05-PPP配置
本章节下载: 05-PPP配置 (289.15 KB)
PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。
PPP定义了一整套协议,包括:
· 链路控制协议(Link Control Protocol,LCP):用来建立、拆除和监控数据链路。
· 网络控制协议(Network Control Protocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型。
· 认证协议:用来对用户进行认证,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MSCHAP(Microsoft CHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2)。
PPP链路建立过程如图1-1所示:
(1) PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2) PPP在Establish阶段主要进行LCP协商。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还未建立,还不能够在上面成功传输网络层报文)。
(3) 如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证。如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件。
(4) 如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:IP地址、DNS服务器地址等。)
(5) 到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
图1-1 PPP链路建立过程
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费。
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
CHAP为三次握手协议。
CHAP认证过程分为两种方式:认证方配置了用户名、认证方未配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:
· MSCHAP采用的加密算法是0x80。
· MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:
· MSCHAPv2采用的加密算法是0x81。
· MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。
· MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商。
PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址。
在PPP协商IP地址的过程中,设备可以分为两种角色:
· Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
· Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商。
当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见“用户接入配置指导”中的“AAA”)和接口下的配置,按照如下顺序给Client端分配IP地址:
· 如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置)。
· 如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址。
· 如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址。
设备在进行IPCP协商的过程中可以进行DNS服务器地址协商。设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址。通常情况下:
· 当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;
· 当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。
在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6 DNS服务器地址。
PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能直接协商出IPv6地址。
客户端可以通过如下三种方式分配到IPv6全球单播地址:
· 方式1:客户端通过ND协议中的RA报文获得IPv6地址前缀。客户端采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址。RA报文中携带的IPv6地址前缀的来源有三种:AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。三种来源的优先级依次降低,AAA授权的优先级最高。关于ND协议的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
· 方式2:客户端通过DHCPv6协议申请IPv6全球单播地址。在服务器端可以通过AAA授权为每个客户端分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给客户端。如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为客户端分配地址。关于DHCPv6协议的详细介绍请参见“用户接入配置指导”中的“DHCPv6”。
· 方式3:客户端通过DHCPv6协议申请代理前缀,客户端通过代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
根据组网不同,主机获取IPv6地址的方式如下:
· 当主机通过桥设备或者直连接入设备时,设备可以采用上述的方式1或方式2直接为主机分配IPv6全球单播地址。
· 当主机通过路由器接入设备时,设备可以采用方式3为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址。
在IPv6网络中,IPv6 DNS服务器地址的分配有如下两种方式:
· AAA授权IPv6 DNS服务器地址,通过ND协议中的RA报文将此IPv6 DNS服务器地址分配给主机。
· DHCPv6客户端向DHCPv6服务器申请IPv6 DNS服务器地址。
与PPP相关的协议规范有:
· RFC 1661:The Point-to-Point Protocol (PPP)
表1-1 PPP配置任务简介
配置任务 |
说明 |
详细配置 |
配置虚拟模板接口 |
必选 |
|
配置PPP认证方式 |
必选 |
|
配置轮询功能 |
可选 |
|
配置PPP链路keepalive报文的快速应答功能 |
可选 |
|
配置PPP协商参数 |
必选 |
|
配置PPP计费统计功能 |
可选 |
|
配置PPP接入用户日志信息功能 |
可选 |
|
配置业务跟踪对象功能 |
可选 |
|
配置PPP用户静默功能 |
可选 |
|
配置PPP用户的nas-port-type属性 |
可选 |
|
配置抑制PPP对端主机路由添加到本端直连路由表的功能 |
可选 |
|
配置PPP在线用户流量统计的频率模式 |
可选 |
VT(Virtual Template,虚拟模板)接口是设备上手工创建的虚拟逻辑接口,它虚拟实现物理广域网接口上的PPP协议支持的相关功能。需要注意的是,必须将VT接口和具体的物理接口进行绑定,VT接口才能正常工作。
在PPPoE和L2TP应用中可借助VT接口来实现PPP协议的相关功能。有关PPPoE的相关介绍请参见“用户接入配置指导”中的“PPPoE”。有关L2TP的相关介绍请参见“用户接入配置指导”中的“L2TP”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建虚拟模板接口并进入指定的虚拟模板接口视图 |
interface virtual-template number |
如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图 |
(可选)配置接口的描述信息 |
description text |
缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface |
(可选)配置接口的MTU值 |
