本章节下载(1.95 MB)
2.3.3 关闭/打开PPPoE Server的PPP日志信息的显示
2.5.3 利用ADSL Modem将局域网接入Internet
3.4.2 路由器通过ISDN BRI线路的NI协议互连传输数据
3.4.3 通过ISDN PRI线路及中间传输网络传输语音配置举例
3.4.4 通过ISDN PRI线路互连传输数据配置举例..
3.4.5 路由器通过ISDN BSV线路及中间传输网络传输语音..
3.4.9 ISDN BRI接口与DMS100交换机MP互通应用举例
6.6.5 帧中继PVC组基于IP报文的precedence分流配置举例
8.2 IPoA、IPoEoA、PPPoA、PPPoEoA应用介绍
8.4.16 ATM工作于信元透传模式信元打包最长等待时间的配置
10.4.9 拨号接口支持桥转发及MAC地址过滤应用配置举例
PPP(Point to Point Protocol)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证、易于扩充,并且支持同异步通信,因而获得广泛应用。
PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)等。其中:
l 链路控制协议,Link Control Protocol,简称LCP。主要用来建立、拆除和监控数据链路。
l 网络控制协议,Network Control Protocol,简称NCP。主要用来协商在该数据链路上所传输的数据包的格式与类型。
l 用于网络安全方面的验证协议族。
(1) PAP验证
PAP验证为两次握手验证,PAP验证的过程如下:
l 被验证方发送用户名和口令到验证方;
l 验证方根据本端用户表查看是否有此用户以及口令是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。
(2) CHAP验证
CHAP验证为三次握手验证,CHAP验证过程如下:
l 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;
l 被验证方接到验证方的验证请求后,被验证方根据此报文中验证方的用户名查找用户口令字,如找到用户表中与验证方用户名相同的用户,就利用报文ID、此用户的密钥(口令字)和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response);如果被验证方没有在本端用户表中找到匹配的用户名,则检查本端接口上是否配置了ppp chap password命令,如果配置了该命令则被验证方利用报文ID、此用户的密钥(口令字)和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response)。
l 验证方接收到该报文后,根据此报文中被验证方的用户名,在自己的本地用户数据库(local-user)中查找被验证方用户名对应的被验证方口令字,利用该口令和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。
图1-1 CHAP验证示意图
PPP运行过程如下:
(1) 在开始建立PPP链路时,先进入到Establish阶段。
(2) 在Establish阶段PPP链路进行LCP协商,协商内容包括工作方式(是SP还是MP)、验证方式和最大接收单元MRU(Maximum-Receive-Unit)等。LCP在协商成功后进入Opened状态,表示底层链路已经建立。
(3) 如果配置了验证(远端验证本地或者本地验证远端)则进入Authenticate阶段,开始CHAP或PAP验证。
(4) 如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request。
(5) NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
(6) PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(例如,用户的干预)。
图1-2 PPP运行流程图
有关PPP的详细说明,请参考RFC1661。
为了增加带宽,可以将多个PPP链路捆绑使用,称为MultiLink PPP,简称MP。MP会将报文分片(也可以不分片)后,从MP链路下的多个PPP通道发送到PPP对端,对端将这些分片组装起来递给网络层。
MP的作用主要有:
l 增加带宽,结合DCC可以做到动态增加或减小带宽
l 负载分担
l 备份
l 利用分片降低时延
MP能在任何支持PPP封装的接口下工作,如串口、ISDN的BRI/PRI接口等,也包括PPPoX(PPPoE、PPPoA、PPPoFR等)这类的虚拟接口,建议用户尽可能将同一类的接口捆绑使用,不要将不同类的接口捆绑使用。
PPP的基本配置包括:
l 配置接口封装的链路层协议为PPP
l 配置轮询时间间隔
l 配置PPP验证方式及用户名、用户口令
PPP的高级配置包括:
l 配置PPP协商参数
l 配置PPP 链路质量监测
说明:PPP基本配置任务,是在路由器上运行PPP必须完成的配置,而高级配置任务是用户根据自己的需要进行的可选配置。
请在接口视图下进行下列配置。
命令link-protocol ppp可配置接口封装的链路层协议为PPP。
|
操作 |
命令 |
|
配置接口封装的链路层协议为PPP |
link-protocol ppp |
串口、Dialer口及虚拟模板接口缺省封装的链路层协议即为PPP。
PPP、FR、HDLC等链路层协议都使用轮询定时器来确认链路状态是否正常。在配置轮询时间间隔时,建议两端的设置相同。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置轮询时间间隔 |
timer hold seconds |
|
禁止链路检测功能 |
undo timer hold |
缺省情况下,轮询间隔为10秒。如果将轮询间隔设置为0,则不进行链路有效性检测。
如果网络的延迟比较大,或拥塞程度较高,可以适当加大轮询时间间隔,以减少网络震荡的发生。
本地和对端之间支持CHAP和PAP两种验证方式,以下将根据不同的验证方式分别介绍需要的配置步骤。
需要说明的是:下面的PPP验证命令都是在接口视图下进行的,local-user命令是在系统视图下进行。本章只介绍本地认证方案,远端AAA认证方案请参见本手册的安全部分。
表1-3 配置本地以PAP方式验证对端
|
操作 |
命令 |
|
配置本地验证对端(方式为PAP)(接口视图) |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
|
取消配置的PPP验证方法,即不进行PPP验证。(接口视图) |
undo ppp authentication-mode |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
设置PPP用户的回呼及主叫号码属性(本地用户视图) |
service-type ppp [ callback-number callback-number | call-number call-number [ :subcall-number ] ] |
|
恢复PPP用户回呼及主叫号码属性的缺省设置(本地用户视图) |
undo service-type ppp [ callback-number | call-number ] |
|
创建一个ISP域,或者进入已创建ISP域的视图(系统视图) |
domain { isp-name | default { disable | enable isp-name } } |
|
配置域用户使用本地认证方案(域视图) |
scheme local |
PPP缺省为不验证。
当配置ppp authentication-mode { pap|chap }后不加domain时,默认使用的domain是系统缺省的域system,认证方式是本地验证,必须使用在该域中配置的地址池。如果在该命令加了domain,则必须在对应的domain中配置地址池。
如果用户名中带有domain,则以用户名中的domain为准(若该domain名不存在,则认证被拒绝),否则应使用为PPP认证配置的domain名。
如果用户名中不带domain,而为PPP认证配置的domain名又不存在,则认证被拒绝。
对于拨号接口的验证,建议在物理接口和Dialer接口上都配置。因为当物理接口接收到DCC呼叫请求时,首先进行PPP协商并认证拨入用户的合法性,然后再将呼叫转交给上层协议进行处理。
表1-4 配置本地以CHAP方式验证对端
|
操作 |
命令 |
|
配置本地验证对端(方式为CHAP)(接口视图) |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
|
取消配置的PPP验证方法,即不进行PPP验证(接口视图) |
undo ppp authentication-mode |
|
配置本地用户名称(接口视图) |
ppp chap user username |
|
删除配置的本地用户名称(接口视图) |
undo ppp chap user |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
设置PPP用户的回呼及主叫号码属性(本地用户视图) |
service-type ppp [ callback-number callback-number | call-number call-number [ :subcall-number ] ] |
|
恢复PPP用户回呼及主叫号码属性的缺省设置(本地用户视图) |
undo service-type ppp [ callback-number | call-number ] |
|
创建一个ISP域,或者进入已创建ISP域的视图(系统视图) |
domain { isp-name | default { disable | enable isp-name } } |
|
配置域用户使用本地认证方案(域视图) |
scheme local |
当使用CHAP认证方式时,通过local-user命令配置的非域用户名与通过ppp chap user配置的用户名的长度必须完全一致,否则会由于在服务器端找不到相应的用户而导致客户端认证失败。
当使用CHAP认证方式时,若验证方没有使用ppp chap user命令配置用户名,则系统使用缺省的用户名“H3C”作为验证的用户名。
PPP缺省为不验证。对于拨号接口的验证,建议在物理接口和Dialer接口上都配置。因为当物理接口接收到DCC呼叫请求时,首先进行PPP协商并认证拨入用户的合法性,然后再将呼叫转交给上层协议进行处理。
表1-5 配置本地被对端以PAP方式验证
|
操作 |
命令 |
|
配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令 |
ppp pap local-user username password { simple | cipher } password |
|
删除以上配置的以PAP方式验证时发送的用户名和口令 |
undo ppp pap local-user |
缺省情况下,被对端以PAP方式验证时,本地路由器发送的用户名和口令均为空。
|
操作 |
命令 |
|
创建本地用户,并进入本地用户视图(系统视图) |
local-user username |
|
设置本地用户的密码(本地用户视图) |
password { simple | cipher } password |
|
