- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-PPP配置
本章节下载: 01-PPP配置 (759.28 KB)
目 录
1.14.4 在接口下指定为Client端分配的IP地址配置举例
1.14.5 从接口下指定的PPP地址池中分配IP地址配置举例
1.14.6 从ISP域下关联的PPP地址池中分配IP地址配置举例
2.5.2 通过MP-group接口进行MP捆绑配置任务简介
2.9 配置MP-group接口在处理新物理链路加入捆绑时校验Endpoint选项
2.12.1 通过将物理接口直接绑定到VT接口方式进行MP捆绑配置举例
2.12.3 通过将链路绑定到MP-group接口方式进行MP捆绑配置举例
PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。
PPP定义了一整套协议,包括:
· 链路控制协议(Link Control Protocol,LCP):用来建立、拆除和监控数据链路。
· 网络控制协议(Network Control Protocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型。
· 认证协议:用来对用户进行认证,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MSCHAP(Microsoft CHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2)。
PPP链路建立过程如图1-1所示:
(1) PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2) PPP在Establish阶段主要进行LCP协商。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还未建立,还不能够在上面成功传输网络层报文)。
(3) 如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证。如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件。
(4) 如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:IP地址、DNS服务器地址等。)
(5) 到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
图1-1 PPP链路建立过程
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费。
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
CHAP为三次握手协议。
CHAP认证过程分为两种方式:认证方配置了用户名、认证方未配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:
· MSCHAP采用的加密算法是0x80。
· MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:
· MSCHAPv2采用的加密算法是0x81。
· MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。
· MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商。
PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址。
在PPP协商IP地址的过程中,设备可以分为两种角色:
· Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
· Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商。
当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见“用户接入与认证配置指导”中的“AAA”)和接口下的配置,按照如下顺序给Client端分配IP地址:
· 如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置)。
· 如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址。
· 如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址。
设备在进行IPCP协商的过程中可以进行DNS服务器地址协商。设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址。通常情况下:
· 当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;
· 当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。
在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6 DNS服务器地址。
PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能直接协商出IPv6地址。
客户端可以通过如下几种方式分配到IPv6全球单播地址:
· NDRA方式:客户端通过ND协议中的RA报文获得IPv6地址前缀。客户端采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址。RA报文中携带的IPv6地址前缀的来源有三种:AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。三种来源的优先级依次降低,AAA授权的优先级最高。关于ND协议的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
· DHCPv6(IA_NA)方式:客户端通过DHCPv6协议申请IPv6全球单播地址。在服务器端可以通过AAA授权为每个客户端分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给客户端。如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为客户端分配地址。关于DHCPv6协议的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。
· DHCPv6(IA_PD)方式:客户端通过DHCPv6协议申请代理前缀,客户端通过代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
根据组网不同,主机获取IPv6地址的方式如下:
· 当主机通过桥设备或者直连接入设备时,设备可以采用上述的NDRA方式或IA_NA方式直接为主机分配IPv6全球单播地址。
· 当主机通过路由器接入设备时,设备可以采用IA_PD方式为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址。
· NDRA+IA_PD、IA_NA+IA_PD可以根据实际组网需求进行组合使用,以满足多种地址分配方式的需求
在IPv6网络中,IPv6 DNS服务器地址的分配有如下两种方式:
· AAA授权IPv6 DNS服务器地址,通过ND协议中的RA报文将此IPv6 DNS服务器地址分配给主机。
· DHCPv6客户端向DHCPv6服务器申请IPv6 DNS服务器地址。
与PPP相关的协议规范有:
RFC 1661:The Point-to-Point Protocol (PPP)
PPP配置任务如下:
(1) 配置接口封装PPP协议
(2) 配置虚拟模板接口
¡ 创建虚拟模板接口
在PPPoE、L2TP和MP组网中,需要本配置。
¡ (可选)恢复当前虚拟模板接口的缺省配置
(3) 配置PPP认证
请选择以下一项任务进行配置:
¡ 配置PAP认证
在网络安全要求较高的环境下,需要配置PPP认证。
(4) (可选)配置轮询功能
(5) (可选)配置PPP协商参数
¡ 配置ACCM协商
¡ 配置ACFC协商
¡ 配置PFC协商
(6) (可选)配置PPP IPHC压缩功能
在低速链路上,每个语音报文中报文头消耗大部分的带宽。为了减少报文头对带宽的消耗,可以在PPP链路上使用IPHC压缩功能,对报文头进行压缩。
(7) (可选)配置PPP链路质量监测功能
(8) (可选)配置PPP用户的nas-port-type属性
(9) (可选)配置PPP计费统计功能
(10) (可选)配置PPP接入用户日志信息功能
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口封装的链路层协议为PPP。
link-protocol ppp
缺省情况下,除以太网接口、VLAN接口外,其它接口封装的链路层协议均为PPP。
VT(Virtual Template,虚拟模板)是用于配置一个VA(Virtual Access,虚拟访问)接口的模板。在PPPoE、L2TP和MP应用中需要创建一个VA接口与对端交换数据。此时,系统将选择一个VT,以便动态地创建一个VA接口。
在PPPoE和L2TP应用中可借助VT接口来实现PPP协议的相关功能。有关PPPoE和L2TP的相关介绍,请参见“用户接入与认证配置指导”中的“PPPoE”和“L2TP”。
在MP应用中可借助VT接口进行MP捆绑。有关MP的相关介绍,请参见“二层技术-广域网接入配置指导”中的“MP”。
(1) 进入系统视图。
system-view
(2) 创建虚拟模板接口并进入虚拟模板接口视图。
interface virtual-template number
(3) (可选)配置接口的描述信息。
description text
缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可选)配置接口的MTU值。
mtu size
缺省情况下,虚拟模板接口的MTU值为1500字节。
(5) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
(1) 进入系统视图。
system-view
(2) 进入虚拟模板接口视图。
interface virtual-template number
(3) 恢复当前接口的缺省配置。
default
PPP支持的认证方式包括:PAP、CHAP、MSCHAP、MSCHAPv2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。
不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须与被认证方上通过ppp pap local-user命令配置的用户名和密码相同。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地认证对端的方式为PAP。
ppp authentication-mode pap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情况下,PPP协议不进行认证。
(4) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。
ppp pap local-user username password { cipher | simple } string
缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空。
查看配置的密码信息时,无论采用明文或密文加密,密码都将按密文方式显示。
在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。
不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须满足如下要求:
· 用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。
· 密码必须与被认证方上为认证方配置的用户名的密码相同。
在被认证方上,若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码。
不论是在本地还是AAA服务器上为认证方配置的用户名和密码必须满足如下要求:
· 用户名必须与认证方上通过ppp chap user命令配置的认证方的用户名相同。
· 密码必须与认证方上为被认证方配置的用户名的密码相同。
