03-PPP命令
本章节下载: 03-PPP命令 (579.15 KB)
目 录
1.1.5 display interface bas-interface
1.1.6 display interface virtual-template
1.1.9 display ppp access-user tcp-connection
1.1.10 display ppp chasten statistics
1.1.11 display ppp chasten user
1.1.12 display ppp offline-reason statistics
1.1.13 display ppp packet statistics
1.1.14 display trace access-user
1.1.15 interface virtual-template
1.1.16 ip address ppp-negotiate
1.1.18 ip pool allocate-new-ip enable
1.1.22 ppp access-user log enable
1.1.23 ppp account-statistics enable
1.1.24 ppp authentication chasten
1.1.25 ppp authentication-mode
1.1.28 ppp flow-statistics frequency
1.1.32 ppp ipcp remote-address match
1.1.35 ppp keepalive datacheck
1.1.36 ppp keepalive fast-reply enable
1.1.40 ppp nd-prefix-route enable
1.1.42 ppp peer hostroute-suppress
1.1.47 remote address dhcp client-identifier
1.1.49 reset ppp chasten blocked-user
1.1.50 reset ppp offline-reason statistics
1.1.51 reset ppp packet statistics
本文中的PPP仅服务于PPPoE和L2TP应用。有关PPPoE和L2TP的介绍,请参见“BRAS业务配置指导”中的“PPPoE”和“L2TP”。
bandwidth命令用来配置接口的期望带宽。
undo bandwidth命令用来恢复缺省情况。
【命令】
bandwidth bandwidth-value
undo bandwidth
【缺省情况】
接口的期望带宽=接口的波特率÷1000(kbps)。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
bandwidth-value:表示接口的期望带宽,取值范围为1~400000000,单位为kbps。
【使用指导】
接口的期望带宽会影响链路开销值,具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。
【举例】
# 配置虚拟模板接口10的期望带宽为1000kbps。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] bandwidth 1000
default命令用来恢复接口的缺省配置。
【命令】
default
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
【举例】
# 将虚拟模板接口10恢复为缺省配置。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] default
description命令用来设置接口的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-Template1 Interface。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
text:接口描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置虚拟模板接口10的描述信息为“virtual-interface”。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] description virtual-interface
display bas-interface命令用来显示BAS接口的绑定信息。
【命令】
display bas-interface
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有BAS接口的绑定信息。
<Sysname> display bas-interface
Total BAS interface count: 2
Total PPPoE access-user count: 200
Total L2TP access-user count: 100
Bas-interface Mode Bind-info Access-info
BAS0 PPPoE GE3/1/1 200
BAS1 L2TP l2tp-group-1 5/100
表1-1 display bas-interface命令显示信息描述表
字段 |
描述 |
Total BAS interface count |
已创建的BAS接口总数 |
Total PPPoE access-user count |
通过所有BAS接口上线的PPPoE用户总数 |
Total L2TP access-user count |
通过所有BAS接口上线的L2TP用户总数 |
Bas-interface |
BAS接口名称 |
Mode |
BAS接口绑定模式,包括: · PPPoE:表示PPPoE Server创建使用的BAS接口 · L2TP:表示L2TP组创建使用的BAS接口 |
Bind-info |
绑定信息,其中: · 对于PPPoE绑定模式,表示PPPoE用户的接入接口 · 对于L2TP绑定模式,表示L2TP用户的L2TP组号 |
Access-info |
接入信息,其中: · 对于PPPoE绑定模式,表示通过当前BAS接口上线的PPPoE用户数 · 对于L2TP绑定模式,表示通过当前BAS接口建立的隧道总数和会话总数。例如5/100表示通过当前BAS接口共建立了5条L2TP隧道,这5条L2TP隧道上共建立了100条L2TP会话 |
display interface bas-interface命令用来显示BAS接口的相关信息。
【命令】
display interface [ bas-interface [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
bas-interface [ interface-number ]:显示指定BAS接口的信息。interface-number表示BAS接口的编号。如果不指定bas-interface参数,将显示设备支持的所有接口的相关信息;如果指定bas-interface参数,不指定interface-number参数,将显示所有已创建的BAS接口的相关信息。
brief:显示接口的概要信息。如果未指定本参数,将显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,如果未指定本参数,将仅显示描述信息中的前27个字符,超出部分不显示。
down:显示当前物理状态为down的接口的信息以及down的原因。如果未指定本参数,将不会根据接口物理状态来过滤显示信息。
【举例】
# 显示接口bas-interface0的运行状态和相关信息。
<Sysname> display interface bas-interface 0
Bas-interface0
Current state: UP
Line protocol state: UP
Description: Bas-interface0 Interface
Bandwidth: 1000000 kbps
Maximum transmission unit: 1492
Hold timer: 10 seconds, retry times: 5
Internet address: 4.1.1.1/24 (primary)
Link layer protocol: PPP
Physical: PPPOE, baudrate: 1000000 kbps
Last clearing of counters: Never
# 显示bas-interface0接口的概要信息。
<Sysname> display interface bas-interface 0 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
BAS0 UP UP 4.1.1.1
# 显示当前物理状态为down的bas-interface接口的信息以及down的原因。
<Sysname> display interface bas-interface brief down
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
BAS0 DOWN Not connected
表1-2 display interface Bas-interface命令显示信息描述表
字段 |
描述 |
Current state |
接口当前的物理状态和管理状态,可能的取值及含义如下: · DOWN:表示该接口的管理状态为开启,但物理状态为关闭 · UP:该接口的管理状态和物理状态均为开启 |
Line protocol state |
接口的链路层协议状态。其值由链路层经过参数协商决定,取值为: · UP:表示数据链路层协议状态为开启 · DOWN:表示数据链路层协议状态为关闭 |
Description |
接口的描述信息 |
Bandwidth |
接口的期望带宽 |
Maximum transmission unit |
接口的MTU |
Hold timer |
当前接口发送keepalive报文的周期 |
retry times |
在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路 |
Internet protocol processing: enabled |
接口当前可以处理IP报文 |
Internet address: 4.1.1.1/24 (primary) |
接口的主IP地址 |
Link layer protocol: PPP |
链路层封装的协议 |
Physical |
接口的物理类型 |
baudrate |
接口的波特率 |
Last clearing of counters |
最后一次清除接口统计信息的时间(Never表示未清除过接口的统计信息) |
Brief information on interfaces in route mode |
三层接口的概要信息 |
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员手工关闭了,需要在该接口下执行undo shutdown命令才能恢复端口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个备份接口 |
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”,则表示该接口的数据链路层协议状态显示为UP,但实际可能没有对应的链路,或者对应的链路不是永久存在而是按需建立的。通常NULL、LoopBack等接口会具有该属性 |
Interface |
接口名称缩写 |
Link |
接口物理连接状态,取值可能为: · UP:表示接口物理上是连通的 · DOWN:表示接口物理上不通 |
Protocol |
接口数据链路层协议状态,取值可能为: · UP:表示接口的数据链路层是连通的 · DOWN:表示接口的数据链路层不通 · UP(s):表示接口的数据链路层协议状态显示为UP,但实际可能没有对应的链路,或者对应的链路不是永久存在而是按需建立的。通常NULL、LoopBack等接口会具有该属性 |
Primary IP |
接口主IP地址。当显示“--”时,表示接口下还未配置IP地址 |
Description |
接口的描述信息 |
Cause |
接口物理连接状态为down的原因,取值为:Not connected:表示没有物理连接(可能没有插网线或者网线故障) |
display interface virtual-template命令用来显示虚拟模板接口的相关信息。
【命令】
display interface [ virtual-template [ interface-number ] ] [ brief [ description | down ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
virtual-template [ interface-number ]:显示指定虚拟模板接口的信息。interface-number表示虚拟模板接口的编号,取值范围为已创建的虚拟模板接口的编号。如果未指定virtual-template,将显示设备支持的所有接口的相关信息;如果指定virtual-template,未指定interface-number,将显示所有已创建的虚拟模板接口的相关信息。
brief:显示接口的概要信息。如果未指定本参数,将显示接口的详细信息。
description:用来显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,未指定本参数时,只显示描述信息中的前27个字符,超出部分不显示;指定本参数时,可以显示全部描述信息。
down:显示当前物理状态为down的接口的信息以及down的原因。如果未指定本参数,将不会根据接口物理状态来过滤显示信息。
【举例】
# 显示虚拟模板接口1的运行状态和相关信息。
<Sysname> display interface virtual-template 1
Virtual-Template1
Current state: DOWN
Line protocol state: DOWN
Description: Virtual-Template1 Interface
Bandwidth: 100000kbps
Maximum transmission unit: 1500
Hold timer: 10 seconds,retry times: 5
Internet address: 192.168.1.200/24 (primary)
Link layer protocol: PPP
LCP: initial
Physical: None, baudrate: 100000000 bps
# 显示虚拟模板接口1的概要信息。
<Sysname> display interface virtual-template 1 brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
VT1 DOWN DOWN --
# 显示当前物理状态为down的虚拟模板接口的信息以及down的原因。
<Sysname> display interface Virtual-Template brief down
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Interface Link Cause
VT0 DOWN Not connected
VT12 DOWN Not connected
VT1023 DOWN Not connected
表1-3 display interface virtual-template命令显示信息描述表
字段 |
描述 |
Current state |
接口当前的物理状态。虚拟模板接口的状态只能为DOWN,表示物理状态为关闭 |
Line protocol state |
接口的链路层协议状态。虚拟模板接口的状态只能为DOWN,表示数据链路层协议状态为关闭 |
Description |
接口的描述信息 |
Bandwidth |
接口的期望带宽 |
Maximum transmission unit |
接口的MTU |
Hold timer |
当前接口发送keepalive报文的周期 |
retry times |
在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路 |
Internet protocol processing: Disabled |
接口当前不能处理IP报文 |
Internet address: 192.168.1.200/24 (primary) |
接口的主IP地址 |
Link layer protocol: PPP |
链路层封装的协议 |
LCP: initial |
LCP协议初始化完成 |
Physical |
接口的物理类型 |
baudrate |
接口的波特率 |