取消本地用户的密码(本地用户视图) |
undo password |
|
配置本地名称 |
ppp chap user username |
|
删除配置的本地名称 |
undo ppp chap user |
|
设置CHAP验证密码 |
ppp chap password { simple | cipher } password |
|
删除缺省的CHAP验证密码 |
undo ppp chap password |
其中simple表示对password进行明文显示,cipher表示对password进行加密显示。
缺省情况下,被对端以CHAP方式验证时,本地路由器发送的用户名和使用的口令均为空。
配置PPP CHAP需要注意如下事项:
l 在验证端必须为被验证端建立本地用户(local-user),加密时只能使用本地用户视图下配置的口令;
l 在被验证端,可以通过ppp chap password命令和本地用户数据库(local-user)两种方式提供加密口令。如果接口下配置了ppp chap password命令,就使用该命令配的口令;如果没有配置该命令,就依据用户名到本地用户数据库(local-user)中查找用户口令;
l 当配置双向验证时,若双向验证口令不同,被验证端只能使用ppp chap password命令提供的口令;若双向验证口令相同,被验证端可以使用本地用户视图下配置的口令。
协商超时时间间隔,在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔可选范围为1秒到10秒。
请在接口视图下进行下列配置。
表1-7 配置PPP协商超时时间间隔
|
操作 |
命令 |
|
配置协商超时时间间隔 |
ppp timer negotiate seconds |
|
恢复PPP协商超时时间的缺省值 |
undo ppp timer negotiate |
缺省情况下,超时时间间隔为3秒。
(1) 配置Client端
若接口封装了PPP,本端接口还未配置IP地址而对端已有IP地址时,可为本端接口配置IP地址可协商属性。使本端接口接受PPP协商产生的由对端分配的IP地址。该配置主要用于在通过ISP访问Internet时,得到由ISP分配的IP地址。
请在接口视图下进行下列配置。
表1-8 设置接口IP地址可协商属性
|
操作 |
命令 |
|
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
|
取消接口IP地址可协商属性 |
undo ip address ppp-negotiate |
系统缺省为不允许接口IP地址的协商。
注意:
l 因PPP支持IP地址的协商,所以只有当接口封装了PPP时,才能设置接口IP地址的协商,当PPP协议down 时,协商产生的IP地址将被删除。
l 若接口原来配有地址,在配置接口IP地址协商后,原IP地址将被删除。
l 配置接口IP地址协商后,不需再给该接口配IP地址,IP地址由协商获得。
l 配置接口IP地址协商后,再次配置该接口协商,原协商产生的IP地址将被删除,接口再次协商获得IP地址。
l 在协商地址被删除后,接口将处于无地址状态。
(2) 配置Server端
若是路由器作为Server为对端设备分配IP地址,有三种方法可以为PPP用户分配IP地址:
方法一:不配置地址池,在接口上直接给对方分配指定的IP地址。
|
操作 |
命令 |
|
为PPP用户分配IP地址 |
remote address ip-address |
|
取消为PPP用户分配IP地址 |
undo remote address |
缺省情况下,接口不给对端分配IP地址。
方法二:通过使用全局地址池给对端分配地址。
首先在系统视图下定义全局地址池,然后在接口下通过remote address pool命令指定全局地址池号即可(仅能指定一个)。
|
操作 |
命令 |
|
定义全局IP地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
|
取消全局IP地址池 |
undo ip pool pool-number |
|
使用全局地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
|
取消为PPP用户分配IP地址 |
undo remote address |
缺省情况下,接口不分配地址给对端。当配置了remote address pool,但没有指定pool-number时,缺省使用0号全局地址池。
方法三:通过使用域地址池给对端分配地址
首先在域视图下定义域地址池,然后在接口下通过remote address pool命令指定域地址池号即可;若不配置remote address pool命令,则在认证协商时依次使用相应域下的地址池给用户分配IP地址。
表1-11 定义PPP域用户的IP地址池
|
操作 |
命令 |
|
定义为PPP用户分配IP地址的地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
|
删除指定的地址池 |
undo ip pool pool-number |
|
使用域地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
|
取消为PPP用户分配IP地址 |
undo remote address |
& 说明:
l 当同时配置了remote address pool [ pool-number ]和remote address ip-address时,后配置的命令将覆盖先配置的命令。
l 当通过ip-pool命令规划全局地址池或域地址池时,不能将网络地址和广播地址规划到地址池中。
下面总结一下PPP用户的IP地址分配原则:
(1) 对于域的用户(包括userid和userid@isp-name两种用户)分配地址的优先级如下:
l 如果采用RADIUS或TACACS认证和授权,并且服务器给用户下发了地址,则采用服务器下发的地址。
l 如果服务器没有下发地址,而是下发地址池,则在域视图下相应的地址池中查找地址给用户。
l 如果上述两种方式没有分配到地址或是采用本地认证,则根据接口下的配置给用户分配地址。
l 如果接口配置了remote address ip-address并且此地址没有被使用,则给用户分配此地址。
l 如果接口配置了remote address pool则在域视图下相应的地址池中查找地址给用户分配。
l 如果接口没有配置remote address,则在域视图下遍历所有的地址池查找地址给用户分配。
(2) 对于不认证用户,采用接口下指定的地址或指定的全局地址池(即在系统视图下定义的地址池)给用户分配地址。
当采用在接口下直接指定对端IP地址或使用全局地址池分配IP地址时,remote address命令不具有地址分配的强制性,即在配置该命令后,也允许对端自行配置IP地址;如不希望(或不允许)对端自行配置IP地址,必须接受本端分配的地址,则必须在Server端的接口视图下配置下面命令。
表1-12 配置/取消PPP IPCP地址分配的强制性
|
操作 |
命令 |
|
配置PPP IPCP不允许对端使用自行配置的固定IP地址 |
ppp ipcp remote-address forced |
|
取消PPP IPCP地址分配的强制性 |
undo ppp ipcp remote-address forced |
缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制,即路由器本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址。
路由器在进行PPP地址协商的过程中可以进行DNS地址协商,此时路由器既可以配置为接收对端分配的DNS地址,也可以配置为向对方提供DNS地址。一般情况下,当PC与路由器通过PPP协议相连时(通常为PC机拨号连接路由器),路由器应为对端设备分配DNS地址(作为Server端),这样PC就可以通过域名直接访问Internet;当路由器通过PPP协议连接运营商的接入服务器时,路由器应配置为被动接收或主动请求对端分配DNS地址(作为Client端)。
(1) 配置Client端
请在接口视图下进行下面的配置。
表1-13 配置DNS服务器地址协商的Client端
|
操作 |
命令 |
|
配置路由器可以被动地接收对端分配的DNS地址 |
ppp ipcp dns admit-any |
|
禁止路由器被动地接收对端分配的DNS地址 |
undo ppp ipcp dns admit-any |
|
配置PPP IPCP主动向对端请求DNS地址 |
ppp ipcp dns request |
|
禁止IPCP主动向对端请求DNS地址 |
undo ppp ipcp dns request |
缺省情况下, 禁止DNS地址协商。
(2) 配置Server端
请在接口视图下进行下面的配置。
表1-14 配置DNS服务器地址协商的Server端
|
操作 |
命令 |
|
使能路由器为对端分配DNS服务器地址 |
ppp ipcp dns primary-dns-address [ secondary-dns-address ] |
|
禁止路由器为对端分配DNS服务器地址 |
undo ppp ipcp dns |
缺省情况下,禁止DNS地址协商。
该功能主要用于PPP、PPPoE、MP三种情况:
l 对于Client端,执行上述命令的接口视图分别为:PPP方式下为串口视图、MP方式下为VT接口视图、PPPoE方式下为Dialer口视图;
l 对于Server端,执行上述命令的接口视图分别为:PPP方式下为串口视图、MP和PPPoE方式下为VT接口视图。
PPP链路质量监测可以实时对PPP链路(包括绑定在MP中的PPP链路)的质量进行监测。当链路的质量低于禁用链路质量百分比时,链路会被禁用;当链路质量恢复到恢复链路质量百分比时,链路会被自动重新启用。为了保证链路不会在禁用和恢复之间反复振荡,PPP链路质量监测在重新启用链路时会有一定的时间延迟。
请在接口视图下进行下列配置。
表1-15 配置PPP链路质量监测
|
操作 |
命令 |
|
使能PPP链路质量检测功能 |
ppp lqc forbidden-percentage [ resumptive-percentage ] |
|
禁用PPP链路质量检测功能 |
undo ppp lqc |
缺省情况下,参数resumptive-percentage等于forbidden-percentage。
& 说明:
在没有使能PPP链路质量检测功能之前,PPP接口会每隔一段时间向对端发送keepalive报文;在使能此功能之后,PPP接口会用LQR报文替换keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量计算不合格,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量计算均合格,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
请在接口视图下进行下列配置。
表1-16 配置PPP LCP协商MRU大小
|
操作 |
命令 |
|
配置PPP LCP协商MRU大小 |
ppp lcp mru consistent |
|
恢复缺省配置 |
undo ppp lcp mru consistent |
缺省情况下,PPP LCP不协商MRU大小,本端直接依据对端的MRU大小来修改自己的MTU。