在被认证方上不能通过ppp chap password命令配置进行CHAP认证时采用的密码,否则即使认证方配置了用户名,CHAP仍将按照认证方未配置用户名的情况进行认证。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地认证对端的方式为CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情况下,PPP协议不进行认证。
(4) 配置采用CHAP认证时认证方的用户名。
ppp chap user username
缺省情况下,CHAP认证的用户名为空。
(5) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置采用CHAP认证时被认证方的用户名。
ppp chap user username
缺省情况下,CHAP认证的用户名为空。
(4) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。
不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须满足如下要求:
· 用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。
· 密码必须与被认证方上通过ppp chap password命令配置的密码相同。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地认证对端的方式为CHAP。
ppp authentication-mode chap [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情况下,PPP协议不进行认证。
(4) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置采用CHAP认证时被认证方的用户名。
ppp chap user username
缺省情况下,CHAP认证的用户名为空。
(4) 设置CHAP认证密码。
ppp chap password { cipher | simple } password
缺省情况下,未配置进行CHAP认证时采用的密码。
查看配置的密码信息时,无论采用明文或密文加密,密码都将按密文方式显示。
设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。
L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。
MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
MSCHAPv2认证时不支持为PPP用户配置认证方式为none。
在认证方上,若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码,若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码。不论是在本地还是AAA服务器上为被认证方配置的用户名和密码必须与被认证方上的配置相同。
若认证方配置了用户名,则在被认证方上为认证方配置的用户名必须与认证方上ppp chap user命令配置的用户名相同。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地认证对端的方式为MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情况下,PPP协议不进行认证。
(4) 配置采用MSCHAP或MSCHAPv2认证时认证方的用户名。
ppp chap user username
(5) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地认证对端的方式为MSCHAP或MSCHAPv2。
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain { isp-name | default enable isp-name } ]
缺省情况下,PPP协议不进行认证。
(4) 配置本地AAA认证或者远程AAA认证。
具体配置请参见“用户接入与认证配置指导”中的“AAA”。
PPP协议使用轮询机制来确认链路状态是否正常。
当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内没有收到keepalive报文的应答,链路层会认为对端故障,上报链路层Down。
如果将keepalive报文的发送周期配置为0秒,则本端不主动发送keepalive报文;当本端收到对端主动发送过来的keepalive报文时,仍可以对该keepalive报文进行应答。
在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期内没有收到keepalive报文的应答,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
在MP应用中,仅子通道支持轮询功能,主通道不支持。在主通道上即使配置轮询功能也不会生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口发送keepalive报文的周期。
timer-hold seconds
缺省情况下,接口发送keepalive报文的周期为10秒。
(4) 配置接口在多少个keepalive周期内未收到keepalive报文的应答就拆除链路。
timer-hold retry retry
缺省情况下,接口在5个keepalive周期内未收到keepalive报文的应答就拆除链路。
在PPP协商过程中,如果协商超时时间间隔内未收到对端的应答报文,则PPP将会重发前一次发送的报文。
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延迟时间后,当接口物理层UP时PPP将在延迟时间超时后才会主动进行LCP协商;如果在延迟时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延迟时间超时,而是直接进行LCP协商。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置协商超时时间间隔。
ppp timer negotiate seconds
缺省情况下,协商超时时间间隔为3秒。
(4) (可选)配置LCP协商的延迟时间。
ppp lcp delay milliseconds
缺省情况下,接口物理层UP后,PPP立即进行LCP协商。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 为接口配置IP地址可协商属性。
ip address ppp-negotiate
缺省情况下,接口未配置IP地址可协商属性。
多次执行本命令和ip address命令,最后一次执行的命令生效。关于ip address命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址”。
目前Server端为Client端分配IP地址支持以下三种方式:
· 在接口下指定为Client端分配的IP地址。
· 从接口下指定的地址池(支持PPP地址池和DHCP地址池)中为Client端分配IP地址。
· 从ISP域下关联的地址池(支持PPP地址池和DHCP地址池)中为Client端分配IP地址。
不需要进行PPP认证的PPP用户可以使用在接口下指定为Client端分配的IP地址和从接口下指定的地址池中为Client端分配IP地址两种地址分配方式。同时配置这两种方式,最后一次的配置生效。
需要进行PPP认证的PPP用户可以使用全部的三种方式。同时配置多种方式时,以ISP域下关联的地址池优先,然后是接口下指定为Client端分配的IP地址或者地址池(接口下同时配置这两种方式时,最后一次的配置生效)。
如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池为对端分配IP地址,则系统只会使用PPP地址池来分配IP地址。
当通过PPP地址池给用户分配IP地址时,请确保PPP地址池中不包含该PPP地址池的网关地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口为Client端分配的IP地址。
remote address ip-address
缺省情况下,接口不为Client端分配IP地址。
(4) 配置Server端的IP地址。
ip address ip-address
缺省情况下,接口未配置IP地址。
(1) 进入系统视图。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
(3) (可选)配置PPP地址池的网关地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情况下,未为PPP地址池配置网关地址。
(4) (可选)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情况下,未配置PPP地址池路由。
需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围。
(5) 进入接口视图。
interface interface-type interface-number
(6) 使用PPP地址池为Client端分配IP地址。
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址。
(7) 配置Server端的IP地址。
ip address ip-address
缺省情况下,接口未配置IP地址。
(1) 进入系统视图。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容。
¡ 如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池。
DHCP服务器和DHCP中继的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP服务器”和“DHCP中继”。
(3) 进入接口视图。
interface interface-type interface-number
(4) 使用DHCP地址池为Client端分配IP地址。
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址。
(5) (可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID。
当使用PPP用户名作为DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线。
(6) 配置Server端的IP地址。
ip address ip-address
缺省情况下,接口未配置IP地址。
(1) 进入系统视图。
system-view
(2) 配置PPP地址池。
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
缺省情况下,未配置PPP地址池。
(3) (可选)配置PPP地址池的网关地址。
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
缺省情况下,未为PPP地址池配置网关地址。
(4) (可选)配置PPP地址池路由。
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情况下,未配置PPP地址池路由。
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围。
(5) 进入ISP域视图。
domain name isp-name
(6) 在ISP域下关联PPP地址池为Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下未关联PPP地址池。
本命令的详细介绍请参见“用户接入与认证命令参考”中的“AAA”。
(7) 退回系统视图。
quit
(8) 进入接口视图。
interface interface-type interface-number
(9) 配置Server端的IP地址。
ip address ip-address
缺省情况下,接口未配置IP地址。
(1) 进入系统视图。
system-view
(2) 配置DHCP功能。
¡ 如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容。
¡ 如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池。
