- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-PPP配置
本章節下載: 01-PPP配置 (1.25 MB)
1.8.10 配置被認證方修改PPP認證的用戶名或密碼後觸發PPP重新協商
1.15.4 在接口下指定為Client端分配的IP地址配置舉例
1.15.5 從接口下指定的PPP地址池中分配IP地址配置舉例
1.15.6 從ISP域下關聯的PPP地址池中分配IP地址配置舉例
2.6.2 通過MP-group接口進行MP捆綁配置任務簡介
2.12.1 通過將物理接口直接綁定到VT接口方式進行MP捆綁配置舉例
2.12.3 通過將鏈路綁定到MP-group接口方式進行MP捆綁配置舉例
3.4.7 配置PPPoE會話的NAS-PORT-ID屬性相關參數
3.7.1 PPPoE Server通過PPP地址池為用戶分配IPv4地址配置舉例
3.7.2 PPPoE Server通過本地DHCP服務器為用戶分配IP地址配置舉例
3.7.3 PPPoE Server通過遠端DHCP服務器為用戶分配IP地址配置舉例
3.7.4 PPPoE Server通過ND協議、IPv6CP協商生成信息用於用戶生成IPv6地址配置舉例
3.7.5 PPPoE Server通過DHCPv6協議為用戶分配IPv6地址配置舉例
3.7.6 PPPoE Server通過DHCPv6協議分配代理前綴用於用戶生成IPv6地址配置舉例
3.7.7 PPPoE Server為接入用戶授權地址池和VPN配置舉例
3.7.11 利用ADSL Modem將局域網接入Internet
PPP(Point-to-Point Protocol,點對點協議)是一種點對點的鏈路層協議。它能夠提供用戶認證,易於擴充,並且支持同/異步通信。
PPP定義了一整套協議,包括:
· 鏈路控製協議(Link Control Protocol,LCP):用來建立、拆除和監控數據鏈路。
· 網絡控製協議(Network Control Protocol,NCP):用來協商在數據鏈路上所傳輸的網絡層報文的一些屬性和類型。
· 認證協議:用來對用戶進行認證,包括PAP(Password Authentication Protocol,密碼認證協議)、CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)、MSCHAP(Microsoft CHAP,微軟CHAP協議)和MSCHAPv2(微軟CHAP協議版本2)。
PPP鏈路建立過程如圖1-1所示:
(1) PPP初始狀態為不活動(Dead)狀態,當物理層Up後,PPP會進入鏈路建立(Establish)階段。
(2) PPP在Establish階段主要進行LCP協商。LCP協商內容包括:Authentication-Protocol(認證協議類型)、ACCM(Async-Control-Character-Map,異步控製字符映射表)、MRU(Maximum-Receive-Unit,最大接收單元)、Magic-Number(魔術字)、PFC(Protocol-Field-Compression,協議字段壓縮)、ACFC(Address-and-Control-Field-Compression,地址控製字段壓縮)、MP等選項。如果LCP協商失敗,LCP會上報Fail事件,PPP回到Dead狀態;如果LCP協商成功,LCP進入Opened狀態,LCP會上報Up事件,表示鏈路已經建立(此時對於網絡層而言PPP鏈路還未建立,還不能夠在上麵成功傳輸網絡層報文)。
(3) 如果配置了認證,則進入Authenticate階段,開始PAP、CHAP、MSCHAP或MSCHAPv2認證。如果認證失敗,LCP會上報Fail事件,進入Terminate階段,拆除鏈路,LCP狀態轉為Down,PPP回到Dead狀態;如果認證成功,LCP會上報Success事件。
(4) 如果配置了網絡層協議,則進入Network協商階段,進行NCP協商(如IPCP協商、IPv6CP協商)。如果NCP協商成功,鏈路就會UP,就可以開始承載協商指定的網絡層報文;如果NCP協商失敗,NCP會上報Down事件,進入Terminate階段。(對於IPCP協商,如果接口配置了IP地址,則進行IPCP協商,IPCP協商通過後,PPP才可以承載IP報文。IPCP協商內容包括:IP地址、DNS服務器地址等。)
(5) 到此,PPP鏈路將一直保持通信,直至有明確的LCP或NCP消息關閉這條鏈路,或發生了某些外部事件(例如用戶的幹預)。
圖1-1 PPP鏈路建立過程
PPP提供了在其鏈路上進行安全認證的手段,使得在PPP鏈路上實施AAA變的切實可行。將PPP與AAA結合,可在PPP鏈路上對對端用戶進行認證、計費。
PPP支持如下認證方式:PAP、CHAP、MSCHAP、MSCHAPv2。
PAP為兩次握手協議,它通過用戶名和密碼來對用戶進行認證。
PAP在網絡上以明文的方式傳遞用戶名和密碼,認證報文如果在傳輸過程中被截獲,便有可能對網絡安全造成威脅。因此,它適用於對網絡安全要求相對較低的環境。
CHAP為三次握手協議。
CHAP認證過程分為兩種方式:認證方配置了用戶名、認證方未配置用戶名。推薦使用認證方配置用戶名的方式,這樣被認證方可以對認證方的身份進行確認。
CHAP隻在網絡上傳輸用戶名,並不傳輸用戶密碼(準確的講,它不直接傳輸用戶密碼,傳輸的是用MD5算法將用戶密碼與一個隨機報文ID一起計算的結果),因此它的安全性要比PAP高。
MSCHAP為三次握手協議,認證過程與CHAP類似,MSCHAP與CHAP的不同之處在於:
· MSCHAP采用的加密算法是0x80。
· MSCHAP支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
MSCHAPv2為三次握手協議,認證過程與CHAP類似,MSCHAPv2與CHAP的不同之處在於:
· MSCHAPv2采用的加密算法是0x81。
· MSCHAPv2通過報文捎帶的方式實現了認證方和被認證方的雙向認證。
· MSCHAPv2支持重傳機製。在被認證方認證失敗的情況下,如果認證方允許被認證方進行重傳,被認證方會將認證相關信息重新發回認證方,認證方根據此信息重新對被認證方進行認證。認證方最多允許被認證方重傳3次。
· MSCHAPv2支持修改密碼機製。被認證方由於密碼過期導致認證失敗時,被認證方會將用戶輸入的新密碼信息發回認證方,認證方根據新密碼信息重新進行認證。
在IPv4網絡中,PPP進行IPCP協商過程中可以進行IP地址、DNS服務器地址的協商。
PPP在進行IPCP協商的過程中可以進行IP地址的協商,即一端給另一端分配IP地址。
在PPP協商IP地址的過程中,設備可以分為兩種角色:
· Client端:若本端接口封裝的鏈路層協議為PPP但還未配置IP地址,而對端已有IP地址時,用戶可為本端接口配置IP地址可協商屬性,使本端接口作為Client端接受由對端(Server端)分配的IP地址。該方式主要用於設備在通過ISP訪問Internet時,由ISP分配IP地址。
· Server端:若設備作為Server端為Client端分配IP地址,則應先配置地址池(可以是PPP地址池或者DHCP地址池),然後在ISP域下關聯地址池,或者在接口下指定為Client端分配的IP地址或者地址池,最後再配置Server端的IP地址,開始進行IPCP協商。
當Client端配置了IP地址可協商屬性後,Server端根據AAA認證結果(關於AAA的介紹請參見“安全配置指導”中的“AAA”)和接口下的配置,按照如下順序給Client端分配IP地址:
· 如果AAA認證服務器為Client端設置了IP地址或者地址池信息,則Server端將采用此信息為Client端分配IP地址(這種情況下,為Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA認證服務器上進行配置的,Server端不需要進行特殊配置)。
· 如果Client端認證時使用的ISP域下設置了為Client端分配IP地址的地址池,則Server端將采用此地址池為Client端分配IP地址。
· 如果Server端的接口下指定了為Client端分配的IP地址或者地址池,則Server端將采用此信息為Client端分配IP地址。
設備在進行IPCP協商的過程中可以進行DNS服務器地址協商。設備既可以作為Client端接收其它設備分配的DNS服務器地址,也可以作為Server端向其它設備提供DNS服務器地址。通常情況下:
· 當主機與設備通過PPP協議相連時,設備應配置為Server端,為對端主機指定DNS服務器地址,這樣主機就可以通過域名直接訪問Internet;
· 當設備通過PPP協議連接運營商的接入服務器時,設備應配置為Client端,被動接收或主動請求接入服務器指定DNS服務器地址,這樣設備就可以使用接入服務器分配的DNS來解析域名。
在IPv6網絡中,PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能協商出IPv6地址、IPv6 DNS服務器地址。
PPP進行IPv6CP協商過程中,隻協商出IPv6接口標識,不能直接協商出IPv6地址。
客戶端可以通過如下幾種方式分配到IPv6全球單播地址:
· NDRA方式:客戶端通過ND協議中的RA報文獲得IPv6地址前綴。客戶端采用RA報文中攜帶的前綴和IPv6CP協商的IPv6接口標識一起組合生成IPv6全球單播地址。RA報文中攜帶的IPv6地址前綴的來源有三種:AAA授權的IPv6前綴、接口下配置的RA前綴、接口下配置的IPv6全球單播地址的前綴。三種來源的優先級依次降低,AAA授權的優先級最高。關於ND協議的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· DHCPv6(IA_NA)方式:客戶端通過DHCPv6協議申請IPv6全球單播地址。在服務器端可以通過AAA授權為每個客戶端分配不同的地址池,當授權了地址池後,DHCPv6在分配IPv6地址時會從地址池中獲取IPv6地址分配給客戶端。如果AAA未授權地址池,DHCPv6會根據服務器端的IPv6地址查找匹配的地址池為客戶端分配地址。關於DHCPv6協議的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6”。
· DHCPv6(IA_PD)方式:客戶端通過DHCPv6協議申請代理前綴,客戶端通過代理前綴為下麵的主機分配IPv6全球單播地址。代理前綴分配方式中地址池的選擇原則和通過DHCPv6協議分配IPv6全球單播地址方式中地址池的選擇原則一致。
根據組網不同,主機獲取IPv6地址的方式如下:
· 當主機通過橋設備或者直連接入設備時,設備可以采用上述的方式NDRA方式或IA_NA直接為主機分配IPv6全球單播地址。
· 當主機通過路由器接入設備時,設備可以采用IA_PD方式為路由器分配IPv6前綴,路由器把這些IPv6前綴分配給主機來生成IPv6全球單播地址。
· NDRA+IA_PD、IA_NA+IA_PD可以根據實際組網需求進行組合使用,以滿足多種地址分配方式的需求。
在IPv6網絡中,IPv6 DNS服務器地址的分配有如下兩種方式:
· AAA授權IPv6 DNS服務器地址,通過ND協議中的RA報文將此IPv6 DNS服務器地址分配給主機。
· DHCPv6客戶端向DHCPv6服務器申請IPv6 DNS服務器地址。
與PPP相關的協議規範有:
RFC 1661:The Point-to-Point Protocol (PPP)
本特性僅在路由器上安裝了SAE、AS、ASE、BS、E1、E1-F、T1、T1-F、POS、CPOS、CE3、CT3或AM接口模塊時支持。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
支持 |
|
MSR810-LMS、MSR810-LUS |
本文中的PPP僅服務於PPPoE和L2TP應用 |
|
MSR810-SI、MSR810-LM-SI |
本文中的PPP僅服務於PPPoE和L2TP應用 |
|
MSR810-LMS-EA、MSR810-LME |
支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
支持 |
|
MSR2600-10-X1 |
支持 |
|
MSR2630-G-X1 |
支持 |
|
MSR2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-iMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型號 |
說明 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
支持 |
|
MSR830-4LM-WiNet |
支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
支持 |
|
MSR2600-6-WiNet |
支持 |
|
MSR2600-10-X1-WiNet |
支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
支持 |
|
MSR860-6HI-XS |
支持 |
|
MSR2630-XS |
支持 |
|
MSR3600-28-XS |
支持 |
|
MSR3610-XS |
支持 |
|
MSR3620-XS |
支持 |
|
MSR3610-I-XS |
支持 |
|
MSR3610-IE-XS |
支持 |
|
MSR3620-X1-XS |
支持 |
|
MSR3640-XS |
支持 |
|
MSR3660-XS |
支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
支持 |
|
MSR810-W-LM-GL |
支持 |
|
MSR830-6EI-GL |
支持 |
|
MSR830-10EI-GL |
支持 |
|
MSR830-6HI-GL |
支持 |
|
MSR830-10HI-GL |
支持 |
|
MSR1004S-5G-GL |
支持 |
|
MSR2600-6-X1-GL |
支持 |
|
MSR3600-28-SI-GL |
支持 |
PPP配置任務如下:
(1) 配置接口封裝PPP協議
(2) 配置虛擬模板接口
¡ 創建虛擬模板接口
在PPPoE、L2TP和MP組網中,需要本配置。
¡ (可選)恢複當前虛擬模板接口的缺省配置
¡ (可選)配置處理虛擬模板接口流量的slot
(3) 配置PPP認證
請選擇以下一項任務進行配置:
¡ 配置PAP認證
在網絡安全要求較高的環境下,需要配置PPP認證。
(4) (可選)配置輪詢功能
(5) (可選)配置PPP協商參數
¡ 配置ACCM協商
¡ 配置ACFC協商
¡ 配置PFC協商
¡ 配置被認證方修改PPP認證的用戶名或密碼後觸發PPP重新協商
(6) (可選)配置PPP IPHC壓縮功能
在低速鏈路上,每個語音報文中報文頭消耗大部分的帶寬。為了減少報文頭對帶寬的消耗,可以在PPP鏈路上使用IPHC壓縮功能,對報文頭進行壓縮。
(7) (可選)配置PPP鏈路質量監測功能
(8) (可選)配置PPP用戶的nas-port-type屬性
(9) (可選)配置PPP計費統計功能
(10) (可選)配置PPP接入用戶日誌信息功能
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口封裝的鏈路層協議為PPP。
link-protocol ppp
缺省情況下,除以太網接口、VLAN接口、ATM接口外,其它接口封裝的鏈路層協議均為PPP。
VT(Virtual Template,虛擬模板)是用於配置一個VA(Virtual Access,虛擬訪問)接口的模板。在PPPoE、L2TP和MP應用中需要創建一個VA接口與對端交換數據。此時,係統將選擇一個VT,以便動態地創建一個VA接口。
在PPPoE和L2TP應用中可借助VT接口來實現PPP協議的相關功能。有關PPPoE和L2TP的相關介紹,請參見“二層技術-廣域網接入配置指導”中的“PPPoE”和“L2TP”。
在MP應用中可借助VT接口進行MP捆綁。有關MP的相關介紹,請參見“二層技術-廣域網接入配置指導”中的“MP”。
(1) 進入係統視圖。
system-view
(2) 創建虛擬模板接口並進入虛擬模板接口視圖。
interface virtual-template number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可選)配置接口的MTU值。
mtu size
缺省情況下,接口的MTU值為1500字節。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行該命令前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 恢複當前接口的缺省配置。
default
當要求同一個虛擬模板接口的流量必須在同一個slot上進行處理時,可以在虛擬模板接口下配置處理接口流量的slot。
為提高當前接口處理流量的可靠性,可以通過service命令和service standby命令為接口分別指定一個主用slot和一個備用slot進行流量處理。
接口上同時配置了主用slot和備用slot時,流量處理的機製如下:
· 當主用slot不可用時,流量由備用slot處理。之後,即使主用slot恢複可用,流量也繼續由備用slot處理;僅當備用slot不可用時,流量才切換到主用slot。
· 當主用slot和備用slot均不可用時,流量由接收報文的slot處理;之後,主用slot和備用slot誰先恢複可用,流量就由誰處理。
如果接口上未配置主用slot和備用slot,則業務處理在接收報文的slot上進行。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
不支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
不支持 |
|
MSR810-LMS、MSR810-LUS |
不支持 |
|
MSR810-SI、MSR810-LM-SI |
不支持 |
|
MSR810-LMS-EA、MSR810-LME |
不支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
不支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
不支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR2600-10-X1 |
不支持 |
|
MSR2630-G-X1 |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR2630 |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28、MSR3600-51 |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
不支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
不支持 |
|
MSR-iMC |
不支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660 |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-G、MSR3620-G |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3640-G |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3640-X1-HI |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
型號 |
描述 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
不支持 |
|
MSR830-4LM-WiNet |
不支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
不支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
不支持 |
|
MSR2600-6-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR2600-10-X1-WiNet |
不支持 |
|
MSR2630-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-X1-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3620-X1-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
不支持 |
|
MSR860-6HI-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR2630-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3600-28-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3620-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3610-I-XS |
不支持 |
|
MSR3610-IE-XS |
