02-PPP配置
本章节下载: 02-PPP配置 (300 KB)
目 录
PPP(Point-to-Point Protocol,点对点协议)是在点到点链路上承载网络层数据包的一种链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信,因而获得广泛应用。
PPP定义了一整套协议,包括:
· 链路控制协议(Link Control Protocol,LCP):主要用来建立、拆除和监控数据链路。
· 网络控制协议(Network Control Protocol,NCP):主要用来协商在该数据链路上所传输的数据包的格式与类型。
· 认证协议:主要用于网络安全方面,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MS-CHAP(Microsoft CHAP,微软CHAP协议)和MS-CHAP-V2(Microsoft CHAP Version 2)。
PPP链路建立过程如图1-1所示:
(1) PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2) PPP在Establish阶段主要进行链路控制协商(LCP)。LCP协商内容包括:Authentication-Protocol(认证协议类型)、ACCM(Async-Control-Character-Map,异步控制字符映射表)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文)。
(3) 如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MS-CHAP或MS-CHAP-V2认证。如果认证失败,报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,上报Success事件。
(4) 如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文了;如果NCP协商失败,报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:PPP两端的IP地址、IP报文的压缩协议、DNS服务器地址等。)
(5) 到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
图1-1 PPP链路建立过程
有关PPP的详细介绍请参考RFC 1661。
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费,除此之外,可以基于认证给对端分配IP地址等。
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。
(1) PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
(2) CHAP认证
CHAP为三次握手协议。
认证分为单向认证和双向认证。CHAP单向认证过程又分为两种方式:认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,而并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
(3) MS-CHAP认证
MS-CHAP为三次握手协议,认证过程与CHAP类似,MS-CHAP与CHAP的不同之处在于:
· MS-CHAP采用的加密算法是0x80。
· MS-CHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
(4) MS-CHAP-V2认证
MS-CHAP-V2为三次握手协议,认证过程与CHAP类似,MS-CHAP-V2与CHAP的不同之处在于:
· MS-CHAP-V2采用的加密算法是0x81。
· MS-CHAP-V2通过报文捎带的方式实现了认证方和被认证方的双向认证。
· MS-CHAP-V2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MS-CHAP-V2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
MP是MultiLink PPP的缩写,是出于增加带宽的考虑,将多个PPP链路捆绑使用产生的。MP会将报文分片(小于最小分片包长时不分片)后,从MP链路下的多个PPP通道发送到对端,对端将这些分片组装起来传递给网络层处理。
MP主要是增加带宽的作用,除此之外,MP还有负载分担的作用,这里的负载分担是链路层的负载分担;负载分担从另外一个角度解释就有了备份的作用。同时,MP的分片可以起到减小传输时延的作用,特别是在一些低速链路上。
综上所述,MP的作用主要有以下几个:
· 增加带宽
· 负载分担
· 备份
· 利用分片降低时延
表1-1 PPP配置任务简介
配置任务 |
说明 |
详细配置 |
配置接口封装PPP协议 |
必选 |
|
配置PPP认证方式 |
可选 |
|
配置轮询时间间隔 |
可选 |
|
配置PPP协商参数 |
可选 |
表1-2 配置接口封装PPP协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口封装的链路层协议为PPP |
link-protocol ppp |
可选 缺省情况下,除以太网接口、VLAN接口外,其它接口封装的链路层协议均为PPP |
本章只介绍本地认证方案,远端AAA认证方案请参见“安全配置指导”中的“AAA”。
PPP支持如下认证方式:PAP、CHAP、MS-CHAP、MS-CHAP-V2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
(1) 配置认证方
表1-3 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为PAP |
ppp authentication-mode pap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
(2) 配置被认证方
表1-4 配置PAP认证的被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码 |
ppp pap local-user username password { cipher | simple } password |
必选 缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空 |
CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名。
(1) 认证方配置了用户名
· 配置认证方
表1-5 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入指定接口的视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用CHAP认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的本地用户的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码; · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