DHCP服务器和DHCP中继的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP服务器”和“DHCP中继”。
(3) 进入ISP域视图。
domain name isp-name
(4) 在ISP域下关联DHCP地址池或DHCP中继地址池为Client端分配IP地址。
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下未关联DHCP地址池或DHCP中继地址池。
本命令的详细介绍请参见“用户接入与认证命令参考”中的“AAA”。
(5) 退回系统视图。
quit
(6) 进入接口视图。
interface interface-type interface-number
(7) (可选)配置PPP用户作为DHCP客户端时使用的DHCP客户端ID。
remote address dhcp client-identifier { callingnum | username }
缺省情况下,未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID。
当使用PPP用户名作为DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线。
(8) 配置Server端的IP地址。
ip address ip-address
缺省情况下,接口未配置IP地址。
开启接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。
如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口的IP网段检查功能。
ppp ipcp remote-address match
缺省情况下,接口的IP网段检查功能处于关闭状态。
一般情况下,Client端配置了ppp ipcp dns request命令后,Server端才会为本端指定DNS服务器地址。有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any命令以便可以被动地接收对端指定的DNS服务器地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备主动请求对端指定DNS服务器地址。
ppp ipcp dns request
缺省情况下,禁止设备主动向对端请求DNS服务器地址。
(4) 配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址。
ppp ipcp dns admit-any
缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址。
在配置了ppp ipcp dns request命令的情况下,可以不配置本命令。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备为对端设备指定DNS服务器地址。
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
缺省情况下,设备不为对端设备指定DNS服务器的IP地址。
配置本命令后,Server端不会主动给Client端指定DNS的地址,只有收到Client端的请求后,Server端才会为对端指定DNS服务器地址。
在异步链路上需要使用到异步控制字符,如果在载荷中存在与异步控制字符相同的字符,则需要进行字符转义,避免异步链路将载荷当成异步控制字符处理。每个异步控制字符的长度为1字节,转义后长度就变为2字节,转义后的异步控制字符占用的带宽增加了,将减少有效载荷。
ACCM协商选项用来和对端协商哪些异步控制字符需要转义,哪些异步控制字符不需要转义的。ACCM字段长32比特,每个比特从左到右按1、2、3、…、32进行编号,每个比特编号对应一个具有相同值的异步控制字符。如果这个比特的值为0,那么对应的异步控制字符不需要进行转义;如果这个比特的值为1,那么对应的异步控制字符就需要进行转义。例如,当19比特的值为0时,对应的19号异步控制字符(DC3,Control-S)将被直接发送,不需要进行转义。
ACCM协商在LCP协商阶段进行。当ACCM协商通过后,对端发送报文时将按照此异步控制字符映射表进行异步控制字符转义。
在低速链路上,为了减少异步控制字符占用的带宽,增加有效载荷,建议将ACCM协商选项的值配置为0x0,即不进行转义。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置ACCM字段的值。
ppp accm hex-number
缺省情况下,ACCM字段的值为0x000A0000。
ACCM协商选项只有在异步链路上才会生效。
缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,就可以对这两个字段进行压缩。
ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文。
ACFC协商在LCP协商阶段进行,对于LCP报文不进行地址字段和控制字段压缩,以确保LCP协商过程顺利进行。当LCP协商通过后,对于发送的非LCP报文将进行地址字段和控制字段压缩,以增加链路的有效载荷。
建议在低速链路上配置本功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项。
ppp acfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项。
ppp acfc remote-reject
缺省情况下,接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩。
缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型。
PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文。
PFC协商在LCP协商阶段进行,对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行。当LCP协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷。
建议在低速链路上配置本功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项。
ppp pfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项。
ppp pfc remote-reject
缺省情况下,接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩。
IPHC(IP Header Compression,IP报文头压缩)协议主要应用于低速链路上的语音通信。
在低速链路上,每个语音报文中报文头消耗大部分的带宽。为了减少报文头对带宽的消耗,可以在PPP链路上使用IPHC压缩功能,对报文头进行压缩。
IPHC压缩分为如下两种:
· RTP头压缩:对报文中的RTP/UDP/IP头(长度共40字节)进行压缩。
· TCP头压缩:对报文中的TCP/IP头(长度共40字节)进行压缩。
用户必须在链路的两端同时开启IPHC压缩功能,该功能才生效。
在虚拟模板接口、Dialer接口上开启/关闭IPHC压缩功能时,配置不会立即生效,只有对此接口或者其绑定的物理接口依次进行shutdown和undo shutdown操作后,配置才能生效。
只有在开启IPHC压缩功能后,才能配置接口上允许进行RTP头/TCP头压缩的最大连接数,并且需要对接口依次进行shutdown和undo shutdown操作后,配置才能生效。在关闭IPHC压缩功能后,配置将被清除。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启PPP IPHC压缩功能。
ppp compression iphc enable [ nonstandard ]
缺省情况下,IPHC压缩功能处于关闭状态。
与非H3C设备互通时需要配置nonstandard参数。
配置nonstandard参数后,仅支持RTP头压缩,不支持TCP头压缩。
(4) 配置接口上允许进行RTP头压缩的最大连接数。
ppp compression iphc rtp-connections number
缺省情况下,接口上允许进行RTP头压缩的最大连接数为16。
(5) 配置接口上允许进行TCP头压缩的最大连接数。
ppp compression iphc tcp-connections number
缺省情况下,接口上允许进行TCP头压缩的最大连接数为16。
PPP链路质量监测功能可以实时对PPP链路(包括绑定在MP中的PPP链路)的通信质量(丢包率和错包率)进行监测。
在未配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
当在PPP链路两端同时开启链路质量监测功能时,两端设备的参数必须相等。不建议在链路两端同时开启链路质量监测功能。
不建议在拨号线路上开启PPP链路质量监测功能。当在拨号线路上开启链路质量监测功能后,由于拨号线路的特点,一旦链路被禁用,DDR模块就会把拨号线路挂断,因此链路质量监测就不能正常的运行。只有当有数据需要传输时,DDR模块把拨号线路重新呼起,链路质量监测功能才能恢复正常。
本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启PPP链路质量监测功能。
ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]
缺省情况下,PPP链路质量监测功能处于关闭状态。
(4) 配置当链路质量检测功能检测到链路质量低时向对端发送LCP echo报文。
ppp lqm lcp-echo [ packet size ] [ interval interval ]
缺省情况下,链路质量检测功能检测到链路质量低时不向对端发送LCP echo报文。
为避免由大字节报文丢失导致链路质量低下时的链路动荡,当开启PPP链路质量监测功能时,可以通过配置本命令,在监测到链路质量低的时候向PPP链路对端定期发送大字节LCP echo报文进行检测。
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入虚拟模板接口视图。
interface virtual-template number
(3) 配置接口的nas-port-type属性。
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定:
¡ 如果是PPPoE业务,nas-port-type属性为ethernet。
¡ 如果是L2TP业务,nas-port-type属性为virtual。
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启PPP计费统计功能。
ppp account-statistics enable [ acl { acl-number | name acl-name } ]
缺省情况下,PPP计费统计功能处于关闭状态。
PPP接入用户日志是为了满足网络管理员维护的需要,对用户的上线、下线、上线失败的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的PPP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
为了防止设备输出过多的PPP日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启PPP接入用户日志信息功能。
ppp access-user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
缺省情况下,PPP接入用户日志信息功能处于关闭状态。
display ppp access-user { domain domain-name | interface interface-type interface-number [ count ] | ip-address ipv4-address | ipv6-address ipv6-address | username user-name | user-type { lac | lns | pppoe } [ count ] }
· 显示PPP地址池的信息。
display ip pool [ pool-name | group group-name ]
· 显示虚拟模板接口的相关信息。
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ]
· 显示虚拟访问接口的相关信息。