Brief information on interfaces in route mode: |
三层接口的概要信息 |
Link: ADM - administratively down; Stby - standby |
· 如果某接口的Link属性值为“ADM”,则表示该接口被管理员手工关闭了,需要在该接口下执行undo shutdown命令才能恢复接口本身的物理状态 · 如果某接口的Link属性值为“Stby”,则表示该接口是一个备份接口 |
Protocol: (s) - spoofing |
如果某接口的Protocol属性值中带有“(s)”,则表示该接口的数据链路层协议状态显示为UP,但实际可能没有对应的链路,或者对应的链路不是永久存在而是按需建立的 |
Interface |
接口名称缩写 |
Link |
接口物理连接状态。虚拟模板接口的取值只能为DOWN,表示接口物理上不通 |
Protocol |
接口数据链路层协议状态。虚拟模板接口的取值只能为DOWN,表示接口的数据链路层不通 |
Primary IP |
接口主IP地址 |
Description |
用户通过description命令给接口配置的描述信息。使用display interface brief命令,未指定description参数时,该字段最多显示27个字符;指定description参数时,可显示配置的全部描述信息 |
Cause |
接口物理连接状态为down的原因,取值为:Not connected:表示没有物理连接(可能没有插网线或者网线故障) |
display ip pool命令用来显示PPP地址池的信息。
【命令】
display ip pool [ pool-name | group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pool-name:显示指定PPP地址池的信息。pool-name表示PPP地址池的名称,为1~31个字符的字符串,不区分大小写。
group group-name:显示指定组内的PPP地址池信息。group-name表示组的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
如果未指定任何参数,则显示所有PPP地址池的简要信息。
如果指定组参数,则显示指定组内的PPP地址池的简要信息。
如果指定PPP地址池的名称,将显示指定PPP地址池的详细信息。
【举例】
# 显示所有PPP地址池的简要信息。
<Sysname> display ip pool
Total in-use IP address count: 1
Group name: a
In-use IP address count: 0
Pool name Start IP address End IP address Free In use
aaa1 1.1.1.1 1.1.1.5 5 0
aaa2 1.1.1.6 1.1.1.10 5 0
Group name: b
In-use IP address count: 1
Pool name Start IP address End IP address Free In use
bbb 1.1.2.1 1.1.2.5 4 1
2.2.2.1 2.2.2.5 5 0
# 显示组a的PPP地址池的简要信息。
<Sysname> display ip pool group a
Group name: a
In-use IP address count: 0
Pool name Start IP address End IP address Free In use
aaa1 1.1.1.1 1.1.1.5 5 0
aaa2 1.1.1.6 1.1.1.10 5 0
# 显示PPP地址池bbb的详细信息。
<Sysname> display ip pool bbb
Group name: b
In-use IP address count: 1
Pool name Start IP address End IP address Free In use
bbb 1.1.2.1 1.1.2.5 4 1
2.2.2.1 2.2.2.5 5 0
In-use IP addresses:
IP address Interface
1.1.2.1 GE3/1/1
表1-4 display ip pool命令显示信息描述表
字段 |
描述 |
Total in-use IP address count |
当前设备上所有PPP地址池已经分配出去的IP地址的总数 |
Group name |
组的名称 |
In-use IP address count |
属于当前组的所有PPP地址池已经分配出去的IP地址总数 |
Pool name |
PPP地址池的名称 |
Start IP address |
IP地址范围的起始IP地址 |
End IP address |
IP地址范围的结束IP地址 |
Free |
空闲IP地址个数 |
In use |
已经分配出去的IP地址个数 |
In-use IP addresses |
已经分配出去的IP地址信息 |
IP address |
已经分配出去的IP地址 |
Interface |
本端设备上为对端接口申请分配该IP地址的接口 |
【相关命令】
· ip pool
display ppp access-user命令用来显示PPP接入用户的信息。
【命令】
(独立运行模式)
display ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | lac-ip lac-ip-address | lns-ip lns-ip-address | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-minimum [ vxlan-maximum ] } * } [ count | verbose ] [ slot slot-number ]
(IRF模式)
display ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | lac-ip lac-ip-address | lns-ip lns-ip-address | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-minimum [ vxlan-maximum ] } * } [ count | verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip-address ipv4-address:显示指定IPv4地址对应的PPP接入用户的信息。ipv4-address表示用户的IPv4地址。
vpn-instance ipv4-vpn-instance-name:表示指定PPP用户所属的VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示该用户属于公网。
ipv6-address ipv6-address:显示指定IPv6地址对应的PPP接入用户的信息。ipv6-address表示用户的IPv6地址。
vpn-instance ipv6-vpn-instance-name:表示指定PPP用户所属的VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示该用户属于公网。
mac-address mac-address:显示指定MAC地址对应的PPP接入用户的信息,形式为H-H-H。
interface interface-type interface-number:显示通过指定接口上线的PPP接入用户的信息。interface-type interface-number表示用户接入接口的类型和接口编号。
s-vlan svlan-minimum [ svlan-maximum ]:显示通过指定服务提供商VLAN上线的在线用户的信息。svlan-minimum和svlan-maximum表示用户所属服务提供商VLAN起始范围。VLAN取值范围为1~4094。
c-vlan cvlan-minimum [ cvlan-maximum ]:显示通过指定用户VLAN上线的在线用户的信息。cvlan-minimum和cvlan-maximum表示用户所属用户VLAN起始范围。VLAN取值范围为1~4094。
lac-ip lac-ip-address:在LNS上根据LAC端IP地址显示在线用户信息。lac-ip-address表示L2TP隧道中LAC端的IP地址。本参数仅在LNS端配置时生效。
lns-ip lns-ip-address:在LAC上根据LNS端IP地址显示在线用户信息。lns-ip-address表示L2TP隧道中LNS端的IP地址。本参数仅在LAC端配置时生效。
domain domain-name:显示通过指定ISP域上线的PPP接入用户的信息。domain-name表示ISP域的名称,为1~255个字符的字符串,区分大小写。
ip-type:显示指定IP类型的在线用户的信息。
ipv4:表示指定IP类型为IPv4用户。
ipv6:表示指定IP类型为IPv6用户。
dual-stack:表示指定IP类型为双协议栈用户。
pool pool-name:显示通过指定PPP地址池或DHCPv4地址池上线的PPP接入用户的信息。pool-name表示PPP地址池或DHCPv4地址池的名称,为1~31个字符的字符串,不区分大小写。
pool-group pool-group-name:显示通过指定DHCPv4地址池组上线的PPP接入用户的信息。pool-group-name表示DHCPv4地址池组的名称,为1~31个字符的字符串,不区分大小写。
service-type:显示指定业务类型的用户信息。
hsi:表示HSI(High Speed Internet,高速上网)业务。
stb:表示STB(Set Top Box,机顶盒)业务。
voip:表示IP(Voice over IP,IP电话)业务。
user-address-type:显示指定用户地址类型的用户信息。
ds-lite:表示轻量级双栈地址。
ipv6:表示IPv6地址。
nat64:表示NAT64地址。
private-ds:表示私网双栈地址。
private-ipv4:表私网IPv4地址。
public-ds:表示公网双栈地址。
public-ipv4:表示公网IPv4地址。
user-type:显示指定类型的在线用户的信息。
lac:显示设备作为LAC的在线用户的信息。
lns:显示设备作为LNS的在线用户的信息。
pppoe:显示用户类型为PPPoE的在线用户的信息。
username user-name:显示指定用户名的PPP接入用户的信息。user-name表示用户的名称,为1~80个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:显示指定VPN实例的在线用户信息。vpn-instance-name表示用户接入的VPN实例名称,为1~31个字符的字符串,区分大小写。
vxlan vxlan-minimum [ vxlan-maximum ]:显示通过指定VXLAN上线的在线用户的信息。vxlan-minimum和vxlan-maximum表示用户所属VXLAN的起始范围。VXLAN取值范围为0~16777215。
count:显示PPP接入用户的总数。
verbose:显示PPP用户的详细信息。
slot slot-number:显示指定单板的在线用户信息。slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的在线用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的在线用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的在线用户信息。(IRF模式)
【使用指导】
PPP接入用户的简要信息包括:用户对应的BAS接口简名、用户的用户名、MAC地址、IP地址、IPv6地址和IPv6代理前缀。
PPP接入用户的详细信息包括:用户对应的BAS接口简名、用户User ID、用户的用户名、认证信息、用户上下行流量数、用户接入设备的时间等。
配置本命令时,如果未指定count和verbose参数,将显示接入用户的简要信息。
L2TP组网中,仅在远端系统的拨号用户通过PPPoE拨入LAC方式触发建立L2TP隧道的情况下,才支持在LAC端上通过本命令查看接入用户的信息。有关L2TP和PPPoE的相关介绍,请参见“BRAS业务配置指导”中的“L2TP”和“PPPoE”。
【举例】
# 显示通过system域上线的PPP接入用户的简要信息。
<Sysname> display ppp access-user domain system
Interface MAC address IP address Username
S/C-VLAN IPv6 PDPrefix IPv6 address
BAS0 0000-0001-0001 2.2.2.2 pppuser
-/- - -
# 显示通过system域上线的PPP接入用户的总数。
<Sysname> display ppp access-user domain system count
Total users: 1
# 显示通过接口GigabitEthernet3/1/1上线的PPP接入用户的简要信息。
<Sysname> display ppp access-user interface gigabitethernet 3/1/1
Interface MAC address IP address Username
S/C-VLAN IPv6 PDPrefix IPv6 address
BAS0 0001-0101-9101 192.168.100.173 user1@dm1
-/- - -
BAS0 0001-0101-9102 192.168.180.174 user2@dm2
-/- - 2000::1
# 显示通过接口GigabitEthernet3/1/1上线的PPP接入用户总数。
<Sysname> display ppp access-user interface gigabitethernet 3/1/1 count
Total users: 2
# 显示使用地址池1上线的PPP接入用户的简要信息。
<Sysname> display ppp access-user pool 1
Interface MAC address IP address Username
S/C-VLAN IPv6 PDPrefix IPv6 address
BAS0 0000-0001-0001 2.2.2.2 pppuser
-/- - -
# 显示使用地址池1上线的PPP接入用户总数。
<Sysname> display ppp access-user pool 1 count
Total users: 1
表1-5 display ppp access-user命令显示信息描述表(简要信息)
字段 |
描述 |
Interface |
用户对应的BAS接口简名 |
MAC address |
用户MAC地址(“-”表示用户为非PPPoE用户) |
IP address |
用户IP地址(“-”表示用户未分配到IP地址) |
Username |
用户名(“-”表示用户不需要认证) |
S/C-VLAN |
服务提供商VLAN/用户VLAN(“-”表示没有VLAN信息) |
IPv6 PDPrefix |
用户的IPv6代理前缀(“-”表示用户没有分配到IPv6代理前缀) |
IPv6 address |
用户IPv6地址(“-”表示用户未分配到IPv6地址) |
Total users |
PPP接入用户总数 |
# 显示IP地址为50.50.50.3的PPP接入用户的详细信息。(ITA)
<Sysname> display ppp access-user ip-address 50.50.50.3 verbose
Basic:
Interface: BAS0
PPP index: 0x140000105
User ID: 0x28000002
Username: user1@hrss
Domain: hrss
Access interface: RAGG2
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0000-0000-0001
IP address: 50.50.50.3
Primary DNS server: 8.8.8.8
Secondary DNS server: 9.9.9.9
IPv6 address: 999::2
Primary IPv6 DNS server: 123::1
Secondary IPv6 DNS server: 123::2
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: 123
Access type: PPPoE
Authentication type: CHAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 60s