mtu size |
缺省情况下,接口的MTU值为1492字节 |
(可选)配置接口的期望带宽 |
bandwidth bandwidth-value |
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s) |
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
表1-3 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为PAP |
ppp authentication-mode pap [ domain { isp-name | default enable isp-name } ] |
缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
表1-4 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码 |
ppp pap local-user username password { cipher | simple } string |
缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空 查看加密方式时,无论采用明文或密文加密,默认显示密文方式 |
表1-5 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ domain { isp-name | default enable isp-name } ] |
缺省情况下,PPP协议不进行认证 |
配置采用CHAP认证时认证方的用户名 |
ppp chap user username |
缺省情况下,CHAP认证的用户名为空 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
表1-6 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
缺省情况下,CHAP认证的用户名为空 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码 |
为认证方配置的用户名必须与认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
表1-7 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ domain { isp-name | default enable isp-name } ] |
缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
为被认证方配置的用户名必须与被认证方上的配置一致 为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致 |
表1-8 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
缺省情况下,CHAP认证的用户名为空 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
设置CHAP认证密码 |
ppp chap password { cipher | simple } password |
缺省情况下,未配置进行CHAP认证时采用的密码 在认证方上为被认证方配置的密码必须跟此处配置的一致 查看加密方式时,无论采用明文或密文加密,默认显示密文方式 |
与CHAP认证相同,MSCHAP和MSCHAPv2认证也分为两种:认证方配置了用户名和认证方未配置用户名。
配置MSCHAP或MSCHAPv2认证时需注意:
· 设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。
· L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。
· MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
· MSCHAPv2认证时不支持为PPP用户配置认证方式为none。
表1-9 配置MSCHAP或MSCHAPv2认证的认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MSCHAP或MSCHAPv2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ domain { isp-name | default enable isp-name } ] |
缺省情况下,PPP协议不进行认证 |
配置采用MSCHAP或MSCHAPv2认证时认证方的用户名 |
ppp chap user username |
在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
表1-10 配置MSCHAP或MSCHAPv2认证的认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MSCHAP或MSCHAPv2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ domain { isp-name | default enable isp-name } ] |
缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“用户接入配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
PPP协议使用轮询机制来确认链路状态是否正常。
当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down。
如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
轮询时间间隔设置应小于协商超时时间间隔,否则无法轮询。
表1-11 配置轮询功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口发送keepalive报文的周期 |
timer-hold seconds |
缺省情况下,虚拟模板接口发送keepalive报文周期为60秒 |
配置接口在多少个keepalive周期内未收到keepalive报文的应答就拆除链路 |
timer-hold retry retry |
缺省情况下,虚拟模板接口在3个keepalive周期内没有收到keepalive报文的应答就拆除链路 |
PPP用户的Echo-Request报文上送CPU处理,流量较大时需要消耗较大的CPU资源。如果遭受攻击,易出现处理能力不足,产生拒绝服务,成为攻击者的目标。
开启keepalive报文的快速应答功能后,可以通过硬件识别Echo-Request报文并自动回复Echo-Reply报文,从而可以减轻CPU的负担,避免成为拒绝服务攻击的目标。
需要注意的是,本功能仅CSPEX类单板(除CSPEX-1204之外)、CEPC类单板支持。
表1-12 配置PPP链路keepalive报文的快速应答功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
开启PPP链路keepalive报文的快速应答功能(独立运行模式) |
ppp keepalive fast-reply enable slot slot-number |
缺省情况下,PPP链路keepalive报文的快速应答功能处于开启状态 |
开启PPP链路keepalive报文的快速应答功能(IRF模式) |
ppp keepalive fast-reply enable chassis chassis-number slot slot-number |
缺省情况下,PPP链路keepalive报文的快速应答功能处于开启状态 |
可以配置的PPP协商参数包括:
· 协商超时时间间隔
· 协商IP地址
· 协商接口IP网段
· 协商DNS服务器地址
· 协商ACCM(Async-Control-Character-Map,异步控制字符映射表)
· 协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)
· 协商PFC(Protocol-Field-Compression,协议字段压缩)
在PPP协商过程中,如果在这个时间间隔内未收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延迟时间后,当接口物理层UP时PPP将在延迟时间超时后才会主动进行LCP协商;如果在延迟时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延迟时间超时,而是直接进行LCP协商。
