02-PPP配置
本章节下载 (642.60 KB)
MSR800、MSR900-E和MSR 930路由器不支持MP。
PPP(Point-to-Point Protocol,点对点协议)是在点到点链路上承载网络层数据包的一种链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信,因而获得广泛应用。
PPP定义了一整套协议,包括:
· 链路控制协议(Link Control Protocol,LCP):主要用来建立、拆除和监控数据链路。
· 网络控制协议(Network Control Protocol,NCP):主要用来协商在数据链路上所传输的数据包的格式与类型。
· 认证协议:主要用于网络安全方面,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MS-CHAP(Microsoft CHAP,微软CHAP协议)和MS-CHAP-V2(Microsoft CHAP Version 2)。
PPP链路建立过程如图1-1所示:
(1) PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2) PPP在Establish阶段主要进行链路控制协商(LCP)。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文)。
(3) 如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MS-CHAP或MS-CHAP-V2认证。如果认证失败,报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,上报Success事件。
(4) 如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文了;如果NCP协商失败,报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:PPP两端的IP地址、IP报文的压缩协议、DNS服务器地址等。)
(5) 到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
图1-1 PPP链路建立过程
有关PPP的详细介绍请参考RFC 1661。
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费,除此之外,可以基于认证给对端分配IP地址等。
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。
(1) PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
(2) CHAP认证
CHAP为三次握手协议。
验证分为单向验证和双向验证。CHAP单向认证过程又分为两种方式:认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,而并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
(3) MS-CHAP认证
MS-CHAP为三次握手协议,认证过程与CHAP类似,MS-CHAP与CHAP的不同之处在于:
· MS-CHAP采用的加密算法是0x80。
· MS-CHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
(4) MS-CHAP-V2认证
MS-CHAP-V2为三次握手协议,认证过程与CHAP类似,MS-CHAP-V2与CHAP的不同之处在于:
· MS-CHAP-V2采用的加密算法是0x81。
· MS-CHAP-V2通过报文捎带的方式实现了认证方和被认证方的双向认证。
· MS-CHAP-V2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MS-CHAP-V2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
MP是MultiLink PPP的缩写,是出于增加带宽的考虑,将多个PPP链路捆绑使用产生的。MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到对端,对端将这些分片组装起来传递给网络层处理。
MP主要是增加带宽的作用,除此之外,MP还有负载分担的作用,这里的负载分担是链路层的负载分担;负载分担从另外一个角度解释就有了备份的作用。同时,MP的分片可以起到减小传输时延的作用,特别是在一些低速链路上。
综上所述,MP的作用主要有以下几个:
· 增加带宽
· 负载分担
· 备份
· 利用分片降低时延
MP能在任何支持PPP封装的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括支持PPPoX(PPPoE、PPPoA、PPPoFR等)的虚拟接口,建议用户将同一类的接口捆绑使用,不要将不同类的接口捆绑使用。
表1-1 PPP配置任务简介
配置任务 |
说明 |
详细配置 |
配置接口封装PPP协议 |
必选 |
|
配置PPP认证方式 |
可选 |
|
配置轮询时间间隔 |
可选 |
|
配置PPP协商参数 |
可选 |
|
配置PPP链路质量监测功能 |
可选 |
|
配置PPP计费统计功能 |
可选 |
|
配置抑制PPP链路学习对端路由 |
可选 |
表1-2 配置接口封装PPP协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口封装的链路层协议为PPP |
link-protocol ppp |
可选 缺省情况下,除以太网接口、VLAN接口外,其它接口封装的链路层协议均为PPP |
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
(1) 配置认证方
表1-3 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为PAP |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
(2) 配置被认证方
表1-4 配置PAP认证的被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码 |
ppp pap local-user username password { cipher | simple } password |
必选 缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空 |
CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名。
(1) 认证方配置了用户名
· 配置认证方
表1-5 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用CHAP认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码; · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
· 配置被认证方
表1-6 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码 |
必选 为认证方配置的用户名必须与认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
(2) 认证方没有配置用户名
· 配置认证方
表1-7 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致 |
· 配置被认证方
表1-8 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的用户名必须跟此处配置的一致 |
设置CHAP认证密码 |
ppp chap password { cipher | simple } password |
必选 在认证方上为被认证方配置的密码必须跟此处配置的一致 |
· 设备只能作为MS-CHAP和MS-CHAP-V2的认证方来对其它设备进行认证。
· L2TP环境下仅支持MS-CHAP认证,不支持MS-CHAP-V2认证。
· MS-CHAP-V2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
与CHAP认证相同,MS-CHAP和MS-CHAP-V2认证也分为两种:认证方配置了用户名和认证方没有配置用户名。
表1-9 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方配置了用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用MS-CHAP或MS-CHAP-V2认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
表1-10 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方没有配置用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
轮询时间间隔,即接口发送keepalive报文的周期。
如果将轮询时间间隔配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,轮询时间间隔不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在多个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
表1-11 配置轮询时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置轮询时间间隔 |
timer hold seconds |
可选 缺省情况下,轮询时间间隔为10秒 |
可以配置的PPP协商参数包括:
· 协商超时时间间隔
· 协商IP地址
· 协商DNS服务器地址
· 协商ACCM(Async-Control-Character-Map,异步控制字符映射表)
· 协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)
· 协商PFC(Protocol-Field-Compression,协议字段压缩)
在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
表1-12 配置协商超时时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置协商超时时间间隔 |
ppp timer negotiate seconds |
可选 缺省情况下,协商超时时间间隔为3秒 |
在PPP协商IP地址的过程中,设备可以分为两种角色:
· 配置设备作为Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址并且配置有地址池时,可为本端接口配置IP地址可协商属性,使本端接口接受由对端分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
· 配置设备作为Server端:若是设备作为Server为对端设备分配IP地址,则应首先在域视图或系统视图下配置本地IP地址池,指明地址池的地址范围,然后在接口视图下指定该接口使用的地址池。
(1) 配置Client端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
必选 |
(2) 配置Server端
对于不需要进行认证的PPP用户,Server端的配置方式如表1-14所示。
表1-14 配置Server端(对于不需要进行认证的PPP用户)
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
通过使用全局地址池给对端分配地址,或者直接为对端指定IP地址 |
首先定义全局IP地址池,然后在接口上使用全局地址池给PPP用户分配IP地址 |
ip pool pool-number { low-ip-address [ high-ip-address ] | remote server-ip-addresss } |
二者必选其一 当配置了remote address pool但没有指定pool-number时,缺省使用0号全局地址池 |
interface interface-type interface-number |
|||
remote address pool [ pool-number ] |
|||
接口直接为对端指定IP地址 |
interface interface-type interface-number |
||
remote address ip-address |
对于需要进行认证的PPP用户,Server端的配置方式如表1-15所示。如果采用这种方式,则需要在进行PPP认证时指定的域中定义地址池。
表1-15 配置Server端(对于需要进行认证的PPP用户)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ISP域视图 |
domain domain-name |
- |
定义域地址池 |
ip pool pool-number { low-ip-address [ high-ip-address ] | remote server-ip-addresss } |
必选 |
退回系统视图 |
Quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
使用域地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
必选 若配置该命令时不指定pool-number,则在IP地址协商时按照地址池编号顺序依次使用该域下的地址池给用户分配IP地址 |
配置PPP IPCP不允许对端使用自行配置的固定IP地址 |
ppp ipcp remote-address forced |
可选 缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制性,即本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址 |
设备在进行PPP地址协商的过程中可以进行DNS服务器地址协商,此时设备既可以配置为接收对端分配的DNS服务器地址,也可以配置为向对方提供DNS服务器地址。一般情况下,当主机与设备通过PPP协议相连时(通常为主机拨号连接设备),设备应为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;当设备通过PPP协议连接运营商的接入服务器时,设备应配置为被动接收或主动请求对端指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。
(1) 配置Client端
表1-16 配置Client端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置设备主动请求对端指定DNS服务器地址 |
