• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-二层技术-广域网接入配置指导

目录

01-PPP配置

本章节下载 01-PPP配置  (464.43 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Configure/Operation_Manual/H3C_SR8800-F_CG-R7751PXX-6W102/05/201903/1160236_30005_0.htm

01-PPP配置

  录

1 PPP

1.1 PPP简介

1.1.1 PPP协议

1.1.2 PPP链路建立过程

1.1.3 PPP认证

1.1.4 PPP支持IPv4

1.1.5 PPP支持IPv6

1.1.6 协议规范

1.2 PPP配置任务简介

1.3 配置接口封装PPP协议

1.4 配置虚拟模板接口

1.4.1 创建虚拟模板接口

1.4.2 恢复当前虚拟模板接口的缺省配置

1.5 配置PPP认证

1.5.1 功能简介

1.5.2 配置PAP认证

1.5.3 配置CHAP认证(认证方配置了用户名)

1.5.4 配置CHAP认证(认证方未配置用户名)

1.5.5 配置MSCHAP或MSCHAPv2认证

1.6 配置轮询功能

1.7 配置keepalive报文的快速应答功能

1.8 配置PPP协商参数

1.8.1 配置协商超时时间间隔

1.8.2 配置Client端PPP协商IPv4地址

1.8.3 配置Server端PPP协商IPv4地址

1.8.4 配置Server端PPP协商IPv6地址

1.8.5 配置接口IP网段检查

1.8.6 配置Client端DNS服务器地址协商

1.8.7 配置Server端DNS服务器地址协商

1.9 配置PPP链路质量监测功能

1.10 配置PPP协议的魔术字检查功能

1.11 配置PPP报文的MRU检查功能

1.12 配置PPP用户静默功能

1.13 配置PPP用户的nas-port-type属性

1.14 配置抑制PPP对端主机路由添加到本端直连路由表的功能

1.15 配置开启下发ND前缀网段路由功能

1.16 配置PPP统计功能

1.16.1 配置PPP在线用户流量统计的频率模式

1.16.2 配置PPP计费统计功能

1.17 配置PPP日志及业务维护功能

1.17.1 配置PPP接入用户日志信息功能

1.17.2 配置业务跟踪对象功能

1.18 PPP显示和维护

1.19 PPP典型配置举例

1.19.1 PAP单向认证配置举例

1.19.2 PAP双向认证配置举例

1.19.3 CHAP单向认证配置举例

1.19.4 在接口下指定为Client端分配的IP地址配置举例

1.19.5 从接口下指定的PPP地址池中分配IP地址配置举例

1.19.6 从ISP域下关联的PPP地址池中分配IP地址配置举例

2 MP

2.1 MP简介

2.1.1 MP主要作用

2.1.2 MP支持的接口类型

2.2 MP配置限制和指导

2.3 MP配置任务简介

2.4 配置通过MP-group接口进行MP捆绑

2.4.1 功能简介

2.4.2 通过MP-group接口进行MP捆绑配置任务简介

2.4.3 创建MP-group接口

2.4.4 将物理接口加入MP-group接口

2.4.5 配置MP-group接口的轮询功能

2.4.6 配置MP参数

2.4.7 恢复当前MP-group接口的缺省配置

2.5 配置MP短序协商方式

2.6 配置MP Endpoint选项

2.7 MP显示和维护

2.8 MP典型配置举例

2.8.1 通过将链路绑定到MP-group接口方式进行MP捆绑配置举例

 

1 PPP

1.1  PPP简介

PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。

1.1.1  PPP协议

PPP定义了一整套协议,包括:

·     链路控制协议(Link Control Protocol,LCP):用来建立、拆除和监控数据链路。

·     网络控制协议(Network Control Protocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型。

·     认证协议:用来对用户进行认证,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MSCHAP(Microsoft CHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2)。

1.1.2  PPP链路建立过程

PPP链路建立过程如图1-1所示:

(1)     PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。

(2)     PPP在Establish阶段主要进行LCP协商。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还未建立,还不能够在上面成功传输网络层报文)。

(3)     如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证。如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件。

(4)     如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:IP地址、DNS服务器地址等。)

(5)     到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。

图1-1 PPP链路建立过程

 

1.1.3  PPP认证

PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费。

PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。

1. PAP认证

PAP为两次握手协议,它通过用户名和密码来对用户进行认证。

PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。

2. CHAP认证

CHAP为三次握手协议。

CHAP认证过程分为两种方式:认证方配置了用户名、认证方未配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。

CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。

3. MSCHAP认证

MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:

·     MSCHAP采用的加密算法是0x80。

·     MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。

4. MSCHAPv2认证

MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:

·     MSCHAPv2采用的加密算法是0x81。

·     MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。

·     MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。

·     MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。

1.1.4  PPP支持IPv4

在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商。

1. IP地址协商

PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址。

在PPP协商IP地址的过程中,设备可以分为两种角色:

·     Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。

·     Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商。

当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见“BRAS业务配置指导”中的“AAA”)和接口下的配置,按照如下顺序给Client端分配IP地址:

·     如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置)。

·     如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址。

·     如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址。

2. DNS服务器地址协商

设备在进行IPCP协商的过程中可以进行DNS服务器地址协商。设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址。通常情况下:

·     当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;

·     当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。

1.1.5  PPP支持IPv6

IPv4有两种动态地址分配协议,IPCP协议和DHPCv4协议。在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6 DNS服务器地址。所有认证接入用户都需要使用ND协议或DHCPv6协议分配IPv6全球单播地址和IPv6 DNS服务器地址等其它参数。

1. IPv6地址分配

主机可以通过如下几种方式分配到IPv6全球单播地址:

·     NDRA方式:主机通过ND协议中的RA报文获得IPv6地址前缀。主机采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址。RA报文中携带的IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。关于ND协议的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     DHCPv6(IA_NA)方式:主机通过DHCPv6协议申请IPv6全球单播地址。在服务器端可以通过AAA授权为每个主机分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给主机。如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为主机分配地址。关于DHCPv6协议的详细介绍请参见“BRAS业务配置指导”中的“DHCPv6”。

·     DHCPv6(IA_PD)方式:Client端设备通过DHCPv6协议申请代理前缀,并使用申请到的代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。

根据组网不同,主机获取IPv6地址的方式如下:

·     当主机通过桥设备或者直连接入设备时,设备可以采用上述的NDRA方式或IA_NA方式直接为主机分配IPv6全球单播地址。

·     当主机通过路由器接入设备时,设备可以采用IA_PD方式为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址。

2. IPv6 DNS服务器地址分配

在IPv6网络中,IPv6 DNS服务器地址的分配有如下两种方式:

·     AAA授权IPv6 DNS服务器地址,通过ND协议中的RA报文将此IPv6 DNS服务器地址分配给主机。

·     DHCPv6客户端向DHCPv6服务器申请IPv6 DNS服务器地址。

1.1.6  协议规范

与PPP相关的协议规范有:

·     RFC 1661:The Point-to-Point Protocol (PPP)

1.2  PPP配置任务简介

PPP配置任务如下:

(1)     配置接口封装PPP协议

(2)     配置虚拟模板接口

¡     创建虚拟模板接口

¡     恢复当前虚拟模板接口的缺省配置

PPPoEL2TP应用环境中,需要配置虚拟模板接口。有关PPPoEL2TP的相关介绍,请参见“BRAS业务配置指导”中的“PPPoEL2TP”。

(3)     配置PPP认证

请选择以下一项任务进行配置:

¡     配置PAP认证

¡     配置CHAP认证(认证方配置了用户名)

