- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-PPP配置
本章節下載: 01-PPP配置 (752.99 KB)
1.14.4 在接口下指定為Client端分配的IP地址配置舉例
1.14.5 從接口下指定的PPP地址池中分配IP地址配置舉例
1.14.6 從ISP域下關聯的PPP地址池中分配IP地址配置舉例
2.5.2 通過MP-group接口進行MP捆綁配置任務簡介
2.11.1 通過將物理接口直接綁定到VT接口方式進行MP捆綁配置舉例
2.11.3 通過將鏈路綁定到MP-group接口方式進行MP捆綁配置舉例
PPP(Point-to-Point Protocol,點對點協議)是一種點對點的鏈路層協議。它能夠提供用戶認證,易於擴充,並且支持同/異步通信。
PPP定義了一整套協議,包括:
· 鏈路控製協議(Link Control Protocol,LCP):用來建立、拆除和監控數據鏈路。
· 網絡控製協議(Network Control Protocol,NCP):用來協商在數據鏈路上所傳輸的網絡層報文的一些屬性和類型。
· 認證協議:用來對用戶進行認證,包括PAP(Password Authentication Protocol,密碼認證協議)、CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)、MSCHAP(Microsoft CHAP,微軟CHAP協議)和MSCHAPv2(微軟CHAP協議版本2)。
PPP鏈路建立過程如圖1-1所示:
(1) PPP初始狀態為不活動(Dead)狀態,當物理層Up後,PPP會進入鏈路建立(Establish)階段。
(2) PPP在Establish階段主要進行LCP協商。LCP協商內容包括:Authentication-Protocol(認證協議類型)、ACCM(Async-Control-Character-Map,異步控製字符映射表)、MRU(Maximum-Receive-Unit,最大接收單元)、Magic-Number(魔術字)、PFC(Protocol-Field-Compression,協議字段壓縮)、ACFC(Address-and-Control-Field-Compression,地址控製字段壓縮)、MP等選項。如果LCP協商失敗,LCP會上報Fail事件,PPP回到Dead狀態;如果LCP協商成功,LCP進入Opened狀態,LCP會上報Up事件,表示鏈路已經建立(此時對於網絡層而言PPP鏈路還未建立,還不能夠在上麵成功傳輸網絡層報文)。
(3) 如果配置了認證,則進入Authenticate階段,開始PAP、CHAP、MSCHAP或MSCHAPv2認證。如果認證失敗,LCP會上報Fail事件,進入Terminate階段,拆除鏈路,LCP狀態轉為Down,PPP回到Dead狀態;如果認證成功,LCP會上報Success事件。
(4) 如果配置了網絡層協議,則進入Network協商階段,進行NCP協商(如IPCP協商、IPv6CP協商)。如果NCP協商成功,鏈路就會UP,就可以開始承載協商指定的網絡層報文;如果NCP協商失敗,NCP會上報Down事件,進入Terminate階段。(對於IPCP協商,如果接口配置了IP地址,則進行IPCP協商,IPCP協商通過後,PPP才可以承載IP報文。IPCP協商內容包括:IP地址、DNS服務器地址等。)
(5) 到此,PPP鏈路將一直保持通信,直至有明確的LCP或NCP消息關閉這條鏈路,或發生了某些外部事件(例如用戶的幹預)。
圖1-1 PPP鏈路建立過程
PPP提供了在其鏈路上進行安全認證的手段,使得在PPP鏈路上實施AAA變的切實可行。將PPP與AAA結合,可在PPP鏈路上對對端用戶進行認證、計費。
PPP支持如下認證方式:PAP、CHAP、MSCHAP、MSCHAPv2。
PAP為兩次握手協議,它通過用戶名和密碼來對用戶進行認證。
PAP在網絡上以明文的方式傳遞用戶名和密碼,認證報文如果在傳輸過程中被截獲,便有可能對網絡安全造成威脅。因此,它適用於對網絡安全要求相對較低的環境。
CHAP為三次握手協議。
CHAP認證過程分為兩種方式:認證方配置了用戶名、認證方未配置用戶名。推薦使用認證方配置用戶名的方式,這樣被認證方可以對認證方的身份進行確認。
CHAP隻在網絡上傳輸用戶名,並不傳輸用戶密碼(準確的講,它不直接傳輸用戶密碼,傳輸的是用MD5算法將用戶密碼與一個隨機報文ID一起計算的結果),因此它的安全性要比PAP高。
MSCHAP為三次握手協議,認證過程與CHAP類似,MSCHAP與CHAP的不同之處在於:
· MSCHAP采用的加密算法是0x80。
· MSCHAP支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
MSCHAPv2為三次握手協議,認證過程與CHAP類似,MSCHAPv2與CHAP的不同之處在於:
· MSCHAPv2采用的加密算法是0x81。
· MSCHAPv2通過報文捎帶的方式實現了認證方和被認證方的雙向認證。
· MSCHAPv2支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
· MSCHAPv2支持修改密碼機製。被認證方由於密碼過期導致認證失敗時,被認證方會將用戶輸入的新密碼信息發回認證方,認證方根據新密碼信息重新進行認證。
在IPv4網絡中,PPP進行IPCP協商過程中可以進行IP地址、DNS服務器地址的協商。
PPP在進行IPCP協商的過程中可以進行IP地址的協商,即一端給另一端分配IP地址。
在PPP協商IP地址的過程中,設備可以分為兩種角色:
· Client端:若本端接口封裝的鏈路層協議為PPP但還未配置IP地址,而對端已有IP地址時,用戶可為本端接口配置IP地址可協商屬性,使本端接口作為Client端接受由對端(Server端)分配的IP地址。該方式主要用於設備在通過ISP訪問Internet時,由ISP分配IP地址。
· Server端:若設備作為Server端為Client端分配IP地址,則應先配置地址池(可以是PPP地址池或者DHCP地址池),然後在ISP域下關聯地址池,或者在接口下指定為Client端分配的IP地址或者地址池,最後再配置Server端的IP地址,開始進行IPCP協商。
當Client端配置了IP地址可協商屬性後,Server端根據AAA認證結果(關於AAA的介紹請參見“用戶接入與認證配置指導”中的“AAA”)和接口下的配置,按照如下順序給Client端分配IP地址:
· 如果AAA認證服務器為Client端設置了IP地址或者地址池信息,則Server端將采用此信息為Client端分配IP地址(這種情況下,為Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA認證服務器上進行配置的,Server端不需要進行特殊配置)。
· 如果Client端認證時使用的ISP域下設置了為Client端分配IP地址的地址池,則Server端將采用此地址池為Client端分配IP地址。
· 如果Server端的接口下指定了為Client端分配的IP地址或者地址池,則Server端將采用此信息為Client端分配IP地址。
設備在進行IPCP協商的過程中可以進行DNS服務器地址協商。設備既可以作為Client端接收其它設備分配的DNS服務器地址,也可以作為Server端向其它設備提供DNS服務器地址。通常情況下:
· 當主機與設備通過PPP協議相連時,設備應配置為Server端,為對端主機指定DNS服務器地址,這樣主機就可以通過域名直接訪問Internet;
· 當設備通過PPP協議連接運營商的接入服務器時,設備應配置為Client端,被動接收或主動請求接入服務器指定DNS服務器地址,這樣設備就可以使用接入服務器分配的DNS來解析域名。
在IPv6網絡中,PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能協商出IPv6地址、IPv6 DNS服務器地址。
PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能直接協商出IPv6地址。
客戶端可以通過如下三種方式分配到IPv6全球單播地址:
· 方式1:客戶端通過ND協議中的RA報文獲得IPv6地址前綴。客戶端采用RA報文中攜帶的前綴和IPv6CP協商的IPv6接口標識一起組合生成IPv6全球單播地址。RA報文中攜帶的IPv6地址前綴的來源有三種:AAA授權的IPv6前綴、接口下配置的RA前綴、接口下配置的IPv6全球單播地址的前綴。三種來源的優先級依次降低,AAA授權的優先級最高。關於ND協議的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 方式2:客戶端通過DHCPv6協議申請IPv6全球單播地址。在服務器端可以通過AAA授權為每個客戶端分配不同的地址池,當授權了地址池後,DHCPv6在分配IPv6地址時會從地址池中獲取IPv6地址分配給客戶端。如果AAA未授權地址池,DHCPv6會根據服務器端的IPv6地址查找匹配的地址池為客戶端分配地址。關於DHCPv6協議的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6”。
· 方式3:客戶端通過DHCPv6協議申請代理前綴,客戶端通過代理前綴為下麵的主機分配IPv6全球單播地址。代理前綴分配方式中地址池的選擇原則和通過DHCPv6協議分配IPv6全球單播地址方式中地址池的選擇原則一致。
根據組網不同,主機獲取IPv6地址的方式如下:
· 當主機通過橋設備或者直連接入設備時,設備可以采用上述的方式1或方式2直接為主機分配IPv6全球單播地址。
· 當主機通過路由器接入設備時,設備可以采用方式3為路由器分配IPv6前綴,路由器把這些IPv6前綴分配給主機來生成IPv6全球單播地址。
在IPv6網絡中,IPv6 DNS服務器地址的分配有如下兩種方式:
· AAA授權IPv6 DNS服務器地址,通過ND協議中的RA報文將此IPv6 DNS服務器地址分配給主機。
· DHCPv6客戶端向DHCPv6服務器申請IPv6 DNS服務器地址。
與PPP相關的協議規範有:
RFC 1661:The Point-to-Point Protocol (PPP)
PPP配置任務如下:
(1) 配置接口封裝PPP協議
(2) 配置虛擬模板接口
¡ 創建虛擬模板接口
在PPPoE、L2TP和MP組網中,需要本配置。
¡ (可選)恢複當前虛擬模板接口的缺省配置
¡ (可選)配置處理虛擬模板接口流量的slot
(3) 配置PPP認證
請選擇以下一項任務進行配置:
¡ 配置PAP認證
在網絡安全要求較高的環境下,需要配置PPP認證。
(4) (可選)配置輪詢功能
(5) (可選)配置PPP協商參數
¡ 配置ACCM協商
¡ 配置ACFC協商
¡ 配置PFC協商
(6) (可選)配置PPP IPHC壓縮功能
在低速鏈路上,每個語音報文中報文頭消耗大部分的帶寬。為了減少報文頭對帶寬的消耗,可以在PPP鏈路上使用IPHC壓縮功能,對報文頭進行壓縮。
(7) (可選)配置PPP鏈路質量監測功能
(8) (可選)配置PPP用戶的nas-port-type屬性
(9) (可選)配置PPP計費統計功能
(10) (可選)配置PPP接入用戶日誌信息功能
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口封裝的鏈路層協議為PPP。
link-protocol ppp
缺省情況下,除以太網接口、VLAN接口、ATM接口外,其它接口封裝的鏈路層協議均為PPP。
VT(Virtual Template,虛擬模板)是用於配置一個VA(Virtual Access,虛擬訪問)接口的模板。在PPPoE、L2TP和MP應用中需要創建一個VA接口與對端交換數據。此時,係統將選擇一個VT,以便動態地創建一個VA接口。
在PPPoE和L2TP應用中可借助VT接口來實現PPP協議的相關功能。有關PPPoE和L2TP的相關介紹,請參見“用戶接入與認證配置指導”中的“PPPoE”和“L2TP”。
在MP應用中可借助VT接口進行MP捆綁。有關MP的相關介紹,請參見“二層技術-廣域網接入配置指導”中的“MP”。
(1) 進入係統視圖。
system-view
(2) 創建虛擬模板接口並進入虛擬模板接口視圖。
interface virtual-template number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可選)配置接口的MTU值。
mtu size
接口的MTU缺省值為1500。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行該命令前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 恢複當前接口的缺省配置。
default
當要求同一個虛擬模板接口的流量必須在同一個slot上進行處理時,可以在虛擬模板接口下配置處理接口流量的slot。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置處理接口流量的主用slot。
service slot slot-number
缺省情況下,未配置處理接口流量的主用slot。
PPP支持的認證方式包括:PAP、CHAP、MSCHAP、MSCHAPv2。用戶可以同時配置多種認證方式,在LCP協商過程中,認證方根據用戶配置的認證方式順序逐一與被認證方進行協商,直到協商通過。如果協商過程中,被認證方回應的協商報文中攜帶了建議使用的認證方式,認證方查找配置中存在該認證方式,則直接使用該認證方式進行認證。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須與被認證方上通過ppp pap local-user命令配置的用戶名和密碼相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為PAP。
ppp authentication-mode pap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地被對端以PAP方式認證時本地發送的PAP用戶名和密碼。
ppp pap local-user username password { cipher | simple } string
缺省情況下,被對端以PAP方式認證時,本地設備發送的用戶名和密碼均為空。
查看配置的密碼信息時,無論采用明文或密文加密,密碼都將按密文方式顯示。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與被認證方上通過ppp chap user命令配置的被認證方的用戶名相同。
· 密碼必須與被認證方上為認證方配置的用戶名的密碼相同。
在被認證方上,若采用本地AAA認證,則被認證方必須為認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與認證方上通過ppp chap user命令配置的認證方的用戶名相同。
· 密碼必須與認證方上為被認證方配置的用戶名的密碼相同。
在被認證方上不能通過ppp chap password命令配置進行CHAP認證時采用的密碼,否則即使認證方配置了用戶名,CHAP仍將按照認證方未配置用戶名的情況進行認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置采用CHAP認證時認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(5) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置采用CHAP認證時被認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與被認證方上通過ppp chap user命令配置的被認證方的用戶名相同。
· 密碼必須與被認證方上通過ppp chap password命令配置的密碼相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置采用CHAP認證時被認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(4) 設置CHAP認證密碼。
ppp chap password { cipher | simple } password
缺省情況下,未配置進行CHAP認證時采用的密碼。
查看配置的密碼信息時,無論采用明文或密文加密,密碼都將按密文方式顯示。
設備隻能作為MSCHAP和MSCHAPv2的認證方來對其它設備進行認證。
L2TP環境下僅支持MSCHAP認證,不支持MSCHAPv2認證。
MSCHAPv2認證隻有在RADIUS認證的方式下,才能支持修改密碼機製。
MSCHAPv2認證時不支持為PPP用戶配置認證方式為none。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須與被認證方上的配置相同。
若認證方配置了用戶名,則在被認證方上為認證方配置的用戶名必須與認證方上ppp chap user命令配置的用戶名相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置采用MSCHAP或MSCHAPv2認證時認證方的用戶名。
ppp chap user username
(5) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
PPP協議使用輪詢機製來確認鏈路狀態是否正常。
當接口上封裝的鏈路層協議為PPP時,鏈路層會周期性地向對端發送keepalive報文(可以通過timer-hold命令修改keepalive報文的發送周期)。如果接口在retry個(可以通過timer-hold retry命令修改該個數)keepalive周期內沒有收到keepalive報文的應答,鏈路層會認為對端故障,上報鏈路層Down。
如果將keepalive報文的發送周期配置為0秒,則本端不主動發送keepalive報文;當本端收到對端主動發送過來的keepalive報文時,仍可以對該keepalive報文進行應答。
在速率非常低的鏈路上,keepalive周期和retry值不能配置過小。因為在低速鏈路上,大報文可能會需要很長的時間才能傳送完畢,這樣就會延遲keepalive報文的發送與接收。而接口如果在retry個keepalive周期內沒有收到keepalive報文的應答,它就會認為鏈路發生故障。如果keepalive報文被延遲的時間超過接口的這個限製,鏈路就會被認為發生故障而被關閉。
在MP應用中,僅子通道支持輪詢功能,主通道不支持。在主通道上即使配置輪詢功能也不會生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口發送keepalive報文的周期。
timer-hold seconds
缺省情況下,接口發送keepalive報文的周期為10秒。
(4) 配置接口在多少個keepalive周期內未收到keepalive報文的應答就拆除鏈路。
timer-hold retry retry
缺省情況下,接口在5個keepalive周期內未收到keepalive報文的應答就拆除鏈路。
在PPP協商過程中,如果協商超時時間間隔內未收到對端的應答報文,則PPP將會重發前一次發送的報文。
在PPP鏈路兩端設備對LCP協商報文的處理速度差異較大的情況下,為避免因一端無法及時處理對端發送的LCP協商報文而導致對端重傳,可在對協商報文處理速度較快的設備上配置LCP協商的延遲時間。配置LCP協商的延遲時間後,當接口物理層UP時PPP將在延遲時間超時後才會主動進行LCP協商;如果在延遲時間內本端設備收到對端設備發送的LCP協商報文,則本端設備將不再等待延遲時間超時,而是直接進行LCP協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置協商超時時間間隔。
ppp timer negotiate seconds
缺省情況下,協商超時時間間隔為3秒。
(4) (可選)配置LCP協商的延遲時間。
ppp lcp delay milliseconds
缺省情況下,接口物理層UP後,PPP立即進行LCP協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 為接口配置IP地址可協商屬性。
ip address ppp-negotiate
缺省情況下,接口未配置IP地址可協商屬性。
