- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-用户接入操作
本章节下载 (406.86 KB)
PPP(Point to Point Protocol)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证、易于扩充,并且支持同异步通信,因而获得广泛应用。
PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)等。其中:
l 链路控制协议,Link Control Protocol,简称LCP。主要用来建立、拆除和监控数据链路。
l 网络控制协议,Network Control Protocol,简称NCP。主要用来协商在该数据链路上所传输的数据包的格式与类型。
l 用于网络安全方面的验证协议族。
(1) PAP验证
PAP验证为两次握手验证,口令为明文,PAP验证的过程如下:
l 被验证方发送用户名和口令到验证方;
l 验证方根据本端用户表查看是否有此用户以及口令是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。
(2) CHAP验证
CHAP验证为三次握手验证,口令为密文(密钥),CHAP验证过程如下:
l 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;
l 被验证方接到验证方的验证请求后,被验证方根据此报文中验证方的用户名和本端的用户表查找用户口令字,如找到用户表中与验证方用户名相同的用户,便利用报文ID、此用户的密钥(口令字)和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response);如果被验证方没有在本端用户表中找到匹配的用户名,则检查本端接口上是否配置了ppp chap password命令。如果配置了该命令,则被验证方利用报文ID、此用户的密钥(口令字)和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response)。
l 验证方用自己保存的被验证方口令字和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。
PPP运行过程(参见图1-1)如下:
(1) 在开始建立PPP链路时,先进入到Establish阶段。
在Establish阶段PPP链路进行LCP协商,协商内容包括工作方式(是SP还是MP)、验证方式和最大接收单元(MRU,Maximum-Receive-Unit)等。LCP在协商成功后进入Opened状态,表示底层链路已经建立。
(2) 如果配置了验证(远端验证本地或者本地验证远端)则进入Authenticate阶段,开始CHAP或PAP验证。
(3) 如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request。
(4) NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
(5) PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(例如,用户的干预)。
图1-1 PPP运行流程图
有关PPP的详细说明,请参考RFC1661。
PPP的基本配置包括:
l 配置接口封装的链路层协议为PPP
l 配置轮询时间间隔
l 配置PPP验证方式及用户名、用户口令
PPP的高级配置包括:
l 配置PPP协商参数
l 配置PPP 链路质量监测
说明:PPP基本配置任务,是在路由器上运行PPP必须完成的配置,而高级配置任务是用户根据自己的需要进行的可选配置。
请在接口视图下进行下列配置。
命令link-protocol ppp可配置接口封装的链路层协议为PPP。
|
操作 |
命令 |
|
配置接口封装的链路层协议为PPP |
link-protocol ppp |
Dialer接口、虚拟模板接口缺省封装的链路层协议即为PPP。
PPP、FR、HDLC等链路层协议都使用轮询定时器来确认链路状态是否正常。在配置轮询时间间隔时,应保证两端的设置相同。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置轮询时间间隔 |
timer hold seconds |
|
禁止链路检测功能 |
undo timer hold |
缺省情况下,轮询间隔为10秒。如果将轮询间隔设置为0,则不进行链路有效性检测。
如果网络的延迟比较大,或拥塞程度较高,可以适当加大轮询时间间隔,以减少网络震荡的发生。
本地和对端之间支持CHAP和PAP两种验证方式,以下将根据不同的验证方式分别介绍需要的配置步骤。
需要说明的是:下面的PPP验证命令都是在接口视图下进行的,local-user命令是在系统视图下进行。本章只介绍本地认证方案,远端AAA认证方案请参见本手册的“安全”部分。
表1-3 配置本地以PAP方式验证对端
|
操作 |
命令 |
|
配置本地验证对端(方式为PAP)(接口视图) |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
|
取消配置的PPP验证方法,即不进行PPP验证(接口视图) |
undo ppp authentication-mode |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
设置PPP用户的回呼及主叫号码属性(本地用户视图) |
service-type ppp [ callback-nocheck | callback-number callback-number | call-number call-number [ :subcall-number ] ] |
|
恢复PPP用户回呼及主叫号码属性的缺省设置(本地用户视图) |
undo service-type ppp [ callback-nocheck | callback-number | call-number ] |
|
创建一个ISP域,或者进入已创建ISP域的视图(系统视图) |
domain { isp-name | default { disable | enable isp-name } } |
|
配置域用户使用本地认证方案(域视图) |
scheme local |
PPP缺省为不验证。
当配置ppp authentication-mode { pap | chap } 后不加domain时,默认使用的domain是系统缺省的域system,认证方式是本地验证,必须使用在该域中配置的地址池。如果在该命令加了domain,则必须在对应的domain中配置地址池。
如果用户名中带有domain,则以用户名中的domain为准(若该domain名不存在,则认证被拒绝),否则应使用为PPP认证配置的domain名。
如果用户名中不带domain,而为PPP认证配置的domain名又不存在,则认证被拒绝。
表1-4 配置本地以CHAP方式验证对端
|
操作 |
命令 |
|
配置本地验证对端(方式为CHAP)(接口视图) |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
|
取消配置的PPP验证方法,即不进行PPP验证(接口视图) |
undo ppp authentication-mode |
|
配置本地用户名称(接口视图) |
ppp chap user username |
|
删除配置的本地用户名称(接口视图) |
undo ppp chap user |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
设置PPP用户的回呼及主叫号码属性(本地用户视图) |
service-type ppp [ callback-nocheck | callback-number callback-number | call-number call-number [ :subcall-number ] ] |
|
恢复PPP用户回呼及主叫号码属性的缺省设置(本地用户视图) |
