- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-PPP配置
本章節下載: 01-PPP配置 (365.01 KB)
PPP(Point-to-Point Protocol,點對點協議)是一種點對點的鏈路層協議。它能夠提供用戶認證,易於擴充,並且支持同/異步通信。
PPP定義了一整套協議,包括:
· 鏈路控製協議(Link Control Protocol,LCP):用來建立、拆除和監控數據鏈路。
· 網絡控製協議(Network Control Protocol,NCP):用來協商在數據鏈路上所傳輸的網絡層報文的一些屬性和類型。
· 認證協議:用來對用戶進行認證,包括PAP(Password Authentication Protocol,密碼認證協議)、CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)、MSCHAP(Microsoft CHAP,微軟CHAP協議)和MSCHAPv2(微軟CHAP協議版本2)。
PPP鏈路建立過程如圖1-1所示:
(1) PPP初始狀態為不活動(Dead)狀態,當物理層Up後,PPP會進入鏈路建立(Establish)階段。
(2) PPP在Establish階段主要進行LCP協商。LCP協商內容包括:Authentication-Protocol(認證協議類型)、ACCM(Async-Control-Character-Map,異步控製字符映射表)、MRU(Maximum-Receive-Unit,最大接收單元)、Magic-Number(魔術字)、PFC(Protocol-Field-Compression,協議字段壓縮)、ACFC(Address-and-Control-Field-Compression,地址控製字段壓縮)、MP等選項。如果LCP協商失敗,LCP會上報Fail事件,PPP回到Dead狀態;如果LCP協商成功,LCP進入Opened狀態,LCP會上報Up事件,表示鏈路已經建立(此時對於網絡層而言PPP鏈路還沒有建立,還不能夠在上麵成功傳輸網絡層報文)。
(3) 如果配置了認證,則進入Authenticate階段,開始PAP、CHAP、MSCHAP或MSCHAPv2認證。如果認證失敗,LCP會上報Fail事件,進入Terminate階段,拆除鏈路,LCP狀態轉為Down,PPP回到Dead狀態;如果認證成功,LCP會上報Success事件。
(4) 如果配置了網絡層協議,則進入Network協商階段,進行NCP協商(如IPCP協商、IPv6CP協商)。如果NCP協商成功,鏈路就會UP,就可以開始承載協商指定的網絡層報文;如果NCP協商失敗,NCP會上報Down事件,進入Terminate階段。(對於IPCP協商,如果接口配置了IP地址,則進行IPCP協商,IPCP協商通過後,PPP才可以承載IP報文。IPCP協商內容包括:IP地址、DNS服務器地址等。)
(5) 到此,PPP鏈路將一直保持通信,直至有明確的LCP或NCP消息關閉這條鏈路,或發生了某些外部事件(例如用戶的幹預)。
圖1-1 PPP鏈路建立過程
有關PPP的詳細介紹請參考RFC 1661。
PPP提供了在其鏈路上進行安全認證的手段,使得在PPP鏈路上實施AAA變的切實可行。將PPP與AAA結合,可在PPP鏈路上對對端用戶進行認證、計費。
PPP支持如下認證方式:PAP、CHAP、MSCHAP、MSCHAPv2。
(1) PAP認證
PAP為兩次握手協議,它通過用戶名和密碼來對用戶進行認證。
PAP在網絡上以明文的方式傳遞用戶名和密碼,認證報文如果在傳輸過程中被截獲,便有可能對網絡安全造成威脅。因此,它適用於對網絡安全要求相對較低的環境。
(2) CHAP認證
CHAP為三次握手協議。
CHAP認證過程分為兩種方式:認證方配置了用戶名、認證方沒有配置用戶名。推薦使用認證方配置用戶名的方式,這樣被認證方可以對認證方的身份進行確認。
CHAP隻在網絡上傳輸用戶名,並不傳輸用戶密碼(準確的講,它不直接傳輸用戶密碼,傳輸的是用MD5算法將用戶密碼與一個隨機報文ID一起計算的結果),因此它的安全性要比PAP高。
(3) MSCHAP認證
MSCHAP為三次握手協議,認證過程與CHAP類似,MSCHAP與CHAP的不同之處在於:
· MSCHAP采用的加密算法是0x80。
· MSCHAP支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
(4) MSCHAPv2認證
MSCHAPv2為三次握手協議,認證過程與CHAP類似,MSCHAPv2與CHAP的不同之處在於:
· MSCHAPv2采用的加密算法是0x81。
· MSCHAPv2通過報文捎帶的方式實現了認證方和被認證方的雙向認證。
· MSCHAPv2支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
· MSCHAPv2支持修改密碼機製。被認證方由於密碼過期導致認證失敗時,被認證方會將用戶輸入的新密碼信息發回認證方,認證方根據新密碼信息重新進行認證。
在IPv4網絡中,PPP進行IPCP協商過程中可以進行IP地址、DNS服務器地址的協商。
(1) IP地址協商
PPP在進行IPCP協商的過程中可以進行IP地址的協商,即一端給另一端分配IP地址。
在PPP協商IP地址的過程中,設備可以分為兩種角色:
· Client端:若本端接口封裝的鏈路層協議為PPP但還未配置IP地址,而對端已有IP地址時,用戶可為本端接口配置IP地址可協商屬性,使本端接口作為Client端接受由對端(Server端)分配的IP地址。該方式主要用於設備在通過ISP訪問Internet時,由ISP分配IP地址。
· Server端:若設備作為Server端為Client端分配IP地址,則應先配置地址池(可以是PPP地址池或者DHCP地址池),然後在ISP域下關聯地址池,或者在接口下指定為Client端分配的IP地址或者地址池,最後再配置Server端的IP地址,開始進行IPCP協商。
當Client端配置了IP地址可協商屬性後,Server端根據AAA認證結果(關於AAA的介紹請參見“安全配置指導”中的“AAA”)和接口下的配置,按照如下順序給Client端分配IP地址:
· 如果AAA認證服務器為Client端設置了IP地址或者地址池信息,則Server端將采用此信息為Client端分配IP地址(這種情況下,為Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA認證服務器上進行配置的,Server端不需要進行特殊配置)。
· 如果Client端認證時使用的ISP域下設置了為Client端分配IP地址的地址池,則Server端將采用此地址池為Client端分配IP地址。
· 如果Server端的接口下指定了為Client端分配的IP地址或者地址池,則Server端將采用此信息為Client端分配IP地址。
(2) DNS服務器地址協商
設備在進行IPCP協商的過程中可以進行DNS服務器地址協商。設備既可以作為Client端接收其它設備分配的DNS服務器地址,也可以作為Server端向其它設備提供DNS服務器地址。通常情況下:
· 當主機與設備通過PPP協議相連時,設備應配置為Server端,為對端主機指定DNS服務器地址,這樣主機就可以通過域名直接訪問Internet;
· 當設備通過PPP協議連接運營商的接入服務器時,設備應配置為Client端,被動接收或主動請求接入服務器指定DNS服務器地址,這樣設備就可以使用接入服務器分配的DNS來解析域名。
在IPv6網絡中,PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能協商出IPv6地址、IPv6 DNS服務器地址。
(1) IPv6地址分配
PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能直接協商出IPv6地址。
客戶端可以通過如下三種方式分配到IPv6全球單播地址:
· 方式1:客戶端通過ND協議中的RA報文獲得IPv6地址前綴。客戶端采用RA報文中攜帶的前綴和IPv6CP協商的IPv6接口標識一起組合生成IPv6全球單播地址。RA報文中攜帶的IPv6地址前綴的來源有三種:AAA授權的IPv6前綴、接口下配置的RA前綴、接口下配置的IPv6全球單播地址的前綴。三種來源的優先級依次降低,AAA授權的優先級最高。關於ND協議的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 方式2:客戶端通過DHCPv6協議申請IPv6全球單播地址。在服務器端可以通過AAA授權為每個客戶端分配不同的地址池,當授權了地址池後,DHCPv6在分配IPv6地址時會從地址池中獲取IPv6地址分配給客戶端。如果AAA未授權地址池,DHCPv6會根據服務器端的IPv6地址查找匹配的地址池為客戶端分配地址。
· 方式3:客戶端通過DHCPv6協議申請代理前綴,客戶端通過代理前綴為下麵的主機分配IPv6全球單播地址。代理前綴分配方式中地址池的選擇原則和通過DHCPv6協議分配IPv6全球單播地址方式中地址池的選擇原則一致。
根據組網不同,主機獲取IPv6地址的方式如下:
· 當主機通過橋設備或者直連接入設備時,設備可以采用上述的方式1或方式2直接為主機分配IPv6全球單播地址。
