第3章Internet接入实验终端和内部以太网可以通过Internet接入过程接入Internet。接入Internet的内部以太网对于Internet是透明的。因此，内部以太网中终端访问Internet时，需要由边缘路由器完成地址转换过程。
3.1终端接入Internet实验〖*4/5〗3.1.1实验内容如图3.1所示的接入网络中，路由器R1作为接入控制设备，远程终端通过以太网与路由器R1实现互连。路由器R1一端连接作为接入网络的以太网，另一端连接Internet。实现宽带接入前，远程终端没有配置任何网络信息，也无法访问Internet。
图3.1终端以太网接入Internet过程
远程终端访问Internet前，需要完成以下操作过程： 一是完成注册，获取有效的用户名和口令；二是启动宽带连接程序。远程终端成功接入Internet后，可以访问Internet中的资源，如Web服务器，也可以和Internet中的其他终端进行通信。
由于eNSP中的PC和客户端不支持基于以太网的点对点协议（PPP over Ethernet，PPPoE）接入功能，因此，需要通过云设备将实际PC接入仿真环境，在实际PC中创建宽带连接程序，通过启动宽带连接程序完成接入过程。
3.1.2实验目的
（1） 验证宽带接入网络的设计过程。〖1〗网络安全实验教程——基于华为eNSP第3章Internet接入实验〖3〗〖3〗（2） 验证接入控制设备的配置过程。
（3） 验证远程终端PPPoE接入过程。
（4） 验证本地鉴别方式鉴别远程终端用户过程。
（5） 验证远程终端访问Internet的过程。
3.1.3实验原理
由于远程终端通过以太网与作为接入控制设备的路由器R1实现互连。因此，需要通过PPPoE完成接入过程。对于路由器R1，一是需要配置授权用户，二是需要配置用于鉴别授权用户身份的鉴别协议，三是需要配置IP地址池。对于远程终端，需要通过启动宽带连接程序完成接入过程，启动宽带连接程序时，需要给出表明授权用户身份的有效用户名和口令。远程终端与路由器R1之间完成以下操作过程： 一是建立远程终端与路由器R1之间的点对点协议（Point to Point Protocol，PPP）会话；二是基于PPP会话建立远程终端与路由器R1之间的PPP链路；三是由路由器R1完成对远程终端用户的身份鉴别过程；四是由路由器R1对远程终端分配IP地址，并在路由表中创建用于将路由器R1与远程终端之间的PPP会话和为远程终端分配的IP地址绑定在一起的路由项。
3.1.4关键命令说明1. 定义IP地址池
［Huawei］ip pool r2
［Huawei-ip-pool-r2］network 192.1.1.0 mask 255.255.255.0
［Huawei-ip-pool-r2］gateway-list 192.1.1.254
［Huawei-ip-pool-r2］quitip pool r2是系统视图下使用的命令，该命令的作用是创建一个名为r2的全局IP地址池，并进入全局IP地址池视图。
network 192.1.1.0 mask 255.255.255.0是全局IP地址池视图下使用的命令，该命令的作用是为全局IP地址池分配CIDR地址块192.1.1.0/24，其中192.1.1.0是CIDR地址块起始地址，255.255.255.0是子网掩码（24位网络前缀）。
gatewaylist 192.1.1.254是全局IP地址池视图下使用的命令，该命令的作用是为PPPoE客户端配置默认网关地址192.1.1.254。
2. 定义鉴别方案［Huawei］aaa
［Huawei-aaa］authentication-scheme r2
［Huawei-aaa-authen-r2］authentication-mode local
［Huawei-aaa-authen-r2］quitaaa是系统视图下使用的命令，该命令的作用是进入AAA视图。AAA是Authentication（鉴别）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制。
authenticationscheme r2是AAA视图下使用的命令，该命令的作用是创建名为r2的鉴别方案，并进入鉴别方案视图。
authenticationmode local是鉴别方案视图下使用的命令，该命令的作用是指定本地鉴别机制为当前鉴别方案使用的鉴别机制。
3. 定义鉴别域［Huawei-aaa］domain r2
［Huawei-aaa-domain-r2］authentication-scheme r2
［Huawei-aaa-domain-r2］quitdomain r2是AAA视图下使用的命令，该命令的作用是创建名为r2的鉴别域，并进入AAA域视图。