ppp ipcp dns request |
必选 缺省情况下,禁止设备主动向对端请求DNS服务器地址 |
配置设备被动地接收对端指定的DNS服务器地址 |
ppp ipcp dns admit-any |
可选 缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址 |
正常情况下,Client端配置了ppp ipcp dns request,Server端才会为本端指定DNS服务器地址。但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any。
(2) 配置Server端
表1-17 配置Server端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置设备为对端设备指定DNS服务器地址 |
ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
必选 缺省情况下,设备不为对端设备指定DNS服务器的IP地址 收到Client端的请求后,Server端才会为对端指定DNS服务器地址 |
在异步链路上需要使用到异步控制字符,如果在载荷中存在与异步控制字符相同的字符,则需要进行字符转义,避免异步链路将载荷当成异步控制字符处理。每个异步控制字符的长度为1字节,转义后长度就变为2字节,转义后的异步控制字符占用的带宽增加了,将减少有效载荷。
ACCM协商选项用来和对端协商哪些异步控制字符需要转义,哪些异步控制字符不需要转义的。ACCM字段长32比特,每个比特从左到右按1、2、3、…、32进行编号,每个比特编号对应一个具有相同值的异步控制字符。如果这个比特的值为0,那么对应的异步控制字符不需要进行转义;如果这个比特的值为1,那么对应的异步控制字符就需要进行转义。例如,当19比特的值为0时,对应的19号异步控制字符(DC3,Control-S)将被直接发送,不需要进行转义。
ACCM协商在LCP协商阶段进行。当ACCM协商通过后,对端发送报文时将按照此异步控制字符映射表进行异步控制字符转义。
缺省情况下,ACCM字段的值为0x000A0000。在低速链路上,为了减少异步控制字符占用的带宽,增加有效载荷,建议将ACCM协商选项的值配置为0x0,即不进行转义。
表1-18 配置ACCM协商
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置ACCM字段的值 |
ppp accm hex-number |
可选 缺省情况下,ACCM字段的值为0x000A0000 |
只有在异步链路上,ACCM协商选项才会生效。
缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,就可以对这两个字段进行压缩。
ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文。
ACFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行地址控制字段压缩,不再添加地址控制字段,以增加链路的有效载荷;对于LCP报文不进行地址控制字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1) 配置本地发送ACFC协商请求
表1-19 配置本地发送ACFC协商请求
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项 |
ppp acfc local request |
必选 缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项 |
(2) 配置如何处理对端的ACFC协商请求
表1-20 配置如何处理对端的ACFC协商请求
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩 |
ppp acfc remote apply |
可选 缺省情况下,忽略对端的ACFC协商请求 |
配置忽略对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,但是发送的报文不进行地址控制字段压缩 |
ppp acfc remote ignore |
可选 缺省情况下,忽略对端的ACFC协商请求 |
配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项 |
ppp acfc remote reject |
可选 缺省情况下,忽略对端的ACFC协商请求 |
缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型。
PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文。
PFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷;对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1) 配置本地发送PFC协商请求
表1-21 配置本地发送PFC协商请求
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项 |
ppp pfc local request |
必选 缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项 |
(2) 配置如何处理对端的PFC协商请求
表1-22 配置如何处理对端的PFC协商请求
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩 |
ppp pfc remote apply |
可选 缺省情况下,忽略对端的PFC协商请求 |
配置忽略对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,但是发送的报文不进行协议字段压缩 |
ppp pfc remote ignore |
可选 缺省情况下,忽略对端的PFC协商请求 |
配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项 |
ppp pfc remote reject |
可选 缺省情况下,忽略对端的PFC协商请求 |
PPP链路质量监测功能可以实时对PPP链路(包括绑定在MP中的PPP链路)的通信质量(丢包率和错包率)进行监测。
在没有配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
表1-23 配置PPP链路质量监测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启PPP链路质量监测功能 |
ppp lqc close-percentage [ resume-percentage ] |
必选 缺省情况下,PPP链路质量监测功能处于关闭状态 |
配置当链路质量监测功能监测到链路质量低的时候向对端发送LCP echo报文 |
ppp lqc lcp-echo [ packet size ] [ interval seconds ] |
缺省情况下,链路质量监测功能监测到链路质量低时不发送LCP echo报文 |
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“安全配置指导”中的“AAA”。
表1-24 配置PPP计费统计功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启PPP计费统计功能 |
ppp account-statistics enable [ acl { acl-number | name acl-name } ] |
必选 缺省情况下,计费统计功能处于关闭状态 |
在PPP链路上,缺省可以将对端的路由添加本地路由表,当本地不需要学习对端路由,可以通过配置来抑制PPP链路学习对端路由。
需要注意的是,当PPP链路两端连接的接口IP地址不在同一个网段的时候,不建议使用该命令,否则将可能会导致链路无法通信。
表1-25 配置抑制PPP链路学习对端路由
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置抑制将PPP链路对端的主机路由添加到本地路由表 |
undo peer neighbor-route |
可选 缺省情况下,允许将PPP链路对端的主机路由添加到本地路由表。 |
MP的配置主要有两种方式,一种是通过虚拟模板(Virtual-Template,VT)接口,一种是通过MP-group接口。
(1) 通过虚拟模板接口配置MP
VT是用于配置一个VA(Virtual Access,虚拟访问)接口的模板。将多个PPP链路捆绑成MP之后,需要创建一个VA与对端交换数据。此时,系统将选择一个VT,以便动态地创建一个VA。
虚拟模板接口配置方式可以与认证相结合,可以根据对端的用户名找到指定的虚拟模板接口,从而利用模板上的配置,创建相应的捆绑(Bundle),以对应一条MP链路。
由一个虚拟模板接口可以派生出若干个捆绑,每个捆绑对应一条MP链路。从网络层看来,这若干条MP链路会形成一个点对多点的网络拓扑。系统可以根据接口接收到的认证用户名或终端标识符来进行MP捆绑,以此来区分虚模板接口下的多个捆绑(对应多条MP链路)。系统支持3种绑定方式:
· authentication:根据PPP的认证用户名进行MP捆绑,每个认证用户名对应一个捆绑。认证用户名是指PPP链路进行PAP、CHAP、MS-CHAP或MS-CHAP-V2认证时所接收到的对端用户名。
· descriptor:根据PPP的终端描述符进行MP捆绑,每个终端描述符对应一个捆绑。终端标识符是用来唯一标识一台设备的标志,是指进行LCP协商时所接收到的对端终端标识符。
· both:同时根据PPP的认证用户名和终端描述符进行MP捆绑。
(2) 通过MP-group接口配置MP
MP-group接口是MP的专用接口,不支持其它应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。与虚拟模板接口配置方式相比,MP-group接口配置方式更加快速高效、配置简单、容易理解。
表1-26 MP配置任务简介
配置任务 |
说明 |
详细配置 |
通过虚拟模板接口配置MP |
二者必选其一 |
|
通过MP-group接口配置MP |
||
配置MP短序协商方式 |
可选 |
|
配置MP Endpoint选项 |
可选 |
通过虚拟模板接口配置MP时,又可以细分为两种配置方式:
· 将物理接口与虚拟模板接口直接关联:使用命令ppp mp virtual-template直接将链路绑定到指定的虚拟模板接口上,这时可以配置认证也可以不配置认证。如果不配置认证,系统将通过对端的终端描述符捆绑出MP链路;如果配置了认证,系统将通过用户名和/或对端的终端描述符捆绑出MP链路。
· 将用户名与虚拟模板接口关联:根据认证通过后的用户名查找相关联的虚拟模板接口,然后根据用户名和对端终端描述符捆绑出MP链路。这种方式需在要绑定的接口下配置ppp mp及双向认证(PAP、CHAP、MS-CHAP或MS-CHAP-V2),否则链路协商不通。
· ppp mp和ppp mp virtual-template命令互斥,即同一个接口只能采用一种配置方式。
· 对于需要绑在一起的接口,必须采用同样的配置方式。
· 实际使用中也可以配置单向认证,即一端直接将物理接口绑定到虚拟模板接口,另一端则通过用户名查找虚拟模板接口。
· 不推荐使用同一个虚拟模板接口配置多种业务(如MP、L2TP、PPPoE等)。
表1-27 通过虚拟模板接口配置MP
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入虚拟模板接口 |
interface virtual-template number |
必选 |
|
配置接口的描述字符串 |
description text |
可选 缺省情况下,接口的描述字符串为“该接口的接口名 Interface” |
|
配置接口的MTU值 |
mtu size |
可选 缺省情况下,接口的MTU值为1500字节 |
|
配置MP排序窗口的大小 |
ppp mp sort-buffer-size size |
可选 缺省情况下,MP排序窗口大小系数为1 |
|
设置虚拟模板接口支持发送组播或广播报文的最大链路数 |
broadcast-limit link number |
可选 缺省情况下,虚拟模板接口支持发送组播或广播报文的最大链路数为30 |
|
配置接口的期望带宽 |
bandwidth bandwidth-value |
可选 |
|
恢复接口的缺省配置 |
default |
可选 |
|
退回系统视图 |
quit |
- |
|
将物理接口或用户名与虚拟模板接口关联(两者选择其一) |
将物理接口与虚拟模板接口关联 |
interface interface-type interface-number |
- |
ppp mp soft-binding |
可选 配置通过软件方式支持MP捆绑,缺省情况下,通过硬件方式支持MP捆绑 只支持在CPOS接口下配置 |
||
配置接口所要绑定的虚拟模板接口号,并使接口工作在MP方式: ppp mp virtual-template number |
必选 缺省情况下,接口没有MP绑定,工作在普通PPP方式下 |
||
可选 PPP认证对MP连接的建立没有影响 |
|||
将用户名与虚拟模板接口关联 |
建立虚拟模板接口与MP用户的对应关系: ppp mp user username bind virtual-template number |
必选 |
|
interface interface-type interface-number |
- |
||
ppp mp soft-binding |
可选 配置通过软件方式支持MP捆绑,缺省情况下,通过硬件方式支持MP捆绑 只支持在CPOS接口下配置 |
||
配置封装PPP的接口工作在MP方式: ppp mp |
必选 缺省情况下,封装PPP的接口工作在普通PPP方式下 |
||
必选 |
|||
配置MP的其它可选参数 |
请参见“3. 配置MP的其它可选参数” |
可选 |
表1-28 配置MP的其它可选参数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入MP虚拟模板接口或者Dialer接口视图 |
interface { dialer | virtual-template } number |
必选 |
虚拟模板接口下捆绑方式的指定 |
ppp mp binding-mode { authentication | both | descriptor } |
可选 缺省情况下,同时根据PPP的认证用户名和终端描述符进行MP捆绑(both) |
配置MP最大捆绑链路数 |
ppp mp max-bind max-bind-num |
可选 该命令可以在虚拟模板接口视图及dialer口视图下进行配置 缺省情况下,最大捆绑链路数为16 配置该参数可能影响PPP的性能。一般情况下用户不必配置此参数,当需要配置时请在技术工程师的指导下进行 |