· 當主機通過路由器接入設備時,設備可以采用方式3為路由器分配IPv6前綴,路由器把這些IPv6前綴分配給主機來生成IPv6全球單播地址。
(2) IPv6 DNS服務器地址分配
在IPv6網絡中,IPv6 DNS服務器地址的分配有如下兩種方式:
· AAA授權IPv6 DNS服務器地址,通過ND協議中的RA報文將此IPv6 DNS服務器地址分配給主機。
· DHCPv6客戶端向DHCPv6服務器申請IPv6 DNS服務器地址。
表1-1 PPP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置PPP認證方式 |
可選 |
|
|
配置輪詢功能 |
可選 |
|
|
配置PPP協商參數 |
可選 |
|
|
配置PPP IPHC壓縮功能 |
可選 |
|
|
配置PPP計費統計功能 |
可選 |
|
|
配置PPP用戶的nas-port-type屬性 |
可選 |
PPP支持如下認證方式:PAP、CHAP、MSCHAP、MSCHAPv2。用戶可以同時配置多種認證方式,在LCP協商過程中,認證方根據用戶配置的認證方式順序逐一與被認證方進行協商,直到協商通過。如果協商過程中,被認證方回應的協商報文中攜帶了建議使用的認證方式,認證方查找配置中存在該認證方式,則直接使用該認證方式進行認證。
(1) 配置認證方
表1-2 配置認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地認證對端的方式為PAP |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
缺省情況下,PPP協議不進行認證 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼 |
為被認證方配置的用戶名和密碼必須與被認證方上的配置一致 查看加密方式時,無論采用明文加密方式還是密文加密方式,默認顯示為密文加密方式 |
(2) 配置被認證方
表1-3 配置被認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地被對端以PAP方式認證時本地發送的PAP用戶名和密碼 |
ppp pap local-user username password { cipher | simple } password |
缺省情況下,被對端以PAP方式認證時,本地設備發送的用戶名和密碼均為空 |
CHAP認證分為兩種:認證方配置了用戶名和認證方沒有配置用戶名。
(1) 認證方配置了用戶名
· 配置認證方
表1-4 配置認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地認證對端的方式為CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
缺省情況下,PPP協議不進行認證 |
|
配置采用CHAP認證時認證方的用戶名 |
ppp chap user username |
缺省情況下,CHAP認證的用戶名為空 在被認證方上為認證方配置的用戶名必須跟此處配置的一致 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼 |
為被認證方配置的用戶名必須與被認證方上的配置一致 認證方用戶的密碼和被認證方用戶的密碼要配置成相同的 |
· 配置被認證方
表1-5 配置被認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置采用CHAP認證時被認證方的用戶名 |
ppp chap user username |
缺省情況下,CHAP認證的用戶名為空 在認證方上為被認證方配置的用戶名必須跟此處配置的一致 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則被認證方必須為認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置認證方的用戶名和密碼 |
為認證方配置的用戶名必須與認證方上的配置一致 認證方用戶的密碼和被認證方用戶的密碼要配置成相同的 |
(2) 認證方沒有配置用戶名
· 配置認證方
表1-6 配置認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地認證對端的方式為CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
缺省情況下,PPP協議不進行認證 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼 |
為被認證方配置的用戶名必須與被認證方上的配置一致 為被認證方配置的密碼必須與被認證方上配置的CHAP認證密碼一致 |
· 配置被認證方
表1-7 配置被認證方
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置采用CHAP認證時被認證方的用戶名 |
ppp chap user username |
缺省情況下,CHAP認證的用戶名為空 在認證方上為被認證方配置的用戶名必須跟此處配置的一致 |
|
設置CHAP認證密碼 |
ppp chap password { cipher | simple } password |
缺省情況下,沒有配置進行CHAP認證時采用的密碼 在認證方上為被認證方配置的密碼必須跟此處配置的一致 查看加密方式時,無論采用明文加密方式還是密文加密方式,默認顯示為密文加密方式 |
與CHAP認證相同,MSCHAP和MSCHAPv2認證也分為兩種:認證方配置了用戶名和認證方沒有配置用戶名。
配置MSCHAP或MSCHAPv2認證時需注意:
· 設備隻能作為MSCHAP和MSCHAPv2的認證方來對其它設備進行認證。
· L2TP環境下僅支持MSCHAP認證,不支持MSCHAPv2認證。
· MSCHAPv2認證隻有在RADIUS認證的方式下,才能支持修改密碼機製。
表1-8 配置MSCHAP或MSCHAPv2認證的認證方(認證方配置了用戶名)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地認證對端的方式為MSCHAP或MSCHAPv2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
缺省情況下,PPP協議不進行認證 |
|
配置采用MSCHAP或MSCHAPv2認證時認證方的用戶名 |
ppp chap user username |
在被認證方上為認證方配置的用戶名必須跟此處配置的一致 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼 |
為被認證方配置的用戶名和密碼必須與被認證方上的配置一致 |
表1-9 配置MSCHAP或MSCHAPv2認證的認證方(認證方沒有配置用戶名)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本地認證對端的方式為MSCHAP或MSCHAPv2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
缺省情況下,PPP協議不進行認證 |
|
配置本地AAA認證或者遠程AAA認證 |
請參見“安全配置指導”中的“AAA” · 若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼 · 若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼 |
為被認證方配置的用戶名和密碼必須與被認證方上的配置一致 |
PPP協議使用輪詢機製來確認鏈路狀態是否正常。
當接口上封裝的鏈路層協議為PPP時,鏈路層會周期性地向對端發送keepalive報文(可以通過timer-hold命令修改keepalive報文的發送周期)。如果接口在retry個(可以通過timer-hold retry命令修改該個數)keepalive周期內無法收到對端發來的keepalive報文,鏈路層會認為對端故障,上報鏈路層Down。
如果將keepalive報文的發送周期配置為0秒,則不發送keepalive報文。
在速率非常低的鏈路上,keepalive周期和retry值不能配置過小。因為在低速鏈路上,大報文可能會需要很長的時間才能傳送完畢,這樣就會延遲keepalive報文的發送與接收。而接口如果在retry個keepalive周期之後仍然無法收到對端的keepalive報文,它就會認為鏈路發生故障。如果keepalive報文被延遲的時間超過接口的這個限製,鏈路就會被認為發生故障而被關閉。
表1-10 配置輪詢功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口發送keepalive報文的周期 |
timer-hold seconds |
缺省情況下,接口發送keepalive報文的周期為10秒 |
|
配置接口在多少個keepalive周期內沒有收到keepalive報文的應答就拆除鏈路 |
timer-hold retry retry |
缺省情況下,接口在5個keepalive周期內沒有收到keepalive報文的應答就拆除鏈路 |
