07-PPPoE配置
本章节下载: 07-PPPoE配置 (347.40 KB)
1.3.5 配置PPPoE会话的nas-port-id属性相关参数
1.3.6 配置PPPoE与NAT444联动失败用户继续上线功能
1.5.2 PPPoE Server通过本地DHCP服务器为用户分配IP地址配置举例
1.5.3 PPPoE Server通过远端DHCP服务器为用户分配IP地址配置举例
1.5.4 PPPoE Server通过ND协议、IPv6CP协商生成信息用于用户生成IPv6地址配置举例
1.5.5 PPPoE Server通过DHCPv6协议为用户分配IPv6地址配置举例
1.5.6 PPPoE Server通过DHCPv6协议分配代理前缀用于用户生成IPv6地址配置举例
1.5.7 PPPoE Server为接入用户授权地址池和VPN配置举例
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是对PPP协议的扩展,它在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,PPPoE分为Router-Initiated和Host-Initiated两种组网结构。
如图1-1所示,Router-Initiated组网结构是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。
如图1-2所示,Host-Initiated组网结构是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoE Client,每个Host使用一个帐号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。
图1-2 Host-Initiated组网结构图
与PPPoE相关的协议规范有:
· RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
· 目前设备仅支持作为PPPoE Server。
· 目前仅CSPEX单板支持配置本功能。
· 目前仅支持以下接口:三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/L3VE子接口。
· 当设备上需要配置PPPoE功能时,请确保接口报文统计信息的时间间隔为300秒。关于报文统计信息时间间隔的介绍,请参见“接口管理”中的“以太网接口”。
· 当需要对PPPoE用户的IPv4和IPv6流量进行分开计费时,如果PPPoE用户是通过三层聚合接口或三层聚合子接口上线,请配置该接口绑定的虚拟模板接口的keepalive报文的发送周期不小于60秒。关于虚拟模板接口的keepalive报文的发送周期的介绍,请参见“用户接入配置指导”中的“PPP”。
表1-1 PPPoE Server配置任务简介
配置任务 |
说明 |
详细配置 |
配置PPPoE会话 |
必选 |
|
配置限制创建PPPoE会话的数目 |
可选 |
|
配置限制创建PPPoE会话的速度 |
可选 |
|
配置PPPoE会话的nas-port-id属性相关参数 |
可选 |
|
配置PPPoE与NAT444联动失败用户继续上线功能 |
可选 |
|
配置指定单板每秒能够接收PADI报文的最大数目 |
可选 |
|
配置PPPoE用户静默功能 |
可选 |
|
配置PPPoE日志功能 |
可选 |
表1-2 配置PPPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建虚拟模板接口并进入指定的虚拟模板接口视图 |
interface virtual-template number |
如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图 |
设置PPP的工作参数(包括:认证方式、IP地址获取方式,用户还可以设置为PPP对端分配的IP地址或使用地址池为PPP对端分配IP地址) |
请参见“用户接入配置指导中的”“PPP” |
如果配置认证,PPPoE Server需作为认证方 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
在接口上启用PPPoE Server协议,将该接口与指定的虚拟模板接口绑定 |
pppoe-server bind virtual-template number |
缺省情况下,接口上的PPPoE Server协议处于关闭状态 |
(可选)配置PPPoE Server的AC Name(Access Concentrator Name,接入集中器名称) |
pppoe-server tag ac-name name |
缺省情况下,PPPoE Server的AC Name为设备名称 PPPoE Client可以根据AC Name来选择PPPoE Server(H3C实现的PPPoE Client暂不支持该功能) |
(可选)配置对PPP最大负载TAG的支持,并指定最大负载的范围 |
pppoe-server tag ppp-max-payload [ minimum minvalue maximum maxvalue ] |
缺省情况下,不支持PPP最大负载TAG |
(可选)配置PPPoE Server的Service Name |
pppoe-server tag service-name name |
缺省情况下,PPPoE Server的Service Name为空 |
(可选)配置用户接入响应延迟时间 |
pppoe-server access-delay delay-time |
缺省情况下,对用户接入响应不延迟 |
退回系统视图 |
quit |
- |
配置PPPoE Server对PPP用户进行认证、授权、计费 |
相关内容请参见“用户接入配置指导”中的“AAA” |
- |
系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:
· 接口下每个用户所能创建PPPoE会话的最大数目限制
· 接口下每个VLAN所能创建PPPoE会话的最大数目限制
· 接口上所能创建PPPoE会话的最大数目限制
· 单板所能创建PPPoE会话的最大数目限制
本功能配置后仅对新创建的PPPoE会话有效,对已经创建的PPPoE会话无效,即不会导致已经上线的用户下线。
表1-3 配置限制创建PPPoE会话的数目
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
该接口为启用PPPoE Server协议的接口 |
配置接口上所能创建PPPoE会话的最大数目 |
pppoe-server session-limit number |
缺省情况下,不限制接口上所能创建PPPoE会话的数目 |
配置在接口下,每个VLAN所能创建PPPoE会话的最大数目 |
pppoe-server session-limit per-vlan number |
缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目 |
配置在接口下,每个用户所能创建PPPoE会话的最大数目 |