Login time: 2013-1-19 2:42:3:358
Accounting start time: 2013-1-19 2:42:3:382
Online time(hh:mm:ss): 00:07:34
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 byte, direction: Both
Session timeout: 12000s
Time remained: 8000s
Traffic quota: 20971520 bytes
Traffic remained: 20970974 bytes
Redirect WebURL: http://6.6.6.6
ITA policy name: -
MRU: 1100 bytes
IPv4 MTU: 1000 bytes
IPv6 MTU: 1100 bytes
Subscriber ID: -
ACL&QoS:
User profile: profile123 (active)
Session group profile: -
User group acl: -
Inbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
Outbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
User inbound priority: -
User outbound priority: -
NAT:
Global IP address: 111.8.0.200
Port block: 28744-28748
Extended port block: 2024-2033/3024-3033/4024-4033/5024-5033/6024-6033
Flow Statistic:
IPv4 uplink packets/bytes: 7/546
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
ITA:
Acct merge: Enabled
Traffic separate levels: 1 2
Acct quota-out action: Offline
Level-1 Inbound CAR: CIR 1000 kbps PIR 1500 kbps
Outbound CAR: CIR 1000 kbps PIR 2000 kbps
IPv4 uplink packets/bytes: 242/26167
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
Accounting state: Accounting
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Denied state: Not denied
Level-2 Inbound CAR: CIR 150 kbps PIR 150 kbps
Outbound CAR: CIR 250 kbps PIR 250 kbps
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
Accounting state: Accounting
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Denied state: Not denied
# 显示用户名为user1的PPP接入用户的详细信息。(EDSG)
<Sysname> display ppp access-user username user1 verbose
Basic:
Interface: BAS0
PPP index: 0x140000105
User ID: 0x28000002
Username: user1
Domain: hrss
Access interface: RAGG2
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0000-0000-0001
IP address: 50.50.50.3
Primary DNS server: 8.8.8.8
Secondary DNS server: 9.9.9.9
IPv6 address: 999::2
Primary IPv6 DNS server: 123::1
Secondary IPv6 DNS server: 123::2
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: 123
Access type: PPPoE
Authentication type: CHAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 60s
Login time: 2013-1-19 2:42:3:358
Accounting start time: 2013-1-19 2:42:3:382
Online time(hh:mm:ss): 00:07:34
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 byte, direction: Both
Session timeout: 12000s
Time remained: 8000s
Traffic quota: 20971520 bytes
Traffic remained: 20970974 bytes
Redirect WebURL: http://6.6.6.6
ITA policy name: -
MRU: 1100 bytes
IPv4 MTU: 1000 bytes
IPv6 MTU: 1100 bytes
Subscriber ID: -
ACL&QoS:
User profile: profile123 (active)
Session group profile: -
User group acl: -
Inbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
Outbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
User inbound priority: -
User outbound priority: -
NAT:
Global IP address: 111.8.0.200
Port block: 28744-28748
Extended port block: 2024-2033/3024-3033/4024-4033/5024-5033/6024-6033
Flow Statistic:
IPv4 uplink packets/bytes: 7/546
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
Service policy: sp1
Service ID : 1
Username (EDSG) : sp
Service rate-limit mode : Merge
Traffic statistics mode : Separate
Dual-stack rate limit mode : Merge
Session timeout : 90s
Time remained : 5s
Traffic quota : 10240 bytes
Traffic remained : 10240 bytes
Quota-out action : Service deactivate
Inbound CAR : CIR 22222kbps PIR 33332kbps CBS N/A EBS N/A (active)
Outbound CAR : CIR 77kbps PIR 99kbps CBS N/A EBS N/A (active)
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
# 在LNS上显示用户名为test的PPP接入用户的详细信息。(L2TP)
<Sysname> display ppp access-user username test verbose
Basic:
Interface: BAS0
PPP index: 0xa770100480000105
User ID: 0x28000002
Username: test
Domain: hrss
IP address: 50.50.50.3
Primary DNS server: 8.8.8.8
Secondary DNS server: 9.9.9.9
IPv6 address: 999::2
Primary IPv6 DNS server: 123::1
Secondary IPv6 DNS server: 123::2
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: 123
Access type: L2TP
Authentication type: CHAP
L2TP LNS:
Group ID: 2
Local tunnel ID: 35186
Remote tunnel ID: 30295
Local session ID: 46676
Remote session ID: 33720
Local IP: 10.1.1.54
Remote IP: 10.1.1.42
Local port: 1701
Remote port: 1701
Vrf index: 0
Calling station: 0010-9400-0012 GE3/1/1:ffff.ffff
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 60s
Login time: 2013-1-19 2:42:3:358
Accounting start time: 2013-1-19 2:42:3:382
Online time(hh:mm:ss): 00:07:34
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: 12000s
Time remained: 8000s
Traffic quota: 20971520 bytes
Traffic remained: 20970974 bytes
Redirect WebURL: http://6.6.6.6
ITA policy name: -
MRU: 1100 bytes
IPv4 MTU: 1000 bytes
IPv6 MTU: 1100 bytes
Subscriber ID: -
ACL&QoS:
User profile: profile123 (active)
Session group profile: -
User group acl: -
Inbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
Outbound CAR: CIR 64000kbps PIR 640000kbps CBS - (active)
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 7/546
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
表1-6 display ppp access-user命令显示信息描述表(详细信息)
字段 |
描述 |
Basic |
基础信息 |
Interface |
用户对应的BAS接口简名 |
PPP index |
PPP会话索引信息 |
User ID |
用户ID |
Username |
用户名(“-”表示用户不需要认证) |
Domain |
认证使用的ISP域名(“-”表示未指定认证ISP域名) |
Access interface |
用户接入的接口名 |
Service-VLAN/Customer-VLAN |
服务提供商VLAN/用户VLAN(“-”表示没有VLAN信息) |
VXLAN ID |
VXLAN的ID(“-”表示没有VXLAN信息) |
MAC address |
用户MAC地址 |
IP address |
用户的IP地址(“-”表示用户没有分配到IP地址) |
Primary DNS server |
用户的主DNS服务器IPv4地址(仅用户分配到主DNS服务器IPv4地址时,才显示该字段) |
Secondary DNS server |
用户的从DNS服务器IPv4地址(仅用户分配到从DNS服务器IPv4地址时,才显示该字段) |
IPv6 address |
用户的IPv6地址(“-”表示用户没有分配到IPv6地址) |
Primary IPv6 DNS server |
用户的主DNS服务器IPv6地址(仅用户分配到主DNS服务器IPv6地址时,才显示该字段) |
Secondary IPv6 DNS server |
用户的从DNS服务器IPv6地址(仅用户分配到从DNS服务器IPv6地址时,才显示该字段) |
IPv6 PD prefix |
用户的IPv6代理前缀(“-”表示用户没有分配到IPv6代理前缀) |
IPv6 ND prefix |
用户的IPv6 ND前缀(“-”表示用户没有分配到IPv6 ND前缀) |
User address type |
AAA授权的用户地址类型: · private-ds:表示AAA授权的地址类型为私网双栈地址 · private-ipv4:表示AAA授权的地址类型私网IPv4地址 · public-ds:表示AAA授权的地址类型为公网双栈地址 · public-ipv4:表示AAA授权的地址类型为公网IPv4地址 · ds-lite:表示AAA授权的地址类型为轻量级双栈地址 · ipv6:表示AAA授权的地址类型为IPv6地址 · nat64:表示AAA授权的地址类型为NAT64地址 · N/A:表示AAA未授权该属性 |
VPN instance |
用户所属VPN实例(“-”表示用户属于公网) |
Access type |
用户的接入类型,目前支持PPPoE和L2TP |
Authentication type |
用户接入采用的认证类型,包括:PAP、CHAP、MSCHAP、MSCHAPv2 |
AAA |
AAA信息 |
Authentication state |
用户的认证状态,包括: · Idle:表示未认证 · Authenticating:表示正在认证中 · Authenticated:表示已认证 |
Authorization state |
用户的授权状态,包括: · Idle:表示未授权 · Authorizing:表示正在授权中 · Authorized:表示已授权 |
Realtime accounting switch |
实时计费开关,取值包括: · Open:表示开启 · Closed:表示关闭 |
Realtime accounting interval |
实时计费时间间隔,单位为秒(若未授权,则显示“-”) |
Login time |
用户接入时间 |
Accounting start time |
开始对用户计费的时间(“-”表示未对用户计费) |
Online time(hh:mm:ss) |
用户本次上线的在线时长 |
Accounting state |
用户的计费状态,包括: · Accounting:表示正在计费 · Stop:表示停止计费 |
Acct start-fail action |
计费开始失败时对用户的处理动作: · Online:用户继续在线 · Offline:强制用户下线 |
Acct update-fail action |
计费更新失败时对用户的处理动作: · Online:用户继续在线 · Offline:强制用户下线 |
Acct quota-out action |
流量耗尽后对用户的处理动作: · Online:用户继续在线 · Offline:强制用户下线 · Redirect-url:向用户推送重定向Web页面 |
Dual-stack accounting mode |
双协议栈用户的计费类型: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 |
Idle cut |
用户的闲置切断参数(在指定时间范围内流量没超过指定字节数,则认为该用户下线并强制将该用户下线) |
direction |
设备可基于在给定时间内用户入方向或出方向流量是否超过一定的字节数,来判断是否对用户进行闲置切断(即是否强制用户下线) 用户闲置切断的流量方向包括: · Both:表示基于用户入方向和出方向流量之和进行闲置切断判断 · Inbound:表示基于用户入方向流量进行闲置切断判断 · Outbound:表示基于用户出方向流量进行闲置切断判断 |
Session timeout |
用户的授权时间,单位为秒(若未授权,则显示“-”) |
Time remained |
用户的剩余时间,单位为秒(若未授权,则显示“-”) |