配置MP最小捆绑链路数 |
ppp mp min-bind min-bind-num |
可选 该命令只能在dialer口视图下进行配置 缺省情况下,最小捆绑链路数为0,即MP拨号将依赖流量检测 |
使能MP报文分片功能 |
ppp mp fragment enable |
可选 缺省情况下,MP报文分片功能处于开启状态 |
配置对MP报文进行分片的最小报文长度 |
ppp mp min-fragment size |
可选 缺省情况下,对MP报文进行分片的最小报文长度为128字节 |
· 在配置ppp mp max-bind、ppp mp min-bind或ppp mp min-fragment后,该命令不能立即生效,必须对所有已捆绑的物理接口依次执行shutdown和undo shutdown之后改变才会生效。
· ppp mp min-bind命令配置的最小捆绑链路数应该小于等于ppp mp max-bind命令配置的最大捆绑链路数。
· 配置undo ppp mp fragment enable命令后,接口的ppp mp lfi、ppp mp min-fragment命令不再起作用。
· 当只选择descriptor的绑定模式时,MP捆绑时无法区分不同的用户,如果不同用户需要绑定到不同的捆绑组下时,应该选用both的绑定模式;当只选择authentication的绑定模式时,无法区分各个对端设备,因此MP捆绑有多个对端设备时,应该选用both的绑定模式。
· 对于VT接口,如果配置静态路由,请指定下一跳而不要指定出接口。如果必须指定出接口的话,请保证VT下绑定的物理接口有效,从而保证报文能够正常传输。
· 关于在Dialer接口下设置MP参数的详细信息,请参见“二层技术-广域网接入配置指导”中的“DCC”。
表1-29 通过MP-group接口配置MP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建MP-group接口并进入指定的MP-group接口视图 |
interface mp-group mp-number |
必选 |
配置MP最大捆绑链路数 |
ppp mp max-bind max-bind-num |
可选 缺省情况下,最大捆绑链路数为16 |
配置MP排序窗口的大小 |
ppp mp sort-buffer-size size |
可选 缺省情况下,MP排序窗口大小系数为1 |
使能MP报文分片功能 |
ppp mp fragment enable |
可选 缺省情况下,MP报文分片功能处于开启状态 |
配置对MP报文进行分片的最小报文长度 |
ppp mp min-fragment size |
可选 缺省情况下,对MP报文进行分片的最小报文长度为128字节 |
配置接口的描述字符串 |
description text |
可选 缺省情况下,接口的描述字符串为“该接口的接口名 Interface” |
配置接口的MTU值 |
mtu size |
可选 缺省情况下,接口的MTU值为1500字节 |
配置接口的期望带宽 |
bandwidth bandwidth-value |
可选 |
恢复接口的缺省配置 |
default |
可选 |
打开接口 |
undo shutdown |
可选 缺省情况下,接口为打开状态 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置通过软件方式支持MP捆绑 |
ppp mp soft-binding |
可选 缺省情况下,通过硬件方式支持MP捆绑 只支持在CPOS接口下配置 |
将接口加入指定的MP-group接口,使接口工作在MP方式 |
ppp mp mp-group mp-number |
必选 |
· 在配置ppp mp max-bind或ppp mp min-fragment后,该命令不能立即生效,必须对所有已捆绑的物理接口依次执行shutdown和undo shutdown之后改变才会生效。
· 配置undo ppp mp fragment enable命令后,接口的ppp mp lfi、ppp mp min-fragment命令不再起作用。
MP捆绑组在收发报文时默认使用长序方式(长序、短序是指报文序号的长短)。
· 如果本端接收使用短序,则需要在协商LCP的过程添加短序请求,请求对端发送短序,协商通过后,对端使用短序发送;
· 如果本端发送使用短序,则需要对端发出短序协商请求,协商通过后,本端使用短序发送。
表1-30 配置MP短序协商方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
触发MP短序协商,协商成功后本端接收方向将使用短序 |
ppp mp short-sequence |
必选 缺省情况下,不触发短序协商,使用长序 |
· MP捆绑组使用的长短序方式由第一条加入该捆绑组中的子通道决定,后续加入捆绑组的子通道配置不能更改MP捆绑组的长短序方式。
· 如果想使用MP短序协商,对于拨号MP,建议在Dialer接口及ISDN的D信道下均配置该命令;对于普通MP,建议在所有的MP子通道下配置该命令,配置该命令会导致PPP重协商。
在MP的LCP协商过程会协商Endpoint选项(终端描述符)值,进行捆绑处理。
缺省情况下,接口发送报文中的Endpoint选项内容为设备名称;当使用ppp mp mp-group命令将接口加入指定MP-group时,接口发送报文中的Endpoint选项内容为MP-group的接口名称。由于Endpoint选项内容最长为20字节,如果缺省内容超过20个字节,则截取前20个字节作为Endpoint选项内容。
用户也可以通过下面的命令来配置接口发送报文中的Endpoint选项内容。
表1-31 配置MP Endpoint选项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置MP Endpoint选项内容 |
ppp mp endpoint string char-string |
可选 |
PPP链路上提供了四种提高传输效率的机制:
· IP报文头压缩
· PPP报文的STAC-LZS压缩
· VJ TCP头压缩
· 链路分片与交叉
下面将分别介绍各种机制的工作原理以及配置步骤。
IP报文头压缩(IP Header Compression,IPHC)协议是一个主机-主机协议,用于在IP网络上承载语音、视频等实时多媒体业务。为了减少有效带宽的消耗,可以在PPP链路上使用IP报文头压缩功能,对RTP头(含IP、UDP、RTP头)或TCP头进行压缩。下面以RTP头压缩为例对压缩原理进行说明。
RTP实际上是一种限定端口号与固定格式的UDP协议,RTP报文包括数据部分和头部分,RTP报文的数据部分相对小,而RTP报文的头部分较大。12字节的RTP头,加上20字节的IP头和8字节的UDP头,就是40字节的IP/UDP/RTP头。而RTP典型的负载是20字节到160字节。为了避免不必要的带宽消耗,可以使用IPHC对报文头进行压缩。通过使用IPHC,IP/UDP/RTP头从40字节压缩到2~5字节,对于40字节的负载,头压缩到5字节,压缩比为(40+40)/(40+5),约为1.78,可见效果是相当可观的。
表1-32 配置IP报文头压缩
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
启动IP头压缩 |
ppp compression iphc [ nonstandard ] |
必选 缺省情况下,不启动IP头压缩 |
配置TCP头压缩的最大连接数 |
ppp compression iphc tcp-connections number |
可选 缺省情况下,TCP头压缩的最大连接数为16 |
配置RTP头压缩的最大连接数 |
ppp compression iphc rtp-connections number |
可选 缺省情况下,RTP头压缩的最大连接数为16 |
STAC-LZS(STAC Lempel-Ziv standard)压缩是一种链路层上的数据压缩标准,由STAC有限公司开发并推广,仅对报文的净负荷进行压缩。STAC-LZS压缩基于Lempel-Ziv算法,是用二进制编码替代一个连续的数据流,编码能够随数据的变化而变化,更加灵活,但也更加占用CPU资源。
表1-33 配置STAC-LZS压缩
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口允许STAC-LZS压缩 |
ppp compression stac-lzs |
必选 缺省情况下,禁止使用压缩 |
· 只有当链路两端都配置了STAC-LZS压缩时,该链路才支持STAC-LZS压缩。
· 目前STAC-LZS压缩链路不支持出方向快转功能,在具体配置时建议同步关掉接口出方向快转功能。
VJ TCP头压缩(V. Jacobson Compressing TCP/IP Headers)是一种应用在低速链路上的TCP/IP头压缩算法,符合RFC 1144。
一个典型的TCP/IP报文头的长度是40字节,其中IP头20字节,TCP头20字节,在TCP建立连接后,在每个连接上传输的大量的TCP/IP报文都会包含这些信息。通过分析发现这些报文头中有些字段的信息是固定不变的,只发送一次即可;有些字段虽然有变化,但变化的规律和范围很明确,故字段的长度可以压缩。通过VJ TCP头压缩后,TCP/IP头长度可以从40字节降至3~5字节,应用在PPP等低速串行链路上,可以明显提高如FTP等应用的报文传输速度。
表1-34 配置VJ TCP头压缩
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
允许PPP接口进行VJ TCP头压缩 |
ip tcp vjcompress |
必选 缺省情况下,PPP接口禁止使用VJ TCP头压缩 |
在低速串行链路上,实时交互式通信,如Telnet和VoIP,往往会由于大型分组的发送而导致阻塞延迟。例如,正好在大报文被调度而等待发送时,语音报文到达,它需要等该大报文被传输完毕后才能被调度。对于诸如交互式语音等实时应用而言,大报文导致的这种阻塞延迟太长了,对端将听到断断续续的话音。交互式语音要求端到端的延迟不大于100~150ms。
一个1500bytes(即通常MTU的大小)的报文需要花费215ms穿过56kbps的链路,这超过了人所能忍受的延迟限制。为了在相对低速的链路上限制实时报文的延迟时间,例如56kbps Frame Relay或64kbps ISDN B通道,需要一种方法将大报文进行分片,将小报文和大报文的分片一起加入到队列。
LFI(Link Fragmentation and Interleaving,链路分片与交叉)将大型数据帧分割成小型帧,与其它小片的报文一起发送,从而减少在低速链路上的延迟和抖动。被分割的数据帧在目的地被重组。
图1-2描述了LFI的处理过程。大报文和小的语音报文一起到达某个接口,将大报文分割成小的分片,如果在接口配置了WFQ(Weighted Fair Queuing,加权公平队列),语音包与这些小的分片一起交叉放入WFQ。
图1-2 LFI的处理过程
表1-35 配置链路分片与交叉
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入虚拟模板接口视图或MP-group接口视图 |
interface virtual-template number 或 interface mp-group mp-number |
必选 |
使能LFI |
ppp mp lfi |
必选 缺省情况下,未使能LFI |
配置传输一个LFI分片的最大时延 |
ppp mp lfi delay-per-frag time |
二者必选其一 缺省情况下,传输一个LFI分片的最大时延为10ms,分片大小由ppp mp lfi delay-per-frag的配置来决定 |
配置LFI分片的最大字节数 |
ppp mp lfi size-per-frag size |
取消LFI功能会同时删除用户配置的LFI分片的最大时延和LFI分片的最大字节数。
在完成上述配置后,在任意视图下执行display命令可以显示PPP和MP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除相应的统计信息。
表1-36 PPP和MP显示和维护
操作 |
命令 |
显示已创建的MP-group接口的状态信息 |
display interface mp-group mp-number [ brief ] [ | { begin | exclude | include } regular-expression ] display interface [ mp-group ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ] |
显示虚拟访问接口的状态信息 |
display virtual-access [ va-number | dialer dialer-number | peer peer-address | user user-name | vt vt-number ] * [ | { begin | exclude | include } regular-expression ] |
显示已创建的虚拟模板接口的状态信息 |
display interface virtual-template number [ brief ] [ | { begin | exclude | include } regular-expression ] display interface [ virtual-template ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ] |
显示MP接口的接口信息和统计信息 |
display ppp mp [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
显示IPHC TCP头压缩的统计信息 |
display ppp compression iphc tcp [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
显示IPHC RTP头压缩的统计信息 |
display ppp compression iphc rtp [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
显示STAC-LZS压缩统计信息 |
display ppp compression stac-lzs [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
清除IP头压缩的统计信息 |
reset ppp compression iphc [ interface-type interface-number ] |
清除STAC-LZS压缩的统计信息 |
reset ppp compression stac-lzs [ interface-type interface-number ] |
清除指定接口的统计信息 |
reset counters interface [ mp-group [ interface-number ] ] reset counters interface [ virtual-template [ interface-number ] ] |
