企业路由器应用PPPOE服务器配置实例

第一章某企业的组网需求TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品，主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程安全通信的网络环境。

下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。

某企业需要对其现有的网络进行重新规则和布置，组建一个安全、稳定、高效的办公网络环境，企业的详细需求方案如下：1. 企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP 地址；要求实现"电信走电信，联通走联通"，内网所有电脑从电信线路访问外网的8080端口；2. 企业内部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息安全考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个服务器群，服务器群1位于广域网区（DMZ区），对广域网、市场部、人事部全天候开放；服务器群2位于工作区，仅对企业内部员工开放；企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击，并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

3. 为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工安全的访问总部服务器，需要建立PC到站点模式的VPN隧道；4. 为合理利用带宽资源，要求对各个部门所使用的带宽进行限制；5. 企业服务器群1上有两台WEB服务器（80端口），要求实现访问不同WAN口映射到不同服务器；6. 企业需要经常性的给内部员工发布公告信息；需要对网络流量进行实时监控，监控服务器需要对企业内部访问外网的数据进行监控和备份。

需求分析现对该组网方案需求做分析和规划：1. 根据该组网方案需求，企业内部可划分为7个区段，分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD；2. 企业内部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；3. 通过访问策略实现区段之间、区段内各网段之间的访问权限；4. 通过流量均衡实现"电信走电信、联通走联通"以及内网所有电脑从电信线路访问外网的8080端口；5. 通过ARP防护实现防范企业内部的ARP欺骗；通过攻击防护实现防范DOS等常见攻击；6. 通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；7. 各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP服务实现；8. 通过带宽控制实现合理利用带宽资源；9. 通过虚拟服务器实现访问不同WAN口映射到不同服务器；10. 通过端口电子公告实现经常性的给内部员工发布公告信息；11. 通过开启流量统计实现对网络流量进行实时监控；12. 通过端口监控实现监控服务器需要对企业内部访问外网的数据进行监控和备份。

PPPOE拨号实验注意：在packert模拟器上做，只做路由器充当服务器的部分。

部分命令不支持可以忽略。

验证pc机可以拨入服务器获得地址，并且和外网路由器ping通。

PPPOE拨号实验左边台路由器模拟pppoe服务器，右边台路由器模拟外网路由器，pc机与pppoe服务器之间通过f0/0口相连。

配置服务器端：PPPOE Server 配置PPP-S#configure terminalPPP-S(config)#username cisco password 0 cisco //建立拨入的用户账户PPP-S(config)#vpdn enablePPP-S(config)#no vpdn loggingPPP-S(config)#vpdn-group adls0 /建立名字为” adls0”的vpdn 组，可以有很多个组PPP-S(config-vpdn)#accept-dialin //允许拨入（将路由器当PPPOE server用accept-dialin允许客户端拨入命令；若是将路由器当PPPOE client用request-dialin向服务器发出请求接入信息。

）PPP-S(config-vpdn-acc-in)#protocol pppoe //协议采用pppoe, 只能有一个组采用pppoePPP-S(config-vpdn-acc-in)#virtual-template 1 // VPND组和VT1接口绑定，此接口就是拨号后PPPOE客户端的网关接口。

这个可以使任意已经存在的VT, PPP-S(config-vpdn-acc-in)#exit 但是只能使用一个，后配置的将取代先前的，PPP-S(config-vpdn)#pppoe limit per-mac 1 //限制客户端的MAC地址数PPP-S(config-vpdn)#interface FastEthernet0/0PPP-S(config-if)#!ip address 1.1.1.1 255.255.255.0 //ip地址可以不设置PPP-S(config-if)#no shutdownPPP-S(config-if)#pppoe enablePPP-S(config-if)#no cdp enablePPP-S(config-if)#interface Virtual-Template 1 //设置虚拟模板1PPP-S(config-if)#peer default ip address pool vt1//使用”vt1”中设置的地址范围给客户端配分配ip PPP-S(config-if)#ppp authentication chap pap callin // 采用chap和pap混合验证，也可以单独采用一种Router (config-if)#ip unnumbered FastEthernet0/0 #虚拟板接口不设置IP而是借用FastEthernet0/0上的IP地址, PPP-S(config-if)#exitPPP-S(config)#ip local pool vt1 200.0.0.20 200.0.0.254 //定义可能的分配的地址范围PPP-S(config)#no cdp runPPP-S(config)#end测试参数Sh user 显示拨入用户信息Clear pppoe all 断开pppoe连接Debug ppp | pppoe 显示相应的pppoe拨入信息客户端配置PPP-C大致步骤：设置内外网接口，配置拨号用的虚拟机接口（包括采用协议，验证方式，账户密码），最后配置NA TPPP-C#conf tPPP-C(config)#vpdn enable //启用路由器的虚拟专用拨号网络---vpnd 由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VPDN的功能PPP-C(config)#int e1/0 // 路由器内网接口PPP-C(config-if)#no shutPPP-C(config-if)#ip add 192.168.0.1 255.255.255.0PPP-C(config-if)#ip nat insidePPP-C(config)#int f0/0 //与ADSL model连接的端口PPP-C(config-if)#no ip addPPP-C(config-if)#no shutPPP-C(config-if)#pppoe enablePPP-C(config-if)#pppoe-client dial-pool-number 100 // 将以太接口的pppoe拨号客户端加入拨号池100虚拟拨号接口PPP-C(config)#int dialer 0 //配置虚拟拨号接口0 ，类似于xp中建立的拨号连接PPP-C(config-if)#ip address negotiated //协商获得ip地址PPP-C(config-if)#ip mtu 1492 //适用于ADSL线路，原始大小是1500 ,1492=1500-pppoe header PPP-C(config-if)#no shutPPP-C(config-if)#encapsulation ppp //协议类型为pppPPP-C(config-if)#ppp authentication chap pap callin //验证方式采用chap和pap,方式取决于服务器方，二者前后位置可以调换PPP-C(config-if)#ppp chap hostname cisco //设置chap 账号PPP-C(config-if)#ppp chap password cisco //设置chap 密码PPP-C(config-if)#ppp pap sent-username cisco password cisco //只是是采用pap验证,上面关于chap的不需要设置PPP-C(config-if)#dialer pool 100 // 该接口使用100号拨号池进行拨号,应该与上面理接口f0/0 pppoe-client dial-pool-nuber 号码一致PPP-C(config-if)#ppp ipcp dns request //客户端dns采用服务器上预先设置的，也可以手动设置固定ip地址：202.98.96.68PPP-C(config-if)#ip nat outside //设置内部接口和dialer 0 的PATPPP-C(config)#access-list 1 permit 192.168.0.0 0.0.0.255PPP-C(config)#ip nat inside source list 1 interface dialer 0 overloadPPP-C(config)#service dhcpPPP-C(config)#ip dhcp pool nat-ip //配置作用域PPP-C(dhcp-config)#network 192.168.0.0 255.255.255.0 //地址范围PPP-C(dhcp-config)#default-router 192.168.0.1 // 默认网关PPP-C(dhcp-config)#dns-server 10.0.0.2 //DNS服务器PPP-C(dhcp-config)#lease 1 //租期1天PPP-C(config)#ip dhcp excluded-address 192.168.0.2 192.168.0.15 //指定保留的ip地址PPP-C(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 //配置内部到远端的缺省路由。