可以配置的PPP協商參數包括:
· 協商超時時間間隔
· 協商IP地址
· 協商接口IP網段
· 協商DNS服務器地址
在PPP協商過程中,如果在這個時間間隔內沒有收到對端的應答報文,則PPP將會重發前一次發送的報文。超時時間間隔的取值範圍為1~10秒。
在PPP鏈路兩端設備對LCP協商報文的處理速度差異較大的情況下,為避免因一端無法及時處理對端發送的LCP協商報文而導致對端重傳,可在對協商報文處理速度較快的設備上配置LCP協商的延遲時間。配置LCP協商的延時時間後,當接口物理層UP時PPP將在延時時間超時後才會主動進行LCP協商;如果在延時時間內本端設備收到對端設備發送的LCP協商報文,則本端設備將不再等待延時時間超時,而是直接進行LCP協商。
表1-11 配置協商超時時間間隔
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置協商超時時間間隔 |
ppp timer negotiate seconds |
缺省情況下,協商超時時間間隔為3秒 |
|
(可選)配置LCP協商的延遲時間 |
ppp lcp delay milliseconds |
缺省情況下,接口物理層UP後,PPP立即進行LCP協商 |
(1) 配置Client端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
為接口配置IP地址可協商屬性 |
ip address ppp-negotiate |
缺省情況下,接口沒有配置IP地址可協商屬性 本命令和ip address命令互斥,二者不能同時配置。關於ip address命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IP地址” |
(2) 配置Server端
在下列三種Server端分配IP地址的方式下Server端需要進行配置:
· 在接口下指定為Client端分配的IP地址。
· 從接口下指定的地址池中分配IP地址。
· 從ISP域下關聯的地址池中分配IP地址。
這三種方式中,不同PPP用戶可以采用的方式如下:
· 不需要進行PPP認證的PPP用戶可以使用兩種方式:在接口下指定為Client端分配的IP地址和從接口下指定的地址池中分配IP地址。這兩種方式不能同時使用。
· 需要進行PPP認證的PPP用戶可以使用全部的三種方式。用戶可以同時配置多種方式。同時配置多種方式時,以ISP域下關聯的地址池優先,然後是接口下指定為Client端分配的IP地址或者地址池(接口下的這兩種方式不能同時使用)。
PPP可以使用兩類地址池為對端分配IP地址:PPP地址池、DHCP地址池,優先采用PPP地址池。如果用戶配置了名稱相同的PPP地址池和DHCP地址池,並采用該名稱的地址池來分配IP地址,則係統隻會使用PPP地址池來分配IP地址。
表1-13 配置Server端(在接口下指定為Client端分配的IP地址)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口為Client端分配的IP地址 |
remote address ip-address |
缺省情況下,接口不為Client端分配IP地址 |
|
配置Server端的IP地址 |
ip address ip-address |
缺省情況下,接口沒有配置IP地址 |
表1-14 配置Server端(從接口下指定的PPP地址池中分配IP地址)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置PPP地址池 |
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ] |
缺省情況下,沒有配置PPP地址池 |
|
(可選)配置PPP地址池的網關地址 |
ip pool pool-name gateway ip-address |
缺省情況下,沒有為PPP地址池配置網關地址 |
|
(可選)配置PPP地址池路由 |
ppp ip-pool route ip-address { mask-length | mask } |
缺省情況下,沒有配置PPP地址池路由 用戶需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使用PPP地址池為Client端分配IP地址 |
remote address pool pool-name |
缺省情況下,接口不為Client端分配IP地址 |
|
(可選)配置Server端的IP地址 |
ip address ip-address |
缺省情況下,接口沒有配置IP地址 配置了PPP地址池的網關地址後,可以不用配置本命令 |
表1-15 配置Server端(從接口下指定的DHCP地址池中分配IP地址)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使用DHCP地址池為Client端分配IP地址 |
remote address pool pool-name |
缺省情況下,接口不為Client端分配IP地址 |
|
配置Server端的IP地址 |
ip address ip-address |
缺省情況下,接口沒有配置IP地址 |
|
(可選)配置使用PPP用戶名作為DHCP客戶端ID |
remote address dhcp client-identifier username |
缺省情況下,未使用PPP用戶名作為DHCP客戶端ID |
表1-16 配置Server端(從ISP域下關聯的PPP地址池中分配IP地址)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置PPP地址池 |
ip pool pool-name start-ip-address [ end-ip-address ] group group-name |
缺省情況下,沒有配置PPP地址池 |
|
(可選)配置PPP地址池的網關地址 |
ip pool pool-name gateway ip-address |
缺省情況下,沒有為PPP地址池配置網關地址 |
|
(可選)配置PPP地址池路由 |
ppp ip-pool route ip-address { mask-length | mask } |
缺省情況下,沒有配置PPP地址池路由 用戶需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍 |
|
進入ISP域視圖 |
domain isp-name |
- |
|
在ISP域下關聯PPP地址池為Client端分配IP地址 |
authorization-attribute ip-pool pool-name |
缺省情況下,ISP域下沒有關聯PPP地址池 本命令的詳細介紹請參見“安全命令參考”中的“AAA” |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
(可選)配置Server端的IP地址 |
ip address ip-address |
缺省情況下,接口沒有配置IP地址 配置了PPP地址池的網關地址後,可以不用配置本命令 |
表1-17 配置Server端(從ISP域下關聯的DHCP地址池中分配IP地址)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
在ISP域下關聯DHCP地址池為Client端分配IP地址 |
authorization-attribute ip-pool pool-name |
缺省情況下,ISP域下沒有關聯DHCP地址池 本命令的詳細介紹請參見“安全命令參考”中的“AAA” |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置Server端的IP地址 |
ip address ip-address |
缺省情況下,接口沒有配置IP地址 |
|
(可選)配置使用PPP用戶名作為DHCP客戶端ID |
remote address dhcp client-identifier username |
缺省情況下,未使用PPP用戶名作為DHCP客戶端ID |
使能接口的IP網段檢查功能後,當IPCP協商時,本地會檢查對端的IP地址與本端接口的IP地址是否在同一網段,如果不在同一網段,則IPCP協商失敗。
如果接口的IP網段檢查功能處於關閉狀態,則在IPCP協商階段不進行接口IP網段檢查。
表1-18 配置接口IP網段檢查
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能接口的IP網段檢查功能 |
ppp ipcp remote-address match |
缺省情況下,接口的IP網段檢查功能處於關閉狀態 |
(1) 配置Client端
正常情況下,Client端配置了ppp ipcp dns request命令,Server端才會為本端指定DNS服務器地址。但是有一些特殊的設備,Client端並未請求,Server端卻要強製為Client端指定DNS服務器地址,從而導致協商不通過,為了適應這種情況,Client端可以配置ppp ipcp dns admit-any命令。
表1-19 配置Client端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置設備主動請求對端指定DNS服務器地址 |