表1-6 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的本地用户的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码; · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
(2) 认证方没有配置用户名
· 配置认证方
表1-7 配置认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为CHAP |
ppp authentication-mode chap [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码; · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名必须与被认证方上的配置一致 认证方用户的密码和被认证方用户的密码要配置成相同的 |
· 配置被认证方
表1-8 配置被认证方
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置采用CHAP认证时被认证方的用户名 |
ppp chap user username |
必选 在认证方上为被认证方配置的本地用户的用户名必须跟此处配置的一致 |
设置缺省的CHAP认证密码 |
ppp chap password { cipher | simple } password |
必选 在认证方上为被认证方配置的本地用户的密码必须跟此处配置的一致 |
· 设备只能作为MS-CHAP和MS-CHAP-V2的认证方来对其它设备进行认证。
· MS-CHAP-V2认证只有在使用RADIUS认证的方式下,才能支持修改密码机制。
与CHAP认证相同,MS-CHAP和MS-CHAP-V2认证也分为两种:认证方配置了用户名和认证方没有配置用户名。
表1-9 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方配置了用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置采用MS-CHAP或MS-CHAP-V2认证时认证方的用户名 |
ppp chap user username |
必选 在被认证方上为认证方配置的用户名必须跟此处配置的一致 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
表1-10 配置MS-CHAP或MS-CHAP-V2认证的认证方(认证方没有配置用户名)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入指定接口的视图 |
interface interface-type interface-number |
- |
配置本地认证对端的方式为MS-CHAP或MS-CHAP-V2 |
ppp authentication-mode { ms-chap | ms-chap-v2 } [ [ call-in ] domain isp-name ] |
必选 缺省情况下,PPP协议不进行认证 |
配置本地AAA认证或者远程AAA认证 |
请参见“安全配置指导”中的“AAA” · 若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码 · 若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码 |
必选 为被认证方配置的用户名和密码必须与被认证方上的配置一致 |
轮询时间间隔,即接口发送keepalive报文的周期。
如果将轮询时间间隔配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,轮询时间间隔不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在多个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
表1-11 配置轮询时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置轮询时间间隔 |
timer hold seconds |
可选 缺省情况下,轮询时间间隔为10秒 |
可以配置的PPP协商参数包括:
· 协商超时时间间隔
· 协商IP地址
在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
表1-12 配置协商超时时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置协商超时时间间隔 |
ppp timer negotiate seconds |
可选 缺省情况下,协商超时时间间隔为3秒 |
在PPP协商IP地址的过程中,设备可以分为两种角色:
· 配置设备作为Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址并且配置有地址池时,可为本端接口配置IP地址可协商属性,使本端接口接受由对端分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
· 配置设备作为Server端:若是设备作为Server为对端设备分配IP地址,则应首先在域视图或系统视图下配置本地IP地址池,指明地址池的地址范围,然后在接口视图下指定该接口使用的地址池。
(1) 配置Client端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
设置接口IP地址可协商属性 |
ip address ppp-negotiate |
必选 |
(2) 配置Server端
对于不需要进行认证的PPP用户,Server端的配置方式如下:
表1-14 配置Server端(对于不需要进行认证的PPP用户)
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
通过使用全局地址池给对端分配地址,或者直接为对端指定IP地址 |
首先定义全局IP地址池,然后在接口上使用全局地址池给PPP用户分配IP地址 |
ip pool pool-number low-ip-address [ high-ip-address ] |
两者必选其一 当配置了remote address pool但没有指定pool-number时,缺省使用0号全局地址池 |
interface interface-type interface-number |
|||
remote address pool [ pool-number ] |
|||
接口直接为对端指定IP地址 |
interface interface-type interface-number |
||
remote address ip-address |
对于需要进行认证的PPP用户,Server端的配置方式如表1-15所示。如果采用这种方式,则需要在进行PPP认证时指定的域中定义地址池。
表1-15 配置Server端(对于需要进行认证的PPP用户)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ISP域视图 |
domain domain-name |
