行业解决方案
知识库与软件
技术与支持
知识库与软件
PPPoE跨三层VLAN寻找服务器拨号上网经典案例
文档编号:2020浏览:2541 评分:16最后更新于:
此文档基于ST3582F V2版本
问题描述：
&&&&&现有环境如下，ISP接入主路由器（192.168.1.1）上网，开启PPPOE强制功能，下接ST3528F三层交换机，且划分有多个VLAN进行管理，各个VLAN是无法上网的。需要VLAN20允许通过路由器的PPPOE服务器拨号上网，其他VLAN不允许上网。具体环境如下图：
设置步骤：
1、打开开始-&运行-&cmd，telnet进入交换机，可看到交换机已进行过配置，具有默认路由上网及划分过VLAN20，VLAN20也具有V20的DHCP地址池，如图1、图2所示：
2、登录到主路由器，看到已配置过PPPoE服务器，并开启了强制认证，如图3所示：
3、再次telnet到ST3528F交换机，进行配置，如图4所示：
ST3528F#config&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&进入全局模式
ST3528F(config)#interface ethernet 1/0/1&&&&&&&&&&进入接口1
ST3528F(config-if-ethernet1/0/1)#switchport mode hybrid&&改为hybrid模式
Set the port Ethernet1/0/1 mode Hybrid successfully
ST3528F(config-if-ethernet1/0/1)#switchport hybrid native vlan 1&&接口1的本征VLAN为VLAN 1，即PVID为VLAN 1
Set the port Ethernet1/0/1 native vlan 1 successfully
ST3528F(config-if-ethernet1/0/1)#switchport hybrid allowed vlan 1;20 untag&&设置VLAN 1和VLAN 20在接口1为不打tag帧通过
set the Hybrid port Ethernet1/0/1 untag allowed vlan successfully
ST3528F(config-if-ethernet1/0/1)#quit&&&&&&&&&退出接口1
ST3528F(config)#interface ethernet 1/0/10&&&&&进入接口10
ST3528F(config-if-ethernet1/0/10)#switchport mode hybrid&&改为hybrid模式
Set the port Ethernet1/0/10 mode Hybrid successfully
ST3528F(config-if-ethernet1/0/10)#switchport hybrid native vlan 20&&&接口1的本征VLAN为VLAN 20，即PVID为VLAN 20
Set the port Ethernet1/0/10 native vlan 20 successfully
ST3528F(config-if-ethernet1/0/10)#switchport hybrid allowed vlan 1;20 untag&&设置VLAN 1和VLAN 20在接口1为不打tag帧通过
set the Hybrid port Ethernet1/0/10 untag allowed vlan successfully
三层交换机配置完成后必须输入命令 WR保存下配置。
4、在开启PPPoE强制认证的情况下，接口10下的PC获取到VLAN20的IP正常，但无法上网，如图5、图6所示：
5、在192.168.20.2的主机上直接使用PPPoE账号拨号，能够拨号成功，且上网正常，VLAN30下的主机无法拨号成功的，如图7、图8、图9、图10所示：
备注：此案例采用灵活的Hybrid口做跨越VLAN通信PPPoE服务。当路由器与三层交换机级联采用传统的Trunk口时，VLAN都是打上tag帧的，这样基于LAN间通信的PPPoE报文是无法通过的。只有采用Hybrid口，给要通信的VLAN均untag不打tag帧，PPPoE报文请求就会互通，则跨越VLAN可请求PPPoE服务器拨号成功。&三层交换机配置PPPOE拨号
秒后自动跳转到登录页
快捷登录：
举报类型：
不规范：上传重复资源
不规范：标题与实际内容不符
不规范：资源无法下载或使用
其他不规范行为
违规：资源涉及侵权
违规：含有危害国家安全等内容
违规：含有反动/色情等内容
违规：广告内容
详细原因：
任何违反下载中心规定的资源，欢迎Down友监督举报，第一举报人可获5-10下载豆奖励。
视频课程推荐
三层交换机配置PPPOE拨号
上传时间：
技术分类：
资源评价：
（1位用户参与评价）
已被下载&25&次
三层交换机配置PPPOE拨号