ppp lcp mru consistent命令配置后,PPP LCP协商时对端的LCP CONREQ报文里面MRU选项的值不能低于本端接口上面配置的MTU的值;如果小于,则本端用CONNAK报文给对端提示,若干次提示后,如果还是小于,则本端用CONREJ禁止对端协商此选项;如果对端还发送此选项,则LCP一直协商不过。正常情况下,PPP LCP协商通过后,本端的MTU不会因为对端的MRU变化而变化。
传统实现中PPP协商时机不可控制,本端只是简单地在接口UP后就主动发出LCP请求报文开始协商,或者收到对端发来的LCP请求报文就开始响应进行协商。
通过配置PPP协商等待时间,用户可以决定PPP的协商时机,即控制底层报UP后PPP等待多长时间开始主动发出LCP请求报文进行协商,或控制底层报UP后PPP等待多长时间后才能响应收到的LCP请求报文进行协商。PPP协商失败后,如果需要重协商,本端在重协商定时器超时时间内收到正确的LCP配置请求报文,能够立即响应LCP请求报文,进行重协商。
请在接口视图下进行下列配置。
表1-17 配置PPP协商等待时间
|
配置步骤 |
命令 |
说明 |
|
|
配置等待时间 |
主动发起协商前等待 |
ppp lcp active-start wait { seconds [ milliseconds ] [ random max-seconds ] | forever } |
可选 缺省情况下,没有配置等待 |
|
被动响应发起协商前等待 |
ppp lcp passive-start wait { seconds [ milliseconds ] | forever } |
||
MP的配置主要有两种方式,一种是通过虚拟模板接口(Virtual-Template),一种是利用MP-GROUP接口。这两种配置方式的区别主要是:
l 前者可以与验证相结合,可以根据对端的用户名找到指定的虚拟模板接口,从而利用模板上的配置,创建相应的捆绑(Bundle),以对应一条MP链路。
l 由一个虚拟模板接口还可以派生出若干个捆绑(Bundle,系统中用VT通道来表示),每个捆绑对应一条MP链路。那么这样一来,从网络层看来,这若干条MP链路会形成一个点对多点的网络拓扑。从这个意义上讲,虚拟模板接口比MP-GROUP接口更加灵活。
l 为区分虚拟模板接口派生出的多个捆绑,需要指定捆绑方式,系统在虚拟模板接口视图下提供了命令ppp mp binding-mode来指定绑定方式,绑定方式有authentication、both、descriptor三种,缺省是both。Authentication是根据验证用户名捆绑,descriptor是根据终端描述符捆绑(LCP协商时,会协商出这个选项值),both是要同时参考这两个值。
l MP-GROUP接口与虚拟模板接口相比则单纯许多,它是MP的专用接口,不能支持其他应用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。但正因为它的简单,导致了它的快速高效、配置简单、容易理解。
基本配置包括:
l 创建虚拟模板接口
l 将物理接口与虚拟模板接口关联
l 将用户名与虚拟模板接口关联
l 配置PPP接口工作在MP方式
l 虚模板接口下捆绑方式的指定
高级配置包括:
l 配置MP最大捆绑链路数
l 设置MP出报文进行分片的最小报文长度
l 配置地址控制字段压缩协商
l 创建和删除MP-GROUP接口
l 配置接口加入和退出MP-GROUP组
以上两项配置没有严格的顺序要求,可以先创建MP-GROUP接口,也可以先配置将物理接口加入MP-GROUP组。
请在系统视图下进行下列配置。
表1-18 创建/删除虚拟模板接口
|
操作 |
命令 |
|
创建并进入MP虚拟模板接口 |
interface virtual-template number |
|
删除指定的MP虚拟模板接口 |
undo interface virtual-template number |
采用虚拟模板接口配置MP时,又可以细分为两种情况:
l 将物理接口与虚拟模板接口直接关联:通过命令ppp mp virtual-template直接将链路绑定到指定的虚拟模板接口上,这时可以配置验证也可以不配置验证。如果不配置验证,系统将通过对端终端描述符捆绑出MP链路;如果配置了验证,系统将通过用户名和对端终端描述符捆绑出MP链路。
l 将用户名与虚拟模板接口关联:根据验证通过后的用户名查找相关联的虚拟模板接口,然后根据用户名和对端终端描述符捆绑出MP链路。这种方式需在要绑定的接口下配置ppp mp及双向验证(CHAP或PAP),否则链路协商不通。
& 说明:
l 如果在接口下配置ppp mp virtual-template命令,系统将根据命令查找虚拟模板接口,不根据用户名查找虚拟模板接口。
l 对于需要绑在一起的接口,必须采用同样的配置方式。
l 实际使用中也可以配置单向验证,即一端直接将物理接口绑定到虚拟模板接口,另一端则通过用户名查找虚拟模板接口。
l 不推荐使用同一个虚拟模板接口配置多种业务(如MP、L2TP、PPPoE等)。
下面分别介绍这两种配置:
(1) 将物理接口与虚拟模板接口关联
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
配置接口所要绑定的虚拟模板接口 |
ppp mp virtual-template number |
|
取消接口的MP绑定 |
undo ppp mp |
这种捆绑方式可以在物理接口下配置PPP认证,也可以不配置。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
建立虚拟模板接口与MP用户的对应关系 |
ppp mp user username bind virtual-template number |
|
删除虚拟模板接口与MP用户的对应关系 |
undo ppp mp user username |
这种捆绑方式是通过用户名找到相应的虚拟模板接口,故必须在物理接口下配置双向PPP认证(PPP认证的配置请参见1.2.3 配置PPP验证方式及用户名、用户口令),否则MP连接建立不起来。
另外,请在接口视图下进行下列配置,使得该接口工作在MP方式下。。
表1-21 配置封装PPP的接口工作在MP方式
|
操作 |
命令 |
|
配置封装PPP的接口工作在MP方式 |
ppp mp |
|
配置该接口工作在普通PPP方式下 |
undo ppp mp |
缺省情况下,封装PPP的接口工作在普通PPP方式下。
用户名是指PPP链路进行PAP或CHAP验证时所接收到的对端用户名;终端标识符是用来唯一标识一台路由器的标志,是指进行LCP协商时所接收到的对端终端标识符。系统可以根据接口接收到的用户名或终端标识符来进行MP捆绑,以此来区分虚模板接口下的多个MP捆绑(对应多条MP链路)。
请在VT视图或Dialer视图下进行下列配置。
|
操作 |
命令 |
|
根据验证的用户名进行捆绑 |
ppp mp binding-mode authentication |
|
根据终端标识符进行捆绑 |
ppp mp binding-mode descriptor |
|
同时根据用户名和终端标识符进行捆绑 |
ppp mp binding-mode both |
|
恢复缺省的捆绑条件 |
undo ppp mp binding-mode |
缺省情况下,系统同时根据验证的用户名和终端标识符进行捆绑。
完成上述的配置后,MP基本配置已经完成。用户可以根据自己的实际需要,进行其它针对MP的可选参数配置。
& 说明:
l 根据验证的用户名进行捆绑时(即配置ppp mp binding-mode authentication命令时),建议在物理子通道下配置PPP PAP/CHAP认证,否则所有用户均按用户名为“空字符串”的用户处理,其对应子通道均捆绑到一个缺省bundle下面(此bundle没有名称,故display ppp mp无法显示bundle名)。
l ppp mp binding-mode命令在VT接口下配置时要把所有和VT接口有关的物理子通道接口shutdown,然后再undo shutdown,命令才会生效。
ppp mp max-bind命令可以在虚拟模板接口视图及dialer口视图下进行配置,ppp mp min-bind命令只能在dialer口视图下进行配置。
表1-23 配置MP最大/最小捆绑链路数
|
操作 |
命令 |
|
配置MP最大捆绑链路数 |
ppp mp max-bind max-bind-num |
|
恢复该配置的缺省值 |
undo ppp mp max-bind |
|
配置MP最小捆绑链路数 |
ppp mp min-bind min-bind-num |
|
恢复该配置的缺省值 |
undo ppp mp min-bind |
缺省情况下,最大捆绑链路数为16,最小捆绑链路数为1。
min-bind-num应该小于max-bind-num。
& 说明:
l 该命令支持的最大捆绑数目为128,该值只是从MP的功能上可以完成的最大的捆绑数目;
l MP的转发性能和捆绑的数目没有关系,应该从当前使用的接口类型、接口带宽和路由器转发性能等各项因素结合来考虑实际使用时配置的MP捆绑数目。
l 对于非拨号的PPP MP链路,仅ppp mp max-bind命令起作用;对于拨号下的PPP MP链路,ppp mp max-bind及ppp mp min-bind均有效,具体作用请参见DCC部分。
请在虚拟模板接口视图下进行下列配置。
表1-24 设置MP出报文进行分片的最小报文长度
|
操作 |
命令 |
|
设置MP出报文进行分片的最小报文长度 |
ppp mp min-fragment size |
|
恢复该设置的缺省值 |
undo ppp mp min-fragment |
由于AR 46E的硬件比较特殊,需要报文格式IP头部以前的字节长度是4的倍数,否则会导致MP性能下降。而MP默认格式是IP头之前是10字节。协商地址控制字段压缩后,发送的MP报文的IP头部之前是8字节,压缩了2个字节,从而保证不会影响MP性能。
请在接口视图下进行下列配置。
表1-25 配置地址控制字段压缩协商
|
操作 |
命令 |
|
配置地址控制字段压缩协商 |
ppp lcp acfc local-request |
|
取消地址控制字段压缩协商 |
undo ppp lcp acfc local-request |
请在系统视图下进行下面配置。
表1-26 创建MP-GROUP
|
操作 |
命令 |
|
创建MP-GROUP |
interface mp-group number |
|
删除MP-GROUP |
undo interface mp-group number |
请在接口视图下进行下面配置。
表1-27 将接口加入指定的MP-GROUP
|
操作 |
命令 |
|
将接口加入指定的MP-GROUP |
ppp mp mp-group number |
|
将接口从指定的MP-GROUP中删除 |
undo ppp mp mp-group number |
在MP情况下,接收端收到的报文很可能乱序。因此需要对接收到的报文进行排序。窗口越大排序结果越好,但会增大报文的延迟。对于语音报文,应避免出现延时过大的问题。
请在VT或MP-GROUP接口视图下进行下面配置。
|
操作 |
命令 |
|
配置MP排序窗口的大小 |
ppp mp sort-buffer-size size |
|
恢复排序窗口大小的缺省值 |
undo ppp mp sort-buffer-size |
缺省情况下,窗口的大小为1,表示只对一个报文进行排序。
PPP链路上提供了四种提高传输效率的机制:IP报文头压缩协议(IP Header Compression,IPHC),PPP报文的stac-lzs压缩、VJ TCP头压缩和链路分片与交叉(Link Fragmentation and Interleaving,LFI),详细介绍如下。