display interface [ virtual-access [ interface-number ] ] [ brief [ description | down ] ]
可在任意视图下执行以下命令,显示IPHC压缩的统计信息。
display ppp compression iphc { rtp | tcp } [ interface interface-type interface-number ]
请在用户视图下执行以下命令,清除IPHC压缩的统计信息。
reset ppp compression iphc [ rtp | tcp ] [ interface interface-type interface-number ]
可在任意视图下执行以下命令,显示PPP的协商报文统计信息。
display ppp packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除PPP的协商报文统计信息。
reset ppp packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除VA接口的统计信息。
reset counters interface [ virtual-access [ interface-number ] ]
请在用户视图下执行以下命令,强制PPP用户下线。
reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | username user-name }
如图1-2所示,Router A和Router B之间用接口Serial0/2/0互连,要求Router A用PAP方式认证Router B,Router B不需要对Router A进行认证。
图1-2 配置PAP单向认证组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb class network
# 设置本地用户的密码。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial0/2/0] ppp authentication-mode pap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口Serial0/2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-Serial0/2/0] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP: opened, IPCP: opened
…略…
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
如图1-3所示,Router A和Router B之间用接口Serial0/2/0互连,要求Router A和Router B用PAP方式相互认证对方。
图1-3 配置PAP双向认证组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb class network
# 设置本地用户的密码。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial0/2/0] ppp authentication-mode pap domain system
# 配置本地被Router B以PAP方式认证时Router A发送的PAP用户名和密码。
[RouterA-Serial0/2/0] ppp pap local-user usera password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera class network
# 设置本地用户的密码。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置本地认证Router A的方式为PAP。
[RouterB-Serial0/2/0] ppp authentication-mode pap domain system
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
[RouterB-Serial0/2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain name system
[RouterB-isp-system] authentication ppp local
通过display interface serial命令,查看接口Serial0/2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-isp-system] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-isp-system] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在下图中,要求设备Router A用CHAP方式认证设备Router B。
图1-4 配置CHAP单向认证组网图
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb class network
# 设置本地用户的密码。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
# 配置采用CHAP认证时Router A的用户名。
[RouterA-Serial0/2/0] ppp chap user usera
# 配置本地认证Router B的方式为CHAP。
[RouterA-Serial0/2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera class network
# 设置本地用户的密码。
[RouterB-luser-network-usera] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterB-luser-network-usera] service-type ppp
[RouterB-luser-network-usera] quit
# 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
# 配置采用CHAP认证时Router B的用户名。
[RouterB-Serial0/2/0] ppp chap user userb
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
(1) 配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb class network
# 设置本地用户的密码。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 配置本地认证Router B的方式为CHAP。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
[RouterA-Serial0/2/0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain name system
[RouterA-isp-system] authentication ppp local
(2) 配置Router B
# 配置采用CHAP认证时Router B的用户名。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ppp chap user userb
# 设置缺省的CHAP认证密码。
[RouterB-Serial0/2/0] ppp chap password simple 123456TESTplat&!
# 配置接口的IP地址。
[RouterB-Serial0/2/0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口Serial0/2/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-Serial0/2/0] display interface serial 0/2/0
Serial0/2/0
Current state: UP
Line protocol state: UP
Description: Serial0/2/0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Internet address: 200.1.1.2/16 (primary)
Link layer protocol: PPP
LCP opened, IPCP opened
…略…
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通过PPP协商,为Router B的接口Serial0/2/0分配IP地址。
要求Router A用接口下指定的IP地址为Router B分配IP地址。
图1-5 在接口下指定为Client端分配的IP地址组网图
(1) 配置Router A
# 配置接口Serial0/2/0为Router B的接口分配的IP地址。
<RouterA> system-view
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] remote address 200.1.1.10
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial0/2/0通过协商获取IP地址。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成后,查看设备Router B的接口Serial0/2/0的概要信息,可见接口Serial0/2/0通过PPP协商获取的IP地址为200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
Router A通过PPP协商,为Router B的接口Serial0/2/0分配IP地址。
要求Router A从接口下指定的PPP地址池中分配IP地址。
图1-6 从接口下指定的PPP地址池中分配IP地址组网图
(1) 配置Router A
# 配置PPP地址池aaa,IP地址范围为200.1.1.10到200.1.1.20,PPP地址池所在的组为AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 配置接口Serial0/2/0使用PPP地址池为Router B的接口分配IP地址。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] remote address pool aaa
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置接口Serial0/2/0通过协商获取IP地址。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成后,查看设备Router B的接口Serial0/2/0的概要信息,可见接口Serial0/2/0通过PPP协商获取的IP地址为200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一个地址。
[RouterA-Serial0/2/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser0/2/0
Router A通过PPP协商,为Router B的接口Serial0/2/0分配IP地址。
要求Router A从ISP域下关联的PPP地址池中分配IP地址。
图1-7 从ISP域下关联的PPP地址池中分配IP地址组网图
(1) 配置Router A
# 配置PPP地址池aaa,IP地址范围为200.1.1.10到200.1.1.20,PPP地址池所在的组为AAA。
<RouterA> system-view
[RouterA] ip pool aaa 200.1.1.10 200.1.1.20 group AAA
# 配置PPP地址池路由。
[RouterA] ppp ip-pool route 200.1.1.1 24
# 为Router B创建本地用户。
[RouterA] local-user userb class network
# 设置本地用户的密码。
[RouterA-luser-network-userb] password simple 123456TESTplat&!
