认证方（ISP 侧）

1. AAA 创建本地用户

aaa
local-user hjp password cipher Huawei@123		// 进入 AAA 视图，创建运营商分配的用户账号
 local-user hjp service-type ppp			// 指定服务类型为：PPP

2. 进入运营商的接口开启 PAP 或者 CHAP 认证

interface Pos2/0/0
ppp authentication-mode pap 			// 如：开启 PAP 认证，对接入用户的身份进行检查

3. 可选配置（为接入的用户分配 IP 地址）

• 创建地址池

ip pool A
 network 100.1.1.0 mask 24				// 网段一般使用运营商接口相同的子网段
 excluded-ip-address 100.1.1.2 			// 排除运营商侧的接口 IP ，以防分配后冲突

4. 接口调用地址池

interface Pos2/0/0
remote address pool A				// 为接入用户分配 IP 地址（使用地址池 A）

• 完成以上配置后，需要重启接口

shutdown / undo  shutdown 				// 因为 PPP 协议一旦协商成功，则不会重新进行参数协商

---

CHAP 认证

• 如果运营商的接口配置了用户名，则用户接口可以不用配置密码

1. 运营商

interface Pos2/0/0
ppp authentication-mode chap 					// 开启 CHAP 认证
ppp chap user hjp							// 接口配置了用户名信息（可选）

2. 用户设备只需要接口开启用户名，并使用全局密码即可

aaa
local-user hjp password cipher Huawei@123		// 进入 AAA 视图，创建运营商分配的用户账号
 local-user hjp service-type ppp			// 指定服务类型为：PPP

interface Pos2/0/0
ppp chap user hjp					// 接口配置用户名即可完成认证

• 如果运营商的接口没有用户名

1. 运营商

interface Pos2/0/0
ppp authentication-mode chap 				// 开启 CHAP 认证

2. 用户必须在接口配置密码，使用接口密码来通过认证

interface Pos2/0/0
ppp chap user hjp
ppp chap password simple Huawei@123			// 如果运营商没有提供用户名，则用户的接口必须配置密码,使用接口密码来通过认证，并且接口配置优先于全局配置

---

---

用户侧配置（被认证方）

1. 配置运营商提供的账号密码，通过身份认证

interface Pos2/0/0
ppp pap local-user hjp password simple Huawei@123			// 配置账户密码

2. 如果运营商侧配置了地址池，则用户可以获取公网 IP 地址

interface Pos2/0/0
ip address ppp-negotiate						// 地址使用 PPP 协商方式获取	

当配置完账户信息和地址协商后，需要重启接口

shutdown  / undo   shutdown

重新协商后，可以通过

display  ip  interface  brief  				// 查看接口是否获取 IP 地址，如果有则代表认证通过，否则失败

3. 内网与外网互访的配置

acl 2000
rule permit source any						// 创建 ACL 匹配需要进行 NAT 转换的数据包（默认允许所有流量转换）

4. 接口调用 NAT （Easy ip）

interface Pos2/0/0
nat outbound  2000						// 使用 P2/0/0 接口的 IP 地址进行 NAT 转换

5. 配置访问外网服务器的 IP 路由

ip route-static  0.0.0.0   0   Pos2/0/0					// PPP 协议无需指定下一跳地址，只需要指定出去的接口即可