undo service-type ppp [ callback-nocheck | callback-number | call-number ] |
|
创建一个ISP域,或者进入已创建ISP域的视图(系统视图) |
domain { isp-name | default { disable | enable isp-name } } |
|
配置域用户使用本地认证方案(域视图) |
scheme local |
PPP缺省为不验证。对于拨号接口的验证,建议在物理接口和Dialer接口上都配置。因为当物理接口接收到DCC呼叫请求时,首先进行PPP协商并认证拨入用户的合法性,然后再将呼叫转交给上层协议进行处理。
缺省情况下,若未使用ppp chap user命令配置用户名,则系统缺省使用“H3C”作为用户名。
表1-5 配置本地被对端以PAP方式验证
|
操作 |
命令 |
|
配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令(接口视图) |
ppp pap local-user username password { simple | cipher } password |
|
删除以上配置的以PAP方式验证时发送的用户名和口令(接口视图) |
undo ppp pap local-user |
缺省情况下,被对端以PAP方式验证时,本地路由器发送的用户名和口令均为空。
|
操作 |
命令 |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
配置本地名称(接口视图) |
ppp chap user username |
|
删除配置的本地名称(接口视图) |
undo ppp chap user |
|
设置缺省的CHAP验证密码(当不配置本地用户和密码的时候使用该缺省密码)(接口视图) |
ppp chap password { simple | cipher } password |
|
删除缺省的CHAP验证密码(接口视图) |
undo ppp chap password |
其中simple表示对password进行明文显示,cipher表示对password进行加密显示。
缺省情况下,若未使用ppp chap user命令配置用户名,则系统缺省使用“H3C”作为用户名。
& 说明:
在配置CHAP验证时,双方local-user命令中的username应该与对方ppp chap user的username一致,双方配置的password也应该一致。当被验证方没有通过local-user命令配置本地用户时,将对收到的所有的PPP用户的验证请求使用缺省的密钥(由ppp chap password命令配置)进行加密并响应。
可以配置的PPP协商参数包括:
协商超时时间间隔,在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔可选范围为1秒到10秒。
另外一些NCP的协商参数,如本地IP地址、分配给对方的IP地址等的配置请参见网络协议配置部分。例如ip address ppp-negotiate命令要求对端为本地分配IP地址,而remote address命令可以指定本地为对端分配IP地址。
请在接口视图下进行下列配置。
表1-7 配置PPP协商超时时间间隔
|
操作 |
命令 |
|
配置协商超时时间间隔 |
ppp timer negotiate seconds |
|
恢复PPP协商超时时间的缺省值 |
undo ppp timer negotiate |
缺省情况下,超时时间间隔为3秒。
(1) 配置Client端
若接口封装了PPP,本端接口还未配置IP地址而对端已有IP地址时,可为本端接口配置IP地址可协商属性。使本端接口接受PPP协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时,得到由ISP分配的IP地址。
请在接口视图下进行下列配置。
表1-8 设置接口IP地址可协商属性
|
操作 |
命令 |
|
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
|
取消接口IP地址可协商属性 |
undo ip address ppp-negotiate |
缺省情况下,系统不允许接口协商IP地址。
注意:
l 因PPP支持IP地址的协商,所以只有当接口封装了PPP时,才能设置接口IP地址的协商,当PPP协议down时,协商产生的IP地址将被删除。
l 若接口原来配有地址,在配置接口IP地址协商后,原IP地址将被删除。
l 配置接口IP地址协商后,不需再给该接口配置IP地址,IP地址由协商获得。
l 配置接口IP地址协商后,再次配置该接口协商,原协商产生的IP地址将被删除,接口再次协商获得IP地址。
l 在协商地址被删除后,接口将处于无地址状态。
(2) 配置Server端
若是路由器作为Server为对端设备分配IP地址,有三种方法可以为PPP用户分配IP地址:
方法一:不配置地址池,在接口上直接给对方分配指定的IP地址。
|
操作 |
命令 |
|
为PPP用户分配IP地址 |
remote address ip-address |
|
取消为PPP用户分配IP地址 |
undo remote address |
缺省情况下,若未配置remote address pool命令和域地址池,则接口不给对端分配IP地址。
方法二:通过使用全局地址池给对端分配地址。
首先在系统视图下定义全局地址池,然后在接口下通过remote address pool命令指定全局地址池号即可(仅能指定一个)。
|
操作 |
命令 |
|
定义全局IP地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
|
取消全局IP地址池 |
undo ip pool pool-number |
|
使用全局地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
|
取消为PPP用户分配IP地址 |
undo remote address |
缺省情况下,若未配置remote address pool命令和域地址池,则接口不分配地址给对端。当配置了remote address pool命令,但没有指定pool-number时,缺省使用0号全局地址池。
前两种地址分配方法适用于不对PPP用户进行认证的情况,下面介绍的第三种分配方法适用于对PPP用户进行认证的情况。
方法三:通过使用域地址池给对端分配地址。
首先在域视图下定义域地址池,然后在接口下通过remote address pool命令指定域地址池号即可(仅能指定一个);若不配置remote address pool命令,则在认证协商时依次使用相应域下的地址池给用户分配IP地址。
表1-11 定义PPP域用户的IP地址池
|
操作 |
命令 |
|
定义域IP地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
|
取消域IP地址池 |
undo ip pool pool-number |
|
使用域地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
|
取消为PPP用户分配IP地址 |
undo remote address |
缺省情况下,若未配置remote address pool命令和域地址池,则接口不分配地址给对端。
下面总结一下PPP用户的IP地址分配原则:
(1) 对于域的用户(包括userid和userid@isp-name两种用户)分配地址的优先级如下:
l 如果采用RADIUS或TACACS认证和授权,并且服务器给用户下发了地址,则采用服务器下发的地址。
l 如果服务器没有下发地址,而是下发地址池,则在域视图下相应的地址池中查找地址给用户。
l 如果上述两种方式没有分配到地址或是采用本地认证,则依次查找域视图下的地址池,并分配给用户。
(2) 对于不认证用户,采用接口下指定的全局地址池(即在系统视图下定义的地址池)给用户分配地址。
当采用在接口下直接指定对端IP地址或使用地址池分配IP地址时,remote address命令不具有地址分配的强制性,即在配置该命令后,也允许对端自行配置IP地址;如果不希望(或不允许)对端自行配置IP地址,必须接受本端分配的地址时,对端必须配置为协商IP地址,同时必须在Server端的接口视图下配置下面命令。