pppoe-server session-limit per-mac number |
缺省情况下,每个用户可创建1个PPPoE会话 |
退回系统视图 |
quit |
- |
配置单板所能创建PPPoE会话的最大数目(独立运行模式) |
pppoe-server session-limit slot slot-number total number |
缺省情况下,不限制单板所能创建PPPoE会话的数目 |
配置成员设备的指定单板所能创建PPPoE会话的最大数目(IRF模式) |
pppoe-server session-limit chassis chassis-number slot slot-number total number |
缺省情况下,不限制单板所能创建PPPoE会话的数目 |
设备可以限制特定接口下每个用户(每个用户通过MAC地址进行标识)创建会话的速度。如果用户建立会话的速度达到门限值,即在监视时间段内该用户的会话请求数目超过配置的允许数目,则扼制该用户的会话请求,即在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息。如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息。
· 监视表:监视各用户在监视时间周期内创建的会话数。监视表的规格为8K。当监视表达到规格时,对新用户的会话请求不进行监视和扼制,正常建立会话。监视表项的老化时间为配置的session-request-period值,老化后对用户重新监视。
· 扼制表:当某用户建立会话的速度超过门限值时,会将该用户的信息加入扼制表,扼制该用户的会话请求。扼制表规格为8K。当扼制表达到规格时,对新用户的会话请求只进行监视和发送Log信息,但不触发扼制。扼制表项的老化时间为配置的blocking-period值,老化后对用户重新监视。
修改本功能的配置后,系统将删除已记录的监视表和扼制表,重新开始监视每个用户的会话请求。
表1-4 配置限制用户创建PPPoE会话的速度
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
该接口为启用PPPoE Server协议的接口 |
配置接口允许每个用户创建会话的速度 |
pppoe-server throttle per-mac session-requests session-request-period blocking-period |
缺省情况下,不限制会话建立的速度 |
显示被扼制的用户信息(独立运行模式) |
display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number } |
display命令可以在任意视图执行 |
显示被扼制的用户信息(IRF模式) |
display pppoe-server throttled-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } |
display命令可以在任意视图执行 |
在含有DSLAM的组网中,DSLAM通过接入线路ID(access-line-id)把用户的物理位置信息传送给BAS设备(PPPoE Server功能部署在BAS设备上),接入线路ID的内容包括circuit-id和remote-id两部分。BAS设备采用一定的规则解析接入线路ID后,把解析后的内容通过RADIUS的nas-port-id属性发送给RADIUS服务器,RADIUS服务器通过收到的nas-port-id属性和数据库中已配置好的物理位置信息比较,验证用户的物理位置信息是否正确。
用户可以通过下面的配置控制BAS设备上传给RADIUS服务器的nas-port-id属性的内容。
表1-5 配置PPPoE会话的nas-port-id属性相关参数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
该接口为启用PPPoE Server协议的接口 |
配置上传给RADIUS服务器的nas-port-id属性中包含的内容 |
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id } |
缺省情况下,上传给RADIUS服务器的nas-port-id属性中仅包含circuit-id |
配置在nas-port-id属性中自动插入BAS信息 |
pppoe-server access-line-id bas-info [ cn-163 ] |
缺省情况下,在nas-port-id属性中不自动插入BAS信息 |
配置设备信任接收到的报文中的接入线路ID的内容 |
pppoe-server access-line-id trust |
缺省情况下,设备不信任接收到的报文中的接入线路ID的内容 |
配置接入线路ID中circuit-id的解析格式 |
pppoe-server access-line-id circuirt-id parse-mode { cn-telecom | tr-101 } |
缺省情况下,接入线路ID中circuit-id的解析格式为TR-101格式 |
配置接入线路ID中circuit-id的传输格式 |
pppoe-server access-line-id circuit-id trans-format { ascii | hex } |
缺省情况下,接入线路ID中circuit-id的传输格式为字符串格式 |
配置接入线路ID中remote-id的传输格式 |
pppoe-server access-line-id remote-id trans-format { ascii | hex } |
缺省情况下,接入线路ID中remote-id的传输格式为字符串格式 |
本配置用来PPPoE与NAT444联动失败时,允许用户继续上线功能。例如:当支持NAT444联动功能的单板故障导致联动失败时,如需允许用户继续上线,则可配置本功能。有关NAT444的相关介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
表1-6 配置IPv4 PPPoE与NAT444联动失败用户继续上线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建虚拟模板接口并进入指定的虚拟模板接口视图 |
interface virtual-template number |
如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图 |
开启IPv4 PPPoE与NAT444联动失败时,允许用户继续上线功能 |
ppp ip nat-fail online |
缺省情况下,IPv4 PPPoE与NAT444联动失败时,允许用户继续上线功能处于关闭状态 |
表1-7 配置IPv6 PPPoE与NAT444联动失败用户继续上线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建虚拟模板接口并进入指定的虚拟模板接口视图 |
