配置猫就是路由器吗

i目录1PPP和MP·1-11.
1PPP和MP简介1-11.
1.
1PPP简介1-11.
1.
2MP简介·1-41.
2配置PPP·1-51.
2.
1PPP配置任务简介1-51.
2.
2配置接口封装PPP协议·1-51.
2.
3配置PPP认证方式1-51.
2.
4配置轮询功能·1-91.
2.
5配置PPP协商参数1-91.
2.
6配置PPPIPHC压缩功能·1-161.
2.
7配置PPP链路质量监测功能·1-171.
2.
8配置PPP计费统计功能·1-181.
2.
9配置PPP用户的nas-port-type属性·1-191.
3配置MP1-191.
3.
1MP配置任务简介·1-191.
3.
2通过虚拟模板接口配置MP·1-201.
3.
3通过MP-group接口配置MP1-221.
3.
4配置MP短序协商方式1-231.
3.
5配置MPEndpoint选项1-241.
3.
6配置链路分片与交叉·1-241.
4PPP和MP显示和维护1-251.
5PPP和MP典型配置举例1-261.
5.
1PAP单向认证举例1-261.
5.
2PAP双向认证举例1-281.
5.
3CHAP单向认证举例·1-301.
5.
4IP地址协商举例一(在接口下指定为Client端分配的IP地址)1-321.
5.
5IP地址协商举例二(从接口下指定的PPP地址池中分配IP地址)1-331.
5.
6IP地址协商举例三(从ISP域下关联的PPP地址池中分配IP地址)1-341.
5.
7三种MP绑定方式配置举例1-362PPPoE2-12.
1PPPoE简介2-1ii2.
1.
1PPPoE概述·2-12.
1.
2PPPoE组网结构·2-12.
2配置PPPoE2-22.
2.
1配置PPPoEServer·2-32.
2.
2配置PPPoEClient2-72.
3PPPoE显示和维护2-102.
3.
1PPPoEServer显示和维护·2-102.
3.
2PPPoEClient显示和维护2-102.
4PPPoE典型配置举例2-112.
4.
1PPPoEServer配置举例·2-112.
4.
2PPPoEClient永久在线模式配置举例2-122.
4.
3PPPoEClient按需拨号模式配置举例2-132.
4.
4PPPoEClient诊断模式配置举例2-142.
4.
5利用ADSLModem将局域网接入Internet2-152.
4.
6PPPoEServer通过本地DHCP服务器为用户分配IP地址配置举例2-182.
4.
7PPPoEServer通过远端DHCP服务器为用户分配IP地址配置举例2-192.
4.
8PPPoEServer为接入用户授权地址池和VPN配置举例·2-211-11PPP和MPMSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/2600-10-X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5620/5660/5680路由器使用分布式命令行.
本特性仅在路由器上安装了SAE、AS、ASE、BS、E1、E1-F、T1、T1-F、POS、CPOS、CE3、CT3或AM接口模块时支持.
1.
1PPP和MP简介1.
1.
1PPP简介PPP(Point-to-PointProtocol,点对点协议)是一种点对点的链路层协议.
它能够提供用户认证,易于扩充,并且支持同/异步通信.
PPP定义了一整套协议,包括:链路控制协议(LinkControlProtocol,LCP):用来建立、拆除和监控数据链路.
网络控制协议(NetworkControlProtocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型.
认证协议:用来对用户进行认证,包括PAP(PasswordAuthenticationProtocol,密码认证协议)、CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议)、MSCHAP(MicrosoftCHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2).
1.
PPP链路建立过程PPP链路建立过程如图1-1所示:(1)PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段.
(2)PPP在Establish阶段主要进行LCP协商.
LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项.
如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文).
1-2(3)如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证.
如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件.
(4)如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商).
如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段.
(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文.
IPCP协商内容包括:IP地址、DNS服务器地址等.
)(5)到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预).
图1-1PPP链路建立过程有关PPP的详细介绍请参考RFC1661.
2.
PPP认证PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行.
将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费.
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2.
(1)PAP认证PAP为两次握手协议,它通过用户名和密码来对用户进行认证.
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁.
因此,它适用于对网络安全要求相对较低的环境.
(2)CHAP认证CHAP为三次握手协议.
CHAP认证过程分为两种方式:认证方配置了用户名、认证方没有配置用户名.
推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认.
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高.
(3)MSCHAP认证MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:MSCHAP采用的加密算法是0x80.
MSCHAP支持重传机制.
在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证.
认证方最多允许被认证方重传3次.
DeadEstablishUpAuthenticateOpenedTerminateNetworkDownFailFailSuccess/NoneClosing1-3(4)MSCHAPv2认证MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:MSCHAPv2采用的加密算法是0x81.
MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证.
MSCHAPv2支持重传机制.
在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证.
认证方最多允许被认证方重传3次.
MSCHAPv2支持修改密码机制.
被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证.
3.
PPP支持IPv4在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商.
(1)IP地址协商PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址.
在PPP协商IP地址的过程中,设备可以分为两种角色:Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址.
该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址.
Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商.
当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见"安全配置指导"中的"AAA")和接口下的配置,按照如下顺序给Client端分配IP地址:如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置).
如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址.
如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址.
(2)DNS服务器地址协商设备在进行IPCP协商的过程中可以进行DNS服务器地址协商.
设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址.
通常情况下:当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名.
1-44.
PPP支持IPv6在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6DNS服务器地址.
(1)IPv6地址分配PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能直接协商出IPv6地址.
客户端可以通过如下三种方式分配到IPv6全球单播地址:方式1:客户端通过ND协议中的RA报文获得IPv6地址前缀.
客户端采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址.
RA报文中携带的IPv6地址前缀的来源有三种:AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀.
三种来源的优先级依次降低,AAA授权的优先级最高.
关于ND协议的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
方式2:客户端通过DHCPv6协议申请IPv6全球单播地址.
在服务器端可以通过AAA授权为每个客户端分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给客户端.
如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为客户端分配地址.
关于DHCPv6协议的详细介绍请参见"三层技术-IP业务配置指导"中的"DHCPv6".
方式3:客户端通过DHCPv6协议申请代理前缀,客户端通过代理前缀为下面的主机分配IPv6全球单播地址.
代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致.
根据组网不同,主机获取IPv6地址的方式如下:当主机通过桥设备或者直连接入设备时,设备可以采用上述的方式1或方式2直接为主机分配IPv6全球单播地址.
当主机通过路由器接入设备时,设备可以采用方式3为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址.
(2)IPv6DNS服务器地址分配在IPv6网络中,IPv6DNS服务器地址的分配有如下两种方式:AAA授权IPv6DNS服务器地址,通过ND协议中的RA报文将此IPv6DNS服务器地址分配给主机.
DHCPv6客户端向DHCPv6服务器申请IPv6DNS服务器地址.
1.
1.
2MP简介MP是MultiLinkPPP的缩写,是基于增加带宽的考虑,将多个PPP通道捆绑成一条逻辑链路使用而产生的.
MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到对端,对端将这些分片组装起来传递给网络层处理.
MP主要是增加带宽的作用,除此之外,MP还有负载分担的作用,这里的负载分担是链路层的负载分担;负载分担从另外一个角度解释就有了备份的作用.
同时,MP的分片可以起到减小传输时延的作用,特别是在一些低速链路上.
综上所述,MP的作用主要有以下几个:增加带宽负载分担1-5备份利用分片降低时延MP能在任何支持PPP封装的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括支持PPPoX(PPPoE、PPPoA等)的虚拟接口,建议用户将同一类的接口捆绑使用,不要将不同类的接口捆绑使用.
1.
2配置PPP1.
2.
1PPP配置任务简介表1-1PPP配置任务简介配置任务说明详细配置配置接口封装PPP协议必选1.
2.
2配置PPP认证方式可选1.
2.
3配置轮询功能可选1.
2.
4配置PPP协商参数可选1.
2.
5配置PPPIPHC压缩功能可选1.
2.
6配置PPP链路质量监测功能可选1.
2.
7配置PPP计费统计功能可选1.
2.
8配置PPP用户的nas-port-type属性可选1.
2.
91.
2.
2配置接口封装PPP协议表1-2配置接口封装PPP协议操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口封装的链路层协议为PPPlink-protocolppp缺省情况下,除以太网接口、VLAN接口、ATM接口外,其它接口封装的链路层协议均为PPP1.
2.
3配置PPP认证方式PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2.
用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过.
如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证.
1-61.
配置PAP认证(1)配置认证方表1-3配置认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地认证对端的方式为PAPpppauthentication-modepap[[call-in]domainisp-name]缺省情况下,PPP协议不进行认证配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码为被认证方配置的用户名和密码必须与被认证方上的配置一致(2)配置被认证方表1-4配置被认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码ppppaplocal-userusernamepassword{cipher|simple}string缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空查看加密方式时,无论采用明文或密文加密,默认显示密文方式2.
配置CHAP认证CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名.
(1)认证方配置了用户名配置认证方表1-5配置认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地认证对端的方式为CHAPpppauthentication-modechap[[call-in]domainisp-name]缺省情况下,PPP协议不进行认证1-7操作命令说明配置采用CHAP认证时认证方的用户名pppchapuserusername缺省情况下,CHAP认证的用户名为空在被认证方上为认证方配置的用户名必须跟此处配置的一致配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码为被认证方配置的用户名必须与被认证方上的配置一致认证方用户的密码和被认证方用户的密码要配置成相同的配置被认证方表1-6配置被认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置采用CHAP认证时被认证方的用户名pppchapuserusername缺省情况下,CHAP认证的用户名为空在认证方上为被认证方配置的用户名必须跟此处配置的一致配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码为认证方配置的用户名必须与认证方上的配置一致认证方用户的密码和被认证方用户的密码要配置成相同的(2)认证方没有配置用户名配置认证方表1-7配置认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地认证对端的方式为CHAPpppauthentication-modechap[[call-in]domainisp-name]缺省情况下,PPP协议不进行认证配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码为被认证方配置的用户名必须与被认证方上的配置一致为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致1-8配置被认证方表1-8配置被认证方操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置采用CHAP认证时被认证方的用户名pppchapuserusername缺省情况下,CHAP认证的用户名为空在认证方上为被认证方配置的用户名必须跟此处配置的一致设置CHAP认证密码pppchappassword{cipher|simple}password缺省情况下,没有配置进行CHAP认证时采用的密码在认证方上为被认证方配置的密码必须跟此处配置的一致查看加密方式时,无论采用明文或密文加密,默认显示密文方式3.
配置MSCHAP或MSCHAPv2认证与CHAP认证相同,MSCHAP和MSCHAPv2认证也分为两种:认证方配置了用户名和认证方没有配置用户名.
配置MSCHAP或MSCHAPv2认证时需注意:设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证.
L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证.
MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制.
表1-9配置MSCHAP或MSCHAPv2认证的认证方(认证方配置了用户名)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地认证对端的方式为MSCHAP或MSCHAPv2pppauthentication-mode{ms-chap|ms-chap-v2}[[call-in]domainisp-name]缺省情况下,PPP协议不进行认证配置采用MSCHAP或MSCHAPv2认证时认证方的用户名pppchapuserusername在被认证方上为认证方配置的用户名必须跟此处配置的一致配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码为被认证方配置的用户名和密码必须与被认证方上的配置一致1-9表1-10配置MSCHAP或MSCHAPv2认证的认证方(认证方没有配置用户名)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地认证对端的方式为MSCHAP或MSCHAPv2pppauthentication-mode{ms-chap|ms-chap-v2}[[call-in]domainisp-name]缺省情况下,PPP协议不进行认证配置本地AAA认证或者远程AAA认证请参见"安全配置指导"中的"AAA"若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码为被认证方配置的用户名和密码必须与被认证方上的配置一致1.
2.
4配置轮询功能PPP协议使用轮询机制来确认链路状态是否正常.
当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期).
如果接口在retry个(可以通过timer-holdretry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down.
如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文.
在速率非常低的链路上,keepalive周期和retry值不能配置过小.
因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收.
而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障.
如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭.
轮询时间间隔设置应小于协商超时时间间隔,否则无法轮询.
表1-11配置轮询功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口发送keepalive报文的周期timer-holdseconds缺省情况下,接口发送keepalive报文的周期为10秒配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路timer-holdretryretry缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路1.
2.
5配置PPP协商参数可以配置的PPP协商参数包括:1-10协商超时时间间隔协商IP地址协商接口IP网段协商DNS服务器地址协商ACCM(Async-Control-Character-Map,异步控制字符映射表)协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)协商PFC(Protocol-Field-Compression,协议字段压缩)1.
配置协商超时时间间隔在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文.
超时时间间隔的取值范围为1~10秒.
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间.
配置LCP协商的延时时间后,当接口物理层UP时PPP将在延时时间超时后才会主动进行LCP协商;如果在延时时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延时时间超时,而是直接进行LCP协商.
表1-12配置协商超时时间间隔操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置协商超时时间间隔ppptimernegotiateseconds缺省情况下,协商超时时间间隔为3秒(可选)配置LCP协商的延迟时间ppplcpdelaymilliseconds缺省情况下,接口物理层UP后,PPP立即进行LCP协商2.
配置PPP协商IP地址(1)配置Client端表1-13配置Client端操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-为接口配置IP地址可协商属性ipaddressppp-negotiate缺省情况下,接口没有配置IP地址可协商属性本命令和ipaddress命令互斥,二者不能同时配置.
关于ipaddress命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"IP地址"(2)配置Server端在下列三种Server端分配IP地址的方式下Server端需要进行配置:在接口下指定为Client端分配的IP地址.
1-11从接口下指定的地址池中分配IP地址.
从ISP域下关联的地址池中分配IP地址.
这三种方式中,不同PPP用户可以采用的方式如下:不需要进行PPP认证的PPP用户可以使用两种方式:在接口下指定为Client端分配的IP地址和从接口下指定的地址池中分配IP地址.
这两种方式不能同时使用.
需要进行PPP认证的PPP用户可以使用全部的三种方式.
用户可以同时配置多种方式.
同时配置多种方式时,以ISP域下关联的地址池优先,然后是接口下指定为Client端分配的IP地址或者地址池(接口下的这两种方式不能同时使用).
