选择区域语言: EN CN HK

04-二层技术-广域网接入配置指导

02-PPP配置

本章节下载  (646.99 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-R2207(V1.11)/04/201212/768389_30005_0.htm

02-PPP配置


1 PPP和MP配置

1.1  PPP和MP协议简介

1.1.1  PPP简介

PPP(Point to Point Protocol)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证、易于扩充,并且支持同/异步通信,因而获得广泛应用。

PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP、CHAP、MS-CHAP和MS-CHAP-V2)。

l              链路控制协议(Link Control Protocol,LCP):主要用来建立、拆除和监控数据链路。

l              网络控制协议(Network Control Protocol,NCP):主要用来协商在该数据链路上所传输的数据包的格式与类型。

l              用于网络安全方面的验证协议族PAP、CHAP、MS-CHAP和MS-CHAP-V2。

1. PAP验证

PAP(Password Authentication Protocol)验证为两次握手验证,密码为明文,PAP验证的过程如下:

(1)        被验证方发送用户名和密码到验证方;

(2)        验证方根据本端用户表查看是否有此用户以及密码是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。

图1-1 PAP验证示意图

 

PAP不是一种安全的验证协议。当验证时,口令以明文方式在链路上发送,并且由于完成PPP链路建立后,被验证方会不停地在链路上反复发送用户名和口令,直到身份验证过程结束,所以不能防止攻击。

2. CHAP验证

CHAP(Challenge-Handshake Authentication Protocol)验证为三次握手验证,密码为密文(密钥)。

CHAP单向验证是指一端作为验证方,另一端作为被验证方。双向验证是单向验证的简单叠加,即两端都是既作为验证方又作为被验证方。在实际应用中一般只采用单向验证。

CHAP单向验证过程分为两种情况:验证方配置了用户名和验证方没有配置用户名。推荐使用验证方配置用户名的方式,这样可以对验证方的身份进行确认。

l              验证方配置了用户名的CHAP验证过程如下:

(1)        验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;

(2)        被验证方接到验证方的验证请求后,根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,如果在用户表找到了与验证方用户名相同的用户,便利用报文ID、此用户的密钥(密码)和MD5算法对该随机报文进行加密,将生成的密文和被验证方自己的用户名发回验证方(Response);

(3)        验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。

l              验证方没有配置用户名的CHAP验证过程如下:

(1)        验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge);

(2)        被验证方接到验证方的验证请求后,利用报文ID、缺省的CHAP密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response);

(3)        验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。

图1-2 CHAP验证示意图

 

3. MS-CHAP验证

MS-CHAP(Microsoft CHAP)验证为三次握手验证,密码为密文(密钥)。

MS-CHAP与CHAP的不同之处在于:

l              MS-CHAP采用的加密算法是0x80。

l              MS-CHAP支持重传机制。

MS-CHAP验证的过程如下:

(1)        验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge);

(2)        被验证方接到验证方的验证请求后,将报文中验证方的随机报文(Challenge)、自己的密钥(密码)用0x80算法加密,将生成的密文和自己的用户名发回验证方(Response);

(3)        验证方收到被验证方的响应报文后,根据报文中被验证方的用户名在本端的用户表查找对应的密码,然后利用自己保存的随机报文(Challenge)、查到的被验证方密码用0x80算法加密,将生成的密文与被验证方响应报文中的密文进行比较,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge):

l              如果验证成功,成功报文(Acknowledge)中携带欢迎信息。

l              如果验证失败,失败报文(Not Acknowledge)中携带错误码、是否重传标记、新生成的随机报文(Challenge)。

(4)        被验证方收到验证方的成功报文,则验证成功。

(5)        被验证方收到验证方的失败报文后,如果失败报文中重传标记R为1,被验证方将收到报文中的随机报文(Challenge)、自己的密钥(密码)用0x80算法加密,将生成的密文和自己的用户名发回验证方,验证方根据收到的重传响应报文重新进行验证;如果失败报文中重传标记R为0,则验证失败,直接拆链。验证方允许被验证方重传3次。

4. MS-CHAP-V2验证

MS-CHAP-V2(Microsoft CHAP Version 2)验证为三次握手验证,密码为密文(密钥)。

MS-CHAP-V2与CHAP的不同之处在于:

l              MS-CHAP-V2采用的加密算法是0x81。

l              MS-CHAP-V2通过报文捎带的方式实现了双向验证。

l              MS-CHAP-V2支持重传机制和修改密码机制。

MS-CHAP-V2验证的过程如下:

(1)        验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge);

(2)        被验证方收到验证方的验证请求后,将报文中对端的随机报文(Challenge)、自己生成的随机报文(Peer-Challenge,用于对验证方进行验证)、自己的用户名和密钥(密码)用0x81算法加密,将生成的密文和自己的用户名发回验证方(Response);

(3)        验证方收到被验证方的响应报文后,将报文中被验证方产生的随机报文(Peer-Challenge)、自己保存的随机报文(Challenge)、报文中被验证方的用户名、自己保存的被验证方密码用0x81算法加密,将生成的密文与被验证方响应报文中的密文进行比较,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge):

l              如果验证成功,成功报文(Acknowledge)中还携带对被验证方捎带验证的响应密文,该密文是根据收到报文中的被验证方用户名、自己保存的被验证方密钥(密码)、收到报文中被验证方的密文、收到报文中被验证方产生的随机报文(Peer-Challenge)、自己保存的随机报文(Challenge)用0x81算法加密生成的。

l              如果验证失败,失败报文(Not Acknowledge)中携带错误码、是否重传标记、新生成的随机报文(Challenge)。

(4)        被验证方收到验证方的成功报文后,将自己的用户名、密钥(密码)、验证方随机报文(Challenge)、被验证方随机报文(Peer-Challenge)、自己保存的上次发送给验证方的密文用0x81算法加密,将生成的密文与验证方报文中的密文进行比较,如果匹配,验证成功,如果不匹配,直接拆链。

(5)        被验证方收到验证方的失败报文后:

l              如果失败报文中的错误码是密码过期,被验证方将用户输入的新密码、收到报文中的随机报文(Challenge)、自己生成的随机报文(Peer-Challenge)、自己的用户名用0x81算法加密,将生成的密文和加密后的新密码发回验证方(Change password),验证方根据新密码信息重新进行验证;

l              如果失败报文中重传标记R为1,被验证方将收到报文中的随机报文(Challenge)、自己生成的随机报文(Peer-Challenge)、自己的用户名和密钥(密码)用0x81算法加密,将生成的密文和自己的用户名发回验证方,验证方根据收到的重传响应报文重新进行验证;如果失败报文中重传标记R为0,直接拆链。验证方允许被验证方重传3次。

5. PPP运行过程

PPP运行过程(参见下图)如下:

(1)        在开始建立PPP链路时,先进入到Establish阶段。

(2)        在Establish阶段PPP链路进行LCP协商,协商内容包括工作方式(是SP还是MP)、验证方式和最大传输单元等。LCP协商成功后进入Opened状态,表示底层链路已经建立。

(3)        如果配置了验证(远端验证本地或者本地验证远端)则进入Authenticate阶段,开始PAP、CHAP、MS-CHAP或MS-CHAP-V2验证。

(4)        如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request。

(5)        NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。

(6)        PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(例如用户的干预)。

图1-3 PPP运行流程图

 

有关PPP的详细说明,请参考RFC 1661。

1.1.2  MP简介

为了增加带宽,可以将多个PPP链路捆绑使用,称为MultiLink PPP,简称MP。MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到PPP对端,对端将这些分片组装起来递给网络层。

1. 实现方式

MP的配置主要有两种方式,一种是通过虚拟模板接口(Virtual-Template,VT),VT是用于配置一个虚拟访问接口(Virtual Access,VA)的模板,将多个PPP链路捆绑成MP之后,需要创建一个VA与对端交换数据。此时,系统将选择一个VT,以便动态地创建一个VA;一种是利用MP-group接口。这两种配置方式的区别主要是:

l              虚拟模板接口方式可以与验证相结合,可以根据对端的用户名找到指定的虚拟模板接口,从而利用模板上的配置,创建相应的捆绑(Bundle,系统中用VT通道来表示),以对应一条MP链路。

l              由一个虚拟模板接口还可以派生出若干个捆绑,每个捆绑对应一条MP链路。那么这样一来,从网络层看来,这若干条MP链路会形成一个点对多点的网络拓扑。从这个意义上讲,虚拟模板接口比MP-group接口更加灵活。

l              为区分虚拟模板接口派生出的多个捆绑,需要指定捆绑方式,系统在虚拟模板接口视图下提供了命令ppp mp binding-mode来指定绑定方式,绑定方式有authenticationbothdescriptor三种,缺省是bothauthentication是根据验证用户名捆绑,descriptor是根据终端描述符捆绑(LCP协商时,会协商出这个选项值),both是要同时参考这两个值捆绑。

l              MP-group接口与虚拟模板接口相比则单纯许多,它是MP的专用接口,不能支持其他应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。但正因为它的简单,导致了它的快速高效、配置简单、容易理解。

2. 协商过程

MP的协商包括LCP协商和NCP协商两个过程:

l              LCP协商:两端首先进行LCP协商,除了协商一般的LCP参数外,还要验证对端接口是否也工作在MP方式下。如果两端工作方式不同,LCP协商不成功。

l              NCP协商:在LCP协商成功后,根据MP-group接口或指定虚拟接口模板的各项NCP参数(如IP地址等)进行NCP协商,物理接口配置的NCP参数不起作用。

NCP协商通过后,即可建立MP链路。

3. 作用

MP的作用主要有:

l              增加带宽,结合DCC(Dial Control Center,拨号控制中心)可以做到动态增加或减小带宽

l              负载分担

l              备份

l              利用分片降低时延

MP能在任何支持PPP封装的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括PPPoX(PPPoE、PPPoA、PPPoFR等)这类虚拟接口,建议用户尽可能将同一类的接口捆绑使用,不要将不同类的接口捆绑使用。

1.2  配置PPP

1.2.1  配置PPP

表1-1 配置PPP

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置接口封装的链路层协议为PPP

link-protocol ppp

可选

缺省情况下,接口封装的链路层协议为PPP

配置轮询时间间隔

timer hold seconds

可选

缺省情况下,轮询时间间隔为10秒

配置PPP验证方式

配置PAP验证

请参见“1.2.2  配置PAP验证

可选

用户可以同时配置多种验证方式,在LCP验证选择协商过程中,验证方根据用户配置的验证方式顺序逐一与被验证方进行协商,直到协商通过。如果协商过程中,被验证方回应的协商报文中携带了建议使用的验证方式,验证方查找配置中存在该验证方式,则直接使用该验证方式进行验证

缺省情况下,PPP不进行验证

配置CHAP验证

请参见“1.2.3  配置CHAP验证

配置MS-CHAP或MS-CHAP-V2验证

请参见“1.2.4  配置MS-CHAP或MS-CHAP-V2验证

配置PPP协商参数

请参见“1.2.5  PPP协商参数

可选

配置PPP链路质量监测

请参见“1.2.6  配置PPP链路质量监测

可选

配置PPP计费统计功能

请参见“1.2.7  PPP计费统计功能

可选

 

本章只介绍本地认证方案,远端AAA认证方案请参见“安全配置指导”中的“AAA”。

 

1.2.2  配置PAP验证

1. 配置验证方

表1-2 配置验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地验证对端的方式为PAP

ppp authentication-mode pap [ [ call-in ] domain isp-name ]