不支持 |
|
MSR3620-X1-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3640-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
MSR3660-XS |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
不支持 |
|
MSR810-W-LM-GL |
不支持 |
|
MSR830-6EI-GL |
不支持 |
|
MSR830-10EI-GL |
不支持 |
|
MSR830-6HI-GL |
不支持 |
|
MSR830-10HI-GL |
不支持 |
|
MSR1004S-5G-GL |
不支持 |
|
MSR2600-6-X1-GL |
不支持 |
|
MSR3600-28-SI-GL |
· 當為獨立運行模式設備時,不支持 · 當為IRF模式時,支持 |
為避免不必要的流量切換,建議配置主用slot後,再配置備用slot。如果先配置備用slot,則流量由備用slot處理;在配置主用slot後,流量將會從備用slot切換到主用slot。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置處理接口流量的主用slot。
(IRF模式)
service slot slot-number
缺省情況下,未配置處理接口流量的主用slot。
(4) 配置處理接口流量的備用slot。
(IRF模式)
service standby slot slot-number
缺省情況下,未配置處理接口流量的備用slot。
PPP支持的認證方式包括:PAP、CHAP、MSCHAP、MSCHAPv2。用戶可以同時配置多種認證方式,在LCP協商過程中,認證方根據用戶配置的認證方式順序逐一與被認證方進行協商,直到協商通過。如果協商過程中,被認證方回應的協商報文中攜帶了建議使用的認證方式,認證方查找配置中存在該認證方式,則直接使用該認證方式進行認證。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須與被認證方上通過ppp pap local-user命令配置的用戶名和密碼相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為PAP。
ppp authentication-mode pap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地被對端以PAP方式認證時本地發送的PAP用戶名和密碼。
ppp pap local-user username password { cipher | simple } string
缺省情況下,被對端以PAP方式認證時,本地設備發送的用戶名和密碼均為空。
查看配置的密碼信息時,無論采用明文或密文加密,密碼都將按密文方式顯示。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與被認證方上通過ppp chap user命令配置的被認證方的用戶名相同。
· 密碼必須與被認證方上為認證方配置的用戶名的密碼相同。
在被認證方上,若采用本地AAA認證,則被認證方必須為認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與認證方上通過ppp chap user命令配置的認證方的用戶名相同。
· 密碼必須與認證方上為被認證方配置的用戶名的密碼相同。
在被認證方上不能通過ppp chap password命令配置進行CHAP認證時采用的密碼,否則即使認證方配置了用戶名,CHAP仍將按照認證方未配置用戶名的情況進行認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置采用CHAP認證時認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(5) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置采用CHAP認證時被認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。
不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須滿足如下要求:
· 用戶名必須與被認證方上通過ppp chap user命令配置的被認證方的用戶名相同。
· 密碼必須與被認證方上通過ppp chap password命令配置的密碼相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置采用CHAP認證時被認證方的用戶名。
ppp chap user username
缺省情況下,CHAP認證的用戶名為空。
(4) 設置CHAP認證密碼。
ppp chap password { cipher | simple } password
缺省情況下,未配置進行CHAP認證時采用的密碼。
查看配置的密碼信息時,無論采用明文或密文加密,密碼都將按密文方式顯示。
設備隻能作為MSCHAP和MSCHAPv2的認證方來對其它設備進行認證。
L2TP環境下僅支持MSCHAP認證,不支持MSCHAPv2認證。
MSCHAPv2認證隻有在RADIUS認證的方式下,才能支持修改密碼機製。
MSCHAPv2認證時不支持為PPP用戶配置認證方式為none。
在認證方上,若采用本地AAA認證,則認證方必須為被認證方配置本地用戶的用戶名和密碼,若采用遠程AAA認證,則遠程AAA服務器上需要配置被認證方的用戶名和密碼。不論是在本地還是AAA服務器上為被認證方配置的用戶名和密碼必須與被認證方上的配置相同。
若認證方配置了用戶名,則在被認證方上為認證方配置的用戶名必須與認證方上ppp chap user命令配置的用戶名相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置采用MSCHAP或MSCHAPv2認證時認證方的用戶名。
ppp chap user username
(5) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地認證對端的方式為MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情況下,PPP協議不進行認證。
(4) 配置本地AAA認證或者遠程AAA認證。
具體配置請參見“安全配置指導”中的“AAA”。
PPP協議使用輪詢機製來確認鏈路狀態是否正常。
當接口上封裝的鏈路層協議為PPP時,鏈路層會周期性地向對端發送keepalive報文(可以通過timer-hold命令修改keepalive報文的發送周期)。如果接口在retry個(可以通過timer-hold retry命令修改該個數)keepalive周期內沒有收到keepalive報文的應答,鏈路層會認為對端故障,上報鏈路層Down。
如果將keepalive報文的發送周期配置為0秒,則本端不主動發送keepalive報文;當本端收到對端主動發送過來的keepalive報文時,仍可以對該keepalive報文進行應答。
在速率非常低的鏈路上,keepalive周期和retry值不能配置過小。因為在低速鏈路上,大報文可能會需要很長的時間才能傳送完畢,這樣就會延遲keepalive報文的發送與接收。而接口如果在retry個keepalive周期內沒有收到keepalive報文的應答,它就會認為鏈路發生故障。如果keepalive報文被延遲的時間超過接口的這個限製,鏈路就會被認為發生故障而被關閉。
在MP應用中,僅子通道支持輪詢功能,主通道不支持。在主通道上即使配置輪詢功能也不會生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口發送keepalive報文的周期。
timer-hold seconds
缺省情況下,接口發送keepalive報文的周期為10秒。
(4) 配置接口在多少個keepalive周期內未收到keepalive報文的應答就拆除鏈路。
timer-hold retry retry
缺省情況下,接口在5個keepalive周期內未收到keepalive報文的應答就拆除鏈路。
在PPP協商過程中,如果協商超時時間間隔內未收到對端的應答報文,則PPP將會重發前一次發送的報文。
在PPP鏈路兩端設備對LCP協商報文的處理速度差異較大的情況下,為避免因一端無法及時處理對端發送的LCP協商報文而導致對端重傳,可在對協商報文處理速度較快的設備上配置LCP協商的延遲時間。配置LCP協商的延遲時間後,當接口物理層UP時PPP將在延遲時間超時後才會主動進行LCP協商;如果在延遲時間內本端設備收到對端設備發送的LCP協商報文,則本端設備將不再等待延遲時間超時,而是直接進行LCP協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置協商超時時間間隔。
ppp timer negotiate seconds
缺省情況下,協商超時時間間隔為3秒。
(4) (可選)配置LCP協商的延遲時間。
ppp lcp delay milliseconds
缺省情況下,接口物理層UP後,PPP立即進行LCP協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 為接口配置IP地址可協商屬性。
ip address ppp-negotiate
缺省情況下,接口未配置IP地址可協商屬性。
多次執行本命令和ip address命令,最後一次執行的命令生效。關於ip address命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IP地址”。
目前Server端為Client端分配IP地址支持以下三種方式:
· 在接口下指定為Client端分配的IP地址。
· 從接口下指定的地址池(支持PPP地址池和DHCP地址池)中為Client端分配IP地址。
· 從ISP域下關聯的地址池(支持PPP地址池和DHCP地址池)中為Client端分配IP地址。
不需要進行PPP認證的PPP用戶可以使用在接口下指定為Client端分配的IP地址和從接口下指定的地址池中為Client端分配IP地址兩種地址分配方式。同時配置這兩種方式,最後一次的配置生效。
需要進行PPP認證的PPP用戶可以使用全部的三種方式。同時配置多種方式時,以ISP域下關聯的地址池優先,然後是接口下指定為Client端分配的IP地址或者地址池(接口下同時配置這兩種方式時,最後一次的配置生效)。
如果用戶配置了名稱相同的PPP地址池和DHCP地址池,並采用該名稱的地址池為對端分配IP地址,則係統隻會使用PPP地址池來分配IP地址。
當通過PPP地址池給用戶分配IP地址時,請確保PPP地址池中不包含該PPP地址池的網關地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口為Client端分配的IP地址。
remote address ip-address
缺省情況下,接口不為Client端分配IP地址。
(4) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
(3) (可選)配置PPP地址池的網關地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情況下,未為PPP地址池配置網關地址。
(4) (可選)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,未配置PPP地址池路由。
需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 使用PPP地址池為Client端分配IP地址。
remote address pool pool-name
缺省情況下,接口不為Client端分配IP地址。
(7) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同時作為DHCP服務器,則在Server端上配置DHCP服務器、DHCP地址池相關內容。
¡ 如果Server端作為DHCP中繼,則在Server端上配置DHCP中繼相關內容(必須配置DHCP中繼用戶地址表項記錄功能、DHCP中繼地址池),並在遠端DHCP服務器上配置DHCP地址池。
DHCP服務器和DHCP中繼的具體配置介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 使用DHCP地址池為Client端分配IP地址。
remote address pool pool-name
缺省情況下,接口不為Client端分配IP地址。
(5) (可選)配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情況下,未配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
當使用PPP用戶名作為DHCP客戶端ID時,請確保各個上線用戶分別使用不同的PPP用戶名上線。
(6) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
缺省情況下,未配置PPP地址池。
(3) (可選)配置PPP地址池的網關地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情況下,未為PPP地址池配置網關地址。
(4) (可選)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,未配置PPP地址池路由。
用戶需要保證配置的PPP地址池路由網段覆蓋PPP地址池網段範圍。
(5) 進入ISP域視圖。
domain isp-name
(6) 在ISP域下關聯PPP地址池為Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情況下,ISP域下未關聯PPP地址池。
本命令的詳細介紹請參見“安全命令參考”中的“AAA”。
(7) 退回係統視圖。
quit
(8) 進入接口視圖。
interface interface-type interface-number
(9) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
(1) 進入係統視圖。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同時作為DHCP服務器,則在Server端上配置DHCP服務器、DHCP地址池相關內容。
¡ 如果Server端作為DHCP中繼,則在Server端上配置DHCP中繼相關內容(必須配置DHCP中繼用戶地址表項記錄功能、DHCP中繼地址池),並在遠端DHCP服務器上配置DHCP地址池。
DHCP服務器和DHCP中繼的具體配置介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
(3) 進入ISP域視圖。
domain isp-name
(4) 在ISP域下關聯DHCP地址池或DHCP中繼地址池為Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情況下,ISP域下未關聯DHCP地址池或DHCP中繼地址池。
本命令的詳細介紹請參見“安全命令參考”中的“AAA”。
(5) 退回係統視圖。
quit
(6) 進入接口視圖。
interface interface-type interface-number
(7) (可選)配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情況下,未配置PPP用戶作為DHCP客戶端時使用的DHCP客戶端ID。
當使用PPP用戶名作為DHCP客戶端ID時,請確保各個上線用戶分別使用不同的PPP用戶名上線。
(8) 配置Server端的IP地址。
ip address ip-address
缺省情況下,接口未配置IP地址。
開啟接口的IP網段檢查功能後,當IPCP協商時,本地會檢查對端的IP地址與本端接口的IP地址是否在同一網段,如果不在同一網段,則IPCP協商失敗。
如果接口的IP網段檢查功能處於關閉狀態,則在IPCP協商階段不進行接口IP網段檢查。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟接口的IP網段檢查功能。
ppp ipcp remote-address match
缺省情況下,接口的IP網段檢查功能處於關閉狀態。
一般情況下,Client端配置了ppp ipcp dns request命令後,Server端才會為本端指定DNS服務器地址。有一些特殊的設備,Client端並未請求,Server端卻要強製為Client端指定DNS服務器地址,從而導致協商不通過,為了適應這種情況,Client端可以配置ppp ipcp dns admit-any命令以便可以被動地接收對端指定的DNS服務器地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置設備主動請求對端指定DNS服務器地址。
ppp ipcp dns request
缺省情況下,禁止設備主動向對端請求DNS服務器地址。
(4) 配置設備可以被動地接收對端指定的DNS服務器地址,即設備不發送DNS請求,也能接收對端設備分配的DNS服務器地址。
ppp ipcp dns admit-any
缺省情況下,設備不會被動地接收對端設備指定的DNS服務器的IP地址。
在配置了ppp ipcp dns request命令的情況下,可以不配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置設備為對端設備指定DNS服務器地址。
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
缺省情況下,設備不為對端設備指定DNS服務器的IP地址。
配置本命令後,Server端不會主動給Client端指定DNS的地址,隻有收到Client端的請求後,Server端才會為對端指定DNS服務器地址。
在異步鏈路上需要使用到異步控製字符,如果在載荷中存在與異步控製字符相同的字符,則需要進行字符轉義,避免異步鏈路將載荷當成異步控製字符處理。每個異步控製字符的長度為1字節,轉義後長度就變為2字節,轉義後的異步控製字符占用的帶寬增加了,將減少有效載荷。
ACCM協商選項用來和對端協商哪些異步控製字符需要轉義,哪些異步控製字符不需要轉義的。ACCM字段長32比特,每個比特從左到右按1、2、3、…、32進行編號,每個比特編號對應一個具有相同值的異步控製字符。如果這個比特的值為0,那麼對應的異步控製字符不需要進行轉義;如果這個比特的值為1,那麼對應的異步控製字符就需要進行轉義。例如,當19比特的值為0時,對應的19號異步控製字符(DC3,Control-S)將被直接發送,不需要進行轉義。
ACCM協商在LCP協商階段進行。當ACCM協商通過後,對端發送報文時將按照此異步控製字符映射表進行異步控製字符轉義。
在低速鏈路上,為了減少異步控製字符占用的帶寬,增加有效載荷,建議將ACCM協商選項的值配置為0x0,即不進行轉義。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置ACCM字段的值。
ppp accm hex-number
缺省情況下,ACCM字段的值為0x000A0000。
ACCM協商選項隻有在異步鏈路上才會生效。
缺省情況下,PPP報文中的地址字段的值固定為0xFF,控製字段的值固定為0x03,既然這兩個字段的值是固定的,就可以對這兩個字段進行壓縮。
ACFC協商選項字段用來通知對端,本端可以接收地址和控製字段被壓縮的報文。
ACFC協商在LCP協商階段進行,對於LCP報文不進行地址字段和控製字段壓縮,以確保LCP協商過程順利進行。當LCP協商通過後,對於發送的非LCP報文將進行地址字段和控製字段壓縮,以增加鏈路的有效載荷。
建議在低速鏈路上配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地發送ACFC協商請求,即LCP協商時本地發送的協商請求攜帶ACFC協商選項。
ppp acfc local-request
缺省情況下,LCP協商時本地發送的協商請求不攜帶ACFC協商選項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置拒絕對端的ACFC協商請求,即LCP協商時拒絕對端攜帶的ACFC協商選項。
ppp acfc remote-reject
缺省情況下,接受對端的ACFC協商請求,即LCP協商時接受對端攜帶的ACFC協商選項,並且發送的報文進行地址控製字段壓縮。
缺省情況下,PPP報文中的協議字段長度為2字節,然而,目前典型的協議字段取值都小於256,所以可以壓縮成一個字節來區分協議類型。
PFC協商選項字段用來通知對端,本端可以接收協議字段被壓縮成一個字節的報文。
PFC協商在LCP協商階段進行,對於LCP報文不進行協議字段壓縮,以確保LCP協商過程順利進行。當LCP協商通過後,對於發送的非LCP報文將進行協議字段壓縮,如果協議字段的頭8比特為全零,則不添加此8比特,以增加鏈路的有效載荷。
建議在低速鏈路上配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本地發送PFC協商請求,即LCP協商時本地發送的協商請求攜帶PFC協商選項。
ppp pfc local-request
