案例描述校园网里有一个服务器网段，临时安放了一台考试服务器，要求用户只能通过授权后才能访问该网段，苦于经费原因，不想添加什么Radius服务器，也怕把网络环境弄复杂后，出现其它什么关联性问题就麻烦了。思索了很久，突然想到以前上网都是通过PPPOE拨号认证的，如果路由器能做成拨号服务器，不就可以实现认证访问了吗，说干就干，马上在服务器网段安装一台路由器，用的是神洲数码产品（DCR2655)，经过一番折腾，终于成功了！我把配置过程在模拟器上重新演示一遍，和大家分享，用的是Cisco命令，效果相同。实验环境：Cisco Packet Tracer 6.1网络拓扑图网络拓扑图分析校园网安放了一台ADSL，市面上普通的拨号路由器就可以了，实际环境中我用的是TP-Link，带无线功能。校园网用户我特别模拟了一台有线台式机（PC0）和一台无线笔记本电脑（Tablet PC0）。模拟拨号区域是我特别在实验环境中添加的，在实际环境中这个可以不用。然后有两个网段，“授权访问网段一”直接可以在授权后访问和“授权访问网段二”还需要通过地址转换（NAT）后才能访问。其实差不多，都需要通过PPPOE拨号认证授权。实验步骤配置过程分为两个部分：ISP拨号服务器PPPOE拨号ISP拨号服务器配置：通过四张图说明图1 vpdn配置在图1中，先启用了vpdn，再设置vpdn拨号组“niangao”（该名字可以自定义）；accept-dialin表示允许拨入，protocol pppoe设置拨号协议，virtual-temlate 1是设置该拨号组使用1号虚拟模板（虚拟模板会在后面定义）；username abc password 123是设置本地用户，该用户用于客户端拨号使用。图2 拨号虚拟模板配置在图2中，定义拨号虚拟模板，进入虚拟模板（提示：把虚拟模板当作一个接口），ip unnumbered f0/1表示绑定的端口（注意该端口是用户PPPOE拨号请求的端口，就是连接内网用户的端口！）；用户请求成功后，会分配给客户端ip地址，有点类似于dhcp的功能，需要指定一个地址池，peer default ip address pool mypool是指定地址池指令，mypool是地址池名字（名字自定义，要在后面定义），ppp authentication chap开启chap认证，pppoe拨号需要chap认证。图3 定义地址池mypool在图3中，定义地址池mypool，我根据自己的校园网情况，ADSL在拨号成功后，必须拥有192.168.0.0/24网段的地址才能联网成功所以我指定了192.168.0.10-192.168.0.19，同时允许20台客户端访问服务器网段。图4 在内网接口启用PPPOE服务在图4中，最后在路由器连接内网的接口上启用PPPOE服务，才能接受客户端的拨号请求。家用ADSL PPPOE拨号设置家用ADSL拨号非常简单，上网类型选择pppoe，然后输入用户名/密码（路由器的本地用户名/密码），拨号成功后，会获得分配的IP地址，该案例中获得了192.168.0.11地址，成功通过认证，接入服务器网段。图5 pppoe拨号图6 拨号成功页面验证效果用客户端PC0测试网络连通性，如图7所示：测试效果图我们可以看到，客户端通过ADSL路由器的拨号，能够访问两个服务器网段。心得体会PPPOE拨号技术是一个简单的认证授权功能，大多数可管理型路由器都自带，可以帮助网络管理人员实现临时的授权认证效果，在该案例中，由于篇幅的原因，有些过程我省略掉了，比如基本的路由设置，ADSL路由器的DHCP配置（给客户端自动分配IP，因为客户端有无线用户），还有访问服务器网段一和服务器网段二访问原理是不一样的，前者可以直接访问，后者还需要配置NAT服务，这个配置我就不再赘述了，大家可以参考我以前的文章，有关于NAT的配置，在实际使用过程中，确实解决了服务器机房的授权认证问题。但其中还有很多“瑕疵”，没有充分考虑到安全性问题，比如说使用路由器本地用户/密码认证登录，对路由器的安全存在很大的隐患。单纯的工作经验分享，有不妥当之处，欢迎大家共同研究。