- |
定义域地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
必选 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
使用域地址池给PPP用户分配IP地址 |
remote address pool [ pool-number ] |
必选 若配置该命令时不指定pool-number,则在IP地址协商时按照地址池编号顺序依次使用该域下的地址池给用户分配IP地址 |
配置PPP IPCP不允许对端使用自行配置的固定IP地址 |
ppp ipcp remote-address forced |
可选 缺省情况下,PPP IPCP的IP地址协商情况为本端不具有地址分配的强制性,即本端允许对端自行配置地址。当对端明确请求本端分配地址时,本端给对端分配地址;若对端已自行配置IP地址时,本端不再强行给对端分配地址 |
系统不支持跨子卡进行MP捆绑。
表1-16 通过MP-group接口配置MP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建MP-group接口并进入指定的MP-group接口视图 |
interface mp-group mp-number |
必选 |
配置接口的描述字符串 |
description text |
可选 缺省情况下,接口的描述字符串为“该接口的接口名 Interface” |
配置MP最大捆绑生效的链路数 |
ppp mp max-bind max-bind-num |
可选 缺省情况下,最大捆绑生效的链路数为16,但当前MP最多允许捆绑12个接口并使其同时生效(UP) |
配置MP最大传输单元 |
mtu size |
可选 |
恢复接口的缺省配置 |
default |
可选 |
配置MP使用严格负载分担模式 |
ppp mp load-sharing mode strict-round-robin |
可选 缺省情况下,MP使用智能负载分担模式 |
打开接口 |
undo shutdown |
可选 缺省情况下,接口为打开状态 |
使能MP报文分片功能 |
ppp mp fragment enable |
可选 缺省情况下,MP报文分片功能处于开启状态 |
配置对MP报文进行分片的最小报文长度 |
ppp mp min-fragment size |
可选 缺省情况下,对MP报文进行分片的最小报文长度为512字节 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
将接口加入指定的MP-group接口,使接口工作在MP方式 |
ppp mp mp-group mp-number |
必选 |
· 当您改变MP最大捆绑生效的链路数或改变MP报文分片功能的状态时,改变不能立即生效,必须对所有已捆绑的物理接口依次执行shutdown和undo shutdown之后改变才会生效。
· 当您改变MP在报文发送时使用的模式时,改变不能立即生效,必须对MP-group接口依次执行shutdown和undo shutdown操作之后改变才会生效。
· 在PIC-ET8G8L、PIC-CLP1G8L以及PIC-CLP2G8L子卡的MP-group接口上配置MP报文最小分片长度为1500字节时,要求对端接口上不能使能分片功能,否则将会导致业务中断。
· 配置undo ppp mp fragment enable命令后,接口的ppp mp min-fragment命令不再起作用。
MP捆绑组在收发报文时默认使用长序方式(长序、短序是指报文序号的长短)。
· 如果本端接收使用短序,则需要在协商LCP的过程添加短序请求,请求对端发送短序,协商通过后,对端使用短序发送;
· 如果本端发送使用短序,则需要对端发出短序协商请求,协商通过后,本端使用短序发送。
表1-17 配置MP短序协商方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
触发MP短序协商,协商成功后本端接收方向将使用短序 |
ppp mp short-sequence |
必选 缺省情况下,不触发短序协商,使用长序 |
· MP捆绑组使用的长短序方式由第一条加入该捆绑组中的子通道决定,后续加入捆绑组的子通道配置不能更改MP捆绑组的长短序方式。
· 如果想使用MP短序协商,建议在所有的MP子通道下配置该命令,因为配置该命令会导致PPP重协商。
在MP的LCP协商过程会协商Endpoint选项(终端描述符)值,进行捆绑处理。
缺省情况下,接口发送报文中的Endpoint选项内容为设备名称;当使用ppp mp mp-group命令将接口加入指定MP-group时,接口发送报文中携带的Endpoint选项内容始终为MP-group的接口名称,用户配置的Endpoint选项内容不会生效。
由于Endpoint选项内容最长为20字节,如果内容超过20个字节,则截取前20个字节作为Endpoint选项内容。
表1-18 配置MP Endpoint选项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置MP Endpoint选项内容 |
ppp mp endpoint string char-string |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示PPP和MP配置后的运行情况,通过查看显示信息验证配置的效果。
表1-19 PPP和MP显示和维护
操作 |
命令 |
显示已创建的MP-group接口的状态信息 |
display interface mp-group [ mp-number ] [ | { begin | exclude | include } regular-expression ] |
显示MP-group的接口信息和统计信息 |
display ppp mp [ interface mp-group mp-number ] [ | { begin | exclude | include } regular-expression ] |
清除指定接口的统计信息 |
reset counters interface [ interface-type [ interface-number ] ] |
如图1-2所示,Router A和Router B之间用接口Serial4/1/9/1:0互连,要求Router A用PAP方式认证Router B,Router B不需要对Router A进行认证。
图1-2 PAP单向认证举例组网图
配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple passb
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
[RouterA] interface Serial 4/1/9/1:0
# 配置接口封装的链路层协议为PPP。
[RouterA-Serial4/1/9/1:0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial4/1/9/1:0] ppp authentication-mode pap domain system
# 配置接口的IP地址。
[RouterA-Serial4/1/9/1:0] ip address 200.1.1.1 16