缺省情況下,LCP協商時本地發送的協商請求不攜帶PFC協商選項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置拒絕對端的PFC協商請求,即LCP協商時拒絕對端攜帶的PFC協商選項。
ppp pfc remote-reject
缺省情況下,接受對端的PFC協商請求,即LCP協商時接受對端攜帶的PFC協商選項,並且發送的報文進行協議字段壓縮。
缺省情況下,被認證方修改PPP認證的用戶名或密碼後,會維持當前已協商建立的PPP連接。存在如下需求時,可以通過配置本功能,來讓被認證方修改PPP認證的用戶名或密碼後,主動斷開PPP連接,以便PPP重新進行協商:
· 實時性需求:當認證信息更改時,能夠立即重新認證,確保連接的用戶是使用最新的認證信息。
· 安全性需求:如果網絡管理員發現有安全風險,例如密碼泄露,修改密碼後馬上觸發重新協商可以迅速切斷未經授權用戶的訪問,防止潛在的安全威脅。
· 一致性需求:確保所有的用戶都是根據最新的認證信息進行連接,這有助於維護用戶數據庫的一致性。
配置了本功能後,被認證方通過ppp chap password、ppp chap user或ppp pap local-user命令修改了用於認證的用戶名或密碼時,都會觸發PPP連接斷開。
開啟觸發PPP重新協商後,也有可能帶來如下影響:
· 由於重新協商可能會中斷當前的會話,可能會對正在進行的通信造成影響。
· 頻繁的重新協商會引入額外的性能開銷,增加係統的複雜性。
· 頻繁的斷開連接可能會影響接入用戶的體驗。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置被認證方修改PPP認證的用戶名或密碼後觸發PPP重新協商。
ppp modify-authinfo restart [ delay delay-time ]
缺省情況下,被認證方修改PPP認證的用戶名或密碼後維持當前已協商建立的PPP連接。
IPHC(IP Header Compression,IP報文頭壓縮)協議主要應用於低速鏈路上的語音通信。
在低速鏈路上,每個語音報文中報文頭消耗大部分的帶寬。為了減少報文頭對帶寬的消耗,可以在PPP鏈路上使用IPHC壓縮功能,對報文頭進行壓縮。
IPHC壓縮分為如下兩種:
· RTP頭壓縮:對報文中的RTP/UDP/IP頭(長度共40字節)進行壓縮。
· TCP頭壓縮:對報文中的TCP/IP頭(長度共40字節)進行壓縮。
用戶必須在鏈路的兩端同時開啟IPHC壓縮功能,該功能才生效。
在虛擬模板接口、Dialer接口、ISDN接口上開啟/關閉IPHC壓縮功能時,配置不會立即生效,隻有對此接口或者其綁定的物理接口依次進行shutdown和undo shutdown操作後,配置才能生效。
隻有在開啟IPHC壓縮功能後,才能配置接口上允許進行RTP頭/TCP頭壓縮的最大連接數,並且需要對接口依次進行shutdown和undo shutdown操作後,配置才能生效。在關閉IPHC壓縮功能後,配置將被清除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP IPHC壓縮功能。
ppp compression iphc enable [ nonstandard ]
缺省情況下,IPHC壓縮功能處於關閉狀態。
與非H3C設備互通時需要配置nonstandard參數。
配置nonstandard參數後,僅支持RTP頭壓縮,不支持TCP頭壓縮。
(4) 配置接口上允許進行RTP頭壓縮的最大連接數。
ppp compression iphc rtp-connections number
缺省情況下,接口上允許進行RTP頭壓縮的最大連接數為16。
(5) 配置接口上允許進行TCP頭壓縮的最大連接數。
ppp compression iphc tcp-connections number
缺省情況下,接口上允許進行TCP頭壓縮的最大連接數為16。
PPP鏈路質量監測功能可以實時對PPP鏈路(包括綁定在MP中的PPP鏈路)的通信質量(丟包率和錯包率)進行監測。
在未配置PPP鏈路質量監測功能之前,PPP接口(封裝PPP協議的接口)會每隔一段時間向對端發送keepalive報文;在配置此功能之後,PPP接口會用LQR(Link Quality Reports,鏈路質量報告)報文代替keepalive報文,即每隔一段時間向對端發送LQR報文,用以對鏈路情況進行監測。
當鏈路質量正常時,係統對每個LQR報文進行鏈路質量計算,如果連續兩次鏈路質量低於用戶設置的禁用鏈路質量百分比,鏈路會被禁用。當鏈路被禁用後,係統每隔十個LQR報文進行一次鏈路質量計算,隻有連續三次鏈路質量高於用戶設置的恢複鏈路質量百分比,鏈路才會被恢複。因此,當鏈路被禁用後,至少要在30個keepalive周期後才能恢複。如果keepalive周期設置過大,可能會導致鏈路長時間無法恢複。
當在PPP鏈路兩端同時開啟鏈路質量監測功能時,兩端設備的參數必須相等。不建議在鏈路兩端同時開啟鏈路質量監測功能。
不建議在撥號線路上開啟PPP鏈路質量監測功能。當在撥號線路上開啟鏈路質量監測功能後,由於撥號線路的特點,一旦鏈路被禁用,DDR模塊就會把撥號線路掛斷,因此鏈路質量監測就不能正常的運行。隻有當有數據需要傳輸時,DDR模塊把撥號線路重新呼起,鏈路質量監測功能才能恢複正常。
本特性配置後僅對新接入的用戶生效,對當前已經存在用戶無影響。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP鏈路質量監測功能。
ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]
缺省情況下,PPP鏈路質量監測功能處於關閉狀態。
(4) 配置當鏈路質量檢測功能檢測到鏈路質量低時向對端發送LCP echo報文。
ppp lqm lcp-echo [ packet size ] [ interval interval ]
缺省情況下,鏈路質量檢測功能檢測到鏈路質量低時不向對端發送LCP echo報文。
為避免由大字節報文丟失導致鏈路質量低下時的鏈路動蕩,當開啟PPP鏈路質量監測功能時,可以通過配置本命令,在監測到鏈路質量低的時候向PPP鏈路對端定期發送大字節LCP echo報文進行檢測。
本特性用來配置RADIUS認證計費時所攜帶的nas-port-type屬性。關於nas-port-type屬性的詳細介紹請參見RFC 2865。
本特性配置後僅對新接入的用戶生效,對當前已經存在用戶無影響。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置接口的nas-port-type屬性。
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情況下,nas-port-type屬性由PPP用戶的業務類型和承載鏈路類型決定:
¡ 如果是PPPoE業務,當承載鏈路類型為三層虛擬以太網接口時,nas-port-type屬性為xdsl,否則nas-port-type屬性為ethernet。
¡ 如果是PPPoA業務,nas-port-type屬性為xdsl。
¡ 如果是L2TP業務,nas-port-type屬性為virtual。
PPP協議可以為每條PPP鏈路提供基於流量的計費統計功能,具體統計內容包括出入兩個方向上流經本鏈路的報文數和字節數。AAA可以獲取這些流量統計信息用於計費控製。關於AAA計費的詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟PPP計費統計功能。
ppp account-statistics enable [ acl { acl-number | name acl-name } ]
缺省情況下,PPP計費統計功能處於關閉狀態。
PPP接入用戶日誌是為了滿足網絡管理員維護的需要,對用戶的上線、下線、上線失敗的信息進行記錄,包括用戶名、IP地址、接口名稱、兩層VLAN、MAC地址、上線失敗原因、下線原因等。設備生成的PPP日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的PPP日誌信息,一般情況下建議不要開啟此功能。
(1) 進入係統視圖。
system-view
(2) 開啟PPP接入用戶日誌信息功能。
ppp access-user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
缺省情況下,PPP接入用戶日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示PPP配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除相應接口的統計信息。
display interface virtual-access命令和reset counters interface virtual-access命令的支持情況與設備型號有關,具體請參見命令參考。
表1-1 PPP顯示和維護
|
操作 |
命令 |
|
顯示PPP接入用戶的信息 |
display ppp access-user { domain domain-name | interface interface-type interface-number [ count ] | ip-address ipv4-address | ipv6-address ipv6-address | username user-name | user-type { lac | lns | pppoa | pppoe } [ count ] } |
|
顯示PPP的協商報文統計信息 |
(獨立運行模式) display ppp packet statistics (IRF模式) display ppp packet statistics [ slot slot-number ] |
|
顯示PPP地址池的信息 |
display ip pool [ pool-name | group group-name ] |
|
顯示虛擬模板接口的相關信息 |
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ] |
|
顯示虛擬訪問接口的相關信息 |
display interface [ virtual-access [ interface-number ] ] [ brief [ description | down ] ] |
|
顯示IPHC壓縮的統計信息 |
display ppp compression iphc { rtp | tcp } [ interface interface-type interface-number ] |
|
清除VA接口的統計信息 |
reset counters interface [ virtual-access [ interface-number ] ] |
|
清除IPHC壓縮的統計信息 |
reset ppp compression iphc [ rtp | tcp ] [ interface interface-type interface-number ] |
|
強製PPP用戶下線 |
reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | username user-name } |
|
清除PPP的協商報文統計信息 |
(獨立運行模式) reset ppp packet statistics (IRF模式) reset ppp packet statistics [ slot slot-number ] |
如圖1-2所示,Router A和Router B之間用接口Serial2/1/0互連,要求Router A用PAP方式認證Router B,Router B不需要對Router A進行認證。
圖1-2 配置PAP單向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
# 配置本地認證Router B的方式為PAP。
[RouterA-Serial2/1/0] ppp authentication-mode pap domain system
# 配置接口的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
[RouterA-Serial2/1/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
<RouterB> system-view
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
[RouterB-Serial2/1/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial2/1/0] ip address 200.1.1.2 16
通過display interface serial命令,查看接口Serial2/1/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-Serial2/1/0] display interface serial 2/1/0
Serial2/1/0
Current state: UP
Line protocol state: UP
Description: Serial2/1/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP: opened, IPCP: opened
…略…
[RouterB-Serial2/1/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
如圖1-3所示,Router A和Router B之間用接口Serial2/1/0互連,要求Router A和Router B用PAP方式相互認證對方。
圖1-3 配置PAP雙向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
# 配置本地認證Router B的方式為PAP。
[RouterA-Serial2/1/0] ppp authentication-mode pap domain system
# 配置本地被Router B以PAP方式認證時Router A發送的PAP用戶名和密碼。
[RouterA-Serial2/1/0] ppp pap local-user usera password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
[RouterA-Serial2/1/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 為Router A創建本地用戶。
<RouterB> system-view
[RouterB] local-user usera class network
# 設置本地用戶的密碼。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
# 配置本地認證Router A的方式為PAP。
[RouterB-Serial2/1/0] ppp authentication-mode pap domain system
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
[RouterB-Serial2/1/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial2/1/0] ip address 200.1.1.2 16
[RouterB-Serial2/1/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
通過display interface serial命令,查看接口Serial2/1/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-isp-system] display interface serial 2/1/0
Serial2/1/0
Current state: UP
Line protocol state: UP
Description: Serial2/1/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-isp-system] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在圖1-2中,要求設備Router A用CHAP方式認證設備Router B。
圖1-4 配置CHAP單向認證組網圖
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
# 配置采用CHAP認證時Router A的用戶名。
[RouterA-Serial2/1/0] ppp chap user usera
# 配置本地認證Router B的方式為CHAP。
[RouterA-Serial2/1/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
[RouterA-Serial2/1/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 為Router A創建本地用戶。
<RouterB> system-view
[RouterB] local-user usera class network
# 設置本地用戶的密碼。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封裝的鏈路層協議為PPP(缺省情況下,接口封裝的鏈路層協議為PPP,此步驟可選)。
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
# 配置采用CHAP認證時Router B的用戶名。
[RouterB-Serial2/1/0] ppp chap user userb
# 配置接口的IP地址。
[RouterB-Serial2/1/0] ip address 200.1.1.2 16
(1) 配置Router A
# 為Router B創建本地用戶。
<RouterA> system-view
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置本地認證Router B的方式為CHAP。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
[RouterA-Serial2/1/0] quit
# 在係統缺省的ISP域system下,配置PPP用戶使用本地認證方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置采用CHAP認證時Router B的用戶名。
<RouterB> system-view
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] ppp chap user userb
# 設置缺省的CHAP認證密碼。
[RouterB-Serial2/1/0] ppp chap password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial2/1/0] ip address 200.1.1.2 16
通過display interface serial命令,查看接口Serial2/1/0的信息,發現接口的物理層和鏈路層的狀態都是up狀態,並且PPP的LCP和IPCP都是opened狀態,說明鏈路的PPP協商已經成功,並且Router A和Router B可以互相ping通對方。
[RouterB-Serial2/1/0] display interface serial 2/1/0
Serial2/1/0
Current state: UP
Line protocol state: UP
Description: Serial2/1/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-Serial2/1/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通過PPP協商,為Router B的接口Serial2/1/0分配IP地址。
要求Router A用接口下指定的IP地址為Router B分配IP地址。
圖1-5 在接口下指定為Client端分配的IP地址組網圖
(1) 配置Router A
# 配置接口Serial2/1/0為Router B的接口分配的IP地址。
<RouterA> system-view
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] remote address 200.1.1.10
# 配置接口Serial2/1/0的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial2/1/0通過協商獲取IP地址。
<RouterB> system-view
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial2/1/0的概要信息,可見接口Serial2/1/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial2/1/0] display interface serial 2/1/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser2/1/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial2/1/0接口。