PPP可以使用两类地址池为对端分配IP地址:PPP地址池、DHCP地址池,优先采用PPP地址池.
如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池来分配IP地址,则系统只会使用PPP地址池来分配IP地址.
表1-14配置Server端(在接口下指定为Client端分配的IP地址)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口为Client端分配的IP地址remoteaddressip-address缺省情况下,接口不为Client端分配IP地址配置Server端的IP地址ipaddressip-address缺省情况下,接口没有配置IP地址表1-15配置Server端(从接口下指定的PPP地址池中分配IP地址)操作命令说明进入系统视图system-view-配置PPP地址池ippoolpool-namestart-ip-address[end-ip-address][groupgroup-name]缺省情况下,没有配置PPP地址池(可选)配置PPP地址池的网关地址ippoolpool-namegatewayip-address[vpn-instancevpn-instance-name]缺省情况下,没有为PPP地址池配置网关地址(可选)配置PPP地址池路由pppip-poolrouteip-address{mask-length|mask}[vpn-instancevpn-instance-name]缺省情况下,没有配置PPP地址池路由用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围进入接口视图interfaceinterface-typeinterface-number-使用PPP地址池为Client端分配IP地址remoteaddresspoolpool-name缺省情况下,接口不为Client端分配IP地址(可选)配置Server端的IP地址ipaddressip-address缺省情况下,接口没有配置IP地址配置了PPP地址池的网关地址后,可以不用配置本命令1-12表1-16配置Server端(从接口下指定的DHCP地址池中分配IP地址)操作命令说明进入系统视图system-view-配置DHCP功能如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池DHCP的具体配置介绍请参见"三层技术-IP业务配置指导"中的"DHCP"进入接口视图interfaceinterface-typeinterface-number-使用DHCP地址池为Client端分配IP地址remoteaddresspoolpool-name缺省情况下,接口不为Client端分配IP地址配置Server端的IP地址ipaddressip-address缺省情况下,接口没有配置IP地址表1-17配置Server端(从ISP域下关联的PPP地址池中分配IP地址)操作命令说明进入系统视图system-view-配置PPP地址池ippoolpool-namestart-ip-address[end-ip-address]groupgroup-name缺省情况下,没有配置PPP地址池(可选)配置PPP地址池的网关地址ippoolpool-namegatewayip-address[vpn-instancevpn-instance-name]缺省情况下,没有为PPP地址池配置网关地址(可选)配置PPP地址池路由pppip-poolrouteip-address{mask-length|mask}[vpn-instancevpn-instance-name]缺省情况下,没有配置PPP地址池路由用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围进入ISP域视图domainisp-name-在ISP域下关联PPP地址池为Client端分配IP地址authorization-attributeip-poolpool-name缺省情况下,ISP域下没有关联PPP地址池本命令的详细介绍请参见"安全命令参考"中的"AAA"退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-(可选)配置Server端的IP地址ipaddressip-address缺省情况下,接口没有配置IP地址配置了PPP地址池的网关地址后,可以不用配置本命令1-13表1-18配置Server端(从ISP域下关联的DHCP地址池中分配IP地址)操作命令说明进入系统视图system-view-配置DHCP功能如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池DHCP的具体配置介绍请参见"三层技术-IP业务配置指导"中的"DHCP"进入ISP域视图domainisp-name-在ISP域下关联DHCP地址池为Client端分配IP地址authorization-attributeip-poolpool-name缺省情况下,ISP域下没有关联DHCP地址池本命令的详细介绍请参见"安全命令参考"中的"AAA"退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-配置Server端的IP地址ipaddressip-address缺省情况下,接口没有配置IP地址3.
配置接口IP网段检查使能接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败.
如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查.
表1-19配置接口IP网段检查操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能接口的IP网段检查功能pppipcpremote-addressmatch缺省情况下,接口的IP网段检查功能处于关闭状态4.
配置DNS服务器地址协商(1)配置Client端正常情况下,Client端配置了pppipcpdnsrequest命令,Server端才会为本端指定DNS服务器地址.
但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置pppipcpdnsadmit-any命令.
1-14表1-20配置Client端操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置设备主动请求对端指定DNS服务器地址pppipcpdnsrequest缺省情况下,禁止设备主动向对端请求DNS服务器地址配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址pppipcpdnsadmit-any缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址在配置了pppipcpdnsrequest命令的情况下不用配置本命令(2)配置Server端表1-21配置Server端操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置设备为对端设备指定DNS服务器地址pppipcpdnsprimary-dns-address[secondary-dns-address]缺省情况下,设备不为对端设备指定DNS服务器的IP地址收到Client端的请求后,Server端才会为对端指定DNS服务器地址5.
配置ACCM协商在异步链路上需要使用到异步控制字符,如果在载荷中存在与异步控制字符相同的字符,则需要进行字符转义,避免异步链路将载荷当成异步控制字符处理.
每个异步控制字符的长度为1字节,转义后长度就变为2字节,转义后的异步控制字符占用的带宽增加了,将减少有效载荷.
ACCM协商选项用来和对端协商哪些异步控制字符需要转义,哪些异步控制字符不需要转义的.
ACCM字段长32比特,每个比特从左到右按1、2、3、…、32进行编号,每个比特编号对应一个具有相同值的异步控制字符.
如果这个比特的值为0,那么对应的异步控制字符不需要进行转义;如果这个比特的值为1,那么对应的异步控制字符就需要进行转义.
例如,当19比特的值为0时,对应的19号异步控制字符(DC3,Control-S)将被直接发送,不需要进行转义.
ACCM协商在LCP协商阶段进行.
当ACCM协商通过后,对端发送报文时将按照此异步控制字符映射表进行异步控制字符转义.
缺省情况下,ACCM字段的值为0x000A0000.
在低速链路上,为了减少异步控制字符占用的带宽,增加有效载荷,建议将ACCM协商选项的值配置为0x0,即不进行转义.
表1-22配置ACCM协商操作命令说明进入系统视图system-view-1-15操作命令说明进入接口视图interfaceinterface-typeinterface-number-配置ACCM字段的值pppaccmhex-number缺省情况下,ACCM字段的值为0x000A0000ACCM协商选项只有在异步链路上才会生效6.
配置ACFC协商缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,就可以对这两个字段进行压缩.
ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文.
ACFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行地址控制字段压缩,不再添加地址控制字段,以增加链路的有效载荷;对于LCP报文不进行地址控制字段压缩,以确保LCP协商过程顺利进行.
建议在低速链路上配置本功能.
(1)配置本地发送ACFC协商请求表1-23配置本地发送ACFC协商请求操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项pppacfclocal-request缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项(2)配置拒绝对端的ACFC协商请求表1-24配置拒绝对端的ACFC协商请求操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项pppacfcremote-reject缺省情况下,接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩7.
配置PFC协商缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型.
PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文.
1-16PFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷;对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行.
建议在低速链路上配置本功能.
(1)配置本地发送PFC协商请求表1-25配置本地发送PFC协商请求操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项ppppfclocal-request缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项(2)配置拒绝对端的PFC协商请求表1-26配置拒绝对端的PFC协商请求操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项ppppfcremote-reject缺省情况下,接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩1.
2.
6配置PPPIPHC压缩功能IPHC(IPHeaderCompression,IP报文头压缩)协议主要应用于低速链路上的语音通信.
在低速链路上,每个语音报文中报文头消耗大部分的带宽.
比如,G.
729编码20ms打包时长PPP链路,每秒传送1000/20=50个语音报文,每个语音报文中都包含46字节的报文头(6字节PPP头、20字节IP头、8字节UDP头、12字节RTP头),这样每一路语音数据所占的带宽为:(6+20+8+12)*8*50+8000(语音净荷所占带宽)=26.
4kbps,传送RTP/UDP/IP头所花的带宽开销还是很大的,为(20+8+12)*8*50=16kbps,占语音数据总带宽的百分比为16k/26.
4k=60.
1%,网络带宽利用率很差.
为了减少报文头对带宽的消耗,可以在PPP链路上使用IPHC压缩功能,对报文头进行压缩.
IPHC压缩分为如下两种:RTP头压缩:对报文中的RTP/UDP/IP头(长度共40字节)进行压缩.
TCP头压缩:对报文中的TCP/IP头(长度共40字节)进行压缩.
IPHC压缩机制的总体思想是:在一次连接过程中,IP头、UDP头、RTP头以及TCP头中的一些字段是固定不变的,还有一些字段是有规律变化的,这样在压缩端和解压端分别维护一个压缩表项和解压缩表项来保存固定不变的字段和有规律变化的字段,在传输过程中,压缩端不需要发送完整1-17的报文头,只发送报文头中有变化的信息,减少了报文头信息的长度,从而降低了报文头所占的带宽.
(1)在压缩过程中,压缩端会将变化的字段编码到报文中;对于有规律变化的字段,其二次差分值为零时则不需要携带,其二次差分值不为零时,则其标志位置1,并将其一次差分值和标志位字段编码到报文中.
(2)在解压过程中,解压端跟据解压缩表项还原固定不变的字段,对于有规律变化的字段,若其标志位为0,则按其变化规律做相应计算还原;若其标志位为1,则根据报文中携带的该字段的一次差分值和解压缩表项中该字段的信息进行计算还原.
举例说明:在压缩TCP头时,DestinationPort为固定不变的字段,在报文中不用携带;URG为变化的字段,在报文中携带;SequenceNumber为有规律变化的字段(一般情况下是每次增加1),压缩端首先计算被压缩报文的SequenceNumber字段和压缩表项中的SequenceNumber字段的差值,即一次差分值,如果一次差分值为1,那么其二次差分值为1-1=0,则这个字段就不用携带,解压端会自动加1还原;如果其一次差分值不为1,比如为2,那么二次差分值就为2-1=1,这时就会置位SequenceNumber的标志位,并将一次差分值2编码到报文中,解压端会在解压缩表项中的SequenceNumber字段上加2还原.
配置本功能时需要注意:用户必须在链路的两端同时开启IPHC压缩功能,该功能才生效.
在虚拟模板接口、Dialer接口、ISDN接口上开启/关闭IPHC压缩功能时,配置不会立即生效,只有对此接口或者其绑定的物理接口进行shutdown/undoshutdown操作后,配置才能生效.
只有在开启IPHC压缩功能后,才能配置接口上允许进行RTP头/TCP头压缩的最大连接数,并且需要对接口进行shutdown/undoshutdown操作后,配置才能生效.
在关闭IPHC压缩功能后,配置将被清除.
表1-27配置PPPIPHC压缩功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启PPPIPHC压缩功能pppcompressioniphcenable[nonstandard]缺省情况下,IPHC压缩功能处于关闭状态与友商设备互通时需要配置nonstandard参数配置接口上允许进行RTP头压缩的最大连接数pppcompressioniphcrtp-connectionsnumber缺省情况下,接口上允许进行RTP头压缩的最大连接数为16配置接口上允许进行TCP头压缩的最大连接数pppcompressioniphctcp-connectionsnumber缺省情况下,接口上允许进行TCP头压缩的最大连接数为161.
2.
7配置PPP链路质量监测功能PPP链路质量监测功能可以实时对PPP链路(包括绑定在MP中的PPP链路)的通信质量(丢包率和错包率)进行监测.
1-18在没有配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(LinkQualityReports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测.
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用.
当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复.
因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复.
如果keepalive周期设置过大,可能会导致链路长时间无法恢复.
配置本功能时需要注意:当在PPP链路两端同时开启链路质量监测功能时,两端设备的参数必须相等.
一般来说,不建议在链路两端同时开启链路质量监测功能.
不建议在拨号线路上开启PPP链路质量监测功能.
当在拨号线路上开启链路质量监测功能后,由于拨号线路的特点,一旦链路被禁用,DDR模块就会把拨号线路挂断,因此链路质量监测就不能正常的运行.
只有当有数据需要传输时,DDR模块把拨号线路重新呼起,链路质量监测功能才能恢复正常.
表1-28配置PPP链路质量监测功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启PPP链路质量监测功能ppplqmclose-percentageclose-percentage[resume-percentageresume-percentage]缺省情况下,PPP链路质量监测功能处于关闭状态开启当监测到链路质量低的时候向对端发送LCPecho报文增加检测流量的功能ppplqmlcp-echo[packetsize][intervalinterval]缺省情况下,当监测到链路质量低的时候向对端发送LCPecho报文增加检测流量的功能处于关闭状态1.
2.
8配置PPP计费统计功能PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数.
AAA可以获取这些流量统计信息用于计费控制.
关于AAA计费的详细介绍请参见"安全配置指导"中的"AAA".
表1-29配置PPP计费统计功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启PPP计费统计功能pppaccount-statisticsenable[acl{acl-number|nameacl-name}]缺省情况下,PPP计费统计功能处于关闭状态1-191.
2.
9配置PPP用户的nas-port-type属性本特性用来配置RADIUS认证计费时所携带的nas-port-type属性.
关于nas-port-type属性的详细介绍请参见RFC2865.
表1-30配置PPP用户的nas-port-type属性操作命令说明进入系统视图system-view-进入虚拟模板接口视图interfacevirtual-templatenumber-配置接口的nas-port-type属性nas-port-type{802.
11|adsl-cap|adsl-dmt|async|cable|ethernet|g.
3-fax|hdlc|idsl|isdn-async-v110|isdn-async-v120|isdn-sync|piafs|sdsl|sync|virtual|wireless-other|x.
25|x.
75|xdsl}缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定:如果是PPPoE业务,当承载链路类型为三层虚拟以太网接口时,nas-port-type属性为xdsl,否则nas-port-type属性为ethernet如果是PPPoA业务,nas-port-type属性为xdsl如果是L2TP业务,nas-port-type属性为virtual1.
3配置MP不支持跨业务板进行MP捆绑.
1.
3.
1MP配置任务简介MP的配置主要有两种方式,一种是通过虚拟模板(VirtualTemplate,VT)接口,一种是通过MP-group接口.
(1)通过虚拟模板接口配置MPVT是用于配置一个VA(VirtualAccess,虚拟访问)接口的模板.
将多个PPP链路捆绑成MP链路之后,需要创建一个VA接口与对端交换数据.
此时,系统将选择一个VT,以便动态地创建一个VA接口.