必选

缺省情况下,PPP协议不进行验证

退回系统视图

quit

-

创建本地用户,并进入本地用户视图

local-user username

必选

设置本地用户的密码

password { cipher | simple } password

必选

设置本地用户的服务类型为PPP

service-type ppp

必选

退回系统视图

quit

-

创建一个ISP域,或者进入已创建ISP域的视图

domain isp-name

可选

如果配置ppp authentication-mode时配置了domain isp-name参数,且isp-name不是缺省域system,就必须配置本命令,且本命令需在ppp authentication-mode命令之前进行配置

配置PPP用户使用本地认证方案

authentication ppp local

可选

 

关于创建本地用户以及设置本地用户属性、创建域以及设置域的属性的详细说明,请参见“安全配置指导”中的“AAA”。

 

2. 配置被验证方

表1-3 配置PAP验证的被验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地被对端以PAP方式验证时本地发送的PAP用户名和密码

ppp pap local-user username password { cipher | simple } password

必选

缺省情况下,被对端以PAP方式验证时,本地设备发送的用户名和密码均为空

 

1.2.3  配置CHAP验证

CHAP验证分为两种:验证方配置了用户名和验证方没有配置用户名。

1. 验证方配置了用户名

(1)        配置验证方

表1-4 配置验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地验证对端的方式为CHAP

ppp authentication-mode chap [ [ call-in ] domain isp-name ]

必选

缺省情况下,PPP协议不进行验证

配置采用CHAP验证时验证方的用户名

ppp chap user username

必选

在被验证方上为验证方配置的本地用户的用户名必须跟此处配置的一致

退回系统视图

quit

-

为被验证方创建本地用户,并进入本地用户视图

local-user username

必选

设置本地用户的密码

password { cipher | simple } password

必选

验证方用户的密码和被验证方用户的密码要配置成相同的

设置本地用户的服务类型为PPP

service-type ppp

必选

退回系统视图

quit

-

创建一个ISP域,或者进入已创建ISP域的视图

domain isp-name

可选

如果配置ppp authentication-mode时配置了domain isp-name参数,且isp-name不是缺省域system,就必须配置本命令,且本命令需在ppp authentication-mode命令之前进行配置

配置PPP用户使用本地认证方案

authentication ppp local

可选

 

关于创建本地用户以及设置本地用户属性、创建域以及设置域的属性的详细说明,请参见“安全配置指导”中的“AAA”。

 

(2)        配置被验证方

表1-5 配置被验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置采用CHAP验证时被验证方的用户名

ppp chap user username

必选

在验证方上为被验证方配置的本地用户的用户名必须跟此处配置的一致

退回系统视图

quit

-

为验证方创建本地用户,并进入本地用户视图

local-user username

必选

设置本地用户的密码

password { cipher | simple } password

必选

验证方用户的密码和被验证方用户的密码要配置成相同的

设置本地用户的服务类型为PPP

service-type ppp

必选

 

l          关于创建本地用户以及设置本地用户属性的详细说明,请参见“安全配置指导”中的“AAA”。

l          验证方配置了用户名的情况下,请不要在被验证方的接口上配置命令ppp chap password,否则可能会导致验证出现问题。

 

2. 验证方没有配置用户名

(1)        配置验证方

表1-6 配置验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地验证对端的方式为CHAP

ppp authentication-mode chap [ [ call-in ] domain isp-name ]

必选

缺省情况下,PPP协议不进行验证

退回系统视图

quit

-

为被验证方创建本地用户,并进入本地用户视图

local-user username

必选

设置本地用户的密码

password { cipher | simple } password

必选

设置本地用户的服务类型为PPP

service-type ppp

必选

退回系统视图

quit

-

创建一个ISP域,或者进入已创建ISP域的视图

domain isp-name

可选

如果配置ppp authentication-mode时配置了domain isp-name参数,且isp-name不是缺省域system,就必须配置本命令,且本命令需在ppp authentication-mode命令之前进行配置

配置PPP用户使用本地认证方案

authentication ppp local

可选

 

关于创建本地用户以及设置本地用户属性、创建域以及设置域的属性的详细说明,请参见“安全配置指导”中的“AAA”。

 

(2)        配置被验证方

表1-7 配置被验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置采用CHAP验证时被验证方的用户名

ppp chap user username

必选

在验证方上为被验证方配置的本地用户的用户名必须跟此处配置的一致

设置缺省的CHAP验证密码

ppp chap password { cipher | simple } password

必选

在验证方上为被验证方配置的本地用户的密码必须跟此处配置的一致

 

1.2.4  配置MS-CHAP或MS-CHAP-V2验证

l          设备只能作为MS-CHAP和MS-CHAP-V2的验证方来对其他设备进行验证。

l          L2TP环境下仅支持MS-CHAP验证,不支持MS-CHAP-V2验证。

l          MS-CHAP-V2验证的修改密码机制不支持本地认证,只能在使用RADIUS认证的方式下使用。

 

表1-8 配置MS-CHAP或MS-CHAP-V2验证的验证方

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地验证对端的方式为MS-CHAP或MS-CHAP-V2

ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ]

必选

缺省情况下,PPP协议不进行验证

退回系统视图

quit

-

为被验证方创建本地用户,并进入本地用户视图

local-user username

必选

设置本地用户的密码

password { cipher | simple } password

必选

设置本地用户的服务类型为PPP

service-type ppp

必选

退回系统视图

quit

-

创建一个ISP域,或者进入已创建ISP域的视图

domain isp-name

可选

如果配置ppp authentication-mode时配置了domain isp-name参数,且isp-name不是缺省域system,就必须配置本命令,且本命令需在ppp authentication-mode命令之前进行配置

配置PPP用户使用本地认证方案

authentication ppp local

可选

 

关于创建本地用户以及设置本地用户属性、创建域以及设置域的属性的详细说明,请参见“安全配置指导”中的“AAA”。

 

1.2.5  PPP协商参数

1. PPP协商参数介绍

可以配置的PPP协商参数包括:

l              协商超时时间间隔

l              协商IP地址

l              协商DNS地址

l              协商ACCM(Async-Control-Character-Maps,异步控制字符映射表)

l              协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)

l              协商PFC(Protocol-Field-Compression,协议字段压缩)

(1)        协商超时时间间隔

在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔可选范围为1秒到10秒。

(2)        协商IP地址

协商IP地址的方式有两种:

l              配置设备作为Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,可为本端接口配置IP地址可协商属性,使本端接口接受PPP协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时,得到由ISP分配的IP地址。

l              配置设备作为Server端:若是设备作为Server为对端设备分配IP地址,则应首先在域视图或系统视图下配置本地IP地址池,指明地址池的地址范围,然后在接口视图下指定该接口使用的地址池。

(3)        协商DNS地址

设备在进行PPP地址协商的过程中可以进行DNS地址协商,此时设备既可以配置为接收对端分配的DNS地址,也可以配置为向对方提供DNS地址。一般情况下,当PC与设备通过PPP协议相连时(通常为PC机拨号连接设备),设备应为对端设备指定DNS地址,这样PC就可以通过域名直接访问Internet;当设备通过PPP协议连接运营商的接入服务器时,设备应配置为被动接收或主动请求对端指定DNS地址,这样设备就可以使用接入服务器分配的DNS来解析域名。

(4)        协商ACCM

在异步链路上需要使用到异步控制字符,如果在载荷中存在相同字符的话,则需要进行字符转义,避免异步链路将载荷当成异步控制字符处理。每个异步控制字符的长度为1字节,转义后长度就变为2字节,转义后的异步控制字符占用的带宽增加了,将减少有效载荷。

ACCM(异步控制字符映射表)协商选项即是用来和对端协商哪些异步控制字符需要转义,哪些异步控制字符不需要转义的。ACCM字段长32比特,每个比特从左到右按1、2、3、…、32进行编号,每个比特编号对应一个具有相同值的异步控制字符。如果这个比特的值为0,那么对应的异步控制字符不需要进行转义;如果这个比特的值为1,那么对应的异步控制字符就需要进行转义。例如,当19比特的值为0时,对应的19号异步控制字符(DC3,Control-S)将被直接发送,不需要进行转义。

ACCM协商在LCP协商阶段进行。当ACCM协商通过后,对端发送报文时将按照此异步控制字符映射表进行异步控制字符转义。

缺省情况下,ACCM字段的值为0x000A0000。在低速链路上,为了减少异步控制字符占用的带宽,增加有效载荷,建议将ACCM协商选项的值配置为0x0。

(5)        协商ACFC

缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,可以很容易地进行压缩。

ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文。

ACFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行地址控制字段压缩,不再添加地址控制字段,以增加链路的有效载荷;对于LCP报文不进行地址控制字段压缩,以确保LCP协商过程顺利进行。

建议在低速链路上配置本功能。

(6)        协商PFC

缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型。

PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文。

PFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷;对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行。

建议在低速链路上配置本功能。

2. 配置协商超时时间间隔

表1-9 配置协商超时时间间隔

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置协商超时时间间隔

ppp timer negotiate seconds

可选

缺省情况下,协商超时时间间隔为3秒

 

3. 配置PPP协商IP地址

(1)        配置Client端

表1-10 配置Client

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

设置接口IP地址可协商属性

ip address ppp-negotiate

必选

 

(2)        配置Server端

对于不需要进行认证的PPP用户,Server端的配置方式如下:

表1-11 配置Server端(对于不需要进行认证的PPP用户)

操作

命令

说明

进入系统视图

system-view

-

通过使用全局地址池给对端分配地址,或者直接为对端指定IP地址(两者选择其一)

首先定义全局IP地址池,然后在接口上使用全局地址池给PPP用户分配IP地址

ip pool pool-number low-ip-address [ high-ip-address ]

必选

当配置了remote address pool但没有指定pool-number时,缺省使用0号全局地址池

interface interface-type interface-number

remote address pool [ pool-number ]

接口直接为对端指定IP地址

interface interface-type interface-number

remote address ip-address

必选

 

对于需要进行认证的PPP用户,Server端的配置方式如表1-12所示,定义地址池所使用的域就是配置进行PPP认证时指定的域:

表1-12 配置Server端(对于需要进行认证的PPP用户)

操作

命令

说明

进入系统视图

system-view

-

进入指定的域视图

domain domain-name

必选

定义域地址池

ip pool pool-number low-ip-address [ high-ip-address ]

必选

退回系统视图

quit

-

进入指定接口的视图

interface interface-type interface-number

-

使用域地址池给PPP用户分配IP地址

remote address pool [ pool-number ]

必选

若配置该命令时不指定pool-number,则在IP地址协商时依次使用该域下的地址池给用户分配IP地址

配置PPP IPCP不允许对端使用自行配置的固定IP地址

ppp ipcp remote-address forced

可选

缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制性,即设备本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址

 

4. 配置DNS服务器地址协商

(1)        配置Client端

表1-13 配置Client端

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置设备主动请求对端指定DNS地址

ppp ipcp dns request

必选

缺省情况下,禁止设备主动向对端请求DNS服务器地址

配置设备被动地接收对端指定的DNS服务器地址

ppp ipcp dns admit-any

可选

缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址

 

(2)        配置Server端

表1-14 配置Server端

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

使能设备为对端设备指定DNS服务器地址

ppp ipcp dns primary-dns-address [ secondary-dns-address ]

必选

缺省情况下,设备不为对端设备指定DNS服务器的IP地址

 

5. 配置ACCM协商

表1-15 配置ACCM协商

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置ACCM字段的值

ppp accm hex-number

可选

缺省情况下,ACCM字段的值为0x000A0000

 

只有在异步链路上,ACCM协商选项才会生效。

 