authenticationscheme r2是AAA域视图下使用的命令，该命令的作用是指定名为r2的鉴别方案为当前鉴别域引用的鉴别方案。
4. 定义授权用户［Huawei-aaa］local-user aaa1 password cipher bbb1
［Huawei-aaa］local-user aaa1 service-type ppplocaluser aaa1 password cipher bbb1是AAA视图下使用的命令，该命令的作用是创建一个用户名为aaa1、口令为bbb1的授权用户。采用可逆加密算法对口令进行加密。
localuser aaa1 servicetype ppp是AAA视图下使用的命令，该命令的作用是指定PPP为用户名是aaa1的授权用户的接入类型。
5. 定义虚拟接口模板［Huawei］interface virtual-template 1
［Huawei-Virtual-Template1］ppp authentication-mode chap domain r2
［Huawei-Virtual-Template1］ip address 192.1.1.254 255.255.255.0
［Huawei-Virtual-Template1］remote address pool r2
［Huawei-Virtual-Template1］quitinterface virtualtemplate 1是系统视图下使用的命令，该命令的作用是创建编号为1的虚拟接口模板，并进入虚拟接口模板视图。
ppp authenticationmode chap domain r2是虚拟接口模板视图下使用的命令，该命令的作用是指定chap为本端设备鉴别对端设备时采用的鉴别协议，指定域名为r2的鉴别域所引用的鉴别方案为本端设备鉴别对端设备时引用的鉴别方案。
ip address 192.1.1.254 255.255.255.0是虚拟接口模板视图下使用的命令，该命令的作用是为虚拟接口配置IP地址192.1.1.254和子网掩码255.255.255.0。
remote address pool r2是虚拟接口模板视图下使用的命令，该命令的作用是指定名为r2的全局IP地址池为用于为对端设备分配IP地址时使用的全局IP地址池。
6. 建立虚拟接口模板与以太网接口之间的关联［Huawei］interface GigabitEthernet0/0/0
［Huawei-GigabitEthernet0/0/0］pppoe-server bind virtual-template 1
［Huawei-GigabitEthernet0/0/0］quitpppoeserver bind virtualtemplate 1是接口视图下使用的命令，该命令的作用是建立编号为1的虚拟接口模板与当前接口（这里是接口GigabitEthernet0/0/0） 之间的关联，并在当前接口（这里是接口GigabitEthernet0/0/0） 启用PPPoE协议。
7. 配置静态路由项［Huawei］ip route-static 192.1.1.0 24 192.1.2.1ip routestatic 192.1.1.0 24 192.1.2.1是系统视图下使用的命令，该命令的作用是配置一项目的网络是192.1.1.0/24、下一跳是192.1.2.1的静态路由项。其中192.1.1.0是目的网络的网络地址，24是目的网络的网络前缀长度，192.1.2.1是下一跳IP地址。
3.1.5实验步骤
（1） 启动eNSP，按照如图3.1所示的网络拓扑结构放置和连接设备，完成设备放置和连接后的eNSP界面如图3.2所示。启动所有设备。
图3.2完成设备放置和连接后的eNSP界面
（2） 通过云设备（Cloud1） 将实际PC接入仿真环境。云设备配置界面如图3.3所示，添加实际PC的本地连接和一个以太网端口，建立实际PC的本地连接与该以太网端口之间的双向通道。通过连接线实现该以太网端口与交换机LSW1端口GE0/0/1之间的连接，以此完成将实际PC的本地连接接入仿真环境的过程。
图3.3云设备配置界面
（3） 路由器AR1作为接入控制设备，完成路由器AR1全局IP地址池配置过程，全局IP地址池信息如图3.4所示。
图3.4全局IP地址池信息
（4） 完成路由器AR1鉴别方案、鉴别域和本地用户配置过程，本地用户信息如图3.5所示。
（5） 完成路由器AR1虚拟接口模板配置过程，虚拟接口模板信息如图3.6所示。建立虚拟接口模板与以太网接口GigabitEthernet0/0/0之间的关联，与以太网接口GigabitEthernet0/0/0关联的虚拟接口模板如图3.5所示。