虚拟模板接口配置方式可以与认证相结合,可以根据对端的用户名找到指定的虚拟模板接口,从而利用模板上的配置,创建相应的捆绑(Bundle),以对应一条MP链路.
由一个虚拟模板接口可以派生出若干个捆绑,每个捆绑对应一条MP链路.
从网络层看来,这若干条MP链路会形成一个点对多点的网络拓扑.
系统可以根据接口接收到的认证用户名或终端标识符来进行MP捆绑,并以此来区分虚模板接口下的多个捆绑(对应多条MP链路).
系统支持3种绑定方式:authentication:根据PPP的认证用户名进行MP捆绑,每个认证用户名对应一个捆绑.
认证用户名是指PPP链路进行PAP、CHAP、MSCHAP或MSCHAPv2认证时所接收到的对端用户名.
1-20descriptor:根据PPP的终端描述符进行MP捆绑,每个终端描述符对应一个捆绑.
终端标识符是用来唯一标识一台设备的标志,是指进行LCP协商时所接收到的对端终端标识符.
both:同时根据PPP的认证用户名和终端描述符进行MP捆绑.
(2)通过MP-group接口配置MPMP-group接口是MP的专用接口,不支持其它应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑.
与虚拟模板接口配置方式相比,MP-group接口配置方式更加快速高效、配置简单、容易理解.
表1-31MP配置任务简介配置任务说明详细配置通过虚拟模板接口配置MP二者必选其一1.
3.
2通过MP-group接口配置MP1.
3.
3配置MP短序协商方式可选1.
3.
4配置MPEndpoint选项可选1.
3.
5配置链路分片与交叉可选1.
3.
61.
3.
2通过虚拟模板接口配置MP通过虚拟模板接口配置MP时,又可以细分为两种配置方式:将物理接口与虚拟模板接口直接关联:使用命令pppmpvirtual-template直接将链路绑定到指定的虚拟模板接口上,这时可以配置认证也可以不配置认证.
如果不配置认证,系统将通过对端的终端描述符捆绑出MP链路;如果配置了认证,系统将通过用户名和/或对端的终端描述符捆绑出MP链路.
将用户名与虚拟模板接口关联:根据认证通过后的用户名查找相关联的虚拟模板接口,然后根据用户名和对端终端描述符捆绑出MP链路.
这种方式需在要绑定的接口下配置pppmp及双向认证(PAP、CHAP、MSCHAP或MSCHAPv2),否则链路协商不通.
配置时需要注意:pppmp和pppmpvirtual-template命令互斥,即同一个接口只能采用一种配置方式.
对于需要绑在一起的接口,必须采用同样的配置方式.
实际使用中也可以配置单向认证,即一端直接将物理接口绑定到虚拟模板接口,另一端则通过用户名查找虚拟模板接口.
不推荐使用同一个虚拟模板接口配置多种业务(如MP、L2TP、PPPoE等).
表1-32通过虚拟模板接口配置MP操作命令说明进入系统视图system-view-创建虚拟模板接口并进入指定的虚拟模板接口视图interfacevirtual-templatenumber如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图1-21操作命令说明(可选)配置接口的描述信息descriptiontext缺省情况下,接口的描述信息为"该接口的接口名Interface",比如:Virtual-Template1Interface配置接口发送keepalive报文的周期timer-holdseconds缺省情况下,接口发送keepalive报文的周期为10秒配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路timer-holdretryretry缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路配置接口的MTU值mtusize缺省情况下,接口的MTU值为1500字节配置接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s)(可选)配置转发当前虚拟模板接口下VA接口流量的主用slot(分布式设备-独立运行模式/集中式设备-IRF模式)serviceslotslot-number缺省情况下,未配置指定转发当前虚拟模板接口下VA接口流量的主用slot(可选)配置转发当前虚拟模板接口下VA接口流量的主用slot(分布式设备-IRF模式)servicechassischassis-numberslotslot-number缺省情况下,未配置指定转发当前虚拟模板接口下VA接口流量的主用slot(可选)配置转发当前虚拟模板接口下VA接口流量的备用slot(分布式设备-独立运行模式/集中式设备-IRF模式)servicestandbyslotslot-number缺省情况下,未配置转发当前虚拟模板接口下VA接口流量的备用slot(可选)配置转发当前虚拟模板接口下VA接口流量的备用slot(分布式设备-IRF模式)servicestandbychassischassis-numberslotslot-number缺省情况下,未配置转发当前虚拟模板接口下VA接口流量的备用slot(可选)恢复接口的缺省配置default-退回系统视图quit-将物理接口或用户名与虚拟模板接口关联(二者选其一)将物理接口与虚拟模板接口关联interfaceinterface-typeinterface-number-配置接口所要绑定的虚拟模板接口号,并使接口工作在MP方式:pppmpvirtual-templatenumber缺省情况下,接口没有MP绑定,工作在普通PPP方式下(可选)在接口下配置PPP认证,请参见"1.
2.
3配置PPP认证方式"PPP认证对MP连接的建立没有影响将用户名与虚拟模板接口关联建立虚拟模板接口与MP用户的对应关系:pppmpuserusernamebindvirtual-templatenumber缺省情况下,虚拟模板接口与MP用户不进行绑定interfaceinterface-typeinterface-number-配置封装PPP的接口工作在MP方式:pppmp缺省情况下,封装PPP的接口工作在普通PPP方式下在接口下配置PPP认证,请参见"1.
2.
3配置PPP认证方式"-1-22操作命令说明配置MP的其它参数请参见"表1-33"表1-33配置MP的其它参数操作命令说明进入系统视图system-view-进入MP虚拟模板接口或者Dialer接口视图interface{dialer|virtual-template}number关于在Dialer接口下配置MP参数的详细介绍,请参见"二层技术-广域网接入配置指导"中的"DDR"配置MP捆绑的条件pppmpbinding-mode{authentication|both|descriptor}缺省情况下,同时根据PPP的认证用户名和终端标识符进行MP捆绑(可选)配置MP最大捆绑链路数pppmpmax-bindmax-bind-num缺省情况下,最大捆绑链路数为16(可选)配置MP最小捆绑链路数pppmpmin-bindmin-bind-num缺省情况下,最小捆绑链路数为0,即MP拨号将依赖流量检测本命令只能在Dialer接口下进行配置pppmpmin-bind命令配置的最小捆绑链路数应该小于等于pppmpmax-bind命令配置的最大捆绑链路数配置对MP报文进行分片的最小报文长度pppmpmin-fragmentsize缺省情况下,对MP报文进行分片的最小报文长度为128字节配置MP排序窗口的大小pppmpsort-buffer-sizesize缺省情况下,MP排序窗口大小系数为1(可选)配置MP等待期望分片报文的时间pppmptimerlost-fragmentseconds缺省情况下,MP等待期望分片报文的时间为30秒(可选)关闭MP报文分片功能pppmpfragmentdisable缺省情况下,MP报文分片功能处于开启状态配置pppmpfragmentdisable命令后,接口的pppmplfienable、pppmpmin-fragment命令不再起作用1.
3.
3通过MP-group接口配置MP表1-34通过MP-group接口配置MP操作命令说明进入系统视图system-view-创建MP-group接口并进入指定的MP-group接口视图interfacemp-groupmp-number如果指定的MP-group接口已经创建,则该命令用来直接进入MP-group接口视图(可选)配置MP最大捆绑链路数pppmpmax-bindmax-bind-num缺省情况下,最大捆绑链路数为16本配置不能立即生效,必须对所有已捆绑的物理接口依次执行shutdown和undoshutdown之后改变才会生效1-23操作命令说明配置对MP报文进行分片的最小报文长度pppmpmin-fragmentsize缺省情况下,对MP报文进行分片的最小报文长度为128字节配置MP排序窗口的大小pppmpsort-buffer-sizesize缺省情况下,MP排序窗口大小系数为1(可选)配置MP等待期望分片报文的时间pppmptimerlost-fragmentseconds缺省情况下,MP不启动等待期望分片报文的定时器(可选)关闭MP报文分片功能pppmpfragmentdisable缺省情况下,MP报文分片功能处于开启状态配置pppmpfragmentdisable命令后,接口的pppmplfienable、pppmpmin-fragment命令不再起作用(可选)配置接口的描述信息descriptiontext缺省情况下,接口的描述信息为"该接口的接口名Interface",比如:MP-group3Interface配置轮询时间间隔timer-holdperiod缺省情况下,轮询时间间隔为10秒配置接口的MTU值mtusize缺省情况下,接口的MTU值为1500字节配置接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s)(可选)恢复接口的缺省配置default-打开接口undoshutdown缺省情况下,接口处于打开状态退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-将接口加入指定的MP-group接口,使接口工作在MP方式pppmpmp-groupmp-number缺省情况下,接口工作在普通PPP方式1.
3.
4配置MP短序协商方式MP捆绑组在收发报文时默认使用长序方式(长序、短序是指报文序号的长短).
配置本功能时需要注意:如果本端接收使用短序,则需要在协商LCP的过程添加短序请求,请求对端发送短序,协商通过后,对端使用短序发送.
如果本端发送使用短序,则需要对端发出短序协商请求,协商通过后,本端使用短序发送.
MP捆绑组使用的长短序方式由第一条加入该捆绑组中的子通道决定,后续加入捆绑组的子通道配置不能更改MP捆绑组的长短序方式.
如果想使用MP短序协商,对于拨号MP,建议在Dialer接口及ISDN的D信道下均配置该命令;对于普通MP,建议在所有的MP子通道下配置该命令.
配置该命令会导致PPP重协商.
1-24表1-35配置MP短序协商方式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-触发MP短序协商,协商成功后本端接收方向将使用短序pppmpshort-sequence缺省情况下,不触发短序协商,使用长序1.
3.
5配置MPEndpoint选项在MP的LCP协商过程会协商Endpoint选项(终端描述符)值:在通过虚拟模板接口配置MP时,会根据Endpoint选项值来进行MP捆绑.
缺省情况下,接口发送报文中携带的Endpoint选项内容为设备名称.
如果网络中存在相同的设备名称,导致无法区分MP捆绑时,用户可以修改接口发送报文中携带的Endpoint选项的内容.
在通过MP-group接口配置MP时,不需要根据Endpoint选项值进行MP捆绑.
当使用pppmpmp-group命令将接口加入指定MP-group后,接口发送报文中携带的Endpoint选项内容缺省为MP-group的接口名称,如果用户配置了Endpoint选项内容,则携带用户配置的值.
由于Endpoint选项内容最长为20字节,如果内容超过20个字节,则截取前20个字节作为Endpoint选项内容.
表1-36配置MPEndpoint选项操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置当前接口在MP应用时,LCP协商的Endpoint选项内容pppmpendpointendpoint-1.
3.
6配置链路分片与交叉在低速串行链路上,实时交互式通信(如Telnet和VoIP)往往会由于大型分组的发送而导致阻塞延迟.
例如,在大报文被调度而等待发送时收到语音报文,语音报文需要等该大报文被传输完毕后才能被调度.
对于交互式语音等实时应用而言,大报文导致的这种阻塞延迟太长了,对端将听到断断续续的话音.
交互式语音要求端到端的延迟不大于100~150ms.
一个1500bytes(即通常MTU的大小)的报文需要花费215ms穿过56kbps的链路,这超过了人所能忍受的延迟限制.
为了在相对低速的链路上限制实时报文的延迟时间,例如56kbpsFrameRelay或64kbpsISDNB通道,需要一种方法将大报文进行分片,将小报文和大报文的分片一起加入到队列.
LFI(LinkFragmentationandInterleaving,链路分片与交叉)将大型数据帧分割成小型帧,与其它小片的报文一起发送,从而减少在低速链路上的延迟和抖动.
被分割的数据帧在目的地被重组.
1-25图1-2描述了LFI的处理过程.
大报文和小的语音报文一起到达某个接口,将大报文分割成小的分片,如果在接口配置了WFQ(WeightedFairQueuing,加权公平队列),语音包与这些小的分片一起交叉放入WFQ.
图1-2LFI的处理过程使能LFI功能后,LFI最大分片大小由LFI分片的最大时延(通过pppmplfidelay-per-frag命令配置)和LFI分片的最大字节数(通过pppmplfisize-per-frag命令配置)决定:如果配置了LFI分片的最大字节数,LFI最大分片大小就是该最大字节数.
如果配置了LFI分片的最大时延,LFI最大分片大小通过接口的期望带宽和配置的最大时延计算得出:LFI最大分片大小=(接口的期望带宽*最大时延)÷8.
表1-37配置链路分片与交叉操作命令说明进入系统视图system-view-进入虚拟模板接口视图、MP-group接口视图或Dialer接口视图Interface{dialer|mp-group|virtual-template}mp-number-开启LFI功能pppmplfienable缺省情况下,LFI功能处于关闭状态关闭LFI功能会同时删除用户配置的LFI分片的最大时延或LFI分片的最大字节数配置传输一个LFI分片的最大时延pppmplfidelay-per-fragtime二者选其一缺省情况下,传输一个LFI分片的最大时延为10ms,LFI分片的大小由pppmplfidelay-per-frag的配置来决定配置LFI分片的最大字节数pppmplfisize-per-fragsize1.
4PPP和MP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示PPP和MP配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除相应接口的统计信息.
语音报文大报文发送队列WFQ流分类分片WFQ1-26表1-38PPP和MP显示和维护操作命令显示PPP接入用户的信息displaypppaccess-user{interfaceinterface-typeinterface-number[count]|ip-addressip-address|ipv6-addressipv6-address|usernameuser-name|user-type{lac|lns|pppoa|pppoe}[count]}显示PPP地址池的信息displayippool[pool-name|groupgroup-name]显示IPHC压缩的统计信息displaypppcompressioniphc{rtp|tcp}[interfaceinterface-typeinterface-number]显示虚拟模板接口的相关信息displayinterface[virtual-template[interface-number]][brief[description|down]]显示虚拟访问接口的相关信息displayinterface[virtual-access[interface-number]][brief[description|down]]显示MP-group接口的相关信息displayinterface[mp-group[interface-number]][brief[description|down]]显示MP的相关信息displaypppmp[interfaceinterface-typeinterface-number]清除IPHC压缩的统计信息resetpppcompressioniphc[rtp|tcp][interfaceinterface-typeinterface-number]强制PPP用户下线resetpppaccess-user{ip-addressip-address[vpn-instanceipv4-vpn-instance-name]|ipv6-addressipv6-address[vpn-instanceipv6-vpn-instance-name]|usernameuser-name}清除VA接口的统计信息resetcountersinterface[virtual-access[interface-number]]清除MP-group接口的统计信息resetcountersinterface[mp-group[interface-number]]1.