表1-13 配置协商超时时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置协商超时时间间隔 |
ppp timer negotiate seconds |
缺省情况下,协商超时时间间隔为3秒 |
(可选)配置LCP协商的延迟时间 |
ppp lcp delay milliseconds |
缺省情况下,接口物理层UP后,PPP立即进行LCP协商 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
为接口配置IP地址可协商属性 |
ip address ppp-negotiate |
缺省情况下,接口未配置IP地址可协商属性 多次执行本命令和ip address命令,最后一次执行的命令生效。关于ip address命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址” |
在下列三种Server端分配IP地址的方式下Server端需要进行配置:
· 在接口下指定为Client端分配的IP地址。
· 从接口下指定的地址池中分配IP地址。
· 从ISP域下关联的地址池中分配IP地址。
这三种方式中,不同PPP用户可以采用的方式如下:
· 不需要进行PPP认证的PPP用户可以使用两种方式:在接口下指定为Client端分配的IP地址和从接口下指定的地址池中分配IP地址。同时配置这两种方式,最后一次的配置生效。
· 需要进行PPP认证的PPP用户可以使用全部的三种方式。用户可以同时配置多种方式。同时配置多种方式时,以ISP域下关联的地址池优先,然后是接口下指定为Client端分配的IP地址或者地址池(接口下的这两种方式同时配置时,最后一次的配置生效)。
PPP可以使用两类地址池为对端分配IP地址:PPP地址池、DHCP地址池,优先采用PPP地址池。如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池来分配IP地址,则系统只会使用PPP地址池来分配IP地址。需要注意的是,当通过PPP地址池给用户分配IP地址时,请确保PPP地址池中不包含该PPP地址池的网关地址。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口为Client端分配的IP地址 |
remote address ip-address |
缺省情况下,接口不为Client端分配IP地址 |
配置Server端的IP地址 |
ip address ip-address |
缺省情况下,接口未配置IP地址 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置PPP地址池 |
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ] |
缺省情况下,未配置PPP地址池 |
(可选)开启PPP地址池随机分配新地址的功能 |
ip pool pool-name allocate-new-ip enable |
缺省情况下,PPP地址池随机分配新地址的功能处于关闭状态 |
(可选)配置PPP地址池的网关地址 |
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ] |
缺省情况下,未为PPP地址池配置网关地址 |
(可选)配置PPP地址池路由 |
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ] |
缺省情况下,未配置PPP地址池路由 用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围 |
进入接口视图 |
interface interface-type interface-number |
- |
使用PPP地址池为Client端分配IP地址 |
remote address pool pool-name |
缺省情况下,接口不为Client端分配IP地址 |
配置Server端的IP地址 |
ip address ip-address |
缺省情况下,接口未配置IP地址 |
表1-17 配置Server端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置DHCP功能 |
· 如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容 · 如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池 |
DHCP的具体配置介绍请参见“用户接入配置指导”中的“DHCP” |
进入接口视图 |
interface interface-type interface-number |
- |
使用DHCP地址池为Client端分配IP地址 |
remote address pool pool-name |
缺省情况下,接口不为Client端分配IP地址 |
配置Server端的IP地址 |
ip address ip-address |
缺省情况下,接口未配置IP地址 |
(可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式 |
remote address dhcp client-identifier { { callingnum | username } [ session-info ] | session-info } |
缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式 需要注意的是,当使用PPP用户名作为DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线 |
表1-18 配置Server端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置PPP地址池 |
ip pool pool-name start-ip-address [ end-ip-address ] group group-name |
缺省情况下,未配置PPP地址池 |
(可选)开启PPP地址池随机分配新地址的功能 |
ip pool pool-name allocate-new-ip enable |
缺省情况下,PPP地址池随机分配新地址的功能处于关闭状态 |
(可选)配置PPP地址池的网关地址 |
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ] |
缺省情况下,未为PPP地址池配置网关地址 |
(可选)配置PPP地址池路由 |
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ] |
缺省情况下,未配置PPP地址池路由 用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围 |
进入ISP域视图 |
domain isp-name |
- |
在ISP域下关联PPP地址池为Client端分配IP地址 |
authorization-attribute ip-pool pool-name |
缺省情况下,ISP域下未关联PPP地址池 本命令的详细介绍请参见“用户接入命令参考”中的“AAA” |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Server端的IP地址 |
ip address ip-address |
缺省情况下,接口未配置IP地址 |
表1-19 配置Server端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置DHCP功能 |
· 如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容 · 如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池 |
DHCP的具体配置介绍请参见“用户接入配置指导”中的“DHCP” |
进入ISP域视图 |
domain isp-name |
- |
在ISP域下关联DHCP地址池为Client端分配IP地址 |
authorization-attribute ip-pool pool-name |
缺省情况下,ISP域下未关联DHCP地址池 本命令的详细介绍请参见“用户接入命令参考”中的“AAA” |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Server端的IP地址 |