[RouterB-Serial2/1/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通過PPP協商,為Router B的接口Serial2/1/0分配IP地址。
要求Router A從接口下指定的PPP地址池中分配IP地址。
圖1-6 從接口下指定的PPP地址池中分配IP地址組網圖
(1) 配置Router A
# 配置PPP地址池aaa,IP地址範圍為200.1.1.10到200.1.1.20,PPP地址池所在的組為AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 配置接口Serial2/1/0使用PPP地址池為Router B的接口分配IP地址。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] remote address pool aaa
# 配置接口Serial2/1/0的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial2/1/0通過協商獲取IP地址。
<RouterB> system-view
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial2/1/0的概要信息,可見接口Serial2/1/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial2/1/0] display interface serial 2/1/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser2/1/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial2/1/0接口。
[RouterB-Serial2/1/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一個地址。
[RouterA-Serial2/1/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser2/1/0
Router A通過PPP協商,為Router B的接口Serial2/1/0分配IP地址。
要求Router A從ISP域下關聯的PPP地址池中分配IP地址。
圖1-7 從ISP域下關聯的PPP地址池中分配IP地址組網圖
(1) 配置Router A
# 配置PPP地址池aaa,IP地址範圍為200.1.1.10到200.1.1.20,PPP地址池所在的組為AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 為Router B創建本地用戶。
[RouterA] local-user userb class network
# 設置本地用戶的密碼。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 設置本地用戶的服務類型為PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 創建ISP域,並在ISP域下關聯PPP地址池。
[RouterA] domain bbb
[RouterA-isp-bbb] authorization-attribute ip-pool aaa
[RouterA-isp-bbb] quit
# 配置接口Serial2/1/0在ISP域bbb中采用PAP方式認證Router B。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] ppp authentication-mode pap domain bbb
# 配置接口Serial2/1/0的IP地址。
[RouterA-Serial2/1/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置本地被Router A以PAP方式認證時Router B發送的PAP用戶名和密碼。
<RouterB> system-view
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口Serial2/1/0通過協商獲取IP地址。
[RouterB-Serial2/1/0] ip address ppp-negotiate
配置完成後,查看設備Router B的接口Serial2/1/0的概要信息,可見接口Serial2/1/0通過PPP協商獲取的IP地址為200.1.1.10。
[RouterB-Serial2/1/0] display interface serial 2/1/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser2/1/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial2/1/0接口。
[RouterB-Serial2/1/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一個地址。
[RouterA-Serial2/1/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser2/1/0
MP是MultiLink PPP的縮寫,是基於增加帶寬的考慮,將多個PPP通道捆綁成一條邏輯鏈路使用而產生的。MP會將報文分片(小於最小分片包長時不分片)後,從MP鏈路下的多個PPP通道發送到對端,對端將這些分片組裝起來傳遞給網絡層處理。
MP主要是增加帶寬的作用,除此之外,MP還有負載分擔的作用,這裏的負載分擔是鏈路層的負載分擔;負載分擔從另外一個角度解釋就有了備份的作用。同時,MP的分片可以起到減小傳輸時延的作用,特別是在一些低速鏈路上。
綜上所述,MP的作用主要有以下幾個:
· 增加帶寬
· 負載分擔
· 備份
· 利用分片降低時延
MP能在任何支持PPP封裝的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括支持PPPoX(PPPoE、PPPoA、PPPoFR等)的虛擬接口,建議用戶將同一類的接口捆綁使用,不要將不同類的接口捆綁使用。
IRF模式下,不支持跨設備進行MP捆綁。
本特性的支持情況與設備的型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
不支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
不支持 |
|
MSR810-LMS、MSR810-LUS |
不支持 |
|
MSR810-SI、MSR810-LM-SI |
不支持 |
|
MSR810-LMS-EA、MSR810-LME |
不支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
不支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
不支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
支持 |
|
MSR2600-10-X1 |
支持 |
|
MSR2630-G-X1 |
支持 |
|
MSR2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-iMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型號 |
說明 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
不支持 |
|
MSR830-4LM-WiNet |
不支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
不支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
不支持 |
|
MSR2600-6-WiNet |
支持 |
|
MSR2600-10-X1-WiNet |
支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
不支持 |
|
MSR860-6HI-XS |
不支持 |
|
MSR2630-XS |
支持 |
|
MSR3600-28-XS |
支持 |
|
MSR3610-XS |
支持 |
|
MSR3620-XS |
支持 |
|
MSR3610-I-XS |
支持 |
|
MSR3610-IE-XS |
支持 |
|
MSR3620-X1-XS |
支持 |
|
MSR3640-XS |
支持 |
|
MSR3660-XS |
支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
不支持 |
|
MSR810-W-LM-GL |
不支持 |
|
MSR830-6EI-GL |
不支持 |
|
MSR830-10EI-GL |
不支持 |
|
MSR830-6HI-GL |
不支持 |
|
MSR830-10HI-GL |
不支持 |
|
MSR1004S-5G-GL |
不支持 |
|
MSR2600-6-X1-GL |
支持 |
|
MSR3600-28-SI-GL |
支持 |
MP配置任務如下:
(1) 配置MP
請選擇以下一項任務進行配置。
(2) (可選)配置DDR鏈路的MP參數
(3) (可選)配置MP短序協商方式
(4) (可選)配置MP Endpoint選項
(5) (可選)配置鏈路分片與交叉
VT是用於配置一個VA(Virtual Access,虛擬訪問)接口的模板。將多個PPP鏈路捆綁成MP鏈路之後,需要創建一個VA接口與對端交換數據。此時,係統將選擇一個VT,以便動態地創建一個VA接口。
虛擬模板接口配置方式可以與認證相結合,可以根據對端的用戶名找到指定的虛擬模板接口,從而利用模板上的配置,創建相應的捆綁(Bundle),以對應一條MP鏈路。
由一個虛擬模板接口可以派生出若幹個捆綁,每個捆綁對應一條MP鏈路。從網絡層看來,這若幹條MP鏈路會形成一個點對多點的網絡拓撲。係統可以根據接口接收到的認證用戶名或終端標識符來進行MP捆綁,並以此來區分虛模板接口下的多個捆綁(對應多條MP鏈路)。
係統支持3種綁定方式:
· authentication:根據PPP的認證用戶名進行MP捆綁,每個認證用戶名對應一個捆綁。認證用戶名是指PPP鏈路進行PAP、CHAP、MSCHAP或MSCHAPv2認證時所接收到的對端用戶名。
· descriptor:根據PPP的終端標識符進行MP捆綁,每個終端標識符對應一個捆綁。終端標識符是用來唯一標識一台設備的標誌,是指進行LCP協商時所接收到的對端終端標識符。
· both:同時根據PPP的認證用戶名和終端標識符進行MP捆綁。
實際使用中也可以配置單向認證,即一端直接將物理接口綁定到虛擬模板接口,另一端則通過用戶名查找虛擬模板接口。
不推薦使用同一個虛擬模板接口配置多種業務(如MP、L2TP、PPPoE等)。
通過虛擬模板接口配置MP配置任務如下:
(1) 創建虛擬模板接口
(3) (可選)配置MP參數
(1) 進入係統視圖。
system-view
(2) 創建虛擬模板接口並進入虛擬模板接口視圖。
interface virtual-template number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可選)配置接口的MTU值。
mtu size
缺省情況下,接口的MTU值為1500字節。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
通過虛擬模板接口配置MP時,支持如下兩種配置方式:
· 將物理接口與虛擬模板接口直接關聯:使用命令ppp mp virtual-template直接將鏈路綁定到指定的虛擬模板接口上,這時可以配置認證也可以不配置認證。如果不配置認證,係統將通過對端的終端標識符捆綁出MP鏈路;如果配置了認證,係統將通過用戶名和對端的終端標識符捆綁出MP鏈路。
· 將用戶名與虛擬模板接口關聯:根據認證通過後的用戶名查找相關聯的虛擬模板接口,然後根據用戶名和對端終端標識符捆綁出MP鏈路。這種方式需在要綁定的接口下配置ppp mp及雙向認證(PAP、CHAP、MSCHAP或MSCHAPv2),否則鏈路協商不通。
針對同一接口多次執行ppp mp命令和ppp mp virtual-template命令,最後一次執行的命令生效。即同一個接口隻能采用一種配置方式。
對於需要綁在一起的接口,必須采用同樣的配置方式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口所要綁定的虛擬模板接口號,並使接口工作在MP方式。
ppp mp virtual-template number
缺省情況下,接口未綁定虛擬模板接口,接口工作在普通PPP方式。
(4) (可選)在接口下配置PPP認證。
PPP認證對MP連接的建立沒有影響。
(1) 進入係統視圖。
system-view
(2) 建立虛擬模板接口與MP用戶的對應關係。
ppp mp user username bind virtual-template number
缺省情況下,虛擬模板接口未與MP用戶進行綁定。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 配置封裝PPP的接口工作在MP方式。
ppp mp
缺省情況下,封裝PPP的接口工作在普通PPP方式。
(5) 在接口下配置PPP認證。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖。
interface virtual-template number
(3) 配置MP捆綁的條件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情況下,同時根據PPP的認證用戶名和終端標識符進行MP捆綁。
(4) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
(5) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(6) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(7) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP等待期望分片報文的時間為30秒。
(8) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(9) (可選)開啟MP報文快轉功能。
ppp mp fast-forward enable
缺省情況下,MP報文快轉功能處於關閉狀態。
開啟MP報文快轉功能後,該接口上的ppp mp fragment disable命令或undo ppp mp fragment disable命令功能不再生效。
MP-group接口是MP的專用接口,不支持其它應用,也不能利用對端的用戶名來指定捆綁,同時也不能派生多個捆綁。與虛擬模板接口配置方式相比,MP-group接口配置方式更加快速高效、配置簡單、容易理解。
通過MP-group接口配置MP配置任務如下:
(1) 創建MP-group接口
(3) (可選)配置MP參數
(4) (可選)恢複當前MP-group接口的缺省配置
(1) 進入係統視圖。
system-view
(2) 創建MP-group接口並進入MP-group接口視圖。
interface mp-group mp-number
(3) (可選)配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“該接口的接口名 Interface”,比如:MP-group2/0/0 Interface。
(4) (可選)配置接口的MTU值。
mtu size
缺省情況下,接口的MTU值為1500字節。
(5) (可選)配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
(6) (可選)打開接口。
undo shutdown
缺省情況下,接口處於打開狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 將接口加入指定的MP-group接口,使接口工作在MP方式。
ppp mp mp-group mp-number
缺省情況下,接口工作在普通PPP方式。
(1) 進入係統視圖。
system-view
(2) 進入MP-group接口視圖。
interface mp-group mp-number
(3) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
本配置不能立即生效,必須對所有已捆綁的物理接口依次執行shutdown和undo shutdown之後改變才會生效。
(4) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(5) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(6) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP不啟動等待期望分片報文的定時器。
(7) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能命令後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(8) (可選)配置MP使用嚴格負載分擔模式。
ppp mp load-sharing mode strict-round-robin
缺省情況下,MP使用智能負載分擔模式。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行該命令前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入MP-group接口視圖。
interface mp-group mp-number
(3) 恢複當前接口的缺省配置。
default
配置DDR鏈路的MP捆綁的詳細介紹,請參見“二層技術-廣域網接入配置指導”中的“DDR”。
(1) 進入係統視圖。
system-view
(2) 進入Dialer接口視圖。
interface dialer number
(3) 配置MP捆綁的條件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情況下,同時根據PPP的認證用戶名和終端標識符進行MP捆綁。
(4) (可選)配置MP最大捆綁鏈路數。
ppp mp max-bind max-bind-num
缺省情況下,最大捆綁鏈路數為16。
(5) (可選)配置MP最小捆綁鏈路數。
ppp mp min-bind min-bind-num
缺省情況下,最小捆綁鏈路數為0,即MP撥號將依賴流量檢測。
本命令配置的最小捆綁鏈路數應該小於等於ppp mp max-bind命令配置的最大捆綁鏈路數。
(6) (可選)配置對MP報文進行分片的最小報文長度。
ppp mp min-fragment size
缺省情況下,對MP報文進行分片的最小報文長度為128字節。
(7) (可選)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情況下,MP排序窗口大小係數為1。
(8) (可選)配置MP等待期望分片報文的時間。
ppp mp timer lost-fragment seconds
缺省情況下,MP等待期望分片報文的時間為30秒。
(9) (可選)關閉MP報文分片功能。
ppp mp fragment disable
缺省情況下,MP報文分片功能處於開啟狀態。
關閉MP報文分片功能後,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
MP捆綁在收發報文時默認使用長序協商方式。其中,長序、短序是指報文序號的長短。
配置觸發MP短序協商僅對配置端接收方向生效,即:
· 如果本端想使用短序方式接收報文,則需要在本端配置觸發MP短序協商,之後在協商LCP的過程本端將添加短序請求,請求對端發送短序,協商通過後,對端使用短序方式發送報文,本端使用短序方式接收報文。
· 如果本端想使用短序方式發送報文,則需要對端配置觸發MP短序協商,協商通過後,本端使用短序方式發送報文,對端使用短序方式接收報文。
MP捆綁使用的長短序方式由第一條加入該捆綁中的子通道決定,後續加入捆綁的子通道配置不能更改MP捆綁的長短序方式。
如果想使用MP短序協商,對於撥號MP,建議在Dialer接口及ISDN的D信道下均配置觸發MP短序協商;對於普通MP,建議在所有的MP子通道下配置觸發MP短序協商。
配置觸發MP短序協商會導致當前接口進行PPP重協商。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 觸發MP短序協商,協商成功後本端接收方向將使用短序。
ppp mp short-sequence
缺省情況下,不觸發短序協商,使用長序。
在MP的LCP協商過程會協商Endpoint選項(終端標識符)值:
· 在通過虛擬模板接口配置MP時,會根據Endpoint選項值來進行MP捆綁。缺省情況下,接口發送報文中攜帶的Endpoint選項內容為設備名稱。如果網絡中存在相同的設備名稱,導致無法區分MP捆綁時,用戶可以修改接口發送報文中攜帶的Endpoint選項的內容。
· 在通過MP-group接口配置MP時,不需要根據Endpoint選項值進行MP捆綁。當使用ppp mp mp-group命令將接口加入指定MP-group後,接口發送報文中攜帶的Endpoint選項內容缺省為MP-group的接口名稱,如果用戶配置了Endpoint選項內容,則攜帶用戶配置的值。
由於Endpoint選項內容最長為20字節,如果內容超過20個字節,則截取前20個字節作為Endpoint選項內容。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置當前接口在MP應用時,LCP協商的Endpoint選項內容。
ppp mp endpoint endpoint
缺省情況下,接口發送報文中攜帶的Endpoint選項內容為設備名稱。
在低速串行鏈路上,實時交互式通信(如Telnet和VoIP)往往會由於大型分組的發送而導致阻塞延遲。
LFI(Link Fragmentation and Interleaving,鏈路分片與交叉)將大型數據幀分割成小型幀,與其它小片的報文一起發送,從而減少在低速鏈路上的延遲和抖動。被分割的數據幀在目的地被重組。
圖2-1描述了LFI的處理過程。大報文和小的語音報文一起到達某個接口,將大報文分割成小的分片,如果在接口配置了WFQ(Weighted Fair Queuing,加權公平隊列),語音包與這些小的分片一起交叉放入WFQ。
圖2-1 LFI的處理過程
開啟LFI功能後,LFI最大分片大小由LFI分片的最大時延(通過ppp mp lfi delay-per-frag命令配置)和LFI分片的最大字節數(通過ppp mp lfi size-per-frag命令配置)決定:
· 如果配置了LFI分片的最大字節數,LFI最大分片大小就是該最大字節數。
· 如果配置了LFI分片的最大時延,未配置LFI分片的最大字節數,則LFI最大分片大小通過接口的期望帶寬和配置的最大時延計算得出:LFI最大分片大小=(接口的期望帶寬×最大時延)÷8。
(1) 進入係統視圖。
system-view
(2) 進入虛擬模板接口視圖、MP-group接口視圖或Dialer接口視圖。
interface { dialer | mp-group | virtual-template } mp-number
(3) 開啟LFI功能。
ppp mp lfi enable
缺省情況下,LFI功能處於關閉狀態。
關閉LFI功能會同時刪除用戶配置的LFI分片的最大時延或LFI分片的最大字節數。
(4) 配置傳輸一個LFI分片的最大時延或LFI分片的最大字節數。
¡ 配置傳輸一個LFI分片的最大時延。
ppp mp lfi delay-per-frag time
缺省情況下,傳輸一個LFI分片的最大時延為10ms。
¡ 配置LFI分片的最大字節數。
ppp mp lfi size-per-frag size
缺省情況下,最大分片大小=(接口的期望帶寬×最大時延)÷8。
在完成上述配置後,在任意視圖下執行display命令可以顯示MP配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除相應接口的統計信息。
表2-1 MP顯示和維護
|
操作 |
命令 |
|
顯示MP-group接口的相關信息 |
display interface [ mp-group [ interface-number ] ] [ brief [ description | down ] ] |
|
顯示MP的相關信息 |
display ppp mp [ interface interface-type interface-number ] |
|
清除MP-group接口的統計信息 |
reset counters interface [ mp-group [ interface-number ] ] |
設備Router A和Router B的Serial2/1/1和Serial2/1/0分別對應連接。要求通過將物理接口直接綁定到VT接口方式進行MP捆綁。
圖2-2 通過將物理接口直接綁定到VT接口方式進行MP捆綁組網圖
(1) 配置Router A
# 創建虛擬模板接口,配置相應的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] quit
# 配置串口Serial2/1/1。
[RouterA] interface serial 2/1/1
[RouterA-Serial2/1/1] link-protocol ppp
[RouterA-Serial2/1/1] ppp mp virtual-template 1
[RouterA-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
[RouterA-Serial2/1/0] ppp mp virtual-template 1
[RouterA-Serial2/1/0] quit
(2) 配置Router B
# 創建虛擬模板接口,配置相應的IP地址。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] quit
# 配置串口Serial2/1/1。
[RouterB] interface serial 2/1/1
[RouterB-Serial2/1/1] link-protocol ppp
[RouterB-Serial2/1/1] ppp mp virtual-template 1
[RouterB-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
[RouterB-Serial2/1/0] ppp mp virtual-template 1
[RouterB-Serial2/1/0] quit
(1) 在Router A上查看綁定結果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle RouterB
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 07:13:10:723
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial2/1/1 Up-Time:2013/01/10 07:13:10:724
Serial2/1/0 Up-Time:2013/01/10 07:13:11:945
# 查看VA狀態。
[RouterA] display interface virtual-access
Virtual-Access0
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 128kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 128000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/1024/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
(2) 在Router B上ping對端IP地址8.1.1.1
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.000/4.000/1.549 ms
設備Router A和Router B的Serial2/1/1和Serial2/1/0分別對應連接。要求通過按用戶名找VT方式進行MP捆綁。
圖2-3 通過按用戶名找VT方式進行MP捆綁組網圖
(1) 配置Router A
# 配置對端設備Router B在Router A上的用戶名和密碼。
<RouterA> system-view
[RouterA] local-user usera class network
[RouterA-luser-network-usera] password simple 123456TESTplat&!
[RouterA-luser-network-usera] service-type ppp
[RouterA-luser-network-usera] quit
# 指定用戶對應的VT。
[RouterA] ppp mp user usera bind virtual-template 1
# 創建VT,配置相應的IP地址。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] ppp mp binding-mode authentication
[RouterA-Virtual-Template1] quit
# 配置串口Serial2/1/1。
[RouterA] interface serial 2/1/1
[RouterA-Serial2/1/1] link-protocol ppp
[RouterA-Serial2/1/1] ppp authentication-mode pap
[RouterA-Serial2/1/1] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial2/1/1] ppp mp
[RouterA-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
[RouterA-Serial2/1/0] ppp authentication-mode pap
[RouterA-Serial2/1/0] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial2/1/0] ppp mp
[RouterA-Serial2/1/0] quit
(2) 配置Router B
# 配置對端設備Router A在Router B上的用戶名和密碼。
<RouterB> system-view
[RouterB] local-user userb class network
[RouterB-luser-network-userb] password simple 123456TESTplat&!
[RouterB-luser-network-userb] service-type ppp
[RouterB-luser-network-userb] quit
# 指定用戶對應的VT。
[RouterB] ppp mp user userb bind virtual-template 1
# 創建VT,配置相應的IP地址。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] ppp mp binding-mode authentication
[RouterB-Virtual-Template1] quit
# 配置串口Serial2/1/1。
[RouterB] interface serial 2/1/1
[RouterB-Serial2/1/1] link-protocol ppp
[RouterB-Serial2/1/1] ppp authentication-mode pap
[RouterB-Serial2/1/1] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial2/1/1] ppp mp
[RouterB-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
[RouterB-Serial2/1/0] ppp authentication-mode pap
[RouterB-Serial2/1/0] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial2/1/0] ppp mp
[RouterB-Serial2/1/0] quit
(1) 在Router A上查看綁定效果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle usera
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 08:02:34:881
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial2/1/1 Up-Time:2013/01/10 08:02:34:881
Serial2/1/0 Up-Time:2013/01/10 08:06:26:634
(2) 在Router B上查看綁定效果
# 查看MP的相關信息。
[RouterB] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle userb
Peer's endPoint descriptor: RouterA
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 12:31:13:391
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial2/1/1 Up-Time:2013/01/10 12:31:13:392
Serial2/1/0 Up-Time:2013/01/10 12:35:05:892
# 查看VA狀態。
[RouterB] display interface virtual-access
Virtual-Access2
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.2/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 64000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/1024/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在Router B上ping對端IP地址8.1.1.1。
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=0.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.400/1.000/0.490 ms
設備Router A和Router B的Serial2/1/1和Serial2/1/0分別對應連接。要求通過將鏈路綁定到MP-group接口方式進行MP捆綁。
圖2-4 通過將鏈路綁定到MP-group接口方式進行MP捆綁組網圖
(1) 配置Router A
# 創建MP-group接口,配置相應的IP地址。
<RouterA> system-view
[RouterA] interface mp-group 2/0/0
[RouterA-MP-group2/0/0] ip address 1.1.1.1 24
# 配置串口Serial2/1/1。
[RouterA-MP-group2/0/0] quit
[RouterA] interface serial 2/1/1
[RouterA-Serial2/1/1] link-protocol ppp
[RouterA-Serial2/1/1] ppp mp mp-group 2/0/0
[RouterA-Serial2/1/1] shutdown
[RouterA-Serial2/1/1] undo shutdown
[RouterA-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterA] interface serial 2/1/0
[RouterA-Serial2/1/0] link-protocol ppp
[RouterA-Serial2/1/0] ppp mp mp-group 2/0/0
[RouterA-Serial2/1/0] shutdown
[RouterA-Serial2/1/0] undo shutdown
[RouterA-Serial2/1/0] quit
(2) 配置Router B
# 創建MP-group接口,配置相應的IP地址。
[RouterB] interface mp-group 2/0/0
[RouterB-MP-group2/0/0] ip address 1.1.1.2 24
[RouterB-MP-group2/0/0] quit
# 配置串口Serial2/1/1。
[RouterB] interface serial 2/1/1
[RouterB-Serial2/1/1] link-protocol ppp
[RouterB-Serial2/1/1] ppp mp mp-group 2/0/0
[RouterB-Serial2/1/1] shutdown
[RouterB-Serial2/1/1] undo shutdown
[RouterB-Serial2/1/1] quit
# 配置串口Serial2/1/0。
[RouterB] interface serial 2/1/0
[RouterB-Serial2/1/0] link-protocol ppp
[RouterB-Serial2/1/0] ppp mp mp-group 2/0/0
[RouterB-Serial2/1/0] shutdown
[RouterB-Serial2/1/0] undo shutdown
[RouterB-Serial2/1/0] quit
(1) 在Router A上查看綁定效果
# 查看MP的相關信息。
[RouterA] display ppp mp
Template: MP-group2/0/0
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: MP-group2/0/0, Active members: 2, Bundle Multilink
Peer's endPoint descriptor: MP-group2/0/0
Sequence format: short (rcv)/long (sent)
Bundle Up Time: 2012/11/04 09:03:16:612
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcvd)/0 (sent)
Active member channels: 2 members
Serial2/1/1 Up-Time:2012/11/04 09:03:16:613
Serial2/1/0 Up-Time:2012/11/04 09:03:42:945
# 查看MP-group2/0/0接口的相關信息。
[RouterA] display interface mp-group 2/0/0
MP-group2/0/0
Current state: UP
Line protocol state: UP
Description: MP-group2/0/0 Interface
Bandwidth: 2048kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 1.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 2048000 bps
Output queue - Urgent queuing: Size/Length/Discards 0/1024/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last link flapping: Never
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在RouterA上ping對端IP地址。
[RouterA] ping 1.1.1.2
Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=7.000 ms
56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 1.1.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/2.600/7.000/2.577 ms
PPPoE(Point-to-Point Protocol over Ethernet,在以太網上承載PPP協議)是對PPP協議的擴展,它在以太網上建立PPPoE會話,將PPP報文封裝在以太網幀之內,在以太網上提供點對點的連接,解決了PPP無法應用於以太網的問題。PPPoE還可以通過遠端接入設備對接入的每台主機實現控製、認證、計費功能。由於很好地結合了以太網的經濟性及PPP良好的可擴展性與管理控製功能,PPPoE被廣泛應用於小區接入組網等環境中。
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server發起連接請求,兩者之間會話協商通過後,就建立PPPoE會話,此後PPPoE Server向PPPoE Client提供接入控製、認證、計費等功能。
根據PPPoE會話的起點所在位置的不同,PPPoE分為Router-Initiated和Host-Initiated兩種組網結構。
如圖3-1所示,在Router-Initiated組網結構中,PPPoE會話是在兩台設備之間建立的,所有用戶終端設備均通過該PPPoE會話進行數據傳輸。在這種組網結構中,PPPoE Client位於企業內部網絡,PPPoE server則由運營商提供。用戶終端設備無需安裝PPPoE客戶端撥號軟件,通常一個企業使用一個共享賬號接入網絡。
