB020007ME60PPP业务的配置(V1R2)ISSUE10....总结起来,这份文档详尽地介绍了如何在华为ME60路由器上配置PPPoE业务,提供了完整的配置流程实例,对于理解PPPoE工作原理实操网络接入服务配置具有很高的参考价值。
H3C网络设备原理与操作介绍及相关知识
2401_83800092的博客
04-16 3003
2.数据链路层:数据链路层的功能及基本概念,链路:网络中两个节点之间的物理通道,链路的传输介质主要有双绞线,光纤微博。分为有线链路,无线链路。Comware是一款功能丰富、性能高的网络操作系统,广泛应用于H3C的全系列网络设备,从SOHO到数据中心,从企业级到运营商级都能得到很好的支持。此外,Comware还提供了灵活的裁剪定制功能,以满足不同用户的需求。请注意,为了确保设备的正常运行最佳性能,用户应根据设备的具体型号配置,选择合适的操作系统版本,并遵循H3C的官方文档建议进行配置管理。
pppoe原理配置
03-13
PPPoE原理讲解与具体配置,讲解详细到位,利于大家一起学习,对通信类感兴趣的也可以一起学习。
【VLAN设计与实操】:Cisco Packet Tracer案例分析
本文首先概述了VLAN的基础理论与技术,随后深入探讨了VLAN的设计原理配置方法,包括VLAN的标识、分类、交换机端口配置、VLAN间路由及安全设计。通过Cisco Packet Tracer模拟实验环境的搭建实验案例,文章展示了...
PPPoE 的 基础配置原理
城下深蓝的博客
03-20 2809
PPPoE 的 基础配置原理
配置PPPOE
weixin_33966365的博客
09-29 344
配置服务端PPPOE-Server先为路由添加一个账号为PPP所使用[PPPOE-Server]aaa [PPPOE-Server-aaa]local-user test password cipher 123 //添加一个本地账号[PPPOE-Server-aaa]local-user test service-type ppp//设置test账号类型为PPP账号[PPPOE-Ser...
PPPOE配置实例
永远是少年
07-06 7068
本文主要是PPPoE配置实例,使用了华为系列设备,完成了对PPPoE配置过程,本文适合对PPPoE理论有一定了解的同学阅读,如果您对PPPoE还存在一些基础知识上的不足,可以查阅本博客其他文章。 一、PPPOE配置环境要求 本实验拓扑图如下所示: 左边R7为PPPoE服务端,右边两个路由器为PPPoE客户端,客户端IP地址通过服务端远程获取,客户端服务端使用CHAP认证。 二、PPPOE配置详解 PPPoE配置可以分为以下6大步骤: 1、服务端配置ppp用户 aaa local-user u
详解PPPOE配置
weixin_40814905的博客
07-22 600
1、网络拓扑图2、详细配置步骤2.1 PPPOE server配置1)配置地址池ip pool dhcpclientnetwork 100.1.1.0 mask 255.255.255.0gateway 100.1.1.1lease day 1002)创建模板int virtual-template 1 //可以创建模板...
PPPoE 原理配置
qq_36963043的博客
06-27 631
PPPoE 原理配置 4.1 问题 如图规划 VLANIP地址 R1作为企业边缘设备,通过PPPoE拨号方式连接运营商 内网中仅仅允许PC-1访问 Server-1 4.2 方案 搭建实验环境,如图-4所示。 图-4 4.3 步骤 实现此案例需要按照如下步骤进行。 1)配置内网设备 – 终端 PC1: 192.168.1.1 255.255.255.0 192.168.1.254 PC2: 192.168.1.2 255.255.255.0 192.16
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值