IP报文头压缩协议(IP Header Compression,IPHC)是一个主机-主机协议,用于在IP网络上承载语音、视频等实时多媒体业务。为了减少有效带宽的消耗,可以在PPP链路上使用IP报文头压缩功能,对RTP头(含IP、UDP、RTP头)或TCP头进行压缩。下面以RTP头压缩为例对压缩原理进行说明。
RTP实际上是一种限定端口号与固定格式的UDP协议,包括数据部分和头部分,RTP的数据部分相对小,而RTP的头部分较大。12字节的RTP头,加上20字节的IP头和8字节的UDP头,就是40字节的IP/UDP/RTP头。而RTP典型的负载是20字节到160字节。为了避免不必要的带宽消耗,可以使用IPHC特性对报文头进行压缩。IPHC将IP/UDP/RTP头从40字节压缩到2~5字节,对于40字节的负载,头压缩到5字节,压缩比为(40+40)/(40+5),约为1.78,可见效果是相当可观的。IP头压缩的处理过程如图所示。
图1-3 IP头压缩
STAC-LZS(STAC Lempel-Ziv standard)压缩是一种链路层上的数据压缩标准,它由STAC有限公司开发并推广,仅对报文的净负荷进行压缩。STAC-LZS压缩基于Lempel-Ziv算法,是用二进制编码替代一个连续的数据流,编码能够随数据的变化而变化,更加灵活,但也更加占用CPU资源。
VJ TCP头压缩(V. Jacobson Compressing TCP/IP Headers)是一种应用在低速链路上的TCP/IP头压缩算法,符合RFC 1144。
一个典型的TCP/IP报文头的长度是40字节,其中IP头20字节,TCP头20字节,在TCP建立连接后,在每个连接上传输的大量的TCP/IP报文都会包含这些信息。通过分析发现这些报文头中有些字段的信息是固定不变的,只发送一次即可;有些字段虽然有变化,但变化的规律和范围很明确,故字段的长度可以压缩。通过VJ TCP/IP头压缩后,TCP/IP头长度可以从40字节降至3~5字节,应用在PPP等低速串行链路上可以明显提高如FTP等应用的报文传输速度。
在低速串行链路上,实时交互式通信,如Telnet和VoIP,往往会由于大型分组的发送而导致阻塞延迟。例如,正好在大报文被调度而等待发送时,语音报文到达,它需要等该大报文被传输完毕后才能被调度。对于诸如交互式语音等实时应用而言,大报文导致的这种阻塞延迟太长了,对端将听到断断续续的话音。交互式语音要求端到端的延迟不大于100~150ms。
一个1500bytes(即通常MTU的大小)的报文需要花费215ms穿过56Kbps的链路,这超过了人所能忍受的延迟限制。为了在相对低速的链路上限制实时报文的延迟时间,例如56Kbps Frame Relay或64Kbps ISDN B通道,需要一种方法将大报文进行分片,将小报文和大报文的分片一起加入到队列。
LFI将大型数据帧分割成小型帧,与其他小片的报文一起发送,从而减少在速度较慢的链路上的延迟和抖动。被分割的数据帧在目的地被重组。
下图描述了链路分片与交叉的处理过程。大报文和小的语音报文一起到达某个接口,将大报文分割成小的分片,如果在接口配置了WFQ,语音包与这些小的分片一起交叉放入WFQ队列。
在MP绑定多条PPPoEoA子链路的情况下,用户可以同时在虚拟模板和ATM PVC上配置QoS拥塞管理,为了防止配置产生冲突,虚拟模板视图上的QoS拥塞管理配置不生效。系统总是根据PVC的数目平分流量,当PVC上发生拥塞时,拥塞管理的工作交给PVC来完成,如果用户要配置拥塞管理,就只能针对单个ATM PVC,在ATM PVC视图上进行配置。
链路侦测底层流量功能就是把所有的PVC当作一个整体来进行拥塞管理,根据PVC的带宽动态分配流量,用户可以把所有PVC当作同一个逻辑接口,直接在虚拟模板上配置拥塞管理。
配置IP报文头压缩包括下面步骤:
l 启动和关闭IP头压缩
l 配置TCP头压缩的最大连接数(可选)
l 配置RTP头压缩的最大连接数(可选)
使用该命令可以启动某接口上的IP头压缩功能。当启动IP头压缩时,建立RTP会话的TCP报文的头压缩也将被启动;当禁止IP头压缩时,建立RTP会话的TCP报文的头压缩也将被禁止。
用户必须在链路的两端同时配置IP头压缩命令。
请在接口视图下进行如下配置。
|
操作 |
命令 |
|
启动IP头压缩 |
ppp compression iphc [ nonstandard ] |
|
关闭IP头压缩 |
undo ppp compression iphc |
使用该命令配置TCP头压缩的最大连接数。
请在接口视图下进行下列配置。
表1-30 配置TCP头压缩的最大连接数
|
操作 |
命令 |
|
配置TCP头压缩的最大连接数 |
ppp compression iphc tcp-connections number |
|
恢复TCP头压缩的最大连接数的缺省值 |
undo ppp compression iphc tcp-connections |
参数number指该接口上TCP头压缩的最大连接数。缺省方式下number值为16。
使用该命令配置RTP头压缩的最大连接数。
请在接口视图下进行下列配置。
表1-31 配置RTP头压缩的最大连接数
|
操作 |
命令 |
|
配置RTP头压缩的最大连接数 |
ppp compression iphc rtp-connections number |
|
恢复RTP头压缩的最大连接数的缺省值 |
undo ppp compression iphc rtp-connections |
参数number指该接口上IPHC功能的RTP头压缩的最大连接数,取值范围为3~1000,缺省方式下number值为16。
请在接口视图下进行下列配置。
目前的系统版本支持Stac压缩方法(RFC1974)。
表1-32 配置PPP的STAC-LZS压缩
|
操作 |
命令 |
|
配置接口允许Stac压缩 |
ppp compression stac-lzs |
|
取消接口使用Stac压缩 |
undo ppp compression stac-lzs |
缺省情况下,禁止使用压缩。
请在接口配置模式下进行下列配置。
|
操作 |
命令 |
|
在PPP接口上允许进行VJ TCP头压缩 |
ip tcp vjcompress |
|
在PPP接口上禁止进行VJ TCP头压缩 |
undo ip tcp vjcompress |
缺省情况下,PPP接口上禁止进行VJ TCP头压缩。
在低速串行链路上,实时交互式通信往往会由于大报文的阻塞而延迟,例如,小的语音报文需要等待大的FTP报文被调度完毕后才被处理,从而导致延迟。对于诸如交互式语音等实时应用而言,大报文导致的这种阻塞延迟会让人无法忍受。LFI将大型数据帧分割成小型帧,然后在将它们送到传输队列之前,在分段之间插入对延迟敏感的小报文,从而降低了小型实时报文的延迟。被分段的数据帧在目的地会被重组。
配置MP的链路分片和交叉的配置包括:
l 使能LFI
l 配置LFI分片的最大时延
请在虚拟模板接口视图或MP-GROUP视图下进行下列配置。
|
操作 |
命令 |
|
使能LFI |
ppp mp lfi |
|
关闭LFI |
undo ppp mp lfi |
缺省情况下,未使能LFI。
设置传输一个LFI分片的最大时延。
请在虚拟模板接口视图或MP-GROUP接口视图下进行下列配置。
表1-35 配置LFI分片的最大时延
|
操作 |
命令 |
|
配置LFI分片的最大时延 |
ppp mp lfi delay-per-frag time |
|
恢复LFI分片的最大时延的缺省值 |
undo ppp mp lfi delay-per-frag |
缺省情况下,分片的最大时延为10ms。
报文分片的大小是根据配置的最大时延来计算得出的,计算方法如下:
报文分片的大小=虚接口的虚拟带宽 × 最大时延
路由器支持的报文最小分片为40字节,如果计算得出的报文分片的大小小于40则按照40来进行分片。
虚接口的虚拟带宽请参见qos max-bandwidth命令。
请在虚拟模板接口视图进行下列配置。
表1-36 配置PPP上的监测底层流量功能
|
操作 |
命令 |
|
使能监测底层流量功能 |
ppp mp mbf |
|
关闭监测底层流量功能 |
undo ppp mp mbf |
缺省情况下,关闭监测底层流量功能。
在完成上述配置后,在任意视图下执行display命令可以显示PPP和MP配置后的运行情况,通过查看显示信息验证配置的效果。在用户视图下执行debugging命令可以对PPP进行调试。
表1-37 PPP和MP显示和调试
|
操作 |
命令 |
|
显示接口的PPP配置和运行状态 |
display interface type number |
|
显示MP的接口信息 |
display ppp mp [ interface interface-type interface-num ] |
|
显示VT接口信息 |
display virtual-access vt [ vt-number ] |
|
显示VA接口信息 |
display virtual-access va-number |
|
打开PPP的部分调试开关 |
debugging ppp { chap { all | event | error | packet | state } | pap { all | event | error | packet | state } } [ interface interface-type interface-number ] |
|
打开PPP的部分调试开关 |
debugging ppp { core event | ip packet | ipcp { all | event | error | packet | state } | lcp { all | event | error | packet | state } | lqc packet | mp { all | event | error | packet } } [ interface interface-type interface-number ] |
|
打开PPP的部分调试开关 |
debugging ppp { all | cbcp packet | ccp { all | event | error | packet | state } | scp packet } [ interface interface-type interface-number ] |
表1-38 PPP链路效率机制的显示与调试
|
操作 |
命令 |
|
显示TCP头压缩的统计信息 |
display ppp compression iphc tcp [ interface-type interface-number ] |
|
显示RTP头压缩的统计信息 |
display ppp compression iphc rtp [ interface-type interface-number ] |
|
显示stac-lzs压缩统计信息 |
display ppp compression stac-lzs [ interface-type interface-number ] |
|
打开RTP头压缩的调试开关 |
debugging ppp compression iphc rtp { all | context_state | error | full_header | general_info } |
|
打开TCP头压缩的调试开关 |