如图1-3所示,Router A和Router B之间用接口Serial2/0互连,要求Router A用PAP方式认证Router B,Router B不需要对Router A进行认证。
图1-3 PAP单向认证举例组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple passb
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
# 配置接口封装的链路层协议为PPP。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial2/0] ppp authentication-mode pap domain system
# 配置接口的IP地址。
[RouterA-Serial2/0] ip address 200.1.1.1 16
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置接口封装的链路层协议为PPP。
<RouterB> system-view
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial2/0] ppp pap local-user userb password simple passb
# 配置接口的IP地址。
[RouterB-Serial2/0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口Serial2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-Serial2/0] display interface serial 2/0
Serial2/0 current state: UP
Line protocol current state: UP
Description: Serial2/0 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 200.1.1.2/16 Primary
Link layer protocol is PPP
LCP opened, IPCP opened
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Interface is V35
206 packets input, 2496 bytes
206 packets output, 2492 bytes
[RouterB-Serial2/0] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 200.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/23/103 ms
如图1-4所示,Router A和Router B之间用接口Serial2/0互连,要求Router A和Router B用PAP方式相互认证对方。
图1-4 PAP双向认证举例组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple passb
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
# 配置接口封装的链路层协议为PPP。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial2/0] ppp authentication-mode pap domain system
# 配置本地被Router B以PAP方式认证时Router A发送的PAP用户名和密码。
[RouterA-Serial2/0] ppp pap local-user usera password simple passa
# 配置接口的IP地址。
[RouterA-Serial2/0] ip address 200.1.1.1 16
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera
# 设置本地用户的密码。
[RouterB-luser-usera] password simple passa
# 设置本地用户的服务类型为PPP。
[RouterB-luser-usera] service-type ppp
[RouterB-luser-usera] quit
# 配置接口封装的链路层协议为PPP。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
# 配置本地认证Router A的方式为PAP。
[RouterB-Serial2/0] ppp authentication-mode pap domain system
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial2/0] ppp pap local-user userb password simple passb
# 配置接口的IP地址。
[RouterB-Serial2/0] ip address 200.1.1.2 16
[RouterB-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
通过display interface serial命令,查看接口Serial2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-isp-system] display interface serial 2/0
Serial2/0 current state: UP
Line protocol current state: UP
Description: Serial2/0 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 200.1.1.2/16 Primary
Link layer protocol is PPP
LCP opened, IPCP opened
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Interface is V35
206 packets input, 2496 bytes
206 packets output, 2492 bytes
[RouterB-isp-system] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 200.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/23/103 ms
在图1-3中,要求设备Router A用CHAP方式认证设备Router B。
图1-5 CHAP单向认证举例组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
# 配置接口封装的链路层协议为PPP。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
# 配置采用CHAP认证时Router A的用户名。
[RouterA-Serial2/0] ppp chap user usera
# 配置本地认证Router B的方式为CHAP。
[RouterA-Serial2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial2/0] ip address 200.1.1.1 16
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera
# 设置本地用户的密码。
[RouterB-luser-usera] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterB-luser-usera] service-type ppp
[RouterB-luser-usera] quit
# 配置接口封装的链路层协议为PPP。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
# 配置采用CHAP认证时Router B的用户名。
[RouterB-Serial2/0] ppp chap user userb
# 配置接口的IP地址。
[RouterB-Serial2/0] ip address 200.1.1.2 16
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
# 配置本地认证Router B的方式为CHAP。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial2/0] ip address 200.1.1.1 16
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置采用CHAP认证时Router B的用户名。
<RouterB> system-view
[RouterB] interface serial 2/0
[RouterB-Serial2/0] ppp chap user userb
# 设置缺省的CHAP认证密码。
[RouterB-Serial2/0] ppp chap password simple hello
# 配置接口的IP地址。
[RouterB-Serial2/0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口Serial2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-Serial2/0] display interface serial 2/0
Serial2/0 current state: UP
Line protocol current state: UP
Description: Serial2/0 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 200.1.1.2/16 Primary
Link layer protocol is PPP
LCP opened, IPCP opened
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Interface is V35
206 packets input, 2496 bytes
206 packets output, 2492 bytes
[RouterB-Serial2/0] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 200.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/23/103 ms
Router A通过PPP协商,为对端设备Router B的接口Serial2/0分配IP地址。
图1-6 PPP协商IP地址配置组网图
(1) 配置Router A
# 配置本地IP地址池。
<RouterA> system-view
[RouterA] ip pool 1 200.1.1.10 200.1.1.20
# 配置接口Serial2/0的IP地址。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] ip address 200.1.1.1 16
# 为对端接口分配IP地址。
[RouterA-Serial2/0] remote address pool 1
(2) 配置Router B
# 在接口Serial2/0使能通过协商获取IP地址。
<RouterB> system-view
[RouterB] interface serial 2/0
[RouterB-Serial2/0] ip address ppp-negotiate
配置完成后,查看设备Router B的接口Serial2/0的概要信息,可见接口Serial2/0通过PPP协商获取的IP地址为200.1.1.10。
[RouterB-Serial2/0] display interface serial 2/0 brief
The brief information of interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
S2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial2/0接口。
[RouterB-Serial2/0] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=4 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=4 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=4 ms
--- 200.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/4/10 ms
在图1-7中,Router A的E1接口有两个通道连接到Router B的两个通道上,另外两个通道连接到Router C的两个通道上,采用认证绑定方式。假定Router A上的四个通道为:Serial2/0:1、Serial2/0:2、Serial2/0:3和Serial2/0:4,Router B上的两个通道的接口名为:Serial2/0:1和Serial2/0:2,Router C上的两个通道的接口名为:Serial2/0:1和Serial2/0:2。
图1-7 MP配置举例组网图
(1) 配置Router A
# 在Router A上为Router B和Router C各增加一个用户。
<RouterA> system-view
[RouterA] local-user router-b
[RouterA-luser-router-b] password simple router-b
[RouterA-luser-router-b] service-type ppp
[RouterA-luser-router-b] quit
[RouterA] local-user router-c
[RouterA-luser-router-c] password simple router-c
[RouterA-luser-router-c] service-type ppp
[RouterA-luser-router-c] quit
# 为这两个用户指定虚拟模板接口。
[RouterA] ppp mp user router-b bind virtual-template 1
[RouterA] ppp mp user router-c bind virtual-template 2
# 配置虚拟模板接口。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 202.38.166.1 255.255.255.0
[RouterA-Virtual-Template1] quit