Traffic quota |
用户的授权流量,单位为字节(若未授权,则显示“-”) |
Traffic remained |
用户的剩余流量,单位为字节(若未授权,则显示“-”) |
Redirect WebURL |
用户的上线推送页面地址(若未授权,则显示“-”) |
ITA policy name |
AAA授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称(若未授权,则显示“-”) |
MRU |
PPP LCP阶段链路两端协商出的MRU值,单位为字节 |
IPv4 MTU |
实际指导IPv4用户报文转发的最大传输单元值,单位为字节 |
IPv6 MTU |
实际指导IPv6用户报文转发的最大传输单元值,单位为字节 |
Subscriber ID |
用户的授权Subscriber ID值(若未授权,则显示“-”) |
ACL&QoS |
ACL和QoS信息 |
User profile |
授权User Profile名称(若未授权,则显示“-”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile |
Session group profile |
AAA授权的Session Group Profile名称。(若未授权,则显示“-”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
User group acl |
AAA授权的User group acl名称。(若未授权,则显示“-”)。授权状态包括如下: · active:AAA授权User group acl成功 · inactive:AAA授权User group acl失败或者设备上不存在该User group acl · 授权结果未知 |
Inbound CAR |
AAA授权入方向CAR参数(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“-”)。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
Outbound CAR |
AAA授权出方向CAR参数(CIR:入方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“-”)。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
User inbound priority |
AAA授权的入方向用户优先级,取值范围为0~7、15和“-”,其中15和“-”含义相同,均表示未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向用户优先级成功 · inactive:AAA授权入方向用户优先级失败 |
User outbound priority |
AAA授权的出方向用户优先级,取值范围为0~7、15和“-”,其中15和“-”含义相同,均表示未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向用户优先级成功 · inactive:AAA授权出方向用户优先级失败 |
NAT |
NAT信息(本字段仅在与NAT联动时才会显示) |
Global IP address |
用户的公网IP地址 |
Port block |
用户的端口块:起始端口-结束端口 |
Extended port block |
增量端口块信息:每个增量端口块的起始端口-结束端口,各增量端口块之间通过斜杠分割显示(本字段仅在端口块动态映射方式下,配置了增量端口块时才会显示) |
Flow Statistic |
流量统计信息 |
IPv4 uplink packets/bytes |
计费方式为统一计费时,本字段表示用户的IPv4和IPv6的上行流量报文数和字节数;其余情况均表示IPv4上行流量报文数和字节数 |
IPv4 downlink packets/bytes |
计费方式为统一计费时,本字段表示用户的IPv4和IPv6的下行流量报文数和字节数;其余情况均表示IPv4下行流量报文数和字节数 |
IPv6 uplink packets/bytes |
用户的IPv6上行计费流量的报文数和字节数 |
IPv6 downlink packets/bytes |
用户的IPv6下行计费流量的报文数和字节数 |
ITA |
ITA统计信息(使能ITA后才会显示ITA统计信息;如果配置了traffic-separate enable命令,Flow Statistic统计信息中将不包含ITA统计信息。关于ITA和traffic-separate enable命令的详细介绍请参见“BRAS业务配置指导”中的“ITA业务”) |
Acct merge |
ITA统一计费功能的开启状态: · Enabled:开启 · Disabled:关闭 |
Traffic separate levels |
不包含在用户总计费流量中的ITA业务流量的计费级别,计费级别取值范围为1~8 None表示没有任何计费级别的ITA业务流量被分离,即用户总计费流量包含所有计费级别的ITA业务流量 |
Level-n Inbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 若未授权,则显示“-” |
Outbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 若未授权,则显示“-” |
Denied state |
当前level的流量阻断状态: · Denied:流量被阻断,当收到阻断level的流量时直接丢弃 · Not denied:流量未被阻断 |
Service policy |
EDSG业务策略名称 |
Service ID |
EDSG业务策略ID |
Username (EDSG) |
EDSG业务认证使用的用户名 |
Service rate-limit mode |
EDSG业务流量限速模式,取值包括: · Merge:带内限速,即在用户可用总带宽内,对EDSG业务流量和普通业务流量同时限速,且优先保证EDSG业务带宽 · Separate:带外限速,即对EDSG业务流量进行独立限速,用户普通业务流量带宽不受影响 |
Traffic statistics mode |
EDSG业务流量统计策略,取值包括: · Merge:EDSG业务流量将会纳入用户总流量中进行统计 · Separate:EDSG业务流量与普通业务流量分开统计,并不会纳入用户总流量中统计 |
Dual-stack rate limit mode |
EDSG双栈业务流量限速模式,取值包括: · Merge:对用户的IPv4流量和IPv6流量合并后进行限速 · Separate:对用户的IPv4流量和IPv6流量分别进行限速 |
Quota-out action |
配额耗尽时的动作: · Service deactivate:EDSG业务策略失效,目前只支持业务失效 · Redirect:重定向报文 · Flow drop:丢弃报文 · Flow forward:转发报文 |
Inbound CAR |
EDSG业务的入方向CAR参数(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte;EBS:超出突发尺寸,单位为byte) 若未授权CAR,则显示为“N/A”。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
Outbound CAR |
EDSG业务的出方向CAR参数(CIR:出方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte;EBS:超出突发尺寸,单位为byte) 若未授权CAR,则显示为“N/A”。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
PPPoE |
PPPoE信息 |
Session ID |
PPPoE会话ID |
L2TP LAC |
L2TP LAC信息 |
L2TP LNS |
L2TP LNS信息 |
Group ID |
L2TP组号 |
Local tunnel ID |
L2TP本端的隧道ID |
Remote tunnel ID |
L2TP对端的隧道ID |
Local session ID |
L2TP本端的会话ID |
Remote session ID |
L2TP对端的会话ID |
Local IP |
L2TP本端的IP地址 |
Remote IP |
L2TP对端的IP地址 |
Local port |
L2TP本端使用的UDP端口号 |
Remote port |
L2TP对端使用的UDP端口号 |
Vrf index |
L2TP会话的VPN索引号 |
Calling station |
L2TP呼叫号码(“-”表示用户上线时未携带Calling station) |
display ppp access-user tcp-connection命令用来显示PPP接入用户建立的TCP连接数信息。
【命令】
display ppp access-user tcp-connection interface interface-type interface-number session-id session-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示通过指定接口上线的PPP接入用户的TCP连接数信息,interface-type interface-number表示用户接入接口的类型和接口编号。
session-id session-id:显示指定会话ID的TCP连接数信息,session-id为PPPoE会话ID,取值范围为1~65534。
【举例】
# 显示通过接口GigabitEthernet3/1/1上线的PPPoE会话ID为1的接入用户的TCP连接数信息。
<Sysname> display ppp access-user tcp-connection interface gigabitethernet 3/1/1 session-id 1
Total uplink TCP connections: 0
Total downlink TCP connections: 0
表1-7 display ppp access-user tcp-connection命令显示信息描述表
字段 |
描述 |
Total uplink TCP connections |
PPP接入用户建立的上行TCP连接总数 |
Total downlink TCP connections |
PPP接入用户建立的下行TCP连接总数 |
display ppp chasten statistics命令用来显示PPP用户静默功能检测到的用户统计信息。
【命令】
display ppp chasten statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示PPP静默功能检测到的用户统计信息。
<Sysname> display ppp chasten statistics
Blocked users : 1
Auth-failed users : 1
表1-8 display ppp chasten statistics命令显示信息描述表
字段 |
描述 |
Blocked users |
处于静默状态的PPP用户总数 |
Auth-failed users |
已检测到认证失败记录但尚未达到静默条件的PPP用户总数 |
【相关命令】
· display ppp chasten user
· ppp authentication chasten
display ppp chasten user命令用来显示PPP用户静默功能检测到的用户信息。
【命令】
display ppp chasten user { auth-failed | blocked } [ username user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
auth-failed:显示已有认证失败记录但尚未达到静默条件的用户信息。
blocked:显示处于静默状态的用户信息。
username user-name:显示指定用户名的PPP静默功能检测到的用户信息。其中,user-name为1~80字符的字符串,区分大小写,并采用模糊匹配,即显示所有检测到的用户名中存在与用户指定的字符串相匹配的用户信息。例如指定PPP用户名为abc时,表示显示所有检测到的用户名中包含abc字符串的用户信息。如果未指定本参数,将显示所有PPP静默功能检测到的用户信息。
【举例】
# 显示处于静默状态的PPP用户信息。
<Sysname> display ppp chasten user blocked
Username Domain Aging(S)
aaa aaa 34
# 显示已有认证失败记录但尚未达到静默条件的PPP用户信息。
<Sysname> display ppp chasten user auth-failed
Username Domain Auth-failures
bbb bbb 5
表1-9 display ppp chasten user命令显示信息描述表
字段 |
描述 |
Username |
已检测到的PPP用户的用户名 |
Domain |
PPP用户所属的认证域 |
Aging(S) |
对于已被静默的PPP用户,此字段表示该静默用户的剩余老化时间,单位为秒 |
Auth-failures |
对于检测周期内已有认证失败记录但尚未达到静默条件的PPP用户,此字段表示在检测周期内该用户已连续认证失败次数 |
【相关命令】
· display ppp chasten statistics
· ppp authentication chasten
display ppp offline-reason statistics命令用来显示PPP用户下线原因的统计信息。
【命令】
(独立运行模式)
display ppp offline-reason statistics [ slot slot-number ]
(IRF模式)
display ppp offline-reason statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的PPP用户下线原因统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的PPP用户下线原因统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的PPP用户下线原因统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的PPP用户下线原因统计信息。(IRF模式)
【举例】
# 显示指定slot上PPP用户下线原因的统计信息。
<System> display ppp offline-reason statistics slot 1
PPP offline-reason statistics in slot 1:
User request : 0 Keepalive loss : 0
Service loss : 0 BAS error : 0
BAS reboot : 0 Admin reset : 0
BAS request : 0 Session timeout : 0
Server command : 0 Idle timeout : 0
Admin reboot : 0 Port error : 0
Account update failure : 0 Port shutdown : 0
Basic service failure : 0 IP conflict : 0
MAC conflict : 0 MagicNum check failure : 1
MAC address change : 0
表1-10 display ppp offline-reason statistics命令显示信息描述表
字段 |
描述 |
User request |
用户主动请求下线的用户数 |
Keepalive loss |
协议保活报文丢失导致用户下线的用户数 |
Service loss |
业务服务器(例如:L2TP)主动发起终止用户业务服务的报文导致用户下线的用户数 |
BAS error |
由于BRAS设备内部软件处理异常导致用户下线的用户数 |
BAS reboot |
BRAS设备异常重启前发送断线信息,以进行非管理性的重启导致用户下线的用户数 |
Admin reset |
管理员执行reset ppp access-user或reset pppoe-server命令导致用户下线的用户数 |
BAS request |
其它未规定的掉线原因导致用户下线的用户数 |
Session timeout |
用户上线时间达到了规定值或者用户的流量达到了规定值导致用户下线的用户数 |
Server command |
被AAA服务器强制下线的用户数 |
