08-PPP配置
本章节下载: 08-PPP配置 (275.53 KB)
目 录
PPP(Point-to-Point Protocol,点对点协议)是在点到点链路上承载网络层数据包的一种链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信,因而获得广泛应用。
PPP定义了一整套协议,包括:
· 链路控制协议(Link Control Protocol,LCP):主要用来建立、拆除和监控数据链路。
· 网络控制协议(Network Control Protocol,NCP):主要用来协商在数据链路上所传输的数据包的格式与类型。
· 认证协议:主要用于网络安全方面,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MS-CHAP(Microsoft CHAP,微软CHAP协议)和MS-CHAP-V2(Microsoft CHAP Version 2)。
PPP链路建立过程如图1-1所示:
(1) PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2) PPP在Establish阶段主要进行链路控制协商(LCP)。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、PFC(Protocol-Field-Compression,协议字段压缩)等选项。如果LCP协商失败,报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文)。
(3) 如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MS-CHAP或MS-CHAP-V2认证。如果认证失败,报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,上报Success事件。
(4) 如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文了;如果NCP协商失败,报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:PPP两端的IP地址、IP报文的压缩协议、DNS服务器地址等。)
(5) 到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
图1-1 PPP链路建立过程
有关PPP的详细介绍请参考RFC 1661。
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费,除此之外,可以基于认证给对端分配IP地址等。
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。
(1) PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
(2) CHAP认证
CHAP为三次握手协议。
验证分为单向验证和双向验证。CHAP单向认证过程又分为两种方式:认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,而并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
(3) MS-CHAP认证
MS-CHAP为三次握手协议,认证过程与CHAP类似,MS-CHAP与CHAP的不同之处在于:
· MS-CHAP采用的加密算法是0x80。
· MS-CHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
(4) MS-CHAP-V2认证
MS-CHAP-V2为三次握手协议,认证过程与CHAP类似,MS-CHAP-V2与CHAP的不同之处在于:
· MS-CHAP-V2采用的加密算法是0x81。
· MS-CHAP-V2通过报文捎带的方式实现了认证方和被认证方的双向认证。
· MS-CHAP-V2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MS-CHAP-V2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
表1-1 PPP配置任务简介
配置任务 |
说明 |
详细配置 |
配置接口封装PPP协议 |
必选 |
|
配置PPP认证方式 |
可选 |
|
配置轮询时间间隔 |
可选 |
|
配置PPP协商参数 |
可选 |
|
配置PPP计费统计功能 |
可选 |
表1-2 配置接口封装PPP协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置接口封装的链路层协议为PPP |
link-protocol ppp |
可选 缺省情况下,除以太网接口、VLAN接口外,其它接口封装的链路层协议均为PPP |
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
(1) 配置认证方
表1-3 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为PAP |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
(2) 配置被认证方
表1-4 配置PAP认证的被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码 |
ppp pap local-user username password { cipher | simple } password |
必选 缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空 |
CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名。
(1) 认证方配置了用户名
· 配置认证方
表1-5 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用CHAP认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码; · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
· 配置被认证方
表1-6 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码 |
必选 为认证方配置的用户名必须与认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
(2) 认证方没有配置用户名
· 配置认证方
表1-7 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致 |
· 配置被认证方
表1-8 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
设置CHAP认证密码 |
ppp chap password { cipher | simple } password |
必选 在认证方上为被认证方配置的密码必须跟此处配置的一致 |
· 设备只能作为MS-CHAP和MS-CHAP-V2的认证方来对其它设备进行认证。
· MS-CHAP-V2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
与CHAP认证相同,MS-CHAP和MS-CHAP-V2认证也分为两种:认证方配置了用户名和认证方没有配置用户名。
表1-9 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方配置了用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用MS-CHAP或MS-CHAP-V2认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
表1-10 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方没有配置用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
轮询时间间隔,即接口发送keepalive报文的周期。