interface virtual-template number |
如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图 |
开启IPv6 PPPoE与NAT444联动失败时,允许用户继续上线功能 |
ppp ip nat-fail online |
缺省情况下,IPv6 PPPoE与NAT444联动失败时,允许用户继续上线功能处于关闭状态 |
在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令调整设备接收PADI报文的速率。
需要注意的是,当前仅支持通过本命令调整CSPEX单板接收PADI报文的速率。
表1-8 配置设备每秒能够接收PADI报文的最大数目
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置指定单板每秒能够接收PADI报文的最大数目(独立运行模式) |
pppoe-server padi-limit slot slot-number number |
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见表1-9 |
配置指定单板每秒能够接收PADI报文的最大数目(IRF模式) |
pppoe-server padi-limit chassis chassis-number slot slot-number number |
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见表1-9 |
表1-9 PADI缺省情况
设备运行主控板的型号 |
CSR07SRPUD3 |
其它主控板 |
单板每秒最多能够接收PADI报文的个数 |
500 |
200 |
在PPPoE链路建立过程的Discovery阶段,PPPoE Client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE Server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPPoE用户的报文。静默期后,如果设备再次收到该PPPoE用户的报文,则依然可以对其进行认证处理。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有PPPoE用户生效,后者只对通过该接口接入的PPPoE用户生效。如果在两个视图下都配置本命令,则先达到静默条件的命令生效。
表1-10 配置基于MAC地址的PPPoE用户静默功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启基于MAC地址的PPPoE静默功能 |
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period |
缺省情况下,基于MAC地址的PPPoE静默功能处于关闭状态 |
表1-11 配置基于MAC地址的PPPoE用户静默功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
该接口为启用PPPoE Server协议的接口 |
开启基于MAC地址的PPPoE静默功能 |
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period |
缺省情况下,基于MAC地址的PPPoE静默功能处于关闭状态 |
PPPoE日志是为了满足网络管理员维护的需要,对PPPoE达到会话限制的信息进行记录,包括接口会话限制、MAC会话限制、VLAN会话限制、系统会话限制。
开启PPPoE日志功能后,当PPPoE会话数目达到每个接口、每个用户、每个VLAN或整个系统允许的最大会话数目时,如果再有新的用户请求上线,设备将生成日志信息。设备生成的PPPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE日志信息,一般情况下建议不要开启此功能。
表1-12 配置PPPoE日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启PPPoE日志功能 |
pppoe-server log enable |
缺省情况下,PPPoE日志功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE Server配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可在PPPoE Server端清除PPPoE会话。
表1-13 PPPoE Server显示和维护
操作 |
命令 |
显示静默功能检测到的PPPoE用户统计信息(独立运行模式) |
display pppoe-server chasten statistics [ mac-address ] [ interface interface-type interface-number | slot slot-number ] |
显示静默功能检测到的PPPoE用户统计信息(IRF模式) |
display pppoe-server chasten statistics [ mac-address ] [ interface interface-type interface-number | chassis chassis-number slot slot-number ] |
显示当前被静默的PPPoE用户信息(独立运行模式) |
display pppoe-server chasten user [ mac-address [ mac-address ] ] [ interface interface-type interface-number | slot slot-number ] |
显示当前被静默的PPPoE用户信息(IRF模式) |
display pppoe-server chasten user [ mac-address [ mac-address ] ] [ interface interface-type interface-number | chassis chassis-number slot slot-number ] |
显示PPPoE的协商报文统计信息(独立运行模式) |
display pppoe-server packet statistics [ slot slot-number ] |
显示PPPoE的协商报文统计信息(IRF模式) |
display pppoe-server packet statistics [ chassis chassis-number slot slot-number ] |
显示PPPoE会话的摘要信息(独立运行模式) |
display pppoe-server session summary { slot slot-number | interface interface-type interface-number } |
显示PPPoE会话的摘要信息(IRF模式) |