如圖3-2所示,在Host-Initiated組網結構中,每台用戶終端設備都需要安裝PPPoE客戶端撥號軟件。這些設備作為PPPoE client,與運營商的PPPoE server單獨建立PPPoE會話。這樣做的好處在於能夠方便運營商對用戶進行有效的計費和管理控製。
圖3-2 Host-Initiated組網結構圖
與PPPoE相關的協議規範有:
RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
設備在IRF模式下不支持本特性。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
支持 |
|
MSR810-LMS、MSR810-LUS |
· 不支持PPPoE Server · 支持PPPoE Client |
|
MSR810-SI、MSR810-LM-SI |
· 不支持PPPoE Server · 支持PPPoE Client |
|
MSR810-LMS-EA、MSR810-LME |
支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
支持 |
|
MSR2600-10-X1 |
支持 |
|
MSR2630-G-X1 |
支持 |
|
MSR2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
不支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-iMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型號 |
說明 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
支持 |
|
MSR830-4LM-WiNet |
支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
支持 |
|
MSR2600-6-WiNet |
支持 |
|
MSR2600-10-X1-WiNet |
支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
支持 |
|
MSR860-6HI-XS |
支持 |
|
MSR2630-XS |
支持 |
|
MSR3600-28-XS |
支持 |
|
MSR3610-XS |
支持 |
|
MSR3620-XS |
支持 |
|
MSR3610-I-XS |
支持 |
|
MSR3610-IE-XS |
支持 |
|
MSR3620-X1-XS |
支持 |
|
MSR3640-XS |
支持 |
|
MSR3660-XS |
支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
支持 |
|
MSR810-W-LM-GL |
支持 |
|
MSR830-6EI-GL |
支持 |
|
MSR830-10EI-GL |
支持 |
|
MSR830-6HI-GL |
支持 |
|
MSR830-10HI-GL |
支持 |
|
MSR1004S-5G-GL |
支持 |
|
MSR2600-6-X1-GL |
支持 |
|
MSR3600-28-SI-GL |
不支持 |
PPPoE Server目前支持以下接口類型:
· 三層以太網接口/三層以太網子接口
· 三層聚合接口/三層聚合子接口
· VEth接口/VEth子接口
· VLAN接口
· L3VE接口/L3VE子接口
· EFM接口/EFM子接口
PPPoE Server配置任務如下:
(1) 配置PPPoE會話
(2) (可選)配置VA池
(3) (可選)配置可通過MIB節點查詢和配置VA接口
(4) (可選)配置允許創建PPPoE會話的最大數目
(5) (可選)配置限製用戶創建PPPoE會話的速度
(6) (可選)配置PPPoE會話的NAS-PORT-ID屬性相關參數
(1) 進入係統視圖。
system-view
(2) 創建虛擬模板接口並進入指定的虛擬模板接口視圖。
interface virtual-template number
(3) 配置PPP的工作參數
具體工作參數的配置請參見“二層技術–廣域網接入配置指導”中的“PPP”。
當配置PPP認證時,需要配置PPPoE Server作為認證方。
(4) 開啟PPPoE應用的MRU檢測功能。
ppp lcp echo mru verify [ minimum value ]
PPPoE應用的MRU檢測功能處於關閉狀態。
(5) 退回係統視圖。
quit
(6) 進入接口視圖。
interface interface-type interface-number
(7) 在接口上啟用PPPoE Server協議,將該接口與指定的虛擬模板接口綁定。
pppoe-server bind virtual-template number
缺省情況下,接口上的PPPoE Server協議處於關閉狀態。
(8) (可選)配置PPPoE Server的AC Name(Access Concentrator Name,接入集中器名稱)。
pppoe-server tag ac-name name
缺省情況下,PPPoE Server的AC Name為設備名稱。
PPPoE Client可以根據AC Name來選擇PPPoE Server(H3C實現的PPPoE Client暫不支持該功能)。
(9) (可選)配置對PPP最大負載TAG的支持,並指定最大負載的範圍。
pppoe-server tag ppp-max-payload [ minimum minvalue maximum maxvalue ]
缺省情況下,不支持PPP最大負載TAG。
(10) (可選)配置PPPoE Server的Service Name。
pppoe-server tag service-name name
缺省情況下,PPPoE Server的Service Name為空。
(11) (可選)配置用戶接入響應延遲時間。
pppoe-server access-delay delay-time
缺省情況下,對用戶接入響應不延遲。
(12) 退回係統視圖。
quit
(13) 配置PPPoE Server對PPP用戶進行認證、授權、計費。
相關內容請參見“安全配置指導”中的“AAA”。
PPPoE在建立連接時需要創建VA接口(VA接口用於PPPoE與PPP之間的報文傳遞),在用戶下線後需要刪除VA接口。由於創建/刪除VA接口需要一定的時間,所以如果有大量用戶上線/下線時,PPPoE的連接建立、連接拆除性能會受到影響。
使用VA池對PPPoE的連接建立、連接拆除性能有顯著提高。VA池是在建立連接前事先創建的VA接口的集合。創建VA池後,當需要創建VA接口時,直接從VA池中獲取一個VA接口,加快了PPPoE連接的建立速度。當用戶下線後,直接把VA接口放入VA池中,不需要刪除VA接口,加快了PPPoE連接的拆除速度。當VA池中的VA接口耗光後,仍需在建立PPPoE連接時再創建VA接口,在用戶下線後刪除VA接口。
每個虛擬模板接口隻能關聯一個全局VA池,在每個單板上隻能關聯一個局部VA池。通過某單板上的以太網接口上線的用戶,隻能使用上線以太網接口綁定的虛擬模板接口在該單板上關聯的VA池。如果想要修改使用的VA池的大小,隻能先刪除原來的配置,然後重新配置VA池。
創建/刪除VA池需要花費一定的時間,請用戶耐心等待。在VA池創建/刪除過程中(還沒創建/刪除完成)允許用戶上線/下線,但正在創建/刪除的VA池不生效。
係統可能由於資源不足不能創建用戶指定容量的VA池,用戶可以通過display pppoe-server va-pool命令查看實際可用的VA池的容量以及VA池的狀態。
刪除VA池時,如果已有在線用戶使用該VA池中的VA接口,不會導致這些用戶下線。
(1) 進入係統視圖。
system-view
(2) 配置VA池
(獨立運行模式)
pppoe-server virtual-template template-number va-pool va-volume
(IRF模式)
pppoe-server virtual-template template-number [ slot slot-number ] va-pool va-volume
在配置大容量VA池或有大量用戶上線的情況下,設備上會創建大量的VA接口。由於大多情況下,管理員通過MIB獲取設備信息時並不關心VA接口,所以,缺省情況下,不能通過MIB節點查詢和配置VA接口。此時,設備會忽略NMS發送的關於VA接口的配置和查詢請求,這不僅可以提高設備獲取其它接口信息的效率,提升用戶體驗度,還可以降低設備的工作量,避免CPU資源浪費。
如果管理員需要通過MIB對VA接口進行配置或查詢,請配置本功能。
(1) 進入係統視圖。
system-view
(2) 配置可通過MIB節點查詢和配置VA接口。
snmp virtual-access visible
缺省情況下,不能通過MIB節點查詢和配置VA接口。
有關該命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“SNMP”。
係統創建PPPoE會話時,需同時滿足如下限製,若其中任何一項不滿足,則無法創建會話:
· 接口上每個用戶所能創建PPPoE會話的最大數目限製
· 接口上每個VLAN所能創建PPPoE會話的最大數目限製
· 接口上所能創建PPPoE會話的最大數目限製
· 成員設備所能創建PPPoE會話的最大數目限製(IRF模式)
· 係統所能創建PPPoE會話的最大數目限製(獨立運行模式)
本功能配置後僅對新創建的PPPoE會話有效,對已經創建的PPPoE會話無效,即不會導致已經上線的用戶下線。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
該接口為啟用PPPoE Server協議的接口。
(3) 配置允許創建PPPoE會話的最大數目。
¡ 配置每個接口上所能創建PPPoE會話的最大數目。
pppoe-server session-limit number
缺省情況下,不限製接口上所能創建PPPoE會話的數目。
¡ 配置每個VLAN所能創建PPPoE會話的最大數目。
pppoe-server session-limit per-vlan number
缺省情況下,不限製每個VLAN所能創建PPPoE會話的數目。
¡ 配置每個用戶所能創建PPPoE會話的最大數目。
pppoe-server session-limit per-mac number
缺省情況下,每個用戶可創建100個PPPoE會話。
(1) 進入係統視圖。
system-view
(2) 配置允許創建PPPoE會話的最大數目。
(獨立運行模式)
pppoe-server session-limit total number
(IRF模式)
pppoe-server session-limit slot slot-number total number
缺省情況下,不限製允許創建的PPPoE會話數目。
設備可以限製特定接口下每個用戶(每個用戶通過MAC地址進行標識)創建會話的速度。如果用戶建立會話的速度達到門限值,即在監視時間段內該用戶的會話請求數目超過配置的允許數目,則扼製該用戶的會話請求,即在監視時間段內該用戶的超出允許數目的請求都會被丟棄,並輸出對應的Log信息。如果扼製時間配置為0,表示不扼製會話請求,但仍然會輸出Log信息。
· 監視表:監視各用戶在監視時間周期內創建的會話數。監視表的規格為8K。當監視表達到規格時,對新用戶的會話請求不進行監視和扼製,正常建立會話。監視表項的老化時間為配置的session-request-period值,老化後對用戶重新監視。
· 扼製表:當某用戶建立會話的速度超過門限值時,會將該用戶的信息加入扼製表,扼製該用戶的會話請求。扼製表規格為8K。當扼製表達到規格時,對新用戶的會話請求隻進行監視和發送Log信息,但不觸發扼製。扼製表項的老化時間為配置的blocking-period值,老化後對用戶重新監視。
修改本功能的配置後,係統將刪除已記錄的監視表和扼製表,重新開始監視每個用戶的會話請求。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
該接口為啟用PPPoE Server協議的接口。
(3) 配置接口允許每個用戶創建會話的速度。
pppoe-server throttle per-mac session-requests session-request-period blocking-period
缺省情況下,不限製會話建立的速度。
在含有DSLAM的組網中,DSLAM通過接入線路ID(access-line-id)把用戶的物理位置信息傳送給BAS設備(PPPoE Server功能部署在BAS設備上),接入線路ID的內容包括circuit-id和remote-id兩部分。BAS設備采用一定的規則解析接入線路ID後,把解析後的內容通過RADIUS的NAS-PORT-ID屬性發送給RADIUS服務器,RADIUS服務器通過收到的NAS-PORT-ID屬性和數據庫中已配置好的物理位置信息比較,驗證用戶的物理位置信息是否正確。
用戶可以通過下麵的配置控製BAS設備上傳給RADIUS服務器的NAS-PORT-ID屬性的內容。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
該接口為啟用PPPoE Server協議的接口。
(3) 配置上傳給RADIUS服務器的NAS-PORT-ID屬性中包含的內容。
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id }
缺省情況下,上傳給RADIUS服務器的NAS-PORT-ID屬性中僅包含circuit-id。
(4) 配置在NAS-PORT-ID屬性中自動插入BAS信息。
pppoe-server access-line-id bas-info [ cn-163 ]
缺省情況下,在NAS-PORT-ID屬性中不自動插入BAS信息。
(5) 配置設備信任接收到的報文中的接入線路ID的內容。
pppoe-server access-line-id trust
缺省情況下,設備不信任接收到的報文中的接入線路ID的內容。
(6) 配置接入線路ID中circuit-id的解析格式。
pppoe-server access-line-id circuit-id parse-mode { cn-telecom | tr-101 }
缺省情況下,接入線路ID中circuit-id的解析格式為TR-101格式。
(7) 配置接入線路ID中circuit-id的傳輸格式。
pppoe-server access-line-id circuit-id trans-format { ascii | hex }
缺省情況下,接入線路ID中circuit-id的傳輸格式為字符串格式。
(8) 配置接入線路ID中remote-id的傳輸格式。
pppoe-server access-line-id remote-id trans-format { ascii | hex }
缺省情況下,接入線路ID中remote-id的傳輸格式為字符串格式。
PPPoE會話有三種工作模式:永久在線模式、按需撥號模式、診斷模式。
· 永久在線模式:當物理線路up後,設備會立即發起PPPoE呼叫,建立PPPoE會話。除非用戶刪除PPPoE會話,否則此PPPoE會話將一直存在。
· 按需撥號模式:當物理線路up後,設備不會立即發起PPPoE呼叫,隻有當有數據需要傳送時,設備才會發起PPPoE呼叫,建立PPPoE會話。如果PPPoE鏈路的空閑時間超過用戶配置的值,設備會自動中止PPPoE會話。
· 診斷模式:設備在配置完成後立即發起PPPoE呼叫,建立PPPoE會話。每隔用戶配置的重建時間間隔,設備會自動斷開該會話、並重新發起呼叫建立會話。通過定期建立、刪除PPPoE會話,可以監控PPPoE鏈路是否處於正常工作狀態。
PPPoE會話的工作模式由對應的撥號接口的配置決定:
· 當Dialer接口的鏈路空閑時間(通過dialer timer idle命令配置)配置為0,且Dialer接口上未配置dialer diagnose命令時,PPPoE會話將工作在永久在線模式。
· 當Dialer接口的鏈路空閑時間(通過dialer timer idle命令配置)配置不為0,且Dialer接口上未配置dialer diagnose命令時,PPPoE會話將工作在按需撥號模式。
· 當Dialer接口上配置了dialer diagnose命令時,PPPoE會話將工作在診斷模式。
PPPoE Client配置任務如下:
(1) 配置撥號接口
(2) 配置PPPoE會話
(3) (可選)複位PPPoE會話
在配置PPPoE會話之前,需要先配置一個Dialer接口,並在接口上開啟共享DDR。每個PPPoE會話唯一對應一個Dialer bundle,而每個Dialer bundle又唯一對應一個Dialer接口。這樣就相當於通過一個Dialer接口可以創建一個PPPoE會話。
關於撥號接口、Dialer接口、共享DDR、Dialer bundle的詳細介紹和相關配置,請參見“二層技術-廣域網接入配置指導”中的“DDR”。
(1) 進入係統視圖。
system-view
(2) 創建撥號訪問組,並配置撥號控製規則。
dialer-group group-number rule { ip | ipv6 } { deny | permit | acl { acl-number | name acl-name } }
僅工作在按需撥號模式下需要配置本命令。
(3) 創建Dialer接口,並進入該Dialer接口視圖。
interface dialer number
(4) 配置接口IP地址。
ip address { address mask | ppp-negotiate }
缺省情況下,接口未配置IP地址。
(5) 開啟共享DDR。
dialer bundle enable
缺省情況下,接口上未開啟共享DDR。
(6) 配置該撥號接口關聯的撥號訪問組,將該接口與撥號控製規則關聯起來。
dialer-group group-number
缺省情況下,接口不與任何撥號訪問組相關聯。
僅工作在按需撥號模式下需要配置本命令。
(7) 配置鏈路空閑時間。
dialer timer idle idle [ in | in-out ]
缺省情況下,鏈路空閑時間為120秒。
未配置dialer diagnose時,當idle配置為0時,PPPoE會話工作在永久在線模式下,不為0時工作在按需撥號模式下。
(8) 配置DDR應用工作在診斷模式。
dialer diagnose [ interval interval ]
缺省情況下,工作在非診斷模式。
僅工作在診斷模式下需要配置本命令。
(9) (可選)配置DDR自動撥號的間隔時間。
dialer timer autodial autodial-interval
缺省情況下,DDR自動撥號的間隔時間為300秒。
當鏈路斷開後將啟動自動撥號定時器,等待自動撥號定時器超時後再重新發起呼叫。
為了在鏈路斷開時可以盡快自動重新撥號,建議將自動撥號的時間間隔配置的小一些。
(10) (可選)配置Dialer接口的MTU值。
mtu size
缺省情況下,Dialer接口的MTU值為1500字節。
對於PPPoE Client應用的Dialer接口,應修改其MTU值,保證分片後的報文加上2個字節的PPP頭和6個字節的PPPoE頭之後的總長度不超過對應PPPoE會話所在接口的MTU值。
(11) (可選)配置Dialer接口的TCP最大報文段長度。
tcp mss value
缺省情況下,未配置接口的TCP最大報文段長度。
一般情況下,TCP最大報文段長度等於出接口的IP MTU減40,對於PPPoE Client應用的Dialer接口,應修改其TCP MSS值為1452,保證分片後的報文加上2個字節的PPP頭和6個字節的PPPoE頭,再加上40個字節的IP頭之後的總長度不超過對應PPPoE會話所在接口的MTU值。
有關該命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IP性能優化”。
當成功建立PPPoE會話後,係統將自動創建一個VA接口,用於和對端進行報文交互。VA接口支持通過display interface virtual-access命令查看接口相關信息,但不支持對該接口進行配置。
VA接口隨著PPPoE會話的建立,由係統自動創建,PPPoE會話拆除後,係統自動刪除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 建立一個PPPoE會話,並且指定該會話所對應的Dialer bundle。
pppoe-client dial-bundle-number number [ no-hostuniq ]
該Dialer bundle的序號number需要與Dialer接口的編號相同。
當PPPoE會話工作在永久在線模式或診斷模式時,如果使用reset pppoe-client命令複位PPPoE會話,設備會在自動撥號定時器超時後自動重新建立PPPoE會話。
當PPPoE會話工作在按需撥號模式時,如果使用reset pppoe-client命令複位PPPoE會話,設備會在有數據需要傳送時,才重新建立PPPoE會話。
請在用戶視圖下執行本命令,複位PPPoE會話。
reset pppoe-client { all | dial-bundle-number number }
在完成上述配置後,在任意視圖下執行display命令可以顯示PPPoE Server配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令,可在PPPoE Server端清除PPPoE會話。