表1-12 配置/取消PPP IPCP地址分配的强制性
|
操作 |
命令 |
|
配置PPP IPCP不允许对端使用自行配置的固定IP地址 |
ppp ipcp remote-address forced |
|
取消PPP IPCP地址分配的强制性 |
undo ppp ipcp remote-address forced |
缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制,即路由器本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址。
路由器在进行PPP地址协商的过程中可以进行DNS地址协商,此时路由器既可以配置为接收对端分配的DNS地址,也可以配置为向对方提供DNS地址。一般情况下,当PC与路由器通过PPP协议相连时(通常为PC机拨号连接路由器),路由器应为对端设备分配DNS地址,这样PC就可以通过域名直接访问Internet;当路由器通过PPP协议连接运营商的接入服务器时,路由器应配置为被动接收或主动请求对端分配DNS地址,这样路由器就可以使用接入服务器分配的DNS服务器来解析域名。
请在接口视图下进行下面的配置。
表1-13 配置DNS服务器地址协商
|
操作 |
命令 |
|
配置路由器可以被动地接收对端分配的DNS地址 |
ppp ipcp dns admit-any |
|
禁止路由器被动地接收对端分配的DNS地址 |
undo ppp ipcp dns admit-any |
|
使能路由器为对端分配DNS服务器地址 |
ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
|
禁止路由器为对端分配DNS服务器地址 |
undo ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
|
配置PPP IPCP主动请求对端的DNS地址 |
ppp ipcp dns request |
|
禁止IPCP请求对端的DNS地址 |
undo ppp ipcp dns request |
缺省情况下,禁止DNS地址协商。
PPP链路质量监测可以实时对PPP链路的质量进行监测。当链路的质量低于禁用链路质量百分比时,链路会被禁用;当链路质量恢复到恢复链路质量百分比时,链路会被自动重新启用。为了保证链路不会在禁用和恢复之间反复振荡,PPP链路质量监测在重新启用链路时会有一定的时间延迟。
请在接口视图下进行下列配置。
表1-14 配置PPP链路质量监测
|
操作 |
命令 |
|
使能PPP链路质量检测功能 |
ppp lqc forbidden-percentage [ resumptive-percentage ] |
|
禁用PPP链路质量检测功能 |
undo ppp lqc |
缺省情况下,参数resumptive-percentage等于forbidden-percentage。
& 说明:
在没有使能PPP链路质量检测功能之前,PPP接口会每隔一段时间向对端发送keepalive报文;在使能此功能之后,PPP接口会用LQR报文替换keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量计算不合格,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量计算均合格,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
在完成上述配置后,在任意视图下执行display命令可以显示PPP配置后的运行情况,通过查看显示信息验证配置的效果。在用户视图下执行debugging命令可以对PPP进行调试。
表1-15 PPP的显示和调试
|
操作 |
命令 |
|
显示接口的PPP配置和运行状态 |
display interface interface-name |
|
打开PPP的部分调试开关 |
debugging ppp { chap { all | event | error | packet | state } | pap { all | event | error | packet | state } | vjcomp packet } [ interface interface-type interface-number ] |
|
打开PPP的部分调试开关 |
debugging ppp compression iphc { rtp | tcp } { all | context_state | error | full_header | general_info } |
|
打开PPP的部分调试开关 |
debugging ppp { core event | ip packet | ipcp { all | event | error | packet | state } | lcp { all | event | error | packet | state } | lqc packet | mp { all | event | error | packet } } [ interface interface-type interface-number ] |
|
打开PPP的部分调试开关 |
debugging ppp { all | cbcp packet | ccp { all | event | error | packet | state } | scp packet } [ interface interface-type interface-number ] |
PPP链路上提供了四种提高传输效率的机制:IP报文头压缩协议(IP Header Compression,IPHC),PPP报文的STAC-LZS压缩、VJ TCP头压缩和链路分片与交叉(Link Fragmentation and Interleaving,LFI),详细介绍如下。
IP报文头压缩协议(IP Header Compression,IPHC)是一个主机-主机协议,用于在IP网络上承载语音、视频等实时多媒体业务。为了减少有效带宽的消耗,可以在PPP链路上使用IP报文头压缩功能,对RTP头(含IP、UDP、RTP头)或TCP头进行压缩。下面以RTP头压缩为例对压缩原理进行说明。
RTP实际上是一种限定端口号与固定格式的UDP协议,包括数据部分和头部分,RTP的数据部分相对小,而RTP的头部分较大。12字节的RTP头,加上20字节的IP头和8字节的UDP头,就是40字节的IP/UDP/RTP头。而RTP典型的负载是20字节到160字节。为了避免不必要的带宽消耗,可以使用IPHC特性对报文头进行压缩。IPHC将IP/UDP/RTP头从40字节压缩到2~5字节,对于40字节的负载,头压缩到5字节,压缩比为(40+40)/(40+5),约为1.78,可见效果是相当可观的。IP头压缩的处理过程如图所示。
图1-2 IP头压缩
STAC-LZS(STAC Lempel-Ziv standard)压缩是一种链路层上的数据压缩标准,它由STAC有限公司开发并推广,仅对报文的净负荷进行压缩。STAC-LZS压缩基于Lempel-Ziv算法,是用二进制编码替代一个连续的数据流,编码能够随数据的变化而变化,更加灵活,但也更加占用CPU资源。
VJ TCP头压缩(V. Jacobson Compressing TCP/IP Headers)是一种应用在低速链路上的TCP/IP头压缩算法,符合RFC1144。
一个典型的TCP/IP报文头的长度是40字节,其中IP头20字节,TCP头20字节,在TCP建立连接后,在每个连接上传输的大量的TCP/IP报文都会包含这些信息。通过分析发现这些报文头中有些字段的信息是固定不变的,只发送一次即可;有些字段虽然有变化,但变化的规律和范围很明确,故字段的长度可以压缩。通过JV TCP/IP头压缩后,TCP/IP头长度可以从40字节降至3~5字节,应用在PPP等低速串行链路上可以明显提高如FTP等应用的报文传输速度。
配置IP报文头压缩包括下面步骤:
l 启动和关闭IP头压缩
l 配置TCP头压缩的最大连接数(可选)
