• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

13-用户接入与认证配置指导

目录

06-PPPoE配置

本章节下载 06-PPPoE配置  (338.88 KB)

06-PPPoE配置


1 PPPoE

1.1  PPPoE简介

PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是对PPP协议的扩展,它在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。

1.1.1  PPPoE组网结构

PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。

当需要基于PPPoE Client的位置信息对其进行更加精细的管理时,可在PPPoE Client和PPPoE Server之间部署PPPoE Relay。

根据PPPoE会话的起点所在位置的不同,PPPoE分为Router-Initiated和Host-Initiated两种组网结构。

1. Router-Initiated组网结构

图1-1所示,Router-Initiated组网结构中,PPPoE会话是在两台设备之间建立的,所有用户终端设备均通过该PPPoE会话进行数据传输。在这种组网结构中,PPPoE Client位于企业内部网络,PPPoE server则由运营商提供。用户终端设备无需安装PPPoE客户端拨号软件,通常一个企业使用一个共享账号接入网络。

图1-1 Router-Initiated组网结构图

 

2. Host-Initiated组网结构

图1-2所示,Host-Initiated组网结构中,每台用户终端设备都需要安装PPPoE客户端拨号软件。这些设备作为PPPoE client,与运营商的PPPoE server单独建立PPPoE会话。这样做的好处在于能够方便运营商对用户进行有效的计费和管理控制。

图1-2 Host-Initiated组网结构图

 

1.1.2  PPPoE Relay基本原理

为了增强PPPoE组网的安全性,避免PPPoE Client账号被盗时,盗用者在其它地方通过该账号接入网络,引入了PPPoE Relay特性。

PPPoE Relay又称PPPoE+,部署在PPPoE Client和PPPoE Server之间的PPPoE中继设备(一般为Switch)上。

PPPoE中继设备将PPPoE Client接入的端口信息(如槽位号/子卡号/接口号、VLAN、MAC地址等)通过PPPoE协议报文上送给PPPoE Server,由PPPoE Server根据报文信息实现PPPoE Client的用户账号与接入端口的绑定认证,增强PPPoE组网的安全性。

PPPoE中继设备通过侦听PPPoE Client和PPPoE Server之间协议交互报文来控制协议报文的转发,具体流程如图1-3所示。

图1-3 PPPoE中继组网中PPPoE Client接入流程图

 

(1)     ‍PPPoE Client以广播形式发送PADI报文。

(2)     PPPoE中继收到PADI报文后,为报文添加Vendor-Specific Tag字段(Vendor-Specific Tag是PPPoE报文中用于标识PPPoE Client的接入端口和VLAN等位置信息Tag字段),并将报文从所有的信任端口广播出去。

(3)     PPPoE Server收到PADI报文后,给PPPoE Client回应PADO报文。

(4)     PPPoE中继收到PADO报文后,将报文转发给PPPoE Client。

(5)     PPPoE Client收到PADO后,以单播的形式发送PADR报文向PPPoE Server申请PPPoE服务。

(6)     PPPoE中继收到PADR报文后,为报文添加Vendor-Specific Tag字段,并根据PADR报文中的目的MAC查找对应的出端口,如果出端口是信任端口,则将报文从该端口转发出去;如果出端口是非信任端口,则丢弃该PADR报文。

(7)     PPPoE Server收到PADR报文后,先为PPPoE Client分配会话ID,并将会话ID和Vendor-Specific Tag进行绑定,然后再给PPPoE Client回应PADS报文。

(8)     PPPoE中继收到PADS报文后,将报文转发给PPPoE Client。

(9)     PPPoE Client收到PADS报文后,开始与PPPoE Server进行LCP协商和认证。

(10)     在认证阶段,PPPoE Server会将PPPoE Client的位置信息和用户名/密码一起发送给RADIUS服务器进行认证。

(11)     RADIUS服务器将根据数据库中已配置好的位置信息和用户名/密码对PPPoE Client进行验证,只有二者均验证通过时,才允许PPPoE Client认证通过。

(12)     PPPoE Client认证通过后开始与PPPoE Server进行NCP协商。协商通过后,PPPoE Client上线成功。

1.1.3  协议规范

与PPPoE相关的协议规范有:

RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)

1.2  PPPoE配置限制和指导

PPPoE Server目前仅支持在VLAN接口下配置。

1.3  PPPoE硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

说明

WX3500X系列

·     WX3510X

·     WX3520X

·     WX3540X

·     EWP-WX3510X

·     EWP-WX3520X

·     EWP-WX3540X

不支持

WX3500X-E系列

WX3508X-E

EWP-WX3508X-E

不支持

AC插卡系列

LSEM1WBC120G0

LSEM1WBC120G0

支持

 

产品系列

产品型号

产品代码

说明

WX3500X-G系列

WX3520X-G

EWP-WX3520X-G

不支持

 