多次執行本命令和ip address命令,最後一次執行的命令生效。關於ip address命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IP地址”。
目前Server端為Client端分配IP地址支持以下三種方式:
· 在接口下指定為Client端分配的IP地址。
· 從接口下指定的地址池(支持PPP地址池和DHCP地址池)中為Client端分配IP地址。
· 從ISP域下關聯的地址池(支持PPP地址池和DHCP地址池)中為Client端分配IP地址。
不需要進行PPP認證的PPP用戶可以使用在接口下指定為Client端分配的IP地址和從接口下指定的地址池中為Client端分配IP地址兩種地址分配方式。同時配置這兩種方式,最後一次的配置生效。
需要進行PPP認證的PPP用戶可以使用全部的三種方式。同時配置多種方式時,以ISP域下關聯的地址池優先,然後是接口下指定為Client端分配的IP地址或者地址池(接口下同時配置這兩種方式時,最後一次的配置生效)。
如果用戶配置了名稱相同的PPP地址池和DHCP地址池,並采用該名稱的地址池為對端分配IP地址,則係統隻會使用PPP地址池來分配IP地址。
當通過PPP地址池給用戶分配IP地址時,請確保PPP地址池中不包含該PPP地址池的網關地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口為Client端分配的IP地址。
remote address ip-address
缺省情況下,接口不為Client端分配IP地址。
(4) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
(3) (可選)配置PPP地址池的網關地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情況下,未為PPP地址池配置網關地址。
(4) (可選)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,未配置PPP地址池路由。
需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 使用PPP地址池為Client端分配IP地址。
remote address pool pool-name
缺省情況下,接口不為Client端分配IP地址。
(7) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同時作為DHCP服務器,則在Server端上配置DHCP服務器、DHCP地址池相關內容。
¡ 如果Server端作為DHCP中繼,則在Server端上配置DHCP中繼相關內容(必須配置DHCP中繼用戶地址表項記錄功能、DHCP中繼地址池),並在遠端DHCP服務器上配置DHCP地址池。
DHCP服務器和DHCP中繼的具體配置介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 使用DHCP地址池為Client端分配IP地址。
remote address pool pool-name
缺省情況下,接口不為Client端分配IP地址。
(5) (可選)配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情況下,未配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
當使用PPP用戶名作為DHCP客戶端ID時,請確保各個上線用戶分別使用不同的PPP用戶名上線。
(6) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
缺省情況下,未配置PPP地址池。
(3) (可選)配置PPP地址池的網關地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情況下,未為PPP地址池配置網關地址。
(4) (可選)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,未配置PPP地址池路由。
用戶需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍。
(5) 進入ISP域視圖。
domain name isp-name
(6) 在ISP域下關聯PPP地址池為Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情況下,ISP域下未關聯PPP地址池。
本命令的詳細介紹請參見“用戶接入與認證命令參考”中的“AAA”。
(7) 退回係統視圖。
quit
(8) 進入接口視圖。
interface interface-type interface-number
(9) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同時作為DHCP服務器,則在Server端上配置DHCP服務器、DHCP地址池相關內容。
¡ 如果Server端作為DHCP中繼,則在Server端上配置DHCP中繼相關內容(必須配置DHCP中繼用戶地址表項記錄功能、DHCP中繼地址池),並在遠端DHCP服務器上配置DHCP地址池。
DHCP服務器和DHCP中繼的具體配置介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
(3) 進入ISP域視圖。
domain name isp-name
(4) 在ISP域下關聯DHCP地址池或DHCP中繼地址池為Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情況下,ISP域下未關聯DHCP地址池或DHCP中繼地址池。
本命令的詳細介紹請參見“用戶接入與認證命令參考”中的“AAA”。
(5) 退回係統視圖。
quit
(6) 進入接口視圖。
interface interface-type interface-number
(7) (可選)配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情況下,未配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
當使用PPP用戶名作為DHCP客戶端ID時,請確保各個上線用戶分別使用不同的PPP用戶名上線。
(8) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
開啟接口的IP網段檢查功能後,當IPCP協商時,本地會檢查對端的IP地址與本端接口的IP地址是否在同一網段,如果不在同一網段,則IPCP協商失敗。
如果接口的IP網段檢查功能處於關閉狀態,則在IPCP協商階段不進行接口IP網段檢查。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟接口的IP網段檢查功能。
ppp ipcp remote-address match
缺省情況下,接口的IP網段檢查功能處於關閉狀態。
一般情況下,Client端配置了ppp ipcp dns request命令後,Server端才會為本端指定DNS服務器地址。有一些特殊的設備,Client端並未請求,Server端卻要強製為Client端指定DNS服務器地址,從而導致協商不通過,為了適應這種情況,Client端可以配置ppp ipcp dns admit-any命令以便可以被動地接收對端指定的DNS服務器地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置設備主動請求對端指定DNS服務器地址。
ppp ipcp dns request
缺省情況下,禁止設備主動向對端請求DNS服務器地址。
(4) 配置設備可以被動地接收對端指定的DNS服務器地址,即設備不發送DNS請求,也能接收對端設備分配的DNS服務器地址。
ppp ipcp dns admit-any
缺省情況下,設備不會被動地接收對端設備指定的DNS服務器的IP地址。
在配置了ppp ipcp dns request命令的情況下,可以不配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置設備為對端設備指定DNS服務器地址。
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
缺省情況下,設備不為對端設備指定DNS服務器的IP地址。
配置本命令後,Server端不會主動給Client端指定DNS的地址,隻有收到Client端的請求後,Server端才會為對端指定DNS服務器地址。
在異步鏈路上需要使用到異步控製字符,如果在載荷中存在與異步控製字符相同的字符,則需要進行字符轉義,避免異步鏈路將載荷當成異步控製字符處理。每個異步控製字符的長度為1字節,轉義後長度就變為2字節,轉義後的異步控製字符占用的帶寬增加了,將減少有效載荷。
ACCM協商選項用來和對端協商哪些異步控製字符需要轉義,哪些異步控製字符不需要轉義的。ACCM字段長32比特,每個比特從左到右按1、2、3、…、32進行編號,每個比特編號對應一個具有相同值的異步控製字符。如果這個比特的值為0,那麼對應的異步控製字符不需要進行轉義;如果這個比特的值為1,那麼對應的異步控製字符就需要進行轉義。例如,當19比特的值為0時,對應的19號異步控製字符(DC3,Control-S)將被直接發送,不需要進行轉義。
ACCM協商在LCP協商階段進行。當ACCM協商通過後,對端發送報文時將按照此異步控製字符映射表進行異步控製字符轉義。
在低速鏈路上,為了減少異步控製字符占用的帶寬,增加有效載荷,建議將ACCM協商選項的值配置為0x0,即不進行轉義。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置ACCM字段的值。
ppp accm hex-number
缺省情況下,ACCM字段的值為0x000A0000。
ACCM協商選項隻有在異步鏈路上才會生效。
缺省情況下,PPP報文中的地址字段的值固定為0xFF,控製字段的值固定為0x03,既然這兩個字段的值是固定的,就可以對這兩個字段進行壓縮。
ACFC協商選項字段用來通知對端,本端可以接收地址和控製字段被壓縮的報文。