TPLIN‎K 企业路由器‎应用PPPOE‎服务器配置‎实例(本文适用于‎T L-ER612‎0 V1.0、TL-ER611‎0 V1.0、TL-R473 V3.0、TL-R483 V3.0、TL-R478 V4.0、TL-R478+ V5.0)PPPOE‎即PPP over Ether‎n et，是指在以太‎网中传输P‎P P的技术‎，通过PPP‎o E可以防‎范ARP欺‎骗，同时为客户‎端统一分配‎I P以及D‎N S等参数‎，有效避免了‎静动态IP‎方式因地址‎冲突或者参‎数设置不当‎导致无法访‎问外网的问‎题，还可以结合‎R adiu‎s服务器对‎客户进行认‎证、授权以及计‎费，目前国内I‎S P多采用‎P PPoE‎作为接入认‎证方式。

TL-ER611‎0/TL-ER612‎0/TL-R473/TL-R483内‎置PPPo‎E服务器，下面以一个‎实例来展示‎T L-ER612‎0的解决方‎案和配置过‎程。

需求介绍某小区10‎0M光纤接‎入，宽带用户有‎100家，宽带服务商‎需要用户通‎过PPPO‎E拨号的方‎式，来拨自己搭‎建的PPP‎O E服务器‎，从而通过自‎己所接入的‎光纤线路进‎行上网。

本文将通过‎一个实例来‎展示TL-ER612‎0的PPP‎O E服务器‎配置过程。

小区宽带服‎务商自己上‎网所用到的‎I P地址：192.168.1.10-192.168.1.20。

小区宽带服‎务商建立的‎视频服务器‎I P地址为‎：192.168.1.8。

网络规划TL-ER612‎0设置为单‎W AN口，接入一条1‎00M光纤‎，核心交换机‎为TL-SG222‎4E，接入层交换‎机使用TL‎-SF102‎4L，小区宽带服‎务商和小区‎宽带用户通‎过接入层交‎换机连接公‎网。

设置步骤1、PPPoE‎服务器全局‎设置：系统服务----PPPoE‎服务器----全局设置，进入“全局设置”标签界面：◆PPPoE‎服务器：启用或者禁‎用PPPO‎E服务器，这里选择启‎用。

网星/网月系列路由器PPPOE服务配置使用说明服务管理（1）操作状态：启用或者禁用PPPOE服务。

（2）起始IP地址：设置PPPOE服务IP地址池内的起始IP地址。

（不能设置成跟路由器内网地址相同网段的IP地址）（3）总地址数：设置IP地址池内的地址总数。

（4）主DNS服务器：设置用户首选DNS服务器地址。

（5）备用DNS服务器：设置用户备用DNS服务器地址。

（6）密码验证方式：设置拨号用户的密码验证方式，可以设置为AUTO、PAP、CHAP。

（7）非拨号用户：可以设置全部允许通过、全部禁止通过、只允许指定IP通过三种状态。

说明：当设置全部允许通过后，内网配置固定IP和自动获取IP的用户可以正常联网。

当设置全部禁止通过后，内网中不使用PPPOE拨号的用户将无法联网。

当设置为只允许指定IP通过后，只有指定的IP地址才能够不使用PPPOE拨号认证联网，不在指定范围内的IP必须拨号才能联网。

例如下图：只有IP地址为192.168.1.66和地址段192.168.1.100 – 192.168.1.110的用户才能够不用PPPOE拨号就可以联网。

（可以通过点击添加地址段功能来添加新的主机）（8）系统最大会话数：设置PPPOE服务最多可以拨入多少用户。

例如系统最大会话数设置300，那么该服务只允许拨入300个账号，超过部分的用户在拨号时将提示错误信息。

用户管理对使用PPPOE服务的用户账号进行管理。

可以通过点击（添加）按钮来添加新的用户。

（1）用户名：设置用户上网认证使用的用户名。

（2）密码：设置用户的认证密码。

（3）帐号共享：设置是否允许多用户使用同一账号进行上网。

说明：启用后，可以设置共享用户的个数，设置成功后该账号就可以分配给多人同时使用。

（4）绑定MAC：当选择自动绑定后，用户首次认证后会自动绑定用户的MAC地址。

不选择自动绑定，如果需要绑定用户MAC地址，则要手动输入用户的MAC地址。

（5）分配IP：给用户分配指定的IP地址。

1.创建一个PPPoE服务器
进入RouterOS，用户名为：admin，密码为空，然后依次执行如下命令：
/interface print
/interface pppoe-server server add interface=ether1 service-name=Fake-PPPoE-Server authentication=pap
/interface pppoe-server server print
/interface pppoe-server server enable 0
/interface pppoe-server server print
2：用Wireshark监听ADSL的账号和密码
配置路由器
WAN口连接类型为PPPoE，输入上网账号和密码。