如果将轮询时间间隔配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,轮询时间间隔不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在多个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
表1-11 配置轮询时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置轮询时间间隔 |
timer hold seconds |
可选 缺省情况下,轮询时间间隔为10秒 |
可以配置的PPP协商参数包括:
· 协商超时时间间隔
· 协商IP地址
在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
表1-12 配置协商超时时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
配置协商超时时间间隔 |
ppp timer negotiate seconds |
可选 缺省情况下,协商超时时间间隔为3秒 |
在PPP协商IP地址的过程中,设备可以分为两种角色:
· 配置设备作为Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址并且配置有地址池时,可为本端接口配置IP地址可协商属性,使本端接口接受由对端分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
· 配置设备作为Server端:若是设备作为Server为对端设备分配IP地址,则应首先在域视图或系统视图下配置本地IP地址池,指明地址池的地址范围,然后在接口视图下指定该接口使用的地址池。
(1) 配置Client端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
必选 |
(2) 配置Server端
对于不需要进行认证的PPP用户,Server端的配置方式如表1-14所示。
表1-14 配置Server端(对于不需要进行认证的PPP用户)
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
通过使用全局地址池给对端分配地址,或者直接为对端指定IP地址 |
首先定义全局IP地址池,然后在接口上使用全局地址池给PPP用户分配IP地址 |
ip pool pool-number low-ip-address [ high-ip-address ] |
二者必选其一 当配置了remote address pool但没有指定pool-number时,缺省使用0号全局地址池 |
interface interface-type interface-number |
|||
remote address pool [ pool-number ] |
|||
接口直接为对端指定IP地址 |
interface interface-type interface-number |
||
remote address ip-address |
对于需要进行认证的PPP用户,Server端的配置方式如表1-15所示。如果采用这种方式,则需要在进行PPP认证时指定的域中定义地址池。
表1-15 配置Server端(对于需要进行认证的PPP用户)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ISP域视图 |
domain domain-name |
- |
定义域地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
必选 |
退回系统视图 |
quit |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
使用域地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
必选 若配置该命令时不指定pool-number,则在IP地址协商时按照地址池编号顺序依次使用该域下的地址池给用户分配IP地址 |
配置PPP IPCP不允许对端使用自行配置的固定IP地址 |
ppp ipcp remote-address forced |
可选 缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制性,即本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址 |
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“安全配置指导”中的“AAA”。
表1-16 配置PPP计费统计功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Dialer接口视图 |
interface interface-type interface-number |
- |
开启PPP计费统计功能 |
ppp account-statistics enable [ acl { acl-number | name acl-name } ] |
必选 缺省情况下,计费统计功能处于关闭状态 |
PPP认证失败,链路始终不能转为up状态。
可能是由于PPP认证参数配置不正确,导致PPP认证失败。
打开PPP的调试开关,会看到LCP协商成功并转为up状态后进行PAP或CHAP协商,然后LCP转为down状态,则需要修改PPP认证参数的配置,保证认证方可以通过被认证方的认证。
未使能IPv6的前提下在PPP链路上配置IPv6地址,IPv6CP无法协商up,使能IPv6功能后,依旧不能协商up。
未使能IPv6的前提下,IPv6CP无法协商成功。由于IPv6CP无重协商机制,所以后续再使能IPv6也无法使IPv6CP协商up。
· 在PPP链路上配置IPv6地址时,建议首先使能系统的IPv6功能,然后再配置IPv6地址。
· 如果IPv6CP协商down,可以通过依次执行命令shut down/undo shutdown接口使其重新进行协商。
· 目前,设备仅支持PPPoE Client。
· 本文所指的路由器代表了一般意义下的路由器,以及运行了路由协议的无线接入点产品,为了提高可读性,在手册中的描述将不另行说明。
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP的扩展。
PPPoE将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。PPPoE可以通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每个主机实现控制、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区组网等环境中。
PPPoE使用Client/Server模型,PPPoE的客户端为PPPoE Client,PPPoE的服务器端为PPPoE Server。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,PPPoE Server向PPPoE Client提供接入控制、认证等功能。
组网结构如图2-1所示,在设备之间建立PPP会话,所有主机通过同一个PPP会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业(公司)共用一个账号(图中的PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。
图2-1 PPPoE组网结构图
与PPPoE相关的协议规范有:
· RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上配置Dialer bundle。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
表2-1 配置拨号接口(IPv4 PPPoE Client)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Dialer Rule |
dialer-rule dialer-group { protocol-name { deny | permit } | acl acl-number } |
必选 |
创建一个Dialer接口并进入该Dialer接口视图 |
interface dialer number |