ACFC協商在LCP協商階段進行,對於LCP報文不進行地址字段和控製字段壓縮,以確保LCP協商過程順利進行。當LCP協商通過後,對於發送的非LCP報文將進行地址字段和控製字段壓縮,以增加鏈路的有效載荷。
建議在低速鏈路上配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地發送ACFC協商請求,即LCP協商時本地發送的協商請求攜帶ACFC協商選項。
ppp acfc local-request
缺省情況下,LCP協商時本地發送的協商請求不攜帶ACFC協商選項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置拒絕對端的ACFC協商請求,即LCP協商時拒絕對端攜帶的ACFC協商選項。
ppp acfc remote-reject
缺省情況下,接受對端的ACFC協商請求,即LCP協商時接受對端攜帶的ACFC協商選項,並且發送的報文進行地址控製字段壓縮。
缺省情況下,PPP報文中的協議字段長度為2字節,然而,目前典型的協議字段取值都小於256,所以可以壓縮成一個字節來區分協議類型。
PFC協商選項字段用來通知對端,本端可以接收協議字段被壓縮成一個字節的報文。
PFC協商在LCP協商階段進行,對於LCP報文不進行協議字段壓縮,以確保LCP協商過程順利進行。當LCP協商通過後,對於發送的非LCP報文將進行協議字段壓縮,如果協議字段的頭8比特為全零,則不添加此8比特,以增加鏈路的有效載荷;
建議在低速鏈路上配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地發送PFC協商請求,即LCP協商時本地發送的協商請求攜帶PFC協商選項。
ppp pfc local-request
缺省情況下,LCP協商時本地發送的協商請求不攜帶PFC協商選項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置拒絕對端的PFC協商請求,即LCP協商時拒絕對端攜帶的PFC協商選項。
ppp pfc remote-reject
缺省情況下,接受對端的PFC協商請求,即LCP協商時接受對端攜帶的PFC協商選項,並且發送的報文進行協議字段壓縮。
IPHC(IP Header Compression,IP報文頭壓縮)協議主要應用於低速鏈路上的語音通信。
在低速鏈路上,每個語音報文中報文頭消耗大部分的帶寬。為了減少報文頭對帶寬的消耗,可以在PPP鏈路上使用IPHC壓縮功能,對報文頭進行壓縮。
IPHC壓縮分為如下兩種:
· RTP頭壓縮:對報文中的RTP/UDP/IP頭(長度共40字節)進行壓縮。
· TCP頭壓縮:對報文中的TCP/IP頭(長度共40字節)進行壓縮。
用戶必須在鏈路的兩端同時開啟IPHC壓縮功能,該功能才生效。
在虛擬模板接口、Dialer接口、ISDN接口上開啟/關閉IPHC壓縮功能時,配置不會立即生效,隻有對此接口或者其綁定的物理接口依次進行shutdown和undo shutdown操作後,配置才能生效。
隻有在開啟IPHC壓縮功能後,才能配置接口上允許進行RTP頭/TCP頭壓縮的最大連接數,並且需要對接口依次進行shutdown和undo shutdown操作後,配置才能生效。在關閉IPHC壓縮功能後,配置將被清除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP IPHC壓縮功能。
ppp compression iphc enable [ nonstandard ]
缺省情況下,IPHC壓縮功能處於關閉狀態。
與非H3C設備互通時需要配置nonstandard參數。
配置nonstandard參數後,僅支持RTP頭壓縮,不支持TCP頭壓縮。
(4) 配置接口上允許進行RTP頭壓縮的最大連接數。
ppp compression iphc rtp-connections number
缺省情況下,接口上允許進行RTP頭壓縮的最大連接數為16。
(5) 配置接口上允許進行TCP頭壓縮的最大連接數。
ppp compression iphc tcp-connections number
缺省情況下,接口上允許進行TCP頭壓縮的最大連接數為16。
PPP鏈路質量監測功能可以實時對PPP鏈路(包括綁定在MP中的PPP鏈路)的通信質量(丟包率和錯包率)進行監測。
在未配置PPP鏈路質量監測功能之前,PPP接口(封裝PPP協議的接口)會每隔一段時間向對端發送keepalive報文;在配置此功能之後,PPP接口會用LQR(Link Quality Reports,鏈路質量報告)報文代替keepalive報文,即每隔一段時間向對端發送LQR報文,用以對鏈路情況進行監測。
當鏈路質量正常時,係統對每個LQR報文進行鏈路質量計算,如果連續兩次鏈路質量低於用戶設置的禁用鏈路質量百分比,鏈路會被禁用。當鏈路被禁用後,係統每隔十個LQR報文進行一次鏈路質量計算,隻有連續三次鏈路質量高於用戶設置的恢複鏈路質量百分比,鏈路才會被恢複。因此,當鏈路被禁用後,至少要在30個keepalive周期後才能恢複。如果keepalive周期設置過大,可能會導致鏈路長時間無法恢複。
當在PPP鏈路兩端同時開啟鏈路質量監測功能時,兩端設備的參數必須相等。不建議在鏈路兩端同時開啟鏈路質量監測功能。
不建議在撥號線路上開啟PPP鏈路質量監測功能。當在撥號線路上開啟鏈路質量監測功能後,由於撥號線路的特點,一旦鏈路被禁用,DDR模塊就會把撥號線路掛斷,因此鏈路質量監測就不能正常的運行。隻有當有數據需要傳輸時,DDR模塊把撥號線路重新呼起,鏈路質量監測功能才能恢複正常。
本特性配置後僅對新接入的用戶生效,對當前已經存在用戶無影響。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP鏈路質量監測功能。
ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]
缺省情況下,PPP鏈路質量監測功能處於關閉狀態。
(4) 配置當鏈路質量檢測功能檢測到鏈路質量低時向對端發送LCP echo報文。
ppp lqm lcp-echo [ packet size ] [ interval interval ]
缺省情況下,鏈路質量檢測功能檢測到鏈路質量低時不向對端發送LCP echo報文。
為避免由大字節報文丟失導致鏈路質量低下時的鏈路動蕩,當開啟PPP鏈路質量監測功能時,可以通過配置本命令,在監測到鏈路質量低的時候向PPP鏈路對端定期發送大字節LCP echo報文進行檢測。
本特性用來配置RADIUS認證計費時所攜帶的nas-port-type屬性。關於nas-port-type屬性的詳細介紹請參見RFC 2865。
本特性配置後僅對新接入的用戶生效,對當前已經存在用戶無影響。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置接口的nas-port-type屬性。
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情況下,nas-port-type屬性由PPP用戶的業務類型和承載鏈路類型決定:
¡ 如果是PPPoE業務,nas-port-type屬性為ethernet。
¡ 如果是L2TP業務,nas-port-type屬性為virtual。
PPP協議可以為每條PPP鏈路提供基於流量的計費統計功能,具體統計內容包括出入兩個方向上流經本鏈路的報文數和字節數。AAA可以獲取這些流量統計信息用於計費控製。關於AAA計費的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP計費統計功能。
ppp account-statistics enable [ acl { acl-number | name acl-name } ]
缺省情況下,PPP計費統計功能處於關閉狀態。
PPP接入用戶日誌是為了滿足網絡管理員維護的需要,對用戶的上線、下線、上線失敗的信息進行記錄,包括用戶名、IP地址、接口名稱、兩層VLAN、MAC地址、上線失敗原因、下線原因等。設備生成的PPP日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的PPP日誌信息,一般情況下建議不要開啟此功能。
(1) 進入係統視圖。
system-view
(2) 開啟PPP接入用戶日誌信息功能。
ppp access-user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
缺省情況下,PPP接入用戶日誌信息功能處於關閉狀態。
display ppp access-user { domain domain-name | interface interface-type interface-number [ count ] | ip-address ipv4-address | ipv6-address ipv6-address | username user-name | user-type { lac | lns | pppoa | pppoe } [ count ] }
· 顯示PPP地址池的信息。
display ip pool [ pool-name | group group-name ]
· 顯示虛擬模板接口的相關信息。
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ]
· 顯示虛擬訪問接口的相關信息。
display interface [ virtual-access [ interface-number ] ] [ brief [ description | down ] ]
可在任意視圖下執行以下命令,顯示IPHC壓縮的統計信息。
display ppp compression iphc { rtp | tcp } [ interface interface-type interface-number ]
請在用戶視圖下執行以下命令,清除IPHC壓縮的統計信息。
reset ppp compression iphc [ rtp | tcp ] [ interface interface-type interface-number ]
可在任意視圖下執行以下命令,顯示PPP的協商報文統計信息。