# 设置本地用户的服务类型为PPP。
[RouterA-luser-network-userb] service-type ppp
[RouterA-luser-network-userb] quit
# 创建ISP域,并在ISP域下关联PPP地址池。
[RouterA] domain name bbb
[RouterA-isp-bbb] authorization-attribute ip-pool aaa
[RouterA-isp-bbb] quit
# 配置接口Serial0/2/0在ISP域bbb中采用PAP方式认证Router B。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] ppp authentication-mode pap domain bbb
# 配置接口Serial0/2/0的IP地址。
[RouterA-Serial0/2/0] ip address 200.1.1.1 16
(2) 配置Router B
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
<RouterB> system-view
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
# 配置接口Serial0/2/0通过协商获取IP地址。
[RouterB-Serial0/2/0] ip address ppp-negotiate
配置完成后,查看设备Router B的接口Serial0/2/0的概要信息,可见接口Serial0/2/0通过PPP协商获取的IP地址为200.1.1.10。
[RouterB-Serial0/2/0] display interface serial 0/2/0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Ser0/2/0 UP UP 200.1.1.10
在Router B上可以Ping通Router A的Serial0/2/0接口。
[RouterB-Serial0/2/0] ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=128 time=3.197 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=128 time=2.594 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=128 time=2.739 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=128 time=1.738 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=128 time=1.744 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.738/2.402/3.197/0.576 ms
在Router A上可以看到PPP地址池中已分配一个地址。
[RouterA-Serial0/2/0] display ip pool aaa
Group name: AAA
Pool name Start IP address End IP address Free In use
aaa 200.1.1.10 200.1.1.20 10 1
In use IP addresses:
IP address Interface
200.1.1.10 Ser0/2/0
MP是MultiLink PPP的缩写,是基于增加带宽的考虑,将多个PPP通道捆绑成一条逻辑链路使用而产生的。MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到对端,对端将这些分片组装起来传递给网络层处理。
MP主要是增加带宽的作用,除此之外,MP还有负载分担的作用,这里的负载分担是链路层的负载分担;负载分担从另外一个角度解释就有了备份的作用。同时,MP的分片可以起到减小传输时延的作用,特别是在一些低速链路上。
综上所述,MP的作用主要有以下几个:
· 增加带宽
· 负载分担
· 备份
· 利用分片降低时延
MP能在任何支持PPP封装的接口下工作,如串口,也包括支持PPPoE虚拟接口,建议用户将同一类的接口捆绑使用,不要将不同类的接口捆绑使用。
不支持跨业务板进行MP捆绑。支持跨接口卡进行MP捆绑。
MP配置任务如下:
(1) 配置MP
请选择以下一项任务进行配置。
(2) (可选)配置DDR链路的MP参数
(3) (可选)配置MP短序协商方式
(4) (可选)配置MP Endpoint选项
(5) (可选)配置MP-group接口在处理新物理链路加入捆绑时校验Endpoint选项
(6) (可选)配置链路分片与交叉
VT是用于配置一个VA(Virtual Access,虚拟访问)接口的模板。将多个PPP链路捆绑成MP链路之后,需要创建一个VA接口与对端交换数据。此时,系统将选择一个VT,以便动态地创建一个VA接口。
虚拟模板接口配置方式可以与认证相结合,可以根据对端的用户名找到指定的虚拟模板接口,从而利用模板上的配置,创建相应的捆绑(Bundle),以对应一条MP链路。
由一个虚拟模板接口可以派生出若干个捆绑,每个捆绑对应一条MP链路。从网络层看来,这若干条MP链路会形成一个点对多点的网络拓扑。系统可以根据接口接收到的认证用户名或终端标识符来进行MP捆绑,并以此来区分虚模板接口下的多个捆绑(对应多条MP链路)。
系统支持3种绑定方式:
· authentication:根据PPP的认证用户名进行MP捆绑,每个认证用户名对应一个捆绑。认证用户名是指PPP链路进行PAP、CHAP、MSCHAP或MSCHAPv2认证时所接收到的对端用户名。
· descriptor:根据PPP的终端标识符进行MP捆绑,每个终端标识符对应一个捆绑。终端标识符是用来唯一标识一台设备的标志,是指进行LCP协商时所接收到的对端终端标识符。
· both:同时根据PPP的认证用户名和终端标识符进行MP捆绑。
实际使用中也可以配置单向认证,即一端直接将物理接口绑定到虚拟模板接口,另一端则通过用户名查找虚拟模板接口。
不推荐使用同一个虚拟模板接口配置多种业务(如MP、L2TP、PPPoE等)。
通过虚拟模板接口配置MP配置任务如下:
(1) 创建虚拟模板接口
(3) (可选)配置MP参数
(1) 进入系统视图。
system-view
(2) 创建虚拟模板接口并进入虚拟模板接口视图。
interface virtual-template number
(3) (可选)配置接口的描述信息。
description text
缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface。
(4) (可选)配置接口的MTU值。
mtu size
缺省情况下,接口的MTU值为1500字节。
(5) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。
通过虚拟模板接口配置MP时,支持如下两种配置方式:
· 将物理接口与虚拟模板接口直接关联:使用命令ppp mp virtual-template直接将链路绑定到指定的虚拟模板接口上,这时可以配置认证也可以不配置认证。如果不配置认证,系统将通过对端的终端标识符捆绑出MP链路;如果配置了认证,系统将通过用户名和对端的终端标识符捆绑出MP链路。
· 将用户名与虚拟模板接口关联:根据认证通过后的用户名查找相关联的虚拟模板接口,然后根据用户名和对端终端标识符捆绑出MP链路。这种方式需在要绑定的接口下配置ppp mp及双向认证(PAP、CHAP、MSCHAP或MSCHAPv2),否则链路协商不通。
针对同一接口多次执行ppp mp命令和ppp mp virtual-template命令,最后一次执行的命令生效。即同一个接口只能采用一种配置方式。
对于需要绑在一起的接口,必须采用同样的配置方式。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口所要绑定的虚拟模板接口号,并使接口工作在MP方式。
ppp mp virtual-template number
缺省情况下,接口未绑定虚拟模板接口,接口工作在普通PPP方式。
(4) (可选)在接口下配置PPP认证。
具体配置请参见“配置PPP认证”。
PPP认证对MP连接的建立没有影响。
(1) 进入系统视图。
system-view
(2) 建立虚拟模板接口与MP用户的对应关系。
ppp mp user username bind virtual-template number
缺省情况下,虚拟模板接口未与MP用户进行绑定。
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置封装PPP的接口工作在MP方式。
ppp mp
缺省情况下,封装PPP的接口工作在普通PPP方式。
(5) 在接口下配置PPP认证。
具体配置请参见“配置PPP认证”。
(1) 进入系统视图。
system-view
(2) 进入虚拟模板接口视图。