display pppoe-server session summary { chassis chassis-number slot slot-number | interface interface-type interface-number } |
显示PPPoE会话的数据报文统计信息(独立运行模式) |
display pppoe-server session packet { slot slot-number | interface interface-type interface-number } |
显示PPPoE会话的数据报文统计信息(IRF模式) |
display pppoe-server session packet { chassis chassis-number slot slot-number | interface interface-type interface-number } |
显示被扼制的用户信息(独立运行模式) |
display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number } |
显示被扼制的用户信息(IRF模式) |
display pppoe-server throttled-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } |
清除PPPoE会话 |
reset pppoe-server { all | interface interface-type interface-number | virtual-template number } |
清除PPPoE的协商报文统计信息(独立运行模式) |
reset pppoe-server packet statistics [ slot slot-number ] |
清除PPPoE的协商报文统计信息(IRF模式) |
reset pppoe-server packet statistics [ chassis chassis-number slot slot-number ] |
要求以太网内的主机可以通过PPPoE接入Router,并连接到外部网络。
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· Router作为PPPoE Server,配置本地CHAP认证,并通过PPP地址池为主机分配IP地址。
图1-3 PPPoE Server配置组网图
# 创建一个PPPoE用户。
<Router> system-view
[Router] local-user user1 class network
[Router-luser-network-user1] password simple pass1
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用PPP地址池为对端分配IP地址,并配置为对端指定DNS服务器的IP地址。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain system
[Router-Virtual-Template1] ppp chap user user1
[Router-Virtual-Template1] remote address pool 1
[Router-Virtual-Template1] ppp ipcp dns 8.8.8.8
[Router-Virtual-Template1] quit
# 配置PPP地址池(包含9个可分配的IP地址),和地址池网关地址。
[Router] ip pool 1 1.1.1.2 1.1.1.10
[Router] ip pool 1 gateway 1.1.1.1
# 在接口GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet3/1/1] quit
# 在系统缺省的ISP域system下,配置域用户使用本地认证方案。
[Router] domain system
[Router-isp-system] authentication ppp local
[Router-isp-system] quit
以太网上各主机安装PPPoE客户端软件后,配置好用户名和密码(此处为user1和pass1)就能使用PPPoE协议,通过设备Router接入到Internet。
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE Server通过DHCPv4协议为Host分配IP地址。
图1-4 配置PPPoE Server通过本地DHCP服务器为用户分配IP地址组网图
# 配置虚拟模板接口10的参数,采用PAP认证对端,使用DHCP地址池pool1为用户分配IP地址及DNS服务器地址。
<Router> system-view
[Router] interface virtual-template 10
[Router-Virtual-Template10] ppp authentication-mode pap
[Router-Virtual-Template10] remote address pool pool1
[Router-Virtual-Template10] quit
# 在GigabitEthernet3/1/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口10绑定。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
[Router-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置DHCP地址池pool1。
[Router] dhcp server ip-pool pool1
[Router-dhcp-pool-pool1] network 1.1.1.0 24
[Router-dhcp-pool-pool1] gateway-list 1.1.1.1 export-route
[Router-dhcp-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-dhcp-pool-pool1] forbidden-ip 1.1.1.1
[Router-dhcp-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple pass1
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入Router后,Router通过DHCPv4协议为Host分配一个IP地址。
# 显示所有DHCP地址绑定信息。
[Router] display dhcp server ip-in-use
IP address Client identifier/ Lease expiration Type
Hardware address
1.1.1.2 3030-3030-2e30-3030- Unlimited Auto(C)
662e-3030-3033-2d45-
7468-6572-6e65-74