l 配置RTP头压缩的最大连接数(可选)
使用该命令可以启动某接口上的IP头压缩功能。当启动IP头压缩时,建立RTP会话的TCP报文的头压缩也将被启动;当禁止IP头压缩时,建立RTP会话的TCP报文的头压缩也将被禁止。
用户必须在链路的两端同时配置IP头压缩命令。
请在接口视图下进行如下配置。
|
操作 |
命令 |
|
启动IP头压缩 |
ppp compression iphc [ nonstandard ] |
|
关闭IP头压缩 |
undo ppp compression iphc |
使用该命令配置TCP头压缩的最大连接数。
请在接口视图下进行下列配置。
表1-17 配置TCP头压缩的最大连接数
|
操作 |
命令 |
|
配置TCP头压缩的最大连接数 |
ppp compression iphc tcp-connections number |
|
恢复TCP头压缩的最大连接数的缺省值 |
undo ppp compression iphc tcp-connections |
参数number指该接口上TCP头压缩的最大连接数。缺省方式下number值为16。
使用该命令配置RTP头压缩的最大连接数。
请在接口视图下进行下列配置。
表1-18 配置RTP头压缩的最大连接数
|
操作 |
命令 |
|
配置RTP头压缩的最大连接数 |
ppp compression iphc rtp-connections number |
|
恢复RTP头压缩的最大连接数的缺省值 |
undo ppp compression iphc rtp-connections |
参数number指该接口上IPHC功能的RTP头压缩的最大连接数,取值范围为3~1000,缺省方式下number值为16。
请在接口视图下进行下列配置。
目前的系统版本支持Stac压缩方法(RFC1974)。
表1-19 配置PPP的STAC-LZS压缩
|
操作 |
命令 |
|
配置接口允许Stac压缩 |
ppp compression stac-lzs |
|
取消接口使用Stac压缩 |
undo ppp compression stac-lzs |
缺省情况下,禁止使用压缩。
请在接口配置模式下进行下列配置。
|
操作 |
命令 |
|
在PPP接口上允许进行VJ TCP头压缩 |
ip tcp vjcompress |
|
在PPP接口上禁止进行VJ TCP头压缩 |
undo ip tcp vjcompress |
缺省情况下,PPP接口上禁止进行VJ TCP头压缩。
表1-21 PPP链路效率机制的显示与调试
|
操作 |
命令 |
|
显示TCP头压缩的统计信息 |
display ppp compression iphc tcp [ interface-type interface-number ] |
|
显示RTP头压缩的统计信息 |
display ppp compression iphc rtp [ interface-type interface-number ] |
|
显示stac-lzs压缩统计信息 |
display ppp compression stac-lzs [ interface-type interface-number ] |
|
打开RTP头压缩的调试开关 |
debugging ppp compression iphc rtp { all | context_state | error | full_header | general_info } |
|
打开TCP头压缩的调试开关 |
debugging ppp compression iphc tcp { all | context_state | error | full_header | general_info } |
|
清空IP头压缩的统计信息 |
reset ppp compression iphc [ interface-type interface-number ] |
|
清除Stac-lzs压缩的统计信息 |
reset ppp compression stac-lzs [ interface-type interface-number ] |
如图1-3所示, Router1和Router2之间用接口GigabitEthernet1/0互连,要求Router1用PAP方式验证Router2。
图1-3 PAP、CHAP验证示例组网图
(1) 配置Router1
# 增加一个PPPoE用户。
[H3C] local-user router2
[H3C-luser-router2] password simple h3c
[H3C-luser-router2] service-type ppp
# 在Router1上配置虚拟模板参数:
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode pap
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[H3C-Virtual-Template1] remote address 1.1.1.2
# 在Router1上配置PPPoE参数:
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-server bind virtual-template 1
(2) 配置Router2
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user router
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] ppp pap local-user router2 password simple h3c
# 配置PPPoE会话
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-client dial-bundle-number 1
在图1-2中,要求Router1用CHAP方式验证Router2。
见图1-3
(1) 配置Router1
# 增加一个PPPoE用户。
[H3C] local-user router2
[H3C-luser-router2] password simple h3c
[H3C-luser-router2] service-type ppp
# 在Router1上配置虚拟模板参数:
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode chap
[H3C-Virtual-Template1] ppp chap user router1
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[H3C-Virtual-Template1] remote address 1.1.1.2
# 在Router1上配置PPPoE参数:
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-server bind virtual-template 1
(2) 配置Router2
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] ppp chap user router2
[H3C-Dialer1] ppp chap password simple h3c
[H3C] local-user router1
[H3C-luser-router1] password simple h3c
# 配置PPPoE会话
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-client dial-bundle-number 1
故障之一:链路始终不能转为Up状态。
故障排除:可能是由于PPP验证参数配置不正确,导致PPP验证失败。
打开PPP的调试开关,会看到LCP协商成功并转为Up状态后进行PAP或CHAP协商,然后LCP转为Down状态。
故障之二:物理链路不能转为Up状态。
故障排除:可以执行display interface type number命令来查看接口当前状态。