ip address ip-address |
缺省情况下,接口未配置IP地址 |
(可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式 |
remote address dhcp client-identifier { { callingnum | username } [ session-info ] | session-info } |
缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式 需要注意的是,当使用PPP用户名作为DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线 |
开启接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。
如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查。
表1-20 配置接口IP网段检查
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口的IP网段检查功能 |
ppp ipcp remote-address match |
缺省情况下,接口的IP网段检查功能处于关闭状态 |
正常情况下,Client端配置了ppp ipcp dns request命令,Server端才会为本端指定DNS服务器地址。但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any命令。
表1-21 配置Client端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置设备主动请求对端指定DNS服务器地址 |
ppp ipcp dns request |
缺省情况下,禁止设备主动向对端请求DNS服务器地址 |
配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址 |
ppp ipcp dns admit-any |
缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址 在配置了ppp ipcp dns request命令的情况下不用配置本命令 |
表1-22 配置Server端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置设备为对端设备指定DNS服务器地址 |
ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
缺省情况下,设备不为对端设备指定DNS服务器的IP地址 收到Client端的请求后,Server端才会为对端指定DNS服务器地址 |
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“用户接入配置指导”中的“AAA”。
表1-23 配置PPP计费统计功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启PPP计费统计功能 |
ppp account-statistics enable [ acl { acl-number | name acl-name } ] |
缺省情况下,PPP计费统计功能处于关闭状态 |
PPP接入用户日志是为了满足网络管理员维护的需要,对用户的上线、下线、上线失败的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的PPP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPP日志信息,一般情况下建议不要开启此功能。
图1-2 配置PPP接入用户日志信息功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启PPP接入用户日志信息功能 |
ppp access-user log enable [ successful-login | failed-login | normal-logout | abnormal-logout ] * |
缺省情况下,PPP接入用户日志信息功能处于关闭状态 |
业务跟踪对象功能是为了满足网络管理员维护的需要,管理员可以通过创建业务追踪对象可以追踪接入用户的上下线相关信息的,通过指定不同的匹配参数,可以实现对特定用户的追踪。
开启本功能会时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用。
需要注意的是,主备倒换后业务跟踪对象配置会自动失效,需要重新配置。
表1-24 配置业务跟踪对象功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置业务跟踪对象功能 |
trace access-user object object-id { access-mode pppoe | username user-name | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | c-vlan vlan-id | s-vlan vlan-id } * [ output { file file-name | syslog-server server-ip-address | vty } | aging time ] * |
缺省情况下,不存在业务跟踪对象 |
开启PPP用户静默功能后,当某PPP用户在检测周期内连续认证失败达次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPP用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该PPP用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该PPP用户的报文,则依然可以对其进行认证处理。
需要注意的是,对于用户名相同但属于不同认证域的PPP用户,设备将会对其分别进行认证失败统计,并分别进行静默。
图1-3 配置PPP用户静默功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启PPP用户静默功能 |
ppp authentication chasten auth-failure auth-period blocking-period |
缺省情况下,PPP用户静默功能处于关闭状态 |
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
表1-25 配置PPP用户的nas-port-type属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入虚拟模板接口视图 |
interface virtual-template number |
- |
配置接口的nas-port-type属性 |
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定: · 如果是PPPoE业务,nas-port-type属性为ethernet · 如果是L2TP业务,nas-port-type属性为virtual |
缺省情况下,PPP链路协商成功后自动将对端主机路由加到本端直连路由表中。因PPP链路不严格限制对端路由和本端路由在同一网段,有时为避免因一端配置了错误的IP地址,导致另一端将该错误的对端主机路由加到本端直连路由表中,并在网络中进行错误的路由发布,可通过配置本命令抑制PPP对端主机路由添加到本端直连路由表。
表1-26 配置抑制PPP对端主机路由添加到本端直连路由表的功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入虚拟模板接口视图 |
interface virtual-template number |
- |
配置抑制PPP对端主机路由添加到本端直连路由表 |
ppp peer hostroute-suppress |
缺省情况下,抑制PPP对端主机路由添加到本端直连路由表的功能处于关闭状态 |
通过本配置,管理员可根据实际需要调整设备更新PPP在线用户流量统计信息的频率。设备目前支持如下三种频率模式:
· fast模式:当对PPP用户的流量的统计信息的精确度要求较高时,可配置本模式。
· normal模式:当对PPP用户的流量的统计信息的精确度要求一般时,可配置本模式。
· slow模式:当对PPP用户的流量的统计信息的精确度要求较低时,可配置本模式。
