目  录

1 PPP

1.1 PPP简介

1.1.1 PPP简介

1.2 配置PPP

1.2.1 PPP配置任务简介

1.2.2 配置接口封装PPP协议

1.2.3 配置PPP认证方式

1.2.4 配置轮询时间间隔

1.2.5 配置PPP协商参数

1.2.6 配置PPP计费统计功能

1.3 PPP常见错误配置举例

1.3.1 链路始终不能转为up状态

1.3.2 IPv6CP协商down后不能重协商

2 PPPoE Client

2.1 PPPoE简介

2.1.1 PPPoE概述

2.1.2 PPPoE组网结构

2.1.3 协议规范

2.2 配置PPPoE Client

2.3 PPPoE显示和维护

2.4 PPPoE Client典型配置举例

1 PPP

1.1  PPP简介

1.1.1  PPP简介

PPP（Point-to-Point Protocol，点对点协议）是在点到点链路上承载网络层数据包的一种链路层协议。它能够提供用户认证，易于扩充，并且支持同/异步通信，因而获得广泛应用。

PPP定义了一整套协议，包括：

·     链路控制协议（Link Control Protocol，LCP）：主要用来建立、拆除和监控数据链路。

·     网络控制协议（Network Control Protocol，NCP）：主要用来协商在数据链路上所传输的数据包的格式与类型。

·     认证协议：主要用于网络安全方面，包括PAP（Password Authentication Protocol，密码认证协议）、CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）、MS-CHAP（Microsoft CHAP，微软CHAP协议）和MS-CHAP-V2（Microsoft CHAP Version 2）。

1. PPP链路建立过程

PPP链路建立过程如图1-1所示：

(1)     PPP初始状态为不活动（Dead）状态，当物理层Up后，PPP会进入链路建立（Establish）阶段。

(2)     PPP在Establish阶段主要进行链路控制协商（LCP）。LCP协商内容包括：Authentication-Protocol（认证协议类型）、ACCM（Async-Control-Character-Map，异步控制字符映射表）、PFC（Protocol-Field-Compression，协议字段压缩）等选项。如果LCP协商失败，报Fail事件，PPP回到Dead状态；如果LCP协商成功，LCP进入Opened状态，上报Up事件，表示链路已经建立（此时对于网络层而言PPP链路还没有建立，还不能够在上面成功传输网络层报文）。

(3)     如果配置了认证，则进入Authenticate阶段，开始PAP、CHAP、MS-CHAP或MS-CHAP-V2认证。如果认证失败，报Fail事件，进入Terminate阶段，拆除链路，LCP状态转为Down，PPP回到Dead状态；如果认证成功，上报Success事件。

(4)     如果配置了网络层协议，则进入Network协商阶段，进行NCP协商（如IPCP协商、IPv6CP协商）。如果NCP协商成功，链路就会UP，就可以开始承载协商指定的网络层报文了；如果NCP协商失败，报Down事件，进入Terminate阶段。（对于IPCP协商，如果接口配置了IP地址，则进行IPCP协商，IPCP协商通过后，PPP才可以承载IP报文。IPCP协商内容包括：PPP两端的IP地址、IP报文的压缩协议、DNS服务器地址等。）

(5)     到此，PPP链路将一直保持通信，直至有明确的LCP或NCP消息关闭这条链路，或发生了某些外部事件（例如用户的干预）。

图1-1 PPP链路建立过程

有关PPP的详细介绍请参考RFC 1661。

2. PPP认证

PPP提供了在其链路上进行安全认证的手段，使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合，可在PPP链路上对对端用户进行认证、计费，除此之外，可以基于认证给对端分配IP地址等。

PPP支持如下认证方式：PAP、CHAP、MS-CHAP、MS-CHAP-V2。

(1)     PAP认证

PAP为两次握手协议，它通过用户名和密码来对用户进行认证。

PAP在网络上以明文的方式传递用户名和密码，认证报文如果在传输过程中被截获，便有可能对网络安全造成威胁。因此，它适用于对网络安全要求相对较低的环境。

(2)     CHAP认证

CHAP为三次握手协议。

验证分为单向验证和双向验证。CHAP单向认证过程又分为两种方式：认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式，这样被认证方可以对认证方的身份进行确认。