¡     配置CHAP认证(认证方未配置用户名)

¡     配置MSCHAP或MSCHAPv2认证

在网络安全要求较高的环境下,需要配置PPP认证。

(4)     (可选)配置轮询功能

(5)     (可选)配置keepalive报文的快速应答功能

(6)     (可选)配置PPP协商参数

¡     配置协商超时时间间隔

¡     配置Client端PPP协商IPv4地址

¡     配置Server端PPP协商IPv4地址

¡     配置Server端PPP协商IPv6地址

¡     配置接口IP网段检查

¡     配置Client端DNS服务器地址协商

¡     配置Server端DNS服务器地址协商

(7)     (可选)配置PPP链路质量监测功能

(8)     (可选)配置PPP协议的魔术字检查功能

(9)     (可选)配置PPP报文的MRU检查功能

(10)     (可选)配置PPP用户静默功能

(11)     (可选)配置PPP用户的nas-port-type属性

(12)     (可选)配置抑制PPP对端主机路由添加到本端直连路由表的功能

(13)     (可选)配置开启下发ND前缀网段路由功能

(14)     (可选)配置PPP统计功能

¡     配置PPP在线用户流量统计的频率模式

¡     配置PPP计费统计功能

(15)     (可选)配置PPP日志及业务维护功能

¡     配置PPP接入用户日志信息功能

¡     配置业务跟踪对象功能

1.3  配置接口封装PPP协议

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口封装的链路层协议为PPP。

link-protocol ppp

缺省情况下,除以太网接口、VLAN接口、ATM接口外,其它接口封装的链路层协议均为PPP。

1.4  配置虚拟模板接口

1.4.1  创建虚拟模板接口

1. 功能简介

VT(Virtual Template,虚拟模板)接口是设备上手工创建的虚拟逻辑接口,它虚拟实现物理广域网接口上的PPP协议支持的相关功能。需要注意的是,必须将VT接口和具体的物理接口进行绑定,VT接口才能正常工作。

在PPPoE和L2TP应用中可借助VT接口来实现PPP协议的相关功能。有关PPPoE和L2TP的相关介绍,请参见“BRAS业务配置指导”中的“PPPoE和L2TP”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建虚拟模板接口并进入虚拟模板接口视图。

interface virtual-template number

(3)     (可选)配置接口的描述信息。

description text

缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface。

(4)     (可选)配置接口的MTU值。

mtu size

不同单板的接口MTU取值范围可能存在不同,请以实际情况为准。

(5)     (可选)配置接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。

1.4.2  恢复当前虚拟模板接口的缺省配置

1. 配置限制和指导

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     恢复当前接口的缺省配置。

default

1.5  配置PPP认证

1.5.1  功能简介

PPP支持的认证方式包括:PAP、CHAP、MSCHAP、MSCHAPv2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。

1.5.2  配置PAP认证

1. 配置限制和指导

在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。

不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须与被认证方上通过ppp pap local-user命令配置的用户名和密码相同。

2. 配置认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地认证对端的方式为PAP。

ppp authentication-mode pap [ domain { isp-name | default enable isp-name } ]

缺省情况下,PPP协议不进行认证。

(4)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

3. 配置被认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。

ppp pap local-user username password { cipher | simple } string

缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空。

查看配置的密码信息时,无论采用明文或密文加密,密码都将按密文方式显示。

1.5.3  配置CHAP认证(认证方配置了用户名)

1. 配置限制和指导

在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。

不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须满足如下要求:

·     用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。

·     密码必须与被认证方上为认证方配置的用户名的密码相同。

在被认证方上,若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码。

不论是在本地还是AAA服务器上为认证方配置的用户名和密码必须满足如下要求:

·     用户名必须与认证方上通过ppp chap user命令配置的认证方的用户名相同。

·     密码必须与认证方上为被认证方配置的用户名的密码相同。

在被认证方上不能通过ppp chap password命令配置进行CHAP认证时采用的密码,否则即使认证方配置了用户名,CHAP仍将按照认证方未配置用户名的情况进行认证。

2. 配置认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地认证对端的方式为CHAP。

ppp authentication-mode chap [ domain { isp-name | default enable isp-name } ]

缺省情况下,PPP协议不进行认证。

(4)     配置采用CHAP认证时认证方的用户名。

ppp chap user username

缺省情况下,CHAP认证的用户名为空。

(5)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

3. 配置被认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置采用CHAP认证时被认证方的用户名。

ppp chap user username

缺省情况下,CHAP认证的用户名为空。

(4)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

1.5.4  配置CHAP认证(认证方未配置用户名)

1. 配置限制和指导

在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。

不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须满足如下要求:

·     用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。

·     密码必须与被认证方上通过ppp chap password命令配置的密码相同。

2. 配置认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地认证对端的方式为CHAP。

ppp authentication-mode chap [ domain { isp-name | default enable isp-name } ]

缺省情况下,PPP协议不进行认证。

(4)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

3. 配置被认证方

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置采用CHAP认证时被认证方的用户名。

ppp chap user username

缺省情况下,CHAP认证的用户名为空。

(4)     设置CHAP认证密码。

ppp chap password { cipher | simple } password

缺省情况下,未配置进行CHAP认证时采用的密码。

查看配置的密码信息时,无论采用明文或密文加密,密码都将按密文方式显示。

1.5.5  配置MSCHAP或MSCHAPv2认证

1. 配置限制和指导

设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。

L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。

MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。

MSCHAPv2认证时不支持为PPP用户配置认证方式为none

在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须与被认证方上的配置相同。

若认证方配置了用户名,则在被认证方上为认证方配置的用户名必须与认证方上ppp chap user命令配置的用户名相同。

2. 配置认证方(认证方配置了用户名)

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地认证对端的方式为MSCHAP或MSCHAPv2。

ppp authentication-mode { ms-chap | ms-chap-v2 } [ domain { isp-name | default enable isp-name } ]

缺省情况下,PPP协议不进行认证。

(4)     配置采用MSCHAP或MSCHAPv2认证时认证方的用户名。

ppp chap user username

(5)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

3. 配置认证方(认证方未配置用户名)

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本地认证对端的方式为MSCHAP或MSCHAPv2。

ppp authentication-mode { ms-chap | ms-chap-v2 } [ domain { isp-name | default enable isp-name } ]

缺省情况下,PPP协议不进行认证。

(4)     配置本地AAA认证或者远程AAA认证。

具体配置请参见“BRAS业务配置指导”中的“AAA”。

1.6  配置轮询功能

1. 功能简介

PPP协议使用轮询机制来确认链路状态是否正常。

当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内没有收到keepalive报文的应答,链路层会认为对端故障,上报链路层Down。

如果将keepalive报文的发送周期配置为0秒,则本端不主动发送keepalive报文;当本端收到对端主动发送过来的keepalive报文时,仍可以对该keepalive报文进行应答。

2. 配置限制和指导

在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期内没有收到keepalive报文的应答,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口发送keepalive报文的周期。

timer-hold seconds

缺省情况下,POS接口和Serial接口发送keepalive报文的周期为10秒;虚拟模板接口发送keepalive报文周期为60秒。

(4)     配置接口在多少个keepalive周期内未收到keepalive报文的应答就拆除链路。

timer-hold retry retry

缺省情况下,POS接口和Serial接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路;虚拟模板接口在3个keepalive周期内没有收到keepalive报文的应答就拆除链路。

