防火墙PPPoE获取网络地址配置指南

学习目标

·了解PPP的概念

·掌握PPPoE客户端和服务器端的配置

任务引言

与传统的接入方式相比，PPPoE具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式ADSL就使用了PPPoE协议。随着低成本的宽带技术变得日益流行，DSL(Digital Subscriber Line，数字用户线)技术更是使得许多计算机在互联网上能够酣畅淋漓地冲浪了。但是这也增加了DSL服务提供商对网络安全的担心。通过ADSL方式上网的计算机大都是通过以太网卡(Ethernet)与互联网相连的，并且使用的是普通的TCP/IP方式，并没有附加新的协议。另外，调制解调器的拨号上网使用的是PPP(Point to Point Protocol，点到点协议)，该协议具有用户认证及通知IP地址的功能。PPP over Ethernet(PPPoE)协议是在以太网络中转播PPP帧信息的技术，尤其适用于ADSL等方式。

知识引入

PPPoE的工作过程分成两个阶段，即发现阶段和PPP会话阶段。

发现阶段的具体过程如下:

1.用户主机用广播的方式发出PADI(PPPoE Active Discovery Initiation)包，准备去获得所有可连接的接入设备(获得其MAC地址)。

2.接入设备收到PADI包后，返回PADO(PPPoE Active Discovery Offer)作为回应。

3.用户主机从收到的多个PADO包中，根据其名称类型名或者服务名，选择一个合适的接入设备，然后发送PADR(PPPoE Active Discovery Request)包。另外，如果一个用户主机在发出PADI后，在规定时间内没有收到PADO，则会重发PADI。

4.接入设备收到PADR包后，返回PAS(PPPoE Active Discovery Session－confirmation)包，其中包含了唯一session ID，双方进入PPP会话阶段。

PPP会话阶段，即在session建立后的通信阶段。

另外，无论是用户主机还是接入设备，都可随时发起PADT包，终止通信。

VLAN即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个不同的网段，从而实现虚拟工作组的技术。划分VLAN的目的:一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验；二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部。

PPPoE是一个客户端/服务器协议，客户端需要发送PADI包寻找BAS，因此它必须与BAS在同一个广播式的二层网络内，与VLAN的结合很好地解决了这方面的安全隐患。此外，通过将不同业务类型的用户分配到不同的VLAN处理，可以灵活地开展业务，加快处理流程。当然，VLAN的规划必须在二层设备和BAS之间统一协调。

BAS收到上行的PPPoE包后，首先判别VLAN ID的所属类别，如果是普通的拨号用户，则确定是发现阶段还是会话阶段的数据包，并严格按照PPPoE协议处理。在会话阶段，根据不同的用户类型，从不同的地址池中向用户分配IP地址，地址池由上层网管配置。如果是已经通过认证的用户的数据包，则根据该用户的服务类型处理，比如，如果是本地认证的拨号用户，并且对方也申请有同样的功能，则直接由本地转发。

如果是专线用户，则不用经过PPPoE复杂的认证过程，直接根据用户的VLAN ID便可进入专线用户处理流程，接入速度大大提高。此外，为了统一网管，在BAS与其他设备之间需要通信，这些数据包是内部数据包，也可根据VLAN ID来辨别。

对于下行数据，由于BAS负责分配和解析用户的IP，兼有网关的功能，它收到数据包的目的IP是用户的，因此以IP为索引查找用户的信息比根据MAC要方便得多，这一点与普通的交换机有所不同，具体过程与上行处理相似。

工作任务——公司防火墙通过PPPoE获取网络地址

【工作任务背景】

企业A总公司购买了一台新的防火墙设备，现在要将该防火墙部署到公司的出口，请为防火墙初始化设置，配置PPPoE方式拨号上网。拓扑如图5－8－1所示。

图5－8－1　PPPoE配置

【工作任务分析】

PC1模拟总公司内部客户端，Server1模拟总公司内部服务器。Isprtr1模拟Internet路由器，并部署为PPPoE服务器端。当配置成功后，防火墙Outside接口能够通过PPPoE方式获取网络地址，并自动创建一条默认路由来供内部客户端访问Internet。详细参数见表5－8－1和表5－8－2。

表5－8－1　网络设备信息

表5－8－2　PC信息

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在Isprtr1路由设备上设置必要的路由，实现网络拓扑通信。

3.在Isprtr1路由设备上创建用于PPPoE拨号访问的用户。

4.在Isprtr1路由设备上创建拨号成功后分配给PPPoE客户端使用的地址池。

(www.xing528.com)

5.在Isprtr1路由设备上创建虚拟拨号接口，并关联地址池。

6.在Isprtr1路由设备上创建PPPoE进程。

7.在Isprtr1路由接口上应用PPPoE。

8.在防火墙上配置PPPoE拨号。

9.在防火墙接口上应用PPPoE。

10.在防火墙上检查接口IP地址。

11.在防火墙上检查默认路由。

12.在防火墙上检查PPPoE拨号情况。

问题探究

1.简述防火墙接口配置IP地址的方法。

2.PPPoE在路由器上如何拨号?

3.PPPoE在W indow s客户端上如何拨号?

知识拓展

PPP:Point－to－Point Protocol，链路层协议，使用户实现点对点的通信。

PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。具体包含:链路控制协议(Link Control Protocol，LCP)；网络控制协议(Network Control Protocol，NCP)；认证协议，最常用的是口令验证协议(Password Authentication Protocol，PAP)和挑战握手验证协议(Challenge Handshake Authentication Protocol，CHAP)。

PPP的帧格式与HDLC相似，不同的是，PPP是面向字符，而HDLC是面向位。PPP的帧格式如图5－8－2所示。

图5－8－2　PPP的帧格式

协议的两个字节表示“信息”位的数据协议类型，数据协议类型包括:

0x0021——信息字段是IP数据报。

0xC021——信息字段是LCP。

0x8021——信息字段是NCP。

0xC023——信息字段是PAP。

0xC025——信息字段是LQR。

0xC223——信息字段是CHAP。

项目拓展

使用PPPoE拨号的用户账户由RADIUS服务器提供，实现防火墙和客户端同时通过PPPoE拨号上网。拓扑如图5－8－3所示。

图5－8－3　PPPoE配置