display ppp packet statistics [ slot slot-number ]
請在用戶視圖下執行以下命令,清除PPP的協商報文統計信息。
reset ppp packet statistics [ slot slot-number ]
請在用戶視圖下執行以下命令,清除VA接口的統計信息。
reset counters interface [ virtual-access [ interface-number ] ]
請在用戶視圖下執行以下命令,強製PPP用戶下線。
reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | username user-name }
如圖1-2所示,Router A和Router B之間用接口Serial0/2/0互連,要求Router A用PAP方式認證Router B,Router B不需要對Router A進行認證。
圖1-2 配置PAP單向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置本地認證Router B的方式為PAP。
[RouterA-Serial0/2/0] ppp authentication-mode pap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
通過display interface serial命令,查看接口Serial0/2/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-Serial0/2/0] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP: opened, IPCP: opened
…略…
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
如圖1-3所示,Router A和Router B之間用接口Serial0/2/0互連,要求Router A和Router B用PAP方式相互認證對方。
圖1-3 配置PAP雙向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置本地認證Router B的方式為PAP。
[RouterA-Serial0/2/0] ppp authentication-mode pap domain system
# 配置本地被Router B以PAP方式認證時Router A發送的PAP用戶名和密碼。
[RouterA-Serial0/2/0] ppp pap local-user usera password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 為Router A創建本地用戶。
<RouterB> system-view
[RouterB] local-user usera class network
# 設置本地用戶的密碼。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置本地認證Router A的方式為PAP。
[RouterB-Serial0/2/0] ppp authentication-mode pap domain system
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
[RouterB-Serial0/2/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterB] domain name system
[RouterB-isp-system] authentication ppp local
通過display interface serial命令,查看接口Serial0/2/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-isp-system] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-isp-system] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在圖1-2中,要求設備Router A用CHAP方式認證設備Router B。
圖1-4 配置CHAP單向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置采用CHAP認證時Router A的用戶名。
[RouterA-Serial0/2/0] ppp chap user usera
# 配置本地認證Router B的方式為CHAP。
[RouterA-Serial0/2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 為Router A創建本地用戶。
<RouterB> system-view
[RouterB] local-user usera class network
# 設置本地用戶的密碼。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置采用CHAP認證時Router B的用戶名。
[RouterB-Serial0/2/0] ppp chap user userb
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置本地認證Router B的方式為CHAP。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置采用CHAP認證時Router B的用戶名。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ppp chap user userb
# 設置缺省的CHAP認證密碼。
[RouterB-Serial0/2/0] ppp chap password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
通過display interface serial命令,查看接口Serial0/2/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-Serial0/2/0] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通過PPP協商,為Router B的接口Serial0/2/0分配IP地址。
要求Router A用接口下指定的IP地址為Router B分配IP地址。
圖1-5 在接口下指定為Client端分配的IP地址組網圖
(1) 配置Router A
# 配置接口Serial0/2/0為Router B的接口分配的IP地址。
<RouterA> system-view
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] remote address 200.1.1.10
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial0/2/0通過協商獲取IP地址。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial0/2/0的概要信息,可見接口Serial0/2/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通過PPP協商,為Router B的接口Serial0/2/0分配IP地址。
要求Router A從接口下指定的PPP地址池中分配IP地址。
圖1-6 從接口下指定的PPP地址池中分配IP地址組網圖
(1) 配置Router A
# 配置PPP地址池aaa,IP地址範圍為200.1.1.10到200.1.1.20,PPP地址池所在的組為AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 配置接口Serial0/2/0使用PPP地址池為Router B的接口分配IP地址。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] remote address pool aaa
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial0/2/0通過協商獲取IP地址。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial0/2/0的概要信息,可見接口Serial0/2/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一個地址。
[RouterA-Serial0/2/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser0/2/0
Router A通過PPP協商,為Router B的接口Serial0/2/0分配IP地址。
要求Router A從ISP域下關聯的PPP地址池中分配IP地址。
圖1-7 從ISP域下關聯的PPP地址池中分配IP地址組網圖
(1) 配置Router A
# 配置PPP地址池aaa,IP地址範圍為200.1.1.10到200.1.1.20,PPP地址池所在的組為AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 為Router B創建本地用戶。
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 創建ISP域,並在ISP域下關聯PPP地址池。
[RouterA] domain name bbb
[RouterA-isp-bbb] authorization-attribute ip-pool aaa
[RouterA-isp-bbb] quit
# 配置接口Serial0/2/0在ISP域bbb中采用PAP方式認證Router B。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] ppp authentication-mode pap domain bbb
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口Serial0/2/0通過協商獲取IP地址。
