认证方（ISP 侧）

1. AAA 创建本地用户

   aaa
   local-user hjp password cipher Huawei@123		// 进入 AAA 视图，创建运营商分配的用户账号
    local-user hjp service-type ppp			// 指定服务类型为：PPP

2. 进入运营商的接口开启 PAP 或者 CHAP 认证

   interface Pos2/0/0
   ppp authentication-mode pap 			// 如：开启 PAP 认证，对接入用户的身份进行检查

3. 可选配置（为接入的用户分配 IP 地址）

• 创建地址池

  ip pool A
   network 100.1.1.0 mask 24				// 网段一般使用运营商接口相同的子网段
   excluded-ip-address 100.1.1.2 			// 排除运营商侧的接口 IP ，以防分配后冲突

4. 接口调用地址池

   interface Pos2/0/0
   remote address pool A				// 为接入用户分配 IP 地址（使用地址池 A）

• 完成以上配置后，需要重启接口

  shutdown / undo  shutdown 				// 因为 PPP 协议一旦协商成功，则不会重新进行参数协商

---

CHAP 认证

• 如果运营商的接口配置了用户名，则用户接口可以不用配置密码

1. 运营商

   interface Pos2/0/0
   ppp authentication-mode chap 					// 开启 CHAP 认证
   ppp chap user hjp							// 接口配置了用户名信息（可选）

2. 用户设备只需要接口开启用户名，并使用全局密码即可

   aaa
   local-user hjp password cipher Huawei@123		// 进入 AAA 视图，创建运营商分配的用户账号
    local-user hjp service-type ppp			// 指定服务类型为：PPP
   
   interface Pos2/0/0
   ppp chap user hjp					// 接口配置用户名即可完成认证

• 如果运营商的接口没有用户名

1. 运营商

   interface Pos2/0/0
   ppp authentication-mode chap 				// 开启 CHAP 认证

2. 用户必须在接口配置密码，使用接口密码来通过认证

   interface Pos2/0/0
   ppp chap user hjp
   ppp chap password simple Huawei@123			// 如果运营商没有提供用户名，则用户的接口必须配置密码,使用接口密码来通过认证，并且接口配置优先于全局配置

---

---

用户侧配置（被认证方）

1. 配置运营商提供的账号密码，通过身份认证

   interface Pos2/0/0
   ppp pap local-user hjp password simple Huawei@123			// 配置账户密码

2. 如果运营商侧配置了地址池，则用户可以获取公网 IP 地址

   interface Pos2/0/0
   ip address ppp-negotiate						// 地址使用 PPP 协商方式获取	

   当配置完账户信息和地址协商后，需要重启接口

   shutdown  / undo   shutdown

   重新协商后，可以通过

   display  ip  interface  brief  				// 查看接口是否获取 IP 地址，如果有则代表认证通过，否则失败

3. 内网与外网互访的配置

   acl 2000
   rule permit source any						// 创建 ACL 匹配需要进行 NAT 转换的数据包（默认允许所有流量转换）

4. 接口调用 NAT （Easy ip）

   interface Pos2/0/0
   nat outbound  2000						// 使用 P2/0/0 接口的 IP 地址进行 NAT 转换

5. 配置访问外网服务器的 IP 路由

   ip route-static  0.0.0.0   0   Pos2/0/0					// PPP 协议无需指定下一跳地址，只需要指定出去的接口即可