6. 配置ACFC协商

(1)        配置本地发送ACFC协商请求

表1-16 配置本地发送ACFC协商请求

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项

ppp acfc local request

必选

缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项

 

(2)        配置处理对端的ACFC协商请求

表1-17 配置处理对端的ACFC协商请求

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩

ppp acfc remote apply

可选

缺省情况下,忽略对端的ACFC协商请求

配置忽略对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,但是发送的报文不进行地址控制字段压缩

ppp acfc remote ignore

可选

缺省情况下,忽略对端的ACFC协商请求

配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项

ppp acfc remote reject

可选

缺省情况下,忽略对端的ACFC协商请求

 

7. 配置PFC协商

(1)        配置本地发送PFC协商请求

表1-18 配置本地发送PFC协商请求

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项

ppp pfc local request

必选

缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项

 

(2)        配置处理对端的PFC协商请求

表1-19 配置处理对端的PFC协商请求

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩

ppp pfc remote apply

可选

缺省情况下,忽略对端的PFC协商请求

配置忽略对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,但是发送的报文不进行协议字段压缩

ppp pfc remote ignore

可选

缺省情况下,忽略对端的PFC协商请求

配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项

ppp pfc remote reject

可选

缺省情况下,忽略对端的PFC协商请求

 

1.2.6  配置PPP链路质量监测

1. PPP链路质量监测介绍

PPP链路质量监测可以实时对PPP链路(包括绑定在MP中的PPP链路)的通信质量进行监测。当链路的质量低于禁用链路质量百分比时,链路会被禁用;当链路质量恢复到恢复链路质量百分比时,链路会被自动重新启用。为了保证链路不会在禁用和恢复之间反复振荡,PPP链路质量监测在重新启用链路时会有一定的时间延迟。

在没有配置PPP链路质量检测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports)报文替换keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。

当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。

2. 配置PPP链路质量监测

表1-20 配置PPP链路质量监测

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

使能PPP链路质量监测功能

ppp lqc close-percentage [ resume-percentage ]

必选

缺省情况下,禁用PPP链路质量监测功能

 

1.2.7  PPP计费统计功能

1. PPP计费统计功能介绍

PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA应用模块可以获取这些流量统计信息用于计费控制使用。

2. 配置PPP计费统计功能

表1-21 配置PPP计费统计功能

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

使能PPP计费统计功能

ppp account-statistics enable [ acl { acl-number  | name acl-name } ]

必选

缺省情况下,不启动计费统计功能

 

1.3  配置MP

不支持跨板卡、跨线卡进行MP捆绑。

 

1.3.1  通过虚拟模板接口配置MP

1. 通过虚拟模板接口配置MP介绍

采用虚拟模板接口配置MP时,又可以细分为两种配置方式:

l              将物理接口与虚拟模板接口直接关联:通过命令ppp mp virtual-template直接将链路绑定到指定的虚拟模板接口上,这时可以配置验证也可以不配置验证。如果不配置验证,系统将通过对端的终端描述符捆绑出MP链路;如果配置了验证,系统将通过用户名和/或对端的终端描述符捆绑出MP链路。

l              将用户名与虚拟模板接口关联:根据验证通过后的用户名查找相关联的虚拟模板接口,然后根据用户名和对端终端描述符捆绑出MP链路。这种方式需在要绑定的接口下配置ppp mp及双向验证(PAP、CHAP、MS-CHAP或MS-CHAP-V2),否则链路协商不通。

l          ppp mpppp mp virtual-template命令互斥,即同一个接口只能配置成通过验证的绑定或直接绑定中的一种。

l          对于需要绑在一起的接口,必须采用同样的配置方式。

l          实际使用中也可以配置单向验证,即一端直接将物理接口绑定到虚拟模板接口,另一端则通过用户名查找虚拟模板接口。

l          不推荐使用同一个虚拟模板接口配置多种业务(如MP、L2TP、PPPoE等)。

 

在虚拟模板接口下指定捆绑方式时,可以使用用户名、终端标识符或者两者同时使用。用户名是指PPP链路进行PAP、CHAP、MS-CHAP或MS-CHAP-V2验证时所接收到的对端用户名;终端标识符是用来唯一标识一台设备的标志,是指进行LCP协商时所接收到的对端终端标识符。系统可以根据接口接收到的用户名或终端标识符来进行MP捆绑,以此来区分虚模板接口下的多个MP捆绑(对应多条MP链路)。

2. 通过虚拟模板接口配置MP

表1-22 通过虚拟模板接口配置MP

操作

命令

说明

进入系统视图

system-view

-

创建并进入虚拟模板接口

interface virtual-template number

必选

配置接口的描述字符串

description text

可选

缺省情况下,接口的描述字符串为“该接口的接口名 Interface”

配置接口的MTU值

mtu size

可选

缺省情况下,接口的MTU值为1500字节

配置MP排序窗口的大小

ppp mp sort-buffer-size size

可选

缺省情况下,MP排序窗口大小系数为1

设置虚拟接口模板支持发送组播或广播报文的最大链路数

broadcast-limit link number

可选

缺省情况下,虚拟接口模板支持发送组播或广播报文的最大链路数为30

配置接口最大可用带宽

bandwidth bandwidth-value

可选

恢复接口的缺省配置

default

可选

退回系统视图

quit

-

将物理接口或用户名与虚拟模板接口关联(两者选择其一)

将物理接口与虚拟模板接口关联

interface interface-type interface-number

-

ppp mp virtual-template number

必选

配置接口所要绑定的虚拟模板接口号,并使接口工作在MP方式

在接口下配置PPP认证,请参见“1.2.2  配置PAP验证”、“1.2.3  配置CHAP验证”和“1.2.4  配置MS-CHAP或MS-CHAP-V2验证

可选

PPP认证对MP连接的建立没有影响

将用户名与虚拟模板接口关联

ppp mp user username bind virtual-template number

必选

建立虚拟模板接口与MP用户的对应关系

interface interface-type interface-number

-

ppp mp

必选

配置封装PPP的接口工作在MP方式

在接口下配置双向PPP认证,请参见“1.2.2  配置PAP验证”、“1.2.3  配置CHAP验证”和“1.2.4  配置MS-CHAP或MS-CHAP-V2验证

必选

配置MP的其他可选参数

请参见“3. 配置MP的其他可选参数

可选

 

3. 配置MP的其他可选参数

表1-23 配置MP的其他可选参数

操作

命令

说明

进入系统视图

system-view

-

创建并进入MP虚拟模板接口或者dialer口视图

interface virtual-template number

interface dialer number

必选

虚模板接口下捆绑方式的指定

ppp mp binding-mode { authentication | both | descriptor }

可选

缺省情况下,同时根据PPP的验证用户名和终端描述符进行MP捆绑(both

配置MP最大捆绑链路数

ppp mp max-bind max-bind-num

可选

该命令可以在虚拟模板接口视图及dialer口视图下进行配置

缺省情况下,最大捆绑链路数为16

配置该参数可能影响PPP的性能。一般情况下用户不必配置此参数,当需要配置时请在技术工程师的指导下进行

配置MP最小捆绑链路数

ppp mp min-bind min-bind-num

可选

该命令只能在dialer口视图下进行配置

缺省情况下,最小捆绑链路数为0,即MP拨号将依赖流量检测

使能MP报文分片功能

ppp mp fragment enable

可选

缺省情况下,MP报文分片功能处于开启状态

配置对MP报文进行分片的最小报文长度

ppp mp min-fragment size

可选

缺省情况下,对MP报文进行分片的最小报文长度为128字节

 

l          在配置ppp mp max-bindppp mp min-bindppp mp min-fragment后,该命令不能立即生效,必须对所有已捆绑的物理接口执行shutdownundo shutdown之后改变才会生效。

l          ppp mp min-bind命令配置的最小捆绑链路数应该小于等于ppp mp max-bind命令配置的最大捆绑链路数。

l          配置undo ppp mp fragment enable命令后,接口的ppp mp lfippp mp min-fragment命令不再起作用。

l          当只选择descriptor的绑定模式时,MP捆绑时无法区分不同的用户,如果不同用户需要绑定到不同的捆绑组下时,应该选用both的绑定模式;

l          当只选择authentication的绑定模式时,无法区分各个对端设备,因此MP捆绑有多个对端设备时,应该选用both的绑定模式。

l          对于VT接口,如果配置静态路由,请指定下一跳而不要指定出接口。如果必须指定出接口的话,请保证VT下绑定的物理接口有效,从而保证报文能够正常传输。

l          关于在Dailer接口下设置MP参数的详细信息,请参见“二层技术-广域网接入配置指导”中的“DCC”。

 

1.3.2  通过MP-group方式配置MP

表1-24 通过MP-group方式配置MP

操作

命令

说明

进入系统视图

system-view

-

创建MP-group

interface mp-group mp-number

必选

配置接口的描述字符串

description text

可选

缺省情况下,接口的描述字符串为“该接口的接口名 Interface”

配置接口的MTU值

mtu size

可选

缺省情况下,接口的MTU值为1500字节

配置接口最大可用带宽

bandwidth bandwidth-value

可选

恢复接口的缺省配置

default

可选

打开接口

undo shutdown

可选

缺省情况下,接口为打开状态

退回系统视图

quit

-

进入指定接口的视图

interface interface-type interface-number

-

将接口加入指定的MP-group

ppp mp mp-group mp-number

必选

配置MP最大捆绑链路数

ppp mp max-bind max-bind-num

可选

缺省情况下,最大捆绑链路数为16

配置MP排序窗口的大小

ppp mp sort-buffer-size size

可选

缺省情况下,MP排序窗口大小系数为1

使能MP报文分片功能

ppp mp fragment enable

可选

缺省情况下,MP报文分片功能处于开启状态

配置对MP报文进行分片的最小报文长度

ppp mp min-fragment size

可选

缺省情况下,对MP报文进行分片的最小报文长度为128字节

 

l          在配置ppp mp max-bindppp mp min-fragment后,该命令不能立即生效,必须对所有已捆绑的物理接口执行shutdownundo shutdown之后改变才会生效。

l          配置undo ppp mp fragment enable命令后,接口的ppp mp lfippp mp min-fragment命令不再起作用。

 

1.3.3  配置MP短序协商方式

MP捆绑组在收发报文时默认使用长序方式(长序、短序是指报文序号的长短)。

l              如果本端接收使用短序,则需要在协商LCP的过程添加短序请求,请求对端发送短序,协商通过后,对端使用短序发送;

l              如果本端发送使用短序,则需要对端发出短序协商请求,协商通过后,本端使用短序发送。

表1-25 配置MP短序协商方式

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

触发MP短序协商,协商成功后本端接收方向将使用短序

ppp mp short-sequence

必选

缺省情况下,不使用短序协商,使用长序

 

l          MP捆绑组使用的长短序方式由第一条加入该捆绑组中的子通道决定,后续加入捆绑组的子通道配置不能更改MP捆绑组的长短序方式。

l          如果想使用MP短序协商,对于拨号MP,建议在Dialer接口及ISDN的D信道下均配置该命令;对于普通MP,建议在所有的MP子通道下配置该命令,配置该命令会导致PPP重协商。

 

1.3.4  配置MP Endpoint选项

在MP的LCP协商过程会协商Endpoint选项(终端描述符)值,进行捆绑处理。

缺省情况下,接口发送报文中的Endpoint选项内容为设备名称;当使用ppp mp mp-group命令将接口加入指定MP-group时,接口发送报文中的Endpoint选项内容为MP-group的接口名称。由于Endpoint选项内容最长为20字节,如果缺省内容超过20个字节,则截取前20个字节作为Endpoint选项内容。