[RouterA-Serial4/1/9/1:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
配置Router B
# 配置接口封装的链路层协议为PPP。
<RouterB> system-view
[RouterB] interface Serial 4/1/9/1:0
[RouterB-Serial4/1/9/1:0] link-protocol ppp
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial4/1/9/1:0] ppp pap local-user userb password simple passb
# 配置接口的IP地址。
[RouterB-Serial4/1/9/1:0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口serial4/1/9/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
[RouterB-Serial4/1/9/1:0] display interface Serial 4/1/9/1:0
Serial4/1/9/1:0 current state: UP
Line protocol current state: UP
Description: Serial4/1/9/1:0 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 200.1.1.2/16 Primary
Link layer protocol is PPP
LCP opened, IPCP opened
CRC type is 16-bit
Last 300 seconds input: 0 packets/sec, 3 bytes/sec
Last 300 seconds output: 0 packets/sec, 2 bytes/sec
Input(total): 367 packets, 13212 bytes
Input(Bad): 0 Abort, 0 FCS-Error, 0 FIFO-Abort, 0 Giant, 0 Runt
Output(total): 654 packets, 9156 bytes
Output(Bad): 0 Abort
Peak value of input: 3 bytes/sec, at 2010-11-04 17:02:07
Peak value of output: 2 bytes/sec, at 2010-11-04 17:02:07
[RouterB-Serial4/1/9/1:0] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 200.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/23/103 ms
如图1-3所示,Router A和Router B之间用接口Serial4/1/9/1:0互连,要求Router A和Router B用PAP方式相互认证对方。
图1-3 PAP双向认证举例组网图
配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple passb
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
[RouterA] interface Serial 4/1/9/1:0
# 配置接口封装的链路层协议为PPP。
[RouterA-Serial4/1/9/1:0] link-protocol ppp
# 配置本地认证Router B的方式为PAP。
[RouterA-Serial4/1/9/1:0] ppp authentication-mode pap domain system
# 配置本地被Router B以PAP方式认证时Router A发送的PAP用户名和密码。
[RouterA-Serial4/1/9/1:0] ppp pap local-user usera password simple passa
# 配置接口的IP地址。
[RouterA-Serial4/1/9/1:0] ip address 200.1.1.1 16
[RouterA-Serial4/1/9/1:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera
# 设置本地用户的密码。
[RouterB-luser-usera] password simple passa
# 设置本地用户的服务类型为PPP。
[RouterB-luser-usera] service-type ppp
[RouterB-luser-usera] quit
[RouterB] interface Serial 4/1/9/1:0
# 配置接口封装的链路层协议为PPP。
[RouterB-Serial4/1/9/1:0] link-protocol ppp
# 配置本地认证Router A的方式为PAP。
[RouterB-Serial4/1/9/1:0] ppp authentication-mode pap domain system
# 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。
[RouterB-Serial4/1/9/1:0] ppp pap local-user userb password simple passb
# 配置接口的IP地址。
[RouterB-Serial4/1/9/1:0] ip address 200.1.1.2 16
[RouterB-Serial4/1/9/1:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
通过display interface serial命令,查看接口serial4/1/9/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。此处显示信息略。
在图1-4中,要求设备Router A用CHAP方式认证设备Router B。
图1-4 CHAP单向认证举例组网图
配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
[RouterA] interface Serial 4/1/9/1:0
# 配置接口封装的链路层协议为PPP。
[RouterA-Serial4/1/9/1:0] link-protocol ppp
# 配置采用CHAP认证时Router A的用户名。
[RouterA-Serial4/1/9/1:0] ppp chap user usera
# 配置本地认证Router B的方式为CHAP。
[RouterA-Serial4/1/9/1:0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial4/1/9/1:0] ip address 200.1.1.1 16
[RouterA-Serial4/1/9/1:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
配置Router B
# 为Router A创建本地用户。
<RouterB> system-view