连接模式为自动连接，目的：路由器通电后就会自动连接PPPoE服务器，方便监听。

设置完毕后关闭路由器电源。

用网线将物理网卡与路由器的WAN口连接起来，运行Wireshark，监听本地物理网卡，然后路由器通电。

发现PPPoE服务器——Fake-PPPoE-Server
发现ADSL的账号和密码
四：相关提示
1：如果是远程的路由器，无法与其WAN口进行物理连接，可利用某些路由器中提供的“备份和载入配置”功能，将配置信息保存下来，然后找一台型号一样的路由器，载入配置文件，然后……
2：不要认为所有的路由器都像D-Link推出的DI-504M一样，把ADSL的账号和密码以明文的形式保存在配置文件中。

1.组网需求，Host运行PPPoE Client，通过设备Router接入到Internet。

设备作为PPPoE Server，配置本地认证，并通过地址池为用户分配IP地址。

设备Router通过Ethernet1/1接口连接以太网，Serial2/0接口连接Internet增加一个PPPoE用户。

<Sysname>system-view[Sysname]local-user user1[Sysname-luser-user1]password simple pass1[Sysname-luser-user1]service-type ppp[Sysname-luser-user1]quit#在设备Router上配置虚拟模板参数。

[Sysname]interface virtual-template1[Sysname-Virtual-Template1]ppp authentication-mode chap domain system[Sysname-Virtual-Template1]ppp chap user user1[Sysname-Virtual-Template1]remote address pool1[Sysname-Virtual-Template1]ip address1.1.1.1255.0.0.0[Sysname-Virtual-Template1]quit#在设备Router上配置PPPoE参数。

[Sysname]interface ethernet1/1[Sysname-Ethernet1/1]pppoe-server bind virtual-template1[Sysname-Ethernet1/1]quit#配置域用户使用本地认证方案。

[Sysname]domain system[Sysname-isp-system]authentication ppp local#增加一个本地IP地址池（9个IP地址）[Sysname-isp-system]ip pool11.1.1.21.1.1.10这样，以太网上各主机安装PPPoE客户端软件后，配置好用户名和密码（此处为user1和pass1）就能使用PPPoE协议，通过设备Router接入到Internet。

声明Copyright © 2021 普联技术有限公司版权所有，保留所有权利未经普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本手册部分或全部内容，且不得以营利为目的进行任何方式（电子、影印、录制等）的传播。