[RouterA] interface virtual-template 2
[RouterA-Virtual-Template2] ip address 202.38.168.1 255.255.255.0
[RouterA-Virtual-Template2] quit
# 将接口Serial2/0:1、Serial2/0:2、Serial2/0:3和Serial2/0:4加入MP通道,以Serial2/0:1为例,其它接口作同样配置。
[RouterA] interface serial 2/0:1
[RouterA-Serial2/0:1] link-protocol ppp
[RouterA-Serial2/0:1] ppp mp
[RouterA-Serial2/0:1] ppp authentication-mode pap domain system
[RouterA-Serial2/0:1] ppp pap local-user router-a password simple router-a
[RouterA-Serial2/0:1] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 为Router A增加一个用户。
<RouterB> system-view
[RouterB] local-user router-a
[RouterB-luser-router-a] password simple router-a
[RouterB-luser-router-a] service-type ppp
[RouterB-luser-router-a] quit
# 为这个用户指定虚拟模板接口,将使用该模板的NCP信息进行PPP协商。
[RouterB] ppp mp user router-a bind virtual-template 1
# 配置虚拟模板接口的工作参数。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 202.38.166.2 255.255.255.0
[RouterB-Virtual-Template1] quit
# 将接口Serial2/0:1和Serial2/0:2加入MP通道,我们以Serial2/0:1为例,其它接口作同样配置。
[RouterB] interface serial 2/0:1
[RouterB-Serial2/0:1] ppp mp
[RouterB-Serial2/0:1] ppp authentication-mode pap domain system
[RouterB-Serial2/0:1] ppp pap local-user router-b password simple router-b
[RouterB-Serial2/0:1] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
(3) 配置Router C
# 为Router A增加一个用户。
<RouterC> system-view
[RouterC] local-user router-a
[RouterC-luser-router-a] password simple router-a
[RouterC-luser-router-a] service-type ppp
[RouterC-luser-router-a] quit
# 为这个用户指定虚拟模板接口,将使用该模板的NCP信息进行PPP协商。
[RouterC] ppp mp user router-a bind virtual-template 1
# 配置虚拟模板接口的工作参数。
[RouterC] interface virtual-template 1
[RouterC-Virtual-Template1] ip address 202.38.168.2 255.255.255.0
[RouterC-Virtual-Template1] quit
# 将接口Serial2/0:1和Serial2/0:2加入MP通道,我们以Serial2/0:1为例,其它接口作同样配置。
[RouterC] interface serial 2/0:1
[RouterC-Serial2/0:1] ppp mp
[RouterC-Serial2/0:1] ppp authentication-mode pap domain system
[RouterC-Serial2/0:1] ppp pap local-user router-c password simple router-c
[RouterC-Serial2/0:1] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterC] domain system
[RouterC-isp-system] authentication ppp local
在图1-8中,设备Router A和Router B的Serial2/1和Serial2/0分别对应连接。采用三种MP绑定方式,第一种是将链路直接绑定到VT上;第二种是按用户名查找VT,第三种是将链路绑定到MP-group接口。
图1-8 三种MP绑定方式的配置举例组网图
(1) 配置Router A
# 配置对端设备Router B在Router A上的用户名和密码。
<RouterA> system-view
[RouterA] local-user rtb
[RouterA-luser-rtb] password simple rtb
[RouterA-luser-rtb] service-type ppp
[RouterA-luser-rtb] quit
# 创建虚拟模板接口,配置相应的IP地址。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] ppp mp binding-mode authentication
# 配置串口Serial2/1。
[RouterA-Virtual-Template1] quit
[RouterA] interface serial 2/1
[RouterA-Serial2/1] link-protocol ppp
[RouterA-Serial2/1] ppp authentication-mode pap domain system
[RouterA-Serial2/1] ppp pap local-user rta password simple rta
[RouterA-Serial2/1] ppp mp virtual-template 1
[RouterA-Serial2/1] shutdown
[RouterA-Serial2/1] undo shutdown
[RouterA-Serial2/1] quit
# 配置串口Serial2/0。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
[RouterA-Serial2/0] ppp authentication-mode pap domain system
[RouterA-Serial2/0] ppp pap local-user rta password simple rta
[RouterA-Serial2/0] ppp mp virtual-template 1
[RouterA-Serial2/0] shutdown
[RouterA-Serial2/0] undo shutdown
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
[RouterA-isp-system] quit
(2) 配置Router B
# 配置对端设备Router A在Router B上的用户名和密码。
<RouterB> system-view
[RouterB] local-user rta
[RouterB-luser-rta] password simple rta
[RouterB-luser-rta] service-type ppp
[RouterB-luser-rta] quit
# 创建虚拟模板接口,配置相应的IP地址。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] ppp mp binding-mode authentication
[RouterB-Virtual-Template1] quit
# 配置串口Serial2/1。
[RouterB] interface serial 2/1
[RouterB-Serial2/1] link-protocol ppp
[RouterB-Serial2/1] ppp authentication-mode pap domain system
[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/1] ppp mp virtual-template 1
[RouterB-Serial2/1] shutdown
[RouterB-Serial2/1] undo shutdown
[RouterB-Serial2/1] quit
# 配置串口Serial2/0。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
[RouterB-Serial2/0] ppp authentication-mode pap domain system
[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/0] ppp mp virtual-template 1
[RouterB-Serial2/0] shutdown
[RouterB-Serial2/0] undo shutdown
[RouterB-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
[RouterB-isp-system] quit
(3) 在Router A上查看绑定效果:
[RouterA] display ppp mp
Template is Virtual-Template1
Bundle rtb, 2 member, Master link is Virtual-Template1:0
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled member channels are:
Serial2/1
Serial2/0
(4) 查看VA状态:
[RouterA] display virtual-access
Virtual-Template1:0 current state: UP
Line protocol current state: UP
Description: Virtual-Template0:0 Interface
The Maximum Transmit Unit is 1500
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, OSICP opened
Physical is MP, baudrate: 64000 bps
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec 0 packets/sec
Last 300 seconds output: 0 bytes/sec 0 packets/sec
520 packets input, 44132 bytes, 0 drops
527 packets output, 44566 bytes, 4 drops
Router B上显示类似。
(5) 在Router B上ping对端IP 8.1.1.1。
[RouterB] ping 8.1.1.1
PING 8.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 8.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/30/31 ms
由于在物理接口下配置了PPP认证,故display ppp mp中的Bundle为对端用户名;若去掉认证的配置,Bundle应为对端的终端描述符。
这里的虚拟访问接口VA的状态即对应MP虚通道的状态,可以用display virtual-access命令查看。
(1) 配置Router A
# 配置对端设备Router B在Router A上的用户名和密码。
<RouterA> system-view
[RouterA] local-user rtb
[RouterA-luser-rtb] password simple rtb
[RouterA-luser-rtb] service-type ppp
[RouterA-luser-rtb] quit
# 指定用户RTB对应的VT。
[RouterA] ppp mp user rtb bind virtual-template 1
# 创建VT,配置相应的IP地址。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] ppp mp binding authentication
[RouterA-Virtual-Template1] quit
# 配置串口Serial2/1。
[RouterA] interface serial 2/1
[RouterA-Serial2/1] link-protocol ppp
[RouterA-Serial2/1] ppp authentication-mode pap domain system
[RouterA-Serial2/1] ppp pap local-user rta password simple rta
[RouterA-Serial2/1] ppp mp
[RouterA-Serial2/1] shutdown
[RouterA-Serial2/1] undo shutdown
[RouterA-Serial2/1] quit
# 配置串口Serial2/0。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
[RouterA-Serial2/0] ppp authentication-mode pap domain system
[RouterA-Serial2/0] ppp pap local-user rta password simple rta
[RouterA-Serial2/0] ppp mp
[RouterA-Serial2/0] shutdown
[RouterA-Serial2/0] undo shutdown
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
[RouterA-isp-system] quit
(2) 配置Router B
# 配置对端设备Router A在Router B上的用户名和密码
<RouterB> system-view
[RouterB] local-user rta
[RouterB-luser-rta] password simple rta
[RouterB-luser-rta] service-type ppp
