跨三层交换机部署pppoe服务方法二（基于协议划分vlan）

xibanya

备注：交换机需要支持基于协议的方式划分vlan。方法二相比方法一优点:广播组播都限制在vlan内，减少泛洪范围
方法一：https://bbs.ikuai8.com/thread-138457-1-1.html


必须真机才生效，模拟器可以配置但不会生效。

以华为交换机为例，缺省情况下，华为设备vlan划分方式的优先级从高到低依次为：

1.基于策略的vlan 2.基于mac的vlan 3.基于IP的vlan 4.基于协议的vlan 5.基于端口的vlan


规划：爱快lan1口，IPv4地址：192.168.10.1，开启PPPOE服务，绑定接口lan1口。服务器地址：10.1.1.1,客户端地址池：10.1.1.2-10.1.1.254 ，绑定内网线路：lan1

vlan规划：vlan 10（路由层对接爱快) vlan20（内网非拨号可上网用户），vlan30（内网资源用户，未拨号无法上网），vlan 40（pppoe封装所在vlan）

纯拨号用户不能访问内网资源


三层交换机：vlan 10 ，vlan 20 ，vlan30，vlan40  


接口地址 ：vlanif 10：192.168.10.254/24  vlanif 20：192.168.20.254/24   vlanif 30 ：192.168.30.254/24  无需创建vlanif 40

接入层vlan交换机：vlan20，vlan30，vlan 40

部署原理： pppoe协议的发现和会话（拨号上网），都需要进行以太网封装。封装的以太网协议类型分别为）0x8863，0x8864

通过划分基于自定义协议的vlan，将封装类型为0x8863及0x8864的以太网帧划分到vlan40，并在三层连接爱快侧的接口，启用协议vlan功能


三层主要配置

[L3W]dis cur
#
vlan batch 10 20 30 40
#
dhcp enable
#
acl number 3000
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
acl number 3001
rule 5 deny ip source 192.168.30.0 0.0.0.255
#
traffic classifier 1 operator or
if-match acl 3000
traffic classifier 2 operator or
if-match acl 3001
#
traffic behavior 1
traffic behavior 2
#
traffic policy 1
classifier 1 behavior 1
traffic policy 2
classifier 2 behavior 2
#
vlan 40
protocol-vlan 0 mode ethernetii-etype 8863      #启动基于协议的vlan，模式为自定义模式，索引编号0，匹配以太网帧，协议类型0x8863（PPPOE发现）
protocol-vlan 1 mode ethernetii-etype 8864      #启动基于协议的vlan，模式为自定义模式，索引编号1，匹配以太网帧，协议类型0x8864（PPPOE会话）
#
ip pool vlan20                    #非拨号上网
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
dns-list 223.5.5.5 114.114.114.114
#
ip pool vlan30                        #必须拨号上网的vlan
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
option121 ip-address 192.168.20.0 24 192.168.30.254   #定义option121，给dhcp客户端设备下发明细路由，避免vlan30用户拨号之后访问内网的数据绕行到爱快再转发
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select global
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
dhcp select global
#
interface GigabitEthernet0/0/1          #上联爱快的接口
port hybrid pvid vlan 10               #缺省pvid为10
port hybrid untagged vlan 10 40        #允许vlan10，40的报文通过。数据出接口时，剥掉vlan标签
protocol-vlan vlan 40 0 priority 0     #接口启用协议划分vlan功能，将vlan 40 索引为0和1（即以太网封装协议为0x8863和0x8864的帧）划分到vlan40
protocol-vlan vlan 40 1 priority 0
traffic-policy 1 inbound                #关联流策略，阻断拨号用户访问内网资源
traffic-policy 2 outbound               #关联流策略，阻断vlan30用户没有拨号时访问互联网
#
interface GigabitEthernet0/0/2         #下联vlan交换机的接口，普通干道模式即可
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 30 40
#
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1   #定义缺省路由


接入层VLAN交换机配置

<L2W>dis cur
#
vlan batch 20 30 40

#
vlan 40                  #同样需要启用基于协议划分vlan
protocol-vlan 0 mode ethernetii-etype 8863
protocol-vlan 1 mode ethernetii-etype 8864

#
interface GigabitEthernet0/0/1        #上联三层接口
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 30 40
#
interface GigabitEthernet0/0/2        #非拨号可上网用户侧接口
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3       #未拨号可访问内网资源，拨号才可访问互联网的用户侧接口
port hybrid pvid vlan 30
port hybrid untagged vlan 30 40     
protocol-vlan vlan 40 0 priority 0
protocol-vlan vlan 40 1 priority 0
#
interface GigabitEthernet0/0/4    #拨号用户侧   
port link-type access
port default vlan 40

配置完成后，因为启用了”基于协议划分vlan“的接口，处理入方向报文时，优先匹配协议打赏vlan40的tag进入到交换机

因此，以太网封装协议为0X8863和0X8864的数据帧将被划分到VLAN40，从而在用户侧交换机——三层交换机——爱快路由器之间进行二层的封装和解封装，完成PPPOE拨号接入

9527

感谢楼主分享经验