CHAP只在网络上传输用户名，而并不传输用户密码（准确的讲，它不直接传输用户密码，传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果），因此它的安全性要比PAP高。

(3)     MS-CHAP认证

MS-CHAP为三次握手协议，认证过程与CHAP类似，MS-CHAP与CHAP的不同之处在于：

·     MS-CHAP采用的加密算法是0x80。

·     MS-CHAP支持重传机制。在被认证方认证失败的情况下，如果认证方允许被认证方进行重传，被认证方会将认证相关信息重新发回认证方，认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。

(4)     MS-CHAP-V2认证

MS-CHAP-V2为三次握手协议，认证过程与CHAP类似，MS-CHAP-V2与CHAP的不同之处在于：

·     MS-CHAP-V2采用的加密算法是0x81。

·     MS-CHAP-V2通过报文捎带的方式实现了认证方和被认证方的双向认证。

·     MS-CHAP-V2支持重传机制。在被认证方认证失败的情况下，如果认证方允许被认证方进行重传，被认证方会将认证相关信息重新发回认证方，认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。

·     MS-CHAP-V2支持修改密码机制。被认证方由于密码过期导致认证失败时，被认证方会将用户输入的新密码信息发回认证方，认证方根据新密码信息重新进行认证。

1.2  配置PPP

1.2.1  PPP配置任务简介

表1-1 PPP配置任务简介

1.2.2  配置接口封装PPP协议

表1-2 配置接口封装PPP协议

1.2.3  配置PPP认证方式

PPP支持如下认证方式：PAP、CHAP、MS-CHAP、MS-CHAP-V2。用户可以同时配置多种认证方式，在LCP协商过程中，认证方根据用户配置的认证方式顺序逐一与被认证方进行协商，直到协商通过。如果协商过程中，被认证方回应的协商报文中携带了建议使用的认证方式，认证方查找配置中存在该认证方式，则直接使用该认证方式进行认证。

1. 配置PAP认证

(1)     配置认证方

表1-3 配置认证方

(2)     配置被认证方

表1-4 配置PAP认证的被认证方

2. 配置CHAP认证

CHAP认证分为两种：认证方配置了用户名和认证方没有配置用户名。

(1)     认证方配置了用户名

·     配置认证方

表1-5 配置认证方

·     配置被认证方

表1-6 配置被认证方

(2)     认证方没有配置用户名

·     配置认证方

表1-7 配置认证方

·     配置被认证方

表1-8 配置被认证方

3. 配置MS-CHAP或MS-CHAP-V2认证

与CHAP认证相同，MS-CHAP和MS-CHAP-V2认证也分为两种：认证方配置了用户名和认证方没有配置用户名。

表1-9 配置MS-CHAP或MS-CHAP-V2认证的认证方（认证方配置了用户名）

表1-10 配置MS-CHAP或MS-CHAP-V2认证的认证方（认证方没有配置用户名）

1.2.4  配置轮询时间间隔

轮询时间间隔，即接口发送keepalive报文的周期。

如果将轮询时间间隔配置为0秒，则不发送keepalive报文。

在速率非常低的链路上，轮询时间间隔不能配置过小。因为在低速链路上，大报文可能会需要很长的时间才能传送完毕，这样就会延迟keepalive报文的发送与接收。而接口如果在多个keepalive周期之后仍然无法收到对端的keepalive报文，它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制，链路就会被认为发生故障而被关闭。

表1-11 配置轮询时间间隔

1.2.5  配置PPP协商参数

可以配置的PPP协商参数包括：

·     协商超时时间间隔

·     协商IP地址

1. 配置协商超时时间间隔

在PPP协商过程中，如果在这个时间间隔内没有收到对端的应答报文，则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1～10秒。