interface virtual-template number
(3) 配置MP捆绑的条件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情况下,同时根据PPP的认证用户名和终端标识符进行MP捆绑。
(4) (可选)配置MP最大捆绑链路数。
ppp mp max-bind max-bind-num
缺省情况下,最大捆绑链路数为16。
(5) (可选)配置对MP报文进行分片的最小报文长度。
ppp mp min-fragment size
缺省情况下,对MP报文进行分片的最小报文长度为128字节。
(6) (可选)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情况下,MP排序窗口大小系数为1。
(7) (可选)配置MP等待期望分片报文的时间。
ppp mp timer lost-fragment seconds
缺省情况下,MP等待期望分片报文的时间为30秒。
(8) (可选)关闭MP报文分片功能。
ppp mp fragment disable
缺省情况下,MP报文分片功能处于开启状态。
关闭MP报文分片功能后,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(9) (可选)开启MP报文快转功能。
ppp mp fast-forward enable
缺省情况下,MP报文快转功能处于关闭状态。
开启MP报文快转功能后,接口的ppp mp fragment disable命令或undo ppp mp fragment disable命令功能不再起作用。
MP-group接口是MP的专用接口,不支持其它应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。与虚拟模板接口配置方式相比,MP-group接口配置方式更加快速高效、配置简单、容易理解。
通过MP-group接口配置MP配置任务如下:
(1) 创建MP-group接口
(3) (可选)配置MP参数
(4) (可选)恢复当前MP-group接口的缺省配置
(1) 进入系统视图。
system-view
(2) 创建MP-group接口并进入MP-group接口视图。
interface mp-group mp-number
(3) (可选)配置接口的描述信息。
description text
缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:MP-group0/0/1 Interface。
(4) (可选)配置接口的MTU值。
mtu size
缺省情况下,接口的MTU值为1500字节。
(5) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。
(6) (可选)打开接口。
undo shutdown
缺省情况下,接口处于打开状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 将接口加入指定的MP-group接口,使接口工作在MP方式。
ppp mp mp-group mp-number
缺省情况下,接口工作在普通PPP方式。
(1) 进入系统视图。
system-view
(2) 进入MP-group接口视图。
interface mp-group mp-number
(3) (可选)配置MP最大捆绑链路数。
ppp mp max-bind max-bind-num
缺省情况下,最大捆绑链路数为16。
本配置不能立即生效,必须对所有已捆绑的物理接口依次执行shutdown和undo shutdown之后改变才会生效。
(4) (可选)配置对MP报文进行分片的最小报文长度。
ppp mp min-fragment size
缺省情况下,对MP报文进行分片的最小报文长度为128字节。
(5) (可选)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情况下,MP排序窗口大小系数为1。
(6) (可选)配置MP等待期望分片报文的时间。
ppp mp timer lost-fragment seconds
缺省情况下,MP不启动等待期望分片报文的定时器。
(7) (可选)关闭MP报文分片功能。
ppp mp fragment disable
缺省情况下,MP报文分片功能处于开启状态。
关闭MP报文分片功能命令后,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(8) (可选)配置MP使用严格负载分担模式。
ppp mp load-sharing mode strict-round-robin
缺省情况下,MP使用智能负载分担模式。
(9) (可选)开启MP报文快转功能。
ppp mp fast-forward enable
缺省情况下,MP报文快转功能处于关闭状态。
开启MP报文快转功能后,接口的ppp mp fragment disable命令或undo ppp mp fragment disable命令功能不再起作用。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
(1) 进入系统视图。
system-view
(2) 进入MP-group接口视图。
interface mp-group mp-number
(3) 恢复当前接口的缺省配置。
default
配置DDR链路的MP捆绑的详细介绍,请参见“二层技术-广域网接入配置指导”中的“DDR”。
(1) 进入系统视图。
system-view
(2) 进入Dialer接口视图。
interface dialer number
(3) 配置MP捆绑的条件。
ppp mp binding-mode { authentication | both | descriptor }
缺省情况下,同时根据PPP的认证用户名和终端标识符进行MP捆绑。
(4) (可选)配置MP最大捆绑链路数。
ppp mp max-bind max-bind-num
缺省情况下,最大捆绑链路数为16。
(5) (可选)配置MP最小捆绑链路数。
ppp mp min-bind min-bind-num
缺省情况下,最小捆绑链路数为0,即MP拨号将依赖流量检测。
本命令配置的最小捆绑链路数应该小于等于ppp mp max-bind命令配置的最大捆绑链路数。
(6) (可选)配置对MP报文进行分片的最小报文长度。
ppp mp min-fragment size
缺省情况下,对MP报文进行分片的最小报文长度为128字节。
(7) (可选)配置MP排序窗口的大小。
ppp mp sort-buffer-size size
缺省情况下,MP排序窗口大小系数为1。
(8) (可选)配置MP等待期望分片报文的时间。
ppp mp timer lost-fragment seconds
缺省情况下,MP等待期望分片报文的时间为30秒。
(9) (可选)关闭MP报文分片功能。
ppp mp fragment disable
缺省情况下,MP报文分片功能处于开启状态。
关闭MP报文分片功能后,接口的ppp mp lfi enable、ppp mp min-fragment命令不再起作用。
(10) (可选)开启MP报文快转功能。
ppp mp fast-forward enable
缺省情况下,MP报文快转功能处于关闭状态。
开启MP报文快转功能后,接口的ppp mp fragment disable命令或undo ppp mp fragment disable命令功能不再起作用。
MP捆绑在收发报文时默认使用长序协商方式。其中,长序、短序是指报文序号的长短。
配置触发MP短序协商仅对配置端接收方向生效,即:
· 如果本端想使用短序方式接收报文,则需要在本端配置触发MP短序协商,之后在协商LCP的过程本端将添加短序请求,请求对端发送短序,协商通过后,对端使用短序方式发送报文,本端使用短序方式接收报文。
· 如果本端想使用短序方式发送报文,则需要对端配置触发MP短序协商,协商通过后,本端使用短序方式发送报文,对端使用短序方式接收报文。
MP捆绑使用的长短序方式由第一条加入该捆绑中的子通道决定,后续加入捆绑的子通道配置不能更改MP捆绑的长短序方式。
如果想使用MP短序协商,对于拨号MP,建议在Dialer接口及ISDN的D信道下均配置触发MP短序协商;对于普通MP,建议在所有的MP子通道下配置触发MP短序协商。
配置触发MP短序协商会导致当前接口进行PPP重协商。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 触发MP短序协商,协商成功后本端接收方向将使用短序。
ppp mp short-sequence
缺省情况下,不触发短序协商,使用长序。
在MP的LCP协商过程会协商Endpoint选项(终端标识符)值:
· 在通过虚拟模板接口配置MP时,会根据Endpoint选项值来进行MP捆绑,即收到相同对端Endpoint的物理链路可以加入到同一捆绑链路中。如果用户不希望物理接口发送缺省的Endpoint选项值,可以通过配置修改发送的Endpoint选项值。