Idle timeout |
用户在规定时间内的流量没有达到设定值导致用户下线的用户数 |
Admin reboot |
管理员通过reboot命令重启设备导致用户下线的用户数 |
Port error |
BRAS设备主动检测到用户接入端口的错误导致用户下线的用户数 |
Account update failure |
计费更新失败导致用户下线的用户数 |
Port shutdown |
管理员在用户接入接口执行shutdown命令导致用户下线的用户数 |
Basic service failure |
由于主业务依赖的IP地址分配失败导致用户下线的用户数 |
IP conflict |
IP地址冲突导致用户下线的用户数 |
MAC conflict |
MAC地址冲突导致用户下线的用户数 |
MagicNum check failure |
魔术字检查失败导致用户下线的用户数 |
MAC address change |
MAC地址改变导致用户下线的用户数 |
【相关命令】
· reset ppp offline-reason statistics
display ppp packet statistics命令用来显示PPP的协商报文统计信息。
【命令】
(独立运行模式)
display ppp packet statistics [ slot slot-number ]
(IRF模式)
display ppp packet statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的PPP的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的PPP的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的PPP的报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板的PPP的报文统计信息。(IRF模式)
【举例】
# 显示Slot1上的PPP协商报文统计信息。
<Sysname> display ppp packet statistics slot 1
PPP packet statistics in slot 1:
-------------------------------LCP------------------------------------
SEND_LCP_CON_REQ : 0 RECV_LCP_CON_REQ : 0
SEND_LCP_CON_NAK : 0 RECV_LCP_CON_NAK : 0
SEND_LCP_CON_REJ : 0 RECV_LCP_CON_REJ : 0
SEND_LCP_CON_ACK : 0 RECV_LCP_CON_ACK : 0
SEND_LCP_CODE_REJ : 0 RECV_LCP_CODE_REJ : 0
SEND_LCP_PROT_REJ : 0 RECV_LCP_PROT_REJ : 0
SEND_LCP_TERM_REQ : 0 RECV_LCP_TERM_REQ : 0
SEND_LCP_TERM_ACK : 0 RECV_LCP_TERM_ACK : 0
SEND_LCP_ECHO_REQ : 0 RECV_LCP_ECHO_REQ : 0
SEND_LCP_ECHO_REP : 0 RECV_LCP_ECHO_REP : 0
SEND_LCP_FAIL : 0 SEND_LCP_CON_REQ_RETRAN : 0
-------------------------------IPCP-----------------------------------
SEND_IPCP_CON_REQ : 0 RECV_IPCP_CON_REQ : 0
SEND_IPCP_CON_NAK : 0 RECV_IPCP_CON_NAK : 0
SEND_IPCP_CON_REJ : 0 RECV_IPCP_CON_REJ : 0
SEND_IPCP_CON_ACK : 0 RECV_IPCP_CON_ACK : 0
SEND_IPCP_CODE_REJ : 0 RECV_IPCP_CODE_REJ : 0
SEND_IPCP_PROT_REJ : 0 RECV_IPCP_PROT_REJ : 0
SEND_IPCP_TERM_REQ : 0 RECV_IPCP_TERM_REQ : 0
SEND_IPCP_TERM_ACK : 0 RECV_IPCP_TERM_ACK : 0
SEND_IPCP_FAIL : 0
-------------------------------IPV6CP---------------------------------
SEND_IPV6CP_CON_REQ : 0 RECV_IPV6CP_CON_REQ : 0
SEND_IPV6CP_CON_NAK : 0 RECV_IPV6CP_CON_NAK : 0
SEND_IPV6CP_CON_REJ : 0 RECV_IPV6CP_CON_REJ : 0
SEND_IPV6CP_CON_ACK : 0 RECV_IPV6CP_CON_ACK : 0
SEND_IPV6CP_CODE_REJ : 0 RECV_IPV6CP_CODE_REJ : 0
SEND_IPV6CP_PROT_REJ : 0 RECV_IPV6CP_PROT_REJ : 0
SEND_IPV6CP_TERM_REQ : 0 RECV_IPV6CP_TERM_REQ : 0
SEND_IPV6CP_TERM_ACK : 0 RECV_IPV6CP_TERM_ACK : 0
SEND_IPV6CP_FAIL : 0
-------------------------------OSICP---------------------------------
SEND_OSICP_CON_REQ : 0 RECV_OSICP_CON_REQ : 0
SEND_OSICP_CON_NAK : 0 RECV_OSICP_CON_NAK : 0
SEND_OSICP_CON_REJ : 0 RECV_OSICP_CON_REJ : 0
SEND_OSICP_CON_ACK : 0 RECV_OSICP_CON_ACK : 0
SEND_OSICP_CODE_REJ : 0 RECV_OSICP_CODE_REJ : 0
SEND_OSICP_PROT_REJ : 0 RECV_OSICP_PROT_REJ : 0
SEND_OSICP_TERM_REQ : 0 RECV_OSICP_TERM_REQ : 0
SEND_OSICP_TERM_ACK : 0 RECV_OSICP_TERM_ACK : 0
SEND_OSICP_FAIL : 0
-------------------------------MPLSCP---------------------------------
SEND_MPLSCP_CON_REQ : 0 RECV_MPLSCP_CON_REQ : 0
SEND_MPLSCP_CON_NAK : 0 RECV_MPLSCP_CON_NAK : 0
SEND_MPLSCP_CON_REJ : 0 RECV_MPLSCP_CON_REJ : 0
SEND_MPLSCP_CON_ACK : 0 RECV_MPLSCP_CON_ACK : 0
SEND_MPLSCP_CODE_REJ : 0 RECV_MPLSCP_CODE_REJ : 0
SEND_MPLSCP_PROT_REJ : 0 RECV_MPLSCP_PROT_REJ : 0
SEND_MPLSCP_TERM_REQ : 0 RECV_MPLSCP_TERM_REQ : 0
SEND_MPLSCP_TERM_ACK : 0 RECV_MPLSCP_TERM_ACK : 0
SEND_MPLSCP_FAIL : 0
--------------------------------AUTH ----------------------------------
SEND_PAP_AUTH_REQ : 0 RECV_PAP_AUTH_REQ : 0
SEND_PAP_AUTH_ACK : 0 RECV_PAP_AUTH_ACK : 0
SEND_PAP_AUTH_NAK : 0 RECV_PAP_AUTH_NAK : 0
SEND_CHAP_AUTH_CHALLENGE : 0 RECV_CHAP_AUTH_CHALLENGE : 0
SEND_CHAP_AUTH_RESPONSE : 0 RECV_CHAP_AUTH_RESPONSE : 0
SEND_CHAP_AUTH_ACK : 0 RECV_CHAP_AUTH_ACK : 0
SEND_CHAP_AUTH_NAK : 0 RECV_CHAP_AUTH_NAK : 0
SEND_PAP_AUTH_FAIL : 0 SEND_CHAP_AUTH_FAIL : 0
表1-11 display ppp packet statistics命令显示信息描述表
字段 |
描述 |
LCP |
LCP报文统计信息显示 |
SEND_LCP_CON_REQ |
发送的链路配置请求报文计数 |
RECV_LCP_CON_REQ |
接收的链路配置请求报文计数 |
SEND_LCP_CON_NAK |
发送的链路配置NAK报文计数 |
RECV_LCP_CON_NAK |
接收的链路配置NAK报文计数 |
SEND_LCP_CON_REJ |
发送的链路配置拒绝报文计数 |
RECV_LCP_CON_REJ |
接收的链路配置拒绝报文计数 |
SEND_LCP_CON_ACK |
发送的链路配置ACK报文计数 |
RECV_LCP_CON_ACK |
接收的链路配置ACK报文计数 |
SEND_LCP_CODE_REJ |
发送的链路配置解码错误报文计数 |
RECV_LCP_CODE_REJ |
接收的链路配置解码错误报文计数 |
SEND_LCP_PROT_REJ |
发送的链路配置协议码错误报文计数 |
RECV_LCP_PROT_REJ |
接收的链路配置协议码错误报文计数 |
SEND_LCP_TERM_REQ |
发送的链路终止请求报文计数 |
RECV_LCP_TERM_REQ |
接收的链路终止请求报文计数 |
SEND_LCP_TERM_ACK |
发送的链路终止ACK报文计数 |
RECV_LCP_TERM_ACK |
接收的链路终止ACK报文计数 |
SEND_LCP_ECHO_REQ |
发送的链路ECHO请求报文计数 |
RECV_LCP_ECHO_REQ |
接收的链路ECHO请求报文计数 |
SEND_LCP_ECHO_REP |
发送的链路ECHO应答报文计数 |
RECV_LCP_ECHO_REP |
接收的链路ECHO应答报文计数 |
SEND_LCP_FAIL |
发送的链路失败报文计数 |
SEND_LCP_CON_REQ_RETRAN |
重新发送的链路配置请求报文计数 |
IPCP |
IPCP报文统计信息显示 |
SEND_IPCP_CON_REQ |
发送的IP地址协商请求报文计数 |
RECV_IPCP_CON_REQ |
接收的IP地址协商请求报文计数 |
SEND_IPCP_CON_NAK |
发送的IP地址协商NAK报文计数 |
RECV_IPCP_CON_NAK |
接收的IP地址协商NAK报文计数 |
SEND_IPCP_CON_REJ |
发送的IP地址协商拒绝报文计数 |
RECV_IPCP_CON_REJ |
接收的IP地址协商拒绝报文计数 |
SEND_IPCP_CON_ACK |
发送的IP地址协商ACK报文计数 |
RECV_IPCP_CON_ACK |
接收的IP地址协商ACK报文计数 |
SEND_IPCP_CODE_REJ |
发送的IP地址协商解码错误报文计数 |
RECV_IPCP_CODE_REJ |
接收的IP地址协商解码错误报文计数 |
SEND_IPCP_PROT_REJ |
发送的IP地址协商协议码错误报文计数 |
RECV_IPCP_PROT_REJ |
接收的IP地址协商协议码错误报文计数 |
SEND_IPCP_TERM_REQ |
发送的IP地址协商终止请求报文计数 |
RECV_IPCP_TERM_REQ |
接收的IP地址协商终止请求报文计数 |
SEND_IPCP_TERM_ACK |
发送的IP地址协商终止ACK报文计数 |
RECV_IPCP_TERM_ACK |
接收的IP地址协商终止ACK报文计数 |
SEND_IPCP_FAIL |
发送的IP地址协商失败报文计数 |
IPV6CP |
IPV6CP报文统计信息显示 |
SEND_IPV6CP_CON_REQ |
发送的IPv6地址协商请求报文计数 |
RECV_IPV6CP_CON_REQ |
接收的IPv6地址协商请求报文计数 |
SEND_IPV6CP_CON_NAK |
发送的IPv6地址协商NAK报文计数 |
RECV_IPV6CP_CON_NAK |
接收的IPv6地址协商NAK报文计数 |
SEND_IPV6CP_CON_REJ |
发送的IPv6地址协商拒绝报文计数 |
RECV_IPV6CP_CON_REJ |
接收的IPv6地址协商拒绝报文计数 |
SEND_IPV6CP_CON_ACK |
发送的IPv6地址协商ACK报文计数 |
RECV_IPV6CP_CON_ACK |
接收的IPv6地址协商ACK报文计数 |
SEND_IPV6CP_CODE_REJ |
发送的IPv6地址协商解码错误报文计数 |
RECV_IPV6CP_CODE_REJ |
接收的IPv6地址协商解码错误报文计数 |
SEND_IPV6CP_PROT_REJ |
发送的IPv6地址协商协议码错误报文计数 |
RECV_IPV6CP_PROT_REJ |
接收的IPv6地址协商协议码错误报文计数 |
SEND_IPV6CP_TERM_REQ |
发送的IPv6地址协商终止请求报文计数 |
RECV_IPV6CP_TERM_REQ |
接收的IPv6地址协商终止请求报文计数 |
SEND_IPV6CP_TERM_ACK |
发送的IPv6地址协商终止ACK报文计数 |
RECV_IPV6CP_TERM_ACK |
接收的IPv6地址协商终止ACK报文计数 |
SEND_IPV6CP_FAIL |
发送的IPv6地址协商失败报文计数 |
OSICP |
OSICP报文统计信息显示 |
SEND_OSICP_CON_REQ |
发送的OSI地址协商请求报文计数 |
RECV_OSICP_CON_REQ |
接收的OSI地址协商请求报文计数 |
SEND_OSICP_CON_NAK |
发送的OSI地址协商NAK报文计数 |
RECV_OSICP_CON_NAK |
接收的OSI地址协商NAK报文计数 |
SEND_OSICP_CON_REJ |
发送的OSI地址协商拒绝报文计数 |
RECV_OSICP_CON_REJ |
接收的OSI地址协商拒绝报文计数 |
SEND_OSICP_CON_ACK |
发送的OSI地址协商ACK报文计数 |
RECV_OSICP_CON_ACK |
接收的OSI地址协商ACK报文计数 |
SEND_OSICP_CODE_REJ |
发送的OSI地址协商解码错误报文计数 |
RECV_OSICP_CODE_REJ |
接收的OSI地址协商解码错误报文计数 |
SEND_OSICP_PROT_REJ |
发送的OSI地址协商协议码错误报文计数 |
RECV_OSICP_PROT_REJ |
接收的OSI地址协商协议码错误报文计数 |
SEND_OSICP_TERM_REQ |
发送的OSI地址协商终止请求报文计数 |
RECV_OSICP_TERM_REQ |
接收的OSI地址协商终止请求报文计数 |
SEND_OSICP_TERM_ACK |
发送的OSI地址协商终止ACK报文计数 |
RECV_OSICP_TERM_ACK |
接收的OSI地址协商终止ACK报文计数 |
SEND_OSICP_FAIL |
发送的OSI地址协商失败报文计数 |
MPLSCP |
MPLSCP报文统计信息显示 |
SEND_MPLSCP_CON_REQ |
发送的MPLS地址协商请求报文计数 |
RECV_MPLSCP_CON_REQ |
接收的MPLS地址协商请求报文计数 |
SEND_MPLSCP_CON_NAK |
发送的MPLS地址协商NAK报文计数 |
RECV_MPLSCP_CON_NAK |
接收的MPLS地址协商NAK报文计数 |
SEND_MPLSCP_CON_REJ |
发送的MPLS地址协商拒绝报文计数 |
RECV_MPLSCP_CON_REJ |
接收的MPLS地址协商拒绝报文计数 |
SEND_MPLSCP_CON_ACK |
发送的MPLS地址协商ACK报文计数 |
RECV_MPLSCP_CON_ACK |
接收的MPLS地址协商ACK报文计数 |
SEND_MPLSCP_CODE_REJ |
发送的MPLS地址协商解码错误报文计数 |
RECV_MPLSCP_CODE_REJ |
接收的MPLS地址协商解码错误报文计数 |
SEND_MPLSCP_PROT_REJ |
发送的MPLS地址协商协议码错误报文计数 |
RECV_MPLSCP_PROT_REJ |