PPPoE是Point-to-Point Protocol over Ethernet的简称,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每个主机实现控制、计费功能,极高的性能价格比使PPPoE在包括小区组网建设等一系列应用中被广泛采用。
PPPoE有两个明显的阶段:Discovery阶段和PPP Session阶段,具体如下:
当一个主机想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSION ID。这就是Discovery阶段的目的。
当PPPoE进入Session阶段后,PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,SESSION ID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,主机或服务器任何一方都可发PADT报文通知对方结束本Session。
关于PPPoE的详细介绍,可以参考RFC2516。
PPPoE Server配置包括:
PPPoE Server的基本配置:
l 创建虚拟模板接口并配置相关参数
l 启用/禁止PPPoE Server
PPPoE Server的高级配置:
l 配置PPPoE Server相关参数
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
创建虚拟模板接口并进入虚拟接口模板视图 |
interface virtual-template number |
|
删除虚拟模板接口 |
undo interface virtual-template number |
虚拟模板接口与一般的物理接口相比,链路层协议只支持PPP,网络协议支持IP和IPX,因此,可以设置如下工作参数:
l 设置PPP的工作参数
l 设置虚拟模板接口的IP地址
l 设置为PPP对端分配的IP地址(或IP地址池)
请在接口视图下进行下列配置。
下表命令是针对以太网接口的,并且只对相应的以太网接口有效。即:在一个以太网接口上启用PPPoE协议,其它的以太网接口并不随之启用PPPoE协议;而在一个以太网接口上禁止PPPoE协议,并不表示其它的以太网接口也随之禁止PPPoE协议。
表2-2 启用/禁止PPPoE协议
|
操作 |
命令 |
|
在以太网接口上启用PPPoE协议 |
pppoe-server bind virtual-template number |
|
在以太网接口上禁止PPPoE协议 |
undo pppoe-server bind |
其中,number为虚拟模板接口(virtual-template)的编号。
缺省情况下,禁止PPPoE协议。
PPPoE Server系列参数可以根据需要进行配置,一般情况下使用缺省值即可。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置一个对端MAC地址上能创建的最大 PPPoE session数目 |
pppoe-server max-sessions remote-mac number |
|
恢复一个对端MAC地址上能创建的最大 PPPoE session数目为缺省值 |
undo pppoe-server max-sessions remote-mac |
|
配置一个本端MAC地址上能创建的最大 PPPoE session数目 |
pppoe-server max-sessions local-mac number |
|
恢复一个本端MAC地址上能创建的最大 PPPoE session数目为缺省值 |
undo pppoe-server max-sessions local-mac |
|
配置本系统能创建的最大PPPoE session数目 |
pppoe-server max-sessions total number |
|
将系统能创建的最大PPPoE session数目恢复为缺省值 |
undo pppoe-server max-sessions total |
当终端显示的日志信息太多时,一方面会影响设备的性能,另一方面也会给用户进行配置带来不便。因此,可以在PPPoE Serve端关闭日志信息的显示开关。
请在系统视图下进行下列配置。
表2-4 关闭/打开PPPoE Server的PPP日志信息的显示
|
操作 |
命令 |
|
关闭PPPoE Server的PPP日志信息的显示 |
pppoe-server log-information off |
|
打开PPPoE Server的PPP日志信息的显示 |
undo pppoe-server log-information off |
缺省情况下,终端显示PPPoE Server的PPP日志信息。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE配置后的运行情况,通过查看显示信息验证配置的效果。
表2-5 PPPoE显示和调试
|
操作 |
命令 |
|
监控PPPoE session的状态和统计数据 |
display pppoe-server session { all | packet } |
其中,all参数表示显示各session的所有信息,packet参数表示显示各session的报文统计信息。
如图2-1所示的主机Host使用PPPoE协议,通过Router接入到Internet。
Router通过GigabitEthernet 1/0接口连接以太网,GigabitEthernet 3/0接口连接Internet。
图2-1 PPPoE示例组网图
# 增加一个PPPoE用户。
[H3C] local-user NE
[H3C-luser-NE] password simple h3c
[H3C-luser-NE] service-type ppp
# 在路由器上配置PPPoE参数。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-server bind virtual-template 1
# 在路由器上配置虚拟模板参数。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode chap domain system
[H3C-Virtual-Template1] ppp chap user NE
[H3C-Virtual-Template1] remote address pool 1
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
# 增加一个本地IP地址池(9个IP地址)
[H3C-isp-domain] ip pool 1 1.1.1.2 1.1.1.10
这样,以太网上各主机安装PPPoE客户端软件后,配置好用户名和密码(此处为NE和h3c)就能使用PPPoE协议,通过路由器接入到Internet。
若认证方案配置为radius-scheme或hwtacacs-scheme,那么还可以配置RADIUS/HWTACAS参数,使系统可以进行计费,具体配置步骤请参见本手册的“安全”部分。
PPPoE是Point-to-Point Protocol over Ethernet的简称,可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。通过PPPoE协议,远端接入设备能够实现对每个接入用户的控制和计费。与传统的接入方式相比,PPPoE具有较高的性能价格比,它在包括小区组网建设等一系列应用中被广泛采用,目前流行的宽带接入方式ADSL就使用了PPPoE协议。
PPPoE协议采用Client / Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
PPPoE有两个不同的阶段:Discovery阶段和PPP Session阶段。
l Discovery阶段