ppp ipcp dns request |
缺省情況下,禁止設備主動向對端請求DNS服務器地址 |
|
配置設備可以被動地接收對端指定的DNS服務器地址,即設備不發送DNS請求,也能接收對端設備分配的DNS服務器地址 |
ppp ipcp dns admit-any |
缺省情況下,設備不會被動地接收對端設備指定的DNS服務器的IP地址 在配置了ppp ipcp dns request命令的情況下不用配置本命令 |
(2) 配置Server端
表1-20 配置Server端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置設備為對端設備指定DNS服務器地址 |
ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
缺省情況下,設備不為對端設備指定DNS服務器的IP地址 收到Client端的請求後,Server端才會為對端指定DNS服務器地址 |
IPHC(IP Header Compression,IP報文頭壓縮)協議主要應用於低速鏈路上的語音通信。
在低速鏈路上,每個語音報文中報文頭消耗大部分的帶寬。比如,G.729編碼20ms打包時長PPP鏈路,每秒傳送1000/20=50個語音報文,每個語音報文中都包含46字節的報文頭(6字節PPP頭、20字節IP頭、8字節UDP頭、12字節RTP頭),這樣每一路語音數據所占的帶寬為:(6+20+8+12)*8*50+8000(語音淨荷所占帶寬)=26.4kbps,傳送RTP/UDP/IP頭所花的帶寬開銷還是很大的,為(20+8+12)*8*50=16kbps,占語音數據總帶寬的百分比為16k/26.4k=60.1%,網絡帶寬利用率很差。為了減少報文頭對帶寬的消耗,可以在PPP鏈路上使用IPHC壓縮功能,對報文頭進行壓縮。
IPHC壓縮分為如下兩種:
· RTP頭壓縮:對報文中的RTP/UDP/IP頭(長度共40字節)進行壓縮。
· TCP頭壓縮:對報文中的TCP/IP頭(長度共40字節)進行壓縮。
IPHC壓縮機製的總體思想是:在一次連接過程中,IP頭、UDP頭、RTP頭以及TCP頭中的一些字段是固定不變的,還有一些字段是有規律變化的,這樣在壓縮端和解壓端分別維護一個壓縮表項和解壓縮表項來保存固定不變的字段和有規律變化的字段,在傳輸過程中,壓縮端不需要發送完整的報文頭,隻發送報文頭中有變化的信息,減少了報文頭信息的長度,從而降低了報文頭所占的帶寬。
(1) 在壓縮過程中,壓縮端會將變化的字段編碼到報文中;對於有規律變化的字段,其二次差分值為零時則不需要攜帶,其二次差分值不為零時,則其標誌位置1,並將其一次差分值和標誌位字段編碼到報文中。
(2) 在解壓過程中,解壓端跟據解壓縮表項還原固定不變的字段,對於有規律變化的字段,若其標誌位為0,則按其變化規律做相應計算還原;若其標誌位為1,則根據報文中攜帶的該字段的一次差分值和解壓縮表項中該字段的信息進行計算還原。
舉例說明:在壓縮TCP頭時,Destination Port為固定不變的字段,在報文中不用攜帶;URG為變化的字段,在報文中攜帶;Sequence Number為有規律變化的字段(一般情況下是每次增加1),壓縮端首先計算被壓縮報文的Sequence Number字段和壓縮表項中的Sequence Number字段的差值,即一次差分值,如果一次差分值為1,那麼其二次差分值為1-1=0,則這個字段就不用攜帶,解壓端會自動加1還原;如果其一次差分值不為1,比如為2,那麼二次差分值就為2-1=1,這時就會置位Sequence Number的標誌位,並將一次差分值2編碼到報文中,解壓端會在解壓縮表項中的Sequence Number字段上加2還原。
配置本功能時需要注意:
· 用戶必須在鏈路的兩端同時開啟IPHC壓縮功能,該功能才生效。
· 在虛擬模板接口、Dialer接口上開啟/關閉IPHC壓縮功能時,配置不會立即生效,隻有對此接口或者其綁定的物理接口進行shutdown/undo shutdown操作後,配置才能生效。
· 隻有在開啟IPHC壓縮功能後,才能配置接口上允許進行RTP頭/TCP頭壓縮的最大連接數,並且需要對接口進行shutdown/undo shutdown操作後,配置才能生效。在關閉IPHC壓縮功能後,配置將被清除。
表1-21 配置PPP IPHC壓縮功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟PPP IPHC壓縮功能 |
ppp compression iphc enable [ nonstandard ] |
缺省情況下,IPHC壓縮功能處於關閉狀態 與友商設備互通時需要配置nonstandard參數 |
|
配置接口上允許進行RTP頭壓縮的最大連接數 |
ppp compression iphc rtp-connections number |
缺省情況下,接口上允許進行RTP頭壓縮的最大連接數為16 |
|
配置接口上允許進行TCP頭壓縮的最大連接數 |
ppp compression iphc tcp-connections number |
缺省情況下,接口上允許進行TCP頭壓縮的最大連接數為16 |
PPP協議可以為每條PPP鏈路提供基於流量的計費統計功能,具體統計內容包括出入兩個方向上流經本鏈路的報文數和字節數。AAA可以獲取這些流量統計信息用於計費控製。關於AAA計費的詳細介紹請參見“安全配置指導”中的“AAA”。
表1-22 配置PPP計費統計功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟PPP計費統計功能 |
ppp account-statistics enable [ acl { acl-number | name acl-name } ] |
缺省情況下,PPP計費統計功能處於關閉狀態 |
本特性用來配置RADIUS認證計費時所攜帶的nas-port-type屬性。關於nas-port-type屬性的詳細介紹請參見RFC 2865。
表1-23 配置PPP用戶的nas-port-type屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入虛擬模板接口視圖 |
interface virtual-template number |
- |
|
配置接口的nas-port-type屬性 |
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情況下,nas-port-type屬性由PPP用戶的業務類型和承載鏈路類型決定: · 如果是PPPoE業務,當承載鏈路類型為三層虛擬以太網接口時,nas-port-type屬性為xdsl,否則nas-port-type屬性為ethernet · 如果是PPPoA業務,nas-port-type屬性為xdsl · 如果是L2TP業務,nas-port-type屬性為virtual |
在完成上述配置後,在任意視圖下執行display命令可以顯示PPP和MP配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除相應接口的統計信息。
表1-24 PPP和MP顯示和維護
|
操作 |
命令 |
|
顯示PPP接入用戶的信息 |
display ppp access-user { interface interface-type interface-number [ count ] | ip-address ip-address | ipv6-address ipv6-address | username user-name | user-type { lac | lns | pppoa | pppoe } [ count ] } |
|
顯示PPP地址池的信息 |
display ip pool [ pool-name | group group-name ] |
|
顯示IPHC壓縮的統計信息 |
display ppp compression iphc { rtp | tcp } [ interface interface-type interface-number ] |
|
顯示虛擬模板接口的相關信息 |
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ] |
|
顯示虛擬訪問接口的相關信息 |
display interface [ virtual-access [ interface-number ] ] [ brief [ description | down ] ] |
|
清除IPHC壓縮的統計信息 |
reset ppp compression iphc [ rtp | tcp ] [ interface interface-type interface-number ] |
|
強製PPP用戶下線 |
reset ppp access-user { ip-address ip-address | ipv6-address ipv6-address | username user-name } |
|
清除VA接口的統計信息 |
reset counters interface [ virtual-access [ interface-number ] ] |