用户也可以通过下面的命令来配置接口发送报文中的Endpoint选项内容。

表1-26 配置MP Endpoint选项

操作

命令

说明

进入系统视图

system-view

-

进入指定接口的视图

interface interface-type interface-number

-

配置MP Endpoint选项内容

ppp mp endpoint string char-string

可选

 

1.4  配置PPP链路效率机制

1.4.1  PPP链路效率机制简介

PPP链路上提供了四种提高传输效率的机制:IP报文头压缩、PPP报文的STAC-LZS压缩、VJ TCP头压缩和链路分片与交叉,详细介绍如下:

1. IP报文头压缩

IP报文头压缩协议(IP Header Compression,IPHC)是一个主机-主机协议,用于在IP网络上承载语音、视频等实时多媒体业务。为了减少有效带宽的消耗,可以在PPP链路上使用IP报文头压缩功能,对RTP头(含IP、UDP、RTP头)或TCP头进行压缩。下面以RTP头压缩为例对压缩原理进行说明。

RTP实际上是一种限定端口号与固定格式的UDP协议,包括数据部分和头部分,RTP的数据部分相对小,而RTP的头部分较大。12字节的RTP头,加上20字节的IP头和8字节的UDP头,就是40字节的IP/UDP/RTP头。而RTP典型的负载是20字节到160字节。为了避免不必要的带宽消耗,可以使用IPHC特性对报文头进行压缩。IPHC将IP/UDP/RTP头从40字节压缩到2~5字节,对于40字节的负载,头压缩到5字节,压缩比为(40+40)/(40+5),约为1.78,可见效果是相当可观的。

2. STAC-LZS压缩

STAC-LZS(STAC Lempel-Ziv standard)压缩是一种链路层上的数据压缩标准,它由STAC有限公司开发并推广,仅对报文的净负荷进行压缩。STAC-LZS压缩基于Lempel-Ziv算法,是用二进制编码替代一个连续的数据流,编码能够随数据的变化而变化,更加灵活,但也更加占用CPU资源。

3. VJ TCP头压缩

VJ TCP头压缩(V. Jacobson Compressing TCP/IP Headers)是一种应用在低速链路上的TCP/IP头压缩算法,符合RFC 1144。

一个典型的TCP/IP报文头的长度是40字节,其中IP头20字节,TCP头20字节,在TCP建立连接后,在每个连接上传输的大量的TCP/IP报文都会包含这些信息。通过分析发现这些报文头中有些字段的信息是固定不变的,只发送一次即可;有些字段虽然有变化,但变化的规律和范围很明确,故字段的长度可以压缩。通过VJ TCP头压缩后,TCP/IP头长度可以从40字节降至3~5字节,应用在PPP等低速串行链路上,可以明显提高如FTP等应用的报文传输速度。

4. 链路分片与交叉

在低速串行链路上,实时交互式通信,如Telnet和VoIP,往往会由于大型分组的发送而导致阻塞延迟。例如,正好在大报文被调度而等待发送时,语音报文到达,它需要等该大报文被传输完毕后才能被调度。对于诸如交互式语音等实时应用而言,大报文导致的这种阻塞延迟太长了,对端将听到断断续续的话音。交互式语音要求端到端的延迟不大于100~150ms。

一个1500bytes(即通常MTU的大小)的报文需要花费215ms穿过56Kbps的链路,这超过了人所能忍受的延迟限制。为了在相对低速的链路上限制实时报文的延迟时间,例如56Kbps Frame Relay或64Kbps ISDN B通道,需要一种方法将大报文进行分片,将小报文和大报文的分片一起加入到队列。

LFI(Link Fragmentation and Interleaving,链路分片与交叉)将大型数据帧分割成小型帧,与其他小片的报文一起发送,从而减少在速度较慢的链路上的延迟和抖动。被分割的数据帧在目的地被重组。

下图描述了LFI的处理过程。大报文和小的语音报文一起到达某个接口,将大报文分割成小的分片,如果在接口配置了WFQ(Weighted Fair Queueing,加权公平队列),语音包与这些小的分片一起交叉放入WFQ。

图1-4 LFI的处理过程

 

1.4.2  配置PPP链路效率机制

表1-27 配置PPP链路效率机制

操作

命令

说明

进入系统视图

system-view

-

创建MP-group

interface mp-group mp-number

必选

退回系统视图

quit

-

进入指定接口的视图

interface interface-type interface-number

-

配置IP头压缩(该配置可选)

启动IP头压缩

ppp compression iphc [ nonstandard ]

必选

缺省情况下,不启动IP头压缩

配置TCP头压缩的最大连接数

ppp compression iphc tcp-connections number

可选

缺省情况下,TCP头压缩的最大连接数为16

配置RTP头压缩的最大连接数

ppp compression iphc rtp-connections number

可选

缺省情况下,RTP头压缩的最大连接数为16

配置接口允许STAC-LZS压缩

ppp compression stac-lzs

可选

缺省情况下,禁止使用压缩

只有当链路两端都配置了STAC-LZS压缩时,该链路才支持STAC-LZS压缩

目前STAC-LZS压缩链路不支持出方向快转功能,在具体配置时建议同步关掉接口出方向快转功能

在PPP接口上允许进行VJ TCP头压缩

ip tcp vjcompress

可选

缺省情况下,PPP接口上禁止进行VJ TCP头压缩

配置PPP上的链路分片和交叉(该配置可选)

进入虚拟接口模板视图或MP-group接口视图

interface virtual-template number

interface mp-group mp-number

必选

使能LFI

ppp mp lfi

必选

缺省情况下,未使能LFI

配置传输一个LFI分片的最大时延

ppp mp lfi delay-per-frag time

二者必选其一

缺省情况下,传输一个LFI分片的最大时延为10ms,分片大小由ppp mp lfi delay-per-frag的配置来决定

配置LFI分片的最大字节数

ppp mp lfi size-per-frag size

 

取消LFI功能会同时删除用户配置的LFI分片的最大时延或LFI分片的最大字节数。

 

1.5  PPP、MP及PPP链路效率机制的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示PPP和MP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除相应的统计信息。

表1-28 PPP、MP及PPP链路效率机制的显示和维护

操作

命令

显示已创建的MP-group接口的状态信息

display interface mp-group mp-number [ brief ] [ | { begin | exclude | include } regular-expression ]

display interface [ mp-group ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ]

显示虚拟访问接口的状态信息

display virtual-access [ va-number | dialer dialer-number | peer peer-address | user user-name | vt vt-number ] * [ | { begin | exclude | include } regular-expression ]

显示已创建的虚拟接口模板的状态信息

display interface virtual-template number [ brief ] [ | { begin | exclude | include } regular-expression ]

display interface [ virtual-template ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ]

显示MP接口的接口信息和统计信息

display ppp mp [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

显示IPHC TCP头压缩的统计信息

display ppp compression iphc tcp [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

显示IPHC RTP头压缩的统计信息

display ppp compression iphc rtp [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

显示STAC-LZS压缩统计信息

display ppp compression stac-lzs [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

清除IP头压缩的统计信息

reset ppp compression iphc [ interface-type interface-number ]

清除STAC-LZS压缩的统计信息

reset ppp compression stac-lzs [ interface-type interface-number ]

清除指定接口的统计信息

reset counters interface [ mp-group [ interface-number ] ]

reset counters interface [ virtual-template [ interface-number ] ]

 

1.6  PPP、MP典型配置举例

1.6.1  PAP单向验证举例

1. 组网需求

图1-5所示,Router A和Router B之间用接口Serial2/0互连,要求Router A用PAP方式验证Router B,Router B不需要对Router A进行验证。

2. 组网图

图1-5 PAP验证、CHAP验证举例组网图

 

3. 配置步骤

(1)        配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb

# 设置本地用户的密码。

[RouterA-luser-userb] password simple passb

# 设置本地用户的服务类型为PPP

[RouterA-luser-userb] service-type ppp

[RouterA-luser-userb] quit

# 配置接口封装的链路层协议为PPP

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

# 配置本地验证Router B的方式为PAP

[RouterA-Serial2/0] ppp authentication-mode pap domain system

# 配置接口的IP地址。

[RouterA-Serial2/0] ip address 200.1.1.1 16

[RouterA-Serial2/0] quit

# 在系统缺省的ISPsystem下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

(2)        配置Router B

# 配置接口封装的链路层协议为PPP。

<RouterB> system-view

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

# 配置本地被Router A以PAP方式验证时Router B发送的PAP用户名和密码。

[RouterB-Serial2/0] ppp pap local-user userb password simple passb

# 配置接口的IP地址。

[RouterB-Serial2/0] ip address 200.1.1.2 16

(3)        验证配置结果

通过查看display interface serial 2/0信息,接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。

[RouterB-Serial2/0] display interface serial 2/0

Serial2/0 current state: UP

Line protocol current state: UP

Description: Serial2/0 Interface

The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 200.1.1.2/16 Primary

Link layer protocol is PPP

LCP opened, IPCP opened

Output queue : (Urgent queuing : Size/Length/Discards)  0/100/0

Output queue : (Protocol queuing : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

Interface is V35

    206 packets input,  2496 bytes

    206 packets output,  2492 bytes

 

[RouterB-Serial2/0] ping 200.1.1.1

  PING 200.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms

    Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms

 

  --- 200.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/23/103 ms

1.6.2  PAP双向验证举例

1. 组网需求

图1-5所示,Router A和Router B之间用接口Serial2/0互连,要求Router A和Router B用PAP方式相互验证对方。

2. 配置步骤

(1)        配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb

# 设置本地用户的密码。

[RouterA-luser-userb] password simple passb

# 设置本地用户的服务类型为PPP。

[RouterA-luser-userb] service-type ppp

[RouterA-luser-userb] quit

# 配置接口封装的链路层协议为PPP

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

# 配置本地验证Router B的方式为PAP

[RouterA-Serial2/0] ppp authentication-mode pap domain system

# 配置本地被Router BPAP方式验证时Router A发送的PAP用户名和密码。

[RouterA-Serial2/0] ppp pap local-user usera password simple passa

# 配置接口的IP地址。

[RouterA-Serial2/0] ip address 200.1.1.1 16

[RouterA-Serial2/0] quit

# 在系统缺省的ISPsystem下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

(2)        配置Router B

# 为Router A创建本地用户。

<RouterB> system-view

[RouterB] local-user usera

# 设置本地用户的密码。

[RouterB-luser-usera] password simple passa

# 设置本地用户的服务类型为PPP。

[RouterB-luser-usera] service-type ppp

[RouterB-luser-usera] quit

# 配置接口封装的链路层协议为PPP

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

# 配置本地验证Router A的方式为PAP

[RouterB-Serial2/0] ppp authentication-mode pap domain system

# 配置本地被Router APAP方式验证时Router B发送的PAP用户名和密码。

[RouterB-Serial2/0] ppp pap local-user userb password simple passb

# 配置接口的IP地址。

[RouterB-Serial2/0] ip address 200.1.1.2 16

[RouterB-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp local

(3)        验证配置结果

通过查看display interface serial 2/0信息,接口的物理层和链路层的状态都是up状态,并且PPPLCPIPCP都是opened状态,说明链路的PPP协商已经成功,并且Router ARouter B可以互相ping通对方。

[RouterB-isp-system] display interface serial 2/0

Serial2/0 current state: UP

Line protocol current state: UP

Description: Serial2/0 Interface

The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 200.1.1.2/16 Primary

Link layer protocol is PPP

LCP opened, IPCP opened

Output queue : (Urgent queuing : Size/Length/Discards)  0/100/0

Output queue : (Protocol queuing : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