1.7  配置keepalive报文的快速应答功能

1. 功能简介

设备收到PPP用户的keepalive请求报文后会上送CPU处理,流量较大时需要消耗较大的CPU资源。如果遭受攻击,易出现处理能力不足,产生拒绝服务,成为攻击者的目标。

开启keepalive报文的快速应答功能后,可以通过硬件识别keepalive请求报文并自动回复keepalive应答报文,从而减轻CPU的负担,避免成为拒绝服务攻击的目标。

2. 配置限制和指导

本功能仅CSPEX类单板(除CSPEX-1204之外)支持,并且仅对从以太网链路收到的keepaliive报文进行快速应答。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启keepalive报文的快速应答功能

(独立运行模式)

ppp keepalive fast-reply enable slot slot-number

(IRF模式)

ppp keepalive fast-reply enable chassis chassis-number slot slot-number

缺省情况下,keepalive报文的快速应答功能处于开启状态。

1.8  配置PPP协商参数

1.8.1  配置协商超时时间间隔

1. 功能简介

在PPP协商过程中,如果协商超时时间间隔内未收到对端的应答报文,则PPP将会重发前一次发送的报文。

2. 配置限制和指导

在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延迟时间后,当接口物理层UP时PPP将在延迟时间超时后才会主动进行LCP协商;如果在延迟时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延迟时间超时,而是直接进行LCP协商。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     (可选)配置LCP协商的延迟时间。

ppp lcp delay milliseconds

缺省情况下,接口物理层UP后,PPP立即进行LCP协商。

(4)     配置协商超时时间间隔。

ppp timer negotiate seconds

缺省情况下,协商超时时间间隔为3秒。

1.8.2  配置Client端PPP协商IPv4地址

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     为接口配置IP地址可协商属性。

ip address ppp-negotiate

缺省情况下,接口未配置IP地址可协商属性。

多次执行本命令和ip address命令,最后一次执行的命令生效。关于ip address命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址”。

1.8.3  配置Server端PPP协商IPv4地址

1. 功能简介

目前Server端为Client端分配IP地址支持以下四种方式:

·     在接口下指定为Client端分配的IP地址。

·     从接口下指定的地址池(支持PPP地址池和DHCP地址池)中为Client端分配IP地址。

·     从ISP域下关联的地址池(支持PPP地址池和DHCP地址池)中为Client端分配IP地址。

·     从AAA服务器直接为Client端授权IP地址。

2. 配置限制和指导

不需要进行PPP认证的PPP用户可以使用在接口下指定为Client端分配的IP地址和从接口下指定的地址池中为Client端分配IP地址两种地址分配方式。同时配置这两种方式,最后一次的配置生效。

需要进行PPP认证的PPP用户可以使用全部的四种方式。同时配置多种方式时,以AAA服务器直接授权的IP地址优先,其次是ISP域下关联的地址池,再然后是接口下指定为Client端分配的IP地址或者地址池(接口下同时配置这两种方式时,最后一次的配置生效)。

当采用AAA服务器直接给Client端授权IP地址方式时,必须先在Server端上通过dhcp enable命令开启DHCP服务,再为Client端授权IP地址。有关dhcp enable命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”。

如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池为对端分配IP地址,则系统只会使用PPP地址池来分配IP地址。

当通过PPP地址池给用户分配IP地址时,请确保PPP地址池中不包含该PPP地址池的网关地址。

3. 在接口下指定为Client端分配的IP地址

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口为Client端分配的IP地址。

remote address ip-address

缺省情况下,接口不为Client端分配IP地址。

(4)     配置Server端的IP地址。

ip address ip-address

缺省情况下,接口未配置IP地址。

4. 从接口下指定的PPP地址池中分配IP地址

(1)     进入系统视图。

system-view

(2)     配置PPP地址池。

ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]

(3)     (可选)开启PPP地址池随机分配新地址的功能。

ip pool pool-name allocate-new-ip enable

缺省情况下,PPP地址池随机分配新地址的功能处于关闭状态。

(4)     (可选)配置PPP地址池的网关地址。

ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]

缺省情况下,未为PPP地址池配置网关地址。

(5)     (可选)配置PPP地址池路由。

ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]

缺省情况下,未配置PPP地址池路由。

需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围。

(6)     进入接口视图。

interface interface-type interface-number

(7)     使用PPP地址池为Client端分配IP地址。

remote address pool pool-name

缺省情况下,接口不为Client端分配IP地址。

(8)     配置Server端的IP地址。

ip address ip-address

缺省情况下,接口未配置IP地址。

5. 从接口下指定的DHCP地址池中分配IP地址

(1)     进入系统视图。

system-view

(2)     配置DHCP功能。

¡     如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容。

¡     如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池。

DHCP服务器和DHCP中继的具体配置介绍请参见“BRAS业务配置指导”中的“DHCP服务器”和“DHCP中继”。

(3)     进入接口视图。

interface interface-type interface-number

(4)     使用DHCP地址池为Client端分配IP地址。

remote address pool pool-name

缺省情况下,接口不为Client端分配IP地址。

(5)     (可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。

remote address dhcp client-identifier { { callingnum | username } [ session-info ] | session-info }

缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。

当使用PPP用户名生成DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线。

(6)     配置Server端的IP地址。

ip address ip-address

缺省情况下,接口未配置IP地址。

6. 从ISP域下关联的PPP地址池中分配IP地址

(1)     进入系统视图。

system-view

(2)     配置PPP地址池。

ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]

缺省情况下,未配置PPP地址池。

(3)     (可选)开启PPP地址池随机分配新地址的功能。

ip pool pool-name allocate-new-ip enable

缺省情况下,PPP地址池随机分配新地址的功能处于关闭状态。

(4)     (可选)配置PPP地址池的网关地址。

ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]

缺省情况下,未为PPP地址池配置网关地址。

(5)     (可选)配置PPP地址池路由。

ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]

缺省情况下,未配置PPP地址池路由。

用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围。

(6)     进入ISP域视图。

domain name isp-name

(7)     在ISP域下关联PPP地址池为Client端分配IP地址。

authorization-attribute ip-pool pool-name

缺省情况下,ISP域下未关联PPP地址池。

本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。

(8)     退回系统视图。

quit

(9)     进入接口视图。

interface interface-type interface-number

(10)     配置Server端的IP地址。

ip address ip-address

缺省情况下,接口未配置IP地址。

7. 从ISP域下关联的DHCP地址池中分配IP地址

(1)     进入系统视图。

system-view

(2)     配置DHCP功能。

¡     如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容。

¡     如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池。

DHCP服务器和DHCP中继的具体配置介绍请参见“BRAS业务配置指导”中的“DHCP服务器”和“DHCP中继”。

(3)     进入ISP域视图。

domain name isp-name

(4)     在ISP域下关联DHCP地址池或DHCP中继地址池为Client端分配IP地址。

authorization-attribute ip-pool pool-name

缺省情况下,ISP域下未关联DHCP地址池或DHCP中继地址池。

本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。

(5)     退回系统视图。

quit

(6)     进入接口视图。

interface interface-type interface-number

(7)     (可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。

remote address dhcp client-identifier { { callingnum | username } [ session-info ] | session-info }

缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。

当使用PPP用户名生成DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线。

(8)     配置Server端的IP地址。

ip address ip-address

缺省情况下,接口未配置IP地址。

1.8.4  配置Server端PPP协商IPv6地址

1. 通过NDRA方式分配IPv6地址

(1)     进入接口视图。

interface interface-type interface-number

(2)     配置接口自动生成链路本地地址。

ipv6 address auto link-local

(3)     配置RA消息中的前缀信息。

ipv6 nd ra prefix { ipv6-prefix prefix-length | ipv6-prefix/prefix-length } [ valid-lifetime preferred-lifetime [ no-autoconfig | off-link ] * | no-advertise ]