WX1800H係列、WX2500H係列和WX3000H係列不支持slot參數。
PPPoE(Point-to-Point Protocol over Ethernet,在以太網上承載PPP協議)的提出,解決了PPP無法應用於以太網的問題,是對PPP協議的擴展。
PPPoE描述了在以太網上建立PPPoE會話及封裝PPP報文的方法。要求通信雙方建立的是點到點關係,而不是在以太網中所出現的點到多點關係。
PPPoE利用以太網將大量主機組成網絡,然後通過一個遠端接入設備為以太網上的主機提供互聯網接入服務,並對接入的每台主機實現控製、認證、計費功能。由於很好地結合了以太網的經濟性及PPP良好的可擴展性與管理控製功能,PPPoE被廣泛應用於小區接入組網等環境中。
PPPoE協議將PPP報文封裝在以太網幀之內,在以太網上提供點對點的連接。
關於PPPoE的詳細介紹,可以參考RFC 2516。
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server發起連接請求,兩者之間會話協商通過後,就建立PPPoE會話,此後PPPoE Server向PPPoE Client提供接入控製、認證、計費等功能。
根據PPPoE會話的起點所在位置的不同,有兩種組網結構:
· 第一種方式是在兩台路由器之間建立PPPoE會話,所有主機通過同一個PPPoE會話傳送數據,主機上不用安裝PPPoE客戶端撥號軟件,一般是一個企業共用一個賬號接入網絡(圖中PPPoE Client位於企業/公司內部,PPPoE Server是運營商的設備)。
圖2-1 PPPoE組網結構圖1
· 第二種方式是將PPPoE會話建立在Host和運營商的路由器之間,為每一個Host建立一個PPPoE會話,每個Host都是PPPoE Client,每個Host使用一個帳號,方便運營商對用戶進行計費和控製。Host上必須安裝PPPoE客戶端撥號軟件。
圖2-2 PPPoE組網結構圖2
設備作為PPPoE Server時,配置過程請參見“2.2.1 配置PPPoE Server”。
設備作為PPPoE Client時,配置過程請參見“2.2.2 配置PPPoE Client”。
表2-1 配置PPPoE會話
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建虛擬模板接口並進入指定的虛擬模板接口視圖 |
interface virtual-template number |
如果指定的虛擬模板接口已經創建,則該命令用來直接進入虛擬模板接口視圖 |
|
設置PPP的工作參數(包括:認證方式、IP地址獲取方式,用戶還可以設置為PPP對端分配的IP地址或使用地址池為PPP對端分配IP地址) |
如果配置認證,PPPoE Server需作為認證方 |
|
|
開啟PPPoE應用的MRU檢測功能 |
ppp lcp echo mru verify [ minimum value ] |
PPPoE應用的MRU檢測功能處於關閉狀態 |
|
退回係統視圖 |
quit |
- |
|
VLAN接口視圖 |
interface interface-type interface-number |
- |
|
在接口上啟用PPPoE Server協議,將該接口與指定的虛擬模板接口綁定 |
pppoe-server bind virtual-template number |
缺省情況下,接口上的PPPoE Server協議處於關閉狀態 |
|
(可選)配置PPPoE Server的AC Name(Access Concentrator Name,接入集中器名稱) |
pppoe-server tag ac-name name |
缺省情況下,PPPoE Server的AC Name為設備名稱 PPPoE Client可以根據AC Name來選擇PPPoE Server(H3C實現的PPPoE Client暫不支持該功能) |
|
(可選)使能對PPP最大負載TAG的支持,並指定最大負載的範圍 |
pppoe-server tag ppp-max-payload [ minimum minvalue maximum maxvalue ] |
缺省情況下,不支持PPP最大負載TAG |
|
(可選)配置PPPoE Server的Service Name |
pppoe-server tag service-name name |
缺省情況下,PPPoE Server的Service Name為空 |
|
(可選)配置用戶接入響應延遲時間 |
pppoe-server access-delay delay-time |
缺省情況下,對用戶接入響應不延時 |
|
退回係統視圖 |
quit |
- |
|
配置PPPoE Server對PPP用戶進行認證、授權、計費 |
相關內容請參見“安全配置指導”中的“AAA” |
- |
係統創建PPPoE會話時,需同時滿足如下限製,若其中任何一項不滿足,則無法創建會話:
· 接口下每個用戶所能創建PPPoE會話的最大數目限製
· 接口下每個VLAN所能創建PPPoE會話的最大數目限製
· 接口上所能創建PPPoE會話的最大數目限製
· 成員設備所能創建PPPoE會話的最大數目限製
本功能配置後僅對新創建的PPPoE會話有效,對已經創建的PPPoE會話無效,即不會導致已經上線的用戶下線。
建議設備上配置的所有成員設備所能創建PPPoE會話的最大數目之和,不要超過整機PPPoE的最大會話數(整機PPPoE的最大會話數由設備的缺省規格或授權的License規格決定),否則會有部分PPPoE用戶因為整機最大用戶數已達到而無法上線。
表2-2 限製創建PPPoE會話的數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
VLAN接口視圖 |
interface interface-type interface-number |
該接口為啟用PPPoE Server協議的接口 - |
|
配置接口上所能創建PPPoE會話的最大數目 |
pppoe-server session-limit number |
缺省情況下,不限製接口上所能創建PPPoE會話的數目 |
|
配置在接口下,每個VLAN所能創建PPPoE會話的最大數目 |
pppoe-server session-limit per-vlan number |
缺省情況下,不限製每個VLAN所能創建PPPoE會話的數目 |
|
配置在接口下,每個用戶所能創建PPPoE會話的最大數目 |
pppoe-server session-limit per-mac number |
缺省情況下,每個用戶可創建100個PPPoE會話 |
|
退回係統視圖 |
quit |
- |
|
配置成員設備所能創建PPPoE會話的最大數目 |
pppoe-server session-limit slot slot-number total number |
缺省情況下,不限製成員設備所能創建PPPoE會話的數目 |
設備可以限製特定接口下每個用戶(每個用戶通過MAC地址進行標識)創建會話的速度。如果用戶建立會話的速度達到門限值,即在監視時間段內該用戶的會話請求數目超過配置的允許數目,則扼製該用戶的會話請求,即在監視時間段內該用戶的超出允許數目的請求都會被丟棄,並輸出對應的Log信息。如果扼製時間配置為0,表示不扼製會話請求,但仍然會輸出Log信息。
· 監視表:監視各用戶在監視時間周期內創建的會話數。監視表的規格為8K。當監視表達到規格時,對新用戶的會話請求不進行監視和扼製,正常建立會話。監視表項的老化時間為配置的session-request-period值,老化後對用戶重新監視。
· 扼製表:當某用戶建立會話的速度超過門限值時,會將該用戶的信息加入扼製表,扼製該用戶的會話請求。扼製表規格為8K。當扼製表達到規格時,對新用戶的會話請求隻進行監視和發送Log信息,但不觸發扼製。扼製表項的老化時間為配置的blocking-period值,老化後對用戶重新監視。
修改本功能的配置後,係統將刪除已記錄的監視表和扼製表,重新開始監視每個用戶的會話請求。
表2-3 限製用戶創建PPPoE會話的速度
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
VLAN接口視圖 |
interface interface-type interface-number |
該接口為啟用PPPoE Server協議的接口 |
|
配置接口允許每個用戶創建會話的速度 |
pppoe-server throttle per-mac session-requests session-request-period blocking-period |
缺省情況下,不限製會話建立的速度 |
|
顯示被扼製的用戶信息 |
display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number } |
display命令可以在任意視圖執行 |
在含有DSLAM的組網中,DSLAM通過接入線路ID(access-line-id)把用戶的物理位置信息傳送給BAS設備(PPPoE Server功能部署在BAS設備上),接入線路ID的內容包括circuit-id和remote-id兩部分。BAS設備采用一定的規則解析接入線路ID後,把解析後的內容通過RADIUS的nas-port-id屬性發送給RADIUS服務器,RADIUS服務器通過收到的nas-port-id屬性和數據庫中已配置好的物理位置信息比較,驗證用戶的物理位置信息是否正確。