Interface is V35

    206 packets input,  2496 bytes

    206 packets output,  2492 bytes

 

[RouterB-isp-system] ping 200.1.1.1

  PING 200.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms

    Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms

 

  --- 200.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/23/103 ms

1.6.3  CHAP单向验证举例

1. 组网需求

图1-5中,要求设备Router A用CHAP方式验证设备Router B。

2. 配置方法一(验证方配置用户名时以CHAP方式认证对端)

(1)        配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb

# 设置本地用户的密码。

[RouterA-luser-userb] password simple hello

# 设置本地用户的服务类型为PPP。

[RouterA-luser-userb] service-type ppp

[RouterA-luser-userb] quit

# 配置接口封装的链路层协议为PPP

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

# 配置采用CHAP验证时Router A的用户名。

[RouterA-Serial2/0] ppp chap user usera

# 配置本地验证Router B的方式为CHAP

[RouterA-Serial2/0] ppp authentication-mode chap domain system

# 配置接口的IP地址。

[RouterA-Serial2/0] ip address 200.1.1.1 16

[RouterA-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

(2)        配置Router B

# 为Router A创建本地用户。

<RouterB> system-view

[RouterB] local-user usera

# 设置本地用户的密码。

[RouterB-luser-usera] password simple hello

# 设置本地用户的服务类型为PPP

[RouterB-luser-usera] service-type ppp

[RouterB-luser-usera] quit

# 配置接口封装的链路层协议为PPP

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

# 配置采用CHAP验证时Router B的用户名。

[RouterB-Serial2/0] ppp chap user userb

# 配置接口的IP地址。

[RouterB-Serial2/0] ip address 200.1.1.2 16

3. 配置方法二(验证方没有配置用户名时以CHAP方式认证对端)

(1)        配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb

# 设置本地用户的密码。

[RouterA-luser-userb] password simple hello

# 设置本地用户的服务类型为PPP

[RouterA-luser-userb] service-type ppp

[RouterA-luser-userb] quit

# 配置本地验证Router B的方式为CHAP

[RouterA] interface serial 2/0

[RouterA-Serial2/0] ppp authentication-mode chap domain system

# 配置接口的IP地址。

[RouterA-Serial2/0] ip address 200.1.1.1 16

[RouterA-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

(2)        配置Router B

# 配置采用CHAP验证时Router B的用户名。

<RouterB> system-view

[RouterB] interface serial 2/0

[RouterB-Serial2/0] ppp chap user userb

# 设置缺省的CHAP验证密码。

[RouterB-Serial2/0] ppp chap password simple hello

# 配置接口的IP地址。

[RouterB-Serial2/0] ip address 200.1.1.2 16

4. 验证配置结果

通过查看display interface serial 2/0信息,接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。

[RouterB-Serial2/0] display interface serial 2/0

Serial2/0 current state: UP

Line protocol current state: UP

Description: Serial2/0 Interface

The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 200.1.1.2/16 Primary

Link layer protocol is PPP

LCP opened, IPCP opened

Output queue : (Urgent queuing : Size/Length/Discards)  0/100/0

Output queue : (Protocol queuing : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

Interface is V35

    206 packets input,  2496 bytes

    206 packets output,  2492 bytes

 

[RouterB-Serial2/0] ping 200.1.1.1

  PING 200.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms

    Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms

 

  --- 200.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/23/103 ms

1.6.4  PPP协商IP地址配置举例

1. 组网需求

Router A通过PPP协商,为对端设备Router B的接口Serial2/0分配IP地址。

2. 组网图

图1-6 PPP协商IP地址配置组网图

 

3. 配置步骤

(1)        配置Router A

# 配置本地IP地址池。

<RouterA> system-view

[RouterA] ip pool 1 200.1.1.10 200.1.1.20

# 配置接口Serial2/0的IP地址。

[RouterA] interface serial 2/0

[RouterA-Serial2/0] ip address 200.1.1.1 16

# 为对端接口分配IP地址。

[RouterA-Serial2/0] remote address pool 1

(2)        配置Router B

# 在接口Serial2/0使能通过协商获取IP地址。

<RouterB> system-view

[RouterB] interface serial 2/0

[RouterB-Serial2/0] ip address ppp-negotiate

配置完成后,查看接口Serial2/0的概要信息:

[RouterB-Serial2/0] display interface serial 2/0 brief

The brief information of interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

S2/0                 UP   UP       200.1.1.10

可见接口Serial2/0通过PPP协商获取的IP地址为200.1.1.10。

(3)        验证配置结果

在Router B上可以Ping通Router A的Serial2/0接口。

[RouterB] ping 200.1.1.1

  PING 200.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms

    Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=4 ms

    Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=4 ms

    Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms

    Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=4 ms

 

  --- 200.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/4/10 ms

1.6.5  MP配置举例

1. 组网需求

图1-7中,Router A的E1接口有两个通道连接到Router B的两个通道上,另外两个通道连接到Router C的两个通道上,采用验证绑定方式。假定Router A上的四个通道为:Serial2/0:1、Serial2/0:2、Serial2/0:3和Serial2/0:4,Router B上的两个通道的接口名为:Serial2/0:1和Serial2/0:2,Router C上的两个通道的接口名为:Serial2/0:1和Serial2/0:2。

2. 组网图

图1-7 MP配置举例组网图

 

3. 配置步骤

(1)        配置Router A

# 在Router A上为Router B和Router C各增加一个用户。

<RouterA> system-view

[RouterA] local-user router-b

[RouterA-luser-router-b] password simple router-b

[RouterA-luser-router-b] service-type ppp

[RouterA-luser-router-b] quit

[RouterA] local-user router-c

[RouterA-luser-router-c] password simple router-c

[RouterA-luser-router-c] service-type ppp

[RouterA-luser-router-c] quit

# 为这两个用户指定虚拟接口模板。

[RouterA] ppp mp user router-b bind virtual-template 1

[RouterA] ppp mp user router-c bind virtual-template 2

# 配置虚拟接口模板。

[RouterA] interface virtual-template 1

[RouterA-Virtual-Template1] ip address 202.38.166.1 255.255.255.0

[RouterA-Virtual-Template1] quit

[RouterA] interface virtual-template 2

[RouterA-Virtual-Template2] ip address 202.38.168.1 255.255.255.0

[RouterA-Virtual-Template2] quit

# 将接口Serial2/0:1、Serial2/0:2、Serial2/0:3和Serial2/0:4加入MP通道,以Serial2/0:1为例,其它接口作同样配置。

[RouterA] interface serial 2/0:1

[RouterA-Serial2/0:1] link-protocol ppp

[RouterA-Serial2/0:1] ppp mp

[RouterA-Serial2/0:1] ppp authentication-mode pap domain system

[RouterA-Serial2/0:1] ppp pap local-user router-a password simple router-a

[RouterA-Serial2/0:1] quit

# 在系统缺省的ISPsystem下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

(2)        配置Router B

# 为Router A增加一个用户。

<RouterB> system-view

[RouterB] local-user router-a

[RouterB-luser-router-a] password simple router-a

[RouterB-luser-router-a] service-type ppp

[RouterB-luser-router-a] quit

# 为这个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。

[RouterB] ppp mp user router-a bind virtual-template 1

# 配置虚拟接口模板的工作参数。

[RouterB] interface virtual-template 1

[RouterB-Virtual-Template1] ip address 202.38.166.2 255.255.255.0

[RouterB-Virtual-Template1] quit

# 将接口Serial2/0:1和Serial2/0:2加入MP通道,我们以Serial2/0:1为例,其它接口作同样配置。

[RouterB] interface serial 2/0:1

[RouterB-Serial2/0:1] ppp mp

[RouterB-Serial2/0:1] ppp authentication-mode pap domain system

[RouterB-Serial2/0:1] ppp pap local-user router-b password simple router-b

[RouterB-Serial2/0:1] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp local

(3)        配置Router C

# 为Router A增加一个用户。

<RouterC> system-view

[RouterC] local-user router-a

[RouterC-luser-router-a] password simple router-a

[RouterC-luser-router-a] service-type ppp

[RouterC-luser-router-a] quit

# 为这个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。

[RouterC] ppp mp user router-a bind virtual-template 1

# 配置虚拟接口模板的工作参数。

[RouterC] interface virtual-template 1

[RouterC-Virtual-Template1] ip address 202.38.168.2 255.255.255.0

[RouterC-Virtual-Template1] quit

# 将接口Serial2/0:1和Serial2/0:2加入MP通道,我们以Serial2/0:1为例,其它接口作同样配置。

[RouterC] interface serial 2/0:1

[RouterC-Serial2/0:1] ppp mp

[RouterC-Serial2/0:1] ppp authentication-mode pap domain system

[RouterC-Serial2/0:1] ppp pap local-user router-c password simple router-c

[RouterC-Serial2/0:1] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterC] domain system

[RouterC-isp-system] authentication ppp local

1.6.6  三种MP绑定方式的配置举例

1. 组网需求

图1-8中,设备Router A和Router B的Serial2/1和Serial2/0分别对应连接。采用三种MP绑定方式,第一种是将链路直接绑定到VT上;第二种是按用户名查找VT,第三种是将链路绑定到Mp-group接口。

2. 组网图

图1-8 三种MP绑定方式的配置举例组网图

 

3. 第一种绑定方式(将物理接口直接绑定到VT接口上)

(1)        配置Router A

# 配置对端设备Router B在Router A上的用户名和密码。

<RouterA> system-view

[RouterA] local-user rtb

[RouterA-luser-rtb] password simple rtb

[RouterA-luser-rtb] service-type ppp

[RouterA-luser-rtb] quit

# 创建虚拟接口模板,配置相应的IP地址。

[RouterA] interface virtual-template 1

[RouterA-Virtual-Template1] ip address 8.1.1.1 24

[RouterA-Virtual-Template1] ppp mp binding-mode authentication

# 配置串口Serial2/1。

[RouterA-Virtual-Template1] quit

[RouterA] interface serial 2/1

[RouterA-Serial2/1] link-protocol ppp

[RouterA-Serial2/1] ppp authentication-mode pap domain system

[RouterA-Serial2/1] ppp pap local-user rta password simple rta

[RouterA-Serial2/1] ppp mp virtual-template 1

[RouterA-Serial2/1] shutdown

[RouterA-Serial2/1] undo shutdown

[RouterA-Serial2/1] quit

# 配置串口Serial2/0。

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

[RouterA-Serial2/0] ppp authentication-mode pap domain system

[RouterA-Serial2/0] ppp pap local-user rta password simple rta

[RouterA-Serial2/0] ppp mp virtual-template 1

[RouterA-Serial2/0] shutdown

[RouterA-Serial2/0] undo shutdown

[RouterA-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

[RouterA-isp-system] quit

(2)        配置Router B

# 配置对端设备Router A在Router B上的用户名和密码。

<RouterB> system-view

[RouterB] local-user rta

[RouterB-luser-rta] password simple rta

[RouterB-luser-rta] service-type ppp

[RouterB-luser-rta] quit

# 创建虚拟模板接口,配置相应的IP地址。

[RouterB] interface virtual-template 1

[RouterB-Virtual-Template1] ip address 8.1.1.2 24

[RouterB-Virtual-Template1] ppp mp binding-mode authentication

[RouterB-Virtual-Template1] quit

# 配置串口Serial2/1。

[RouterB] interface serial 2/1

[RouterB-Serial2/1] link-protocol ppp

[RouterB-Serial2/1] ppp authentication-mode pap domain system

[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/1] ppp mp virtual-template 1