· 在通过MP-group接口配置MP时,缺省情况下不根据Endpoint选项值来进行MP捆绑;配置了ppp mp endpoint check命令后,会根据Endpoint选项值来进行MP捆绑,即收到相同对端Endpoint的物理链路可以加入到同一捆绑链路中。如果用户不希望物理接口发送缺省的Endpoint选项值,可以通过配置修改发送的Endpoint选项值。
由于Endpoint选项内容最长为20字节,如果内容超过20个字节,则截取前20个字节作为Endpoint选项内容。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置当前接口在MP应用时,LCP协商的Endpoint选项内容。
ppp mp endpoint endpoint
缺省情况下:
¡ 通过虚拟接口进行MP捆绑时:
- 如果采用将物理接口与虚拟模板接口直接关联的配置方式,则接口在LCP协商时发送的Endpoint选项值为“8位随机数-VT接口编号”。
- 如果采用将用户名与虚拟模板接口关联的配置方式,则接口在LCP协商时发送的Endpoint选项值为设备名称。
¡ 通过MP-group接口进行MP捆绑时,接口在LCP协商时发送的Endpoint选项值为“8位随机数-MP-group接口编号”。
缺省情况下,对于加入同一MP-group接口的不同物理接口,即使它们收到的对端Endpoint选项值不同,也能加入到同一MP捆绑链路中。此机制使得Endpoint选项值实际上不能影响MP-group接口下物理链路的捆绑结果。
如需修改设备有关Endpoint选项的行为,需要配置MP-group接口在处理新物理链路加入捆绑时校验Endpoint选项,使得物理链路是否可以加入捆绑链路受Endpoint选项值的影响。
配置ppp mp endpoint check命令后,非首个物理接口加入MP-group接口时,该物理接口收到的对端Endpoint选项值,需要与首个加入MP-group接口的物理接口收到的对端Endpoint选项值相同,该物理接口的链路才能加入MP-group对应的捆绑链路,否则不允许加入捆绑链路。此机制确保了捆绑链路内所有物理链路收到的对端Endpoint选项值都相同,实现了基于Endpoint选项的捆绑链路一致性。
MP-group接口在首个物理接口加入时,不会基于Endpoint选项值进行校验,直接允许加入捆绑链路。
配置本功能时,如果MP-group接口中已有物理接口加入,则本功能直到所有物理接口都退出MP-group接口后才能生效。即校验机制只能从还没有物理接口加入MP-group接口时开始或停止运行。
(1) 进入系统视图。
system-view
(2) 进入MP-group接口视图。
interface mp-group mp-number
(3) 配置MP-group接口在处理新物理链路加入捆绑时校验Endpoint选项。
ppp mp endpoint check
缺省情况下,MP-group接口在处理新物理链路加入捆绑时不校验Endpoint选项。
在低速串行链路上,实时交互式通信(如Telnet和VoIP)往往会由于大型分组的发送而导致阻塞延迟。
LFI(Link Fragmentation and Interleaving,链路分片与交叉)将大型数据帧分割成小型帧,与其它小片的报文一起发送,从而减少在低速链路上的延迟和抖动。被分割的数据帧在目的地被重组。
图2-1描述了LFI的处理过程。大报文和小的语音报文一起到达某个接口,将大报文分割成小的分片,如果在接口配置了WFQ(Weighted Fair Queuing,加权公平队列),语音包与这些小的分片一起交叉放入WFQ。
图2-1 LFI的处理过程
开启LFI功能后,LFI最大分片大小由LFI分片的最大时延(通过ppp mp lfi delay-per-frag命令配置)和LFI分片的最大字节数(通过ppp mp lfi size-per-frag命令配置)决定:
· 如果配置了LFI分片的最大字节数,LFI最大分片大小就是该最大字节数。
· 如果配置了LFI分片的最大时延,未配置LFI分片的最大字节数,则LFI最大分片大小通过接口的期望带宽和配置的最大时延计算得出:LFI最大分片大小=(接口的期望带宽×最大时延)÷8。
(1) 进入系统视图。
system-view
(2) 进入虚拟模板接口视图、MP-group接口视图或Dialer接口视图。
interface { dialer | mp-group | virtual-template } mp-number
(3) 开启LFI功能。
ppp mp lfi enable
缺省情况下,LFI功能处于关闭状态。
关闭LFI功能会同时删除用户配置的LFI分片的最大时延或LFI分片的最大字节数。
(4) 配置传输一个LFI分片的最大时延或LFI分片的最大字节数。
¡ 配置传输一个LFI分片的最大时延。
ppp mp lfi delay-per-frag time
缺省情况下,传输一个LFI分片的最大时延为10ms。
¡ 配置LFI分片的最大字节数。
ppp mp lfi size-per-frag size
缺省情况下,最大分片大小=(接口的期望带宽×最大时延)÷8。
可在任意视图下执行以下命令,显示MP-group接口的相关信息。
display interface [ mp-group [ interface-number ] ] [ brief [ description | down ] ]
可在任意视图下执行以下命令,显示MP的相关信息。
display ppp mp [ interface interface-type interface-number ]
请在用户视图下执行以下命令,清除MP-group接口的统计信息。
reset counters interface [ mp-group [ interface-number ] ]
设备Router A和Router B的Serial0/2/1和Serial0/2/0分别对应连接。要求通过将物理接口直接绑定到VT接口方式进行MP捆绑。
图2-2 通过将物理接口直接绑定到VT接口方式进行MP捆绑组网图
(1) 配置Router A
# 创建虚拟模板接口,配置相应的IP地址。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp mp virtual-template 1
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp mp virtual-template 1
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 创建虚拟模板接口,配置相应的IP地址。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp mp virtual-template 1
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp mp virtual-template 1
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看绑定结果
# 查看MP的相关信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle RouterB
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 07:13:10:723
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 07:13:10:724
Serial0/2/0 Up-Time:2013/01/10 07:13:11:945
# 查看VA状态。
[RouterA] display interface virtual-access
Virtual-Access0
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 128kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 128000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
(2) 在Router B上ping对端IP地址8.1.1.1
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.000/4.000/1.549 ms
设备Router A和Router B的Serial0/2/1和Serial0/2/0分别对应连接。要求通过按用户名找VT方式进行MP捆绑。
图2-3 通过按用户名找VT方式进行MP捆绑组网图
(1) 配置Router A
# 配置对端设备Router B在Router A上的用户名和密码。
<RouterA> system-view
[RouterA] local-user usera class network
[RouterA-luser-network-usera] password simple 123456TESTplat&!