用戶可以通過下麵的配置控製BAS設備上傳給RADIUS服務器的nas-port-id屬性的內容。
表2-4 配置PPPoE會話的nas-port-id屬性相關參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
VLAN接口視圖 |
interface interface-type interface-number |
該接口為啟用PPPoE Server協議的接口 |
|
配置上傳給RADIUS服務器的nas-port-id屬性中包含的內容 |
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id } |
缺省情況下,上傳給RADIUS服務器的nas-port-id屬性中僅包含circuit-id |
|
配置在nas-port-id屬性中自動插入BAS信息 |
pppoe-server access-line-id bas-info [ cn-163 ] |
缺省情況下,在nas-port-id屬性中不自動插入BAS信息 |
|
配置設備信任接收到的報文中的接入線路ID的內容 |
pppoe-server access-line-id trust |
缺省情況下,設備不信任接收到的報文中的接入線路ID的內容 |
|
配置接入線路ID中circuit-id的解析格式 |
pppoe-server access-line-id circuirt-id parse-mode { cn-telecom | tr-101 } |
缺省情況下,接入線路ID中circuit-id的解析格式為TR-101格式 |
|
配置接入線路ID中circuit-id的傳輸格式 |
pppoe-server access-line-id circuit-id trans-format { ascii | hex } |
缺省情況下,接入線路ID中circuit-id的傳輸格式為字符串格式 |
|
配置接入線路ID中remote-id的傳輸格式 |
pppoe-server access-line-id remote-id trans-format { ascii | hex } |
缺省情況下,接入線路ID中remote-id的傳輸格式為字符串格式 |
PPPoE在建立連接時需要創建VA接口(VA接口用於PPPoE與PPP之間的報文傳遞),在用戶下線後需要刪除VA接口。由於創建/刪除VA接口需要一定的時間,所以如果有大量用戶上線/下線時,PPPoE的連接建立、連接拆除性能會受到影響。
使用VA池對PPPoE的連接建立、連接拆除性能有顯著提高。VA池是在建立連接前事先創建的VA接口的集合。創建VA池後,當需要創建VA接口時,直接從VA池中獲取一個VA接口,加快了PPPoE連接的建立速度。當用戶下線後,直接把VA接口放入VA池中,不需要刪除VA接口,加快了PPPoE連接的拆除速度。當VA池中的VA接口耗光後,仍需在建立PPPoE連接時再創建VA接口,在用戶下線後刪除VA接口。
配置VA池時需要注意:
· 每個虛擬模板接口隻能關聯一個全局VA池,在每個成員設備上隻能關聯一個局部VA池。通過某單板上的以太網接口上線的用戶,隻能使用上線以太網接口綁定的虛擬模板接口在該單板上關聯的VA池。如果想要修改使用的VA池的大小,隻能先刪除原來的配置,然後重新配置VA池。
· 創建/刪除VA池需要花費一定的時間,請用戶耐心等待。在VA池創建/刪除過程中(還沒創建/刪除完成)允許用戶上線/下線,但正在創建/刪除的VA池不生效。
· 係統可能由於資源不足不能創建用戶指定容量的VA池,用戶可以通過display pppoe-server va-pool命令查看實際可用的VA池的容量以及VA池的狀態。
· 刪除VA池時,如果已有在線用戶使用該VA池中的VA接口,不會導致這些用戶下線。
表2-5 配置VA池
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置VA池 |
pppoe-server virtual-template template-number [ slot slot-number ] va-pool va-volume |
缺省情況下,不存在VA池 |
在用戶視圖下執行reset pppoe-server命令,可在PPPoE Server端清除PPPoE會話。
表2-6 清除PPPoE會話
|
操作 |
命令 |
說明 |
|
清除PPPoE會話 |
reset pppoe-server { all | interface interface-type interface-number | virtual-template number } |
- |
PPPoE Client的配置包括配置撥號接口和配置PPPoE會話。
PPPoE會話有三種工作模式:永久在線模式、按需撥號模式、診斷模式。
· 永久在線模式:當物理線路up後,設備會立即發起PPPoE呼叫,建立PPPoE會話。除非用戶刪除PPPoE會話,否則此PPPoE會話將一直存在。
· 按需撥號模式:當物理線路up後,設備不會立即發起PPPoE呼叫,隻有當有數據需要傳送時,設備才會發起PPPoE呼叫,建立PPPoE會話。如果PPPoE鏈路的空閑時間超過用戶配置的值,設備會自動中止PPPoE會話。
· 診斷模式:設備在配置完成後立即發起PPPoE呼叫,建立PPPoE會話。每隔用戶配置的重建時間間隔,設備會自動斷開該會話、並重新發起呼叫建立會話。通過定期建立、刪除PPPoE會話,可以監控PPPoE鏈路是否處於正常工作狀態。
PPPoE會話的工作模式由對應的撥號接口的配置決定:
· 當Dialer接口的鏈路空閑時間(通過dialer timer idle命令配置)配置為0,且Dialer接口上沒有配置dialer diagnose命令時,PPPoE會話將工作在永久在線模式。
· 當Dialer接口的鏈路空閑時間(通過dialer timer idle命令配置)配置不為0,且Dialer接口上沒有配置dialer diagnose命令時,PPPoE會話將工作在按需撥號模式。
· 當Dialer接口上配置了dialer diagnose命令時,PPPoE會話將工作在診斷模式。
在配置PPPoE會話之前,需要先配置一個Dialer接口,並在接口上使能共享DDR。每個PPPoE會話唯一對應一個Dialer bundle,而每個Dialer bundle又唯一對應一個Dialer接口。這樣就相當於通過一個Dialer接口可以創建一個PPPoE會話。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建撥號訪問組,並配置撥號控製規則 |
dialer-group group-number rule { protocol-name { deny | permit } | acl { acl-number | name acl-name } } |
缺省情況下,不存在撥號訪問組 |
|
創建Dialer接口,並進入該Dialer接口視圖 |
interface dialer number |
- |
|
配置接口IP地址 |
ip address { address mask | ppp-negotiate } |
缺省情況下,接口沒有配置IP地址 |
|
使能共享DDR |
dialer bundle enable |
缺省情況下,接口上不使能任何類型的DDR |
|
配置該撥號接口關聯的撥號訪問組,將該接口與撥號控製規則關聯起來 |
dialer-group group-number |
缺省情況下,接口不與任何撥號訪問組相關聯 |
|
配置鏈路空閑時間 |
dialer timer idle idle [ in | in-out ] |
缺省情況下,鏈路空閑時間為120秒 當idle配置為0時,PPPoE會話工作在永久在線模式下,否則工作在按需撥號模式下 |
|
配置DDR應用工作在診斷模式 |
dialer diagnose [ interval interval ] |
缺省情況下,工作在非診斷模式 當工作在診斷模式時,鏈路空閑時間無效 |
|
配置DDR自動撥號的間隔時間 |
dialer timer autodial autodial-interval |
缺省情況下,DDR自動撥號的間隔時間為300秒 當工作在永久在線模式或者診斷模式情況下,鏈路斷開後將啟動自動撥號定時器,等待自動撥號定時器超時後再重新發起呼叫 為了在鏈路斷開時可以盡快自動重新撥號,建議將自動撥號的時間間隔配置的小一些 |
|
配置Dialer接口的MTU值 |
mtu size |
缺省情況下,Dialer接口的MTU值為1500字節 對於PPPoE Client應用的Dialer接口,應修改其MTU值,保證分片後的報文加上2個字節的PPP頭和6個字節的PPPoE頭之後的總長度不超過對應PPPoE會話所在接口的MTU值 |
表2-8 配置PPPoE會話
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口視圖/三層以太網子接口視圖/VLAN接口視圖/ |
interface interface-type interface-number |
- |
|