（6） 在实际PC中创建一个宽带连接，启动宽带连接程序，宽带连接程序界面如图3.7所示，输入授权用户的用户名aaa1和密码bbb1，单击“连接”按钮，开始接入过程。接入过程中，由路由器AR1完成对接入用户的身份鉴别过程和对实际PC的IP地址配置过程。完成接入过程后，路由器AR1对实际PC分配的IP地址如图3.8所示。图3.5本地用户信息
图3.6虚拟接口模板信息
图3.7宽带连接程序界面
图3.8路由器AR1对实际PC分配的IP地址
（7） 路由器AR1为实际PC分配IP地址192.1.1.253后，在路由表中建立目的IP地址为192.1.1.253/32的直连路由项。除此之外，路由器AR1路由表中还存在分别用于指明通往网络192.1.2.0/24和网络192.1.3.0/24的传输路径的路由项。路由器AR2路由表中存在分别用于指明通往网络192.1.1.0/24、网络192.1.2.0/24和网络192.1.3.0/24的传输路径的路由项。路由器AR1和AR2的完整路由表分别如图3.9和图3.10所示。
图3.9路由器AR1的完整路由表
图3.10路由器AR2的完整路由表
（8） 完成服务器和PC IP地址、子网掩码和默认网关地址配置过程，PC1配置的IP地址、子网掩码和默认网关地址如图3.11所示。启动PC1与实际PC之间的通信过程，如图3.12所示是PC1执行ping操作的界面。
图3.11PC1配置的IP地址、子网掩码和默认网关地址
图3.12PC1执行ping操作的界面
（9） 启动实际PC与PC1之间的通信过程，如图3.13所示是实际PC执行ping操作的界面。
图3.13实际PC执行ping操作的界面
3.1.6命令行接口配置过程1. 路由器AR1命令行接口配置过程
<Huawei>system-view
［Huawei］undo info-center enable
［Huawei］interface GigabitEthernet0/0/1
［Huawei-GigabitEthernet0/0/1］ip address 192.1.2.1 24
［Huawei-GigabitEthernet0/0/1］quit
［Huawei］rip 1
［Huawei-rip-2］version 2
［Huawei-rip-2］network 192.1.2.0
［Huawei-rip-2］quit
［Huawei］ip pool r2
［Huawei-ip-pool-r2］network 192.1.1.0 mask 255.255.255.0
［Huawei-ip-pool-r2］gateway-list 192.1.1.254
［Huawei-ip-pool-r2］quit
［Huawei］aaa
［Huawei-aaa］authentication-scheme r2
［Huawei-aaa-authen-r2］authentication-mode local
［Huawei-aaa-authen-r2］quit
［Huawei-aaa］domain r2
［Huawei-aaa-domain-r2］authentication-scheme r2
［Huawei-aaa-domain-r2］quit
［Huawei-aaa］local-user aaa1 password cipher bbb1
［Huawei-aaa］local-user aaa1 service-type ppp
［Huawei-aaa］quit
［Huawei］interface virtual-template 1
［Huawei-Virtual-Template1］ppp authentication-mode chap domain r2
［Huawei-Virtual-Template1］ip address 192.1.1.254 255.255.255.0
［Huawei-Virtual-Template1］remote address pool r2
［Huawei-Virtual-Template1］quit
［Huawei］interface GigabitEthernet0/0/0
［Huawei-GigabitEthernet0/0/0］pppoe-server bind virtual-template 1
［Huawei-GigabitEthernet0/0/0］quit2. 路由器AR2命令行接口配置过程<Huawei>system-view
［Huawei］undo info-center enable
［Huawei］interface GigabitEthernet0/0/0
［Huawei-GigabitEthernet0/0/0］ip address 192.1.2.2 24
［Huawei-GigabitEthernet0/0/0］quit
［Huawei］interface GigabitEthernet0/0/1