表1-27 配置PPP在线用户流量统计的频率模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置PPP在线用户流量统计的频率模式 |
ppp flow-statistics frequency { fast | normal | slow } |
缺省情况下,PPP在线用户流量统计的频率模式为normal模式 |
在完成上述配置后,在任意视图下执行display命令可以显示PPP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除相应接口的统计信息。
表1-28 PPP和MP显示和维护
操作 |
命令 |
显示BAS接口的绑定信息 |
display bas-interface |
显示BAS接口的相关信息 |
display interface [ bas-interface [ interface-number ] ] [ brief [ description | down ] ] |
显示虚拟模板接口的相关信息 |
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ] |
显示PPP接入用户的信息(独立运行模式) |
display ppp access-user { domain domain-name [ count | verbose ] | interface interface-type interface-number [ count | verbose ] | ip-address ipv4-address | ipv6-address ipv6-address | ip-type { ipv4 | ipv6 | dual-stack } [ count | verbose ] | mac-address mac-address | pool pool-name [ count | verbose ] | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] [ count | verbose ] | username user-name | user-type { lac | lns | pppoe } [ count | verbose ] | vpn-instance vpn-name [ count | verbose ] } [ slot slot-number ] |
显示PPP接入用户的信息(IRF模式) |
display ppp access-user { domain domain-name [ count | verbose ] | interface interface-type interface-number [ count | verbose ] | ip-address ipv4-address | ipv6-address ipv6-address | ip-type { ipv4 | ipv6 | dual-stack } [ count | verbose ] | mac-address mac-address | pool pool-name [ count | verbose ] | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] [ count | verbose ] | username user-name | user-type { lac | lns | pppoe } [ count | verbose ] | vpn-instance vpn-name [ count | verbose ] } [ chassis chassis-number slot slot-number ] |
显示PPP用户静默功能检测到的用户信息(独立运行模式) |
display ppp chasten user { auth-failed | blocked } [ username user-name ] [ slot slot-number ] |
显示PPP用户静默功能检测到的用户信息(IRF模式) |
display ppp chasten user { auth-failed | blocked } [ username user-name ] [ chassis chassis-number slot slot-number ] |
显示PPP用户静默功能检测到的用户统计信息(独立运行模式) |
display ppp chasten statistics [ slot slot-number ] |
显示PPP用户静默功能检测到的用户统计信息(IRF模式) |
display ppp chasten statistics [ chassis chassis-number slot slot-number ] |
显示PPP地址池的信息 |
display ip pool [ pool-name | group group-name ] |
显示PPP用户下线原因的统计信息(独立运行模式) |
display ppp offline-reason statistics [ slot slot-number ] |
显示PPP用户下线原因的统计信息(IRF模式) |
display ppp offline-reason statistics [ chassis chassis-number slot slot-number ] |
显示PPP的协商报文统计信息(独立运行模式) |
display ppp packet statistics [ slot slot-number ] |
显示PPP的协商报文统计信息(IRF模式) |
display ppp packet statistics [ chassis chassis-number slot slot-number ] |
显示业务跟踪对象的信息 |
display trace access-user [ object object-id ] |
强制PPP用户下线(独立运行模式) |
reset ppp access-user { domain domain-name | interface interface-type interface-number | ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | ip-type { ipv4 | ipv6 | dual-stack } | mac-address mac-address | pool pool-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | username user-name | user-type { lac | lns | pppoe } | vpn-instance vpn-name } [ slot slot-number ] |
强制PPP用户下线(IRF模式) |
reset ppp access-user { domain domain-name | interface interface-type interface-number | ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | ip-type { ipv4 | ipv6 | dual-stack } | mac-address mac-address | pool pool-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | username user-name | user-type { lac | lns | pppoe } | vpn-instance vpn-name } [ chassis chassis-number slot slot-number ] |
清除PPP用户下线原因的统计信息(独立运行模式) |
reset ppp offline-reason statistics [ slot slot-number ] |
清除PPP用户下线原因的统计信息(IRF模式) |
reset ppp offline-reason statistics [ chassis chassis-number slot slot-number ] |
清除PPP的协商报文统计信息(独立运行模式) |
reset ppp packet statistics [ slot slot-number ] |
清除PPP的协商报文统计信息(IRF模式) |
reset ppp packet statistics [ chassis chassis-number slot slot-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!