当一个主机发起一个PPP会话的时候,它必须首先通过Discovery阶段去确认对端的以太网MAC地址并建立一个PPPoE的会话标识(Session ID)。与PPP协议不同的是,PPPoE的Discovery阶段建立的是一种Client/Server关系,而PPP建立的是一种对等关系。通过Discovery阶段,一个主机(Client)可以发现一个接入集中器(Server),在Discovery阶段正常结束后,主机和接入集中器就可以通过MAC地址和会话标识来建立PPPoE会话。
l PPP Session阶段
在PPP Session阶段开始后,主机和接入集中器之间就依据PPP协议传送PPP数据,进行PPP的各项协商和数据传输。PPP报文作为PPPoE帧的净荷被封装在以太网帧内,发送到PPPoE链路的对端,此时所有的以太网帧都是单播的。
关于PPPoE协议的详细介绍,可以参考RFC2516。
PPPoE在ADSL宽带接入中被广泛使用。通常情况下,一台主机如果要通过ADSL接入Internet,必须在主机上安装PPPoE客户端拨号软件。H3C MSR 50-06路由器实现了PPPoE Client功能(即PPPoE的客户端拨号功能),用户可以不用在PC上安装PPPoE客户端软件即可接入Internet,而且同一个局域网中的所有PC可以共享一个ADSL帐号。
图3-1 PPPoE典型组网图
从上图可以看到:以太网内的计算机连接到H3C MSR 50-06路由器上,在路由器上运行PPPoE Client。上网的数据首先到达路由器,再通过PPPoE协议对数据进行封装,经由路由器挂接的ADSL Modem到达ADSL接入服务器,最终进入Internet。整个上网过程,不需要用户另外在计算机上安装PPPoE客户端拨号软件就可以实现。
PPPoE Client的基本配置包括:
l 配置拨号接口
l 配置PPPoE会话
PPPoE Client的高级配置包括:
l 中止PPPoE会话
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上配置dialer bundle。每个PPPoE会话唯一对应一个dialer bundle,而每个dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
请在系统视图下使用dialer-rule和interface dialer命令,在Dialer接口视图下使用其他命令。
|
操作 |
命令 |
|
配置Dialer Rule |
dialer-rule dialer-group { protocol-name { permit | deny } | acl acl-number } |
|
创建一个Dialer接口 |
interface dialer number |
|
使能共享DCC,设定远程用户名 |
dialer user username |
|
配置接口IP地址 |
ip address { address mask | ppp-negotiate } |
|
配置接口的Dialer Bundle |
dialer bundle bundle-number |
|
配置接口的Dialer Group |
dialer-group group-number |
PPPoE只支持共享DCC。根据需要,可能还要在Dialer接口上配置PPP验证等相关参数,关于拨号接口配置的详细介绍,可以参考《Comware V3 操作手册 拨号》中DCC配置部分的相关内容,此处不再赘述。
PPPoE会话可以配置在物理以太网接口上,也可以配置在虚拟以太网接口上。当路由器通过以太网接口连接ADSL Modem再连入Internet的时候,需要在以太网接口配置PPPoE会话。
请在系统视图下配置虚拟以太网接口,在PVC视图下配置PPPoEoA映射。
|
操作 |
命令 |
|
创建虚拟以太网接口 |
interface virtual-ethernet number |
|
删除虚拟以太网接口 |
undo interface virtual-ethernet number |
请在以太网接口视图或虚拟以太网视图下进行下列配置,将Dialer口绑定到以太网口或虚拟以太网口。
|
操作 |
命令 |
|
配置PPPoE会话(永久在线方式) |
pppoe-client dial-bundle-number number [ no-hostuniq ] |
|
配置PPPoE会话(报文触发方式) |
pppoe-client dial-bundle-number number idle-timeout seconds [ queue-length packets ] |
|
删除PPPoE会话 |
undo pppoe-client dial-bundle-number number |
H3C MSR 50-06路由器支持两种PPPoE连接方式:永久在线方式和报文触发方式。
l 永久在线方式是指:当物理线路UP后,路由器会立即发起PPPoE呼叫,建立PPPoE会话。除非用户使用命令undo pppoe-client命令删除PPPoE会话,否则此PPPoE会话将一直存在。
l 报文触发方式是指:当物理线路UP后,路由器不会立即发起PPPoE呼叫,只有当有数据需要传送时,路由器才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户的配置,路由器会自动中止PPPoE会话。
请在用户视图下使用reset pppoe-client和reset pppoe-server命令,请在以太网接口视图或者虚拟以太网接口视图下使用undo pppoe-client命令。
|
操作 |
命令 |
|
中止PPPoE Client端的会话,稍后再重新建立此会话 |
reset pppoe-client { all | dial-bundle-number number } |
|
中止PPPoE Server端的会话 |
reset pppoe-server { all | virtual-template number | interface interface-type interface-num } |
|
中止PPPoE Client端的会话,此会话不会再被重新建立 |
undo pppoe-client dial-bundle-number number |
reset pppoe-client命令与undo pppoe-client命令的不同点在于:reset pppoe-client命令仅仅是临时中止PPPoE会话,而undo pppoe-client命令则是永久删除PPPoE会话。
当PPPoE会话工作在永久在线方式时,如果使用reset pppoe-client命令中止PPPoE会话,路由器会在16秒后自动重新建立PPPoE会话。当PPPoE会话工作在报文触发方式时,如果使用reset pppoe-client命令中止PPPoE会话,路由器会在有数据需要传送时,才重新建立PPPoE会话。
无论PPPoE会话工作在永久在线方式或报文触发方式,使用undo pppoe-client命令都会永久删除PPPoE会话。如果需要重新建立PPPoE会话,用户需要重新配置。
请在任意视图下使用display命令,在用户视图下使用debugging命令。
表3-5 PPPoE Client的显示和调试
|
操作 |
命令 |
|
显示PPPoE会话的状态和统计信息 |
display pppoe-client session { summary | packet } [ dial-bundle-number number ] |
|
打开PPPoE Client的调试开关 |
debugging pppoe-client { all | data | error | event | packet | verbose } [ interface type number ] |
Router1和Router2之间用接口GigabitEthernet1/0互连,要求Router1用PAP/CHAP方式验证Router2。
图3-2 PPPoE Client典型配置举例
方案一:PAP认证
(1) 配置Router1
# 增加一个PPPoE用户。
[H3C] local-user router2
[H3C-luser-router2] password simple h3c
[H3C-luser-router2] service-type ppp