RA报文中携带的IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、本命令配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。

(4)     关闭对RA消息发布的抑制。

undo ipv6 nd ra halt

(5)     配置其他信息配置标志位为1,即主机通过有状态自动配置(例如DHCPv6服务器)获取除IPv6地址外的其他信息。

ipv6 nd autoconfig other-flag

(6)     开启DHCPv6 Server功能。

ipv6 dhcp select server

(7)     退回至系统视图

quit

(8)     (可选)配置PPP IPv6地址网段路由。

ppp ipv6 route prefix/prefix-length [ vpn-instance vpn-instance-name ] [ preference preference | tag tag ] *

缺省情况下,未配置PPP IPv6地址网段路由。

(9)     创建ISP域并进入其视图。

domain name isp-name

(10)     配置当前ISP域下的为用户授权IPv6前缀。

authorization-attribute ipv6-prefix ipv6-prefix prefix-length

2. 通过IA_NA方式分配IPv6地址

(1)     进入接口视图。

interface interface-type interface-number

(2)     配置接口自动生成链路本地地址。

ipv6 address auto link-local

(3)     配置RA消息中的前缀信息。

ipv6 nd ra prefix { ipv6-prefix prefix-length | ipv6-prefix/prefix-length } [ valid-lifetime preferred-lifetime [ no-autoconfig | off-link ] * | no-advertise ]

RA报文中携带的IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、本命令配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。

(4)     关闭对RA消息发布的抑制。

undo ipv6 nd ra halt

(5)     配置被管理地址的配置标志位为1,即主机通过有状态自动配置(例如DHCPv6服务器)获取IPv6地址。

ipv6 nd autoconfig managed-address-flag

(6)     配置其他信息配置标志位为1,即主机通过有状态自动配置(例如DHCPv6服务器)获取除IPv6地址外的其他信息。

ipv6 nd autoconfig other-flag

(7)     开启DHCPv6 Server功能。

ipv6 dhcp select server

(8)     退回至系统视图。

quit

(9)     配置DHCPv6地址池并在用户认证ISP下授权该DHCPv6地址池。

具体配置请参见“BRAS业务配置指导”中的“DHCPv6”和“AAA”。

3. 通过IA_PD方式分配IPv6地址

(1)     进入接口视图。

interface interface-type interface-number

(2)     配置接口自动生成链路本地地址。

ipv6 address auto link-local

(3)     关闭对RA消息发布的抑制。

undo ipv6 nd ra halt

(4)     开启DHCPv6 Server功能。

ipv6 dhcp select server

(5)     退回至系统视图

quit

(6)     配置DHCPv6前缀地址池并指定包含的前缀和分配的前缀长度。

ipv6 dhcp prefix-pool prefix-pool-number prefix prefix/prefix-len assign-len assign-len

(7)     创建并进入DHCPv6地址池。

ipv6 dhcp pool pool-name

(8)     地址池引用前缀池,以便从前缀池中动态选择前缀分配给客户端。

prefix-pool prefix-pool-number [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

(9)     退回至系统视图

quit

(10)     创建ISP域并进入其视图。

domain name isp-name

(11)     配置当前ISP域下的用户授权属性。

authorization-attribute ipv6-pool pool-name

1.8.5  配置接口IP网段检查

1. 功能简介

开启接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。

如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启接口的IP网段检查功能。

ppp ipcp remote-address match

缺省情况下,接口的IP网段检查功能处于关闭状态。

1.8.6  配置Client端DNS服务器地址协商

1. 功能简介

一般情况下,Client端配置了ppp ipcp dns request命令后,Server端才会为本端指定DNS服务器地址。有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any命令以便可以被动地接收对端指定的DNS服务器地址。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置设备主动请求对端指定DNS服务器地址。

ppp ipcp dns request

缺省情况下,禁止设备主动向对端请求DNS服务器地址。

(4)     配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址。

ppp ipcp dns admit-any

缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址。

在配置了ppp ipcp dns request命令的情况下,可以不配置本命令。

1.8.7  配置Server端DNS服务器地址协商

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置设备为对端设备指定DNS服务器地址。

ppp ipcp dns primary-dns-address [ secondary-dns-address ]

缺省情况下,设备不为对端设备指定DNS服务器的IP地址。

配置本命令后,Server端不会主动给Client端指定DNS的地址,只有收到Client端的请求后,Server端才会为对端指定DNS服务器地址。

1.9  配置PPP链路质量监测功能

1. 功能简介

PPP链路质量监测功能可以实时对PPP链路(包括绑定在MP中的PPP链路)的通信质量(丢包率和错包率)进行监测。

在未配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。

当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。

2. 配置限制和指导

当在PPP链路两端同时开启链路质量监测功能时,两端设备的参数必须相等。不建议在链路两端同时开启链路质量监测功能。

本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启PPP链路质量监测功能。

ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]

缺省情况下,PPP链路质量监测功能处于关闭状态。

1.10  配置PPP协议的魔术字检查功能

1. 功能简介

在PPP链路建立过程中的LCP协商阶段会进行Magic-Number(魔术字)的协商,协商完成后本端和对端均会在本地存储彼此的魔术字。

本端发送Echo-Request报文的时候会携带自己的魔术字,在链路两端都开启本功能的情况下,对端收到Echo-Request报文后会取出报文中的魔术字与本地存储的对端魔术字进行对比,如果二者相同,则认为链路处于正常状态,并回应携带自己魔术字的Echo-Reply报文。本端收到Echo-Reply报文后同样取出报文中的魔术字进行检查。在链路的任何一端,如果连续收到的5个Echo-Request报文或5个Echo-Reply报文中的魔术字都检查失败,则断开链路,并重新进行LCP协商。

只有开启本功能的一端才会对收到的Echo-Request和Echo-Reply报文中的魔术字进行检查。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启PPP协议的魔术字检查功能。

ppp magic-number-check

缺省情况下,PPP协议的魔术字检查功能处于关闭状态。

1.11  配置PPP报文的MRU检查功能

1. 功能简介

在PPP链路建立过程中的LCP协商阶段会进行MRU(Maximum-Receive-Unit,最大接收单元)值协商,如果链路两端接口的MTU值不同,PPP将采用较小的MTU值作为链路的MTU值。

缺省情况下,当本端收到对端发送的PPP报文的MTU值大于协商的MRU值时,对报文不做检查按正常报文处理。开启本功能后,当本端收到对端发送的PPP报文的MTU值大于协商的MRU值时,则直接丢弃该报文。

2. 配置限制和指导

在对安全性要求较高的网络环境中需要开启本功能,以防止伪对端发送大量超过协商MRU值的PPP报文对设备进行攻击。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启PPP报文的MRU检查功能。

ppp mru-check enable

缺省情况下,PPP报文的MRU检查功能处于关闭状态。

1.12  配置PPP用户静默功能

1. 功能简介

开启PPP用户静默功能后,当某PPP用户在检测周期内连续认证失败达次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPP用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该PPP用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该PPP用户的报文,则依然可以对其进行认证处理。

2. 配置限制和指导

对于用户名相同但属于不同认证域的PPP用户,设备将会对其分别进行认证失败统计,并分别进行静默。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启PPP用户静默功能。

ppp authentication chasten auth-failure auth-period blocking-period

缺省情况下,PPP用户静默功能处于关闭状态。

1.13  配置PPP用户的nas-port-type属性

1. 功能简介

本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。

2. 配置限制和指导

本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     配置接口的nas-port-type属性。

nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }

缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定:

¡     如果是PPPoE业务,nas-port-type属性为ethernet

¡     如果是L2TP业务,nas-port-type属性为virtual

1.14  配置抑制PPP对端主机路由添加到本端直连路由表的功能

1. 功能简介

缺省情况下,PPP链路协商成功后自动将对端主机路由加到本端直连路由表中。因PPP链路不严格限制对端路由和本端路由在同一网段,有时为避免因一端配置了错误的IP地址,导致另一端将该错误的对端主机路由加到本端直连路由表中,并在网络中进行错误的路由发布,可通过配置本命令抑制PPP对端主机路由添加到本端直连路由表。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     配置抑制PPP对端主机路由添加到本端直连路由表。

ppp peer hostroute-suppress

缺省情况下,抑制PPP对端主机路由添加到本端直连路由表的功能处于关闭状态。

1.15  配置开启下发ND前缀网段路由功能

1. 功能简介

每用户每前缀,是指每个PPPoE或L2TP用户单独使用一个IPv6地址前缀。开启下发ND前缀网段路由功能后,当PPPoE用户或L2TP用户上线后,设备会根据每个上线用户获取到的IPv6地址前缀信息分别在路由表中生成一条静态路由。

2. 配置限制和指导

目前仅NDRA方式中采用ND前缀池给用户分配前缀时才支持每用户每前缀。需要注意的是,通过ipv6 dhcp prefix-pool命令创建前缀池时,其指定分配的前缀长度必须等于64位,否则将导致上线用户无法获取前缀信息。

本功能仅在每用户每前缀组网应用中的PPPoE Server和L2TP的LNS侧配置后才生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     开启下发ND前缀网段路由功能。

ppp nd-prefix-route enable

缺省情况下,下发ND前缀网段路由功能处于关闭状态。

1.16  配置PPP统计功能

1.16.1  配置PPP在线用户流量统计的频率模式

1. 功能简介

通过本配置,管理员可根据实际需要调整设备更新PPP在线用户流量统计信息的频率。设备目前支持如下三种频率模式:

·     fast模式:当对PPP用户的流量的统计信息的精确度要求较高时,可配置本模式。

·     normal模式:当对PPP用户的流量的统计信息的精确度要求一般时,可配置本模式。

·     slow模式:当对PPP用户的流量的统计信息的精确度要求较低时,可配置本模式。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置PPP在线用户流量统计的频率模式。

ppp flow-statistics frequency { fast | normal | slow }

缺省情况下,PPP在线用户流量统计的频率模式为normal模式。

1.16.2  配置PPP计费统计功能

1. 功能简介

PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“BRAS业务配置指导”中的“AAA”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启PPP计费统计功能。

ppp account-statistics enable [ acl { acl-number | name acl-name } ]

缺省情况下,PPP计费统计功能处于关闭状态。

1.17  配置PPP日志及业务维护功能

1.17.1  配置PPP接入用户日志信息功能

1. 功能简介

PPP接入用户日志是为了满足网络管理员维护的需要,对用户的上线、下线、上线失败的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的PPP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

为了防止设备输出过多的PPP日志信息,一般情况下建议不要开启此功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启PPP接入用户日志信息功能。

ppp access-user log enable [ successful-login | failed-login | normal-logout | abnormal-logout ] *

缺省情况下,PPP接入用户日志信息功能处于关闭状态。

1.17.2  配置业务跟踪对象功能

1. 功能简介

业务跟踪对象功能是为了满足网络管理员维护的需要,管理员通过创建业务追踪对象可以追踪接入用户的上下线相关信息,并且通过指定不同的匹配参数,可以实现对特定用户的追踪。

2. 配置限制和指导

开启本功能会时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用。

主备倒换后业务跟踪对象配置会自动失效,需要重新配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置业务跟踪对象功能。

trace access-user object object-id { access-mode { lns | pppoe } | username user-name | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | c-vlan vlan-id | s-vlan vlan-id | tunnel-id tunnel-id } * [ output { file file-name | syslog-server server-ip-address | vty } | aging time ] *

如果指定interface参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。

1.18  PPP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示PPP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除相应接口的统计信息。

表1-1 PPP显示和维护

操作

命令

显示BAS接口的绑定信息

display bas-interface

显示BAS接口的相关信息

display interface [ bas-interface [ interface-number ] ] [ brief [ description | down ] ]

显示虚拟模板接口的相关信息

display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ]

显示PPP接入用户的信息(独立运行模式)

display ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | lac-ip lac-ip-address | lns-ip lns-ip-address | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name } * } [ count | verbose ] [ slot slot-number ]

显示PPP接入用户的信息(IRF模式)

display ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | lac-ip lac-ip-address | lns-ip lns-ip-address | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name } * } [ count | verbose ] [ chassis chassis-number slot slot-number ]

显示PPP用户建立的TCP连接信息

display ppp access-user tcp-connection interface interface-type interface-number session-id session-id

显示PPP用户静默功能检测到的用户信息

display ppp chasten user { auth-failed | blocked } [ username user-name ]

显示PPP用户静默功能检测到的用户统计信息

display ppp chasten statistics

显示PPP地址池的信息

display ip pool [ pool-name | group group-name ]

显示PPP用户下线原因的统计信息(独立运行模式)

display ppp offline-reason statistics [ slot slot-number ]

显示PPP用户下线原因的统计信息(IRF模式)

display ppp offline-reason statistics [ chassis chassis-number slot slot-number ]

显示PPP的协商报文统计信息(独立运行模式)

display ppp packet statistics [ slot slot-number ]

显示PPP的协商报文统计信息(IRF模式)

display ppp packet statistics [ chassis chassis-number slot slot-number ]

显示业务跟踪对象的配置信息

display trace access-user [ object object-id ]

强制PPP用户下线(独立运行模式)

reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name } * } [ slot slot-number ]

强制PPP用户下线(IRF模式)

reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name } * } [ chassis chassis-number slot slot-number ]

解除静默用户的静默状态

reset ppp chasten blocked-user [ username user-name ]

清除PPP用户下线原因的统计信息(独立运行模式)

reset ppp offline-reason statistics [ slot slot-number ]

清除PPP用户下线原因的统计信息(IRF模式)

reset ppp offline-reason statistics [ chassis chassis-number slot slot-number ]

清除PPP的协商报文统计信息(独立运行模式)

reset ppp packet statistics [ slot slot-number ]

清除PPP的协商报文统计信息(IRF模式)

reset ppp packet statistics [ chassis chassis-number slot slot-number ]

 

1.19  PPP典型配置举例

1.19.1  PAP单向认证配置举例

1. 组网需求

图1-2所示,Router A和Router B之间用接口Serial3/2/1/1:0互连,要求Router A用PAP方式认证Router B,Router B不需要对Router A进行认证。

2. 组网图

图1-2 配置PAP单向认证组网图

 

3. 配置步骤

(1)     配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb class network

# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple passb

# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp

[RouterA-luser-network-userb] quit

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] link-protocol ppp

# 配置本地认证Router B的方式为PAP。

[RouterA-Serial3/2/1/1:0] ppp authentication-mode pap domain system

# 配置接口的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

[RouterA-Serial3/2/1/1:0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain name system

[RouterA-isp-system] authentication ppp local

(2)     配置Router B

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

<RouterB> system-view

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] link-protocol ppp

# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。

[RouterB-Serial3/2/1/1:0] ppp pap local-user userb password simple passb

# 配置接口的IP地址。

[RouterB-Serial3/2/1/1:0] ip address 200.1.1.2 16

4. 验证配置

通过display interface serial命令,查看接口Serial3/2/1/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。