debugging ppp compression iphc tcp { all | context_state | error | full_header | general_info } |
|
清空IP头压缩的统计信息 |
reset ppp compression iphc [ interface-type interface-number ] |
|
清除Stac-lzs压缩的统计信息 |
reset ppp compression stac-lzs [ interface-type interface-number ] |
路由器Router1和Router2之间用接口Serial3/0/0互连,要求路由器Router1用PAP方式验证路由器Router2。
图1-5 PAP验证示例组网图
(1) 配置路由器Router1
[H3C] local-user router2
[H3C-luser-router2] service-type ppp
[H3C-luser-router2] password simple h3c
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] link-protocol ppp
[H3C-Serial3/0/0] ppp authentication-mode pap domain system
[H3C-Serial3/0/0] ip address 200.1.1.1 16
[H3C] domain system
[H3C-isp-system] scheme local
(2) 配置路由器Router2
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] link-protocol ppp
[H3C-Serial3/0/0] ppp pap local-user router2 password simple h3c
[H3C-Serial3/0/0] ip address 200.1.1.2 16
要求路由器Router1用CHAP方式验证路由器Router2。
图1-6 CHAP验证示例组网图
方法一(两台路由器上存在密码一致的用户):
(1) 配置路由器Router1
[H3C] local-user router2
[H3C-luser-router2] password simple hello
[H3C-luser-router2] service-type ppp
[H3C-luser-router2] quit
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] link-protocol ppp
[H3C-Serial3/0/0] ppp chap user router1
[H3C-Serial3/0/0] ppp authentication-mode chap domain system
[H3C-Serial3/0/0] ip address 200.1.1.1 16
[H3C-Serial3/0/0] quit
[H3C]domain system
[H3C-isp-system] scheme local
(2) 配置路由器Router2
[H3C] local-user router1
[H3C-luser-router1] service-type ppp
[H3C-luser-router1] password simple hello
[H3C-luser-router1] quit
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] link-protocol ppp
[H3C-Serial3/0/0] ppp chap user router2
[H3C-Serial3/0/0] ip address 200.1.1.2 16
方法二(两台路由器上不存在密码一致的用户):
(3) 配置路由器Router1
[H3C] local-user router2
[H3C-luser-router2] password simple hello
[H3C-luser-router2] service-type ppp
[H3C-luser-router2] quit
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] ppp authentication-mode chap domain system
[H3C-Serial3/0/0] ip address 200.1.1.1
[H3C-Serial3/0/0] quit
[H3C] domain system
[H3C-isp-system] scheme local
(4) 配置路由器Router2
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] ppp chap user router2
[H3C-Serial3/0/0] ppp chap password simple hello
[H3C-Serial3/0/0] ip address 200.1.1.2
若ppp authentication-mode chap命令后面不配置domain system,则认证时默认使用系统缺省的域system,该域缺省为本地认证。
要求路由器Router1用CHAP方式验证路由器Router2,同时路由器Router2用CHAP方式验证路由器Router1。路由器Router1的口令为hello-1,路由器Router2的口令为hello-2。
图1-7 CHAP验证示例组网图
(1) 配置路由器Router1
[H3C] local-user router2
[H3C-luser-router2] password simple hello-2
[H3C-luser-router2] service-type ppp
[H3C-luser-router2] quit
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] ppp authentication-mode chap domain system
[H3C-Serial3/0/0] ppp chap user router1
[H3C-Serial3/0/0] ppp chap password simple hello-1
[H3C-Serial3/0/0] ip address 200.1.1.1 30
[H3C-Serial3/0/0] quit
[H3C] domain system
[H3C-isp-system] scheme local
(2) 配置路由器Router2
[H3C] local-user router1
[H3C-luser-router1] password simple hello-1
[H3C-luser-router1] service-type ppp
[H3C-luser-router1] quit
[H3C] interface serial 3/0/0
[H3C-Serial3/0/0] ppp authentication-mode chap domain system
[H3C-Serial3/0/0] ppp chap user router2
[H3C-Serial3/0/0] ppp chap password simple hello-2
[H3C-Serial3/0/0] ip address 200.1.1.2 30
此时,因被验证端优先使用ppp chap password命令配置的口令,所以双方的口令可以不同。
两台路由器A,B背靠背通过Serial1/0/0口连接,链路层采用PPP协议。
l RouterA不响应收到的LCP请求报文,在等待10~265秒之间的随机时间后,主动发出LCP请求报文开始PPP协商。
l RouterB不主动发出LCP请求报文,只响应收到的LCP请求报文进行协商。
图1-8 PPP协商等待时间配置组网图
(1) 配置RouterA
# 配置接口Serial1/0/0不能以被动响应方式开始PPP协商。
<H3C> system-view
[H3C] interface serial 1/0/0
[H3C-Serial1/0] ppp lcp passive-start wait forever
# 配置接口Serial1/0/0需要等待10~265秒之间的随机时间后,才能主动发出LCP请求报文进行协商。
[H3C-Serial1/0/0] ppp lcp active-start wait 10 random 255
(2) 配置RouterB
# 配置接口Serial1/0/0只能以被动响应方式开始PPP协商。
<H3C> system-view
[H3C] interface serial 1/0/0
[H3C-Serial1/0/0] ppp lcp active-start wait forever
在图1-9中,路由器RouterA的E1口有两个通道绑定到路由器RouterB的通道上,另外两个通道绑定到路由器Router C上,采用验证绑定方式。假定路由器RouterA上的四个通道的接口名为:Serial2/0/0:1、Serial2/0/0:2、Serial2/0/0:3、Serial2/0/0:4,路由器RouterB上的两个通道的接口名为Serial2/0/0:1、Serial2/0/0:2,路由器RouterC上的两个通道的接口名为:Serial2/0/0:1、Serial2/0/0:2。
图1-9 MP配置示例组网图
(1) 配置路由器RouterA
# 为RouterB和RouterC各增加一个用户。
[H3C] local-user router-b
[H3C-luser- router-b]password simple router-b
[H3C] local-user router-c
[H3C-luser- router-c]password simple router-c
# 为这两个用户指定虚拟模板接口,将使用该模板的NCP信息进行PPP协商。
[H3C] ppp mp user router-b bind virtual-template 1
[H3C] ppp mp user router-c bind virtual-template 2
# 配置虚拟模板接口。
[H3C] interface virtual-template 1
[H3C-virtual-template1] ip address 202.38.166.1 255.255.255.0
[H3C] interface virtual-template 2
[H3C-virtual-template2] ip address 202.38.168.1 255.255.255.0
# 将接口Serial2/0/0:1、Serial2/0/0:2、Serial2/0/0:3、Serial2/0/0:4加入MP通道,我们以Serial2/0/0:1为例,其它接口作同样配置。
[H3C] interface serial 2/0/0:1
[H3C-Serial2/0/0:1] link-protocol ppp
[H3C-Serial2/0/0:1] ppp mp
[H3C-Serial2/0/0:1] ppp authentication-mode pap domain system
[H3C-Serial2/0/0:1] ppp pap local-user router-a password simple router-a
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