产品系列

产品型号

产品代码

说明

WX3800X系列

·     WX3820X

·     WX3840X

·     EWP-WX3820X

·     EWP-WX3840X

不支持

 

1.4  配置虚拟模板接口

1.4.1  创建虚拟模板接口

1. 功能简介

VT(Virtual Template,虚拟模板)是用于配置一个VA(Virtual Access,虚拟访问)接口的模板。在PPPoE和L2TP中需要创建一个VA接口与对端交换数据。此时,系统将选择一个VT,以便动态地创建一个VA接口。

在PPPoE和L2TP应用中可借助VT接口来实现PPP协议的相关功能。有关PPPoE和L2TP的相关介绍,请分别参见“网络互通配置指导”中的“L2TP”和“用户接入与认证配置指导”中的“PPPoE”和“L2TP”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建虚拟模板接口并进入虚拟模板接口视图。

interface virtual-template number

(3)     (可选)配置接口的描述信息。

description text

缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface。

(4)     (可选)配置接口的MTU值。

mtu size

缺省情况下,虚拟模板接口的MTU值为1500字节。

(5)     (可选)配置接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)。

1.4.2  恢复当前虚拟模板接口的缺省配置

1. 配置限制和指导

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     恢复当前接口的缺省配置。

default

1.4.3  配置处理虚拟模板接口流量的slot

1. 功能简介

当要求同一个虚拟模板接口的流量必须在同一个slot上进行处理时,可以在虚拟模板接口下配置处理接口流量的slot。

为提高当前接口处理流量的可靠性,可以通过service命令和service standby命令为接口分别指定一个主用slot和一个备用slot进行流量处理。

接口上同时配置了主用slot和备用slot时,流量处理的机制如下:

·     当主用slot不可用时,流量由备用slot处理。之后,即使主用slot恢复可用,流量也继续由备用slot处理;仅当备用slot不可用时,流量才切换到主用slot。

·      当主用slot和备用slot均不可用时,流量由接收报文的slot处理;之后,主用slot和备用slot谁先恢复可用,流量就由谁处理。

如果接口上未配置主用slot和备用slot,则业务处理在接收报文的slot上进行。

2. 配置限制和指导

为避免不必要的流量切换,建议配置主用slot后,再配置备用slot。如果先配置备用slot,则流量由备用slot处理;在配置主用slot后,流量将会从备用slot切换到主用slot。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入虚拟模板接口视图。

interface virtual-template number

(3)     配置处理接口流量的主用slot。

service slot slot-number

缺省情况下,未配置处理接口流量的主用slot。

(4)     配置处理接口流量的备用slot。

service standby slot slot-number

缺省情况下,未配置处理接口流量的备用slot。

1.5  配置PPPoE Server

1.5.1  PPPoE Server配置任务简介

PPPoE Server配置任务如下:

(1)     配置PPPoE会话

(2)     (可选)配置VA池

(3)     (可选)配置可通过MIB节点查询和配置VA接口

(4)     (可选)配置允许创建PPPoE会话的最大数目

1.5.2  配置PPPoE会话

(1)     进入系统视图。

system-view

(2)     创建虚拟模板接口并进入指定的虚拟模板接口视图。

interface virtual-template number

(3)     开启PPPoE应用的MRU检测功能。

ppp lcp echo mru verify [ minimum value ]

PPPoE应用的MRU检测功能处于关闭状态。

(4)     退回系统视图。

quit

(5)     进入接口视图。

interface interface-type interface-number

(6)     在接口上启用PPPoE Server协议,将该接口与指定的虚拟模板接口绑定。

pppoe-server bind virtual-template number

缺省情况下,接口上的PPPoE Server协议处于关闭状态。

(7)     (可选)配置PPPoE Server的AC Name(Access Concentrator Name,接入集中器名称)。

pppoe-server tag ac-name name

缺省情况下,PPPoE Server的AC Name为设备名称。

PPPoE Client可以根据AC Name来选择PPPoE Server(H3C实现的PPPoE Client暂不支持该功能)。

(8)     (可选)配置对PPP最大负载TAG的支持,并指定最大负载的范围。

pppoe-server tag ppp-max-payload [ minimum minvalue maximum maxvalue ]

缺省情况下,不支持PPP最大负载TAG。

(9)     (可选)配置PPPoE Server的Service Name。

pppoe-server tag service-name name

缺省情况下,PPPoE Server的Service Name为空。

(10)     (可选)配置用户接入响应延迟时间。

pppoe-server access-delay delay-time

缺省情况下,对用户接入响应不延迟。

(11)     退回系统视图。

quit

(12)     配置PPPoE Server对PPP用户进行认证、授权、计费。

相关内容请参见“用户接入与认证配置指导”中的“AAA”。

1.5.3  配置VA

1. 功能简介

PPPoE在建立连接时需要创建VA接口(VA接口用于PPPoE与PPP之间的报文传递),在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响。