表1-12 配置协商超时时间间隔

2. 配置PPP协商IP地址

在PPP协商IP地址的过程中，设备可以分为两种角色：

·     配置设备作为Client端：若本端接口封装的链路层协议为PPP但还未配置IP地址，而对端已有IP地址并且配置有地址池时，可为本端接口配置IP地址可协商属性，使本端接口接受由对端分配的IP地址。该方式主要用于设备在通过ISP访问Internet时，由ISP分配IP地址。

·     配置设备作为Server端：若是设备作为Server为对端设备分配IP地址，则应首先在域视图或系统视图下配置本地IP地址池，指明地址池的地址范围，然后在接口视图下指定该接口使用的地址池。

(1)     配置Client端

表1-13 配置Client端

(2)     配置Server端

对于不需要进行认证的PPP用户，Server端的配置方式如表1-14所示。

表1-14 配置Server端（对于不需要进行认证的PPP用户）

对于需要进行认证的PPP用户，Server端的配置方式如表1-15所示。如果采用这种方式，则需要在进行PPP认证时指定的域中定义地址池。

表1-15 配置Server端（对于需要进行认证的PPP用户）

1.2.6  配置PPP计费统计功能

PPP协议可以为每条PPP链路提供基于流量的计费统计功能，具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“安全配置指导”中的“AAA”。

表1-16 配置PPP计费统计功能

1.3  PPP常见错误配置举例

1.3.1  链路始终不能转为up状态

1. 故障现象

PPP认证失败，链路始终不能转为up状态。

2. 故障分析

可能是由于PPP认证参数配置不正确，导致PPP认证失败。

3. 故障排除

打开PPP的调试开关，会看到LCP协商成功并转为up状态后进行PAP或CHAP协商，然后LCP转为down状态，则需要修改PPP认证参数的配置，保证认证方可以通过被认证方的认证。

1.3.2  IPv6CP协商down后不能重协商

1. 故障现象

未使能IPv6的前提下在PPP链路上配置IPv6地址，IPv6CP无法协商up，使能IPv6功能后，依旧不能协商up。

2. 故障分析

未使能IPv6的前提下，IPv6CP无法协商成功。由于IPv6CP无重协商机制，所以后续再使能IPv6也无法使IPv6CP协商up。

3. 故障排除

·     在PPP链路上配置IPv6地址时，建议首先使能系统的IPv6功能，然后再配置IPv6地址。

·     如果IPv6CP协商down，可以通过依次执行命令shut down/undo shutdown接口使其重新进行协商。

2 PPPoE Client

2.1  PPPoE简介

2.1.1  PPPoE概述

PPPoE（Point-to-Point Protocol over Ethernet，在以太网上承载PPP协议）的提出，解决了PPP无法应用于以太网的问题，是对PPP的扩展。

PPPoE将PPP报文封装在以太网帧之内，在以太网上提供点对点的连接。PPPoE可以通过一个远端接入设备为以太网上的主机提供互联网接入服务，并对接入的每个主机实现控制、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能，PPPoE被广泛应用于小区组网等环境中。

2.1.2  PPPoE组网结构

PPPoE使用Client/Server模型，PPPoE的客户端为PPPoE Client，PPPoE的服务器端为PPPoE Server。PPPoE Client向PPPoE Server发起连接请求，两者之间会话协商通过后，PPPoE Server向PPPoE Client提供接入控制、认证等功能。

组网结构如图2-1所示，在设备之间建立PPP会话，所有主机通过同一个PPP会话传送数据，主机上不用安装PPPoE客户端拨号软件，一般是一个企业（公司）共用一个账号（图中的PPPoE Client位于企业/公司内部，PPPoE Server是运营商的设备）。

图2-1 PPPoE组网结构图

2.1.3  协议规范

与PPPoE相关的协议规范有：

·     RFC 2516：A Method for Transmitting PPP Over Ethernet (PPPoE)

2.2  配置PPPoE Client

PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。

1. 配置拨号接口

在配置PPPoE会话之前，需要先配置一个Dialer接口，并在接口上配置Dialer bundle。每个PPPoE会话唯一对应一个Dialer bundle，而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。