[RouterB-Serial2/1] shutdown

[RouterB-Serial2/1] undo shutdown

[RouterB-Serial2/1] quit

# 配置串口Serial2/0。

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

[RouterB-Serial2/0] ppp authentication-mode pap domain system

[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/0] ppp mp virtual-template 1

[RouterB-Serial2/0] shutdown

[RouterB-Serial2/0] undo shutdown

[RouterB-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp local

[RouterB-isp-system] quit

(3)        在Router A上查看绑定效果:

[RouterA] display ppp mp

Template is Virtual-Template1

Bundle rtb, 2 member, Master link is Virtual-Template1:0

0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,

sequence 0/0 rcvd/sent

The bundled member channels are:

      Serial2/1

      Serial2/0

(4)        查看VA状态:

[RouterA] display virtual-access

Virtual-Template1:0 current state: UP

Line protocol current state: UP

Description: Virtual-Template0:0 Interface

The Maximum Transmit Unit is 1500

Link layer protocol is PPP

LCP opened, MP opened, IPCP opened, OSICP opened

Physical is MP, baudrate: 64000 bps

Output queue : (Urgent queuing : Size/Length/Discards)  0/100/0

Output queue : (Protocol queuing : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

    Last 300 seconds input:  0 bytes/sec 0 packets/sec

    Last 300 seconds output:  0 bytes/sec 0 packets/sec

    520 packets input, 44132 bytes, 0 drops

    527 packets output, 44566 bytes, 4 drops

Router B上显示类似。

(5)        在Router B上ping对端IP 8.1.1.1。

[RouterB] ping 8.1.1.1

  PING 8.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms

    Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms

    Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=29 ms

    Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms

    Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms

 

  --- 8.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

round-trip min/avg/max = 29/30/31 ms

由于在物理接口下配置了PPP认证,故display ppp mp中的Bundle为对端用户名;若去掉认证的配置,Bundle应为对端的终端描述符。

这里的虚拟访问接口VA的状态即对应MP虚通道的状态,可以用display virtual-access命令查看。

4. 第二种绑定方式(按用户名找VT)

(1)        配置Router A

# 配置对端设备Router B在Router A上的用户名和密码。

<RouterA> system-view

[RouterA] local-user rtb

[RouterA-luser-rtb] password simple rtb

[RouterA-luser-rtb] service-type ppp

[RouterA-luser-rtb] quit

# 指定用户RTB对应的VT

[RouterA] ppp mp user rtb bind virtual-template 1

# 创建VT,配置相应的IP地址。

[RouterA] interface virtual-template 1

[RouterA-Virtual-Template1] ip address 8.1.1.1 24

[RouterA-Virtual-Template1] ppp mp binding authentication

[RouterA-Virtual-Template1] quit

# 配置串口Serial2/1

[RouterA] interface serial 2/1

[RouterA-Serial2/1] link-protocol ppp

[RouterA-Serial2/1] ppp authentication-mode pap domain system

[RouterA-Serial2/1] ppp pap local-user rta password simple rta

[RouterA-Serial2/1] ppp mp

[RouterA-Serial2/1] shutdown

[RouterA-Serial2/1] undo shutdown

[RouterA-Serial2/1] quit

# 配置串口Serial2/0

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

[RouterA-Serial2/0] ppp authentication-mode pap domain system

[RouterA-Serial2/0] ppp pap local-user rta password simple rta

[RouterA-Serial2/0] ppp mp

[RouterA-Serial2/0] shutdown

[RouterA-Serial2/0] undo shutdown

[RouterA-Serial2/0] quit

# 在系统缺省的ISPsystem下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

[RouterA-isp-system] quit

(2)        配置Router B

# 配置对端设备Router A在Router B上的用户名和密码

<RouterB> system-view

[RouterB] local-user rta

[RouterB-luser-rta] password simple rta

[RouterB-luser-rta] service-type ppp

[RouterB-luser-rta] quit

# 指定用户RTA对应的VT

[RouterB] ppp mp user rta bind virtual-template 1

# 创建VT,配置相应的IP地址。

[RouterB] interface virtual-template 1

[RouterB-Virtual-Template1] ip address 8.1.1.2 24

[RouterB-Virtual-Template1] ppp mp binding authentication

[RouterB-Virtual-Template1] quit

# 配置串口Serial2/1。

[RouterB] interface serial 2/1

[RouterB-Serial2/1] link-protocol ppp

[RouterB-Serial2/1] ppp authentication-mode pap domain system

[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/1] ppp mp

[RouterB-Serial2/1] shutdown

[RouterB-Serial2/1] undo shutdown

[RouterB-Serial2/1] quit

# 配置串口Serial2/0。

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

[RouterB-Serial2/0] ppp authentication-mode pap domain system

[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/0] ppp mp

[RouterB-Serial2/0] shutdown

[RouterB-Serial2/0] undo shutdown

[RouterB-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp local

[RouterB-isp-system] quit

(3)        在Router A上查看绑定效果:

[RouterA] display ppp mp

Template is Virtual-Template1

Bundle rtb, 2 member, Master link is Virtual-Template1:0

0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,

sequence 0/0 rcvd/sent

The bundled member channels are:

      Serial2/1

      Serial2/0

(4)        在Router B上查看绑定效果:

[RouterB] display ppp mp

Template is Virtual-Template1

Bundle rta, 2 member, Master link is Virtual-Template1:0

0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,

sequence 0/0 rcvd/sent

The bundled member channels are:

      Serial2/1

      Serial2/0

# 查看VA状态:

[RouterB] display virtual-access

Virtual-Template1:0 current state : UP

Line protocol current state : UP

Description : Virtual-Template1:0 Interface

The Maximum Transmit Unit is 1500

Link layer protocol is PPP

LCP opened, MP opened, IPCP opened, OSICP opened, MPLSCP opened

Physical is MP

Output queue : (Urgent queue : Size/Length/Discards)  0/50/0

Output queue : (Protocol queue : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

    Last 300 seconds input:  0 bytes/sec 0 packets/sec

    Last 300 seconds output:  0 bytes/sec 0 packets/sec

    0 packets input, 0 bytes, 0 drops

    0 packets output, 0 bytes, 0 drops

# 在Router B上ping对端IP地址8.1.1.1。

[RouterB] ping 8.1.1.1

  PING 8.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms

    Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms

    Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=30 ms

    Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms

    Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms

 

  --- 8.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

round-trip min/avg/max = 29/30/31 ms

错误配置:

如果想将Serial2/1和Serial2/0一起绑定到同一个MP中,不幸将一个串口配成了ppp mp,而另一个配成ppp mp virtual-template 1,这时系统会分别将两个串口绑定到不同的MP中,工作将不正常,不能达到预期的效果。

5. 第三种绑定方式(将链路绑定到Mp-group接口)

在系统中,还增加了Mp-group接口,可以将链路绑定到Mp-group接口。这种MP实现方法与绑定到VT的第一种方式类似。

(1)        配置Router A

# 配置对端设备Router B在Router A上的用户名和密码。

<RouterA> system-view

[RouterA] local-user rtb

[RouterA-luser-rtb] password simple rtb

[RouterA-luser-rtb] service-type ppp

[RouterA-luser-rtb] quit

# 创建Mp-group接口,配置相应的IP地址。

[RouterA] interface mp-group 1

[RouterA-Mp-group1] ip address 111.1.1.1 24

# 配置串口Serial2/1。

[RouterA-Mp-group1] quit

[RouterA] interface serial 2/1

[RouterA-Serial2/1] link-protocol ppp

[RouterA-Serial2/1] ppp authentication-mode pap domain system

[RouterA-Serial2/1] ppp pap local-user rta password simple rta

[RouterA-Serial2/1] ppp mp mp-group 1

[RouterA-Serial2/1] shutdown

[RouterA-Serial2/1] undo shutdown

[RouterA-Serial2/1] quit

# 配置串口Serial2/0

[RouterA] interface serial 2/0

[RouterA-Serial2/0] link-protocol ppp

[RouterA-Serial2/0] ppp authentication-mode pap domain system

[RouterA-Serial2/0] ppp pap local-user rta password simple rta

[RouterA-Serial2/0] ppp mp mp-group 1

[RouterA-Serial2/0] shutdown

[RouterA-Serial2/0] undo shutdown

[RouterA-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain system

[RouterA-isp-system] authentication ppp local

[RouterA-isp-system] quit

(2)        配置Router B

# 配置对端设备Router A在Router B上的用户名和密码。

<RouterB> system-view

[RouterB] local-user rta

[RouterB-luser-rta] password simple rta

[RouterB-luser-rta] service-type ppp

[RouterB-luser-rta] quit

# 创建Mp-group接口,配置相应的IP地址。

[RouterB] interface mp-group 1

[RouterB-Mp-group1] ip address 111.1.1.2 24

[RouterB-Mp-group1] quit

# 配置串口Serial2/1。

[RouterB] interface serial 2/1

[RouterB-Serial2/1] link-protocol ppp

[RouterB-Serial2/1] ppp authentication-mode pap domain system

[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/1] ppp mp mp-group 1

[RouterB-Serial2/1] shutdown

[RouterB-Serial2/1] undo shutdown

[RouterB-Serial2/1] quit

# 配置串口Serial2/0。

[RouterB] interface serial 2/0

[RouterB-Serial2/0] link-protocol ppp

[RouterB-Serial2/0] ppp authentication-mode pap domain system

[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb

[RouterB-Serial2/0] ppp mp mp-group 1

[RouterB-Serial2/0] shutdown

[RouterB-Serial2/0] undo shutdown

[RouterB-Serial2/0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp local

[RouterB-isp-system] quit

(3)        在Router A上查看绑定效果:

[RouterA] display ppp mp

Mp-group is Mp-group1

Bundle Multilink, 2 member, Master link is Mp-group1

0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,

sequence 0/0 rcvd/sent

The bundled member channels are:

      Serial2/1

      Serial2/0

# 查看Mp-group1状态:

[RouterA] display interface Mp-group 1

Mp-group1 current state : UP

Line protocol current state : UP

Description : Mp-group1 Interface

The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 111.1.1.1/24

Link layer protocol is PPP

LCP opened, MP opened, IPCP opened, MPLSCP opened

Physical is MP

Output queue : (Urgent queue : Size/Length/Discards)  0/50/0

Output queue : (Protocol queue : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

    Last 300 seconds input:  0 bytes/sec 0 packets/sec

    Last 300 seconds output:  0 bytes/sec 0 packets/sec

    0 packets input, 0 bytes, 0 drops

    0 packets output, 0 bytes, 0 drops

# 在RouterA上ping对端IP:

[RouterA] ping 111.1.1.2

  PING 111.1.1.2: 56  data bytes, press CTRL_C to break

    Reply from 111.1.1.2: bytes=56 Sequence=1 ttl=255 time=29 ms

    Reply from 111.1.1.2: bytes=56 Sequence=2 ttl=255 time=31 ms

    Reply from 111.1.1.2: bytes=56 Sequence=3 ttl=255 time=29 ms

    Reply from 111.1.1.2: bytes=56 Sequence=4 ttl=255 time=30 ms

    Reply from 111.1.1.2: bytes=56 Sequence=5 ttl=255 time=30 ms

  --- 111.1.1.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 29/29/31 ms

需要注意的是,将链路绑定到Mp-group接口只有一种方式,就是在接口下直接指定相应的Mp-group接口。在这种MP绑定中,是将所有用户都绑定到一起,没有VA的概念。