# 配置虚拟模板参数。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode pap
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[H3C-Virtual-Template1] remote address 1.1.1.2
# 配置PPPoE Server。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-server bind virtual-template 1
(2) 配置Router2
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user router2
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] ppp pap local-user router2 password simple h3c
# 配置PPPoE会话。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-client dial-bundle-number 1
方案二:CHAP认证
(1) 配置Router1
# 增加一个PPPoE用户。
[H3C] local-user router2
[H3C-luser-router2] password simple h3c
[H3C-luser-router2] service-type ppp
# 配置虚拟模板参数。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode chap
[H3C-Virtual-Template1] ppp chap user router1
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[H3C-Virtual-Template1] remote address 1.1.1.2
# 配置PPPoE Server。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-server bind virtual-template 1
(2) 配置Router2
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user router2
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] ppp chap user router2
[H3C-Dialer1] ppp chap password simple h3c
[H3C-Dialer1] quit
[H3C] local-user router1
[H3C-luser-router1] password simple h3c
# 配置PPPoE会话。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] pppoe-client dial-bundle-number 1
局域网内的计算机通过RouterA访问Internet,RouterA通过ADSL Modem采用永久在线的方式接入DSLAM。ADSL帐户的用户名为h3c,密码为123456。RouterB作为PPPoE Server通过GigabitEthernet2/0接口连接至DSLAM,提供RADIUS认证、计费功能。在RouterA上使能PPPoE Client功能,局域网内的主机不用安装PPPoE客户端软件即可访问Internet。
图3-3 利用ADSL将局域网接入Internet
(1) 配置RouterA
# 配置Dialer接口。
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user routerb
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] ppp pap local-user h3c password cipher 123456
# 配置PPPoE会话。
[H3C] interface gigabitethernet 2/0
[H3C-GigabitEthernet2/0] pppoe-client dial-bundle-number 1
# 配置局域网接口及缺省路由。
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0] ip address 192.168.1.1 255.255.255.0
[H3C-GigabitEthernet1/0] quit
[H3C] ip route-static 0.0.0.0 0 dialer 1
如果局域网内计算机使用的IP地址为私有地址,就还需要在路由器上配置NAT(Network Address Translation,网络地址转换)。关于NAT的配置在这里不再列出,请参阅本手册的“安全”部分中的NAT配置部分。
(2) 配置RouterB
# 增加一个PPPoE用户。
[H3C] local-user h3c
[H3C-luser-h3c] password simple 123456
[H3C-luser-h3c] service-type ppp
# 在RouterB上配置虚拟模板参数:
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ppp authentication-mode pap
[H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[H3C-Virtual-Template1] remote address pool 1
# 在RouterB上配置PPPoE参数:
[H3C] interface gigabitethernet 2/0
[H3C-GigabitEthernet2/0] pppoe-server bind virtual-template 1
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme radius-scheme cams
# 增加一个本地IP地址池(9个IP地址)。
[H3C] ip pool 1 1.1.1.2 1.1.1.10
# 配置RADIUS方案。
[H3C] radius scheme cams
[H3C-radius-cams] primary authentication 10.110.91.146 1812
[H3C-radius-cams] primary accounting 10.110.91.146 1813
[H3C-radius-cams] key authentication expert
[H3C-radius-cams] key accounting expert
[H3C-radius-cams] server-type h3c
[H3C-radius-cams] user-name-format with-domain
[H3C-radius-cams] quit
RADIUS Server的具体配置,请参见RADIUS Server软件的相关资料。
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect:载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,共享介质上的各节点轮流使用介质传送帧,同一时刻只能有一个主机发,其他主机只能收。
当多个主机通过双绞线连接到集线器(HUB,星型结构),或者通过同轴电缆串连(总线型结构)时,所有互联在共享物理介质上的主机形成一个物理上的冲突域(Collision Domain),一般看作一个局域网的网段(LAN segmentation)。根据上面说明的以太网的基本原理,可以看出用HUB作LAN互联的问题是:当主机数目较多时将导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用。