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial0/2/0的概要信息,可見接口Serial0/2/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一個地址。
[RouterA-Serial0/2/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser0/2/0
MP是MultiLink PPP的縮寫,是基於增加帶寬的考慮,將多個PPP通道捆綁成一條邏輯鏈路使用而產生的。MP會將報文分片(小於最小分片包長時不分片)後,從MP鏈路下的多個PPP通道發送到對端,對端將這些分片組裝起來傳遞給網絡層處理。
MP主要是增加帶寬的作用,除此之外,MP還有負載分擔的作用,這裏的負載分擔是鏈路層的負載分擔;負載分擔從另外一個角度解釋就有了備份的作用。同時,MP的分片可以起到減小傳輸時延的作用,特別是在一些低速鏈路上。
綜上所述,MP的作用主要有以下幾個:
· 增加帶寬
· 負載分擔
· 備份
· 利用分片降低時延
MP能在任何支持PPP封裝的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括支持PPPoX(PPPoE、PPPoA、PPPoFR等)的虛擬接口,建議用戶將同一類的接口捆綁使用,不要將不同類的接口捆綁使用。
支持跨接口卡進行MP捆綁。
MP配置任務如下:
(1) 配置MP
請選擇以下一項任務進行配置。
(2) (可選)配置DDR鏈路的MP參數
(3) (可選)配置MP短序協商方式
(4) (可選)配置MP Endpoint選項
(5) (可選)配置鏈路分片與交叉
VT是用於配置一個VA(Virtual Access,虛擬訪問)接口的模板。將多個PPP鏈路捆綁成MP鏈路之後,需要創建一個VA接口與對端交換數據。此時,係統將選擇一個VT,以便動態地創建一個VA接口。
虛擬模板接口配置方式可以與認證相結合,可以根據對端的用戶名找到指定的虛擬模板接口,從而利用模板上的配置,創建相應的捆綁(Bundle),以對應一條MP鏈路。
由一個虛擬模板接口可以派生出若幹個捆綁,每個捆綁對應一條MP鏈路。從網絡層看來,這若幹條MP鏈路會形成一個點對多點的網絡拓撲。係統可以根據接口接收到的認證用戶名或終端標識符來進行MP捆綁,並以此來區分虛模板接口下的多個捆綁(對應多條MP鏈路)。
係統支持3種綁定方式:
· authentication:根據PPP的認證用戶名進行MP捆綁,每個認證用戶名對應一個捆綁。認證用戶名是指PPP鏈路進行PAP、CHAP、MSCHAP或MSCHAPv2認證時所接收到的對端用戶名。
· descriptor:根據PPP的終端描述符進行MP捆綁,每個終端描述符對應一個捆綁。終端標識符是用來唯一標識一台設備的標誌,是指進行LCP協商時所接收到的對端終端標識符。
· both:同時根據PPP的認證用戶名和終端描述符進行MP捆綁。
實際使用中也可以配置單向認證,即一端直接將物理接口綁定到虛擬模板接口,另一端則通過用戶名查找虛擬模板接口。
不推薦使用同一個虛擬模板接口配置多種業務(如MP、L2TP、PPPoE等)。
通過虛擬模板接口配置MP配置任務如下:
(1) 創建虛擬模板接口
(3) (可選)配置MP參數
(1) 進入係統視圖。
system-view
(2) 創建虛擬模板接口並進入虛擬模板接口視圖。
interface virtual-template number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可選)配置接口的MTU值。
mtu size
缺省情況下,接口的MTU值為1500字節。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
通過虛擬模板接口配置MP時,支持如下兩種配置方式:
· 將物理接口與虛擬模板接口直接關聯:使用命令ppp mp virtual-template直接將鏈路綁定到指定的虛擬模板接口上,這時可以配置認證也可以不配置認證。如果不配置認證,係統將通過對端的終端描述符捆綁出MP鏈路;如果配置了認證,係統將通過用戶名和對端的終端描述符捆綁出MP鏈路。
· 將用戶名與虛擬模板接口關聯:根據認證通過後的用戶名查找相關聯的虛擬模板接口,然後根據用戶名和對端終端描述符捆綁出MP鏈路。這種方式需在要綁定的接口下配置ppp mp及雙向認證(PAP、CHAP、MSCHAP或MSCHAPv2),否則鏈路協商不通。
針對同一接口多次執行ppp mp命令和ppp mp virtual-template命令,最後一次執行的命令生效。即同一個接口隻能采用一種配置方式。
對於需要綁在一起的接口,必須采用同樣的配置方式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口所要綁定的虛擬模板接口號,並使接口工作在MP方式。
ppp mp virtual-template number
缺省情況下,接口未綁定虛擬模板接口,接口工作在普通PPP方式。
(4) (可選)在接口下配置PPP認證。
PPP認證對MP連接的建立沒有影響。
(1) 進入係統視圖。
system-view
(2) 建立虛擬模板接口與MP用戶的對應關係。
ppp mp user username bind virtual-template number
缺省情況下,虛擬模板接口未與MP用戶進行綁定。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 配置封裝PPP的接口工作在MP方式。
ppp mp
缺省情況下,封裝PPP的接口工作在普通PPP方式。
(5) 在接口下配置PPP認證。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置MP捆綁的條件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情況下,同時根據PPP的認證用戶名和終端標識符進行MP捆綁。
(4) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
(5) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(6) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(7) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP等待期望分片報文的時間為30秒。
(8) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
MP-group接口是MP的專用接口,不支持其它應用,也不能利用對端的用戶名來指定捆綁,同時也不能派生多個捆綁。與虛擬模板接口配置方式相比,MP-group接口配置方式更加快速高效、配置簡單、容易理解。
通過MP-group接口配置MP配置任務如下:
(1) 創建MP-group接口
(3) (可選)配置MP參數
(4) (可選)恢複當前MP-group接口的缺省配置
(1) 進入係統視圖。
system-view
(2) 創建MP-group接口並進入MP-group接口視圖。
interface mp-group mp-number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:MP-group0/0/1 Interface。
(4) (可選)配置接口的MTU值。
mtu size
缺省情況下,接口的MTU值為1500字節。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
(6) (可選)打開接口。
undo shutdown
缺省情況下,接口處於打開狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 將接口加入指定的MP-group接口,使接口工作在MP方式。
ppp mp mp-group mp-number
缺省情況下,接口工作在普通PPP方式。
(1) 進入係統視圖。
system-view
(2) 進入MP-group接口視圖。
interface mp-group mp-number
(3) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
本配置不能立即生效,必須對所有已捆綁的物理接口依次執行shutdown和undo shutdown之後改變才會生效。
(4) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(5) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(6) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP不啟動等待期望分片報文的定時器。
(7) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能命令後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(8) (可選)配置MP使用嚴格負載分擔模式。
ppp mp load-sharing mode strict-round-robin
缺省情況下,MP使用智能負載分擔模式。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行該命令前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入MP-group接口視圖。
interface mp-group mp-number
(3) 恢複當前接口的缺省配置。
default
配置DDR鏈路的MP捆綁的詳細介紹,請參見“二層技術-廣域網接入配置指導”中的“DDR”。
(1) 進入係統視圖。
system-view