为普联技术有限公司注册商标。

本手册提及的所有商标，由各自所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

除非有特殊约定，本手册仅作为使用指导，所作陈述均不构成任何形式的担保。

目录第1章前言 (1)1.1 目标读者 (1)1.2 本书约定 (1)1.3 适用机型 (1)第2章基础联网设置 (3)2.1 企业路由器基本设置指南 (3)2.1.1 应用介绍 (3)2.1.2 需求介绍 (3)2.1.3 设置方法 (3)2.1.4 注意事项 (7)2.2 企业路由器IPv6上网配置指导 (8)2.2.1 应用介绍 (8)2.2.2 需求介绍 (8)2.2.3 设置方法 (8)2.2.4 疑问解答 (15)第3章设备管理 (17)3.1 如何在外网远程管理（控制）路由器？ (17)3.1.1 应用介绍 (17)3.1.2 需求介绍 (17)3.1.3 设置方法 (17)3.1.4 注意事项 (20)3.1.5 疑问解答 (21)3.2 如何设置自动重启？ (22)3.2.1 应用介绍 (22)3.2.2 需求介绍 (22)3.2.3 设置方法 (22)3.2.4 注意事项 (23)第4章负载均衡 (24)4.1 多WAN口路由器负载均衡的设置指南 (24)4.1.1 应用介绍 (24)4.1.2 需求介绍 (24)4.1.3 工作原理 (24)4.1.4 设置方法 (25)第5章路由转发模块 (27)5.1 策略路由设置指南 (27)5.1.1 应用介绍 (27)5.1.2 需求介绍 (27)5.1.3 设置方法 (28)5.1.4 疑问解答 (31)5.2 ISP选路设置指南 (33)5.2.1 应用介绍 (33)5.2.2 需求介绍 (33)5.2.3 设置方法 (34)5.3 静态路由设置指南 (36)5.3.1 应用介绍 (36)5.3.2 需求介绍 (36)5.3.3 设置方法 (37)5.4 线路备份设置指南 (38)5.4.1 应用介绍 (38)5.4.2 需求介绍 (38)5.4.3 设置方法 (38)5.4.4 注意事项 (40)5.5 虚拟服务器设置指南 (41)5.5.1 应用介绍 (41)5.5.2 需求介绍 (41)5.5.3 设置方法 (42)5.5.4 疑问解答 (43)5.6 NAT-DMZ功能设置指南 (44)5.6.1 应用介绍 (44)5.6.2 需求介绍 (44)5.6.3 设置方法 (45)第6章AP和易展管理 (47)6.1 AP管理设置指南 (47)6.1.1 应用介绍 (47)6.1.2 需求介绍 (47)6.1.3 设置方法 (47)6.2 易展AP设置指南 (53)6.2.1 应用介绍 (53)6.2.2 需求介绍 (53)6.2.3 设置方法 (54)6.2.4 注意事项 (58)第7章行为管控 (59)7.1 连接数限制设置指南 (59)7.1.1 应用介绍 (59)7.1.2 需求介绍 (59)7.1.3 设置方法 (59)7.1.4 疑问解答 (60)7.2 访问控制设置指南 (61)7.2.1 应用介绍 (61)7.2.2 需求介绍 (61)7.2.3 设置方法 (61)7.2.4 疑问解答 (67)7.3 应用限制设置指南 (68)7.3.1 应用介绍 (68)7.3.2 需求介绍 (68)7.3.3 设置方法 (68)7.4 网址过滤设置指南 (71)7.4.1 应用介绍 (71)7.4.2 需求介绍 (71)7.4.3 设置方法 (71)7.4.4 疑问解答 (75)7.5 网页安全设置指南 (76)7.5.1 应用介绍 (76)7.5.2 需求介绍 (76)7.5.3 设置方法 (76)第8章安全防护 (78)8.1 ARP防护设置指南 (78)8.1.1 应用介绍 (78)8.1.2 需求介绍 (78)8.1.3 设置方法 (78)8.1.4 疑问解答 (84)8.2 MAC地址过滤设置指南 (86)8.2.1 应用介绍 (86)8.2.2 需求介绍 (86)8.2.3 设置方法 (86)第9章VPN模块 (88)9.1 IPSec VPN设置指南 (88)9.1.1 应用介绍 (88)9.1.2 需求介绍 (88)9.1.3 设置方法 (89)9.2 L2TP VPN设置指南 (96)9.2.1 应用介绍 (96)9.2.2 需求介绍 (96)9.2.3 设置方法 (97)9.3 PPTP VPN设置指南 (105)9.3.1 应用介绍 (105)9.3.2 需求介绍 (105)9.3.3 设置方法 (106)9.4 L2TP VPN代理上网设置指南 (115)9.4.1 应用介绍 (115)9.4.2 需求介绍 (115)9.4.3 设置方法 (115)9.5 PPTP VPN代理上网设置指南 (120)9.5.1 应用介绍 (120)9.5.2 需求介绍 (120)9.5.3 设置方法 (120)第10章认证管理 (125)10.1 一键上网设置指南 (125)10.1.1 应用介绍 (125)10.1.2 需求介绍 (125)10.1.3 设置方法 (126)10.2 短信认证设置指南 (130)10.2.1 应用介绍 (130)10.2.2 需求介绍 (130)10.2.3 设置方法 (131)10.3 Portal认证设置指南—使用内置WEB服务器和内置认证服务器 (136)10.3.1 应用介绍 (136)10.3.2 需求介绍 (136)10.3.3 设置方法 (137)10.4 Portal认证设置指南—使用内置WEB服务器和外部认证服务器 (141)10.4.1 应用介绍 (141)10.4.2 需求介绍 (141)10.4.3 设置方法 (142)10.5 Portal认证设置指南—使用外置WEB服务器和内置认证服务器 (146)10.5.1 应用介绍 (146)10.5.2 需求介绍 (146)10.5.3 设置方法 (147)10.6 Portal认证设置指南—使用外置WEB服务器和外置认证服务器 (150)10.6.1 应用介绍 (150)10.6.2 需求介绍 (150)10.6.3 设置方法 (151)10.7 免认证策略的使用方法 (154)10.7.1 应用介绍 (154)10.7.2 需求介绍 (154)10.7.3 设置方法 (155)10.8 Portal认证中，外部WEB服务器建立规范 (158)10.8.1 应用介绍 (158)10.8.2 流程规范 (159)第11章工业级特性 (163)11.1 如何使用工业级路由器？ (163)11.1.1 产品介绍 (163)11.1.2 需求介绍 (163)11.1.3 设置方法 (164)第12章其它功能 (168)12.1 地址组的设置与管理 (168)12.1.1 应用介绍 (168)12.1.2 需求介绍 (168)12.1.3 设置方法 (168)12.1.4 疑问解答 (170)12.2 带宽控制设置指南 (172)12.2.1 应用介绍 (172)12.2.2 需求介绍 (172)12.2.3 设置方法 (172)12.2.4 疑问解答 (175)12.3 PPPOE服务器应用设置指南 (177)12.3.1 应用介绍 (177)12.3.2 需求介绍 (177)12.3.3 设置方法 (178)12.3.4 疑问解答 (181)12.4 网络唤醒功能使用指南 (183)12.4.1 应用介绍 (183)12.4.2 需求介绍 (183)12.4.3 设置方法 (183)12.5 诊断工具使用指南 (186)12.5.1 应用介绍 (186)12.5.2 需求介绍 (186)12.5.3 设置方法 (187)第1章前言本手册旨在帮助您正确使用R系列企业级路由器。

routeros配置PPPOE服务器固定IP上网+PPPoE服务器在机房亲测正常，过程如下：1、网上下载，准备好一块硬盘2、使用WinImage写盘ROS 5.16 1G.IMG硬盘启动后，显示Login：，输入admin，密码为空关机命令：system shutdown3、使用winbox.exe连接服务器进行配置，参考如下：一、配置内网LAN1、设置内网网卡pppoe-server如图2-1 添加PPPOE-SERVER图2－12、进入PPP-->profiles (注明：Local Address:可以填写你喜欢的IP DNS 填写您当地的DNS)图2－23、进入PPP--> PPOE SERVERS (注明：Interface选择你的内网网卡、Default profile选择图2－2 的name的内容这里我们选的是pppoe_profile)图2－34、建立拔号的用户，用户名密码由你设置别的可以参考图2－4图2－4第三1、设置防火墙规则图3－1图3－1第四1、设置DNS如图4－1图4－1第五1、设置基本OK 了。

我们来测试一下吧。

首先设置一个“宽带连接”图5－12、输入图2－4 建立的用户名与密码图5－23、点击图5－2“连接”图5－34、查看右下角的小电脑图5－45、查看一下详细信息（注明：图5－5 里的服务器IP地址应该与你图2－2 的Local Address 地址相同客户端IP 地址应该2－4 建立用户的客户地址相同）图5－5测试一下连接上PPPoE服务器，但不能上网接下来，装上外网网卡，配置固定IP上网二、配置外网WAN第一步：网络接口配置在/interfaces 列表中修改ether1为W AN，定义为外网接口；修改ether2为ether2-lan 定义为内网接口，如图：同样将ether2 修改为ether2-lan，指定内网接口：第二步：添加IP 地址在/ip address 中添加IP地址和选择网卡接口，添加内网和外围的IP地址如图：第三步：添加默认网关在/ip routes里添加默认网关10.0.0.1，开启check-gateway=ping（网关ping 监测）如图：第四步，NAT地址转换在/ip firewall nat 里点击“+”添加伪装规则：在NAT 里添加新的规则，在chain里选择srcnat链表：在选择action 里的action=masquerade规则：第五步，DNS配置在/ip dns 的settings 中添加多个DNS服务器地址，根据需要启用DNS缓存（allow remote requests）：WAN接口单线上网已经配置完成。