[RouterB] local-user usera
# 设置本地用户的密码。
[RouterB-luser-usera] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterB-luser-usera] service-type ppp
[RouterB-luser-usera] quit
[RouterB] interface Serial 4/1/9/1:0
# 配置接口封装的链路层协议为PPP。
[RouterB-Serial4/1/9/1:0] link-protocol ppp
# 配置采用CHAP认证时Router B的用户名。
[RouterB-Serial4/1/9/1:0] ppp chap user userb
# 配置接口的IP地址。
[RouterB-Serial4/1/9/1:0] ip address 200.1.1.2 16
配置Router A
# 为Router B创建本地用户。
<RouterA> system-view
[RouterA] local-user userb
# 设置本地用户的密码。
[RouterA-luser-userb] password simple hello
# 设置本地用户的服务类型为PPP。
[RouterA-luser-userb] service-type ppp
[RouterA-luser-userb] quit
[RouterA] interface Serial 4/1/9/1:0
# 配置本地认证Router B的方式为CHAP。
[RouterA-Serial4/1/9/1:0] ppp authentication-mode chap domain system
# 配置接口的IP地址。
[RouterA-Serial4/1/9/1:0] ip address 200.1.1.1 16
[RouterA-Serial4/1/9/1:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
配置Router B
# 配置采用CHAP认证时Router B的用户名。
<RouterB> system-view
[RouterB] interface Serial 4/1/9/1:0
[RouterB-Serial4/1/9/1:0] ppp chap user userb
# 设置缺省的CHAP认证密码。
[RouterB-Serial4/1/9/1:0] ppp chap password simple hello
# 配置接口的IP地址。
[RouterB-Serial4/1/9/1:0] ip address 200.1.1.2 16
通过display interface serial命令,查看接口serial4/1/9/1:0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。此处显示信息略。
在下图中,设备Router A和Router B的Serial4/1/9/1:0和4/1/9/2:0分别对应连接。采用Mp-group绑定方式。
图1-5 MP-group绑定方式的配置举例组网图
在系统中,还增加了Mp-group接口,可以将链路绑定到Mp-group接口。
配置Router A
# 配置对端设备Router B在Router A上的用户名和密码。
<RouterA> system-view
[RouterA] local-user rtb
[RouterA-luser-rtb] password simple rtbbbbbbbbb
[RouterA-luser-rtb] service-type ppp
[RouterA-luser-rtb] quit
# 创建Mp-group接口,配置相应的IP地址。
[RouterA] interface Mp-group 4/1/1
[RouterA-Mp-group4/1/1] ip address 111.1.1.1 24
# 配置串口Serial4/1/9/1:0。
[RouterA-Mp-group4/1/1] interface Serial 4/1/9/1:0
[RouterA-Serial4/1/9/1:0] link-protocol ppp
[RouterA-Serial4/1/9/1:0] ppp authentication-mode pap domain system
[RouterA-Serial4/1/9/1:0] ppp pap local-user rta password simple rtaaaaaaaaa
[RouterA-Serial4/1/9/1:0] ppp mp mp-group 4/1/1
[RouterA-Serial4/1/9/1:0] shutdown
[RouterA-Serial4/1/9/1:0] undo shutdown
[RouterA-Serial4/1/9/1:0] quit
# 配置串口Serial4/1/9/2:0。
[RouterA] interface Serial 4/1/9/2:0
[RouterA-Serial4/1/9/2:0] link-protocol ppp
[RouterA-Serial4/1/9/2:0] ppp authentication-mode pap domain system
[RouterA-Serial4/1/9/2:0] ppp pap local-user rta password simple rtaaaaaaaaa
[RouterA-Serial4/1/9/2:0] ppp mp Mp-group 4/1/1
[RouterA-Serial4/1/9/2:0] shutdown
[RouterA-Serial4/1/9/2:0] undo shutdown
[RouterA-Serial4/1/9/2:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterA] domain system
[RouterA-isp-system] authentication ppp local
[RouterA-isp-system] quit
配置Router B
# 配置对端设备Router A在Router B上的用户名和密码。
<RouterB> system-view
[RouterB] local-user rta
[RouterB-luser-rta] password simple rtaaaaaaaaa
[RouterB-luser-rta] service-type ppp
[RouterB-luser-rta] quit
# 创建Mp-group接口,配置相应的IP地址。
[RouterB] interface Mp-group 4/1/1
[RouterB-Mp-group4/1/1] ip address 111.1.1.2 24
[RouterB-Mp-group4/1/1] quit
# 配置串口Serial4/1/9/1:0。
[RouterB] interface Serial 4/1/9/1:0
[RouterB-Serial4/1/9/1:0] link-protocol ppp
[RouterB-Serial4/1/9/1:0] ppp authentication-mode pap domain system