接收的MPLS地址协商协议码错误报文计数 |
SEND_MPLSCP_TERM_REQ |
发送的MPLS地址协商终止请求报文计数 |
RECV_MPLSCP_TERM_REQ |
接收的MPLS地址协商终止请求报文计数 |
SEND_MPLSCP_TERM_ACK |
发送的MPLS地址协商终止ACK报文计数 |
RECV_MPLSCP_TERM_ACK |
接收的MPLS地址协商终止ACK报文计数 |
SEND_MPLSCP_FAIL |
发送的MPLS地址协商失败报文计数 |
AUTH |
认证报文统计信息显示 |
SEND_PAP_AUTH_ REQ |
发送的PAP认证请求报文计数 |
RECV_PAP_AUTH_REQ |
接收的PAP认证请求报文计数 |
SEND_PAP_AUTH_ACK |
发送的PAP认证ACK报文计数 |
RECV_PAP_AUTH_ACK |
接收的PAP认证ACK报文计数 |
SEND_PAP_AUTH_NAK |
发送的PAP认证NAK报文计数 |
RECV_PAP_AUTH_NAK |
接收的PAP认证NAK报文计数 |
SEND_CHAP_AUTH_CHALLENGE |
发送的CHAP认证请求报文计数 |
RECV_CHAP_AUTH_CHALLENGE |
接收的CHAP认证请求报文计数 |
SEND_CHAP_AUTH_RESPONSE |
发送的CHAP认证回应报文计数 |
RECV_CHAP_AUTH_RESPONSE |
接收的CHAP认证回应报文计数 |
SEND_CHAP_AUTH_ACK |
发送的CHAP认证ACK报文计数 |
RECV_CHAP_AUTH_ACK |
接收的CHAP认证ACK报文计数 |
SEND_CHAP_AUTH_NAK |
发送的CHAP认证NAK报文计数 |
RECV_CHAP_AUTH_NAK |
接收的CHAP认证NAK报文计数 |
SEND_PAP_AUTH_FAIL |
发送的PAP认证失败报文计数 |
SEND_CHAP_AUTH_FAIL |
发送的CHAP认证失败报文计数 |
【相关命令】
· reset ppp packet statistics
display trace access-user命令用来显示业务跟踪对象的配置信息。
【命令】
display trace access-user [ object object-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
object object-id:显示指定业务跟踪对象的配置信息。object-id表示业务跟踪对象的编号,取值范围为1~5。未指定本参数时,将显示所有业务跟踪对象的配置信息。
【使用指导】
本命令仅显示跟踪时间未超时的业务跟踪对象的配置信息。
【举例】
# 显示所有业务跟踪对象的配置信息。
<Sysname> display trace access-user
Object ID: 1
Access mode: PPPoE
User name: aaa
Access interface: GigabitEthernet3/1/1.1
IP address: 1.1.1.2
MAC address: 0001-0002-0003
Service VLAN: 3
Customer VLAN: 2
Tunnel ID: 12345
Output direction: VTY
Aging time: 0 min
Object ID: 2
Access mode: LNS
User name: aaa
Access interface: GigabitEthernet3/1/1.2
IP address: 1.1.1.3
Service VLAN: 3
Customer VLAN: 2
Tunnel ID: 12345
Calling station ID: 7425-8a23-23d5 GE3/1/1.2:0003.0002
Output direction: VTY
Aging time: 0 min
表1-12 display trace access-user命令显示信息描述表
字段 |
描述 |
Object ID |
业务跟踪对象的编号 |
Access mode |
业务跟踪对象的接入模式 |
User name |
接入用户的用户名 |
Access interface |
接入用户接入接口 |
IP address |
接入用户的IP地址 |
MAC address |
接入用户的MAC地址 |
Service VLAN |
接入用户的外层VLAN ID |
Customer VLAN |
接入用户的内层VLAN ID |
Tunnel ID |
接入用户的L2TP隧道ID(本字段仅在接入用户为L2TP用户时才会显示) |
Calling station ID |
L2TP呼叫号码(“-”表示用户上线时未携带Calling station) |
Output direction |
业务跟踪信息的输出位置 |
Aging time |
业务跟踪对象的跟踪时间 |
【相关命令】
· trace access-user
interface virtual-template命令用来创建虚拟模板接口并进入指定的虚拟模板接口视图。如果指定的虚拟模板接口已经存在,则直接进入虚拟模板接口视图。
undo interface virtual-template命令用来删除指定虚拟模板接口。
【命令】
interface virtual-template number
undo interface virtual-template number
【缺省情况】
不存在虚拟模板接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:虚拟模板接口的编号,取值范围为0~1023。
【使用指导】
在删除虚拟模板接口前,请确定相关的虚拟访问接口都已经删除,而且该虚拟模板接口不再被使用。
本命令仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
【举例】
# 创建虚拟模板接口10。
<Sysname> system-view
[Sysname] interface virtual-template 10
ip address ppp-negotiate命令用来为接口配置IP地址可协商属性,使接口接受PPP协商产生的由Server端分配的IP地址。
undo ip address ppp-negotiate命令用来恢复缺省情况。
【命令】
ip address ppp-negotiate
undo ip address ppp-negotiate
【缺省情况】
接口未配置IP地址可协商属性。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
多次执行ip address ppp-negotiate命令和ip address命令,最后一次执行的命令生效。
【举例】
# 将虚拟模板接口10配置IP地址可协商属性。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ip address ppp-negotiate
【相关命令】
· ip address(三层技术-IP业务命令参考/IP地址)
· remote address
ip pool命令用来配置PPP地址池。
undo ip pool命令用来删除PPP地址池或删除PPP地址池下的IP地址范围。
【命令】
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
undo ip pool pool-name [ start-ip-address [ end-ip-address ] ]
【缺省情况】
未配置PPP地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pool-name:PPP地址池的名称,为1~31个字符的字符串,不区分大小写。
start-ip-address [ end-ip-address ]:定义一个IP地址范围。start-ip-address为起始IP地址,end-ip-address为结束IP地址。一个起始IP地址和结束IP地址之间的地址为一个IP地址范围。如果未指定结束IP地址,则该IP地址范围中只有一个IP地址,即起始IP地址。
group group-name:指定PPP地址池所在的组。group-name表示组的名称,为1~31个字符的字符串,区分大小写。未指定本参数时,组名称为default。
【使用指导】
系统支持多个地址空间,以此来实现对VPN的支持,每个地址空间可以对应一个VPN,不同地址空间中可以存在相同的IP地址。
系统用组来划分地址空间,每个组表示一个地址空间。设备上可以存在多个组。一个组下可以包含多个PPP地址池,一个PPP地址池下可以包含多个IP地址范围。
一个PPP地址池只能属于一个组。
一个PPP地址池下可以包含多个IP地址范围,一次只能配置一个IP地址范围,可以通过多次配置本命令来配置多个IP地址范围。
不同组内的IP地址范围可以重叠,同一个组内的IP地址范围不可以重叠。
一个IP地址范围中包含的IP地址数最多为65535。
一个PPP地址池中包含的IP地址数最多为65535。
当通过PPP地址池给用户分配IP地址时,请确保PPP地址池中不包含该PPP地址池的网关地址。
当某PPP地址池中有任意地址正在被用户使用时,不允许删除该PPP地址池的配置。
【举例】
# 配置PPP地址池aaa,IP地址范围为129.102.0.1到129.102.0.10,PPP地址池所在的组为a。
<Sysname> system-view
[Sysname] ip pool aaa 129.102.0.1 129.102.0.10 group a
【相关命令】
· display ip pool
ip pool allocate-new-ip enable命令用来开启PPP地址池随机分配新地址的功能。
undo ip pool allocate-new-ip enable命令用来关闭PPP地址池随机分配新地址的功能。
【命令】
ip pool pool-name allocate-new-ip enable
undo ip pool pool-name allocate-new-ip enable
【缺省情况】
PPP地址池随机分配新地址的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pool-name:PPP地址池的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
缺省情况下,PPP地址池的地址分配方式是尽量保证用户每次上线时使用新的IP地址,在某些情况下,同一用户上线可能获取相同的IP地址。但是在某些通过IP地址识别身份的应用中,用户需要实现每次上线能够获得不同的IP地址的需求。针对这种需求,设备需提供PPP地址池随机分配新地址的需求。本功能保证用户在断线重拨后可以获得不同的IP地址。
需要注意的是,在双机热备和主备倒换环境中,设备切换之前已经下线的PPP用户,若在设备切换之后重新上线,分配到的IP地址有可能与之前获得的IP地址相同。
【举例】
# 开启PPP地址池pool1随机分配新地址的功能。
<Sysname> system-view
[Sysname] ip pool pool1 allocate-new-ip enable
ip pool gateway命令用来配置PPP地址池的网关地址。
undo ip pool gateway命令用来删除指定PPP地址池的网关地址。
【命令】
ip pool pool-name gateway ip-address [ vpn-instance vpn-instance-name ]
undo ip pool pool-name gateway
【缺省情况】
未指定PPP地址池的网关地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pool-name:PPP地址池的名称,为1~31个字符的字符串,不区分大小写。该PPP地址池必须已经存在。
ip-address:PPP地址池的网关地址。
vpn-instance vpn-instance-name:网关地址所在的VPN实例。指定的VPN实例必须已经存在。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。未指定本参数时,表示指定的是公网IP地址。
【使用指导】
Server端的接口必须在配置IP地址后,才能开始进行IPCP协商,为Client端分配IP地址。在BRAS接入场景下,用户的IP地址都是Server端通过地址池分配的,大量用户可能是通过Server端的很多不同接口接入的,这样Server端上每个接入接口上都需要配置一个IP地址,会占用很多IP地址。
在这种情况下,用户可以为PPP地址池配置一个网关地址。配置网关地址后,在所有使用该PPP地址池为用户分配IP地址的接入接口上,当接入接口没有配置IP地址时,将使用该PPP地址池的网关地址进行IPCP协商。这样,就不用为每个接入接口单独配置IP地址了,大大节省了占用的IP地址数量。
当同时配置了PPP地址池的网关地址和接入接口的IP地址时,会使用接入接口的IP地址进行IPCP协商。
每个PPP地址池只能配置一个网关地址,不同PPP地址池配置的网关地址不能相同,即为不同PPP地址池配置网关地址时,ip-address和vpn-instance-name不能完全相同。
PPP地址池的网关地址可以配置为任意一个IP地址,只要不同PPP地址池的网关地址不冲突即可。
【举例】
# 为PPP地址池aaa配置网关地址为1.1.1.1,所在VPN实例为test。
<Sysname> system-view
[Sysname] ip pool aaa gateway 1.1.1.1 vpn-instance test
【相关命令】
· ip pool
mtu命令用来设置接口的MTU(Maximum Transmission Unit,最大传输单元)值。
undo mtu命令用来恢复缺省情况。
【命令】
mtu size
undo mtu
【缺省情况】
虚拟模板接口的MTU值为1492字节;
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
size:接口的MTU值,MTU取值范围请以实际情况为准,单位为字节。
【使用指导】
接口的MTU值影响IP协议报文在该接口上传输时的分片与重组。
【举例】
# 配置虚拟模板接口10的MTU值为1400字节。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] mtu 1400
nas-port-type命令用来配置虚拟模板接口的nas-port-type属性。
undo nas-port-type命令用来恢复缺省情况。
【命令】
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
undo nas-port-type
【缺省情况】
nas-port-type属性由PPP用户的业务类型和承载链路类型决定:
· 如果是PPPoE业务,nas-port-type属性为ethernet;
· 如果是L2TP业务,nas-port-type属性为virtual。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
802.11:符合Wireless-IEEE 802.11标准的接口类型,对应的编码值为19。
adsl-cap:ADSL-CAP(Asymmetric DSL,Carrierless Amplitude Phase Modulation)接口类型,
对应的编码值为12。
adsl-dmt:ADSL-DMT(Asymmetric DSL,Discrete Multi-Tone)接口类型,对应的编码值为13。
async:Async接口类型,对应的编码值为0。
cable:Cable接口类型,对应的编码值为17。
ethernet:Ethernet接口类型,对应的编码值为15。
g.3-fax:G.3 Fax接口类型,对应的编码值为10。
hdlc:HDLC接口类型,对应的编码值为7。
idsl:IDSL(ISDN Digital Subscriber Line)接口类型,对应的编码值为14。
isdn-async-v110:ISDN Async V.110接口类型,对应的编码值为4。
isdn-async-v120:ISDN Async V.120接口类型,对应的编码值为3。
isdn-sync:ISDN Sync接口类型,对应的编码值为2。
piafs:符合PIAFS(PHS(Personal Handyphone System)Internet Access Forum Standard)标准的接口类型,对应的编码值为6。
sdsl:SDSL(Symmetric DSL)接口类型,对应的编码值为11。
sync:Sync接口类型,对应的编码值为1。
virtual:Virtual接口类型,对应的编码值为5。
wireless-other:Wireless-other接口类型,对应的编码值为18。