返回TP-LINK首页企业路由器应用——PPPOE服务器配置实例(本文适用于TL-ER6120 V1.0、TL-ER6110 V1.0、TL-R473 V3.0、TL-R483 V3.0、TL-R478 V4.0、TL-R478+ V5.0)PPPOE即PPP over Ethernet，是指在以太网中传输PPP的技术，通过PPPoE可以防范ARP欺骗，同时为客户端统一分配IP以及DNS等参数，有效避免了静动态IP方式因地址冲突或者参数设置不当导致无法访问外网的问题，还可以结合Radius服务器对客户进行认证、授权以及计费，目前国内ISP多采用PPPoE作为接入认证方式。

TL-ER6110/TL-ER6120/TL-R473/TL-R483内置PPPoE服务器，下面以一个实例来展示TL-ER6120的解决方案和配置过程。

需求介绍某小区100M光纤接入，宽带用户有100家，宽带服务商需要用户通过PPPOE拨号的方式，来拨自己搭建的PPPOE 服务器，从而通过自己所接入的光纤线路进行上网。

本文将通过一个实例来展示TL-ER6120的PPPOE服务器配置过程。

小区宽带服务商自己上网所用到的IP地址：192.168.1.10-192.168.1.20。

小区宽带服务商建立的视频服务器IP地址为：192.168.1.8。

网络规划TL-ER6120设置为单WAN口，接入一条100M光纤，核心交换机为TL-SG2224E，接入层交换机使用TL-SF1024L，小区宽带服务商和小区宽带用户通过接入层交换机连接公网。

设置步骤1、PPPoE服务器全局设置：系统服务----PPPoE服务器----全局设置，进入“全局设置”标签界面：◆PPPoE服务器：启用或者禁用PPPOE服务器，这里选择启用。

◆强制PPPoE拨号：启用该功能，只有PPPoE拨号用户以及例外IP（白名单）可以使用网络，如果禁用该功能，则所有用户都可以使用网络。

掌握目标1、在华为路由器上PPPOE服务器的配置2、在华为路由器上PPPOE客户端的配置（工作上常用）3、配置NAT（上网使用）4、默认路由配置拓扑图1、在华为路由器上PPPOE服务器的配置（1）地址池配置[PPPOE_server]ip pool pppoe[PPPOE_server-ip-pool-pppoe]network123.1.1.0mask24[PPPOE_server-ip-pool-pppoe]dns-list114.114.114.114（2）配置虚拟模板[PPPOE_server]int e0/0/0[PPPOE_server-Ethernet0/0/0]ip address123.1.1.124[PPPOE_server]interface Virtual-Templa1[PPPOE_server-Virtual-Template1]ip address unnumbered interface e0/0/0 [PPPOE_server-Virtual-Template1]remote address pool pppoe说明：这里是调用了出接口的地址，也可以手工配置，另外调用全局定义的地址池（3）接口调用[PPPOE_server]interface e0/0/0[PPPOE_server-Ethernet0/0/0]pppoe-server bind virtual-template1（4）用户名定义[PPPOE_server]aaa[PPPOE_server-aaa]local-user ccieh3c password cipher [PPPOE_server-aaa]local-user ccieh3c service-type ppp2、在华为路由器上PPPOE客户端的配置（工作上常用）客户端的配置在企业的环境中是最常见遇到的，掌握是非常有必要。

（1）定义拨号规则[pppoe-client]dialer-rule[pppoe-client-dialer-rule]dialer-rule1ip permit说明：这里就是定义的拨号规则，允许所有的IPV4流量通过。

pppoe是point-to-point protocol over ethernet的简称，可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。

通过pppoe协议，远端接入设备能够实现对每个接入用户的控制和计费。

pppoe服务器是一些企业级路由器提供的一项功能，能够在局域网中实现和电信营运商提供的ADSL相类似的服务。

秒开加速路由系统软件是一款功能强大的路由系统软件，下面就利用该路由系统来搭建pppoe服务器。

1.快速配置1.1 pppoe服务主要参数配置pppoe 本地IP是用户拨号成功后，pppoe 服务端的虚拟IP地址，通常使用内网IP段或不常用的外网IP段，比如172.XX.YY.ZZ 或10.XX.YY.ZZ 或100.XX.YY.ZZ 或200.XX.YY.ZZ1.2 pppoe服务高级配置其中每个MAC限制一个会话，不启用时，在账号登录数限制为1时，有些路由或者恶意攻击者会使用同一个MAC将一个账号同时拨入多次1.3配置地址池初次使用秒开加速路由系统，可以一键生成地址池，然后根据需要更改默认地址池的范围配置完成后，在“账号管理”中添加账号，拨号测试即可。

注意事项：用户认证模式和RADIUS对接参数变化时，需重启pppoe服务生效。

2.和外部计费系统对接2.1海蜘蛛计费系统第一步：计费系统上的配置，添加NAS（路由）第二步：然后创建套餐，及用户账号第三步：路由系统上的配置注意事项：如果计费系统在外网，路由的外网是动态IP或多线，通常“NAS 服务器IP”设为‘0.0.0.0’，如果计费系统在内网(如IP为192.168.10.100)，NAS 服务器IP设为和计费系统同网段的IP (如192.168.10.254)。