5PPP和MP典型配置举例1.
5.
1PAP单向认证举例1.
组网需求如图1-3所示,RouterA和RouterB之间用接口Serial2/1/0互连,要求RouterA用PAP方式认证RouterB,RouterB不需要对RouterA进行认证.
2.
组网图图1-3配置PAP单向认证组网图3.
配置步骤(1)配置RouterA#为RouterB创建本地用户.
system-viewRouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/0200.
1.
1.
2/161-27[RouterA]local-useruserbclassnetwork#设置本地用户的密码.
[RouterA-luser-network-userb]passwordsimplepassb#设置本地用户的服务类型为PPP.
[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp#配置本地认证RouterB的方式为PAP.
[RouterA-Serial2/1/0]pppauthentication-modepapdomainsystem#配置接口的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116[RouterA-Serial2/1/0]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[RouterA]domainsystem[RouterA-isp-system]authenticationppplocal(2)配置RouterB#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
system-view[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp#配置本地被RouterA以PAP方式认证时RouterB发送的PAP用户名和密码.
[RouterB-Serial2/1/0]ppppaplocal-useruserbpasswordsimplepassb#配置接口的IP地址.
[RouterB-Serial2/1/0]ipaddress200.
1.
1.
2164.
验证配置通过displayinterfaceserial命令,查看接口Serial2/1/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且RouterA和RouterB可以互相ping通对方.
[RouterB-Serial2/1/0]displayinterfaceserial2/1/0Serial2/1/0Currentstate:UPLineprotocolstate:UPDescription:Serial2/1/0InterfaceBandwidth:64kbpsMaximumTransmitUnit:1500InternetAddress:200.
1.
1.
2/16PrimaryLinklayerprotocol:PPPLCP:opened,IPCP:opened…略…[RouterB-Serial2/1/0]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms1-2856bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms1.
5.
2PAP双向认证举例1.
组网需求如图1-4所示,RouterA和RouterB之间用接口Serial2/1/0互连,要求RouterA和RouterB用PAP方式相互认证对方.
2.
组网图图1-4配置PAP双向认证组网图3.
配置步骤(1)配置RouterA#为RouterB创建本地用户.
system-view[RouterA]local-useruserbclassnetwork#设置本地用户的密码.
[RouterA-luser-network-userb]passwordsimplepassb#设置本地用户的服务类型为PPP.
[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp#配置本地认证RouterB的方式为PAP.
[RouterA-Serial2/1/0]pppauthentication-modepapdomainsystem#配置本地被RouterB以PAP方式认证时RouterA发送的PAP用户名和密码.
[RouterA-Serial2/1/0]ppppaplocal-useruserapasswordsimplepassa#配置接口的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116[RouterA-Serial2/1/0]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[RouterA]domainsystem[RouterA-isp-system]authenticationppplocal(2)配置RouterBRouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/0200.
1.
1.
2/161-29#为RouterA创建本地用户.
system-view[RouterB]local-useruseraclassnetwork#设置本地用户的密码.
[RouterB-luser-network-usera]passwordsimplepassa#设置本地用户的服务类型为PPP.
[RouterB-luser-network-usera]service-typeppp[RouterB-luser-network-usera]quit#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp#配置本地认证RouterA的方式为PAP.
[RouterB-Serial2/1/0]pppauthentication-modepapdomainsystem#配置本地被RouterA以PAP方式认证时RouterB发送的PAP用户名和密码.
[RouterB-Serial2/1/0]ppppaplocal-useruserbpasswordsimplepassb#配置接口的IP地址.
[RouterB-Serial2/1/0]ipaddress200.
1.
1.
216[RouterB-Serial2/1/0]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[RouterB]domainsystem[RouterB-isp-system]authenticationppplocal4.
验证配置通过displayinterfaceserial命令,查看接口Serial2/1/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且RouterA和RouterB可以互相ping通对方.
[RouterB-isp-system]displayinterfaceserial2/1/0Serial2/1/0Currentstate:UPLineprotocolstate:UPDescription:Serial2/1/0InterfaceBandwidth:64kbpsMaximumTransmitUnit:1500InternetAddress:200.
1.
1.
2/16PrimaryLinklayerprotocol:PPPLCPopened,IPCPopened…略…[RouterB-isp-system]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms56bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---1-305packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms1.
5.
3CHAP单向认证举例1.
组网需求在图1-3中,要求设备RouterA用CHAP方式认证设备RouterB.
2.
组网图图1-5配置CHAP单向认证组网图3.
配置方法一(以CHAP方式认证对端时,认证方配置了用户名)(1)配置RouterA#为RouterB创建本地用户.
system-view[RouterA]local-useruserbclassnetwork#设置本地用户的密码.
[RouterA-luser-network-userb]passwordsimplehello#设置本地用户的服务类型为PPP.
[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp#配置采用CHAP认证时RouterA的用户名.
[RouterA-Serial2/1/0]pppchapuserusera#配置本地认证RouterB的方式为CHAP.
[RouterA-Serial2/1/0]pppauthentication-modechapdomainsystem#配置接口的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116[RouterA-Serial2/1/0]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[RouterA]domainsystem[RouterA-isp-system]authenticationppplocal(2)配置RouterB#为RouterA创建本地用户.
system-view[RouterB]local-useruseraclassnetwork#设置本地用户的密码.
[RouterB-luser-network-usera]passwordsimplehelloRouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/0200.
1.
1.
2/161-31#设置本地用户的服务类型为PPP.
[RouterB-luser-network-usera]service-typeppp[RouterB-luser-network-usera]quit#配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选).
[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp#配置采用CHAP认证时RouterB的用户名.
[RouterB-Serial2/1/0]pppchapuseruserb#配置接口的IP地址.
[RouterB-Serial2/1/0]ipaddress200.
1.
1.
2164.
配置方法二(以CHAP方式认证对端时,认证方没有配置用户名)(1)配置RouterA#为RouterB创建本地用户.
system-view[RouterA]local-useruserbclassnetwork#设置本地用户的密码.
[RouterA-luser-network-userb]passwordsimplehello#设置本地用户的服务类型为PPP.
[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#配置本地认证RouterB的方式为CHAP.
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]pppauthentication-modechapdomainsystem#配置接口的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116[RouterA-Serial2/1/0]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[RouterA]domainsystem[RouterA-isp-system]authenticationppplocal(2)配置RouterB#配置采用CHAP认证时RouterB的用户名.
system-view[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]pppchapuseruserb#设置缺省的CHAP认证密码.
[RouterB-Serial2/1/0]pppchappasswordsimplehello#配置接口的IP地址.
[RouterB-Serial2/1/0]ipaddress200.
1.
1.
2165.
验证配置通过displayinterfaceserial命令,查看接口Serial2/1/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且RouterA和RouterB可以互相ping通对方.
[RouterB-Serial2/1/0]displayinterfaceserial2/1/01-32Serial2/1/0Currentstate:UPLineprotocolstate:UPDescription:Serial2/1/0InterfaceBandwidth:64kbpsMaximumTransmitUnit:1500InternetAddress:200.
1.
1.
2/16PrimaryLinklayerprotocol:PPPLCPopened,IPCPopened…略…[RouterB-Serial2/1/0]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms56bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms1.
5.
4IP地址协商举例一(在接口下指定为Client端分配的IP地址)1.
组网需求RouterA通过PPP协商,为RouterB的接口Serial2/1/0分配IP地址.
要求RouterA用接口下指定的IP地址为RouterB分配IP地址.
2.
组网图图1-6配置IP地址协商组网图3.
配置步骤(1)配置RouterA#配置接口Serial2/1/0为RouterB的接口分配的IP地址.
system-view[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]remoteaddress200.
1.
1.
10#配置接口Serial2/1/0的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116(2)配置RouterB#配置接口Serial2/1/0通过协商获取IP地址.
system-viewRouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/01-33[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]ipaddressppp-negotiate4.
验证配置配置完成后,查看设备RouterB的接口Serial2/1/0的概要信息,可见接口Serial2/1/0通过PPP协商获取的IP地址为200.
1.
1.
10.
[RouterB-Serial2/1/0]displayinterfaceserial2/1/0briefBriefinformationoninterface(s)underroutemode:Link:ADM-administrativelydown;Stby-standbyProtocol:(s)-spoofingInterfaceLinkProtocolMainIPDescriptionS2/1/0UPUP200.
1.
1.
10在RouterB上可以Ping通RouterA的Serial2/1/0接口.
[RouterB-Serial2/1/0]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms56bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms1.
5.
5IP地址协商举例二(从接口下指定的PPP地址池中分配IP地址)1.
组网需求RouterA通过PPP协商,为RouterB的接口Serial2/1/0分配IP地址.
要求RouterA从接口下指定的PPP地址池中分配IP地址.
2.
组网图图1-7配置IP地址协商组网图3.
配置步骤(1)配置RouterA#配置PPP地址池aaa,IP地址范围为200.
1.
1.
10到200.
1.
1.
20,PPP地址池所在的组为AAA.
system-view[RouterA]ippoolaaa200.
1.
1.
10200.
1.
1.
20groupAAA#配置PPP地址池路由.
[RouterA]pppip-poolroute200.
1.
1.
124#配置接口Serial2/1/0使用PPP地址池为RouterB的接口分配IP地址.
RouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/01-34[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]remoteaddresspoolaaa#配置接口Serial2/1/0的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116(2)配置RouterB#配置接口Serial2/1/0通过协商获取IP地址.
system-view[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]ipaddressppp-negotiate4.
验证配置配置完成后,查看设备RouterB的接口Serial2/1/0的概要信息,可见接口Serial2/1/0通过PPP协商获取的IP地址为200.
1.
1.
10.
[RouterB-Serial2/1/0]displayinterfaceserial2/1/0briefBriefinformationoninterface(s)underroutemode:Link:ADM-administrativelydown;Stby-standbyProtocol:(s)-spoofingInterfaceLinkProtocolMainIPDescriptionS2/1/0UPUP200.
1.
1.
10在RouterB上可以Ping通RouterA的Serial2/1/0接口.
[RouterB-Serial2/1/0]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms56bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms在RouterA上可以看到PPP地址池中已分配一个地址.
[RouterA-Serial2/1/0]displayippoolaaaGroupname:AAAPoolnameStartIPaddressEndIPaddressFreeInuseaaa200.
1.
1.
10200.
1.
1.
20101InuseIPaddresses:IPaddressInterface200.
1.
1.
10S2/1/01.
5.
6IP地址协商举例三(从ISP域下关联的PPP地址池中分配IP地址)1.
组网需求RouterA通过PPP协商,为RouterB的接口Serial2/1/0分配IP地址.
要求RouterA从ISP域下关联的PPP地址池中分配IP地址.
1-352.
组网图图1-8配置IP地址协商组网图3.
配置步骤(1)配置RouterA#配置PPP地址池aaa,IP地址范围为200.
1.
1.
10到200.
1.
1.
20,PPP地址池所在的组为AAA.
system-view[RouterA]ippoolaaa200.
1.
1.
10200.
1.
1.
20groupAAA#配置PPP地址池路由.
[RouterA]pppip-poolroute200.
1.
1.
124#为RouterB创建本地用户.
[RouterA]local-useruserbclassnetwork#设置本地用户的密码.
[RouterA-luser-network-userb]passwordsimple123#设置本地用户的服务类型为PPP.
[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#创建ISP域,并在ISP域下关联PPP地址池.
[RouterA]domainbbb[RouterA-isp-bbb]authorization-attributeip-poolaaa[RouterA-isp-bbb]quit#配置接口Serial2/1/0在ISP域bbb中采用PAP方式认证RouterB.
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]pppauthentication-modepapdomainbbb#配置接口Serial2/1/0的IP地址.
[RouterA-Serial2/1/0]ipaddress200.
1.
1.
116(2)配置RouterB#配置本地被RouterA以PAP方式认证时RouterB发送的PAP用户名和密码.
system-view[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]ppppaplocal-useruserbpasswordsimple123#配置接口Serial2/1/0通过协商获取IP地址.
[RouterB-Serial2/1/0]ipaddressppp-negotiate4.
验证配置配置完成后,查看设备RouterB的接口Serial2/1/0的概要信息,可见接口Serial2/1/0通过PPP协商获取的IP地址为200.
1.
1.
10.
[RouterB-Serial2/1/0]displayinterfaceserial2/1/0briefBriefinformationoninterface(s)underroutemode:Link:ADM-administrativelydown;Stby-standbyRouterARouterBSer2/1/0200.
1.
1.
1/16Ser2/1/01-36Protocol:(s)-spoofingInterfaceLinkProtocolMainIPDescriptionS2/1/0UPUP200.
1.
1.
10在RouterB上可以Ping通RouterA的Serial2/1/0接口.
[RouterB-Serial2/1/0]ping200.
1.
1.
1Ping200.
1.
1.
1(200.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom200.
1.
1.
1:icmp_seq=0ttl=128time=3.
197ms56bytesfrom200.
1.
1.
1:icmp_seq=1ttl=128time=2.
594ms56bytesfrom200.
1.
1.
1:icmp_seq=2ttl=128time=2.
739ms56bytesfrom200.
1.
1.
1:icmp_seq=3ttl=128time=1.
738ms56bytesfrom200.
1.
1.
1:icmp_seq=4ttl=128time=1.
744ms---Pingstatisticsfor200.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=1.
738/2.
402/3.
197/0.
576ms在RouterA上可以看到PPP地址池中已分配一个地址.
[RouterA-Serial2/1/0]displayippoolaaaGroupname:AAAPoolnameStartIPaddressEndIPaddressFreeInuseaaa200.
1.
1.
10200.
1.
1.
20101InuseIPaddresses:IPaddressInterface200.
1.
1.
10S2/1/01.
5.
7三种MP绑定方式配置举例1.