表3-1 PPPoE Server顯示和維護
|
操作 |
命令 |
|
顯示PPPoE的協商報文統計信息 |
(獨立運行模式) display pppoe-server packet statistics (IRF模式) display pppoe-server packet statistics [ slot slot-number ] |
|
顯示PPPoE會話的數據報文統計信息 |
(獨立運行模式) display pppoe-server session packet [ interface interface-type interface-number ] (IRF模式) display pppoe-server session packet { slot slot-number | interface interface-type interface-number } |
|
顯示PPPoE會話的摘要信息 |
(獨立運行模式) display pppoe-server session summary [ interface interface-type interface-number ] (IRF模式) display pppoe-server session summary { slot slot-number | interface interface-type interface-number } |
|
顯示被扼製的用戶信息 |
(獨立運行模式) display pppoe-server throttled-mac [ interface interface-type interface-number ] (IRF模式) display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number } |
|
顯示VA池信息 |
display pppoe-server va-pool |
|
清除PPPoE會話 |
reset pppoe-server { all | interface interface-type interface-number | virtual-template number } |
|
清除PPPoE的協商報文統計信息 |
(獨立運行模式) reset pppoe-server packet statistics (IRF模式) reset pppoe-server packet statistics [ slot slot-number ] |
在完成上述配置後,在任意視圖下執行display命令可以顯示PPPoE Client配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除PPPoE會話的協議報文統計信息。
表3-2 PPPoE Client顯示和維護
|
操作 |
命令 |
|
顯示PPPoE會話的概要信息 |
display pppoe-client session summary [ dial-bundle-number number ] |
|
顯示PPPoE會話的協議報文統計信息 |
display pppoe-client session packet [ dial-bundle-number number ] |
|
清除PPPoE會話的協議報文統計信息 |
reset pppoe-client session packet [ dial-bundle-number number ] |
要求以太網內的主機可以通過PPPoE接入Router,並連接到外部網絡。
· 主機作為PPPoE Client,運行PPPoE客戶端撥號軟件。
· Router作為PPPoE Server,配置本地CHAP認證,並通過PPP地址池為主機分配IP地址。
圖3-3 PPPoE Server通過PPP地址池為用戶分配IPv4地址配置組網圖
# 創建一個PPPoE用戶。
<Router> system-view
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 配置虛擬模板接口1的參數,采用CHAP認證對端,並使用PPP地址池為對端分配IP地址,並配置為對端指定DNS服務器的IP地址。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain system
[Router-Virtual-Template1] ppp chap user user1
[Router-Virtual-Template1] remote address pool 1
[Router-Virtual-Template1] ppp ipcp dns 8.8.8.8
[Router-Virtual-Template1] quit
# 配置PPP地址池(包含9個可分配的IP地址),和地址池網關地址。
[Router] ip pool 1 1.1.1.2 1.1.1.10
[Router] ip pool 1 gateway 1.1.1.1
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet1/0/1] quit
# 在係統缺省的ISP域system下,配置域用戶使用本地認證方案。
[Router] domain system
[Router-isp-system] authentication ppp local
[Router-isp-system] quit
以太網上各主機安裝PPPoE客戶端軟件後,配置好用戶名和密碼(此處為user1和123456TESTplat&!)就能使用PPPoE協議,通過設備Router接入到Internet。
Host和Router之間通過以太網接口相連,Host通過PPPoE接入Router,Router作為PPPoE Server通過DHCPv4協議為Host分配IP地址。
圖3-4 配置PPPoE Server通過本地DHCP服務器為用戶分配IP地址組網圖
# 配置虛擬模板接口1的參數,采用PAP認證對端,使用DHCP地址池pool1為用戶分配IP地址及DNS服務器地址。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode pap
[Router-Virtual-Template1] remote address pool pool1
[Router-Virtual-Template1] quit
# 在GigabitEthernet1/0/1接口上啟用PPPoE Server協議,將該以太網接口與虛擬模板接口1綁定。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet1/0/1] quit
# 啟用DHCP服務。
[Router] dhcp enable
# 配置DHCP地址池pool1。
[Router] dhcp server ip-pool pool1
[Router-dhcp-pool-pool1] network 1.1.1.0 24
[Router-dhcp-pool-pool1] gateway-list 1.1.1.1 export-route
[Router-dhcp-pool-pool1] dns-list 8.8.8.8
# 將IP地址1.1.1.1配置為禁用地址。
[Router-dhcp-pool-pool1] forbidden-ip 1.1.1.1
[Router-dhcp-pool-pool1] quit
# 配置PPPoE用戶。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
配置完成後,當Host使用用戶名user1、密碼123456TESTplat&!,通過PPPoE接入Router後,Router通過DHCPv4協議為Host分配一個IP地址。
# 顯示所有DHCP地址綁定信息。
[Router] display dhcp server ip-in-use
IP address Client identifier/ Lease expiration Type
Hardware address
1.1.1.2 3030-3030-2e30-3030- Unlimited Auto(C)
662e-3030-3033-2d45-
7468-6572-6e65-74
Host和Router A之間通過以太網接口相連,Router B為遠端DHCP服務器。Host通過PPPoE接入Router A,Router A作為PPPoE Server、DHCP中繼向遠端DHCP服務器申請IP地址。
圖3-5 PPPoE Server通過遠端DHCP服務器為用戶分配IP地址組網圖
(1) 配置Router A(PPPoE Server)
# 配置虛擬模板接口1的參數,采用PAP認證對端,使用DHCP地址池pool1為用戶分配IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode pap
[RouterA-Virtual-Template1] remote address pool pool1
[RouterA-Virtual-Template1] quit
# 在GigabitEthernet1/0/1接口上啟用PPPoE Server協議,將該以太網接口與虛擬模板接口1綁定。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet1/0/1] quit
# 啟用DHCP服務。
[RouterA] dhcp enable
# 啟用DHCP中繼的用戶地址表項記錄功能。
[RouterA] dhcp relay client-information record
# 創建中繼地址池pool1,指定匹配該地址池的DHCPv4客戶端所在的網段地址,並指定中繼地址池對應的DHCP服務器地址。
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] gateway-list 2.2.2.1 export-route
[RouterA-dhcp-pool-pool1] remote-server 10.1.1.1
[RouterA-dhcp-pool-pool1] quit
# 配置與DHCP服務器連接的GigabitEthernet1/0/2接口的IP地址。
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 10.1.1.2 24
[RouterA-GigabitEthernet1/0/2] quit
# 配置PPPoE用戶。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
(2) 配置Router B(DHCP服務器)
# 啟用DHCP服務。
<RouterB> system-view
[RouterB] dhcp enable
# 創建DHCP地址池pool1,配置為DHCP客戶端分配的IP地址網段和網關地址。
[RouterB] dhcp server ip-pool pool1
[RouterB-dhcp-pool-pool1] network 2.2.2.0 24
[RouterB-dhcp-pool-pool1] gateway-list 2.2.2.1
[RouterB-dhcp-pool-pool1] dns-list 8.8.8.8
# 將IP地址2.2.2.1配置為禁用地址。
[RouterB-dhcp-pool-pool1] forbidden-ip 2.2.2.1
[RouterB-dhcp-pool-pool1] quit
# 配置與PPPoE Server連接的GigabitEthernet1/0/1接口的IP地址。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[RouterB-GigabitEthernet1/0/1] quit
# 配置到PPPoE Server的靜態路由。
[RouterB] ip route-static 2.2.2.0 24 10.1.1.2
配置完成後,當Host使用用戶名user1、密碼123456TESTplat&!,通過PPPoE接入Router A後,Router B通過DHCPv4協議為Host分配一個IP地址。
# 顯示DHCP中繼Router A的用戶地址表項信息。
[RouterA] display dhcp relay client-information
Total number of client-information items: 1
Total number of dynamic items: 1
Total number of temporary items: 0
IP address MAC address Type Interface VPN name
2.2.2.3 00e0-0000-0001 Dynamic VA0 N/A
# 顯示DHCP服務器Router B的DHCP地址綁定信息。
[RouterB] display dhcp server ip-in-use
IP address Client identifier/ Lease expiration Type
Hardware address
2.2.2.3 00e0-0000-0001 Unlimited Auto(C)
Host和Router之間通過以太網接口相連,Host通過PPPoE接入Router,Router作為PPPoE Server通過ND協議為Host分配IPv6地址。
在該場景下,Host通過ND協議中的RA報文獲得IPv6地址前綴,通過IPv6CP協商獲取IPv6接口標識,二者組合生成IPv6全球單播地址。
圖3-6 配置PPPoE Server通過ND協議、IPv6CP協商生成信息用於用戶生成IPv6地址組網圖
# 配置虛擬模板接口1的參數,采用PAP認證對端,配置本端IPv6地址,關閉對RA消息發布的抑製。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode pap domain system
[Router-Virtual-Template1] ipv6 address 2001::1 64
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在GigabitEthernet1/0/1接口上啟用PPPoE Server協議,將該以太網接口與虛擬模板接口1綁定。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet1/0/1] quit
# 配置PPPoE用戶。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置為用戶授權IPv6前綴屬性。
[Router] domain system
[Router-isp-system] authorization-attribute ipv6-prefix 2003:: 64
[Router-isp-system] quit
配置完成後,當Host使用用戶名user1、密碼123456TESTplat&!,通過PPPoE接入Router後,通過授權的IPv6前綴和IPv6CP協商獲取的IPv6接口標識就自動生成一個IPv6全球單播地址。
[Router] display ppp access-user interface gigabitethernet 1/0/1
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
VA0 user1 0000-5e08-9d00 - 2003::9CBC:3898:0:605 -
Host和Router之間通過以太網接口相連,Host通過PPPoE接入Router,Router作為PPPoE Server通過DHCPv6協議為Host分配IPv6地址。
圖3-7 配置PPPoE Server通過DHCPv6協議為用戶分配IPv6地址組網圖
# 配置虛擬模板接口1的參數,采用PAP認證對端,配置本端IPv6地址,關閉對RA消息發布的抑製,配置主機通過DHCPv6協議獲取IPv6地址。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode pap domain system
[Router-Virtual-Template1] ipv6 address 3001::1 64
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
# 開啟DHCPv6 Server功能。
[Router-Virtual-Template1] ipv6 dhcp select server
[Router-Virtual-Template1] quit
# 在GigabitEthernet1/0/1接口上啟用PPPoE Server協議,將該以太網接口與虛擬模板接口1綁定。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet1/0/1] quit
# 創建名稱為pool1的DHCPv6地址池,配置DHCPv6地址池動態分配的地址網段為3001::/32,分配的DNS服務器地址為2001:2::3。
[Router] ipv6 dhcp pool pool1
[Router-dhcp6-pool-pool1] network 3001::/32
[Router-dhcp6-pool-pool1] dns-server 2001:2::3
[Router-dhcp6-pool-pool1] quit
# 配置PPPoE用戶。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置為用戶授權地址池屬性。
[Router] domain system
[Router-isp-system] authorization-attribute ipv6-pool pool1
[Router-isp-system] quit
配置完成後,當Host使用用戶名user1、密碼123456TESTplat&!,通過PPPoE接入Router後,Router通過DHCPv6協議為Host分配一個IPv6全球單播地址。
[Router] display ppp access-user interface gigabitethernet 1/0/1
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
VA0 user1 0000-5e08-9d00 - 3001::2 -
Router A和Router B之間通過以太網接口相連,Router A通過PPPoE接入Router B,Router B作為PPPoE Server通過DHCPv6協議給Router A分配代理前綴,Router A再通過代理前綴給下麵的主機分配IPv6地址。
圖3-8 配置PPPoE Server通過DHCPv6協議分配代理前綴用於用戶生成IPv6地址組網圖
(1) 配置Router B(PPPoE Server)
# 配置虛擬模板接口1的參數,采用PAP認證對端,配置本端IPv6地址,關閉對RA消息發布的抑製。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode pap domain system
[RouterB-Virtual-Template1] ipv6 address 2001::1 64
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
# 開啟DHCPv6 Server功能。
[RouterB-Virtual-Template1] ipv6 dhcp select server
[RouterB-Virtual-Template1] quit
# 在GigabitEthernet1/0/1接口上啟用PPPoE Server協議,將該以太網接口與虛擬模板接口1綁定。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterB-GigabitEthernet1/0/1] quit
# 配置DHCPv6前綴池6,包含的前綴為4001::/32,分配的前綴長度為42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 4001::/32 assign-len 42
# 創建名稱為pool1的DHCPv6地址池,在地址池下引用前綴池6。
[RouterB] ipv6 dhcp pool pool1
[RouterB-dhcp6-pool-pool1] prefix-pool 6
[Router-dhcp6-pool-pool1] quit
# 配置PPPoE用戶。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置為用戶授權地址池屬性。
[RouterB] domain system
[RouterB-isp-system] authorization-attribute ipv6-pool pool1
(2) 配置Router A(PPPoE Client)
# 在Dialer1接口上開啟共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以PAP方式認證時Router A發送的PAP用戶名和密碼。
[RouterA-Dialer1] ppp pap local-user user1 password simple 123456TESTplat&!