Host和Router A之间通过以太网接口相连,Router B为远端DHCP服务器。Host通过PPPoE接入Router A,Router A作为PPPoE Server、DHCP中继向远端DHCP服务器申请IP地址。
图1-5 PPPoE Server通过远端DHCP服务器为用户分配IP地址组网图
(1) 配置Router A(PPPoE Server)
# 配置虚拟模板接口10的参数,采用PAP认证对端,使用DHCP地址池pool1为用户分配IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 10
[RouterA-Virtual-Template10] ppp authentication-mode pap
[RouterA-Virtual-Template10] remote address pool pool1
[RouterA-Virtual-Template10] quit
# 在GigabitEthernet3/1/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口10绑定。
[RouterA] interface gigabitethernet 3/1/1
[RouterA-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
[RouterA-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[RouterA] dhcp relay client-information record
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] gateway-list 2.2.2.1 export-route
[RouterA-dhcp-pool-pool1] remote-server 10.1.1.1
[RouterA-dhcp-pool-pool1] quit
# 配置与DHCP服务器连接的GigabitEthernet3/1/2接口的IP地址。
[RouterA] interface gigabitethernet 3/1/2
[RouterA-GigabitEthernet3/1/2] ip address 10.1.1.2 24
[RouterA-GigabitEthernet3/1/2] quit
# 配置PPPoE用户。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple pass1
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
(2) 配置Router B(DHCP服务器)
# 启用DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 创建DHCP地址池pool1,配置为DHCP客户端分配的IP地址网段和网关地址。
[RouterB] dhcp server ip-pool pool1
[RouterB-dhcp-pool-pool1] network 2.2.2.0 24
[RouterB-dhcp-pool-pool1] gateway-list 2.2.2.1
[RouterB-dhcp-pool-pool1] dns-list 8.8.8.8
# 将IP地址2.2.2.1配置为禁用地址。
[RouterB-dhcp-pool-pool1] forbidden-ip 2.2.2.1
[RouterB-dhcp-pool-pool1] quit
# 配置与PPPoE Server连接的GigabitEthernet3/1/1接口的IP地址。
[RouterB] interface gigabitethernet 3/1/1
[RouterB-GigabitEthernet3/1/1] ip address 10.1.1.1 24
[RouterB-GigabitEthernet3/1/1] quit
# 配置到PPPoE Server的静态路由。
[RouterB] ip route-static 2.2.2.0 24 10.1.1.2
配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入Router A后,Router B通过DHCPv4协议为Host分配一个IP地址。
# 显示DHCP中继Router A的用户地址表项信息。
[RouterA] display dhcp relay client-information
Total number of client-information items: 1
Total number of dynamic items: 1
Total number of temporary items: 0
IP address MAC address Type Interface VPN name
2.2.2.3 00e0-0000-0001 Dynamic BAS0 N/A
# 显示DHCP服务器Router B的DHCP地址绑定信息。
[RouterB] display dhcp server ip-in-use
IP address Client identifier/ Lease expiration Type
Hardware address
2.2.2.3 00e0-0000-0001 Unlimited Auto(C)
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE Server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。
图1-6 配置PPPoE Server通过ND协议、IPv6CP协商生成信息用于用户生成IPv6地址组网图
# 配置虚拟模板接口10的参数,采用PAP认证对端,配置本端自动生成IPv6链路本地地址,关闭对RA消息发布的抑制,配置主机通过DHCPv6协议获取DNS服务器地址。
<Router> system-view
[Router] interface virtual-template 10
[Router-Virtual-Template10] ppp authentication-mode pap domain system
[Router-Virtual-Template10] ipv6 address auto link-local
[Router-Virtual-Template10] undo ipv6 nd ra halt
[Router-Virtual-Template10] ipv6 nd autoconfig other-flag
# 开启DHCPv6 Server功能。
[Router-Virtual-Template10] ipv6 dhcp select server
[Router-Virtual-Template10] quit