表2-1 配置拨号接口（IPv4 PPPoE Client）

表2-2 配置拨号接口（IPv6 PPPoE Client）

2. 配置PPPoE会话

PPPoE会话有三种工作方式：永久在线方式、报文触发方式、诊断方式。

·     永久在线方式：当物理线路up后，设备会立即发起PPPoE呼叫，建立PPPoE会话。除非用户删除PPPoE会话，否则此PPPoE会话将一直存在。

·     报文触发方式：当物理线路up后，设备不会立即发起PPPoE呼叫，只有当有数据需要传送时，设备才会发起PPPoE呼叫，建立PPPoE会话。如果PPPoE链路的空闲时间超过用户配置的值，设备会自动中止PPPoE会话。

·     诊断方式：设备在配置完成后立即发起PPPoE呼叫，建立PPPoE会话。每隔用户配置的重建时间间隔，设备会自动断开该会话、并重新发起呼叫建立会话。通过定期建立、删除PPPoE会话，可以监控PPPoE链路是否处于正常工作状态。

表2-3 配置PPPoE会话

2.3  PPPoE显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示PPPoE配置后的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除PPPoE会话。

表2-4 PPPoE显示和维护

2.4  PPPoE Client典型配置举例

1. 组网需求

Router的Ethernet1/1和AP的VLAN1接口相连，要求Router 用PAP/CHAP方式验证AP。

2. 组网图

图2-2 PPPoE Client典型配置举例组网图

3. 配置步骤

(1)     方案一：PAP验证

·     配置Router 作为PPPoE Server

# 增加一个PPPoE用户。

<Router> system-view

[Router] local-user user2

[Router-luser-user2] password simple hello

[Router-luser-user2] service-type ppp

[Router-luser-user2] quit

# 配置虚拟模板参数。

[Router] interface virtual-template 1

[Router-Virtual-Template1] ppp authentication-mode pap

[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[Router-Virtual-Template1] remote address 1.1.1.2

[Router-Virtual-Template1] quit

# 配置PPPoE Server。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] pppoe-server bind virtual-template 1

·     配置AP作为PPPoE Client

<AP> system-view

[AP] dialer-rule 1 ip permit

[AP] interface dialer 1

[AP-Dialer1] dialer user user2

[AP-Dialer1] dialer-group 1

[AP-Dialer1] dialer bundle 1

[AP-Dialer1] ip address ppp-negotiate

[AP-Dialer1] ppp pap local-user user2 password simple hello

[AP-Dialer1] quit

# 配置PPPoE会话。

[AP] interface Vlan-interface 1

[AP-Vlan-interface1] pppoe-client dial-bundle-number 1

(2)     方案二：CHAP验证

·     配置Router作为PPPoE Server

# 增加一个PPPoE用户。

<Router> system-view

[Router] local-user user2

[Router-luser-user2] password simple hello

[Router-luser-user2] service-type ppp

[Router-luser-user2] quit

# 配置虚拟模板参数。

[Router] interface virtual-template 1

[Router-Virtual-Template1] ppp authentication-mode chap

[Router-Virtual-Template1] ppp chap user user1

[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0

[Router-Virtual-Template1] remote address 1.1.1.2

[Router-Virtual-Template1] quit

# 配置PPPoE Server。

[Router] interface ethernet 1/1

[Router-Ethernet1/1] pppoe-server bind virtual-template 1

·     配置AP作为PPPoE Client

<AP> system-view

[AP] dialer-rule 1 ip permit

[AP] interface dialer 1

[AP-Dialer1] dialer user user2

[AP-Dialer1] dialer-group 1

[AP-Dialer1] dialer bundle 1

[AP-Dialer1] ip address ppp-negotiate

[AP-Dialer1] ppp chap user user2

[AP-Dialer1] quit

[AP] local-user user1

[AP-luser-user1] password simple hello

[AP-luser-user1] quit

# 配置PPPoE会话。

[AP] interface Vlan-interface 1

[AP-Vlan-interface1] pppoe-client dial-bundle-number 1