(2) 配置路由器RouterB
# 为RouterA增加一个用户。
[H3C] local-user router-a
[H3C-luser-router-a] password simple router-a
# 为这个用户指定虚拟模板接口,将使用该模板的NCP信息进行PPP协商。
[H3C] ppp mp user router-a bind virtual-template 1
# 配置虚拟模板接口的工作参数。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ip address 202.38.166.2 255.255.255.0
# 将接口Serial2/0/0:1、Serial2/0/0:2加入MP通道,我们以Serial2/0/0:1为例,其它接口作同样配置。
[H3C] interface serial 2/0/0:1
[H3C-Serial2/0/0:1] ppp mp
[H3C-Serial2/0/0:1] ppp authentication-mode pap domain system
[H3C-Serial2/0/0:1] ppp pap local-user router-b password simple router-b
配置路由器RouterC:
# 为RouterA增加一个用户。
[H3C] local-user router-a
[H3C-luser-router-a] password simple router-a
# 为这个用户指定虚拟模板接口,将使用该模板的NCP信息进行PPP协商。
[H3C] ppp mp user router-a bind virtual-template 1
# 配置虚拟模板接口的工作参数
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ip address 202.38.168.2 255.255.255.0
# 将接口Serial2/0/0:1、Serial2/0/0:2加入MP通道,我们以Serial2/0/0:1为例,其它接口作同样配置。
[H3C] interface serial 2/0/0:1
[H3C-Serial2/0/0:1] ppp mp
[H3C-Serial2/0/0:1] ppp authentication-mode pap domain system
[H3C-Serial2/0/0:1] ppp pap local-user router-c password simple router-c
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
在下图中,路由器RouterA和RouterB的Serial1/0/0和Serial2/0/0分别对应连接。采用三种MP绑定方式,第一种是将链路直接绑定到VT上;第二种是按用户名查找VT,第三种是将链路绑定到MP-GROUP接口。
图1-10 绑定到VT的三种MP方式的组网图
(1) 第一种绑定方式(将物理接口直接绑定到VT接口上)
RouterA上的配置:
# 配置对端路由器RouterB在RouterA上的用户名和密码。
<H3C> system-view
[H3C] local-user rtb
[H3C-luser-rtb] password simple rtb
[H3C-luser-rtb] service-type ppp
[H3C-luser-rtb] quit
# 创建虚拟模板接口,配置相应的IP地址。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ip address 8.1.1.1 24
# 配置串口Serial1/0/0。
[H3C-Virtual-Template1] interface serial 1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rta password simple rta
[H3C-Serial1/0/0] ppp mp virtual-template 1
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface serial 2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rta password simple rta
[H3C-Serial2/0/0] ppp mp virtual-template 1
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
[H3C] domain system
[H3C-isp-domain] scheme local
RouterB上的配置:
# 配置对端路由器RouterA在RouterB上的用户名和密码。
<H3C> system-view
[H3C] local-user rta
[H3C-luser-rta] password simple rta
[H3C-luser-rta] service-type ppp
[H3C-luser-rta] quit
# 创建虚拟模板接口,配置相应的IP地址。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ip address 8.1.1.2 24
# 配置串口Serial1/0/0。
[H3C-Virtual-Template1] interface serial 1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial1/0/0] ppp mp virtual-template 1
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface serial 2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial2/0/0] ppp mp virtual-template 1
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
[H3C-isp-domain] quit
在RouterA上查看绑定效果:
[H3C] display ppp mp
Template is Virtual-Template1
max-bind: 16, min-fragment: 128
Bundle rtb, 2 members, slot 1, Master link is Virtual-Template1:0
Peer's endPoint descriptor: 72341c2a4093
Bundle Up Time: 2005/04/07 16:02:32:30
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The member channels bundled are:
Serial1/0/0 Up-Time:2005/04/07 16:02:32:30
Serial2/0/0 Up-Time:2005/04/07 16:07:38:30
查看VA状态:
[H3C] display virtual-access vt
----------------Slot 1----------------
Virtual-Template1:0 current state : UP
Line protocol current state : UP
Description : Virtual-Template1:0 Interface
The Maximum Transmit Unit is 1500
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, OSICP opened, MPLSCP opened
Physical is MP, baudrate: 128000
Output queue : (Urgent queue : Size/Length/Discards) 0/500/0
Output queue : (Protocol queue : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec 0 packets/sec
Last 300 seconds output: 0 bytes/sec 0 packets/sec
6 packets input, 66 bytes, 0 drops
6 packets output, 66 bytes, 0 drops
RouterA上显示类似。
在RouterB上ping对端IP 8.1.1.1。
[H3C] ping 8.1.1.1
PING 8.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 8.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/30/31 ms
由于在物理接口下配置了PPP认证,故display ppp mp中的Bundle为对端用户名;若去掉认证的配置,Bundle应为对端的终端描述符。
这里的虚拟访问接口VA的状态即对应MP虚通道的状态,可以用display virtual-access命令查看。
(2) 第二种绑定方式(按用户名找VT)
RouterA上的配置:
# 配置对端路由器RouterB在RouterA上的用户名和密码。
<H3C> system-view
[H3C] local-user rtb
[H3C-luser-rtb] password simple rtb
[H3C-luser-rtb] service-type ppp
[H3C-luser-rtb] quit
# 指定用户rtb对应的VT。
[H3C] ppp mp user rtb bind virtual-template 1
# 创建VT,配置相应的IP地址。
[H3C] interface virtual-template 1
[H3C-Virtual-Template1] ip address 8.1.1.1 24
# 配置串口Serial1/0/0。
[H3C-Virtual-Template1] interface serial 1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rta password simple rta
[H3C-Serial1/0/0] ppp mp
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface Serial2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rta password simple rta
[H3C-Serial2/0/0] ppp mp
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
[H3C-isp-domain] quit
RouterB上的配置:
# 配置对端路由器RouterA在RouterB上的用户名和密码
<H3C> system-view
[H3C] local-user rta
[H3C-luser-rta] password simple rta
[H3C-luser-rta] service-type ppp