［Huawei-GigabitEthernet0/0/1］ip address 192.1.3.254 24
［Huawei-GigabitEthernet0/0/1］quit
［Huawei］rip 2
［Huawei-rip-3］version 2
［Huawei-rip-3］network 192.1.2.0
［Huawei-rip-3］network 192.1.3.0
［Huawei-rip-3］quit
［Huawei］ip route-static 192.1.1.0 24 192.1.2.13. 命令列表
路由器命令行接口配置过程中使用的命令及功能和参数说明如表3.1所示。表3.1命令列表
命 令 格 式功能和参数说明ip pool ippoolname创建全局IP地址池，并进入全局IP地址池视图，参数ippoolname是全局IP地址池名称network ipaddress ［mask {mask|masklength}］配置全局IP地址池中可分配的网络地址段，参数ipaddress是网络地址。参数mask是子网掩码。参数masklength是网络前缀长度，子网掩码和网络前缀长度二者选一gatewaylist ipaddress配置DHCP客户端的默认网关地址。参数ipaddress是默认网关地址aaa用于进入AAA视图authenticationscheme schemename创建鉴别方案，并进入鉴别方案视图。参数schemename是鉴别方案名称authenticationmode {local|radius}配置鉴别模式，local是本地鉴别模式，radius是基于radius服务器的统一鉴别模式domain domainname创建鉴别域，并进入AAA域视图。参数domainname是鉴别域名称localuser username password {cipher|irreversiblecipher} password定义授权用户，参数username是授权用户名，参数password是授权用户口令。cipher表明用可逆加密算法加密口令。irreversiblecipher表明用不可逆加密算法加密口令localuser username servicetype {ppp|telnet}指定授权用户的接入类型，参数username是授权用户名。ppp表明授权用户通过PPP完成接入过程。telnet表明授权用户通过Telnet完成接入过程interface virtualtemplate vtnumber创建虚拟接口模板，并进入虚拟接口模板视图。参数vtnumber是虚拟接口模板编号ppp authenticationmode {chap|pap} domain domainname 配置本端设备鉴别对端设备时使用的鉴别协议和鉴别方案。pap表明采用PAP鉴别协议，chap表明采用CHAP鉴别协议。参数domainname是鉴别域域名，表明使用该鉴别域引用的鉴别方案remote address {ipaddress|pool poolname}为对端设备指定IP地址，或指定用于分配IP地址的全局IP地址池。参数ipaddress是为对端设备指定的IP地址。参数poolname是用于为对端设备分配IP地址的全局IP地址池名称pppoeserver bind virtualtemplate vtnumber用来将指定的虚拟接口模板绑定到当前以太网接口上，并在该以太网接口上启用PPPoE协议。参数vtnumber是虚拟接口模板编号续表
命 令 格 式功能和参数说明ip routestatic ipaddress {mask|masklength}{nexthopaddress|interfacetype interfacenumber}配置静态路由项，参数ipaddress是目的网络的网络地址、参数mask是目的网络的子网掩码、参数masklength是目的网络的网络前缀长度，子网掩码和网络前缀长度二者选一。参数nexthopaddress是下一跳IP地址，参数interfacetype interfacenumber是输出接口，下一跳IP地址和输出接口二者选一。对于以太网，需要配置下一跳IP地址display interface virtualtemplate ［vtnumber］显示虚拟接口模板的状态，参数vtnumber是虚拟接口模板编号。如果没有指定虚拟接口模板编号，显示所有虚拟接口模板的状态display localuser显示本地用户相关信息3.2内部以太网接入Internet实验〖*4/5〗3.2.1实验内容内部以太网接入Internet过程如图3.14所示，路由器R1作为接入控制设备，完成对边缘路由器的接入控制过程。边缘路由器一端连接Internet接入网络，一端连接内部以太网。边缘路由器连接Internet接入网络的一端由路由器R1分配全球IP地址。内部以太网分配私有IP地址192.168.1.0/24，连接在内部以太网上分配私有IP地址的终端访问Internet时，由边缘路由器完成地址转换过程。