[RouterB-Serial3/2/1/1:0] display interface serial 3/2/1/1:0

Serial3/2/1/1:0

Current state: UP

Line protocol state: UP

Description: Serial3/2/1/1:0 Interface

Bandwidth: 64kbps

Maximum transmission unit: 1500

Hold timer: 10 seconds, retry times: 5

Internet address: 200.1.1.2/16 (primary)

Link layer protocol: PPP

LCP: opened, IPCP: opened

…略…

[RouterB-Serial3/2/1/1:0] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

1.19.2  PAP双向认证配置举例

1. 组网需求

图1-3所示,Router A和Router B之间用接口Serial3/2/1/1:0互连,要求Router A和Router B用PAP方式相互认证对方。

2. 组网图

图1-3 配置PAP双向认证组网图

 

3. 配置步骤

(1)     配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb class network

# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple passb

# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp

[RouterA-luser-network-userb] quit

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] link-protocol ppp

# 配置本地认证Router B的方式为PAP。

[RouterA-Serial3/2/1/1:0] ppp authentication-mode pap domain system

# 配置本地被Router B以PAP方式认证时Router A发送的PAP用户名和密码。

[RouterA-Serial3/2/1/1:0] ppp pap local-user usera password simple passa

# 配置接口的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

[RouterA-Serial3/2/1/1:0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain name system

[RouterA-isp-system] authentication ppp local

(2)     配置Router B

# 为Router A创建本地用户。

<RouterB> system-view

[RouterB] local-user usera class network

# 设置本地用户的密码。

[RouterB-luser-network-usera] password simple passa

# 设置本地用户的服务类型为PPP。

[RouterB-luser-network-usera] service-type ppp

[RouterB-luser-network-usera] quit

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] link-protocol ppp

# 配置本地认证Router A的方式为PAP。

[RouterB-Serial3/2/1/1:0] ppp authentication-mode pap domain system

# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。

[RouterB-Serial3/2/1/1:0] ppp pap local-user userb password simple passb

# 配置接口的IP地址。

[RouterB-Serial3/2/1/1:0] ip address 200.1.1.2 16

[RouterB-Serial3/2/1/1:0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterB] domain name system

[RouterB-isp-system] authentication ppp local

4. 验证配置

通过display interface serial命令,查看接口Serial3/2/1/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。

[RouterB-isp-system] display interface serial 3/2/1/1:0

Serial3/2/1/1:0

Current state: UP

Line protocol state: UP

Description: Serial3/2/1/1:0 Interface

Bandwidth: 64kbps

Maximum transmission unit: 1500

Hold timer: 10 seconds, retry times: 5

Internet address: 200.1.1.2/16 (primary)

Link layer protocol: PPP

LCP opened, IPCP opened

…略…

[RouterB-isp-system] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

1.19.3  CHAP单向认证配置举例

1. 组网需求

图1-2中,要求设备Router A用CHAP方式认证设备Router B。

2. 组网图

图1-4 配置CHAP单向认证组网图

 

3. 配置方法一(CHAP方式认证对端时,认证方配置了用户名)

(1)     配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb class network

# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple hello

# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp

[RouterA-luser-network-userb] quit

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] link-protocol ppp

# 配置采用CHAP认证时Router A的用户名。

[RouterA-Serial3/2/1/1:0] ppp chap user usera

# 配置本地认证Router B的方式为CHAP。

[RouterA-Serial3/2/1/1:0] ppp authentication-mode chap domain system

# 配置接口的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

[RouterA-Serial3/2/1/1:0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain name system

[RouterA-isp-system] authentication ppp local

(2)     配置Router B

# 为Router A创建本地用户。

<RouterB> system-view

[RouterB] local-user usera class network

# 设置本地用户的密码。

[RouterB-luser-network-usera] password simple hello

# 设置本地用户的服务类型为PPP。

[RouterB-luser-network-usera] service-type ppp

[RouterB-luser-network-usera] quit

# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] link-protocol ppp

# 配置采用CHAP认证时Router B的用户名。

[RouterB-Serial3/2/1/1:0] ppp chap user userb

# 配置接口的IP地址。

[RouterB-Serial3/2/1/1:0] ip address 200.1.1.2 16

4. 配置方法二(CHAP方式认证对端时,认证方未配置用户名)

(1)     配置Router A

# 为Router B创建本地用户。

<RouterA> system-view

[RouterA] local-user userb class network

# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple hello

# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp

[RouterA-luser-network-userb] quit

# 配置本地认证Router B的方式为CHAP。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] ppp authentication-mode chap domain system

# 配置接口的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

[RouterA-Serial3/2/1/1:0] quit

# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。

[RouterA] domain name system

[RouterA-isp-system] authentication ppp local

(2)     配置Router B

# 配置采用CHAP认证时Router B的用户名。

<RouterB> system-view

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] ppp chap user userb

# 设置缺省的CHAP认证密码。

[RouterB-Serial3/2/1/1:0] ppp chap password simple hello

# 配置接口的IP地址。

[RouterB-Serial3/2/1/1:0] ip address 200.1.1.2 16

5. 验证配置

通过display interface serial命令,查看接口Serial3/2/1/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。

[RouterB-Serial3/2/1/1:0] display interface serial 3/2/1/1:0

Serial3/2/1/1:0

Current state: UP

Line protocol state: UP

Description: Serial3/2/1/1:0 Interface

Bandwidth: 64kbps

Maximum transmission unit: 1500

Hold timer: 10 seconds, retry times: 5

Internet address: 200.1.1.2/16 (primary)

Link layer protocol: PPP

LCP opened, IPCP opened

…略…

[RouterB-Serial3/2/1/1:0] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

1.19.4  在接口下指定为Client端分配的IP地址配置举例

1. 组网需求

Router A通过PPP协商,为Router B的接口Serial3/2/1/1:0分配IP地址。

要求Router A用接口下指定的IP地址为Router B分配IP地址。

2. 组网图

图1-5 在接口下指定为Client端分配的IP地址组网图

 

3. 配置步骤

(1)     配置Router A

# 配置接口Serial3/2/1/1:0为Router B的接口分配的IP地址。

<RouterA> system-view

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] remote address 200.1.1.10

# 配置接口Serial3/2/1/1:0的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

(2)     配置Router B

# 配置接口Serial3/2/1/1:0通过协商获取IP地址。

<RouterB> system-view

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] ip address ppp-negotiate

4. 验证配置

配置完成后,查看设备Router B的接口Serial3/2/1/1:0的概要信息,可见接口Serial3/2/1/1:0通过PPP协商获取的IP地址为200.1.1.10。

[RouterB-Serial3/2/1/1:0] display interface serial 3/2/1/1:0 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP      Description

Ser3/2/1/1:0         UP   UP       200.1.1.10

在Router B上可以Ping通Router A的Serial3/2/1/1:0接口。

[RouterB-Serial3/2/1/1:0] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

1.19.5  从接口下指定的PPP地址池中分配IP地址配置举例

1. 组网需求

Router A通过PPP协商,为Router B的接口Serial3/2/1/1:0分配IP地址。

要求Router A从接口下指定的PPP地址池中分配IP地址。

2. 组网图

图1-6 从接口下指定的PPP地址池中分配IP地址组网图

 