建立一個PPPoE會話,並且指定該會話所對應的Dialer bundle |
pppoe-client dial-bundle-number number [ no-hostuniq ] |
缺省情況下,沒有配置PPPoE會話 該Dialer bundle的序號number與Dialer接口的編號相同 |
當PPPoE會話工作在永久在線模式時,如果使用reset pppoe-client命令複位PPPoE會話,設備會在自動撥號定時器超時後自動重新建立PPPoE會話。
當PPPoE會話工作在按需撥號模式時,如果使用reset pppoe-client命令複位PPPoE會話,設備會在有數據需要傳送時,才重新建立PPPoE會話。
表2-9 複位PPPoE會話
|
操作 |
命令 |
說明 |
|
複位PPPoE會話 |
reset pppoe-client { all | dial-bundle-number number } |
請在用戶視圖下進行該操作 |
在完成上述配置後,在任意視圖下執行display命令可以顯示PPPoE Server配置後的運行情況,通過查看顯示信息驗證配置的效果。
在完成上述配置後,在任意視圖下執行display命令可以顯示PPPoE Client配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除PPPoE會話的協議報文統計信息。
表2-11 PPPoE Client顯示和維護
|
操作 |
命令 |
|
顯示PPPoE會話的概要信息 |
display pppoe-client session summary [ dial-bundle-number number ] |
|
顯示PPPoE會話的協議報文統計信息 |
display pppoe-client session packet [ dial-bundle-number number ] |
|
清除PPPoE會話的協議報文統計信息 |
reset pppoe-client session packet [ dial-bundle-number number ] |
Device和AC之間通過各自的GigabitEthernet1/0/5接口相連,其中Device作為PPPoE Server,AC作為PPPoE Client工作在永久在線模式。
(1) 配置Device作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<Device> system-view
[Device] interface virtual-template 1
[Device-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Device-Virtual-Template1] remote address 1.1.1.2
[Device-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[Device] interface gigabitethernet 1/0/5
[Device-GigabitEthernet1/0/5] pppoe-server bind virtual-template 1
[Device-GigabitEthernet1/0/5] quit
(2) 配置AC作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<AC> system-view
[AC] dialer-group 1 rule ip permit
# 在Dialer1接口上使能共享DDR。
[AC] interface dialer 1
[AC-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[AC-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[AC-Dialer1] ip address ppp-negotiate
[AC-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[AC] interface gigabitethernet 1/0/5
[AC-GigabitEthernet1/0/5] pppoe-client dial-bundle-number 1
[AC-GigabitEthernet1/0/5] quit
# 配置PPPoE Client工作在永久在線模式。
[AC] interface dialer 1
[AC-Dialer1] dialer timer idle 0
# 配置DDR自動撥號的間隔時間為60秒。
[AC-Dialer1] dialer timer autodial 60
[AC-Dialer1] quit
# 配置靜態路由。
[AC] ip route-static 1.1.1.1 255.0.0.0 dialer 1
配置完成後,AC就可以與遠端的PPPoE Server建立PPPoE會話。
[AC-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/5 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
Device和AC之間通過各自的GigabitEthernet1/0/5接口相連,其中Device作為PPPoE Server,AC作為PPPoE Client工作在按需撥號模式,空閑時間間隔為150秒。
圖2-4 PPPoE Client組網圖
(1) 配置Device作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<Device> system-view
[Device] interface virtual-template 1
[Device-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Device-Virtual-Template1] remote address 1.1.1.2
[Device-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/5上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[Device] interface gigabitethernet 1/0/5
[Device-GigabitEthernet1/0/5] pppoe-server bind virtual-template 1
[Device-GigabitEthernet1/0/5] quit
(2) 配置AC作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<AC> system-view
[AC] dialer-group 1 rule ip permit
# 在Dialer1接口上使能共享DDR。
[AC] interface dialer 1
[AC-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[AC-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[AC-Dialer1] ip address ppp-negotiate
[AC-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[AC] interface gigabitethernet 1/0/5
[AC-GigabitEthernet1/0/5] pppoe-client dial-bundle-number 1
[AC-GigabitEthernet1/0/5] quit
# 配置靜態路由。
[AC] ip route-static 1.1.1.1 255.0.0.0 dialer 1
# 配置空閑時間間隔為150秒。
[AC] interface dialer 1
[AC-Dialer1] dialer timer idle 150
[AC-Dialer1] quit
配置完成後,AC就可以與遠端的PPPoE Server建立PPPoE會話。
[AC-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/5 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
Device和AC之間通過各自的GigabitEthernet1/0/5接口相連,其中Device作為PPPoE Server,AC作為PPPoE Client工作在診斷模式,診斷時間間隔為200秒。
圖2-5 PPPoE Client組網圖
(1) 配置Device作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<Device> system-view
[Device] interface virtual-template 1
[Device-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Device-Virtual-Template1] remote address 1.1.1.2