图3.14内部以太网接入Internet过程
该实验在3.1节终端接入Internet实验的基础上进行，边缘路由器通过PPPoE完成接入Internet过程。内部以太网中终端通过边缘路由器完成Internet访问过程。边缘路由器通过PPPoE完成接入Internet过程时，等同于图3.1中的远程终端。
3.2.2实验目的
（1） 验证内部以太网的设计过程。
（2） 验证边缘路由器的配置过程。
（3） 验证内部以太网接入Internet过程。
（4） 验证边缘路由器PPPoE接入过程。
（5） 验证边缘路由器的网络地址转换（Network Address Translation，NAT）功能。
3.2.3实验原理
如图3.14所示的内部以太网接入Internet过程中，对于内部以太网中的终端，边缘路由器是默认网关，内部以太网中的终端发送给Internet的IP分组首先传输给边缘路由器，由边缘路由器转发给Internet。对于Internet中的路由器，边缘路由器等同于连接在Internet上的一个远程终端。
内部以太网及内部以太网分配的私有IP地址对Internet中的终端和路由器是透明的，因此，当边缘路由器将内部以太网中的终端发送给Internet的IP分组转发给Internet时，需要将这些IP分组的源IP地址转换成边缘路由器连接Internet接入网络的接口的全球IP地址。当Internet中的终端向内部以太网的终端发送IP分组时，这些IP分组以边缘路由器连接Internet接入网络的接口的全球IP地址为目的IP地址。当边缘路由器将这些IP分组转发给内部以太网中的终端时，需要将这些IP分组的目的IP地址转换成内部以太网中终端配置的私有IP地址。边缘路由器根据建立的地址转换表完成地址转换过程。
由于内部以太网的私有IP地址被统一转换成边缘路由器连接Internet接入网络的接口的全球IP地址，因此，Internet发送给边缘路由器的IP分组有着相同的目的IP地址，边缘路由器建立的地址转换表必须能够根据作为接收到的IP分组的净荷的TCP/UDP报文中的全局端口号，或ICMP报文中的全局标识符找到对应的内部以太网中的终端。因此，对于TCP/UDP报文，边缘路由器建立的地址转换表必须建立全局端口号与内部以太网中终端私有IP地址之间的映射，对于ICMP报文，边缘路由器建立的地址转换表必须建立全局标识符与内部以太网中终端私有IP地址之间的映射。
3.2.4关键命令说明1. 创建并配置dialer接口
［Huawei］interface dialer 1
［Huawei-Dialer1］dialer user aaa2
［Huawei-Dialer1］dialer bundle 1
［Huawei-Dialer1］ppp chap user aaa1
［Huawei-Dialer1］ppp chap password cipher bbb1
［Huawei-Dialer1］ip address ppp-negotiate
［Huawei-Dialer1］quitinterface dialer 1是系统视图下使用的命令，该命令的作用是创建一个编号为1的dialer接口，并进入dialer接口视图。
dialer user aaa2是dialer接口视图下使用的命令，该命令的作用有两个： 一是启动当前dialer接口（这里是编号为1的dialer接口）的共享拨号控制中心（Dial Control Center，DCC）功能；二是指定aaa2为当前dialer接口（这里是编号为1的dialer接口）对应的对端用户名。
dialer bundle 1是dialer接口视图下使用的命令，该命令的作用是指定编号为1的dialer bundle为当前dialer接口（这里是编号为1的dialer接口）使用的dialer bundle。每一个dialer接口需要绑定一个dialer bundle，然后通过该dialer bundle绑定一个或多个物理接口。
ppp chap user aaa1是dialer接口视图下使用的命令，该命令的作用是指定aaa1为对端设备使用CHAP鉴别本端设备身份时发送给对端设备的用户名。
ppp chap password cipher bbb1是dialer接口视图下使用的命令，该命令的作用是指定bbb1为对端设备使用CHAP鉴别本端设备身份时发送给对端设备的口令，口令用可逆加密算法加密。
ip address pppnegotiate是dialer接口视图下使用的命令，该命令的作用是指定当前dialer接口（这里是编号为1的dialer接口）通过PPP协商获取IP地址。