# 在GigabitEthernet3/1/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口10绑定。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
[Router-GigabitEthernet3/1/1] quit
# 创建名称为pool1的DHCPv6地址池,配置DNS服务器地址为2:2::3。
[Router] ipv6 dhcp pool pool1
[Router-dhcp6-pool-pool1] dns-server 2:2::3
[Router-dhcp6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple pass1
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地认证方案,为用户授权IPv6前缀属性及地址池信息(为用户分配DNS地址)。
[Router] domain system
[Router-isp-system] authentication ppp local
[Router-isp-system] authorization-attribute ipv6-prefix 2003:: 64
[Router-isp-system] authorization-attribute ipv6-pool pool1
[Router-isp-system] quit
配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display ppp access-user interface gigabitethernet 3/1/1
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 user1 0000-5e08-9d00 - 2003::9CBC:3898:0:605 -
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE Server通过DHCPv6协议为Host分配IPv6地址。
图1-7 配置PPPoE Server通过DHCPv6协议为用户分配IPv6地址组网图
# 配置虚拟模板接口10的参数,采用PAP认证对端,配置本端IPv6地址,关闭对RA消息发布的抑制,配置主机通过DHCPv6协议获取IPv6地址。
<Router> system-view
[Router] interface virtual-template 10
[Router-Virtual-Template10] ppp authentication-mode pap domain system
[Router-Virtual-Template10] ipv6 address 3001::1 64
[Router-Virtual-Template10] undo ipv6 nd ra halt
[Router-Virtual-Template10] ipv6 nd autoconfig managed-address-flag
# 开启DHCPv6 Server功能。
[Router-Virtual-Template10] ipv6 dhcp select server
[Router-Virtual-Template10] quit
# 在GigabitEthernet3/1/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口10绑定。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
[Router-GigabitEthernet3/1/1] quit
# 创建名称为pool1的DHCPv6地址池,配置DHCPv6地址池动态分配的地址网段为3001::/32,分配的DNS服务器地址为2001:2::3。
[Router] ipv6 dhcp pool pool1
[Router-dhcp6-pool-pool1] network 3001::/32
[Router-dhcp6-pool-pool1] dns-server 2001:2::3
[Router-dhcp6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple pass1
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置为用户授权地址池属性。
[Router] domain system
[Router-isp-system] authorization-attribute ipv6-pool pool1
[Router-isp-system] quit
配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入Router后,Router通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[Router] display ppp access-user interface gigabitethernet 3/1/1
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 user1 0000-5e08-9d00 - 3001::2 -
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE Server通过DHCPv6协议给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-8 配置PPPoE Server通过DHCPv6协议分配代理前缀用于用户生成IPv6地址组网图
# 配置虚拟模板接口10的参数,采用PAP认证对端,配置本端IPv6地址,关闭对RA消息发布的抑制。
<RouterB> system-view
[RouterB] interface virtual-template 10
[RouterB-Virtual-Template10] ppp authentication-mode pap domain system
[RouterB-Virtual-Template10] ipv6 address 2001::1 64
[RouterB-Virtual-Template10] undo ipv6 nd ra halt
# 开启DHCPv6 Server功能。
[RouterB-Virtual-Template10] ipv6 dhcp select server
[RouterB-Virtual-Template10] quit
# 在GigabitEthernet3/1/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口10绑定。
[RouterB] interface gigabitethernet 3/1/1
[RouterB-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
[RouterB-GigabitEthernet3/1/1] quit