[RouterB-luser-rta] quit
# 指定用户RTA对应的VT。
[RouterB] ppp mp user rta bind virtual-template 1
# 创建VT,配置相应的IP地址。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] ppp mp binding authentication
[RouterB-Virtual-Template1] quit
# 配置串口Serial2/1。
[RouterB] interface serial 2/1
[RouterB-Serial2/1] link-protocol ppp
[RouterB-Serial2/1] ppp authentication-mode pap domain system
[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/1] ppp mp
[RouterB-Serial2/1] shutdown
[RouterB-Serial2/1] undo shutdown
[RouterB-Serial2/1] quit
# 配置串口Serial2/0。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
[RouterB-Serial2/0] ppp authentication-mode pap domain system
[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/0] ppp mp
[RouterB-Serial2/0] shutdown
[RouterB-Serial2/0] undo shutdown
[RouterB-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
[RouterB-isp-system] quit
(3) 在Router A上查看绑定效果:
[RouterA] display ppp mp
Template is Virtual-Template1
Bundle rtb, 2 member, Master link is Virtual-Template1:0
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled member channels are:
Serial2/1
Serial2/0
(4) 在Router B上查看绑定效果:
[RouterB] display ppp mp
Template is Virtual-Template1
Bundle rta, 2 member, Master link is Virtual-Template1:0
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled member channels are:
Serial2/1
Serial2/0
# 查看VA状态:
[RouterB] display virtual-access
Virtual-Template1:0 current state : UP
Line protocol current state : UP
Description : Virtual-Template1:0 Interface
The Maximum Transmit Unit is 1500
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, OSICP opened, MPLSCP opened
Physical is MP
Output queue : (Urgent queue : Size/Length/Discards) 0/50/0
Output queue : (Protocol queue : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec 0 packets/sec
Last 300 seconds output: 0 bytes/sec 0 packets/sec
0 packets input, 0 bytes, 0 drops
0 packets output, 0 bytes, 0 drops
# 在Router B上ping对端IP地址8.1.1.1。
[RouterB] ping 8.1.1.1
PING 8.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=30 ms
Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 8.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/30/31 ms
如果想将Serial2/1和Serial2/0一起绑定到同一个MP中,不幸将一个串口配成了ppp mp,而另一个配成ppp mp virtual-template 1,这时系统会分别将两个串口绑定到不同的MP中,工作将不正常,不能达到预期的效果。
在系统中,还增加了MP-group接口,可以将链路绑定到MP-group接口。这种MP实现方法与绑定到VT的第一种方式类似。
(1) 配置Router A
# 配置对端设备Router B在Router A上的用户名和密码。
<RouterA> system-view
[RouterA] local-user rtb
[RouterA-luser-rtb] password simple rtb
[RouterA-luser-rtb] service-type ppp
[RouterA-luser-rtb] quit
# 创建MP-group接口,配置相应的IP地址。
[RouterA] interface mp-group 1
[RouterA-Mp-group1] ip address 111.1.1.1 24
# 配置串口Serial2/1。
[RouterA-Mp-group1] quit
[RouterA] interface serial 2/1
[RouterA-Serial2/1] link-protocol ppp
[RouterA-Serial2/1] ppp authentication-mode pap domain system
[RouterA-Serial2/1] ppp pap local-user rta password simple rta
[RouterA-Serial2/1] ppp mp mp-group 1
[RouterA-Serial2/1] shutdown
[RouterA-Serial2/1] undo shutdown
[RouterA-Serial2/1] quit
# 配置串口Serial2/0。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] link-protocol ppp
[RouterA-Serial2/0] ppp authentication-mode pap domain system
[RouterA-Serial2/0] ppp pap local-user rta password simple rta
[RouterA-Serial2/0] ppp mp mp-group 1
[RouterA-Serial2/0] shutdown
[RouterA-Serial2/0] undo shutdown
[RouterA-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
[RouterA-isp-system] quit
(2) 配置Router B
# 配置对端设备Router A在Router B上的用户名和密码。
<RouterB> system-view
[RouterB] local-user rta
[RouterB-luser-rta] password simple rta
[RouterB-luser-rta] service-type ppp
[RouterB-luser-rta] quit
# 创建MP-group接口,配置相应的IP地址。
[RouterB] interface mp-group 1
[RouterB-Mp-group1] ip address 111.1.1.2 24
[RouterB-Mp-group1] quit
# 配置串口Serial2/1。
[RouterB] interface serial 2/1
[RouterB-Serial2/1] link-protocol ppp
[RouterB-Serial2/1] ppp authentication-mode pap domain system
[RouterB-Serial2/1] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/1] ppp mp mp-group 1
[RouterB-Serial2/1] shutdown
[RouterB-Serial2/1] undo shutdown
[RouterB-Serial2/1] quit
# 配置串口Serial2/0。
[RouterB] interface serial 2/0
[RouterB-Serial2/0] link-protocol ppp
[RouterB-Serial2/0] ppp authentication-mode pap domain system
[RouterB-Serial2/0] ppp pap local-user rtb password simple rtb
[RouterB-Serial2/0] ppp mp mp-group 1
[RouterB-Serial2/0] shutdown
[RouterB-Serial2/0] undo shutdown
[RouterB-Serial2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
[RouterB-isp-system] quit
(3) 在Router A上查看绑定效果:
[RouterA] display ppp mp
Mp-group is Mp-group1
Bundle Multilink, 2 member, Master link is Mp-group1
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled member channels are:
Serial2/1
Serial2/0
# 查看MP-group1状态:
[RouterA] display interface Mp-group 1
Mp-group1 current state : UP
Line protocol current state : UP
Description : Mp-group1 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 111.1.1.1/24
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, MPLSCP opened
Physical is MP
Output queue : (Urgent queue : Size/Length/Discards) 0/50/0
Output queue : (Protocol queue : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec 0 packets/sec
Last 300 seconds output: 0 bytes/sec 0 packets/sec
0 packets input, 0 bytes, 0 drops
0 packets output, 0 bytes, 0 drops
# 在RouterA上ping对端IP:
[RouterA] ping 111.1.1.2
PING 111.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 111.1.1.2: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 111.1.1.2: bytes=56 Sequence=3 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 111.1.1.2: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 111.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/29/31 ms
需要注意的是,将链路绑定到MP-group接口只有一种方式,就是在接口下直接指定相应的MP-group接口。在这种MP绑定中,是将所有用户都绑定到一起,没有VA的概念。
PPP认证失败,链路始终不能转为up状态。
可能是由于PPP认证参数配置不正确,导致PPP认证失败。
打开PPP的调试开关,会看到LCP协商成功并转为up状态后进行PAP或CHAP协商,然后LCP转为down状态,则需要修改PPP认证参数的配置,保证认证方可以通过被认证方的认证。
物理链路始终是down状态。
物理链路始终是down状态,可能有以下原因:
· 接口没有被激活;
· 接口被管理员down掉;
· 物理接口已通,但是链路协商没有通过。
可以执行display interface命令来查看接口当前状态,判断故障原因,从而采取相应的方法使物理链路up。
接口有如下状态:
serial number is administratively down, line protocol is down:表示该接口被管理员down。
serial number is down, line protocol is down:表示该接口没有被激活或物理层没有转为up状态。
serial number is up, line protocol is up:表示该接口链路协商即LCP协商已通过。
serial number is up, line protocol is down:表示该接口已激活,但链路协商仍没有通过。
未使能IPv6的前提下在PPP链路上配置IPv6地址,IPv6CP无法协商up,使能IPv6功能后,依旧不能协商up。
未使能IPv6的前提下,IPv6CP无法协商成功。由于IPv6CP无重协商机制,所以后续再使能IPv6也无法使IPv6CP协商up。
· 在PPP链路上配置IPv6地址时,建议首先使能系统的IPv6功能,然后再配置IPv6地址。
· 如果IPv6CP协商down,可以通过依次执行命令shutdown/undo shutdown接口使其重新进行协商。
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP的扩展。
PPPoE将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。PPPoE可以通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每个主机实现控制、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区组网等环境中。