[H3C-luser-rta] quit
# 指定用户RTA对应的VT。
[H3C] ppp mp user rta bind virtual-template 1
# 创建VT,配置相应的IP地址。
[H3C] interface Virtual-Template 1
[H3C-Virtual-Template1] ip address 8.1.1.2 24
# 配置串口Serial1/0/0。
[H3C-Virtual-Template1] interface serial 1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial1/0/0] ppp mp
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface serial 2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial2/0/0] ppp mp
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
[H3C-isp-domain] quit
在RouterA上查看绑定效果:
<H3C> display ppp mp
Template is Virtual-Template1
max-bind: 16, min-fragment: 128
Bundle rtb, 2 member, slot 1, Master link is Virtual-Template1:0
Peer's endPoint descriptor: 73b03a692ec9
Bundle Up Time: 2005/04/08 11:13:45:980
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled son channels are:
Serial1/0/0 Up-Time:2005/04/08 11:13:45:980
Serial2/0/0 Up-Time:2005/04/08 11:13:45:980
在RouterB上查看绑定效果:
[H3C] display ppp mp
Template is Virtual-Template1
max-bind: 16, min-fragment: 128
Bundle rta, 2 member, slot 1, Master link is Virtual-Template1:0
Peer's endPoint descriptor: 73b03a692ec9
Bundle Up Time: 2005/04/08 11:13:45:980
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
The bundled son channels are:
Serial1/0/0 Up-Time:2005/04/08 11:13:45:980
Serial2/0/0 Up-Time:2005/04/08 11:13:45:980
查看VA状态:
<H3C> display virtual-access vt
Virtual-Template1:0 current state : UP
Line protocol current state : UP
Description : Virtual-Template1:0 Interface
The Maximum Transmit Unit is 1500
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, OSICP opened, MPLSCP opened
Physical is MP, baudrate: 128000
Output queue : (Urgent queue : Size/Length/Discards) 0/500/0
Output queue : (Protocol queue : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec 0 packets/sec
Last 300 seconds output: 0 bytes/sec 0 packets/sec
21 packets input, 1386 bytes, 0 drops
21 packets output, 1386 bytes, 0 drops
在RouterB上ping对端IP地址8.1.1.1。
[H3C] ping 8.1.1.1
PING 8.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 8.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 8.1.1.1: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=3 ttl=255 time=30 ms
Reply from 8.1.1.1: bytes=56 Sequence=4 ttl=255 time=31 ms
Reply from 8.1.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 8.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/30/31 ms
错误配置:
如果想将Serial1/0/0和Serial2/0/0一起绑定到同一个MP中,但是将一个串口配成了ppp mp,而另一个配成ppp mp virtual-template 1,这时系统会分别将两个串口绑定到不同的MP中,工作将不正常,不能达到预期的效果。
(3) 第三种绑定方式(将链路绑定到MP-GROUP接口)
在Comware中,还增加了MP-GROUP接口,可以将链路绑定到MP-GROUP接口。这种MP实现方法与绑定到VT的第一种方式类似。
RouterA上的配置:
# 配置对端路由器RouterB在RouterA上的用户名和密码。
<H3C> system-view
[H3C] local-user rtb
[H3C-luser-rtb] password simple rtb
[H3C-luser-rtb] service-type ppp
[H3C-luser-rtb] quit
# 创建MP-GROUP接口,配置相应的IP地址。
[H3C] interface mp-group 1
[H3C-Mp-group1] ip address 111.1.1.1 24
# 配置串口Serial1/0/0。
[H3C-Mp-group1] interface Serial1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rta password simple rta
[H3C-Serial1/0/0] ppp mp mp-group 1
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface Serial2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rta password simple rta
[H3C-Serial2/0/0] ppp mp mp-group 1
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
[H3C-isp-domain] quit
RouterB上的配置:
# 配置对端路由器RouterA在RouterB上的用户名和密码。
<H3C> system-view
[H3C] local-user rta
[H3C-luser-rta] password simple rta
[H3C-luser-rta] service-type ppp
[H3C-luser-rta] quit
# 创建MP-GROUP接口,配置相应的IP地址。
[H3C] interface mp-group 1
[H3C-Mp-group1] ip address 111.1.1.2 24
# 配置串口Serial1/0/0。
[H3C-Mp-group1] interface Serial1/0/0
[H3C-Serial1/0/0] link-protocol ppp
[H3C-Serial1/0/0] ppp authentication-mode pap domain system
[H3C-Serial1/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial1/0/0] ppp mp mp-group 1
[H3C-Serial1/0/0] shutdown
[H3C-Serial1/0/0] undo shutdown
# 配置串口Serial2/0/0。
[H3C-Serial1/0/0] interface Serial2/0/0
[H3C-Serial2/0/0] link-protocol ppp
[H3C-Serial2/0/0] ppp authentication-mode pap domain system
[H3C-Serial2/0/0] ppp pap local-user rtb password simple rtb
[H3C-Serial2/0/0] ppp mp mp-group 1
[H3C-Serial2/0/0] shutdown
[H3C-Serial2/0/0] undo shutdown
[H3C-Serial2/0/0] quit
# 配置域用户使用本地认证方案。
[H3C] domain system
[H3C-isp-domain] scheme local
[H3C-isp-domain] quit
在RouterA上查看绑定效果:
[H3C] display ppp mp
Mp-group is Mp-group1
max-bind: 16, min-fragment: 128
Bundle Multilink, slot 1, Master link is Mp-group1
Peer's endPoint descriptor: 73b03a692ec9
Bundle Up Time: 2005/04/08 11:20:40:970
0 lost fragments, 0 reordered, 0 unassigned, 0 interleaved,
sequence 0/0 rcvd/sent
Member channels: 2 active, 0 inactive
Serial1/0/0 Up-Time:2005/04/08 11:20:40:970
Serial2/0/0 Up-Time:2005/04/08 11:20:40:970
查看MP-GROUP1状态:
[H3C] display interface Mp-group 1
Mp-group1 current state : UP
Line protocol current state : UP
Description : Mp-group1 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 111.1.1.1/24
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, MPLSCP opened
Physical is MP, baudrate: 128000