第四步：对接测试首先在路由上使用测试账号进行对接测试然后在用户电脑上使用pppoe拨号测试2.2蓝海卓越计费系统第一步：计费系统上的配置，进入“计费设置”-“NAS管理”，添加NAS设备第二步：配置好区域项目和产品管理后，进入“用户管理”-“添加用户”第三步：路由系统上的设置第四步：对接测试首先在路由上使用测试账号进行对接测试然后在用户电脑上使用pppoe拨号测试2.3 卓迈计费系统第一步：计费系统上的配置，进入“模板配置”-“NAS管理”，添加新NAS第二步：然后创建套餐，进入“模板配置”-“计费模板”，添加新模板第三步：创建用户账号，进入“用户管理”-“用户开户”第四步：路由系统上的设置第五步：对接测试在路由上使用测试账号进行对接测试然后在电脑上使用pppoe拨号时，计费会出现在线用户3.第三方RAIDUS计费系统支持一览表计费软件限速地址池到期管理RADIUS 强制踢下线选择设备类型蓝海支持支持支持支持Mikrotik/ROS 凌风支持支持支持支持Mikrotik/ROSRadius Manager 3.9 支持支持不支持下一版支持Mikrotik/ROSRadius Manager 4.X 即将支持即将支持即将支持即将支持即将支持安腾支持不支持不支持暂不支持Mikrotik/ROS4.秒开RADIUS字典（pppoe 拨号部分）项目Attributes 属性取值（实例）说明地址池Framed-Pool 20M 下发地址池IP 地址Framed-IP-Address 10.10.0.10下发IP 地址计费更新时间Acct-Interim-Interval 60计费更新时间间隔【秒】限速方式1RP-Upstream-Speed-LimitRP-Downstream-Speed-Limit125/1250单位为KB/S,换算上行1000kbps单位为KB/S,换算下行10000kbps限速方式2 Mikrotik-Rate-Limit1000k/10000k或1000000/10000000上行1000kbps/下行10000kbps到期时间Session-Timeout 8640086400 秒后强制踢下线0或不下发此属性表示不强制下线pppoe 地址NAS-IP-Address 192.168.1.254BRAS与RADIUS服务器连接的接口的IP地项目Attributes 属性取值（实例）说明址有可能是内网地址或是外网地址看RADIUS的部署方式DNS 下发MS-Primary-DNS-ServerMS-Secondary-DNS-Server114.114.114.114180.76.76.76主DNS 可选下发副DNS 可选下发接口VLAN NAS-Port-Id 10用户端VLAN 标识，用于RADIUS校验或绑定踢用户下线COA 3799 端口此机制遵循RFC3576此机制遵循RFC 3576（END）。

路由器内网pppoe服务器
推荐文章
如何设置路由器外网访问内网服务器热度： tp link路由器怎么设置dmz主机热度：双频千兆无线路由器pppoe上网热度：金浪路由器限制内网流量的方法热度： D-LINK无线路由器设置PPPOE连接互联网热度：
路由器是近几年来新兴的一种网络产品,它伴随着宽带网络的普及应运而生，那么你知道路由器内网pppoe服务器的设置方法吗?下面是店铺整理的一些关于路由器内网pppoe服务器的相关资料，供你参考。

路由器内网pppoe服务器的设置方法：
下面以飞鱼星路由器为例
1、如果您启用了PPPoE服务器，您可以通过配置起始IP地址和总地址数来限制为PPPoE客户端分配的IP地址范围。

2、您还需要配置PPPoE服务器的DNS服务器地址，用以为PPPoE客户端分配域名服务器。

3、您可以批量添加PPPOE用户，格式如：user1 pass1 。

每行添加一个用户。

4、您可以通过配置系统最大会话数来限制同时拨入的PPPoE客户端数目。

5、在启用了PPPoE服务器后，您需要配置拨入用户名和密码，并将此用户名、密码提供给客户端。

6、您可以设置静态地址分配为指定MAC的PPPoE客户端分配一个固定IP地址。

7、您可以通过PPPoE用户状态列表查看当前拨入服务器的PPPoE客户端信息。

8、使用PPPoE拨号的用户，上网行为管理中的聊天软件过滤等可能封锁不住。

配置步骤
登陆路由器管理界面，基础设置》PPPOE服务器，启用该功能。

分配客户端用户账号、密码：
如用户数比较多，可批量添加：。

1、PPPOE客户端配置：2、PPPOE服务器配置：3、路由器做为PPPOE接入服务器（本地认证），同时router也作为PPPOE上internet 的客户端，另外还使用了NAT功能。

4、监视和维护PPPOE1、PPPOE客户端配置：配置拨号：Router(config)#interface dialer 0Router (config-if-dialer0)#ip address negotiatedRouter (config-if-dialer0)#dialer pool 1Router (config-if-dialer0)#dialer permit-dial-null-stringRouter (config-if-dialer0)#dialer-group 1Router (config-if-dialer0)#ppp pap sent-username user password passRouter (config-if-dialer0)#exitRouter (config)#dialer-list 1 protocol ip permit使能PPPOE：Router (config-if-eth0/1)#pppoe-client dial-pool-number 12、PPPOE服务器配置：配置virtual-templete：Router(config)# ip local pool ip-pool 10.0.0.2 10.0.0.255Router(config)#interface virtual-templete 0Router (config-if-virtual-templete0)#ip address 10.0.0.1/24Router (config-if-virtual-templete0)# peer de ip address pool ip-poolRouter (config-if-virtual-templete0)# ppp authentication chap defaultRouter (config-if-virtual-templete0)#exit使能PPPOE：Router(config)#pppoe virtual-template 0Router (config-if-eth0/0)#pppoe enable配置AAA采用本地认证Router(config)#aaa-enableRouter(config)#aaa authentication ppp default localRouter(config)#username user1 privilege 1 password user1Router(config)#username aaa privilege 1 password aaa3、路由器Router做为PPPOE接入服务器（本地认证），同时router也作为PPPOE上i nternet的客户端，另外还使用了NAT功能。