[RouterA-luser-network-usera] service-type ppp
[RouterA-luser-network-usera] quit
# 指定用户对应的VT。
[RouterA] ppp mp user usera bind virtual-template 1
# 创建VT,配置相应的IP地址。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ip address 8.1.1.1 24
[RouterA-Virtual-Template1] ppp mp binding-mode authentication
[RouterA-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp authentication-mode pap
[RouterA-Serial0/2/1] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial0/2/1] ppp mp
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp authentication-mode pap
[RouterA-Serial0/2/0] ppp pap local-user userb password simple 123456TESTplat&!
[RouterA-Serial0/2/0] ppp mp
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 配置对端设备Router A在Router B上的用户名和密码。
<RouterB> system-view
[RouterB] local-user userb class network
[RouterB-luser-network-userb] password simple 123456TESTplat&!
[RouterB-luser-network-userb] service-type ppp
[RouterB-luser-network-userb] quit
# 指定用户对应的VT。
[RouterB] ppp mp user userb bind virtual-template 1
# 创建VT,配置相应的IP地址。
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ip address 8.1.1.2 24
[RouterB-Virtual-Template1] ppp mp binding-mode authentication
[RouterB-Virtual-Template1] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp authentication-mode pap
[RouterB-Serial0/2/1] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial0/2/1] ppp mp
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp authentication-mode pap
[RouterB-Serial0/2/0] ppp pap local-user usera password simple 123456TESTplat&!
[RouterB-Serial0/2/0] ppp mp
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看绑定效果
# 查看MP的相关信息。
[RouterA] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle usera
Peer's endPoint descriptor: RouterB
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 08:02:34:881
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 08:02:34:881
Serial0/2/0 Up-Time:2013/01/10 08:06:26:634
(2) 在Router B上查看绑定效果
# 查看MP的相关信息。
[RouterB] display ppp mp
Template: Virtual-Template1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: Virtual-Access0, Active members: 2, Bundle userb
Peer's endPoint descriptor: RouterA
Sequence format: long (rcv)/long (sent)
Bundle Up Time: 2013/01/10 12:31:13:391
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcv)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2013/01/10 12:31:13:392
Serial0/2/0 Up-Time:2013/01/10 12:35:05:892
# 查看VA状态。
[RouterB] display interface virtual-access
Virtual-Access2
Current state: UP
Line protocol state: UP
Description: Virtual-Access0 Interface
Bandwidth: 64kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 8.1.1.2/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 64000 bps
Main interface: Virtual-Template1
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在Router B上ping对端IP地址8.1.1.1。
[RouterB] ping 8.1.1.1
Ping 8.1.1.1 (8.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 8.1.1.1: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 8.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 8.1.1.1: icmp_seq=4 ttl=255 time=0.000 ms
--- Ping statistics for 8.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.400/1.000/0.490 ms
设备Router A和Router B的Serial0/2/1和Serial0/2/0分别对应连接。要求通过将链路绑定到MP-group接口方式进行MP捆绑。
图2-4 通过将链路绑定到MP-group接口方式进行MP捆绑组网图
(1) 配置Router A
# 创建MP-group接口,配置相应的IP地址。
<RouterA> system-view
[RouterA] interface mp-group 0/0/1
[RouterA-MP-group0/0/1] ip address 1.1.1.1 24
# 配置串口Serial0/2/1。
[RouterA-MP-group0/0/1] quit
[RouterA] interface serial 0/2/1
[RouterA-Serial0/2/1] link-protocol ppp
[RouterA-Serial0/2/1] ppp mp mp-group 0/0/1
[RouterA-Serial0/2/1] shutdown
[RouterA-Serial0/2/1] undo shutdown
[RouterA-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterA] interface serial 0/2/0
[RouterA-Serial0/2/0] link-protocol ppp
[RouterA-Serial0/2/0] ppp mp mp-group 0/0/1
[RouterA-Serial0/2/0] shutdown
[RouterA-Serial0/2/0] undo shutdown
[RouterA-Serial0/2/0] quit
(2) 配置Router B
# 创建MP-group接口,配置相应的IP地址。
[RouterB] interface mp-group 0/0/1
[RouterB-MP-group2/0/0] ip address 1.1.1.2 24
[RouterB-MP-group2/0/0] quit
# 配置串口Serial0/2/1。
[RouterB] interface serial 0/2/1
[RouterB-Serial0/2/1] link-protocol ppp
[RouterB-Serial0/2/1] ppp mp mp-group 0/0/1
[RouterB-Serial0/2/1] shutdown
[RouterB-Serial0/2/1] undo shutdown
[RouterB-Serial0/2/1] quit
# 配置串口Serial0/2/0。
[RouterB] interface serial 0/2/0
[RouterB-Serial0/2/0] link-protocol ppp
[RouterB-Serial0/2/0] ppp mp mp-group 0/0/1
[RouterB-Serial0/2/0] shutdown
[RouterB-Serial0/2/0] undo shutdown
[RouterB-Serial0/2/0] quit
(1) 在Router A上查看绑定效果
# 查看MP的相关信息。
[RouterA] display ppp mp
Template: MP-group0/0/1
max-bind: 16, fragment: enabled, min-fragment: 128
Master link: MP-group0/0/1, Active members: 2, Bundle Multilink
Peer's endPoint descriptor: MP-group0/0/1
Sequence format: short (rcv)/long (sent)
Bundle Up Time: 2012/11/04 09:03:16:612
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved
Sequence: 0 (rcvd)/0 (sent)
Active member channels: 2 members
Serial0/2/1 Up-Time:2012/11/04 09:03:16:613
Serial0/2/0 Up-Time:2012/11/04 09:03:42:945
# 查看MP-group0/0/1接口的相关信息。
[RouterA] display interface mp-group 0/0/1
MP-group0/0/1
Current state: UP
Line protocol state: UP
Description: MP-group0/0/1 Interface
Bandwidth: 2048kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 1.1.1.1/24 (primary)
Link layer protocol: PPP
LCP: opened, MP: opened, IPCP: opened
Physical: MP, baudrate: 2048000 bps
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last link flapping: Never
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 2 packets, 80 bytes, 0 drops
Output: 2 packets, 24 bytes, 0 drops
# 在RouterA上ping对端IP地址。
[RouterA] ping 1.1.1.2
Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=4.000 ms
56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=7.000 ms
56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 1.1.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/2.600/7.000/2.577 ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