组网需求设备RouterA和RouterB的Serial2/1/1和Serial2/1/0分别对应连接.
采用三种MP绑定方式,第一种是将链路直接绑定到VT上;第二种是按用户名查找VT,第三种是将链路绑定到MP-group接口.
2.
组网图图1-9三种MP绑定方式配置组网图3.
第一种绑定方式(将物理接口直接绑定到VT接口上)(1)配置RouterA#创建虚拟模板接口,配置相应的IP地址.
system-view[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]ipaddress8.
1.
1.
124[RouterA-Virtual-Template1]quit#配置串口Serial2/1/1.
RouterARouterBSer2/1/0Ser2/1/0Ser2/1/1Ser2/1/1MP1-37[RouterA]interfaceserial2/1/1[RouterA-Serial2/1/1]link-protocolppp[RouterA-Serial2/1/1]pppmpvirtual-template1[RouterA-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp[RouterA-Serial2/1/0]pppmpvirtual-template1[RouterA-Serial2/1/0]quit(2)配置RouterB#创建虚拟模板接口,配置相应的IP地址.
system-view[RouterB]interfacevirtual-template1[RouterB-Virtual-Template1]ipaddress8.
1.
1.
224[RouterB-Virtual-Template1]quit#配置串口Serial2/1/1.
[RouterB]interfaceserial2/1/1[RouterB-Serial2/1/1]link-protocolppp[RouterB-Serial2/1/1]pppmpvirtual-template1[RouterB-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp[RouterB-Serial2/1/0]pppmpvirtual-template1[RouterB-Serial2/1/0]quit(3)在RouterA上查看绑定结果#查看MP的相关信息.
[RouterA]displaypppmpTemplate:Virtual-Template1max-bind:16,fragment:enabled,min-fragment:128Masterlink:Virtual-Access0,Activemembers:2,BundleH3CPeer'sendPointdescriptor:H3CSequenceformat:long(rcv)/long(sent)BundleUpTime:2013/01/1007:13:10:7230lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcv)/0(sent)Activememberchannels:2membersSerial2/1/1Up-Time:2013/01/1007:13:10:724Serial2/1/0Up-Time:2013/01/1007:13:11:945#查看VA状态.
[RouterA]displayinterfacevirtual-accessVirtual-Access0Currentstate:UPLineprotocolstate:UPDescription:Virtual-Access0InterfaceBandwidth:128kbps1-38MaximumTransmitUnit:1500Holdtimer:10seconds,retrytimes:5InternetAddressis8.
1.
1.
1/24PrimaryLinklayerprotocol:PPPLCP:opened,MP:opened,IPCP:openedPhysical:MP,baudrate:128000bpsMaininterface:Virtual-Template1Outputqueue-Urgentqueuing:Size/Length/Discards0/100/0Outputqueue-Protocolqueuing:Size/Length/Discards0/500/0Outputqueue-FIFOqueuing:Size/Length/Discards0/75/0Last300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:2packets,80bytes,0dropsOutput:2packets,24bytes,0drops(4)在RouterB上ping对端IP地址8.
1.
1.
1[RouterB]ping8.
1.
1.
1Ping8.
1.
1.
1(8.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom8.
1.
1.
1:icmp_seq=0ttl=255time=4.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=1ttl=255time=0.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=2ttl=255time=0.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=3ttl=255time=0.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=4ttl=255time=1.
000ms---Pingstatisticsfor8.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
000/1.
000/4.
000/1.
549ms4.
第二种绑定方式(按用户名找VT)(1)配置RouterA#配置对端设备RouterB在RouterA上的用户名和密码.
system-view[RouterA]local-useruseraclassnetwork[RouterA-luser-network-usera]passwordsimpleaaa[RouterA-luser-network-usera]service-typeppp[RouterA-luser-network-usera]quit[RouterA]local-useruserbclassnetwork[RouterA-luser-network-userb]passwordsimplebbb[RouterA-luser-network-userb]service-typeppp[RouterA-luser-network-userb]quit#指定用户对应的VT.
[RouterA]pppmpuseruserabindvirtual-template1[RouterA]pppmpuseruserbbindvirtual-template1#创建VT,配置相应的IP地址.
[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]ipaddress8.
1.
1.
124[RouterA-Virtual-Template1]pppmpbinding-modeauthentication[RouterA-Virtual-Template1]quit1-39#配置串口Serial2/1/1.
[RouterA]interfaceserial2/1/1[RouterA-Serial2/1/1]link-protocolppp[RouterA-Serial2/1/1]pppauthentication-modepap[RouterA-Serial2/1/1]ppppaplocal-userusercpasswordsimpleccc[RouterA-Serial2/1/1]pppmp[RouterA-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp[RouterA-Serial2/1/0]pppauthentication-modepap[RouterA-Serial2/1/0]ppppaplocal-useruserdpasswordsimpleddd[RouterA-Serial2/1/0]pppmp[RouterA-Serial2/1/0]quit(2)配置RouterB#配置对端设备RouterA在RouterB上的用户名和密码.
system-view[RouterB]local-userusercclassnetwork[RouterB-luser-network-userc]passwordsimpleccc[RouterB-luser-network-userc]service-typeppp[RouterB-luser-network-userc]quit[RouterB]local-useruserdclassnetwork[RouterB-luser-network-userd]passwordsimpleddd[RouterB-luser-network-userd]service-typeppp[RouterB-luser-network-userd]quit#指定用户对应的VT.
[RouterB]pppmpuserusercbindvirtual-template1[RouterB]pppmpuseruserdbindvirtual-template1#创建VT,配置相应的IP地址.
[RouterB]interfacevirtual-template1[RouterB-Virtual-Template1]ipaddress8.
1.
1.
224[RouterB-Virtual-Template1]pppmpbinding-modeauthentication[RouterB-Virtual-Template1]quit#配置串口Serial2/1/1.
[RouterB]interfaceserial2/1/1[RouterB-Serial2/1/1]link-protocolppp[RouterB-Serial2/1/1]pppauthentication-modepap[RouterB-Serial2/1/1]ppppaplocal-useruserapasswordsimpleaaa[RouterB-Serial2/1/1]pppmp[RouterB-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp[RouterB-Serial2/1/0]pppauthentication-modepap[RouterB-Serial2/1/0]ppppaplocal-useruserbpasswordsimplebbb[RouterB-Serial2/1/0]pppmp1-40[RouterB-Serial2/1/0]quit(3)在RouterA上查看绑定效果#查看MP的相关信息.
[RouterA]displaypppmpTemplate:Virtual-Template1max-bind:16,fragment:enabled,min-fragment:128Masterlink:Virtual-Access0,Activemembers:1,BundleuseraPeer'sendPointdescriptor:H3CSequenceformat:long(rcv)/long(sent)BundleUpTime:2013/01/1008:02:34:8810lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcv)/0(sent)Activememberchannels:1membersSerial2/1/1Up-Time:2013/01/1008:02:34:881Masterlink:Virtual-Access1,Activemembers:1,BundleuserbPeer'sendPointdescriptor:H3CSequenceformat:long(rcv)/long(sent)BundleUpTime:2013/01/1008:06:26:6330lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcv)/0(sent)Activememberchannels:1membersSerial2/1/0Up-Time:2013/01/1008:06:26:634(4)在RouterB上查看绑定效果#查看MP的相关信息.
[RouterB]displaypppmpTemplate:Virtual-Template1max-bind:16,fragment:enabled,min-fragment:128Masterlink:Virtual-Access2,Activemembers:1,BundleusercPeer'sendPointdescriptor:H3CSequenceformat:long(rcv)/long(sent)BundleUpTime:2013/01/1012:31:13:3910lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcv)/0(sent)Activememberchannels:1membersSerial2/1/1Up-Time:2013/01/1012:31:13:392Masterlink:Virtual-Access3,Activemembers:1,BundleuserdPeer'sendPointdescriptor:H3CSequenceformat:long(rcv)/long(sent)BundleUpTime:2013/01/1012:35:05:880lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcv)/0(sent)Activememberchannels:1membersSerial2/1/0Up-Time:2013/01/1012:35:05:89#查看VA状态.
[RouterB]displayinterfacevirtual-accessVirtual-Access2Currentstate:UP1-41Lineprotocolstate:UPDescription:Virtual-Access2InterfaceBandwidth:64kbpsMaximumTransmitUnit:1500Holdtimer:10seconds,retrytimes:5InternetAddressis8.
1.
1.
2/24PrimaryLinklayerprotocol:PPPLCP:opened,MP:opened,IPCP:openedPhysical:MP,baudrate:64000bpsMaininterface:Virtual-Template1Outputqueue-Urgentqueuing:Size/Length/Discards0/100/0Outputqueue-Protocolqueuing:Size/Length/Discards0/500/0Outputqueue-FIFOqueuing:Size/Length/Discards0/75/0Last300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:2packets,80bytes,0dropsOutput:2packets,24bytes,0dropsVirtual-Access3Currentstate:UPLineprotocolstate:UPDescription:Virtual-Access3InterfaceBandwidth:64kbpsMaximumTransmitUnit:1500Holdtimer:10seconds,retrytimes:5InternetAddressis8.
1.
1.
2/24PrimaryLinklayerprotocol:PPPLCP:opened,MP:opened,IPCP:openedPhysical:MP,baudrate:64000bpsMaininterface:Virtual-Template1Outputqueue-Urgentqueuing:Size/Length/Discards0/100/0Outputqueue-Protocolqueuing:Size/Length/Discards0/500/0Outputqueue-FIFOqueuing:Size/Length/Discards0/75/0Last300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:2packets,80bytes,0dropsOutput:2packets,24bytes,0drops#在RouterB上ping对端IP地址8.
1.
1.
1.
[RouterB]ping8.
1.
1.
1Ping8.
1.
1.
1(8.
1.
1.
1):56databytes,pressCTRL_Ctobreak56bytesfrom8.
1.
1.
1:icmp_seq=0ttl=255time=0.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=1ttl=255time=0.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=2ttl=255time=1.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=3ttl=255time=1.
000ms56bytesfrom8.
1.
1.
1:icmp_seq=4ttl=255time=0.
000ms---Pingstatisticsfor8.
1.
1.
1---5packet(s)transmitted,5packet(s)received,0.
0%packetloss1-42round-tripmin/avg/max/std-dev=0.
000/0.
400/1.
000/0.
490ms5.
第三种绑定方式(将链路绑定到MP-group接口)(1)配置RouterA#创建MP-group接口,配置相应的IP地址.
system-view[RouterA]interfacemp-group2/0/0[RouterA-MP-group2/0/0]ipaddress1.
1.
1.
124#配置串口Serial2/1/1.
[RouterA-MP-group2/0/0]quit[RouterA]interfaceserial2/1/1[RouterA-Serial2/1/1]link-protocolppp[RouterA-Serial2/1/1]pppmpmp-group2/0/0[RouterA-Serial2/1/1]shutdown[RouterA-Serial2/1/1]undoshutdown[RouterA-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterA]interfaceserial2/1/0[RouterA-Serial2/1/0]link-protocolppp[RouterA-Serial2/1/0]pppmpmp-group2/0/0[RouterA-Serial2/1/0]shutdown[RouterA-Serial2/1/0]undoshutdown[RouterA-Serial2/1/0]quit(2)配置RouterB#创建MP-group接口,配置相应的IP地址.
[RouterB]interfacemp-group2/0/0[RouterB-Mp-group2/0/0]ipaddress1.
1.
1.
224[RouterB-Mp-group2/0/0]quit#配置串口Serial2/1/1.
[RouterB]interfaceserial2/1/1[RouterB-Serial2/1/1]link-protocolppp[RouterB-Serial2/1/1]pppmpmp-group2/0/0[RouterB-Serial2/1/1]shutdown[RouterB-Serial2/1/1]undoshutdown[RouterB-Serial2/1/1]quit#配置串口Serial2/1/0.
[RouterB]interfaceserial2/1/0[RouterB-Serial2/1/0]link-protocolppp[RouterB-Serial2/1/0]pppmpmp-group2/0/0[RouterB-Serial2/1/0]shutdown[RouterB-Serial2/1/0]undoshutdown[RouterB-Serial2/1/0]quit(3)在RouterA上查看绑定效果#查看MP的相关信息.
[RouterA]displaypppmpTemplate:MP-group2/0/01-43max-bind:16,fragment:enabled,min-fragment:128Masterlink:MP-group2/0/0,Activemembers:2,BundleMultilinkPeer'sendPointdescriptor:MP-group2/0/0Sequenceformat:short(rcv)/long(sent)BundleUpTime:2012/11/0409:03:16:6120lostfragments,0reordered,0unassigned,0interleavedSequence:0(rcvd)/0(sent)Activememberchannels:2membersSerial2/1/1Up-Time:2012/11/0409:03:16:613Serial2/1/0Up-Time:2012/11/0409:03:42:945#查看MP-group2/0/0接口的相关信息.
[RouterA]displayinterfacemp-group2/0/0MP-group2/0/0Currentstate:UPLineprotocolstate:UPDescription:MP-group2/0/0InterfaceBandwidth:2048kbpsMaximumTransmitUnit:1500Holdtimer:10seconds,retrytimes:5InternetAddressis1.
1.
1.
1/24PrimaryLinklayerprotocol:PPPLCP:opened,MP:opened,IPCP:openedPhysical:MP,baudrate:2048000bpsOutputqueue-Urgentqueuing:Size/Length/Discards0/100/0Outputqueue-Protocolqueuing:Size/Length/Discards0/500/0Outputqueue-FIFOqueuing:Size/Length/Discards0/75/0Lastlinkflapping:NeverLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:2packets,80bytes,0dropsOutput:2packets,24bytes,0drops#在RouterA上ping对端IP地址.
[RouterA]ping1.
1.
1.
2Ping1.
1.
1.
2(1.
1.
1.
2):56databytes,pressCTRL_Ctobreak56bytesfrom1.
1.
1.
2:icmp_seq=0ttl=255time=4.
000ms56bytesfrom1.
1.
1.
2:icmp_seq=1ttl=255time=1.
000ms56bytesfrom1.
1.
1.
2:icmp_seq=2ttl=255time=0.
000ms56bytesfrom1.
1.
1.