本资料共包含以下附件：
三层交换机配置PPPOE拨号.pdf
（1位用户参与评价）
down友评价
51CTO下载中心常见问题：
1.如何获得下载豆？
1)上传资料
2)评论资料
3)每天在首页签到领取
4)购买VIP会员服务，无需下载豆下载资源
5)更多途径：点击此处
2.如何删除自己的资料？
下载资料意味着您已同意遵守以下协议：
1.资料的所有权益归上传用户所有
2.未经权益所有人同意，不得将资料中的内容挪作商业或盈利用途
3.51CTO下载中心仅提供资料交流平台，并不对任何资料负责
4.本站资料中如有侵权或不适当内容，请邮件与我们联系（）
5.本站不保证资源的准确性、安全性和完整性, 同时也不承担用户因使用这些资料对自己和他人造成任何形式的伤害或损失
相关专题推荐
好网管，还要有好工具！但工具下载谈
综合布线是一种模块化的、灵活性极高
数字监控系统可实现数字影像监控以及
本专题收集了各种思科路由器和交换机
本专题收集了10套华为新员工技术培训
本专题为CISCO公司内部网络技术培训视
本视频教程涉及内容：网络安全的基本
Cisco的网际操作系统（IOS）是一个为
网络管理员行业对网络管理员的要求基
Wireshark不会侦测软件对于网络造成的
本专题精心收录思科各类网络数通设备
本专题精心收录H3C各类网络数通设备最
本专题精心收录华为各类网络数通设备
本视频以卷一为主线，实验为基准，辅
国内一位网络专家的TCPIP 详解视频，
Packet Tracer 5.0是Cisco公司针对其
意见或建议：
联系方式：
您已提交成功！感谢您的宝贵意见，我们会尽快处理行业解决方案
知识库与软件
技术与支持
知识库与软件ROS教程（4）---VLAN配置及应用
　　在教程(1)中介绍了通过动态NAT的配置，实现了LAN内用户连接internet网。当一个LAN内的用户数量较少时，该方法是可行的。一旦用户量很大时，如大中型企业用户群或一个大的网吧，LAN内的广播包将以数量级的形式上升，造成网络性能急速下降！这是由于整个LAN就是一个广播域，一个很大的广播域，它的缺点是显而易见的，为了提高网络性能，有必要将一个大的广播域划分为多个较小的广播域，有必要在LAN内引入二层交换机，通过VLAN技术分割广播域。这是引入VLAN原因之一，其二，有些企业为了管理需要，允许一部分员工上班时间可以访问外部网络（如internet)，而另一部分员工不能访问外部网络，通过VLAN技术就很容易实现了。
　　划分VLAN后，如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题，总体来说有两种方法可以实现以上目的：
　　思路：
　　在内网中引入三层交换机，然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意，其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段，并且由该VLAN的一个成员端口连线到ROS的LAN口）。在三层交换机上启用路由功能，配置默认路由指向ROS的
LAN口（即下一跳IP为ROS的LAN口IP)，最后在ROS中设置回程路由分别回指到各个VLAN（注意下一跳地址指向与ROS　LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单，但用户数据包要出到ROS外部需要两次路由（分别在三层交换机和ROS中各进行一次），造成数据延迟较大。
　　思路：在内网中使用二层交换机（或三层交换机不启用三层功能），将二层VLAN通过trunk端口透传到ROS的LAN口，在ROS的LAN口上创建多个VLAN，在ROS中给各个VLAN端口分配三层端口IP，最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。
　　　以上两种方法相比之下，方法2优势明显，一个是延迟的问题，第二是在方法1中我们无法建立PPPOE拨号方式控制用户上网，而第二种方法可以在每个VLAN中创建pppoe拨号服务。下面就介绍方法2。
　　一、交换机上的配置（以思科交换机为例）。
　　　1、创建VLAN(以创建VLAN 10 VLAN 20为例）
　　　　switch#config
terminal&&&
进入全局配置模式
switch(config)#vlan&
10&& 创建vlan 10
switch(config-vlan)#name office&&
给vlan 10 起名为office
switch(config-vlan)#exit&&
返回全局配置模式
　　　　switch(config)#vlan
20&&& 创建vlan
switch(config-vlan)#name home& 给vlan 20
起名为home
switch(config-vlan)#exit&&
返回全局配置模式
　　　2、将端口加入相应vlan中（本例中将f0/1～f0/10加入vlan
10,f0/11～f0/20加入，f0/21～f0/24保留vlan 1中)