(2) 進入Dialer接口視圖。
interface dialer number
(3) 配置MP捆綁的條件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情況下,同時根據PPP的認證用戶名和終端標識符進行MP捆綁。
(4) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
(5) (可選)配置MP最小捆綁鏈路數。
ppp mp min-bind min-bind-num
缺省情況下,最小捆綁鏈路數為0,即MP撥號將依賴流量檢測。
本命令配置的最小捆綁鏈路數應該小於等於ppp mp max-bind命令配置的最大捆綁鏈路數。
(6) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(7) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(8) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP等待期望分片報文的時間為30秒。
(9) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
MP捆綁在收發報文時默認使用長序協商方式。其中,長序、短序是指報文序號的長短。
配置觸發MP短序協商僅對配置端接收方向生效,即:
· 如果本端想使用短序方式接收報文,則需要在本端配置觸發MP短序協商,之後在協商LCP的過程本端將添加短序請求,請求對端發送短序,協商通過後,對端使用短序方式發送報文,本端使用短序方式接收報文。
· 如果本端想使用短序方式發送報文,則需要對端配置觸發MP短序協商,協商通過後,本端使用短序方式發送報文,對端使用短序方式接收報文。
MP捆綁使用的長短序方式由第一條加入該捆綁中的子通道決定,後續加入捆綁的子通道配置不能更改MP捆綁的長短序方式。
如果想使用MP短序協商,對於撥號MP,建議在Dialer接口及ISDN的D信道下均配置觸發MP短序協商;對於普通MP,建議在所有的MP子通道下配置觸發MP短序協商。
配置觸發MP短序協商會導致當前接口進行PPP重協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 觸發MP短序協商,協商成功後本端接收方向將使用短序。
ppp mp short-sequence
缺省情況下,不觸發短序協商,使用長序。
在MP的LCP協商過程會協商Endpoint選項(終端描述符)值:
· 在通過虛擬模板接口配置MP時,會根據Endpoint選項值來進行MP捆綁。缺省情況下,接口發送報文中攜帶的Endpoint選項內容為設備名稱。如果網絡中存在相同的設備名稱,導致無法區分MP捆綁時,用戶可以修改接口發送報文中攜帶的Endpoint選項的內容。
· 在通過MP-group接口配置MP時,不需要根據Endpoint選項值進行MP捆綁。當使用ppp mp mp-group命令將接口加入指定MP-group後,接口發送報文中攜帶的Endpoint選項內容缺省為MP-group的接口名稱,如果用戶配置了Endpoint選項內容,則攜帶用戶配置的值。
由於Endpoint選項內容最長為20字節,如果內容超過20個字節,則截取前20個字節作為Endpoint選項內容。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置當前接口在MP應用時,LCP協商的Endpoint選項內容。
ppp mp endpoint endpoint
缺省情況下,接口發送報文中攜帶的Endpoint選項內容為設備名稱。
在低速串行鏈路上,實時交互式通信(如Telnet和VoIP)往往會由於大型分組的發送而導致阻塞延遲。
LFI(Link Fragmentation and Interleaving,鏈路分片與交叉)將大型數據幀分割成小型幀,與其它小片的報文一起發送,從而減少在低速鏈路上的延遲和抖動。被分割的數據幀在目的地被重組。
圖2-1描述了LFI的處理過程。大報文和小的語音報文一起到達某個接口,將大報文分割成小的分片,如果在接口配置了WFQ(Weighted Fair Queuing,加權公平隊列),語音包與這些小的分片一起交叉放入WFQ。
圖2-1 LFI的處理過程
開啟LFI功能後,LFI最大分片大小由LFI分片的最大時延(通過ppp mp lfi delay-per-frag命令配置)和LFI分片的最大字節數(通過ppp mp lfi size-per-frag命令配置)決定:
· 如果配置了LFI分片的最大字節數,LFI最大分片大小就是該最大字節數。
· 如果配置了LFI分片的最大時延,未配置LFI分片的最大字節數,則LFI最大分片大小通過接口的期望帶寬和配置的最大時延計算得出:LFI最大分片大小=(接口的期望帶寬×最大時延)÷8。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖、MP-group接口視圖或Dialer接口視圖。
interface { dialer | mp-group | virtual-template } mp-number
(3) 開啟LFI功能。
ppp mp lfi enable
缺省情況下,LFI功能處於關閉狀態。
關閉LFI功能會同時刪除用戶配置的LFI分片的最大時延或LFI分片的最大字節數。
(4) 配置傳輸一個LFI分片的最大時延或LFI分片的最大字節數。
¡ 配置傳輸一個LFI分片的最大時延。
ppp mp lfi delay-per-frag time
缺省情況下,傳輸一個LFI分片的最大時延為10ms。
¡ 配置LFI分片的最大字節數。
ppp mp lfi size-per-frag size
缺省情況下,最大分片大小=(接口的期望帶寬×最大時延)÷8。
可在任意視圖下執行以下命令,顯示MP-group接口的相關信息。
display interface [ mp-group [ interface-number ] ] [ brief [ description | down ] ]
可在任意視圖下執行以下命令,顯示MP的相關信息。
display ppp mp [ interface interface-type interface-number ]
請在用戶視圖下執行以下命令,清除MP-group接口的統計信息。
reset counters interface [ mp-group [ interface-number ] ]
設備Router A和Router B的Serial0/2/1和Serial0/2/0分別對應連接。要求通過將物理接口直接綁定到VT接口方式進行MP捆綁。
圖2-2 通過將物理接口直接綁定到VT接口方式進行MP捆綁組網圖
(1) 配置Router A
# 創建虛擬模板接口,配置相應的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp mp virtual-template 1
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp mp virtual-template 1
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 創建虛擬模板接口,配置相應的IP地址。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp mp virtual-template 1
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp mp virtual-template 1
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看綁定結果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle RouterB
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 07:13:10:723
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 07:13:10:724
Serial0/2/0 Up-Time:2013/01/10 07:13:11:945
# 查看VA狀態。
[RouterA] display interface virtual-access
Virtual-Access0
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 128kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 128000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
(2) 在Router B上ping對端IP地址8.1.1.1
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.000/4.000/1.549 ms
設備Router A和Router B的Serial0/2/1和Serial0/2/0分別對應連接。要求通過按用戶名找VT方式進行MP捆綁。
圖2-3 通過按用戶名找VT方式進行MP捆綁組網圖
(1) 配置Router A
# 配置對端設備Router B在Router A上的用戶名和密碼。
<RouterA> system-view
[RouterA] local-user usera class network
[RouterA-luser-network-usera] password simple 123456TESTplat&!
[RouterA-luser-network-usera] service-type ppp
[RouterA-luser-network-usera] quit
# 指定用戶對應的VT。
[RouterA] ppp mp user usera bind virtual-template 1