2:icmp_seq=3ttl=255time=7.
000ms56bytesfrom1.
1.
1.
2:icmp_seq=4ttl=255time=1.
000ms---Pingstatisticsfor1.
1.
1.
2---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
000/2.
600/7.
000/2.
577ms2-12PPPoEMSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/2600-10-X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/3600-28/3600-51路由器使用集中式命令行,MSR5620/5660/5680路由器使用分布式命令行.
2.
1PPPoE简介PPPoE(Point-to-PointProtocoloverEthernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP协议的扩展.
2.
1.
1PPPoE概述PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法.
要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系.
PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能.
由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中.
PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接.
关于PPPoE的详细介绍,可以参考RFC2516.
2.
1.
2PPPoE组网结构PPPoE使用Client/Server模型.
PPPoEClient向PPPoEServer发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoEServer向PPPoEClient提供接入控制、认证、计费等功能.
根据PPPoE会话的起点所在位置的不同,有两种组网结构:第一种方式是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoEClient位于企业/公司内部,PPPoEServer是运营商的设备).
2-2图2-1PPPoE组网结构图1第二种方式是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoEClient,每个Host使用一个帐号,方便运营商对用户进行计费和控制.
Host上必须安装PPPoE客户端拨号软件.
图2-2PPPoE组网结构图22.
2配置PPPoE设备作为PPPoEServer时,配置过程请参见"2.
2.
1配置PPPoEServer.
设备作为PPPoEClient时,配置过程请参见"2.
2.
2配置PPPoEClient.
RouterBHostAHostBHostCModemPPPoEServerPPPoEClientRouterADSLAMInternet客户端设备运营商设备InternetPPPoEServerHostAHostBRouterPPPoEClientPPPoEClient2-32.
2.
1配置PPPoEServer1.
配置PPPoE会话表2-1配置PPPoE会话操作命令说明进入系统视图system-view-创建虚拟模板接口并进入指定的虚拟模板接口视图interfacevirtual-templatenumber如果指定的虚拟模板接口已经创建,则该命令用来直接进入虚拟模板接口视图设置PPP的工作参数(包括:认证方式、IP地址获取方式,用户还可以设置为PPP对端分配的IP地址或使用地址池为PPP对端分配IP地址)请参见"1.
2配置PPP"如果配置认证,PPPoEServer需作为认证方开启PPPoE应用的MRU检测功能ppplcpechomruverify[minimumvalue]PPPoE应用的MRU检测功能处于关闭状态退回系统视图quit-进入三层以太网接口视图/三层以太网子接口视图/三层VE接口视图/三层VE子接口视图/VLAN接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN接口视图/VE-L3VPN子接口视图/EFM接口视图/EFM子接口视图interfaceinterface-typeinterface-number-在接口上启用PPPoEServer协议,将该接口与指定的虚拟模板接口绑定pppoe-serverbindvirtual-templatenumber缺省情况下,接口上的PPPoEServer协议处于关闭状态(可选)配置PPPoEServer的ACName(AccessConcentratorName,接入集中器名称)pppoe-servertagac-namename缺省情况下,PPPoEServer的ACName为设备名称PPPoEClient可以根据ACName来选择PPPoEServer(H3C实现的PPPoEClient暂不支持该功能)(可选)使能对PPP最大负载TAG的支持,并指定最大负载的范围pppoe-servertagppp-max-payload[minimumminvaluemaximummaxvalue]缺省情况下,不支持PPP最大负载TAG(可选)配置PPPoEServer的ServiceNamepppoe-servertagservice-namename缺省情况下,PPPoEServer的ServiceName为空(可选)配置用户接入响应延迟时间pppoe-serveraccess-delaydelay-time缺省情况下,对用户接入响应不延时退回系统视图quit-配置PPPoEServer对PPP用户进行认证、授权、计费相关内容请参见"安全配置指导"中的"AAA"-2-42.
限制创建PPPoE会话的数目系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:接口下每个用户所能创建PPPoE会话的最大数目限制接口下每个VLAN所能创建PPPoE会话的最大数目限制接口上所能创建PPPoE会话的最大数目限制单板所能创建PPPoE会话的最大数目限制(分布式设备-独立运行模式/分布式设备-IRF模式)成员设备所能创建PPPoE会话的最大数目限制(集中式设备-IRF模式)系统所能创建PPPoE会话的最大数目限制(集中式设备-独立运行模式)本功能配置后仅对新创建的PPPoE会话有效,对已经创建的PPPoE会话无效,即不会导致已经上线的用户下线.
建议配置系统所能创建PPPoE会话的最大数目,不要超过整机PPPoE的最大会话数(整机PPPoE的最大会话数由设备的缺省规格或授权的License规格决定),否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线.
(集中式设备-独立运行模式)建议设备上配置的所有单板/成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数(整机PPPoE的最大会话数由设备的缺省规格或授权的License规格决定),否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线.
(分布式设备-独立运行模式/分布式设备-IRF模式/集中式设备-IRF模式)表2-2限制创建PPPoE会话的数目操作命令说明进入系统视图system-view-进入三层以太网接口视图/三层以太网子接口视图/三层VE接口视图/三层VE子接口视图/VLAN接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN接口视图/VE-L3VPN子接口视图/EFM接口视图/EFM子接口视图interfaceinterface-typeinterface-number该接口为启用PPPoEServer协议的接口配置接口上所能创建PPPoE会话的最大数目pppoe-serversession-limitnumber缺省情况下,不限制接口上所能创建PPPoE会话的数目配置在接口下,每个VLAN所能创建PPPoE会话的最大数目pppoe-serversession-limitper-vlannumber缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目配置在接口下,每个用户所能创建PPPoE会话的最大数目pppoe-serversession-limitper-macnumber缺省情况下,每个用户可创建100个PPPoE会话退回系统视图quit-配置系统所能创建PPPoE会话的最大数目(集中式设备-独立运行模式)pppoe-serversession-limittotalnumber缺省情况下,不限制系统所能创建PPPoE会话的数目配置单板所能创建PPPoE会话的最大数目(分布式设备-独立运行模式)pppoe-serversession-limitslotslot-numbertotalnumber缺省情况下,不限制单板所能创建PPPoE会话的数目2-5操作命令说明配置成员设备所能创建PPPoE会话的最大数目(集中式设备-IRF模式)pppoe-serversession-limitslotslot-numbertotalnumber缺省情况下,不限制成员设备所能创建PPPoE会话的数目配置成员设备的指定单板所能创建PPPoE会话的最大数目(分布式设备-IRF模式)pppoe-serversession-limitchassischassis-numberslotslot-numbertotalnumber缺省情况下,不限制单板所能创建PPPoE会话的数目3.
限制用户创建PPPoE会话的速度设备可以限制特定接口下每个用户(每个用户通过MAC地址进行标识)创建会话的速度.
如果用户建立会话的速度达到门限值,即在监视时间段内该用户的会话请求数目超过配置的允许数目,则扼制该用户的会话请求,即在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息.
如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息.
系统使用监控表和扼制表来共同控制用户创建会话的速度:监视表:监视各用户在监视时间周期内创建的会话数.
监视表的规格为8K.
当监视表达到规格时,对新用户的会话请求不进行监视和扼制,正常建立会话.
监视表项的老化时间为配置的session-request-period值,老化后对用户重新监视.
扼制表:当某用户建立会话的速度超过门限值时,会将该用户的信息加入扼制表,扼制该用户的会话请求.
扼制表规格为8K.
当扼制表达到规格时,对新用户的会话请求只进行监视和发送Log信息,但不触发扼制.
扼制表项的老化时间为配置的blocking-period值,老化后对用户重新监视.
修改本功能的配置后,系统将删除已记录的监视表和扼制表,重新开始监视每个用户的会话请求.
表2-3限制用户创建PPPoE会话的速度操作命令说明进入系统视图system-view-进入三层以太网接口视图/三层以太网子接口视图/三层VE接口视图/三层VE子接口视图/VLAN接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN接口视图/VE-L3VPN子接口视图/EFM接口视图/EFM子接口视图interfaceinterface-typeinterface-number该接口为启用PPPoEServer协议的接口配置接口允许每个用户创建会话的速度pppoe-serverthrottleper-macsession-requestssession-request-periodblocking-period缺省情况下,不限制会话建立的速度显示被扼制的用户信息(集中式设备-独立运行模式)displaypppoe-serverthrottled-mac[interfaceinterface-typeinterface-number]display命令可以在任意视图执行显示被扼制的用户信息(分布式设备-独立运行模式/集中式设备-IRF模式)displaypppoe-serverthrottled-mac{slotslot-number|interfaceinterface-typeinterface-number}display命令可以在任意视图执行2-6操作命令说明显示被扼制的用户信息(分布式设备-IRF模式)displaypppoe-serverthrottled-mac{chassischassis-numberslotslot-number|interfaceinterface-typeinterface-number}display命令可以在任意视图执行4.
配置PPPoE会话的nas-port-id属性相关参数在含有DSLAM的组网中,DSLAM通过接入线路ID(access-line-id)把用户的物理位置信息传送给BAS设备(PPPoEServer功能部署在BAS设备上),接入线路ID的内容包括circuit-id和remote-id两部分.
BAS设备采用一定的规则解析接入线路ID后,把解析后的内容通过RADIUS的nas-port-id属性发送给RADIUS服务器,RADIUS服务器通过收到的nas-port-id属性和数据库中已配置好的物理位置信息比较,验证用户的物理位置信息是否正确.
用户可以通过下面的配置控制BAS设备上传给RADIUS服务器的nas-port-id属性的内容.
表2-4配置PPPoE会话的nas-port-id属性相关参数操作命令说明进入系统视图system-view-进入三层以太网接口视图/三层以太网子接口视图/三层VE接口视图/三层VE子接口视图/VLAN接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN接口视图/VE-L3VPN子接口视图/EFM接口视图/EFM子接口视图interfaceinterface-typeinterface-number该接口为启用PPPoEServer协议的接口配置上传给RADIUS服务器的nas-port-id属性中包含的内容pppoe-serveraccess-line-idcontent{all[separator]|circuit-id|remote-id}缺省情况下,上传给RADIUS服务器的nas-port-id属性中仅包含circuit-id配置在nas-port-id属性中自动插入BAS信息pppoe-serveraccess-line-idbas-info[cn-163]缺省情况下,在nas-port-id属性中不自动插入BAS信息配置设备信任接收到的报文中的接入线路ID的内容pppoe-serveraccess-line-idtrust缺省情况下,设备不信任接收到的报文中的接入线路ID的内容配置接入线路ID中circuit-id的解析格式pppoe-serveraccess-line-idcircuirt-idparse-mode{cn-telecom|tr-101}缺省情况下,接入线路ID中circuit-id的解析格式为TR-101格式配置接入线路ID中circuit-id的传输格式pppoe-serveraccess-line-idcircuit-idtrans-format{ascii|hex}缺省情况下,接入线路ID中circuit-id的传输格式为字符串格式配置接入线路ID中remote-id的传输格式pppoe-serveraccess-line-idremote-idtrans-format{ascii|hex}缺省情况下,接入线路ID中remote-id的传输格式为字符串格式5.
配置VA池PPPoE在建立连接时需要创建VA接口(VA接口用于PPPoE与PPP之间的报文传递),在用户下线后需要删除VA接口.
由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响.
2-7使用VA池对PPPoE的连接建立、连接拆除性能有显著提高.
VA池是在建立连接前事先创建的VA接口的集合.
创建VA池后,当需要创建VA接口时,直接从VA池中获取一个VA接口,加快了PPPoE连接的建立速度.
当用户下线后,直接把VA接口放入VA池中,不需要删除VA接口,加快了PPPoE连接的拆除速度.
当VA池中的VA接口耗光后,仍需在建立PPPoE连接时再创建VA接口,在用户下线后删除VA接口.
配置VA池时需要注意:每个虚拟模板接口只能关联一个全局VA池,在每个单板上只能关联一个局部VA池.
通过某单板上的以太网接口上线的用户,只能使用上线以太网接口绑定的虚拟模板接口在该单板上关联的VA池.
如果想要修改使用的VA池的大小,只能先删除原来的配置,然后重新配置VA池.
创建/删除VA池需要花费一定的时间,请用户耐心等待.
在VA池创建/删除过程中(还没创建/删除完成)允许用户上线/下线,但正在创建/删除的VA池不生效.
系统可能由于资源不足不能创建用户指定容量的VA池,用户可以通过displaypppoe-serverva-pool命令查看实际可用的VA池的容量以及VA池的状态.
删除VA池时,如果已有在线用户使用该VA池中的VA接口,不会导致这些用户下线.
表2-5配置VA池操作命令说明进入系统视图system-view-配置VA池(集中式设备-独立运行模式)pppoe-servervirtual-templatetemplate-numberva-poolva-volume缺省情况下,不存在VA池配置VA池(分布式设备-独立运行模式/集中式设备-IRF模式)pppoe-servervirtual-templatetemplate-number[slotslot-number]va-poolva-volume缺省情况下,不存在VA池配置VA池(分布式设备-IRF模式)pppoe-servervirtual-templatetemplate-number[chassischassis-numberslotslot-number]va-poolva-volume缺省情况下,不存在VA池6.
清除PPPoE会话在用户视图下执行resetpppoe-server命令,可在PPPoEServer端清除PPPoE会话.
表2-6清除PPPoE会话操作命令说明清除PPPoE会话resetpppoe-server{all|interfaceinterface-typeinterface-number|virtual-templatenumber}-2.
2.
2配置PPPoEClientPPPoEClient的配置包括配置拨号接口和配置PPPoE会话.
PPPoE会话有三种工作模式:永久在线模式、按需拨号模式、诊断模式.
永久在线模式:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话.
除非用户删除PPPoE会话,否则此PPPoE会话将一直存在.
2-8按需拨号模式:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话.
如果PPPoE链路的空闲时间超过用户配置的值,设备会自动中止PPPoE会话.
诊断模式:设备在配置完成后立即发起PPPoE呼叫,建立PPPoE会话.
每隔用户配置的重建时间间隔,设备会自动断开该会话、并重新发起呼叫建立会话.
通过定期建立、删除PPPoE会话,可以监控PPPoE链路是否处于正常工作状态.
