案例描述
校园网里有一个服务器网段,临时安放了一台考试服务器,要求用户只能通过授权后才能访问该网段,苦于经费原因,不想添加什么Radius服务器,也怕把网络环境弄复杂后,出现其它什么关联性问题就麻烦了。思索了很久,突然想到以前上网都是通过PPPOE拨号认证的,如果路由器能做成拨号服务器,不就可以实现认证访问了吗,说干就干,马上在服务器网段安装一台路由器,用的是神洲数码产品(DCR2655),经过一番折腾,终于成功了!我把配置过程在模拟器上重新演示一遍,和大家分享,用的是Cisco命令,效果相同。
实验环境:Cisco Packet Tracer 6.1
网络拓扑图
网络拓扑图分析
校园网安放了一台ADSL,市面上普通的拨号路由器就可以了,实际环境中我用的是TP-Link,带无线功能。校园网用户我特别模拟了一台有线台式机(PC0)和一台无线笔记本电脑(Tablet PC0)。模拟拨号区域是我特别在实验环境中添加的,在实际环境中这个可以不用。然后有两个网段,“授权访问网段一”直接可以在授权后访问和“授权访问网段二”还需要通过地址转换(NAT)后才能访问。其实差不多,都需要通过PPPOE拨号认证授权。
实验步骤
配置过程分为两个部分:
- ISP拨号服务器
- PPPOE拨号
ISP拨号服务器配置:通过四张图说明
图1 vpdn配置
在图1中,先启用了vpdn,再设置vpdn拨号组“niangao”(该名字可以自定义);accept-dialin表示允许拨入,protocol pppoe设置拨号协议,virtual-temlate 1是设置该拨号组使用1号虚拟模板(虚拟模板会在后面定义);username abc password 123是设置本地用户,该用户用于客户端拨号使用。
图2 拨号虚拟模板配置
在图2中,定义拨号虚拟模板,进入虚拟模板(提示:把虚拟模板当作一个接口),ip unnumbered f0/1表示绑定的端口(注意该端口是用户PPPOE拨号请求的端口,就是连接内网用户的端口!);用户请求成功后,会分配给客户端ip地址,有点类似于dhcp的功能,需要指定一个地址池,peer default ip address pool mypool是指定地址池指令,mypool是地址池名字(名字自定义,要在后面定义),ppp authentication chap开启chap认证,pppoe拨号需要chap认证。
图3 定义地址池mypool
在图3中,定义地址池mypool,我根据自己的校园网情况,ADSL在拨号成功后,必须拥有192.168.0.0/24网段的地址才能联网成功所以我指定了192.168.0.10-192.168.0.19,同时允许20台客户端访问服务器网段。
图4 在内网接口启用PPPOE服务
在图4中,最后在路由器连接内网的接口上启用PPPOE服务,才能接受客户端的拨号请求。
家用ADSL PPPOE拨号设置
家用ADSL拨号非常简单,上网类型选择pppoe,然后输入用户名/密码(路由器的本地用户名/密码),拨号成功后,会获得分配的IP地址,该案例中获得了192.168.0.11地址,成功通过认证,接入服务器网段。
图5 pppoe拨号
图6 拨号成功页面
验证效果
用客户端PC0测试网络连通性,如图7所示:
测试效果图
我们可以看到,客户端通过ADSL路由器的拨号,能够访问两个服务器网段。
心得体会
PPPOE拨号技术是一个简单的认证授权功能,大多数可管理型路由器都自带,可以帮助网络管理人员实现临时的授权认证效果,在该案例中,由于篇幅的原因,有些过程我省略掉了,比如基本的路由设置,ADSL路由器的DHCP配置(给客户端自动分配IP,因为客户端有无线用户),还有访问服务器网段一和服务器网段二访问原理是不一样的,前者可以直接访问,后者还需要配置NAT服务,这个配置我就不再赘述了,大家可以参考我以前的文章,有关于NAT的配置,在实际使用过程中,确实解决了服务器机房的授权认证问题。但其中还有很多“瑕疵”,没有充分考虑到安全性问题,比如说使用路由器本地用户/密码认证登录,对路由器的安全存在很大的隐患。单纯的工作经验分享,有不妥当之处,欢迎大家共同研究。