# 創建VT,配置相應的IP地址。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] ppp mp binding-mode authentication
[RouterA-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp authentication-mode pap
[RouterA-Serial0/2/1] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial0/2/1] ppp mp
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp authentication-mode pap
[RouterA-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial0/2/0] ppp mp
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 配置對端設備Router A在Router B上的用戶名和密碼。
<RouterB> system-view
[RouterB] local-user userb class network
[RouterB-luser-network-userb] password simple 123456TESTplat&!
[RouterB-luser-network-userb] service-type ppp
[RouterB-luser-network-userb] quit
# 指定用戶對應的VT。
[RouterB] ppp mp user userb bind virtual-template 1
# 創建VT,配置相應的IP地址。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] ppp mp binding-mode authentication
[RouterB-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp authentication-mode pap
[RouterB-Serial0/2/1] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial0/2/1] ppp mp
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp authentication-mode pap
[RouterB-Serial0/2/0] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial0/2/0] ppp mp
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看綁定效果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle usera
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 08:02:34:881
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 08:02:34:881
Serial0/2/0 Up-Time:2013/01/10 08:06:26:634
(2) 在Router B上查看綁定效果
# 查看MP的相關信息。
[RouterB] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle userb
Peer's endPoint descriptor: RouterA
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 12:31:13:391
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 12:31:13:392
Serial0/2/0 Up-Time:2013/01/10 12:35:05:892
# 查看VA狀態。
[RouterB] display interface virtual-access
Virtual-Access2
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.2/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 64000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在Router B上ping對端IP地址8.1.1.1。
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=0.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.400/1.000/0.490 ms
設備Router A和Router B的Serial0/2/1和Serial0/2/0分別對應連接。要求通過將鏈路綁定到MP-group接口方式進行MP捆綁。
圖2-4 通過將鏈路綁定到MP-group接口方式進行MP捆綁組網圖
(1) 配置Router A
# 創建MP-group接口,配置相應的IP地址。
<RouterA> system-view
[RouterA] interface mp-group 0/0/1
[RouterA-MP-group0/0/1] ip address 1.1.1.1 24
# 配置串口Serial0/2/1。
[RouterA-MP-group0/0/1] quit
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp mp mp-group 0/0/1
[RouterA-Serial0/2/1] shutdown
[RouterA-Serial0/2/1] undo shutdown
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp mp mp-group 0/0/1
[RouterA-Serial0/2/0] shutdown
[RouterA-Serial0/2/0] undo shutdown
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 創建MP-group接口,配置相應的IP地址。
[RouterB] interface mp-group 0/0/1
[RouterB-MP-group2/0/0] ip address 1.1.1.2 24
[RouterB-MP-group2/0/0] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp mp mp-group 0/0/1
[RouterB-Serial0/2/1] shutdown
[RouterB-Serial0/2/1] undo shutdown
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp mp mp-group 0/0/1
[RouterB-Serial0/2/0] shutdown
[RouterB-Serial0/2/0] undo shutdown
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看綁定效果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: MP-group0/0/1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: MP-group0/0/1, Active members: 2, Bundle Multilink
Peer's endPoint descriptor: MP-group0/0/1
Sequence format: short (rcv)/long (sent)
Bundle Up Time: 2012/11/04 09:03:16:612
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcvd)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2012/11/04 09:03:16:613
Serial0/2/0 Up-Time:2012/11/04 09:03:42:945
# 查看MP-group0/0/1接口的相關信息。
[RouterA] display interface mp-group 0/0/1
MP-group0/0/1
Current state: UP
Line protocol state: UP
Description: MP-group0/0/1 Interface
Bandwidth: 2048kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 1.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 2048000 bps
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last link flapping: Never
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在RouterA上ping對端IP地址。
[RouterA] ping 1.1.1.2
Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=7.000 ms
56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 1.1.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/2.600/7.000/2.577 ms
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