x.25:X.25接口类型,对应的编码值为8。
x.75:X.75接口类型,对应的编码值为9。
xdsl:XDSL(Digital Subscriber Line of unknown type)接口类型,对应的编码值为16。
【使用指导】
本命令配置的nas-port-type属性主要应用于RADIUS认证计费时所携带的nas-port-type属性。
关于nas-port-type属性的详细介绍请参见RFC 2865。
本命令配置后仅对新接入的用户生效,对当前已经存在用户无影响。
【举例】
# 配置虚拟模板接口1的nas-port-type属性为sync。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] nas-port-type sync
ppp access-user log enable命令用来开启PPP接入用户日志信息功能。
undo ppp access-user log enable命令用来关闭PPP接入用户日志信息功能。
【命令】
ppp access-user log enable [ successful-login | failed-login | normal-logout | abnormal-logout ] *
undo ppp access-user log enable [ successful-login | failed-login | normal-logout | abnormal-logout ] *
【缺省情况】
设备PPP接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
successful-login:PPP用户上线成功的日志信息。
failed-login:PPP用户上线失败的日志信息。
normal-logout:PPP用户正常下线的日志信息。
abnormal-logout:PPP用户异常下线的日志信息。
【使用指导】
为了防止设备输出过多的PPP日志信息,一般情况下建议关闭此功能。
PPP接入用户日志是为了满足网络管理员维护的需要,对用户的上线、下线、上线失败的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的PPP日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
配置本命令时,如果未指定任何参数,将同时开启用户的上线成功、上线失败、正常下线和异常下线日志功能。
通过undo命令关闭日志功能时,如果未指定任何参数,将同时关闭用户的上线成功、上线失败、正常下线和异常下线日志功能。
【举例】
# 开启PPP接入用户日志信息功能。
<Sysname> system-view
[Sysname] ppp access-user log enable
ppp account-statistics enable命令用来开启PPP计费统计功能。
undo ppp account-statistics enable命令用来关闭PPP计费统计功能。
【命令】
ppp account-statistics enable [ acl { acl-number | name acl-name } ]
undo ppp account-statistics enable
【缺省情况】
PPP计费统计功能处于关闭状态。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
acl:对符合ACL的流量进行计费统计。如果不配置ACL,则对所有流量都进行计费统计。
acl-number:指定ACL的编号。acl-number表示ACL的编号,取值范围2000~2999表示IPv4基本ACL、IPv6基本ACL,取值范围3000~3999表示IPv4高级ACL、IPv6高级ACL。对于同一个ACL编号,如果同时存在对应的IPv4 ACL和IPv6 ACL,则会同时生效。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【举例】
# 在虚拟模板接口1上开启PPP计费统计功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp account-statistics enable
ppp authentication chasten命令用来开启PPP用户静默功能。
undo ppp authentication chasten命令用来关闭PPP用户静默功能。
【命令】
ppp authentication chasten auth-failure auth-period blocking-period
undo ppp authentication chasten
【缺省情况】
PPP用户在60秒内连续认证失败次数达到6次时,将被静默300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示在指定的检测周期内允许PPP用户连续认证失败次数的最大值,取值范围为1~1000。
auth-period:表示PPP用户连续认证失败的检测周期,取值范围为1~3600,单位为秒。
blocking-period:表示PPP用户连续认证失败后的静默时长,取值范围为1~3600,单位为秒。
【使用指导】
开启PPP用户静默功能后,当某PPP用户在检测周期内连续认证失败次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPP用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该PPP用户的认证报文而对设备性能造成影响。例如:配置用户在60秒检测周期内连续认证失败达到5次时对其进行静默,假设某次认证失败的时间点是第100秒,则从该时间点开始统计,如果最近一个检测周期内(即从第40秒到当前)用户连续认证失败达到5次,将对其进行静默处理。静默期后,如果设备再次收到该PPP用户的报文,则依然可以对其进行认证处理。
对用户名相同但属于不同认证域的PPP用户,设备将会对其分别进行认证失败统计,并分别进行静默。
【举例】
# 配置PPP用户在500秒内连续认证失败次数达到100次时,将被静默1000秒。
<Sysname> system-view
[Sysname] ppp authentication chasten 100 500 1000
【相关命令】
· display ppp chasten user
· display ppp chasten statistics
ppp authentication-mode命令用来配置本地认证对端的认证方式。
undo ppp authentication-mode命令用来恢复缺省情况。
【命令】
ppp authentication-mode { chap | ms-chap | ms-chap-v2 | pap } * [ domain { isp-name | default enable isp-name } ]
undo ppp authentication-mode
【缺省情况】
PPP协议未进行认证。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
chap:采用CHAP认证方式。
ms-chap:采用MSCHAP认证方式。
ms-chap-v2:采用MSCHAPv2认证方式。
pap:采用PAP认证方式。
domain isp-name:表示PPP强制认证域,isp-name表示强制认证域的ISP域名,为1~255个字符的字符串,不区分大小写,isp-name不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”以及“default”。
default enable isp-name:表示PPP非强制认证域,isp-name表示非强制认证域的ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
PPP有以下几种认证方式:
· PAP为两次握手认证,口令为明文或者密文均可。
· CHAP为三次握手认证,口令为明文或者密文均可。
· MSCHAP为微软CHAP认证,是三次握手认证,口令为密文。
· MSCHAPv2为微软CHAP V2认证,是三次握手认证,口令为密文。
用户可以同时配置上面的多种认证方式。
上述任何一种认证方式,只是一种认证过程,最终能否通过认证,还需要AAA来作决定,AAA可以利用本地认证数据库认证或由AAA服务器进行认证。关于AAA认证的详细介绍请参见“BRAS业务配置指导”中的“AAA”。
需要注意的是,用户认证时支持通过多种方式获取ISP域,并按如下优先顺序选择第一个可用的ISP域进行认证:
(1) 使用ppp authentication-mode命令指定了认证域,具体处理情况如下:
¡ 若指定了PPP强制认证域,且该域存在,则使用PPP强制认证域;若该域不存在,则跳转到步骤(2)。
¡ 若指定了PPP非强制认证域,则先获取用户名中的域,然后进行如下判断:
- 如用户名中携带域,且该域存在,则使用用户名携带的域;若该域不存在,则跳转到步骤(2)。
- 若用户名中未携带域,则使用指定的PPP非强制认证域;若该域不存在,则跳转到步骤(2)。
(2) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 在虚拟模板接口10上,采用PAP方法认证对端设备。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp authentication-mode pap
【相关命令】
· local-user(BRAS业务命令参考/AAA)
· ppp chap password
· ppp chap user
· ppp pap local-user
ppp chap password命令用来配置进行CHAP认证时采用的密码。
undo ppp chap password命令用来恢复缺省情况。
【命令】
ppp chap password { cipher | simple } string
undo ppp chap password
【缺省情况】
未配置进行CHAP认证时采用的密码。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:CHAP认证时采用的密码,区分大小写,以明文方式设置密码时为1~255个字符的字符串,以密文方式设置密码时为1~373个字符的字符串。
【举例】
# 配置本地设备以CHAP方式被对端设备认证时,密码为sysname。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp chap password simple sysname
【相关命令】
· ppp authentication-mode chap
ppp chap user命令用来配置采用CHAP认证时的用户名。
undo ppp chap user命令用来恢复缺省情况。
【命令】
ppp chap user username
undo ppp chap user
【缺省情况】
CHAP认证的用户名为空。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
username:CHAP认证用户名,为1~80个字符的字符串,区分大小写。该用户名是发送到对端设备进行CHAP认证时使用的用户名。
【使用指导】
配置CHAP认证时,要将各自的username配置为对端的local-user,而且对应的password要一致。
【举例】
# 配置虚拟模板接口10进行CHAP认证时的用户名为Root。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp chap user Root
【相关命令】
· ppp authentication-mode chap
ppp flow-statistics frequency命令用来配置PPP在线用户流量统计的频率模式。
undo ppp flow-statistics frequency命令用来恢复缺省情况。
【命令】
ppp flow-statistics frequency { fast | normal | slow }
undo flow-statistics frequency
【缺省情况】
PPP在线用户流量统计的频率模式为正常模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fast:设置频率为快模式。当对PPP用户的流量的统计信息的精确度要求较高时,可配置本模式。
normal:设置频率为正常模式。当对PPP用户的流量的统计信息的精确度要求一般时,可配置本模式。
slow:设置频率为慢模式。当对PPP用户的流量的统计信息的精确度要求较低时,可配置本模式。
【举例】
# 配置PPP在线用户流量统计的频率模式为fast。
<Sysname> system-view
[Sysname] ppp flow-statistics frequency fast
ppp ipcp dns命令用来配置设备为对端设备指定DNS服务器的IP地址。
undo ppp ipcp dns命令用来删除设备为对端设备指定DNS服务器的IP地址。
【命令】
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
undo ppp ipcp dns primary-dns-address [ secondary-dns-address ]
【缺省情况】
未指定对端设备DNS服务器的IP地址。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
primary-dns-address:主DNS服务器的IP地址。
secondary-dns-address:从DNS服务器的IP地址。
【使用指导】
当设备之间通过PPP协议相连时,通过协商,设备可以为对端设备指定DNS服务器的IP地址(但需要等待对端请求,不会主动给对端指定DNS的地址)。
如果主机与设备通过PPP协议相连时,用户可以在主机上使用命令winipcfg或ipconfig/all来查看设备为其提供的DNS服务器的IP地址。
【举例】
# 配置设备为对端设备分配的主DNS服务器的IP地址为100.1.1.1,从DNS服务器的IP地址为100.1.1.2。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp ipcp dns 100.1.1.1 100.1.1.2
ppp ipcp dns admit-any命令用来配置设备可以被动地接收对端设备指定的DNS服务器的IP地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器的IP地址。
undo ppp ipcp dns admit-any命令用来恢复缺省情况。
【命令】
ppp ipcp dns admit-any
undo ppp ipcp dns admit-any
【缺省情况】
设备不会被动地接收对端设备指定的DNS服务器的IP地址。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
当设备通过PPP协议与其它设备相连时,通过协商,设备可以被动地接收对端设备指定的DNS服务器地址,这样设备就可以使用对端设备指定的DNS服务器来解析域名。
正常情况下,Client端配置了ppp ipcp dns request,Server端才会为本端指定DNS服务器地址。但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any。
【举例】
# 配置本地设备的虚拟模板接口1可以被动地接收对端指定的DNS服务器地址。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp ipcp dns admit-any
【相关命令】
· ppp ipcp dns request
ppp ipcp dns request命令用来配置设备可以主动向对端请求DNS服务器地址。
undo ppp ipcp dns request命令用来恢复缺省情况。
【命令】
ppp ipcp dns request
undo ppp ipcp dns request
【缺省情况】
禁止设备主动向对端请求DNS服务器地址。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
当设备通过PPP协议与其它设备相连时(通常为设备拨号连接运营商的接入服务器),在进行IPCP协商时,设备可以主动请求对端设备为其指定DNS服务器地址,这样设备就可以使用对端设备指定的DNS来解析域名。
如果协商到有效的DNS服务器地址,将在接口显示信息中打印出来。
【举例】
# 配置虚拟模板接口1主动请求DNS服务器地址。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp ipcp dns request
ppp ipcp remote-address match命令用来使能接口的IP网段检查功能。