必选 |
新建一个Dialer用户 |
dialer user username |
必选 |
配置接口IP地址 |
ip address { address mask | ppp-negotiate } |
必选 |
配置接口的Dialer bundle |
dialer bundle bundle-number |
必选 |
配置接口的Dialer Group |
dialer-group group-number |
必选 |
表2-2 配置拨号接口(IPv6 PPPoE Client)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能IPv6报文转发功能 |
ipv6 |
必选 |
创建一个Dialer接口并进入该Dialer接口视图 |
interface dialer number |
必选 |
新建一个Dialer用户 |
dialer user username |
必选 |
配置接口IPv6地址 |
请参见“三层技术-IP业务配置指导”中的“IPv6基础” |
必选 |
配置接口的Dialer bundle |
dialer bundle bundle-number |
必选 |
IPv6相关命令的介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”。
PPPoE会话有三种工作方式:永久在线方式、报文触发方式、诊断方式。
· 永久在线方式:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在。
· 报文触发方式:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户配置的值,设备会自动中止PPPoE会话。
· 诊断方式:设备在配置完成后立即发起PPPoE呼叫,建立PPPoE会话。每隔用户配置的重建时间间隔,设备会自动断开该会话、并重新发起呼叫建立会话。通过定期建立、删除PPPoE会话,可以监控PPPoE链路是否处于正常工作状态。
表2-3 配置PPPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
建立一个PPPoE会话,并且指定该会话所对应的Dialer bundle |
pppoe-client dial-bundle-number number [ no-hostuniq ] [ diagnose [ interval seconds ] | idle-timeout seconds [ queue-length packets ] ] |
必选 缺省情况下,没有配置PPPoE会话 |
· 在一个VLAN接口上可以配置多个PPPoE会话,即一个VLAN接口可以同时属于多个Dialer bundle,但是一个Dialer bundle中只能拥有一个VLAN接口。PPPoE会话是和Dialer bundle一一对应的。
· IPv6 PPPoE会话目前不支持报文触发方式。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除PPPoE会话。
表2-4 PPPoE显示和维护
命令 |
|
显示PPPoE Client会话的状态和统计信息 |
display pppoe-client session { packet | summary } [ dial-bundle-number number ] [ | { begin | exclude | include } regular-expression ] |
复位PPPoE Client端的会话,并在稍后重新发起连接 |
reset pppoe-client { all | dial-bundle-number number } |
Router的Ethernet1/1和AP的VLAN1接口相连,要求Router 用PAP/CHAP方式验证AP。
图2-2 PPPoE Client典型配置举例组网图
(1) 方案一:PAP验证
· 配置Router 作为PPPoE Server
# 增加一个PPPoE用户。
<Router> system-view
[Router] local-user user2
[Router-luser-user2] password simple hello
[Router-luser-user2] service-type ppp
[Router-luser-user2] quit
# 配置虚拟模板参数。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode pap
[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Router-Virtual-Template1] remote address 1.1.1.2
[Router-Virtual-Template1] quit
# 配置PPPoE Server。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] pppoe-server bind virtual-template 1
· 配置AP作为PPPoE Client
<AP> system-view
[AP] dialer-rule 1 ip permit
[AP] interface dialer 1
[AP-Dialer1] dialer user user2
[AP-Dialer1] dialer-group 1
[AP-Dialer1] dialer bundle 1
[AP-Dialer1] ip address ppp-negotiate
[AP-Dialer1] ppp pap local-user user2 password simple hello
[AP-Dialer1] quit
# 配置PPPoE会话。
[AP] interface Vlan-interface 1
[AP-Vlan-interface1] pppoe-client dial-bundle-number 1
(2) 方案二:CHAP验证
· 配置Router作为PPPoE Server
# 增加一个PPPoE用户。
<Router> system-view
[Router] local-user user2
[Router-luser-user2] password simple hello
[Router-luser-user2] service-type ppp
[Router-luser-user2] quit
# 配置虚拟模板参数。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap
[Router-Virtual-Template1] ppp chap user user1
[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Router-Virtual-Template1] remote address 1.1.1.2
[Router-Virtual-Template1] quit
# 配置PPPoE Server。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] pppoe-server bind virtual-template 1
· 配置AP作为PPPoE Client
<AP> system-view
[AP] dialer-rule 1 ip permit
[AP] interface dialer 1
[AP-Dialer1] dialer user user2
[AP-Dialer1] dialer-group 1
[AP-Dialer1] dialer bundle 1
[AP-Dialer1] ip address ppp-negotiate
[AP-Dialer1] ppp chap user user2
[AP-Dialer1] quit
[AP] local-user user1
[AP-luser-user1] password simple hello
[AP-luser-user1] quit
# 配置PPPoE会话。
[AP] interface Vlan-interface 1
[AP-Vlan-interface1] pppoe-client dial-bundle-number 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!