　　　　switch(config)#interface range f0/1 -
f0/10& 进入端口1至10
　　　　switch(config-if-range)#switchport access&
vlan 10& 将以上端口加入vlan 10
switch(config-if-range)#exit& 返回全局配置模式
　　　　switch(config)#interface range f0/11 -
f0/20& 进入端口11至20
switch(config-if-range)#switchport access& vlan
20& 将以上端口加入vlan 20
　　　　switch(config-if-range)#exit& 返回全局配置模式
　　　3、将某一端口连接到ROS的LAN口，并将该端口的链路类型改为trunk（以f0/24为例）
　　　　switch(config)#interface& f0/24
　　　　switch(config-if)#switchport trunk&
encapsulation& dot1q
(三层交换机需要这条命令，二层不需要）　　封装dot1q协议
　　　　switch(config-if)#switchport mode&
到此交换机配置完成。
二、ROS上的配置。
1、在lan口上创建vlan。
　(1)在winbox中选"interface"---&"VLAN"---&"+"---&"name"栏中输入"office"---&"VLAN
ID"栏中输入 "10"---&"apply"---&"OK"。
　(2)同样方法创建vlan 20
2、给VLAN三层虚端口配置IP。
　(1)在winbox中选"IP"---&"Address"---&"+"---&"Address"栏中输入IP地址及子网掩码位---&在"interface"栏中选刚才所创建的VLAN即可。
&（2）VLAN 20方法同上。
3、建立动态NAT，注意，在"IP"---&"firewall"---&"NAT"中的"general"选项卡中的"Src
Address"可不输入，若不输入则所有VLAN均可连外网，若只允许VLAN 10连外网，则只需输入VLAN 10
的网络号，其他设置跟ROS教程（1）相同。　
到此为此本教程写完了。
太累了，今晚就写到这。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。查看: 6061|回复: 19
小区宽带PPPOE账号绑定交换机端口，怎么做？
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
小区宽带中，每个端口一个VLAN隔离，验证方式采用PPPOE方式验证，寻找PPPOE用户名密码与端口绑定的方法，（就是用户帐号只能在这个端口用，不能在其他端口用的方法），能不能把PPPOE的用户名密码跟VLAN ID绑定？具体如何操作？？
目前来看，只能采用RADIUS服务器来解决这个问题，我已经提问了，希望能找到最简单的PPPOE绑定VLAN的办法，到目前还没有回答的。。。其实解决PPPOE账号漫游，还有一个办法，不需要另加RADIUS服务器，但是我现在还只是一个构思，还没有具体去测试，如果可行的话，就可以在不另加RADIUS服务器的前提下解决PPPOE账号漫游的问题了。。。如果大家有这个需要就表示一下吧，我尽可能的尽快测出来。。。没人要的话就算了。。。
大哥，能提供一下思考方向吗？真的有需要啊
三层交换机就可以啊.
能不能说清楚具体的方法啊，小弟很菜，找了好久都没有找到相关资料
学习学习下,谢谢....
一个用户一个配置，不就指定vlan了
一个用户一个配置，不就指定vlan了
WGHBOY 发表于
& & 能细说一下吗？PPPOE账号在同一台ROS里是通用的，你怎么做配置划VLN也是可以登的上的啊
我试了好长时间了,不成功.
后来用了一个变通的方式，
每个vlan只分配一个地址，客户端连线就能上网，通过打开关闭相应的vlan interface 就可以了
每个端口一个vlan，相当于隔离了。如果都是包月，就没有必要用pppoe了
楼上的大哥，我主要是想解决帐号漫游问题，就是这个PPPOE的帐号只能在这个端口使用，在另一个端口就不能用了，所以我就想一个端口一个VLAN，然后把帐号跟这个端口的VLAN ID绑定，这样不但安全，也容易管理交换机端口！
目前好象还不能实现
要在拨号验证那一步进行限制，只能依靠radius进行。 如果不用radius服务器，可以变向的通过脚本控制，检查 账户是否对应其要求vlan，不合要求就踢下线。。。。。
能提示下怎么写这个脚本吗？就是怎么来定义这个账号应该属于哪个VLAN或者说PPPOE SERVER，怎么检测正不正确，结果正确还是不正确怎么处理这个账号。。
能不能介绍一下有绑定VLAN ID功能的radius服务器软件？我看了好几款都没有这个功能...
Powered by