1.7  PPP常见错误配置举例

1.7.1  链路始终不能转为up状态

1. 故障现象

PPP验证失败,链路始终不能转为up状态。

2. 故障分析

可能是由于PPP验证参数配置不正确,导致PPP验证失败。

3. 故障排除

打开PPP的调试开关,会看到LCP协商成功并转为up状态后进行PAP或CHAP协商,然后LCP转为down状态,则需要修改PPP验证参数的配置,保证验证方可以通过被验证方的验证。

1.7.2  物理链路不能转为up状态

1. 故障现象

物理链路始终是down状态。

2. 故障分析

物理链路始终是down状态,可能有以下原因:

l              接口没有被激活;

l              接口被管理员down掉;

l              物理接口已通,但是链路协商没有通过。

3. 故障排除

可以执行display interface命令来查看接口当前状态,判断故障原因,从而采取相应的方法使物理链路up。

接口有五种状态:

serial number is administratively down, line protocol is down表示该接口被管理员down。

serial number is down, line protocol is down:表示该接口没有被激活或物理层没有转为up状态。

Virtual-template number is down, line protocol is spoofing up:表示该接口是拨号口,没有呼通。

serial number is up, line protocol is up:表示该接口链路协商即LCP协商已通过。

serial number is up, line protocol is down:表示该接口已激活,但链路协商仍没有通过。

1.7.3  IPv6CP协商down后不能重协商

1. 故障现象

未使能IPv6的前提下在PPP链路上配置IPv6地址,IPv6CP无法协商up,使能IPv6功能后,依旧不能协商up。

2. 故障分析

未使能IPv6的前提下,IPv6CP无法协商成功,由于IPv6CP无重协商机制,所以后续再使能IPv6也无法使IPv6CP协商up。

3. 故障排除

l              在PPP链路上配置IPv6地址时,建议首先使能系统的IPv6功能,然后再配置IPv6地址。

l              如果IPv6CP协商down,可以通过命令shutdown/undo shutdown接口使其重新进行协商。

 


2 PPPoE配置

2.1  PPPoE简介

2.1.1  PPPoE

PPPoE是Point-to-Point Protocol over Ethernet的简称,它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务,并对接入的每个主机实现控制、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区组网等环境中。

PPPoE协议采用Client/Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。

PPPoE有两个阶段:Discovery阶段和PPP Session阶段,具体如下:

l              Discovery阶段

当一个主机开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的Session ID。这就是Discovery阶段的目的。

Discovery阶段结束时服务器和主机之间就确定了PPPoE会话的Session ID,双方进入PPPoE Session阶段。

l              PPP Session阶段

当PPPoE进入Session阶段后PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,Session ID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,主机或服务器任何一方都可发PADT(PPPoE Active Discovery Terminate)报文通知对方结束本Session。

关于PPPoE的详细介绍,可以参考RFC 2516。

2.1.2  PPPoE Server

设备提供了PPPoE Server的功能,支持动态分配IP地址,提供本地认证、RADIUS/TACACS+等多种认证方式,配合访问包过滤防火墙及状态防火墙,可以对内部网络提供安全保障,适用于校园、智能小区等通过以太网接入Internet的组网应用。

这种组网方式需要在用户Host上安装PPPoE客户端拨号软件。

2.1.3  PPPoE Client

PPPoE在ADSL宽带接入中被广泛使用。通常情况下,一台主机如果要通过ADSL接入Internet,必须在主机上安装PPPoE客户端拨号软件。设备实现了PPPoE Client功能(即PPPoE的客户端拨号功能),用户可以不用在Host上安装PPPoE客户端软件即可接入Internet,而且同一个局域网中的所有Host可以共享一个ADSL帐号。

图2-1 PPPoE Client典型组网图

 

图2-1可以看到:以太网内的计算机连接到设备上,在设备上运行PPPoE Client。上网的数据首先到达设备,再通过PPPoE协议对数据进行封装,经由设备挂接的ADSL Modem到达ADSL接入服务器,最终进入Internet。整个上网过程,不需要用户另外在计算机上安装PPPoE客户端拨号软件就可以实现。

2.2  配置PPPoE Server

PPPoE Server可以配置在物理以太网接口上,也可以配置在由ADSL接口生成的虚拟以太网接口上。关于在虚拟以太网接口上配置PPPoE Server,请参见“二层技术-广域网接入配置指导”中的“ATM”。

表2-1 配置PPPoE Server

操作

命令

说明

进入系统视图

system-view

-

创建虚拟接口模板并进入虚拟接口模板视图

interface virtual-template number

-

设置PPP的工作参数(包括验证方式、IP地址获取方式,用户还可以设置为PPP对端分配的IP地址或IP地址池)

请参见“1.2.1  配置PPP

可选

进入指定的以太网接口视图

interface interface-type interface-number

-

在以太网接口上启用PPPoE协议

pppoe-server bind virtual-template number

必选

缺省情况下,禁止PPPoE协议

退回系统视图

quit

-

配置一个对端MAC地址上能创建的最大PPPoE Session数目

pppoe-server max-sessions remote-mac number

可选

缺省情况下,number数值为100

配置一个本端MAC地址上能创建的最大PPPoE Session数目

pppoe-server max-sessions local-mac number

可选

缺省情况下,number数值为100

配置本系统能创建的最大PPPoE Session数目

pppoe-server max-sessions total number

可选

缺省情况下,系统能创建PPPoE会话的最大数目为4096

配置PPPoE异常下线统计门限值

pppoe-server abnormal-offline-count threshold number

可选

缺省情况下,PPPoE异常下线统计门限值为65535

如果5分钟之内的PPPoE异常下线统计数量高于门限值时,系统将会输出Trap信息

配置PPPoE异常下线率门限值

pppoe-server abnormal-offline-percent threshold number

可选

缺省情况下,PPPoE异常下线率门限值为100

如果5分钟之内的PPPoE异常下线率高于门限值时,系统将会输出Trap信息

配置PPPoE正常下线率门限值

pppoe-server normal-offline-percent threshold number

可选

缺省情况下,PPPoE正常下线率门限值为0

如果5分钟之内的PPPoE正常下线率低于门限值时,系统将会输出Trap信息

PPPoE Server对PPP用户进行认证、计费

相关内容请参见“安全配置指导”中的“AAA”

可选

关闭PPPoE Server产生的PPP日志信息的显示开关

pppoe-server

log-information off

可选

缺省情况下,打开PPPoE Server产生的PPP日志信息的显示开关

 

对于Virtual-Template接口,如果配置静态路由,请指定下一跳而不要指定出接口。如果必须指定出接口的话,请保证Virtual-Template下绑定的物理接口有效,从而保证报文能够正常传输。

 

2.3  配置PPPoE Client

PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。

2.3.1  配置拨号接口

在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上配置Dialer bundle。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。

表2-2 配置拨号接口(IPv4 PPPoE Client)

操作

命令

说明

进入系统视图

system-view

-

配置Dialer Rule

dialer-rule dialer-group { protocol-name { permit | deny } | acl acl-number }

必选

创建一个Dialer接口

interface dialer number

必选

新建一个Dialer用户

dialer user username

必选

配置接口IP地址

ip address { address mask | ppp-negotiate }

必选

配置接口的Dialer Bundle

dialer bundle bundle-number

必选

配置接口的Dialer Group

dialer-group group-number

必选

 

表2-3 配置拨号接口(IPv6 PPPoE Client)

操作

命令

说明

进入系统视图

system-view

-

使能IPv6报文转发功能

ipv6

必选

创建一个Dialer接口

interface dialer number

必选

新建一个Dialer用户

dialer user username

必选

配置接口IPv6地址

手工配置

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } [ link-local ]

两者必选其一

无状态自动配置

ipv6 address auto [ link-local ]

配置接口的Dialer Bundle

dialer bundle bundle-number

必选

 

根据需要,可能还要在Dialer接口上配置PPP验证等相关参数,关于拨号接口配置的详细介绍,请参见“二层技术-广域网接入配置指导”中的“DCC”。

 

2.3.2  配置PPPoE会话

PPPoE会话有三种工作方式:永久在线方式、报文触发方式、诊断方式。工作机制描述如下:

l              永久在线方式是指:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在。

l              报文触发方式是指:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户的配置,设备会自动中止PPPoE会话。

l              诊断方式是指:设备在配置完成后立即发起PPPoE呼叫,建立PPPoE会话。每隔用户配置的重建时间间隔,设备会自动断开该会话、并重新发起呼叫建立会话。通过定期建立、删除PPPoE会话,可以监控PPPoE链路是否处于正常工作状态。

PPPoE会话可以配置在物理以太网接口上,也可以配置在由ADSL接口生成的虚拟以太网接口上。当设备通过ADSL接口连入Internet的时候,需要在虚拟以太网接口配置PPPoE会话;当设备通过以太网接口连接ADSL Modem再连入Internet的时候,需要在以太网接口配置PPPoE会话。

关于在虚拟以太网接口上配置PPPoE会话,请参见“二层技术-广域网接入配置指导/ATM”中的PPPoEoA的相关内容。

表2-4 配置PPPoE会话

操作

命令

说明

进入系统视图

system-view

-

进入三层以太网接口或VLAN虚接口视图

interface interface-type interface-number

-

建立一个PPPoE会话,并且指定该会话所对应的Dialer Bundle

pppoe-client dial-bundle-number number [ no-hostuniq ] | idle-timeout seconds [ queue-length packets ] ]

必选

缺省情况下,没有配置PPPoE会话

 

l          在一个以太网接口上可以配置多个PPPoE会话,即一个以太网接口可以同时属于多个Dialer Bundle,但是一个Dialer Bundle中只能拥有一个以太网接口。PPPoE会话是和Dialer Bundle一一对应的。

l          IPv6 PPPoE会话目前不支持报文触发方式。

 

2.4  复位或删除PPPoE会话

表2-5 复位或删除PPPoE会话

操作

命令

说明

中止PPPoE Client端的会话,稍后再重新建立此会话

reset pppoe-client { all | dial-bundle-number number }

请在用户视图下进行该操作

中止PPPoE Server端的会话

reset pppoe-server { all | interface interface-type interface-number | virtual-template number }

中止PPPoE Client端的会话,此会话不会再被重新建立

undo pppoe-client dial-bundle-number number

请在以太网接口视图或者虚拟以太网接口视图下进行该操作

 

2.5  PPPoE显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示PPPoE配置后的运行情况,通过查看显示信息验证配置的效果。

表2-6 PPPoE显示和维护

配置

命令

显示PPPoE Server会话的状态和统计数据

display pppoe-server session { all | packet } [ | { begin | exclude | include } regular-expression ]

显示PPPoE Client会话的状态和统计信息

display pppoe-client session { packet | summary } [ dial-bundle-number number ] [ | { begin | exclude | include } regular-expression ]

 

2.6  PPPoE典型配置举例

2.6.1  PPPoE Server典型配置举例

1. 组网需求

图2-2所示,Host运行PPPoE Client,通过设备Router接入到Internet。设备作为PPPoE Server,配置本地认证,并通过地址池为用户分配IP地址。

2. 组网图

设备Router通过Ethernet1/1接口连接以太网,Serial2/0接口连接Internet。

图2-2 PPPoE Server典型配置举例组网图

 