第15章PPPoE协议配置本文主要讲述PPPoE协议的内容和配置方法。

本章主要内容：●PPPoE概述●PPPoE基本命令描述●PPPoE客户端、服务器配置实例●PPPoE监控和调试15.1PPPoE概述PPPoE协议是指在Ethernet（以太网）上实现PPP连接的一种协议。

一种典型的PPPoE 应用是PC机利用PPPoE拨号软件通过以太网与局端建立连接。

15.2PPPoE基本命令描述注：1、在命令描述前用“*”符号表示该命令后续有配置实例详细说明；2、配置模式指可以执行该配置命令的模式，如：config、config-if-××（接口名）、config-××（协议名称）等；3、命令的书写方式请参见前言的“本书约定”部分；4、在分别对各个命令进行详细说明的部分，每个命令最后需要对命令的参数缺省情况进行说明，如果没有定义缺省参数，则以“未定义”说明；pppoe enable为了能够监听来自线路上的PPPoE报文，使用该命令；否则使用该命令的no格式来禁止。

通常该命令用于PPPoE服务器端。

pppoe enableno pppoe enable【缺省情况】未定义pppoe-client dial-pool-number为了能够监听来自线路的PPPoE报文并且能够主动进行PPPoE呼叫，使用该命令；否则使用该命令的no格式来禁止。

该命令用于PPPoE客户端。

pppoe-client dial-pool-number pool-numberpppoe-client dial-pool-number pool-number ac-name ac-nameno pppoe-client dial-pool-number pool-number命令描述pool-number 拨号池号码ac-name 访问控制器的名称（对端PPPoE服务器的名称）【缺省情况】未定义pppoe-client auto-dial为了能够让PPPoE客户端自动拨号，使用该命令；否则使用该命令的no格式来禁止。

H3C-PPP和PPPoE配置举例1.5 PPP典型配置举例1.5.1 PAP单向认证举例1. 组网需求如图1-3所示，Router A和Router B之间用接口Serial2/1/0互连，要求Router A用PAP方式认证Router B，Router B不需要对Router A进行认证。

2. 组网图图1-3 配置PAP单向认证组网图3. 配置步骤(1) 配置Router A# 为Router B创建本地用户。

<RouterA> system-view[RouterA] local-user userb class network# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple passb# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp[RouterA-luser-network-userb] quit# 配置接口封装的链路层协议为PPP（缺省情况下，接口封装的链路层协议为PPP，此步骤可选）。

[RouterA] interface serial 2/1/0[RouterA-Serial2/1/0] link-protocol ppp# 配置本地认证Router B的方式为PAP。

[RouterA-Serial2/1/0] ppp authentication-mode pap domain system# 配置接口的IP地址。

[RouterA-Serial2/1/0] ip address 200.1.1.1 16[RouterA-Serial2/1/0] quit# 在系统缺省的ISP域system下，配置PPP 用户使用本地认证方案。

[RouterA] domain system[RouterA-isp-system] authentication ppp local(2) 配置Router B# 配置接口封装的链路层协议为PPP（缺省情况下，接口封装的链路层协议为PPP，此步骤可选）。

PPPOE的配置VPDN是基于拨号接入（PSTN、ISDN）的虚拟专用拨号网业务，可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。

VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。

VPN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。

VPDN技术适用于以下范围：地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。

人员分散，需通过长途电信甚至国际长途手段联系的用户。

对线路的保密和可用性有一定要求的用户。

此外，通过VPDN技术，可实现对特定站点的封闭，可向小ISP和大集团用户提供一次、多次端口批发业务。

VPDN网络结构由局端（或称为中心端）和客户系统组成。

VPDN客户系统包括两部分：企业端与远端。

通常企业端是企业的内部局域网，以专线方式接入UNINET；远端是拨号客户，以拨号方式访问企业内部局域网。

ADSL拨号连接本实验中，用一台路由器（IOS：7200）模拟一台ADSL服务器，然后用一台PC模拟个人用户，用另外一台路由器模拟企业用户，并实现正常的拨号。

配置ADSL服务器1、配置VPDNADSL(config)#vpdn enable //启动路由器上的VPDN功能ADSL(config)#vpdn-group wnt //创建一个名为wnt的VPDN组ADSL(config-vpdn)#request-dialin //初始化一个VPDN隧道，即建立一个请求拨入的VPDN子组ADSL(config-vpdn-req-in)#protocol pppoe //定义vpdn子组使用pppoe建立会话隧道% PPPoE config from vpdn-group is converted to pppoe-profile based config.% Continue PPPoE configuration under 'bba-group pppoe global'ADSL(config-vpdn-req-in)#*Jun 23 10:23:58.223: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up*Jun 23 10:23:59.223: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to upADSL(config-vpdn-req-in)#exitADSL(config-vpdn)#exit2、创建CPE用于拨号的用户名和密码ADSL(config)#username cisco password cisco3、开启相应接口对PPPOE的支持功能。

PPPOE(一)实验场景1.企业用户r2是通过拨号来获取外网地址，从而实现上网的。

家庭用户也是这样，同时实验要求家庭用户能通过pptp-vpn来实现对公司内网的server进行访问。

（二）pppoe实现拨号上网R2的配置：在配置之前我犹豫了一下，因为待会是我们要拨号上网，所以网关到isp的那个ip地址要不要配呢？加入要配置一个公网ip，那不就是又浪费了一个ip地址。