# 配置PPPoE Client工作在永久在線模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自動撥號的間隔時間為60秒。
[RouterA-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6地址和其他網絡配置參數。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6前綴和其他網絡配置參數;指定獲取到IPv6前綴後,創建編號為1的IPv6前綴,該前綴編號1對應的IPv6前綴為DHCPv6客戶端獲取到的前綴。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] pppoe-client dial-bundle-number 1
[RouterA-GigabitEthernet1/0/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口GigabitEthernet1/0/1上取消對RA消息發布的抑製。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt
# 接口GigabitEthernet1/0/1上開啟無效授權前綴通告功能。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 nd ra invalid-delegated-prefix advertise enable
# 在接口GigabitEthernet1/0/1上配置動態獲取IPv6前綴的編號為1,即該接口將使用編號為1的前綴生成IPv6地址,並將編號為1的IPv6前綴通過RA報文分配給終端設備。
[RouterA-GigabitEthernet1/0/1] ipv6 address 1 123::123:1:1/64
[RouterA-GigabitEthernet1/0/1] quit
配置完成後,當Router A使用用戶名user1、密碼123456TESTplat&!,通過PPPoE接入Router B後,Router B通過DHCPv6協議為Router A分配一個代理前綴。
# 顯示Router A上創建的IPv6前綴信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 4001::/42 Dynamic
以上信息表示,Router A從Router B獲取到代理前綴後,已根據ipv6 dhcp client pd 1配置創建了編號為1的IPv6前綴。
Router A把分配到的代理前綴4001::/42再分配給Host,Host用來生成IPv6全球單播地址。
· 采用RADIUS作為認證、授權和計費服務器。
· RADIUS服務器為PPPoE接入用戶授權的PPP地址池和VPN實例分別為pool1、vpn1。
· vpn1中的用戶在服務器授權的PPP地址池pool1中獲取IP地址。
圖3-9 PPPoE Server為接入用戶授權地址池和VPN配置組網圖
啟動PPPoE功能之前,需要首先配置MPLS L3VPN功能,通過為兩端的VPN 1指定匹配的VPN Target,確保兩端的VPN 1之間可以互通。本例僅介紹連接客戶端的PE 1上接入認證的相關配置,其它配置請參考“MPLS配置指導”中的“MPLS L3VPN”。
(1) 配置RADIUS服務器
下麵以Linux係統下的Free RADIUS服務器為例,說明RADIUS 服務器的基本配置。
# 配置RADIUS客戶端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.1/24 {
secret = radius
shortname = device
}
以上信息表示:RADIUS客戶端的IP地址為10.1.1.1,共享密鑰為字符串radius。
# 配置合法用戶信息。
在users文件中增加如下信息:
user1 Auth-Type == CHAP,User-Password := 123456TESTplat&!
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Pool = "pool1",
H3C-VPN-Instance = "vpn1",
以上信息表示:用戶名為user1,用戶密碼為字符串123456TESTplat&!,授權VPN實例名稱為vpn1,授權IP地址池名稱為pool1。
(2) 配置Router A
¡ 配置PPPoE Server
# 配置虛擬模板接口1的參數,采用CHAP認證對端,並使用ISP域dm1作為認證域。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
[RouterA-Virtual-Template1] quit
# 創建名為pool1的PPP地址池(包含9個可分配的IP地址)。
[RouterA] ip pool pool1 1.1.1.2 1.1.1.10 group 1
# 配置PPP地址池pool1的網關地址為1.1.1.1,所在VPN實例為vpn1。
[RouterA] ip pool pool1 gateway 1.1.1.1 vpn-instance vpn1
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 1.1.1.1 24 vpn-instance vpn1
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet1/0/1] quit
¡ 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
[RouterA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[RouterA-radius-rs1] primary authentication 10.1.1.2
[RouterA-radius-rs1] primary accounting 10.1.1.2
[RouterA-radius-rs1] key authentication simple radius
[RouterA-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[RouterA-radius-rs1] user-name-format without-domain
[RouterA-radius-rs1] quit
¡ 配置認證域
# 創建並進入名稱為dm1的ISP域。
[RouterA] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[RouterA-isp-dm1] authentication ppp radius-scheme rs1
[RouterA-isp-dm1] authorization ppp radius-scheme rs1
[RouterA-isp-dm1] accounting ppp radius-scheme rs1
[RouterA-isp-dm1] quit
用戶認證通過後,在Host A上可以Ping通對端VPN1中的CE。
# 在Router A上可以看到PPP地址池pool1中已為PPPoE Client分配了一個地址。
[RouterA] display ip pool pool1
Group name: 1
Pool name Start IP address End IP address Free In use
pool1 1.1.1.2 1.1.1.10 8 1
In use IP addresses:
IP address Interface
1.1.1.2 VA0
Router A和Router B之間通過各自的GigabitEthernet1/0/1接口相連,其中Router A作為PPPoE Server,Router B作為PPPoE Client工作在永久在線模式。
圖3-10 PPPoE Client組網圖
(1) 配置Router A作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterA-Virtual-Template1] remote address 1.1.1.2
# 配置采用PAP方式認證對端。
[RouterA-Virtual-Template1] ppp authentication-mode pap domain dm1
[RouterA-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet1/0/1] quit
# 配置PPPoE用戶。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用戶使用本地AAA方案。
[RouterA] domain dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] quit
(2) 配置Router B作為PPPoE Client
# 在Dialer1接口上開啟共享DDR。
<RouterB> system-view
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer bundle enable
# 配置Dialer1接口通過協商獲取IP地址。
[RouterB-Dialer1] ip address ppp-negotiate
# 配置本地設備被對端以PAP方式認證時發送的用戶名為user1,密碼為123456TESTplat&!。
[RouterB-Dialer1] ppp pap local-user user1 password simple 123456TESTplat&!
[RouterB-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1
[RouterB-GigabitEthernet1/0/1] quit
# 配置PPPoE Client工作在永久在線模式。
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer timer idle 0
# 配置DDR自動撥號的間隔時間為60秒。
[RouterB-Dialer1] dialer timer autodial 60
[RouterB-Dialer1] quit
# 配置靜態路由。
[RouterB] ip route-static 1.1.1.1 255.0.0.0 dialer 1
配置完成後,Router B就可以與遠端的PPPoE Server建立PPPoE會話。
[RouterB-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/1 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
Router A和Router B之間通過各自的GigabitEthernet1/0/1接口相連,其中Router A作為PPPoE Server,Router B作為PPPoE Client工作在按需撥號模式,空閑時間間隔為150秒。
圖3-11 PPPoE Client組網圖
(1) 配置Router A作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterA-Virtual-Template1] remote address 1.1.1.2
# 配置采用PAP方式認證對端。
[RouterA-Virtual-Template1] ppp authentication-mode pap domain dm1
[RouterA-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet1/0/1] quit
# 配置PPPoE用戶。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用戶使用本地AAA方案。
[RouterA] domain dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] quit
(2) 配置Router B作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<RouterB> system-view
[RouterB] dialer-group 1 rule ip permit
# 在Dialer1接口上開啟共享DDR。
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[RouterB-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[RouterB-Dialer1] ip address ppp-negotiate
# 配置本地設備被對端以PAP方式認證時發送的用戶名為user1,密碼為123456TESTplat&!。
[RouterB-Dialer1] ppp pap local-user user1 password simple 123456TESTplat&!
[RouterB-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1
[RouterB-GigabitEthernet1/0/1] quit
# 配置靜態路由。
[RouterB] ip route-static 1.1.1.1 255.0.0.0 dialer 1
# 配置空閑時間間隔為150秒。
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer timer idle 150
[RouterB-Dialer1] quit
配置完成後,Router B就可以與遠端的PPPoE Server建立PPPoE會話。
[RouterB-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/1 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
Router A和Router B之間通過各自的GigabitEthernet1/0/1接口相連,其中Router A作為PPPoE Server,Router B作為PPPoE Client工作在診斷模式,診斷時間間隔為200秒。
圖3-12 PPPoE Client組網圖
(1) 配置Router A作為PPPoE Server
# 配置虛擬模板接口1的IP地址,並指定為對端分配的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterA-Virtual-Template1] remote address 1.1.1.2
# 配置采用PAP方式認證對端。
[RouterA-Virtual-Template1] ppp authentication-mode pap domain dm1
[RouterA-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/1上啟用PPPoE Server協議,並將該接口與虛擬模板接口1綁定。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet1/0/1] quit
# 配置PPPoE用戶。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用戶使用本地AAA方案。
[RouterA] domain dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] quit
(2) 配置Router B作為PPPoE Client
# 在Dialer1接口上開啟共享DDR。
<RouterB> system-view
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer bundle enable
# 配置Dialer1接口通過協商獲取IP地址。
[RouterB-Dialer1] ip address ppp-negotiate
# 配置本地設備被對端以PAP方式認證時發送的用戶名為user1,密碼為123456TESTplat&!。
[RouterB-Dialer1] ppp pap local-user user1 password simple 123456TESTplat&!
[RouterB-Dialer1] quit
# 配置一個PPPoE會話,該會話對應Dialer bundle 1(Dialer bundle 1對應Dialer1接口)。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1
[RouterB-GigabitEthernet1/0/1] quit
# PPPoE Client工作在診斷模式,診斷時間間隔為200秒。
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer diagnose interval 200
# 配置自動撥號的時間間隔為10秒。
[RouterB-Dialer1] dialer timer autodial 10
配置完成後,Router B就可以與遠端的PPPoE Server建立PPPoE會話。
[RouterB-Dialer1] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/1 VA0 00e0-1400-4300 00e0-1500-4100 SESSION
· 局域網內的計算機通過Router A訪問Internet,Router A通過ADSL Modem采用永久在線的方式接入DSLAM。
· ADSL賬號的用戶名為user1,密碼為123456TESTplat&!。
· Router B作為PPPoE Server通過ATM2/4/0接口連接至DSLAM,提供RADIUS認證、授權、計費功能。
· 在Router A上開啟PPPoE Client功能,局域網內的主機不用安裝PPPoE客戶端軟件即可訪問Internet。
圖3-13 利用ADSL將局域網接入Internet組網圖
(1) 配置Router A作為PPPoE Client
# 配置撥號訪問組1以及對應的撥號訪問控製條件。
<RouterA> system-view
[RouterA] dialer-group 1 rule ip permit
# 在Dialer1接口上開啟共享DDR。
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 將Dialer1接口與撥號訪問組1關聯。
[RouterA-Dialer1] dialer-group 1
# 配置Dialer1接口通過協商獲取IP地址。
[RouterA-Dialer1] ip address ppp-negotiate
# 配置PPPoE Client工作在永久在線模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置本地被Router B以PAP方式認證時Router A發送的PAP用戶名和密碼。
[RouterA-Dialer1] ppp pap local-user user1 password simple 123456TESTplat&!
[RouterA-Dialer1] quit
# 配置PPPoE會話。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1
[RouterA-GigabitEthernet1/0/1] quit
# 配置局域網接口的IP地址。
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
如果局域網內計算機使用的IP地址為私有地址,還需要在設備上配置NAT(Network Address Translation,網絡地址轉換)。NAT的相關內容請參見“三層技術-IP業務配置指導”中的“NAT”。
(2) 配置Router B作為PPPoE Server
# 配置虛擬模板參數,采用PAP認證對端,配置本端IP地址,並使用PPP地址池為對端分配IP地址,並配置為對端指定DNS服務器的IP地址。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode pap domain system
[RouterB-Virtual-Template1] remote address pool 1
[RouterB-Virtual-Template1] ppp ipcp dns 8.8.8.8
[RouterB-Virtual-Template1] quit
# 配置PPP地址池(包含9個可分配的IP地址),和地址池網關地址。
[RouterB] ip pool 1 1.1.1.2 1.1.1.10
[RouterB] ip pool 1 gateway 1.1.1.1
# 在Virtual-Ethernet接口上啟用PPPoE Server協議,將該接口與虛擬模板接口1綁定。
[RouterB] interface virtual-ethernet 1
[RouterB-Virtual-Ethernet1] mac-address 0001-0000-0001
[RouterB-Virtual-Ethernet1] pppoe-server bind virtual-template 1
[RouterB-Virtual-Ethernet1] quit
# 對ATM接口進行配置。
[RouterB] interface atm 2/4/0.1
[RouterB-ATM2/4/0.1] pvc to_adsl_a 0/60
[RouterB-ATM2/4/0.1-pvc-to_adsl_a-0/60] map bridge virtual-ethernet 1
[RouterB-ATM2/4/0.1-pvc-to_adsl_a-0/60] quit
[RouterB-Atm2/4/0.1] quit
# 在係統缺省的ISP域system下,配置域用戶使用RADIUS認證/授權/計費方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp radius-scheme rs1
[RouterB-isp-system] authorization ppp radius-scheme rs1
[RouterB-isp-system] accounting ppp radius-scheme rs1
[RouterB-isp-system] quit
# 配置RADIUS方案以及RADIUS認證/授權/計費服務器的IP地址和端口號。
[RouterB] radius scheme rs1
[RouterB-radius-rs1] primary authentication 11.110.91.146 1812
[RouterB-radius-rs1] primary accounting 11.110.91.146 1813
# 配置與RADIUS服務器交互報文時使用的認證、計費共享密鑰為明文expert。
[RouterB-radius-rs1] key authentication simple expert
[RouterB-radius-rs1] key accounting simple expert
[RouterB-radius-rs1] quit
(3) 配置RADIUS服務器
在RADIUS服務器上配置認證與計費的共享密鑰expert。
在RADIUS服務器上增加一個PPPoE用戶,用戶名為user1,密碼為123456TESTplat&!。
具體配置過程請參考實際使用的RADIUS服務器的用戶手冊。
配置完成後,Router A就可以與遠端的Router B建立PPPoE會話。
[RouterA] display pppoe-client session summary
Bundle ID Interface VA RemoteMAC LocalMAC State
1 1 GE1/0/1 VA0 0001-0000-0001 00e0-1500-4100 SESSION
Host A、Host B、Host C可以訪問Internet,比如通過IE打開網頁等。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