PPPoE使用Client/Server模型,PPPoE的客户端为PPPoE Client,PPPoE的服务器端为PPPoE Server。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,PPPoE Server向PPPoE Client提供接入控制、认证等功能。
根据PPP会话的起止点所在位置的不同,有两种组网结构:
· 第一种组网结构如图2-1所示,在设备之间建立PPP会话,所有主机通过同一个PPP会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业(公司)共用一个账号(图中的PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。
图2-1 PPPoE组网结构图1
· 第二种组网结构如图2-2所示,PPP会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPP会话。每个Host都是PPPoE Client,运营商的路由器作为PPPoE Server。每个Host一个帐号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。这种组网适用于校园、小区等环境。
图2-2 PPPoE组网结构图2
与PPPoE相关的协议规范有:
· RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
设备作为PPPoE Server时,配置过程请参见“2.2.1 配置PPPoE Server”。
设备作为PPPoE Client时,配置过程请参见“2.2.2 配置PPPoE Client”。
PPPoE Server可以配置在物理以太网接口上,也可以配置在由ADSL接口生成的虚拟以太网接口上。关于在虚拟以太网接口上配置PPPoE Server,请参见“二层技术-广域网接入配置指导”中的“ATM”。
表2-1 配置PPPoE Server
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建虚拟模板接口并进入虚拟模板接口视图 |
interface virtual-template number |
- |
设置PPP的工作参数(包括认证方式、IP地址获取方式,用户还可以设置为PPP对端分配的IP地址或IP地址池) |
可选 |
|
配置是否启动mru 检测功能 |
ppp lcp echo mru verify [ minimum value ] |
可选,缺省情况下,此功能关闭 |
退回系统视图 |
quit |
- |
进入指定的以太网接口视图 |
interface interface-type interface-number |
- |
在以太网接口上启用PPPoE协议,将该以太网接口与指定的虚拟模板接口绑定 |
pppoe-server bind virtual-template number |
必选 缺省情况下,禁止PPPoE协议 |
(可选)配置PPPoE Server的Service Name |
pppoe-server tag service-name name |
缺省情况下,PPPoE Server的Service Name为空 |
退回系统视图 |
quit |
- |
配置一个对端MAC地址上能创建的最大PPPoE Session数目 |
pppoe-server max-sessions remote-mac number |
可选 缺省情况下,number数值为: · MSR800:512 · 其他:100 |
配置一个本端MAC地址上能创建的最大PPPoE Session数目 |
pppoe-server max-sessions local-mac number |
可选 缺省情况下,number数值为: · MSR800:512 · 其他:4096 |
配置系统能创建的最大PPPoE Session数目 |
pppoe-server max-sessions total number |
可选 缺省情况下,系统能创建PPPoE会话的最大数目为: · MSR800:512 · 其他:4096 |
配置PPPoE异常下线统计门限值 |
pppoe-server abnormal-offline-count threshold number |
可选 缺省情况下,PPPoE异常下线统计门限值为65535 如果5分钟之内的PPPoE异常下线统计数量高于门限值时,系统将会输出Trap信息 |
配置PPPoE异常下线率门限值 |
pppoe-server abnormal-offline-percent threshold number |
可选 缺省情况下,PPPoE异常下线率门限值为100 如果5分钟之内的PPPoE异常下线率高于门限值时,系统将会输出Trap信息 |
配置PPPoE正常下线率门限值 |
pppoe-server normal-offline-percent threshold number |
可选 缺省情况下,PPPoE正常下线率门限值为0 如果5分钟之内的PPPoE正常下线率低于门限值时,系统将会输出Trap信息 |
PPPoE Server对PPP用户进行认证、计费 |
相关内容请参见“安全配置指导”中的“AAA” |
可选 |
关闭PPPoE Server产生的PPP日志信息的显示开关 |
pppoe-server log-information off |
可选 缺省情况下,打开PPPoE Server产生的PPP日志信息的显示开关 |
对于虚拟模板接口,如果配置静态路由,请指定下一跳而不要指定出接口。如果必须指定出接口的话,请保证虚拟模板接口下绑定的物理接口有效,从而保证报文能够正常传输。
PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上配置Dialer bundle。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
表2-2 配置拨号接口(IPv4 PPPoE Client)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Dialer Rule |
dialer-rule dialer-group { protocol-name { deny | permit } | acl acl-number } |
必选 |
创建一个Dialer接口并进入该Dialer接口视图 |
interface dialer number |
必选 |
新建一个Dialer用户 |
dialer user username |
必选 |
配置接口IP地址 |
ip address { address mask | ppp-negotiate } |
必选 |
配置接口的Dialer bundle |
dialer bundle bundle-number |
必选 |
配置接口的Dialer Group |
dialer-group group-number |
必选 |
表2-3 配置拨号接口(IPv6 PPPoE Client)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能IPv6报文转发功能 |
ipv6 |
必选 |
创建一个Dialer接口并进入该Dialer接口视图 |
interface dialer number |
必选 |
新建一个Dialer用户 |
dialer user username |
必选 |
配置接口IPv6地址 |
请参见“三层技术-IP业务配置指导”中的“IPv6基础” |
必选 |
配置接口的Dialer bundle |
dialer bundle bundle-number |
必选 |
· 根据需要,可能还要在Dialer接口上配置PPP认证等相关参数。关于拨号接口配置的详细介绍,请参见“二层技术-广域网接入配置指导”中的“DCC”。
· IPv6相关命令的介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”。
PPPoE会话有两种工作方式:永久在线方式、报文触发方式。
· 永久在线方式:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在。
· 报文触发方式:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户配置的值,设备会自动中止PPPoE会话。
PPPoE会话可以配置在物理以太网接口上,也可以配置在由ADSL接口生成的虚拟以太网接口上。当设备通过ADSL接口连入互联网的时候,需要在虚拟以太网接口配置PPPoE会话;当设备通过以太网接口连接ADSL Modem再连入互联网的时候,需要在以太网接口配置PPPoE会话。
关于在虚拟以太网接口上配置PPPoE会话,请参见“二层技术-广域网接入配置指导/ATM”中的PPPoEoA的相关内容。
表2-4 配置PPPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置PPPoE会话协商定时器时间间隔 |
pppoe-client timer negotiation seconds |
可选 缺省情况下,PPPoE会话协商定时器时间间隔为10秒 |
进入以太网接口视图 |
interface interface-type interface-number |
- |
建立一个PPPoE会话,并且指定该会话所对应的Dialer bundle |
pppoe-client dial-bundle-number number [ no-hostuniq ] [ idle-timeout seconds [ queue-length packets ] ] |
必选 缺省情况下,没有配置PPPoE会话 |
· 在一个以太网接口上可以配置多个PPPoE会话,即一个以太网接口可以同时属于多个Dialer bundle,但是一个Dialer bundle中只能拥有一个以太网接口。PPPoE会话是和Dialer bundle一一对应的。
· IPv6 PPPoE会话目前不支持报文触发方式。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除PPPoE会话。
表2-5 PPPoE显示和维护
配置 |
命令 |
显示PPPoE Server会话的状态和统计信息 |
display pppoe-server session { all | packet } [ | { begin | exclude | include } regular-expression ] |
显示PPPoE Client会话的状态和统计信息 |
display pppoe-client session { packet | summary } [ dial-bundle-number number ] [ | { begin | exclude | include } regular-expression ] |
在PPPoE Server端清除PPPoE会话 |
reset pppoe-server { all | interface interface-type interface-number | virtual-template number } |
复位PPPoE Client端的会话,并在稍后重新发起连接 |
reset pppoe-client { all | dial-bundle-number number } |
如图2-3所示,要求以太网内的Host可以通过PPPoE接入Router,并连接到外部网络。
· Host作为PPPoE Client,运行PPPoE客户端拨号软件。
· 设备Router作为PPPoE Server,配置本地认证,并通过地址池为Host分配IP地址。
图2-3 PPPoE Server典型配置组网图
(1) 方案一:CHAP认证
# 增加一个PPPoE用户。
<Router> system-view
[Router] local-user user1
[Router-luser-user1] password simple pass1
[Router-luser-user1] service-type ppp
[Router-luser-user1] quit
# 配置虚拟模板接口参数。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain system
[Router-Virtual-Template1] ppp chap user user1
[Router-Virtual-Template1] remote address pool 1
[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Router-Virtual-Template1] quit
# 配置PPPoE Server。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] pppoe-server bind virtual-template 1
[Router-Ethernet1/1] quit
# 在系统缺省的ISP域system下,配置域用户使用本地认证方案。
[Router] domain system
[Router-isp-system] authentication ppp local
# 增加一个本地IP地址池,包含9个IP地址可分配。
[Router-isp-system] ip pool 1 1.1.1.2 1.1.1.10
(2) 方案二:MS-CHAP认证
# 增加一个PPPoE用户。
<Router> system-view
[Router] local-user user1
[Router-luser-user1] password simple pass1
[Router-luser-user1] service-type ppp
[Router-luser-user1] quit
# 配置虚拟模板接口参数。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode ms-chap domain system
[Router-Virtual-Template1] remote address pool 1
[Router-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[Router-Virtual-Template1] quit
# 配置PPPoE Server。
[Router] interface ethernet 1/1
[Router-Ethernet1/1] pppoe-server bind virtual-template 1
[Router-Ethernet1/1] quit
# 在系统缺省的ISP域system下,配置域用户使用本地认证方案。
[Router] domain system
[Router-isp-system] authentication ppp local