# 配置DHCPv6前缀池6,包含的前缀为4001::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 4001::/32 assign-len 42
# 创建名称为pool1的DHCPv6地址池,配置地址池网段为4001::/64,在地址池下引用前缀池6, 分配的DNS服务器地址为2:2::3。
[RouterB] ipv6 dhcp pool pool1
[RouterB-dhcp6-pool-pool1] network 4001::/64
[RouterB-dhcp6-pool-pool1] prefix-pool 6
[RouterB-dhcp6-pool-pool1] dns-server 2:2::3
[Router-dhcp6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple pass1
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置为用户授权地址池属性。
[RouterB] domain system
[RouterB-isp-system] authorization-attribute ipv6-pool pool1
配置完成后,当Router A使用用户名user1、密码pass1,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: 1
IPv6 prefix Type Lease expiration
4001::1/42 Auto(O) Jul 10 19:45:01 2013
Router A把分配到的代理前缀4001::1/42再分配给Host,Host用来生成IPv6全球单播地址。
· 采用RADIUS作为认证、授权和计费服务器。
· RADIUS服务器为PPPoE接入用户授权的PPP地址池和VPN实例分别为pool1、vpn1。
· vpn1中的用户在服务器授权的PPP地址池pool1中获取IP地址。
图1-9 PPPoE Server为接入用户授权地址池和VPN配置组网图
启动PPPoE功能之前,需要首先配置MPLS L3VPN功能,通过为两端的VPN 1指定匹配的VPN Target,确保两端的VPN 1之间可以互通。本例仅介绍连接客户端的PE 1上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
(1) 配置RADIUS服务器
下面以Linux系统下的Free RADIUS服务器为例,说明RADIUS 服务器的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.1/24 {
secret = radius
shortname = sr88
}
以上信息表示:RADIUS客户端的IP地址为10.1.1.1,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Auth-Type == CHAP,User-Password := pass1
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IPv6-Pool = "pool1",
H3C-VPN-Instance = "vpn1",
以上信息表示:用户名为user1,用户密码为字符串pass1,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置Router A
· 配置PPPoE Server
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用ISP域dm1作为认证域。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
[RouterA-Virtual-Template1] quit
# 创建名为pool1的PPP地址池(包含9个可分配的IP地址)。
[RouterA] ip pool pool1 1.1.1.2 1.1.1.10 group 1
# 配置PPP地址池pool1的网关地址为1.1.1.1,所在VPN实例为vpn1。
[RouterA] ip pool pool1 gateway 1.1.1.1 vpn-instance vpn1
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 1.1.1.1 24 vpn-instance vpn1
# 在接口GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[RouterA] interface gigabitethernet 3/1/1
[RouterA-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-GigabitEthernet3/1/1] quit
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterA-radius-rs1] primary authentication 10.1.1.2
[RouterA-radius-rs1] primary accounting 10.1.1.2
[RouterA-radius-rs1] key authentication simple radius
[RouterA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterA-radius-rs1] user-name-format without-domain
[RouterA-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterA] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[RouterA-isp-dm1] authentication ppp radius-scheme rs1
[RouterA-isp-dm1] authorization ppp radius-scheme rs1
[RouterA-isp-dm1] accounting ppp radius-scheme rs1
[RouterA-isp-dm1] quit
用户认证通过后,在Host A上可以Ping通对端VPN1中的CE。
# 在Router A上可以看到PPP地址池pool1中已为PPPoE Client分配了一个地址。
[RouterA] display ip pool pool1
Group name: 1
Pool name Start IP address End IP address Free In use
pool1 1.1.1.2 1.1.1.10 8 1
In use IP addresses:
IP address Interface
1.1.1.2 BAS0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!