[Device-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/5上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[Device] interface gigabitethernet 1/0/5
[Device-GigabitEthernet1/0/5] pppoe-server bind virtual-template 1
[Device-GigabitEthernet1/0/5] quit
(2) 配置AC作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<AC> system-view
[AC] dialer-group 1 rule ip permit
# 在Dialer1接口上使能共享DDR。
[AC] interface dialer 1
[AC-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[AC-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[AC-Dialer1] ip address ppp-negotiate
[AC-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[AC] interface gigabitethernet 1/0/5
[AC-GigabitEthernet1/0/5] pppoe-client dial-bundle-number 1
[AC-GigabitEthernet1/0/5] quit
# PPPoE Client工作在診斷模式,診斷時間間隔為200秒。
[AC] interface dialer 1
[AC-Dialer1] dialer diagnose interval 200
# 配置自動撥號的時間間隔為10秒。
[AC-Dialer1] dialer timer autodial 10
配置完成後,AC就可以與遠端的PPPoE Server建立PPPoE會話。
[AC-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/5 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
· 局域網內的計算機通過AC訪問Internet,AC通過ADSL Modem采用永久在線的方式接入DSLAM。
· ADSL帳戶的用戶名為user1,密碼為123456。
· Device作為PPPoE Server通過ATM2/4/0接口連接至DSLAM,提供RADIUS認證、授權、計費功能。
· 在AC上使能PPPoE Client功能,局域網內的主機不用安裝PPPoE客戶端軟件即可訪問Internet。
圖2-6 利用ADSL將局域網接入Internet組網圖
(1) 配置AC作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<AC> system-view
[AC] dialer-group 1 rule ip permit
# 在Dialer1接口上使能共享DDR。
[AC] interface dialer 1
[AC-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[AC-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[AC-Dialer1] ip address ppp-negotiate
# 配置PPPoE Client工作在永久在線模式。
[AC-Dialer1] dialer timer idle 0
# 配置本地被Device以PAP方式認證時AC發送的PAP用戶名和密碼。
[AC-Dialer1] ppp pap local-user user1 password simple 123456
[AC-Dialer1] quit
# 配置PPPoE會話。
[AC] interface gigabitethernet 1/0/5
[AC-GigabitEthernet1/0/5] pppoe-client dial-bundle-number 1
[AC-GigabitEthernet1/0/5] quit
# 配置局域網接口的IP地址。
[AC] interface gigabitethernet 1/0/6
[AC-GigabitEthernet1/0/6] ip address 192.168.1.1 255.255.255.0
[AC-GigabitEthernet1/0/6] quit
# 配置缺省路由。
[AC] ip route-static 0.0.0.0 0 dialer 1
如果局域網內計算機使用的IP地址為私有地址,還需要在設備上配置NAT(Network Address Translation,網絡地址轉換)。
(2) 配置Device作為PPPoE Server
# 配置虛擬模板參數,采用PAP認證對端,配置本端IP地址,並使用PPP地址池為對端分配IP地址。
<Device> system-view
[Device] interface virtual-template 1
[Device-Virtual-Template1] ppp authentication-mode pap domain system
[Device-Virtual-Template1] remote address pool 1
[Device-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Device-Virtual-Template1] quit
# 配置PPP地址池,包含9個可分配的IP地址。
[Device] ip pool 1 1.1.1.2 1.1.1.10
# 在Virtual-Ethernet接口上使能PPPoE Server。
[Device] interface virtual-ethernet 1
[Device-Virtual-Ethernet1] mac-address 0001-0000-0001
[Device-Virtual-Ethernet1] pppoe-server bind virtual-template 1
[Device-Virtual-Ethernet1] quit
# 對ATM接口進行配置。
[Device] interface atm 2/4/0.1
[Device-ATM2/4/0.1] pvc to_adsl_a 0/60
[Device-ATM2/4/0.1-pvc-to_adsl_a-0/60] map bridge virtual-ethernet 1
[Device-ATM2/4/0.1-pvc-to_adsl_a-0/60] quit
[Device-ATM2/4/0.1] quit
# 在係統缺省的ISP域system下,配置域用戶使用RADIUS認證/授權/計費方案。
[Device] domain system
[Device-isp-system] authentication ppp radius-scheme cams
[Device-isp-system] authorization ppp radius-scheme cams
[Device-isp-system] accounting ppp radius-scheme cams
[Device-isp-system] quit
# 配置RADIUS方案以及RADIUS認證/授權/計費服務器的IP地址和端口號。
[Device] radius scheme cams
[Device-radius-cams] primary authentication 11.110.91.146 1812
[Device-radius-cams] primary accounting 11.110.91.146 1813
# 配置與RADIUS服務器交互報文時使用的認證、計費共享密鑰為明文expert。
[Device-radius-cams] key authentication simple expert
[Device-radius-cams] key accounting simple expert
[Device-radius-cams] quit
(3) 配置RADIUS服務器
在RADIUS服務器上配置認證與計費的共享密鑰expert。
在RADIUS服務器上增加一個PPPoE用戶,用戶名為user1,密碼為123456。
具體配置過程請參考實際使用的RADIUS服務器的用戶手冊。
配置完成後,AC就可以與遠端的Device建立PPPoE會話。
[AC] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/5 VA0 0001-0000-0001 00e0-1500-4100 SESSION
Host A、Host B、Host C可以訪問Internet,比如通過IE打開網頁等。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