PPPoE会话的工作模式由对应的拨号接口的配置决定:当Dialer接口的链路空闲时间(通过dialertimeridle命令配置)配置为0,且Dialer接口上没有配置dialerdiagnose命令时,PPPoE会话将工作在永久在线模式.
当Dialer接口的链路空闲时间(通过dialertimeridle命令配置)配置不为0,且Dialer接口上没有配置dialerdiagnose命令时,PPPoE会话将工作在按需拨号模式.
当Dialer接口上配置了dialerdiagnose命令时,PPPoE会话将工作在诊断模式.
1.
配置拨号接口在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上使能共享DDR.
每个PPPoE会话唯一对应一个Dialerbundle,而每个Dialerbundle又唯一对应一个Dialer接口.
这样就相当于通过一个Dialer接口可以创建一个PPPoE会话.
关于拨号接口、Dialer接口、共享DDR、Dialerbundle的详细介绍和相关配置,请参见"二层技术-广域网接入配置指导"中的"DDR".
表2-7配置拨号接口操作命令说明进入系统视图system-view-创建拨号访问组,并配置拨号控制规则dialer-groupgroup-numberrule{protocol-name{deny|permit}|acl{acl-number|nameacl-name}}缺省情况下,不存在拨号访问组创建Dialer接口,并进入该Dialer接口视图interfacedialernumber-配置接口IP地址ipaddress{addressmask|ppp-negotiate}缺省情况下,接口没有配置IP地址使能共享DDRdialerbundleenable缺省情况下,接口上不使能任何类型的DDR配置该拨号接口关联的拨号访问组,将该接口与拨号控制规则关联起来dialer-groupgroup-number缺省情况下,接口不与任何拨号访问组相关联配置链路空闲时间dialertimeridleidle[in|in-out]缺省情况下,链路空闲时间为120秒当idle配置为0时,PPPoE会话工作在永久在线模式下,否则工作在按需拨号模式下配置DDR应用工作在诊断模式dialerdiagnose[intervalinterval]缺省情况下,工作在非诊断模式当工作在诊断模式时,链路空闲时间无效2-9操作命令说明配置DDR自动拨号的间隔时间dialertimerautodialautodial-interval缺省情况下,DDR自动拨号的间隔时间为300秒当工作在永久在线模式或者诊断模式情况下,链路断开后将启动自动拨号定时器,等待自动拨号定时器超时后再重新发起呼叫为了在链路断开时可以尽快自动重新拨号,建议将自动拨号的时间间隔配置的小一些配置Dialer接口的MTU值mtusize缺省情况下,Dialer接口的MTU值为1500字节对于PPPoEClient应用的Dialer接口,应修改其MTU值,保证分片后的报文加上2个字节的PPP头和6个字节的PPPoE头之后的总长度不超过对应PPPoE会话所在接口的MTU值2.
配置PPPoE会话表2-8配置PPPoE会话操作命令说明进入系统视图system-view-进入三层以太网接口视图/三层以太网子接口视图/三层虚拟以太网接口视图/三层虚拟以太网子接口视图/VLAN接口视图/WLAN以太网接口视图interfaceinterface-typeinterface-number-建立一个PPPoE会话,并且指定该会话所对应的Dialerbundlepppoe-clientdial-bundle-numbernumber[no-hostuniq]缺省情况下,没有配置PPPoE会话该Dialerbundle的序号number与Dialer接口的编号相同3.
复位PPPoE会话当PPPoE会话工作在永久在线模式时,如果使用resetpppoe-client命令复位PPPoE会话,设备会在自动拨号定时器超时后自动重新建立PPPoE会话.
当PPPoE会话工作在按需拨号模式时,如果使用resetpppoe-client命令复位PPPoE会话,设备会在有数据需要传送时,才重新建立PPPoE会话.
表2-9复位PPPoE会话操作命令说明复位PPPoE会话resetpppoe-client{all|dial-bundle-numbernumber}请在用户视图下进行该操作2-102.
3PPPoE显示和维护2.
3.
1PPPoEServer显示和维护在完成上述配置后,在任意视图下执行display命令可以显示PPPoEServer配置后的运行情况,通过查看显示信息验证配置的效果.
表2-10PPPoEServer显示和维护操作命令显示PPPoE会话的摘要信息(集中式设备-独立运行模式)displaypppoe-serversessionsummary[interfaceinterface-typeinterface-number]显示PPPoE会话的摘要信息(分布式设备-独立运行模式/集中式设备-IRF模式)displaypppoe-serversessionsummary{slotslot-number|interfaceinterface-typeinterface-number}显示PPPoE会话的摘要信息(分布式设备-IRF模式)displaypppoe-serversessionsummary{chassischassis-numberslotslot-number|interfaceinterface-typeinterface-number}显示PPPoE会话的数据报文统计信息(集中式设备-独立运行模式)displaypppoe-serversessionpacket[interfaceinterface-typeinterface-number]显示PPPoE会话的数据报文统计信息(分布式设备-独立运行模式/集中式设备-IRF模式)displaypppoe-serversessionpacket{slotslot-number|interfaceinterface-typeinterface-number}显示PPPoE会话的数据报文统计信息(分布式设备-IRF模式)displaypppoe-serversessionpacket{chassischassis-numberslotslot-number|interfaceinterface-typeinterface-number}显示被扼制的用户信息(集中式设备-独立运行模式)displaypppoe-serverthrottled-mac[interfaceinterface-typeinterface-number]显示被扼制的用户信息(分布式设备-独立运行模式/集中式设备-IRF模式)displaypppoe-serverthrottled-mac{slotslot-number|interfaceinterface-typeinterface-number}显示被扼制的用户信息(分布式设备-IRF模式)displaypppoe-serverthrottled-mac{chassischassis-numberslotslot-number|interfaceinterface-typeinterface-number}显示VA池信息displaypppoe-serverva-pool2.
3.
2PPPoEClient显示和维护在完成上述配置后,在任意视图下执行display命令可以显示PPPoEClient配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除PPPoE会话的协议报文统计信息.
表2-11PPPoEClient显示和维护操作命令显示PPPoE会话的概要信息displaypppoe-clientsessionsummary[dial-bundle-numbernumber]显示PPPoE会话的协议报文统计信息displaypppoe-clientsessionpacket[dial-bundle-numbernumber]2-11操作命令清除PPPoE会话的协议报文统计信息resetpppoe-clientsessionpacket[dial-bundle-numbernumber]2.
4PPPoE典型配置举例2.
4.
1PPPoEServer配置举例1.
组网需求要求以太网内的主机可以通过PPPoE接入Router,并连接到外部网络.
主机作为PPPoEClient,运行PPPoE客户端拨号软件.
Router作为PPPoEServer,配置本地CHAP认证,并通过PPP地址池为主机分配IP地址.
2.
组网图图2-3PPPoEServer配置组网图3.
配置步骤#创建一个PPPoE用户.
system-view[Router]local-useruser1classnetwork[Router-luser-network-user1]passwordsimplepass1[Router-luser-network-user1]service-typeppp[Router-luser-network-user1]quit#配置虚拟模板接口1的参数,采用CHAP认证对端,并使用PPP地址池为对端分配IP地址.
[Router]interfacevirtual-template1[Router-Virtual-Template1]pppauthentication-modechapdomainsystem[Router-Virtual-Template1]pppchapuseruser1[Router-Virtual-Template1]remoteaddresspool1[Router-Virtual-Template1]ipaddress1.
1.
1.
1255.
0.
0.
0[Router-Virtual-Template1]quit#配置PPP地址池,包含9个可分配的IP地址.
[Router]ippool11.
1.
1.
21.
1.
1.
10#在接口GigabitEthernet1/0/1上启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
[Router]interfacegigabitethernet1/0/1InternetRouterSer2/1/0GE1/0/1HostAHostB2-12[Router-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template1[Router-GigabitEthernet1/0/1]quit#在系统缺省的ISP域system下,配置域用户使用本地认证方案.
[Router]domainsystem[Router-isp-system]authenticationppplocal[Router-isp-system]quit4.
验证配置以太网上各主机安装PPPoE客户端软件后,配置好用户名和密码(此处为user1和pass1)就能使用PPPoE协议,通过设备Router接入到Internet.
2.
4.
2PPPoEClient永久在线模式配置举例1.
组网需求RouterA和RouterB之间通过各自的GigabitEthernet1/0/1接口相连,其中RouterA作为PPPoEServer,RouterB作为PPPoEClient工作在永久在线模式.
2.
组网图图2-4PPPoEClient组网图3.
配置步骤(1)配置RouterA作为PPPoEServer#配置虚拟模板接口1的IP地址,并指定为对端分配的IP地址.
system-view[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]ipaddress1.
1.
1.
1255.
0.
0.
0[RouterA-Virtual-Template1]remoteaddress1.
1.
1.
2[RouterA-Virtual-Template1]quit#在接口GigabitEthernet1/0/1上启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template1[RouterA-GigabitEthernet1/0/1]quit(2)配置RouterB作为PPPoEClient#配置拨号访问组1以及对应的拨号访问控制条件.
system-view[RouterB]dialer-group1ruleippermit#在Dialer1接口上使能共享DDR.
[RouterB]interfacedialer1[RouterB-Dialer1]dialerbundleenable#将Dialer1接口与拨号访问组1关联.
RouterARouterBGE1/0/1GE1/0/1PPPoEServerPPPoEClient2-13[RouterB-Dialer1]dialer-group1#配置Dialer1接口通过协商获取IP地址.
[RouterB-Dialer1]ipaddressppp-negotiate[RouterB-Dialer1]quit#配置一个PPPoE会话,该会话对应Dialerbundle1(Dialerbundle1对应Dialer1接口).
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]pppoe-clientdial-bundle-number1[RouterB-GigabitEthernet1/0/1]quit#配置PPPoEClient工作在永久在线模式.
[RouterB]interfacedialer1[RouterB-Dialer1]dialertimeridle0#配置DDR自动拨号的间隔时间为60秒.
[RouterB-Dialer1]dialertimerautodial60[RouterB-Dialer1]quit#配置静态路由.
[RouterB]iproute-static1.
1.
1.
1255.
0.
0.
0dialer14.
验证配置配置完成后,RouterB就可以与远端的PPPoEServer建立PPPoE会话.
[RouterB-Dialer1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState11GE1/0/1VA000e0-1400-430000e0-1500-4100SESSION2.
4.
3PPPoEClient按需拨号模式配置举例1.
组网需求RouterA和RouterB之间通过各自的GigabitEthernet1/0/1接口相连,其中RouterA作为PPPoEServer,RouterB作为PPPoEClient工作在按需拨号模式,空闲时间间隔为150秒.
2.
组网图图2-5PPPoEClient组网图3.
配置步骤(1)配置RouterA作为PPPoEServer#配置虚拟模板接口1的IP地址,并指定为对端分配的IP地址.
system-view[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]ipaddress1.
1.
1.
1255.
0.
0.
0[RouterA-Virtual-Template1]remoteaddress1.
1.
1.
2[RouterA-Virtual-Template1]quit#在接口GigabitEthernet1/0/1上启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
RouterARouterBGE1/0/1GE1/0/1PPPoEServerPPPoEClient2-14[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template1[RouterA-GigabitEthernet1/0/1]quit(2)配置RouterB作为PPPoEClient#配置拨号访问组1以及对应的拨号访问控制条件.
system-view[RouterB]dialer-group1ruleippermit#在Dialer1接口上使能共享DDR.
[RouterB]interfacedialer1[RouterB-Dialer1]dialerbundleenable#将Dialer1接口与拨号访问组1关联.
[RouterB-Dialer1]dialer-group1#配置Dialer1接口通过协商获取IP地址.
[RouterB-Dialer1]ipaddressppp-negotiate[RouterB-Dialer1]quit#配置一个PPPoE会话,该会话对应Dialerbundle1(Dialerbundle1对应Dialer1接口).
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]pppoe-clientdial-bundle-number1[RouterB-GigabitEthernet1/0/1]quit#配置静态路由.
[RouterB]iproute-static1.
1.
1.
1255.
0.
0.
0dialer1#配置空闲时间间隔为150秒.
[RouterB]interfacedialer1[RouterB-Dialer1]dialertimeridle150[RouterB-Dialer1]quit4.
验证配置配置完成后,RouterB就可以与远端的PPPoEServer建立PPPoE会话.
[RouterB-Dialer1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState11GE1/0/1VA000e0-1400-430000e0-1500-4100SESSION2.
4.
4PPPoEClient诊断模式配置举例1.
组网需求RouterA和RouterB之间通过各自的GigabitEthernet1/0/1接口相连,其中RouterA作为PPPoEServer,RouterB作为PPPoEClient工作在诊断模式,诊断时间间隔为200秒.
2.
组网图图2-6PPPoEClient组网图RouterARouterBGE1/0/1GE1/0/1PPPoEServerPPPoEClient2-153.
配置步骤(1)配置RouterA作为PPPoEServer#配置虚拟模板接口1的IP地址,并指定为对端分配的IP地址.
system-view[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]ipaddress1.
1.
1.
1255.
0.
0.
0[RouterA-Virtual-Template1]remoteaddress1.
1.
1.
2[RouterA-Virtual-Template1]quit#在接口GigabitEthernet1/0/1上启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template1[RouterA-GigabitEthernet1/0/1]quit(2)配置RouterB作为PPPoEClient#配置拨号访问组1以及对应的拨号访问控制条件.
system-view[RouterB]dialer-group1ruleippermit#在Dialer1接口上使能共享DDR.
[RouterB]interfacedialer1[RouterB-Dialer1]dialerbundleenable#将Dialer1接口与拨号访问组1关联.
[RouterB-Dialer1]dialer-group1#配置Dialer1接口通过协商获取IP地址.
[RouterB-Dialer1]ipaddressppp-negotiate[RouterB-Dialer1]quit#配置一个PPPoE会话,该会话对应Dialerbundle1(Dialerbundle1对应Dialer1接口).
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]pppoe-clientdial-bundle-number1[RouterB-GigabitEthernet1/0/1]quit#PPPoEClient工作在诊断模式,诊断时间间隔为200秒.
[RouterB]interfacedialer1[RouterB-Dialer1]dialerdiagnoseinterval200#配置自动拨号的时间间隔为10秒.