2. 建立物理接口与dialer bundle之间的关联［Huawei］interface GigabitEthernet0/0/0
［Huawei-GigabitEthernet0/0/0］pppoe-client dial-bundle-number 1
［Huawei-GigabitEthernet0/0/0］quitpppoeclient dialbundlenumber 1是接口视图下使用的命令，该命令的作用是指定编号为1的dialer bundle作为当前接口（这里是接口GigabitEthernet0/0/0） 建立PPPoE会话时对应的dialer bundle。
dialer接口、dialer bundle和物理接口之间关系是，每一个dialer接口需要绑定一个dialer bundle，每一个dialer bundle允许绑定一个或多个物理接口。dialer接口通过dialer bundle建立与物理接口之间的关联。
3. 确定需要地址转换的内网私有IP地址范围
以下命令序列通过基本过滤规则集将内网需要转换的私有IP地址范围定义为CIDR地址块192.168.1.0/24。［Huawei］acl 2000
［Huawei-acl-basic-2000］rule 10 permit source 192.168.1.0 0.0.0.255
［Huawei-acl-basic-2000］quitacl 2000是系统视图下使用的命令，该命令的作用是创建一个编号为2000的基本过滤规则集，并进入基本acl视图。
rule 10 permit source 192.168.1.0 0.0.0.255是基本acl视图下使用的命令，该命令的作用是创建允许源IP地址属于CIDR地址块192.168.1.0/24的IP分组通过的过滤规则。这里，该过滤规则的含义变为对源IP地址属于CIDR地址块192.168.1.0/24的IP分组实施地址转换过程。4. 建立基本过滤规则集与公共接口之间的联系［Huawei］interface dialer 1
［Huawei-Dialer1］nat outbound 2000
［Huawei-Dialer1］quitnat outbound 2000是dialer接口视图下使用的命令，该命令的作用是建立编号为2000的基本过滤规则集与指定dialer接口（这里是接口dialer 1） 之间的联系。建立该联系后，一是对从该接口输出的源IP地址属于编号为2000的基本过滤规则集指定的允许通过的源IP地址范围的IP分组，实施地址转换过程。二是指定该接口的IP地址作为IP分组完成地址转换过程后的源IP地址。
3.2.5实验步骤
（1） 启动eNSP，打开完成3.1节实验生成的topo文件，按照如图3.14所示的网络拓扑结构增加内部以太网，修改路由器编号，使得路由器AR1作为边缘路由器，路由器AR2作为接入控制设备。增加内部以太网和修改路由器编号后的eNSP界面如图3.15所示。启动所有设备。
图3.15完成设备放置和连接后的eNSP界面
（2） 完成路由器AR1 dialer接口配置过程，建立dialer bundle与以太网接口GigabitEthernet0/0/0之间的绑定。路由器AR1 dialer接口信息如图3.16所示。路由器AR1完成接入过程后，由路由器AR2为其分配IP地址192.1.1.253。
图3.16路由器AR1 dialer接口信息
（3） 路由器AR1连接内部以太网的接口配置IP地址和子网掩码192.168.1.254/24，使得内部以太网的网络地址为192.168.1.0/24，终端PC2和PC3需要配置属于网络地址192.168.1.0/24的IP地址，并将路由器AR1连接内部以太网的接口的IP地址192.168.1.254作为默认网关地址。路由器AR1连接内部以太网接口的状态如图3.16所示，终端PC2配置的IP地址、子网掩码和默认网关地址如图3.17所示。
图3.17终端PC2配置的IP地址、子网掩码和默认网关地址
（4） 启动PC2访问Internet过程，PC2执行的ping操作如图3.18所示。PC2发送给PC1的IP分组，经过路由器AR1转发后，源IP地址转换成路由器AR1连接Internet接入网络的接口的全球IP地址，该IP地址在路由器AR1通过PPPoE接入Internet时，由路由器AR2负责配置，这里是192.1.1.253。由于IP分组封装的是ICMP报文，且一次ICMP ECHO请求和响应过程即为一次会话，路由器AR1需要为ICMP报文分配唯一的全局标识符，且建立该全局标识符与PC2私有IP地址192.168.1.1之间的关联。路由器AR1建立的地址转换表如图3.19所示，最上面的一项地址转换项对应如图3.18所示ping操作的最后一次ICMP ECHO请求和响应过程。