[RouterB-Serial4/1/9/1:0] ppp pap local-user rtb password simple rtbbbbbbbbb
[RouterB-Serial4/1/9/1:0] ppp mp Mp-group 4/1/1
[RouterB-Serial4/1/9/1:0] shutdown
[RouterB-Serial4/1/9/1:0] undo shutdown
[RouterB-Serial4/1/9/1:0] quit
# 配置串口Serial4/1/9/2:0。
[RouterB] interface Serial 4/1/9/2:0
[RouterB-Serial4/1/9/2:0] link-protocol ppp
[RouterB-Serial4/1/9/2:0] ppp authentication-mode pap domain system
[RouterB-Serial4/1/9/2:0] ppp pap local-user rtb password simple rtbbbbbbbbb
[RouterB-Serial4/1/9/2:0] ppp mp Mp-group 4/1/1
[RouterB-Serial4/1/9/2:0] shutdown
[RouterB-Serial4/1/9/2:0] undo shutdown
[RouterB-Serial4/1/9/2:0] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[RouterB] domain system
[RouterB-isp-system] authentication ppp local
[RouterB-isp-system] quit
在Router A上查看绑定效果:
[RouterA] display ppp mp
Mp-group is Mp-group4/1/1
max-bind: 16, fragment:enable, min-fragment: 512
Bundle Multilink, 2 members, Master link is Mp-group4/1/1
Peer's endPoint descriptor: Mp-group4/1/1
Bundle Up Time: 2007/06/29 10:45:11:562
0 lost fragments, 0 reordered, 0 unassigned
Sequence: 0/0 rcvd/sent
The member channels bundled are:
Serial4/1/9/1:0 Up-Time:2007/06/29 11:07:29:167
Serial4/1/9/2:0 Up-Time:2007/06/29 11:07:29:192
# 查看Mp-group4/1/1状态:
[RouterA] display interface Mp-group 4/1/1
Mp-group4/1/1 current state: UP
Line protocol current state: UP
Description: Mp-group4/1/1 Interface
The Maximum Transmit Unit is 1200, Hold timer is 10(sec)
Internet Address is 6.0.0.1/24 Primary
Link layer protocol is PPP
LCP opened, MP opened, IPCP opened, OSICP opened
Physical is MP, baudrate: 18432000 bps
Last 300 seconds input: 84 bytes/sec 1 packets/sec
Last 300 seconds output: 80 bytes/sec 1 packets/sec
846 packets input, 61121 bytes, 0 drops
825 packets output, 61030 bytes, 0 drops
# 在Router A上ping对端IP。
[RouterA] ping 111.1.1.2
PING 111.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 111.1.1.2: bytes=56 Sequence=1 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=2 ttl=255 time=31 ms
Reply from 111.1.1.2: bytes=56 Sequence=3 ttl=255 time=29 ms
Reply from 111.1.1.2: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 111.1.1.2: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 111.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 29/29/31 ms
PPP认证失败,链路始终不能转为up状态。
可能是由于PPP认证参数配置不正确,导致PPP认证失败。
打开PPP的调试开关,会看到LCP协商成功并转为up状态后进行PAP或CHAP协商,然后LCP转为down状态,则需要修改PPP认证参数的配置,保证认证方可以通过被认证方的认证。
物理链路始终是down状态。
物理链路始终是down状态,可能有以下原因:
· 接口没有被激活;
· 接口被管理员down掉;
· 物理接口已通,但是链路协商没有通过。
可以执行display interface命令来查看接口当前状态,判断故障原因,从而采取相应的方法使物理链路up。
接口有如下状态:
· 该接口被管理员down,显示如下:
Serial4/1/9/1:0 current state: Administratively DOWN, Line protocol current state: DOWN
· 该接口没有被激活或物理层没有转为up状态,显示如下:
Serial4/1/9/1:0 current state: DOWN, Line protocol current state: DOWN
· 该接口链路协商即LCP协商已通过,显示如下:
Serial4/1/9/1:0 current state: UP, Line protocol current state: UP
· 该接口已激活,但链路协商仍没有通过,显示如下:
Serial4/1/9/1:0 current state: UP, Line protocol current state: DOWN
未使能IPv6的前提下在PPP链路上配置IPv6地址,IPv6CP无法协商up,使能IPv6功能后,依旧不能协商up。
未使能IPv6的前提下,IPv6CP无法协商成功。由于IPv6CP无重协商机制,所以后续再使能IPv6也无法使IPv6CP协商up。
· 在PPP链路上配置IPv6地址时,建议首先使能系统的IPv6功能,然后再配置IPv6地址。
· 如果IPv6CP协商down,可以通过依次执行命令shutdown/undo shutdown接口使其重新进行协商。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!