[RouterB-Dialer1]dialertimerautodial104.
验证配置配置完成后,RouterB就可以与远端的PPPoEServer建立PPPoE会话.
[RouterB-Dialer1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState11GE1/0/1VA000e0-1400-430000e0-1500-4100SESSION2.
4.
5利用ADSLModem将局域网接入Internet1.
组网需求局域网内的计算机通过RouterA访问Internet,RouterA通过ADSLModem采用永久在线的方式接入DSLAM.
2-16ADSL帐户的用户名为user1,密码为123456.
RouterB作为PPPoEServer通过ATM2/4/0接口连接至DSLAM,提供RADIUS认证、授权、计费功能.
在RouterA上使能PPPoEClient功能,局域网内的主机不用安装PPPoE客户端软件即可访问Internet.
2.
组网图图2-7利用ADSL将局域网接入Internet组网图3.
配置步骤(1)配置RouterA作为PPPoEClient#配置拨号访问组1以及对应的拨号访问控制条件.
system-view[RouterA]dialer-group1ruleippermit#在Dialer1接口上使能共享DDR.
[RouterA]interfacedialer1[RouterA-Dialer1]dialerbundleenable#将Dialer1接口与拨号访问组1关联.
[RouterA-Dialer1]dialer-group1#配置Dialer1接口通过协商获取IP地址.
[RouterA-Dialer1]ipaddressppp-negotiate#配置PPPoEClient工作在永久在线模式.
[RouterA-Dialer1]dialertimeridle0#配置本地被RouterB以PAP方式认证时RouterA发送的PAP用户名和密码.
[RouterA-Dialer1]ppppaplocal-useruser1passwordsimple123456RouterBHostAHostBHostCModemGE1/0/2192.
168.
1.
1/24GE1/0/1ATM2/4/0PPPoEServerPPPoEClientRouterADSLAMInternetRADIUSServer11.
110.
91.
1462-17[RouterA-Dialer1]quit#配置PPPoE会话.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-clientdial-bundle-number1[RouterA-GigabitEthernet1/0/1]quit#配置局域网接口的IP地址.
[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipaddress192.
168.
1.
1255.
255.
255.
0[RouterA-GigabitEthernet1/0/2]quit#配置缺省路由.
[RouterA]iproute-static0.
0.
0.
00dialer1如果局域网内计算机使用的IP地址为私有地址,还需要在设备上配置NAT(NetworkAddressTranslation,网络地址转换).
NAT的相关内容请参见"三层技术-IP业务配置指导"中的"NAT".
(2)配置RouterB作为PPPoEServer#配置虚拟模板参数,采用PAP认证对端,配置本端IP地址,并使用PPP地址池为对端分配IP地址.
system-view[RouterB]interfacevirtual-template1[RouterB-Virtual-Template1]pppauthentication-modepapdomainsystem[RouterB-Virtual-Template1]remoteaddresspool1[RouterB-Virtual-Template1]ipaddress1.
1.
1.
1255.
0.
0.
0[RouterB-Virtual-Template1]quit#配置PPP地址池,包含9个可分配的IP地址.
[RouterB]ippool11.
1.
1.
21.
1.
1.
10#在Virtual-Ethernet接口上使能PPPoEServer.
[RouterB]interfacevirtual-ethernet1[RouterB-Virtual-Ethernet1]mac-address0001-0000-0001[RouterB-Virtual-Ethernet1]pppoe-serverbindvirtual-template1[RouterB-Virtual-Ethernet1]quit#对ATM接口进行配置.
[RouterB]interfaceatm2/4/0.
1[RouterB-ATM2/4/0.
1]pvcto_adsl_a0/60[RouterB-ATM2/4/0.
1-pvc-to_adsl_a-0/60]mapbridgevirtual-ethernet1[RouterB-ATM2/4/0.
1-pvc-to_adsl_a-0/60]quit[RouterB-Atm2/4/0.
1]quit#在系统缺省的ISP域system下,配置域用户使用RADIUS认证/授权/计费方案.
[RouterB]domainsystem[RouterB-isp-system]authenticationpppradius-schemecams[RouterB-isp-system]authorizationpppradius-schemecams[RouterB-isp-system]accountingpppradius-schemecams[RouterB-isp-system]quit#配置RADIUS方案以及RADIUS认证/授权/计费服务器的IP地址和端口号.
[RouterB]radiusschemecams[RouterB-radius-cams]primaryauthentication11.
110.
91.
1461812[RouterB-radius-cams]primaryaccounting11.
110.
91.
14618132-18#配置与RADIUS服务器交互报文时使用的认证、计费共享密钥为明文expert.
[RouterB-radius-cams]keyauthenticationsimpleexpert[RouterB-radius-cams]keyaccountingsimpleexpert[RouterB-radius-cams]quit(3)配置RADIUS服务器在RADIUS服务器上配置认证与计费的共享密钥expert.
在RADIUS服务器上增加一个PPPoE用户,用户名为user1,密码为123456.
具体配置过程请参考实际使用的RADIUS服务器的用户手册.
4.
验证配置配置完成后,RouterA就可以与远端的RouterB建立PPPoE会话.
[RouterA]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState11GE1/0/1VA00001-0000-000100e0-1500-4100SESSIONHostA、HostB、HostC可以访问Internet,比如通过IE打开网页等.
2.
4.
6PPPoEServer通过本地DHCP服务器为用户分配IP地址配置举例1.
组网需求Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoEServer通过DHCPv4协议为Host分配IP地址.
2.
组网图图2-8配置PPPoEServer通过本地DHCP服务器为用户分配IP地址组网图3.
配置步骤#配置虚拟模板接口10的参数,采用PAP认证对端,使用DHCP地址池pool1为用户分配IP地址.
system-view[Router]interfacevirtual-template10[Router-Virtual-Template10]pppauthentication-modepap[Router-Virtual-Template10]remoteaddresspoolpool1[Router-Virtual-Template10]quit#在GigabitEthernet1/0/1接口上启用PPPoEServer协议,将该以太网接口与虚拟模板接口10绑定.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template10[Router-GigabitEthernet1/0/1]quit#启用DHCP服务.
[Router]dhcpenableInternetRouterGE1/0/1HostPPPoEServer2-19#配置DHCP地址池pool1.
[Router]dhcpserverip-poolpool1[Router-dhcp-pool-pool1]network1.
1.
1.
024[Router-dhcp-pool-pool1]quit#配置PPPoE用户.
[Router]local-useruser1classnetwork[Router-luser-network-user1]passwordsimplepass1[Router-luser-network-user1]service-typeppp[Router-luser-network-user1]quit4.
验证配置配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入Router后,Router通过DHCPv4协议为Host分配一个IP地址.
#显示所有DHCP地址绑定信息.
[Router]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress1.
1.
1.
23030-3030-2e30-3030-UnlimitedAuto(C)662e-3030-3033-2d45-7468-6572-6e65-742.
4.
7PPPoEServer通过远端DHCP服务器为用户分配IP地址配置举例1.
组网需求Host和RouterA之间通过以太网接口相连,RouterB为远端DHCP服务器.
Host通过PPPoE接入RouterA,RouterA作为PPPoEServer、DHCP中继向远端DHCP服务器申请IP地址.
2.
组网图图2-9PPPoEServer通过远端DHCP服务器为用户分配IP地址组网图3.
配置步骤(1)配置RouterA(PPPoEServer)#配置虚拟模板接口10的参数,采用PAP认证对端,使用DHCP地址池pool1为用户分配IP地址.
system-view[RouterA]interfacevirtual-template10[RouterA-Virtual-Template10]pppauthentication-modepap[RouterA-Virtual-Template10]remoteaddresspoolpool1[RouterA-Virtual-Template10]quit#在GigabitEthernet1/0/1接口上启用PPPoEServer协议,将该以太网接口与虚拟模板接口10绑定.
InternetRouterBGE1/0/1HostDHCPServerRouterAGE1/0/1GE1/0/2PPPoEServer2-20[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template10[RouterA-GigabitEthernet1/0/1]quit#启用DHCP服务.
[RouterA]dhcpenable#启用DHCP中继的用户地址表项记录功能.
[RouterA]dhcprelayclient-informationrecord#创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址.
[RouterA]dhcpserverip-poolpool1[RouterA-dhcp-pool-pool1]gateway-list2.
2.
2.
2export-route[RouterA-dhcp-pool-pool1]remote-server10.
1.
1.
1[RouterA-dhcp-pool-pool1]quit#配置与DHCP服务器连接的GigabitEthernet1/0/2接口的IP地址.
[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipaddress10.
1.
1.
224[RouterA-GigabitEthernet1/0/2]quit#配置PPPoE用户.
[RouterA]local-useruser1classnetwork[RouterA-luser-network-user1]passwordsimplepass1[RouterA-luser-network-user1]service-typeppp[RouterA-luser-network-user1]quit(2)配置RouterB(DHCP服务器)#启用DHCP服务.
system-view[RouterB]dhcpenable#创建DHCP地址池pool1,配置为DHCP客户端分配的IP地址网段和网关地址.
[RouterB]dhcpserverip-poolpool1[RouterB-dhcp-pool-pool1]network2.
2.
2.
024[RouterB-dhcp-pool-pool1]gateway-list2.
2.
2.
1[RouterB-dhcp-pool-pool1]quit#配置与PPPoEServer连接的GigabitEthernet1/0/1接口的IP地址.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]ipaddress10.
1.
1.
124[RouterB-GigabitEthernet1/0/1]quit#配置到PPPoEServer的静态路由.
[RouterB]iproute-static2.
2.
2.
02410.
1.
1.
24.
验证配置配置完成后,当Host使用用户名user1、密码pass1,通过PPPoE接入RouterA后,RouterB通过DHCPv4协议为Host分配一个IP地址.
#显示DHCP中继RouterA的用户地址表项信息.
[RouterA]displaydhcprelayclient-informationTotalnumberofclient-informationitems:1Totalnumberofdynamicitems:12-21Totalnumberoftemporaryitems:0IPaddressMACaddressTypeInterfaceVPNname2.
2.
2.
300e0-0000-0001DynamicVA1N/A#显示DHCP服务器RouterB的DHCP地址绑定信息.
[RouterB]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress2.
2.
2.
300e0-0000-0001UnlimitedAuto(C)2.
4.
8PPPoEServer为接入用户授权地址池和VPN配置举例1.
组网需求采用RADIUS作为认证、授权和计费服务器.
RADIUS服务器为PPPoE接入用户授权的PPP地址池和VPN实例分别为pool1、vpn1.
vpn1中的用户在服务器授权的PPP地址池pool1中获取IP地址.
2.
组网图图2-10PPPoEServer为接入用户授权地址池和VPN配置组网图3.
配置步骤启动PPPoE功能之前,需要首先配置MPLSL3VPN功能,通过为两端的VPN1指定匹配的VPNTarget,确保两端的VPN1之间可以互通.
本例仅介绍连接客户端的PE1上接入认证的相关配置,其它配置请参考"MPLS配置指导"中的"MPLSL3VPN".
(1)配置RADIUS服务器PMPLSbackbonePE1PE2VPN1VPN1CEHostARouterARouterBPPPoEserverPPPoEclientGateway:1.
1.
1.
1/24RADIUSserver10.
1.
1.
2/24GE1/0/1L2SwitchGE1/0/210.
1.
1.
1/24GE1/0/11.
2.
1.
1.
/242-22下面以Linux系统下的FreeRADIUS服务器为例,说明RADIUS服务器的基本配置.
#配置RADIUS客户端信息.
在clients.
conf文件中增加如下信息:client10.
1.
1.
1/24{secret=radiusshortname=sr88}以上信息表示:RADIUS客户端的IP地址为10.
1.
1.
1,共享密钥为字符串radius.
#配置合法用户信息.
在users文件中增加如下信息:user1Auth-Type==CHAP,User-Password:=pass1Service-Type=Framed-User,Framed-Protocol=PPP,Framed-IPv6-Pool="pool1",H3C-VPN-Instance="vpn1",以上信息表示:用户名为user1,用户密码为字符串pass1,授权VPN实例名称为vpn1,授权IP地址池名称为pool1.
(2)配置RouterA配置PPPoEServer#配置虚拟模板接口1的参数,采用CHAP认证对端,并使用ISP域dm1作为认证域.
system-view[RouterA]interfacevirtual-template1[RouterA-Virtual-Template1]pppauthentication-modechapdomaindm1[RouterA-Virtual-Template1]quit#创建名为pool1的PPP地址池(包含9个可分配的IP地址).
[RouterA]ippoolpool11.
1.
1.
21.
1.
1.
10group1#配置PPP地址池pool1的网关地址为1.
1.
1.
1,所在VPN实例为vpn1.
[RouterA]ippoolpool1gateway1.
1.
1.
1vpn-instancevpn1#配置PPP地址池路由.
[RouterA]pppip-poolroute1.
1.
1.
124vpn-instancevpn1#在接口GigabitEthernet1/0/1上启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]pppoe-serverbindvirtual-template1[RouterA-GigabitEthernet1/0/1]quit配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
[RouterA]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[RouterA-radius-rs1]primaryauthentication10.
1.
1.
2[RouterA-radius-rs1]primaryaccounting10.
1.
1.
22-23[RouterA-radius-rs1]keyauthenticationsimpleradius[RouterA-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[RouterA-radius-rs1]user-name-formatwithout-domain[RouterA-radius-rs1]quit配置认证域#创建并进入名称为dm1的ISP域.
[RouterA]domaindm1#配置ISP域使用的RADIUS方案rs1.
[RouterA-isp-dm1]authenticationpppradius-schemers1[RouterA-isp-dm1]authorizationpppradius-schemers1[RouterA-isp-dm1]accountingpppradius-schemers1[RouterA-isp-dm1]quit4.
验证配置用户认证通过后,在HostA上可以Ping通对端VPN1中的CE.
#在RouterA上可以看到PPP地址池pool1中已为PPPoEClient分配了一个地址.
[RouterA]displayippoolpool1Groupname:1PoolnameStartIPaddressEndIPaddressFreeInusepool11.
1.
1.
21.
1.
1.
1081InuseIPaddresses:IPaddressInterface1.
1.
1.
2VA0