3. 配置步骤

(1)     配置Router A

# 配置PPP地址池aaa,IP地址范围为200.1.1.10到200.1.1.20,PPP地址池所在的组为AAA。

<RouterA> system-view

[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA

# 配置PPP地址池路由。

[RouterA] ppp ip-pool route 200.1.1.1 24

# 配置接口Serial3/2/1/1:0使用PPP地址池为Router B的接口分配IP地址。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] remote address pool aaa

# 配置接口Serial3/2/1/1:0的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

(2)     配置Router B

# 配置接口Serial3/2/1/1:0通过协商获取IP地址。

<RouterB> system-view

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] ip address ppp-negotiate

4. 验证配置

配置完成后,查看设备Router B的接口Serial3/2/1/1:0的概要信息,可见接口Serial3/2/1/1:0通过PPP协商获取的IP地址为200.1.1.10。

[RouterB-Serial3/2/1/1:0] display interface serial 3/2/1/1:0 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP      Description

Ser3/2/1/1:0         UP   UP       200.1.1.10

在Router B上可以Ping通Router A的Serial3/2/1/1:0接口。

[RouterB-Serial3/2/1/1:0] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

在Router A上可以看到PPP地址池中已分配一个地址。

[RouterA-Serial3/2/1/1:0] display ip pool aaa

Group name: AAA

  In-use IP address count: 1

  Pool name       Start IP address    End IP address     Free    In use

  aaa             200.1.1.10          200.1.1.20         10      1

In-use IP addresses:

  IP address      Interface

  200.1.1.10      Ser3/2/1/1:0

1.19.6  从ISP域下关联的PPP地址池中分配IP地址配置举例

1. 组网需求

Router A通过PPP协商,为Router B的接口Serial3/2/1/1:0分配IP地址。

要求Router A从ISP域下关联的PPP地址池中分配IP地址。

2. 组网图

图1-7 从ISP域下关联的PPP地址池中分配IP地址组网图

 

3. 配置步骤

(1)     配置Router A

# 配置PPP地址池aaa,IP地址范围为200.1.1.10到200.1.1.20,PPP地址池所在的组为AAA。

<RouterA> system-view

[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA

# 配置PPP地址池路由。

[RouterA] ppp ip-pool route 200.1.1.1 24

# 为Router B创建本地用户。

[RouterA] local-user userb class network

# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple 123

# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp

[RouterA-luser-network-userb] quit

# 创建ISP域,并在ISP域下关联PPP地址池。

[RouterA] domain name bbb

[RouterA-isp-bbb] authorization-attribute ip-pool aaa

[RouterA-isp-bbb] quit

# 配置接口Serial3/2/1/1:0在ISP域bbb中采用PAP方式认证Router B。

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] ppp authentication-mode pap domain bbb

# 配置接口Serial3/2/1/1:0的IP地址。

[RouterA-Serial3/2/1/1:0] ip address 200.1.1.1 16

(2)     配置Router B

# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。

<RouterB> system-view

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] ppp pap local-user userb password simple 123

# 配置接口Serial3/2/1/1:0通过协商获取IP地址。

[RouterB-Serial3/2/1/1:0] ip address ppp-negotiate

4. 验证配置

配置完成后,查看设备Router B的接口Serial3/2/1/1:0的概要信息,可见接口Serial3/2/1/1:0通过PPP协商获取的IP地址为200.1.1.10。

[RouterB-Serial3/2/1/1:0] display interface serial 3/2/1/1:0 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP      Description

Ser3/2/1/1:0         UP   UP       200.1.1.10

在Router B上可以Ping通Router A的Serial3/2/1/1:0接口。

[RouterB-Serial3/2/1/1:0] ping 200.1.1.1

Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms

56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms

56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms

56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms

56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms

 

--- Ping statistics for 200.1.1.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms

在Router A上可以看到PPP地址池中已分配一个地址。

[RouterA-Serial3/2/1/1:0] display ip pool aaa

Group name: AAA

  In-use IP address count: 1

  Pool name       Start IP address    End IP address     Free    In use

  aaa             200.1.1.10          200.1.1.20         10      1

In-use IP addresses:

  IP address      Interface

  200.1.1.10      Ser3/2/1/1:0


2 MP

2.1  MP简介

MP是MultiLink PPP的缩写,是基于增加带宽的考虑,将多个PPP通道捆绑成一条逻辑链路使用而产生的。MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到对端,对端将这些分片组装起来传递给网络层处理。

2.1.1  MP主要作用

MP主要是增加带宽的作用,除此之外,MP还有负载分担的作用,这里的负载分担是链路层的负载分担;负载分担从另外一个角度解释就有了备份的作用。同时,MP的分片可以起到减小传输时延的作用,特别是在一些低速链路上。

综上所述,MP的作用主要有以下几个:

·     增加带宽

·     负载分担

·     备份

·     利用分片降低时延

2.1.2  MP支持的接口类型

MP能在任何支持PPP封装的接口下工作,如串口,也包括支持PPPoX(PPPoE等)的虚拟接口,建议用户将同一类的接口捆绑使用,不要将不同类的接口捆绑使用。

2.2  MP配置限制和指导

不支持跨业务板进行MP捆绑。不支持同一业务板上跨接口卡进行MP捆绑,仅支持对同一接口卡内的接口进行MP捆绑。

仅MIC-ET16L、MIC-CLP2L和MIC-CLP4L子卡支持MP捆绑。

2.3  MP配置任务简介

MP配置任务如下:

(1)     通过MP-group接口进行MP捆绑

(2)     (可选)配置MP短序协商方式

(3)     (可选)配置MP Endpoint选项

2.4  配置通过MP-group接口进行MP捆绑

2.4.1  功能简介

MP-group接口是MP的专用接口,不支持其它应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。

2.4.2  通过MP-group接口进行MP捆绑配置任务简介

通过MP-group接口配置MP配置任务如下:

(1)     创建MP-group接口

(2)     将物理接口加入MP-group接口

(3)     (可选)配置MP-group接口的轮询功能

(4)     (可选)配置MP参数

(5)     (可选)恢复当前MP-group接口的缺省配置

2.4.3  创建MP-group接口

(1)     进入系统视图。

system-view

(2)     创建MP-group接口并进入MP-group接口视图。

interface mp-group mp-number

(3)     (可选)配置接口的描述信息。

description text

缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:MP-group3/2/1 Interface。

(4)     (可选)配置接口的MTU值。

mtu size

缺省情况下,接口的MTU值为1500字节。

(5)     (可选)配置接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。

(6)     (可选)打开接口。

undo shutdown

缺省情况下,接口处于打开状态。

2.4.4  将物理接口加入MP-group接口

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     将接口加入指定的MP-group接口,使接口工作在MP方式。

ppp mp mp-group mp-number

缺省情况下,接口工作在普通PPP方式。

2.4.5  配置MP-group接口的轮询功能

1. 功能简介

MP-group接口使用轮询机制来确认链路状态是否正常。

MP-group接口会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down。

如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文。

2. 配置限制和指导

在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入MP-group接口视图。

interface mp-group mp-number

(3)     配置接口发送keepalive报文的周期。

timer-hold seconds

缺省情况下,接口发送keepalive报文的周期为10秒。

(4)     配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路。

timer-hold retry retries

缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路。

2.4.6  配置MP参数

(1)     进入系统视图。

system-view

(2)     进入MP-group接口视图。

interface mp-group mp-number

(3)     (可选)配置MP最大捆绑链路数。

ppp mp max-bind max-bind-num

缺省情况下,最大捆绑链路数为16。

本配置不能立即生效,必须对所有已捆绑的物理接口依次执行shutdownundo shutdown之后改变才会生效。

(4)     (可选)配置对MP报文进行分片的最小报文长度。

ppp mp min-fragment size

缺省情况下,对MP报文进行分片的最小报文长度为128字节。

(5)     (可选)配置MP等待期望分片报文的时间。

ppp mp timer lost-fragment seconds

缺省情况下,MP不启动等待期望分片报文的定时器。

(6)     (可选)关闭MP报文分片功能。

ppp mp fragment disable

缺省情况下,MP报文分片功能处于开启状态。

(7)     (可选)配置MP使用严格负载分担模式。

ppp mp load-sharing mode strict-round-robin

缺省情况下,MP使用智能负载分担模式。

2.4.7  恢复当前MP-group接口的缺省配置

1. 配置限制和指导

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入MP-group接口视图。

interface mp-group mp-number

(3)     恢复当前接口的缺省配置。

default

2.5  配置MP短序协商方式

1. 功能简介

MP捆绑在收发报文时默认使用长序协商方式。其中,长序、短序是指报文序号的长短。

2. 配置限制和指导

配置触发MP短序协商仅对配置端接收方向生效,即:

·     如果本端想使用短序方式接收报文,则需要在本端配置触发MP短序协商,之后在协商LCP的过程本端将添加短序请求,请求对端发送短序,协商通过后,对端使用短序方式发送报文,本端使用短序方式接收报文。

·     如果本端想使用短序方式发送报文,则需要对端配置触发MP短序协商,协商通过后,本端使用短序方式发送报文,对端使用短序方式接收报文。

MP捆绑使用的长短序方式由第一条加入该捆绑中的子通道决定,后续加入捆绑的子通道配置不能更改MP捆绑的长短序方式。

如果想使用MP短序协商,建议在所有的MP子通道下配置触发MP短序协商。

配置触发MP短序协商会导致当前接口进行PPP重协商。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     触发MP短序协商,协商成功后本端接收方向将使用短序。

ppp mp short-sequence

缺省情况下,不触发短序协商,使用长序。

2.6  配置MP Endpoint选项

1. 功能简介

在MP的LCP协商过程会协商Endpoint选项(终端描述符)值:在通过MP-group接口配置MP时,不需要根据Endpoint选项值进行MP捆绑。当使用ppp mp mp-group命令将接口加入指定MP-group后,接口发送报文中携带的Endpoint选项内容缺省为MP-group的接口名称,如果用户配置了Endpoint选项内容,则携带用户配置的值。

由于Endpoint选项内容最长为20字节,如果内容超过20个字节,则截取前20个字节作为Endpoint选项内容。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置当前接口在MP应用时,LCP协商的Endpoint选项内容。

ppp mp endpoint endpoint

缺省情况下,接口发送报文中携带的Endpoint选项内容为设备名称。

2.7  MP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示MP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除相应接口的统计信息。

表2-1 MP显示和维护

操作

命令

显示MP-group接口的相关信息

display interface [ mp-group [ interface-number ] ] [ brief [ description | down ] ]

显示MP的相关信息

display ppp mp [ interface interface-type interface-number ]

清除MP-group接口的统计信息

reset counters interface [ mp-group [ interface-number ] ]

 

2.8  MP典型配置举例

2.8.1  通过将链路绑定到MP-group接口方式进行MP捆绑配置举例

1. 组网需求

设备Router A和Router B的Serial3/2/1/1:0和Serial3/2/1/2:0分别对应连接。要求通过将链路绑定到MP-group接口方式进行MP捆绑。

2. 组网图

图2-1 通过将链路绑定到MP-group接口方式进行MP捆绑组网图

 

3. 配置步骤

(1)     配置Router A

# 创建MP-group接口,配置相应的IP地址。

<RouterA> system-view

[RouterA] interface mp-group 3/2/1

[RouterA-MP-group3/2/1] ip address 1.1.1.1 24

# 配置串口Serial3/2/1/1:0。

[RouterA-MP-group3/2/1] quit

[RouterA] interface serial 3/2/1/1:0

[RouterA-Serial3/2/1/1:0] link-protocol ppp

[RouterA-Serial3/2/1/1:0] ppp mp mp-group 3/2/1

[RouterA-Serial3/2/1/1:0] shutdown

[RouterA-Serial3/2/1/1:0] undo shutdown

[RouterA-Serial3/2/1/1:0] quit

# 配置串口Serial3/2/1/2:0。

[RouterA] interface serial 3/2/1/2:0

[RouterA-Serial3/2/1/2:0] link-protocol ppp

[RouterA-Serial3/2/1/2:0] ppp mp mp-group 3/2/1

[RouterA-Serial3/2/1/2:0] shutdown

[RouterA-Serial3/2/1/2:0] undo shutdown

[RouterA-Serial3/2/1/2:0] quit

(2)     配置Router B

# 创建MP-group接口,配置相应的IP地址。

[RouterB] interface mp-group 3/2/1

[RouterB-Mp-group3/2/1] ip address 1.1.1.2 24

[RouterB-Mp-group3/2/1] quit

# 配置串口Serial3/2/1/1:0。

[RouterB] interface serial 3/2/1/1:0

[RouterB-Serial3/2/1/1:0] link-protocol ppp

[RouterB-Serial3/2/1/1:0] ppp mp mp-group 3/2/1

[RouterB-Serial3/2/1/1:0] shutdown

[RouterB-Serial3/2/1/1:0] undo shutdown

[RouterB-Serial3/2/1/1:0] quit

# 配置串口Serial3/2/1/2:0。

[RouterB] interface serial 3/2/1/2:0

[RouterB-Serial3/2/1/2:0] link-protocol ppp

[RouterB-Serial3/2/1/2:0] ppp mp mp-group 3/2/1

[RouterB-Serial3/2/1/2:0] shutdown

[RouterB-Serial3/2/1/2:0] undo shutdown

[RouterB-Serial3/2/1/2:0] quit

4. 验证配置

(1)     在Router A上查看绑定效果

# 查看MP的相关信息。

[RouterA] display ppp mp

Template: MP-group3/2/1

max-bind: 16, fragment: enabled, min-fragment: 128

Master link: MP-group3/2/1, Active members: 2, Bundle Multilink

Peer's endPoint descriptor: MP-group3/2/1

Sequence format: short (rcv)/long (sent)

Bundle Up Time: 2012/11/04  09:03:16:612

0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved

Sequence: 0 (rcvd)/0 (sent)

Active member channels: 2 members

      Serial3/2/1/1:0               Up-Time:2012/11/04  09:03:16:613

      Serial3/2/1/2:0               Up-Time:2012/11/04  09:03:42:945

# 查看MP-group3/2/1接口的相关信息。

[RouterA] display interface mp-group 3/2/1

MP-group3/2/1

Current state: UP

Line protocol state: UP

Description: MP-group3/2/1 Interface

Bandwidth: 2048kbps

Maximum transmission unit: 1500

Hold timer: 10 seconds,retry times: 5

Internet address: 1.1.1.1/24 (primary)

Link layer protocol: PPP

LCP: opened, MP: opened, IPCP: opened

Physical: MP, baudrate: 2048000 bps

Last link flapping: Never

Last clearing of counters: Never

Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Input: 2 packets, 80 bytes, 0 drops

Output: 2 packets, 24 bytes, 0 drops

# 在RouterA上ping对端IP地址。

[RouterA] ping 1.1.1.2

Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break

56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=4.000 ms

56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms

56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms

56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=7.000 ms

56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms

 

--- Ping statistics for 1.1.1.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.000/2.600/7.000/2.577 ms

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们