3. 配置步骤

(1)        方案一:CHAP验证

# 增加一个PPPoE用户。

<Router> system-view

[Router] local-user user1

[Router-luser-user1] password simple pass1

[Router-luser-user1] service-type ppp

[Router-luser-user1] quit

# 配置虚拟模板参数。

[Router] interface virtual-template 1

[Router-Virtual-Template1] ppp authentication-mode chap domain system

[Router-Virtual-Template1] ppp chap user user1

[Router-Virtual-Template1] remote address pool 1

[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[Router-Virtual-Template1] quit

# 配置PPPoE Server。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] pppoe-server bind virtual-template 1

[Router-Ethernet1/1] quit

# 在系统缺省的ISP域system下,配置域用户使用本地认证方案。

[Router] domain system

[Router-isp-system] authentication ppp local

# 增加一个本地IP地址池(9个IP地址)

[Router-isp-system] ip pool 1 1.1.1.2 1.1.1.10

(2)        方案二:MS-CHAP验证

# 增加一个PPPoE用户。

<Router> system-view

[Router] local-user user1

[Router-luser-user1] password simple pass1

[Router-luser-user1] service-type ppp

[Router-luser-user1] quit

# 配置虚拟模板参数。

[Router] interface virtual-template 1

[Router-Virtual-Template1] ppp authentication-mode ms-chap domain system

[Router-Virtual-Template1] remote address pool 1

[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[Router-Virtual-Template1] quit

# 配置PPPoE Server。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] pppoe-server bind virtual-template 1

[Router-Ethernet1/1] quit

# 在系统缺省的ISP域system下,配置域用户使用本地认证方案。

[Router] domain system

[Router-isp-system] authentication ppp local

# 增加一个本地IP地址池(9个IP地址)

[Router-isp-system] ip pool 1 1.1.1.2 1.1.1.10

(3)        验证结果

这样,以太网上各主机安装PPPoE客户端软件后,配置好用户名和密码(此处为user1和pass1)就能使用PPPoE协议,通过设备Router接入到Internet。

若通过authentication ppp命令配置认证方案为radius-schemehwtacacs-scheme,那么还需要配置RADIUS/HWTACAS参数,使系统可以进行认证、授权、计费,具体配置步骤请参见“安全配置指导”中的“AAA”。

 

2.6.2  PPPoE Client典型配置举例

1. 组网需求

Router A和Router B之间通过各自的Ethernet1/1接口相连,要求Router A用PAP/CHAP方式验证Router B。

2. 组网图

图2-3 PPPoE Client典型配置举例组网图

 

3. 配置步骤

(1)        方案一:PAP验证

l              配置Router A作为PPPoE Server

# 增加一个PPPoE用户。

<RouterA> system-view

[RouterA] local-user user2

[RouterA-luser-user2] password simple hello

[RouterA-luser-user2] service-type ppp

[RouterA-luser-user2] quit

# 配置虚拟模板参数。

[RouterA] interface virtual-template 1

[RouterA-Virtual-Template1] ppp authentication-mode pap

[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[RouterA-Virtual-Template1] remote address 1.1.1.2

[RouterA-Virtual-Template1] quit

# 配置PPPoE Server。

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] pppoe-server bind virtual-template 1

l              配置Router B作为PPPoE Client

<RouterB> system-view

[RouterB] dialer-rule 1 ip permit

[RouterB] interface dialer 1

[RouterB-Dialer1] dialer user user2

[RouterB-Dialer1] dialer-group 1

[RouterB-Dialer1] dialer bundle 1

[RouterB-Dialer1] ip address ppp-negotiate

[RouterB-Dialer1] ppp pap local-user user2 password simple hello

[RouterB-Dialer1] quit

# 配置PPPoE会话。

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] pppoe-client dial-bundle-number 1

(2)        方案二:CHAP验证

l              配置Router A作为PPPoE Server

# 增加一个PPPoE用户。

<RouterA> system-view

[RouterA] local-user user2

[RouterA-luser-user2] password simple hello

[RouterA-luser-user2] service-type ppp

[RouterA-luser-user2] quit

# 配置虚拟模板参数。

[RouterA] interface virtual-template 1

[RouterA-Virtual-Template1] ppp authentication-mode chap

[RouterA-Virtual-Template1] ppp chap user user1

[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[RouterA-Virtual-Template1] remote address 1.1.1.2

[RouterA-Virtual-Template1] quit

# 配置PPPoE Server。

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] pppoe-server bind virtual-template 1

l              配置Router B作为PPPoE Client

<RouterB> system-view

[RouterB] dialer-rule 1 ip permit

[RouterB] interface dialer 1

[RouterB-Dialer1] dialer user user2

[RouterB-Dialer1] dialer-group 1

[RouterB-Dialer1] dialer bundle 1

[RouterB-Dialer1] ip address ppp-negotiate

[RouterB-Dialer1] ppp chap user user2

[RouterB-Dialer1] quit

[RouterB] local-user user1

[RouterB-luser-user1] password simple hello

[RouterB-luser-user1] quit

# 配置PPPoE会话。

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] pppoe-client dial-bundle-number 1

2.6.3  利用ADSL Modem将局域网接入Internet

1. 组网需求

l              局域网内的计算机通过Router A访问Internet,Router A通过ADSL Modem采用永久在线的方式接入DSLAM。

l              ADSL帐户的用户名为user1,密码为123456。

l              Router B作为PPPoE Server通过ATM1/0接口连接至DSLAM,提供RADIUS认证、计费功能。

l              在Router A上使能PPPoE Client功能,局域网内的主机不用安装PPPoE客户端软件即可访问Internet。

2. 组网图

图2-4 利用ADSL将局域网接入Internet组网图

 

3. 配置步骤

(1)        配置Router A作为PPPoE Client

# 配置Dialer接口。

<RouterA> system-view

[RouterA] dialer-rule 1 ip permit

[RouterA] interface dialer 1

[RouterA-Dialer1] dialer-group 1

[RouterA-Dialer1] dialer bundle 1

[RouterA-Dialer1] ip address ppp-negotiate

[RouterA-Dialer1] ppp pap local-user user1 password cipher 123456

[RouterA-Dialer1] quit

# 配置PPPoE会话。

[RouterA] interface ethernet 1/2

[RouterA-Ethernet1/2] pppoe-client dial-bundle-number 1

[RouterA-Ethernet1/2] quit

# 配置局域网接口及缺省路由。

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] ip address 192.168.1.1 255.255.255.0

[RouterA-Ethernet1/1] quit

[RouterA] ip route-static 0.0.0.0 0 dialer 1

如果局域网内计算机使用的IP地址为私有地址,还需要在设备上配置NATNetwork Address Translation,网络地址转换)。

NAT的相关内容请参见“三层技术-IP业务配置指导”中的“NAT”。

(2)        配置Router B作为PPPoE Server

# 增加一个PPPoE用户。

<RouterB> system-view

[RouterB] local-user user1

[RouterB-luser-user1] password simple 123456

[RouterB-luser-user1] service-type ppp

[RouterB-luser-user1] quit

# ATM口进行配置。

[RouterB] interface atm 1/0

[RouterB-Atm1/0] pvc 0/32

[RouterB-atm-pvc-Atm1/0-0/32] map bridge vrtual-ethernet 1

[RouterB-atm-pvc-Atm1/0-0/32] quit

[RouterB-Atm1/0] quit

# 在Virtual-Ethernet接口上使能PPPoE Server。

[RouterB] interface virtual-ethernet 1

[RouterB-Virtual-Ethernet1] pppoe-server bind virtual-template 1

[RouterB-Virtual-Ethernet1] quit

# 配置虚拟模板参数。

[RouterB] interface virtual-template 1

[RouterB-Virtual-Template1] ppp authentication-mode pap domain system

[RouterB-Virtual-Template1] remote address pool 1

[RouterB-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[RouterB-Virtual-Template1] quit

# 在系统缺省的ISP域system下,配置域用户使用RADIUS认证方案。

[RouterB] domain system

[RouterB-isp-system] authentication ppp radius-scheme cams

# 增加一个本地IP地址池(9个IP地址)。

[RouterB-isp-system] ip pool 1 1.1.1.2 1.1.1.10

[RouterB-isp-system] quit

# 配置RADIUS方案以及RADIUS认证/授权/计费服务器的IP地址和端口号。

[RouterB] radius scheme cams

[RouterB-radius-cams] primary authentication 10.110.91.146 1812

[RouterB-radius-cams] primary accounting 10.110.91.146 1813

[RouterB-radius-cams] key authentication expert

[RouterB-radius-cams] key accounting expert

[RouterB-radius-cams] server-type extended

[RouterB-radius-cams] user-name-format with-domain

[RouterB-radius-cams] quit

RADIUS的相关内容请参见“安全配置指导”中的“AAA”。

2.6.4  利用ADSL做备份线路

1. 组网需求

Router通过DDN专线和ADSL线路和网络中心Network Center相连,其中ADSL线路作为DDN专线的备份。当DDN专线发生故障时,Router仍然可以发起PPPoE呼叫通过ADSL线路连接到网络中心。如果在ADSL线路上有2分钟没有报文传输,则PPPoE会话将被自动中止。之后如果有新的报文需要被发送,则PPPoE会话会被重新建立。

2. 组网图

图2-5 利用ADSL做备份线路组网图

 

3. 配置步骤

配置Router

# 配置Dialer接口。

<Router> system-view

[Router] dialer-rule 1 ip permit

[Router] interface dialer 1

[Router-Dialer1] dialer user user1

[Router-Dialer1] dialer-group 1

[Router-Dialer1] dialer bundle 1

[Router-Dialer1] ip address ppp-negotiate

# 配置PPPoE会话。

[Router-Dialer1] interface ethernet 1/1

[Router-Ethernet1/1] pppoe-client dial-bundle-number 1 idle-timeout 120

[Router-Ethernet1/1] quit

# 配置DDN接口Serial2/0

[Router] interface serial 2/0

[Router-Serial2/0] ip address 10.1.1.1 255.255.255.0

[Router-Serial2/0] standby interface dialer 1

[Router-Serial2/0] quit

# 配置到对端的静态路由。

[Router] ip route 0.0.0.0 0 serial 2/0 preference 60

[Router] ip route 0.0.0.0 0 dialer 1 preference 70

2.6.5  设备通过ADSL接口接入Internet

1. 组网需求

Router拥有ADSL接口ATM1/0,它通过ADSL接口直接连入Internet,而不用再连接ADSL Modem。

2. 组网图

图2-6 设备通过ADSL接口连入Internet组网图

 

3. 配置步骤

# 配置Dialer接口。

<Router> system-view

[Router] dialer-rule 1 ip permit

[Router] interface dialer 1

[Router-Dialer1] dialer user mypppoe

[Router-Dialer1] dialer-group 1

[Router-Dialer1] dialer bundle 1

[Router-Dialer1] ip address ppp-negotiate

# 配置Virtual-Ethernet接口。

[Router-Dialer1] interface virtual-ethernet 1

[Router-Virtual-Ethernet1] mac 0001-0002-0003

[Router-Virtual-Ethernet1] quit

[Router]interface atm 1/0.1

[Router-atm1/0.1]pvc to_adsl_a 0/60

[Router-atm-pvc-atm1/0.1-0/60-to_adsl_a] map bridge virtual-ethernet 1

[Router-atm-pvc-atm1/0.1-0/60-to_adsl_a] quit

[Router-atm1/0.1] quit

# 配置PPPoE会话。

[Router] interface virtual-ethernet 1

[Router-Virtual-Ethernet1] pppoe-client dial-bundle-number 1 idle-timeout 120

[Router-Virtual-Ethernet1] quit

# 配置缺省路由。

[Router]ip route-static 0.0.0.0 0.0.0.0 dialer 1

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!