# 增加一个本地IP地址池,包含9个IP地址可分配。
[Router-isp-system] ip pool 1 1.1.1.2 1.1.1.10
这样,以太网上各主机安装PPPoE客户端软件后,配置好用户名和密码(此处为user1和pass1)就能使用PPPoE协议,通过设备Router接入到Internet。
若通过authentication ppp命令配置认证方案为radius-scheme或hwtacacs-scheme,那么还需要配置RADIUS/HWTACACS参数,使系统可以进行认证、授权、计费,具体配置步骤请参见“安全配置指导”中的“AAA”。
Router A和Router B之间通过各自的Ethernet1/1接口相连,要求Router A用PAP/CHAP方式认证Router B。
图2-4 PPPoE Client典型配置组网图
(1) 方案一:PAP认证
· 配置Router A作为PPPoE Server
# 增加一个PPPoE用户。
<RouterA> system-view
[RouterA] local-user user2
[RouterA-luser-user2] password simple hello
[RouterA-luser-user2] service-type ppp
[RouterA-luser-user2] quit
# 配置虚拟模板参数。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode pap
[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterA-Virtual-Template1] remote address 1.1.1.2
[RouterA-Virtual-Template1] quit
# 配置PPPoE Server。
[RouterA] interface ethernet 1/1
[RouterA-Ethernet1/1] pppoe-server bind virtual-template 1
· 配置Router B作为PPPoE Client
<RouterB> system-view
[RouterB] dialer-rule 1 ip permit
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer user user2
[RouterB-Dialer1] dialer-group 1
[RouterB-Dialer1] dialer bundle 1
[RouterB-Dialer1] ip address ppp-negotiate
[RouterB-Dialer1] ppp pap local-user user2 password simple hello
[RouterB-Dialer1] quit
# 配置PPPoE会话。
[RouterB] interface ethernet 1/1
[RouterB-Ethernet1/1] pppoe-client dial-bundle-number 1
(2) 方案二:CHAP认证
· 配置Router A作为PPPoE Server
# 增加一个PPPoE用户。
<RouterA> system-view
[RouterA] local-user user2
[RouterA-luser-user2] password simple hello
[RouterA-luser-user2] service-type ppp
[RouterA-luser-user2] quit
# 配置虚拟模板参数。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap
[RouterA-Virtual-Template1] ppp chap user user1
[RouterA-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterA-Virtual-Template1] remote address 1.1.1.2
[RouterA-Virtual-Template1] quit
# 配置PPPoE Server。
[RouterA] interface ethernet 1/1
[RouterA-Ethernet1/1] pppoe-server bind virtual-template 1
· 配置Router B作为PPPoE Client
<RouterB> system-view
[RouterB] dialer-rule 1 ip permit
[RouterB] interface dialer 1
[RouterB-Dialer1] dialer user user2
[RouterB-Dialer1] dialer-group 1
[RouterB-Dialer1] dialer bundle 1
[RouterB-Dialer1] ip address ppp-negotiate
[RouterB-Dialer1] ppp chap user user2
[RouterB-Dialer1] quit
[RouterB] local-user user1
[RouterB-luser-user1] password simple hello
[RouterB-luser-user1] quit
# 配置PPPoE会话。
[RouterB] interface ethernet 1/1
[RouterB-Ethernet1/1] pppoe-client dial-bundle-number 1
· 局域网内的计算机通过Router A访问Internet,Router A通过ADSL Modem采用永久在线的方式接入DSLAM。
· ADSL帐户的用户名为user1,密码为123456。
· Router B作为PPPoE Server通过ATM1/0接口连接至DSLAM,提供RADIUS认证、计费功能。
· 在Router A上使能PPPoE Client功能,局域网内的主机不用安装PPPoE客户端软件即可访问Internet。
图2-5 利用ADSL将局域网接入Internet组网图
(1) 配置Router A作为PPPoE Client
# 配置Dialer接口。
<RouterA> system-view
[RouterA] dialer-rule 1 ip permit
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer-group 1
[RouterA-Dialer1] dialer bundle 1
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp pap local-user user1 password cipher 123456
[RouterA-Dialer1] quit
# 配置PPPoE会话。
[RouterA] interface ethernet 1/1
[RouterA-Ethernet1/1] pppoe-client dial-bundle-number 1
[RouterA-Ethernet1/1] quit
# 配置局域网接口及缺省路由。
[RouterA] interface ethernet 1/2
[RouterA-Ethernet1/2] ip address 192.168.1.1 255.255.255.0
[RouterA-Ethernet1/2] quit
[RouterA] ip route-static 0.0.0.0 0 dialer 1
如果局域网内计算机使用的IP地址为私有地址,还需要在设备上配置NAT(Network Address Translation,网络地址转换)。
NAT的相关内容请参见“三层技术-IP业务配置指导”中的“NAT”。
(2) 配置Router B作为PPPoE Server
# 增加一个PPPoE用户。
<RouterB> system-view
[RouterB] local-user user1
[RouterB-luser-user1] password simple 123456
[RouterB-luser-user1] service-type ppp
[RouterB-luser-user1] quit
# 对ATM口进行配置。
[RouterB] interface atm 1/0
[RouterB-Atm1/0] pvc 0/32
[RouterB-atm-pvc-Atm1/0-0/32] map bridge virtual-ethernet 1
[RouterB-atm-pvc-Atm1/0-0/32] quit
[RouterB-Atm1/0] quit
# 在Virtual-Ethernet接口上使能PPPoE Server。
[RouterB] interface virtual-ethernet 1
[RouterB-Virtual-Ethernet1] pppoe-server bind virtual-template 1
[RouterB-Virtual-Ethernet1] quit
# 配置虚拟模板参数。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode pap domain system
[RouterB-Virtual-Template1] remote address pool 1
[RouterB-Virtual-Template1] ip address 1.1.1.1 255.0.0.0
[RouterB-Virtual-Template1] quit
# 在系统缺省的ISP域system下,配置域用户使用RADIUS认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp radius-scheme cams
# 增加一个本地IP地址池(9个IP地址)。
[RouterB-isp-system] ip pool 1 1.1.1.2 1.1.1.10
[RouterB-isp-system] quit
# 配置RADIUS方案以及RADIUS认证/授权/计费服务器的IP地址和端口号。
[RouterB] radius scheme cams
[RouterB-radius-cams] primary authentication 10.110.91.146 1812
[RouterB-radius-cams] primary accounting 10.110.91.146 1813
[RouterB-radius-cams] key authentication expert
[RouterB-radius-cams] key accounting expert
[RouterB-radius-cams] server-type extended
[RouterB-radius-cams] user-name-format with-domain
[RouterB-radius-cams] quit
RADIUS的相关内容请参见“安全配置指导”中的“AAA”。
Router通过DDN专线和ADSL线路和网络中心Network Center相连,其中ADSL线路作为DDN专线的备份。当DDN专线发生故障时,Router仍然可以发起PPPoE呼叫通过ADSL线路连接到网络中心。如果在ADSL线路上有2分钟没有报文传输,则PPPoE会话将被自动中止。之后如果有新的报文需要被发送,则PPPoE会话会被重新建立。
图2-6 利用ADSL做备份线路组网图
# 配置Dialer接口。
<Router> system-view
[Router] dialer-rule 1 ip permit
[Router] interface dialer 1
[Router-Dialer1] dialer user user1
[Router-Dialer1] dialer-group 1
[Router-Dialer1] dialer bundle 1
[Router-Dialer1] ip address ppp-negotiate
# 配置PPPoE会话。
[Router-Dialer1] interface ethernet 1/1
[Router-Ethernet1/1] pppoe-client dial-bundle-number 1 idle-timeout 120
[Router-Ethernet1/1] quit
# 配置DDN接口Serial2/0。
[Router] interface serial 2/0
[Router-Serial2/0] ip address 10.1.1.1 255.255.255.0
[Router-Serial2/0] standby interface dialer 1
[Router-Serial2/0] quit
# 配置到对端的静态路由。
[Router] ip route-static 0.0.0.0 0 serial 2/0 preference 60
[Router] ip route-static 0.0.0.0 0 dialer 1 preference 70
Router拥有ADSL接口ATM1/0,它通过ADSL接口直接连入Internet,而不用再连接ADSL Modem。
图2-7 设备通过ADSL接口连入Internet组网图
# 配置Dialer接口。
<Router> system-view
[Router] dialer-rule 1 ip permit
[Router] interface dialer 1
[Router-Dialer1] dialer user mypppoe
[Router-Dialer1] dialer-group 1
[Router-Dialer1] dialer bundle 1
[Router-Dialer1] ip address ppp-negotiate
# 配置Virtual-Ethernet接口。
[Router-Dialer1] interface virtual-ethernet 1
[Router-Virtual-Ethernet1] mac-address 0001-0002-0003
[Router-Virtual-Ethernet1] quit
[Router] interface atm 1/0.1
[Router-atm1/0.1] pvc to_adsl_a 0/60
[Router-atm-pvc-atm1/0.1-0/60-to_adsl_a] map bridge virtual-ethernet 1
[Router-atm-pvc-atm1/0.1-0/60-to_adsl_a] quit
[Router-atm1/0.1] quit
# 配置PPPoE会话。
[Router] interface virtual-ethernet 1
[Router-Virtual-Ethernet1] pppoe-client dial-bundle-number 1 idle-timeout 120
[Router-Virtual-Ethernet1] quit
# 配置缺省路由。
[Router] ip route-static 0.0.0.0 0.0.0.0 dialer 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!