Output queue : (Urgent queue : Size/Length/Discards) 0/500/0
Output queue : (Protocol queue : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last 300 seconds input: 0 bytes/sec, 0 packets/sec
Last 300 seconds output: 0 bytes/sec, 0 packets/sec
5 packets input, 58 bytes, 0 drops
5 packets output, 54 bytes, 0 drops
在RouterA上ping对端IP:
[H3C] ping 111.1.1.2
PING 111.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 111.1.1.2: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 111.1.1.2: bytes=56 Sequence=3 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 111.1.1.2: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 111.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/29/31 ms
需要注意的是将链路绑定到MP-GROUP接口只有一种方式,就是在接口下直接指定相应的MP-GROUP接口。在这种MP绑定中,是将所有用户都绑定到在一起,没有VA的概念。
故障之一:链路始终不能转为Up状态。
故障排除:可能是由于PPP验证参数配置不正确,导致PPP验证失败。
打开PPP的调试开关,会看到LCP协商成功并转为Up状态后进行PAP或CHAP协商,然后LCP转为Down状态。
故障之二:物理链路不能转为Up状态。
故障排除:可以执行display interface type number命令来查看接口当前状态。
接口有五种状态:
serial number is administratively down, line protocol is down:表示该接口被管理员down。
serial number is down, line protocol is down:表示该接口没有被激活或物理层没有转为Up状态。
Virtual-template number is down, line protocol is spoofing up:表示该接口是拨号口,没有呼通。
serial number is up, line protocol is up:表示该接口链路协商即LCP协商已通过。
serial number is up, line protocol is down:表示该接口已激活,但链路协商仍没有通过。
PPPoE是Point-to-Point Protocol over Ethernet的简称,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每个主机实现控制、计费功能,极高的性能价格比使PPPoE在包括小区组网建设等一系列应用中被广泛采用。
PPPoE协议采用Client / Server方式,它将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
PPPoE有两个阶段:Discovery阶段和PPP Session阶段,具体如下:
l Discovery阶段
当一个主机想开始PPPoE进程的时候,它必须先识别接入端的以太网MAC地址,建立PPPoE的SESSION ID。这就是Discovery阶段的目的。
l PPP Session阶段
当PPPoE进入Session阶段后,PPP报文就可以作为PPPoE帧的净荷封装在以太网帧发到对端,SESSION ID必须是Discovery阶段确定的ID,MAC地址必须是对端的MAC地址,PPP报文从Protocol ID开始。在Session阶段,主机或服务器任何一方都可发PADT(PPPoE Active Discovery Terminate)报文通知对方结束本Session。
关于PPPoE的详细介绍,可以参考RFC2516。
H3C AR系列路由器提供了PPPoE Server的功能,支持动态分配IP地址,提供本地认证、RADIUS/TACACS+等多种认证方式,配合访问包过滤防火墙及状态防火墙,可以对内部网络提供安全保障,适用于校园、智能小区等通过以太网接入Internet的组网应用。
这种组网方式需要在用户PC上安装PPPoE客户端拨号软件。
PPPoE在ADSL宽带接入中被广泛使用。通常情况下,一台主机如果要通过ADSL接入Internet,必须在主机上安装PPPoE客户端拨号软件。H3C AR系列路由器实现了PPPoE Client功能(即PPPoE的客户端拨号功能),用户可以不用在PC上安装PPPoE客户端软件即可接入Internet,而且同一个局域网中的所有PC可以共享一个ADSL帐号。
图2-1 PPPoE Client典型组网图
从上图可以看到:以太网内的计算机连接到H3C路由器上,在路由器上运行PPPoE Client。上网的数据首先到达路由器,再通过PPPoE协议对数据进行封装,经由路由器挂接的ADSL Modem到达ADSL接入服务器,最终进入Internet。整个上网过程,不需要用户另外在计算机上安装PPPoE客户端拨号软件就可以实现。
PPPoE Server配置包括:
PPPoE Server的基本配置:
l 创建虚拟模板接口并配置相关参数
l 启用/禁止PPPoE Server
l 配置PPPoE用户进行认证
PPPoE Server的高级配置:
l 配置PPPoE Server相关参数
请在系统视图下进行下列配置。
表2-1 创建和删除虚拟模板接口
|
操作 |
命令 |
|
创建虚拟模板接口并进入虚拟模板接口视图 |
interface virtual-template number |
|
删除虚拟模板接口 |
undo interface virtual-template number |
虚拟模板接口与一般的物理接口相比,链路层协议只支持PPP,网络协议支持IP,因此,可以设置如下工作参数:
l 设置PPP的工作参数
l 设置虚拟接口的IP地址
l 设置为PPP对端分配的IP地址(或IP地址池)
请在接口视图下进行下列配置。
下表命令是针对以太网接口(含子接口)的,并且只对相应的以太网接口有效。即:在一个以太网接口上启用PPPoE协议,其它的以太网接口并不随之启用PPPoE协议;而在一个以太网接口上禁止PPPoE协议,并不表示其它的以太网接口也随之禁止PPPoE协议。
表2-2 启用/禁止PPPoE协议
|
操作 |
命令 |
|
在以太网接口上启用 PPPoE 协议 |
pppoe-server bind virtual-template number |
|
在以太网接口上禁止 PPPoE 协议 |
undo pppoe-server bind |
其中,number为虚拟模板接口(virtual-template)的编号。
缺省情况下,禁止PPPoE协议。
PPPoE Server系列参数可以根据需要进行配置,一般情况下使用缺省值即可。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
配置一个对端MAC地址上能创建的最大 PPPoE session数目。 |
pppoe-server max-sessions remote-mac number |
|
恢复一个对端MAC地址上能创建的最大 PPPoE session数目为缺省值,即100。 |
undo pppoe-server max-sessions remote-mac |
|
配置一个本端MAC地址上能创建的最大 PPPoE session数目。 |
pppoe-server max-sessions local-mac number |
|
恢复一个本端MAC地址上能创建的最大 PPPoE session数目为缺省值,即100。 |
undo pppoe-server max-sessions local-mac |
|
配置本系统能创建的最大PPPoE Session数目。 |
pppoe-server max-sessions total number |
|
将系统能创建的最大PPPoE session数目恢复为缺省值。 |
undo pppoe-server max-sessions total |
对于pppoe-server max-sessions local-mac、pppoe-server max-sessions remote-mac和pppoe-server max-sessions total命令的number参数的取值范围和缺省值请见表2-4。
表2-4 number参数取值范围表
|
产品系列 |
取值范围 |
缺省值 |
|
AR 18系列路由器 |
1~512 |
512 |
|
AR 28系列路由器 |
1~1024 |
256 |
|
AR 46系列路由器 |
1~4096 |
512 |
|
AR 46 系列路由器(ERPU) |
1~4096 |
1024 |
一般情况下PPPoE Server需要对PPP用户进行认证、计费,有关这部分的详细说明请参考安全配置部分。
PPPoE Client的基本配置包括:
l 配置拨号接口
l 配置PPPoE会话
PPPoE Client的高级配置包括:
l 中止PPPoE会话
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上配置dialer bundle。每个PPPoE会话唯一对应一个dialer bundle,而每个dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
请在系统视图下使用dialer-rule和interface dialer命令,在Dialer接口视图下使用其他命令。
|
操作 |
命令 |
|
配置Dialer Rule |
dialer-rule dialer-group { protocol-name { permit | deny } | acl acl-number } |
|
创建一个Dialer接口 |
interface dialer number |
|
使能共享DCC,设定远程用户名 |
dialer user username |
|
配置接口IP地址 |
ip address { address mask | ppp-negotiate } |
|
配置接口的Dialer Bundle |
dialer bundle bundle-number |
|
配置接口的Dialer Group |
dialer-group group-number |
PPPoE仅支持共享DCC。根据需要,可能还要在Dialer接口上配置PPP验证等相关参数,关于拨号接口配置的详细介绍,可以参考《Comware V3 操作手册 拨号》中DCC配置部分的相关内容,此处不再赘述。
PPPoE会话可以配置在物理以太网接口(含子接口)上,也可以配置在由ADSL接口生成的虚拟以太网接口上。当路由器通过ADSL接口连入Internet的时候,需要在虚拟以太网接口配置PPPoE会话;当路由器通过以太网接口连接ADSL Modem再连入Internet的时候,需要在以太网接口配置PPPoE会话。
请在系统视图下配置虚