解决上述问题的办法是使用透明网桥(Transparent Bridge)或者交换机(LAN Switch)作LAN互联。交换机通过接收到的数据帧的源MAC地址建立起MAC-PORT映射表,对于收到的数据帧,如果能够在表中查到目的MAC地址,则把帧只向对应的端口发送;如果找不到,就向除接收端口外的所有端口转发。这样,冲突域被交换机隔离在各自的端口,而不会扩展到其他端口。交换机并不改变以太帧的源地址和目的地址,而只是转发到适当的网段(LAN segmentation),是一种透明设备。交换机一般使用专用的ASIC芯片来实现桥接交换。交换机虽然解决了使用HUB带来冲突(Collision)严重的问题,但仍然不能隔离广播,实际上,所有用交换机互联起来的主机(可能包括多个交换机)是在一个广播域(Broadcast Domain),对于目的MAC地址为全F(0xffffff)的广播报文,比如ARP请求报文,交换机会向所有的端口转发,在主机较多的情况下,会造成广播风暴,导致整个网络的性能下降。
为了解决用交换机做LAN互联无法限制广播的问题,出现了VLAN(Virtual Local Area Network)技术。把一个LAN划分成多个逻辑的“LAN”-VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如图所示:
图4-1 一个VLAN的例子
VLAN的组成不受物理位置的限制,一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。
VLAN的划分方法有很多,可以基于端口、基于MAC地址、基于协议类型、基于IP地址映射、基于组播、基于策略等,目前通用的划分方法是基于端口的VLAN,本手册中的VLAN,如果没有特别说明,都是指基于端口的VLAN。
使用VLAN具有如下好处:
l 限制广播报文(广播风暴),节省带宽,提高了网络处理能力。Broadcast Domain限制在一个VLAN内,交换机不会从一个VLAN向另外一个VLAN直接发送帧,除非它是一个三层交换机。
l 增强LAN的安全性。VLAN间不能直接通信,即一个VLAN内的用户和其它VLAN内的用户不能直接互访,如果要访问需要通过路由器或三层交换机等三层设备。
l 虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,当用户工作组改变时,不需要改变物理位置。在实际使用中,一般都是同一工作组的用户在一起协作,异地的情况比较少。
在交换机上,一般的端口只能属于一个VLAN,只能识别和发送本VLAN的报文,但当VLAN跨越交换机时,就需要交换机间的端口(链路)能够同时识别和发送多个VLAN的报文,同样的问题也存在于支持VLAN的交换机和路由器之间,这样的链路称为Trunk,其意义有二:一是“中继”,把VLAN报文透明传输到互联的交换机或路由器,使VLAN得到扩展;二是“干线”,一条链路上可以传输多个VLAN的数据。
实现Trunk的协议常见的有IEEE802.1Q(简称dot1q),是IEEE的标准协议,它在原以太报文的源地址字段后增加一个4字节的VLAN TAG,达到识别VLAN的目的。
VLAN之间是不能直接互通的,为了实现VLAN之间的互通,必须使用路由器连接各个VLAN,连接的路由器必须支持VLAN。一般这种互通是三层(IP层)的互通。
H3C MSR 50-06路由器支持VLAN。
请在系统视图或者以太网子接口视图下进行下列配置。
表4-1 VLAN基本配置
|
操作 |
命令 |
|
创建并进入以太网子接口(系统视图下) |
interface interface-type interface-number sub-number |
|
设置以太网子接口的IP地址(接口视图下) |
ip address ip-address ip-mask |
|
设置以太网子接口或千兆以太网子接口的封装类型以及相关联的VLAN ID(接口视图下) |
vlan-type dot1q vid vid |
|
设置某个VLAN的每秒的最大处理报文数目(系统视图下) |
max-packet-process count vid |
|
将某个VLAN的每秒的最大处理报文数目恢复为缺省配置(系统视图下) |
undo max-packet-process vid |
缺省情况下,系统子接口上无封装,也没有与子接口关联的VLAN ID,没有最大处理报文数目的限制。
在完成上述配置后,在任意视图下执行display命令可以显示VLAN配置后的运行情况,通过查看显示信息验证配置的效果。
执行reset命令可以清除该运行情况的统计信息。
表4-2 VLAN显示和调试
|
操作 |
命令 |
|
显示指定VLAN配置的最大处理报文数目 |
display vlan max-packet-process vid |
|
显式指定VLAN的报文统计信息,包括接收和发送的报文数目 |
display vlan statistics vid vid |
|
显示某个接口的VLAN配置信息 |
display vlan interface interface-type interface-num |
|
清除指定VLAN的报文统计信息 |
reset vlan statistics vid vid |
这是一个三层转发(子接口)模式配置举例。如下图所示,交换机1和交换机2上指定了端口的VLAN属性,则与交换机相连的工作站A、B、C、D也就分别属于VLAN10或VLAN20,要求:
l Router子接口GigabitEthernet3/0.1、GigabitEthernet3/0.2和GigabitEthernet4/0.1、GigabitEthernet4/0.2的地址分别为1.0.0.1、2.0.0.1、3.0.0.1 和4.0.0.1;
l 工作站A和B之间、C和D之间能够互相通信,即同一交换机、不同VLAN之间能够互相通信;
l 工作站A和C之间、B和D之间能够互相通信,即不同交换机、同一VLAN之间能够互相通信;
l 工作站A和D之间、B和C之间能够互相通信,即不同交换机、不同VLAN之间能够互相通信。
配置Router
# 创建并进入以太网子接口(如图所示为GigabitEthernet3/0.1、GigabitEthernet3/0.2、GigabitEthernet4/0.1和GigabitEthernet4/0.2),为其配置IP地址,设置每个子接口上的封装类型(以太网子接口的封装类型必须和交换机端口配置的封装类型保持一致)以及相关联的VLAN ID。
注意:配置了以太网子接口的封装类型后,子接口就被设置为允许中继。
<H3C> system-view
[H3C] interface gigabitethernet 3/0.1
[H3C-GigabitEthernet3/0.1] ip address 1.0.0.1 255.0.0.0
[H3C-GigabitEthernet3/0.1] vlan-type dot1q vid 10
[H3C] interface gigabitethernet 3/0.2
[H3C-GigabitEthernet3/0.2] ip address 2.0.0.1 255.0.0.0
[H3C-GigabitEthernet3/0.2] vlan-type dot1q vid 20
[H3C] interface gigabitethernet 4/0.1
[H3C-GigabitEthernet4/0.1] ip address 3.0.0.1 255.0.0.0
[H3C-GigabitEthernet4/0.1] vlan-type dot1q vid 10
[H3C] interface gigabitethernet 4/0.2
[H3C-GigabitEthernet4/0.2] ip address 4.0.0.1 255.0.0.0
[H3C-GigabitEthernet4/0.2] vlan-type dot1q vid 20
# 设置VLAN10每秒处理报文的最大数目为100000,VLAN20每秒处理报文的最大数目为200000。
[H3C] max-packet-process 100000 10
[H3C] max-packet-process 200000 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