使用VA池对PPPoE的连接建立、连接拆除性能有显著提高。VA池是在建立连接前事先创建的VA接口的集合。创建VA池后,当需要创建VA接口时,直接从VA池中获取一个VA接口,加快了PPPoE连接的建立速度。当用户下线后,直接把VA接口放入VA池中,不需要删除VA接口,加快了PPPoE连接的拆除速度。当VA池中的VA接口耗光后,仍需在建立PPPoE连接时再创建VA接口,在用户下线后删除VA接口。

2. 配置限制和指导

每个虚拟模板接口只能关联一个全局VA池,在每个单板上只能关联一个局部VA池。通过某单板上的以太网接口上线的用户,只能使用上线以太网接口绑定的虚拟模板接口在该单板上关联的VA池。如果想要修改使用的VA池的大小,只能先删除原来的配置,然后重新配置VA池。

创建/删除VA池需要花费一定的时间,请用户耐心等待。在VA池创建/删除过程中(还没创建/删除完成)允许用户上线/下线,但正在创建/删除的VA池不生效。

系统可能由于资源不足不能创建用户指定容量的VA池,用户可以通过display pppoe-server va-pool命令查看实际可用的VA池的容量以及VA池的状态。

删除VA池时,如果已有在线用户使用该VA池中的VA接口,不会导致这些用户下线。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置VA池

pppoe-server virtual-template template-number [ slot slot-number ] va-pool va-volume

1.5.4  配置可通过MIB节点查询和配置VA接口

1. 功能简介

在配置大容量VA池或有大量用户上线的情况下,设备上会创建大量的VA接口。由于大多情况下,管理员通过MIB获取设备信息时并不关心VA接口,所以,缺省情况下,不能通过MIB节点查询和配置VA接口。此时,设备会忽略NMS发送的关于VA接口的配置和查询请求,这不仅可以提高设备获取其它接口信息的效率,提升用户体验度,还可以降低设备的工作量,避免CPU资源浪费。

如果管理员需要通过MIB对VA接口进行配置或查询,请配置本功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置可通过MIB节点查询和配置VA接口。

snmp virtual-access visible

缺省情况下,不能通过MIB节点查询和配置VA接口。

有关该命令的详细介绍,请参见“网络管理和监控命令参考”中的“SNMP”。

1.5.5  配置允许创建PPPoE会话的最大数目

1. 功能简介

系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:

·     接口上每个用户所能创建PPPoE会话的最大数目限制

·     接口上每个VLAN所能创建PPPoE会话的最大数目限制

·     接口上所能创建PPPoE会话的最大数目限制

·     成员设备所能创建PPPoE会话的最大数目限制

2. 配置限制和指导

本功能配置后仅对新创建的PPPoE会话有效,对已经创建的PPPoE会话无效,即不会导致已经上线的用户下线。

建议设备上配置的所有成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数(整机PPPoE的最大会话数由设备的缺省规格决定),否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。

3. 在接口上配置允许创建PPPoE会话的最大数目

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

该接口为启用PPPoE Server协议的接口。

(3)     配置允许创建PPPoE会话的最大数目。

¡     配置每个接口上所能创建PPPoE会话的最大数目。

pppoe-server session-limit number

缺省情况下,不限制接口上所能创建PPPoE会话的数目。

¡     配置每个VLAN所能创建PPPoE会话的最大数目。

pppoe-server session-limit per-vlan number

缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目。

¡     配置每个用户所能创建PPPoE会话的最大数目。

pppoe-server session-limit per-mac number

缺省情况下,每个用户可创建100个PPPoE会话。

1.6  PPPoE Server显示和维护

1.6.1  显示PPPoE会话和用户信息

可在任意视图下执行以下命令:

·     显示PPPoE会话的摘要信息。

display pppoe-server session summary { slot slot-number | interface interface-type interface-number }

·     显示被扼制的用户信息。

display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number }

1.6.2  显示和清除PPPoE统计信息

1. 显示PPPoE会话的数据报文统计信息

可在任意视图下执行以下命令,显示PPPoE会话的数据报文统计信息。

display pppoe-server session packet { slot slot-number | interface interface-type interface-number }

2. 显示和清除PPPoE协商报文的统计信息

可在任意视图下执行以下命令,显示PPPoE的协商报文统计信息。

display pppoe-server packet statistics [ slot slot-number ]

请在用户视图下执行以下命令,清除PPPoE的协商报文统计信息。

reset pppoe-server packet statistics [ slot slot-number ]

1.6.3  显示VA池信息

可在任意视图下执行以下命令,显示VA池信息。

display pppoe-server va-pool

1.6.4  清除PPPoE会话

请在用户视图下执行以下命令,清除PPPoE会话。

reset pppoe-server { all | interface interface-type interface-number | virtual-template number }

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们