图3.18PC2执行ping操作的界面
图3.19路由器AR1建立的部分地址转换项
（5） 根据如图3.19所示的最上面那项地址转换项，PC2发送的封装了本地标识符为24037（十六进制值为0x5de5） 的ICMP ECHO请求报文、源IP地址为192.168.1.1、目的IP地址为192.1.3.1的IP分组经过路由器AR1转发后，ICMP ECHO请求报文的标识符转换为全局标识符10249（十六进制值为0x2809），IP分组的源IP地址转换为192.1.1.253。PC2至路由器AR1这一段的IP分组格式如图3.20所示的路由器AR1连接内部以太网的接口捕获的报文序列。路由器AR1至PC1这一段的IP分组格式如图3.21所示的路由器AR1连接Internet接入网络的接口捕获的报文序列。需要注意的是，标识符左边是低字节，右边是高字节。即0x5de5表示为id=0xe55d。
图3.20路由器AR1连接内部以太网的接口捕获的报文序列
图3.21路由器AR1连接Internet接入网络的接口捕获的报文序列
（6） PC1发送给PC2的ICMP ECHO响应报文，其标识符为全局标识符0x2809，该ICMP ECHO响应报文封装成源IP地址为PC1的IP地址192.1.3.1、目的IP地址为路由器AR1连接Internet接入网络的接口的全球IP地址192.1.1.253的IP分组，当路由器AR1接收到该IP分组，根据ICMP ECHO响应报文的全局标识符找到地址转换项，根据如图3.19所示的最上面那项地址转换项，将ICMP ECHO响应报文的全局标识符转换为本地标识符24037（十六进制值为0x5de5），将IP分组的目的IP地址转换为PC2的私有IP地址192.168.1.1。PC1至路由器AR1这一段的IP分组格式如图3.22所示的路由器AR1连接Internet接入网络的接口捕获的报文序列。路由器AR1至PC2这一段的IP分组格式如图3.23所示的路由器AR1连接内部以太网的接口捕获的报文序列。
图3.22路由器AR1连接Internet接入网络的接口捕获的报文序列
图3.23路由器AR1连接内部以太网的接口捕获的报文序列
3.2.6命令行接口配置过程1. 路由器AR1命令行接口配置过程
<Huawei>system-view
［Huawei］undo info-center enable
［Huawei］interface dialer 1
［Huawei-Dialer1］dialer user aaa2
［Huawei-Dialer1］dialer bundle 1
［Huawei-Dialer1］ppp chap user aaa1
［Huawei-Dialer1］ppp chap password cipher bbb1
［Huawei-Dialer1］ip address ppp-negotiate
［Huawei-Dialer1］quit
［Huawei］interface GigabitEthernet0/0/0
［Huawei-GigabitEthernet0/0/0］pppoe-client dial-bundle-number 1
［Huawei-GigabitEthernet0/0/0］quit
［Huawei］ip route-static 0.0.0.0 0 dialer 1
［Huawei］interface GigabitEthernet0/0/1
［Huawei-GigabitEthernet0/0/1］ip address 192.168.1.254 24
［Huawei-GigabitEthernet0/0/1］quit
［Huawei］acl 2000
［Huawei-acl-basic-2000］rule 10 permit source 192.168.1.0 0.0.0.255
［Huawei-acl-basic-2000］quit
［Huawei］interface dialer 1
［Huawei-Dialer1］nat outbound 2000
［Huawei-Dialer1］quit3.2节中路由器AR2和AR3命令行接口配置过程等同于3.1节中路由器AR1和AR2命令行接口配置过程。
2. 命令列表
路由器命令行接口配置过程中使用的命令及功能和参数说明如表3.2所示。表3.2命令列表
命 令 格 式功能和参数说明interface dialer number创建dialer接口，并进入dialer接口视图。参数number是dialer接口编号dialer user username启动共享DCC功能，并配置对端用户名。参数username是对端用户名dialer bundle number指定dialer接口使用的dialer bundle。参数number是dialer bundle编号