应该是我们在地址池里面配置和isp接口同网段的ip地址段，这样比好成功之后就可以实现连接。

在isp上的配置:isp(config)#vpdn enable 开去拨号功能isp(config)#vpdn-group 1 创建一个拨入组，提供拨入服务isp(config-vpdn)#accept-dialin 允许拨入服务isp(config-vpdn-acc-in)#virtual-template 1isp(config-vpdn-acc-in)#protocol pppoe 采用的是pppoe协议% PPPoE config from vpdn-group is converted to pppoe-profile based config.% Continue PPPoE configuration under 'bba-group pppoe global' 、、貌似对结果没有影响*Mar 1 00:01:37.647: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up*Mar 1 00:01:38.647: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to upusername chen password 0 chen 拨入的用户名和密码都是这个!!!bba-group pppoe qiye 企业用户接入调用的是虚模板2virtual-template 2!bba-group pppoe jiating 家庭用户接入调用的是虚模板1virtual-template 1!!interface Loopback0 虚模板的地址一律采用回环口的地址ip address 8.8.8.8 255.255.255.0!interface FastEthernet0/0 在f0/0下调用家庭用户的pppoeno ip addressduplex autospeed autopppoe enable group jiating!interface FastEthernet0/1 在f0/1下调用企业用户的pppoeno ip addressduplex autospeed autopppoe enable group qiye!interface Virtual-Template1 家庭用户对应虚模板1，给他一个pool ip unnumbered Loopback0peer default ip address pool jiatingppp authentication chap!interface Virtual-Template2 企业用户对应虚模板2，对应另外一个pool ip unnumbered Loopback0peer default ip address pool qiyeppp authentication chap 这边认证玩那个都是采用chap!ip local pool jiating 200.200.200.1 200.200.200.100ip local pool qiye 100.100.100.1 100.100.100.100加入是公司网关的拨入，客户端是这样配置的。

MSR路由器PPPoE配置示例1.配置示例图：2.PPPoE-Server配置：<PPPoE-Server>display current-configuration#version 7.1.075, Alpha 7571#sysname PPPoE-Server#ip pool pppoe 121.48.47.2 121.48.47.6 //为PPPoE客户端分配IP地址#dhcp enable#interface Virtual-Template1ppp authentication-mode pap domain system //客户端的验证方式remote address pool pppoe //指定为远端（PPPoE客户端）分配IP地址ip address 121.48.47.1 255.255.255.248dns server 8.8.8.8 //为对端分配DNS地址#interface NULL0#interface GigabitEthernet0/0port link-mode routecombo enable copperpppoe-server bind virtual-template 1 //应用到接口并绑定虚拟木模板1 #domain systemauthentication ppp local //PPPoE认证方式为本地址认证#local-user pppoe class network //创建用于PPPoE认证的本地用户password cipher pppoeservice-type ppp#Return3.PPPoE客户端配置：[PPPoE-Client]display current-configuration#version 7.1.075, Alpha 7571#sysname PPPoE-Client#dialer-group 1 rule ip permit //定义拨号访问组1以及对应的拨号访问控制条件#dhcp enable#dhcp server ip-pool 1 //为内网用户分配IP地址gateway-list 192.168.100.254network 192.168.100.0 mask 255.255.255.0#interface Dialer 1 //配置拨号ppp ipcp dns admit-anyppp ipcp dns requestppp pap local-user pppoe password cipher pppoedialer bundle enable //接口使能共享DDRdialer-group 1 //将Dialer 1接口与拨号访问组1关联dialer timer idle 0 //配置PPPoE Client 工作在永久在线模式（允许链路闲置的时间）dialer timer autodial 60 //配置DDR自动拨号的间隔时间为60秒ip address ppp-negotiate //配置接口从对端获得IP地址nat outbound 2000 //配置NAT转换（内网用户通过NAT后才能访问公网）#interface GigabitEthernet0/0 //WAN口port link-mode routecombo enable copperpppoe-client dial-bundle-number 1 //配置PPPoE会话#interface GigabitEthernet0/1 //LAN口port link-mode routecombo enable copperip address 192.168.100.254 255.255.255.0#ip route-static 0.0.0.0 0 Dialer1 //配置默认路由#acl basic 2000 //配置NAT过滤rule 5 permit#return如有侵权请联系告知删除，感谢你们的配合！。

基于PPPoE认证的公司出口配置1.项目背景Jan16公司向ISP服务提供商申请了一条专用线路用于互联网接入，线路采用PPPoE接入方式。

现需配置出口路由器，使内网使用可以通过共享出口路由器访问互联网。

项目拓扑如图1所示。

具体要求如下：（1）公司出口路由器采用G0/0/0接口与ISP认证服务器互联；（2）公司内网通过一台无配置的交换机互联，实现客户端与网关的通信；（3）测试计算机和路由器的IP与接口信息如拓扑所示。

图1-1 网络拓扑图2.项目规划设计PPPoE接入采用PPP封装协议，可选择PAP或CHAP的认证方式，这里选择较为安全的CHAP认证。

建立PPPoE接入，需创建Dialer接口，并配置相应的认证方式、用户名和密码；同时，为实现接口共享，需通过ACL列表匹配内网流量并绑定到Dialer接口；最后将Dialer 接口与实际连接ISP服务器的G0/0/0接口进行绑定，即可实现链路的认证接入。

为实现内网到互联网的访问，还需在R1上配置默认路由，并指向Dialer接口。

配置步骤如下：（1）配置PPPoE认证服务器（2）配置PPPoE客户端（3）配置各计算机的IP地址具体规划如下表：表1-1 IP地址规划表表1-2 端口规划表3.项目实施（1）配置PPPoE 服务器②配置PPPoE 地址池，通过使用全局地址池给对端分配地址，实现PPPoE Server 为PPPoE Client 动态分配IP 地址。

（2）配置PPPoE 客户端①修改R1路由器的设备名，并配置G0/0/1接口的IP 作为内网用户的网关；②配置Dialer 接口。

添加isp 到客户端的路由：ip route-static 0.0.0.0 0 Virtual-Template 1④配置NAT 转换，配置局域网用户通过NAT 转换将私网地址转换为公网地址，进行拨（3）配置各计算机的IP 地址图1-2 PC1 IP 配置图图1-3 PC2 IP配置图图1-4 PC3 IP配置图4.项目验证（1）查看PPPoE server会话的状态和配置信息可以观察到，会话状态正常（状态为UP表示正常）、配置正确（和之前的数据规划和组网一致）。