undo ppp ipcp remote-address match命令用来关闭接口的IP网段检查功能。
【命令】
ppp ipcp remote-address match
undo ppp ipcp remote-address match
【缺省情况】
接口的IP网段检查功能处于关闭状态。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
使能接口的IP网段检查功能后,当IPCP协商时,本端会检查对端接口的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。
【举例】
# 在虚拟模板接口1上使能接口的IP网段检查功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp ipcp remote-address match
ppp ip-pool route命令用来配置PPP地址池路由。
undo ppp ip-pool route命令用来删除PPP地址池路由。
【命令】
ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
undo ppp ip-pool route ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置PPP地址池路由。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:PPP地址池路由的IP地址,为点分十进制格式。
mask-length:PPP地址池路由的子网掩码长度,取值范围为0~32。
mask:PPP地址池路由的IP地址相应的子网掩码,为点分十进制格式。
vpn-instance-name:MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示PPP地址池路由位于公网中。
【使用指导】
BRAS(Broadband Remote Access Server,宽带接入服务器)通过撤销和发布PPP地址池路由来实现对下行流量转发的控制。
BRAS设备配置PPP地址池路由以后,将生成一条黑洞静态路由,所有到该网段的流量均被丢弃,只有当合法用户上线以后,在BRAS设备上添加一条对应的主机路由,下行的用户流量才能被正确转发。动态路由协议通过引入静态路由把该路由发布到上游的核心路由器上,核心路由器上所有到该网段的流量都引到BRAS设备上。
图1-1 PPP地址池路由示意图
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围。当存在多个PPP地址池网段时,可以配置多条对应的PPP地址池路由。
【举例】
# 配置PPP添加的PPP地址池路由为2.2.2.2/24。
<Sysname> system-view
[Sysname] ppp ip-pool route 2.2.2.2 24
ppp ipv6 route命令用来配置PPP IPv6地址网段路由。
undo ppp ipv6 route命令用来删除指定的PPP IPv6地址网段路由。
【命令】
ppp ipv6 route prefix/prefix-length [ vpn-instance vpn-instance-name ] [ preference preference | tag tag ] *
undo ppp ipv6 route prefix/prefix-length [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置PPP IPv6地址网段路由
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
prefix/prefix-length:PPP IPv6地址网段路由的前缀和前缀长度,prefix-length的取值范围为1~64。
vpn-instance vpn-instance-name:指定网段路由所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示PPP IPv6地址网段路由位于公网中。
preference preference:指定PPP IPv6地址网段路由的优先级,preference的取值范围为1~255,缺省值为60。
tag tag:指定PPP IPv6地址网段路由的标记值,tag的取值范围为1~4294967295,缺省值为0。tag字段用于标识该PPP IPv6地址网段路由,路由策略可根据tag字段对路由条目进行过滤。路由策略的详细介绍请参见“三层技术-IP路由配置指导”中的“路由策略”。
【使用指导】
BRAS(Broadband Remote Access Server,宽带接入服务器)通过撤销和发布PPP IPv6地址网段路由来实现对下行流量转发的控制。
BRAS设备配置PPP IPv6地址网段路由以后,将生成一条黑洞静态路由,所有到该网段的流量均被丢弃,只有当合法用户上线以后,在BRAS设备上添加一条对应的主机路由,下行的用户流量才能被正确转发。动态路由协议通过引入静态路由把PPP IPv6地址网段路由发布到上游的核心路由器上,核心路由器上所有到该网段的流量都引到BRAS设备上。
当主机通过NDRA方式获取IPv6全球单播地址时,RA报文中携带的IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。
为便于核心路由器上所有到用户网段的流量都引到BRAS设备,需要把前缀网段路由发布到上游的核心路由器上。不同的前缀来源生成前缀网段路由的方式有所不同,具体如下:
· 当前缀来源于ND前缀池中的前缀时,可选择以下任意一种方式生成前缀网段路由:
¡ 通过ppp nd-prefix-route enable命令开启系统自动下发ND前缀网段路由功能。
¡ 通过本命令手工配置PPP IPv6地址网段路由。
¡ 通过ipv6 route-static命令配置到前缀网段的IPv6静态路由。
· 当前缀来源于:AAA授权的IPv6前缀、接口下配置的RA前缀或接口下配置的IPv6全球单播地址的前缀时,可选择以下任意一种方式生成前缀网段路由:
¡ 通过本命令手工配置PPP IPv6地址网段路由。
¡ 通过ipv6 route-static命令配置到前缀网段的黑洞静态路由。
【举例】
# 配置PPP添加IPv6地址网段路由4001::/42。
<Sysname> system-view
[Sysname] ppp ipv6 route 4001::/42
【相关命令】
· ipv6 route-static(三层技术-IP路由命令参考/IPv6静态路由)
· ppp ip-pool route
· ppp nd-prefix-route enable
ppp keepalive datacheck命令用来配置PPP用户有流量时不做keepalive探测。
undo ppp keepalive datacheck命令用来恢复缺省情况。
【命令】
ppp keepalive datacheck
undo ppp keepalive datacheck
【缺省情况】
在一个探测的时间间隔内,无论用户流量是否有更新,探测的时间间隔超时后都会发送探测报文对用户进行在线探测。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,如果配置的keepalive保活时间间隔(timer-hold seconds)较短或重传次数(timer-hold retry retries)较小,当网络发生拥塞时可能因收不到对端的保活应答报文而导致用户掉线。为避免keepalive报文加剧网络拥塞或导致用户频繁掉线,可配置ppp keepalive datacheck命令。
配置本命令后,在一个流量更新的时间间隔内,如果用户流量有更新,则将保活定时器重置,并延迟60秒,从而实现用户流量有更新时不发送探测报文,否则发送探测报文。例如:配置的timer-hold为10秒,若在第5秒时获取到用户流量有更新,则重置保活定时器,并延迟60秒(即相当于配置了timer-hold为70秒),从而推迟发送keepalive报文的时间;如果在下次获取到流量有更新时保活定时器未超时(70秒),则继续重置定时器,并延迟60秒。
【举例】
# 在虚拟模板接口1上配置PPP用户有流量时不做keepalive探测。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp keepalive datacheck
【相关命令】
· ppp flow-statistics frequency
· timer-hold
· timer-hold retry
ppp keepalive fast-reply enable命令用来开启keepalive报文的快速应答功能。
undo ppp keepalive fast-reply enable命令用来关闭keepalive报文的快速应答功能。
【命令】
(独立运行模式)
ppp keepalive fast-reply enable slot slot-number
undo ppp keepalive fast-reply enable slot slot-number
(IRF模式)
ppp keepalive fast-reply enable chassis chassis-number slot slot-number
undo ppp keepalive fast-reply enable chassis chassis-number slot slot-number
【缺省情况】
keepalive报文的快速应答功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:在指定单板上开启keepalive报文的快速应答功能。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:在指定成员设备的指定单板上开启keepalive报文的快速应答功能。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
设备收到PPP用户的keepalive请求报文后会上送CPU处理,流量较大时需要消耗较大的CPU资源。如果遭受攻击,易出现处理能力不足,产生拒绝服务,成为攻击者的目标。
开启keepalive报文的快速应答功能后,可以通过硬件识别keepalive请求报文并自动回复keepalive应答报文,从而减轻CPU的负担,避免成为拒绝服务攻击的目标。
一般情况下,不建议关闭本功能。
需要注意的是,本功能仅CSPEX类单板(除CSPEX-1104-E之外)、CEPC类单板支持,并且仅对从以太网链路收到的keepaliive报文进行快速应答。
【举例】
# 接口板Slot3上开启keepalive报文的快速应答功能。(独立运行模式)
<Sysname> system-view
[Sysname] ppp keepalive fast-reply enable slot 3
# 成员设备1的接口板Slot3上开启keepalive报文的快速应答功能。(IRF模式)
<Sysname> system-view
[Sysname] ppp keepalive fast-reply enable chassis 1 slot 3
ppp lcp delay命令用来配置LCP协商的延迟时间。
undo ppp lcp delay命令用来恢复缺省情况。
【命令】
ppp lcp delay milliseconds
undo ppp lcp delay
【缺省情况】
接口物理层UP后,PPP立即进行LCP协商。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
milliseconds:LCP协商的延迟时间,取值范围为1~10000,单位为毫秒。
【使用指导】
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延迟时间后,当接口物理层UP时PPP将在延迟时间超时后才会主动进行LCP协商;如果在延迟时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延迟时间超时,而是直接进行LCP协商。
【举例】
# 配置PPP链路初始化时LCP协商的延迟时间。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp delay 130
ppp magic-number-check命令用来开启PPP协议的魔术字检查功能。
undo ppp magic-number-check命令用来关闭PPP协议的魔术字检查功能。
【命令】
ppp magic-number-check
undo ppp magic-number-check
【缺省情况】
PPP协议的魔术字检查功能处于关闭状态。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
在PPP链路建立过程中的LCP协商阶段会进行Magic-Number(魔术字)的协商,协商完成后本端和对端均会在本地存储彼此的魔术字。
本端发送Echo-Request报文的时候会携带自己的魔术字,在链路两端都开启本功能的情况下,对端收到Echo-Request报文后会取出报文中的魔术字与本地存储的对端魔术字进行对比,如果二者相同,则认为链路处于正常状态,并回应携带自己魔术字的Echo-Reply报文。本端收到Echo-Reply报文后同样取出报文中的魔术字进行检查。
在链路的任何一端,下列任意一种情况发生都将断开链路,并重新进行LCP协商。
· 在keepalive报文的快速应答功能处于开启状态的情况下:
¡ 累计收到5个Echo-Request报文中的魔术字都检查失败。
¡ 连续收到5个Echo-Reply报文中的魔术字都检查失败。
· 在keepalive报文的快速应答功能处于关闭状态的情况下:
¡ 连续收到5个Echo-Request报文中的魔术字都检查失败。
¡ 连续收到5个Echo-Reply报文中的魔术字都检查失败。
只有开启本功能的一端才会对收到的Echo-Request和Echo-Reply报文中的魔术字进行检查。
【举例】
# 在虚拟模板接口1上开启PPP协议的魔术字检查功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp magic-number-check
【相关命令】
· ppp keepalive fast-reply enable
ppp mru-check enable命令用来开启PPP报文的MRU检查功能。
undo ppp mru-check enable命令用来关闭PPP报文的MRU检查功能。
【命令】
ppp mru-check enable
undo ppp mru-check enable
【缺省情况】
PPP报文的MRU检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在PPP链路建立过程中的LCP协商阶段会进行MRU(Maximum-Receive-Unit,最大接收单元)值协商,如果链路两端接口的MTU值不同,PPP将采用较小的MTU值作为链路的MTU值。
缺省情况下,当本端收到对端发送的PPP报文的MTU值大于协商的MRU值时,对报文不做检查按正常报文处理。开启本功能后,当本端收到对端发送的PPP报文的MTU值大于协商的MRU值时,则直接丢弃该报文。
在对安全性要求较高的网络环境中需要开启本功能,以防止伪对端发送大量超过协商MRU值的PPP报文对设备进行攻击。
【举例】
# 开启PPP报文的MRU检查功能。
<Sysname> system-view
[Sysname] ppp mru-check enable
ppp nd-prefix-route enable命令用来开启下发ND前缀网段路由功能。
undo ppp nd-prefix-route enable命令用来关闭下发ND前缀网段路由功能。
【命令】
ppp nd-prefix-route enable
undo ppp nd-prefix-route enable
【缺省情况】
下发ND前缀网段路由功能处于关闭状态。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
每用户每前缀,是指每个PPPoE或L2TP用户单独使用一个IPv6地址前缀。开启下发ND前缀网段路由功能后,当PPPoE用户或L2TP用户上线后,设备会根据每个上线用户获取到的IPv6地址前缀信息分别在路由表中生成一条静态路由。
目前仅NDRA方式中采用ND前缀池给用户分配前缀时才支持每用户每前缀。需要注意的是,通过ipv6 dhcp prefix-pool命令创建前缀池时,其指定分配的前缀长度必须等于64位,否则将导致上线用户无法获取前缀信息。
本功能仅在每用户每前缀组网应用中的PPPoE Server和L2TP的LNS侧配置后才生效。有关L2TP的相关介绍,请参见“BRAS业务配置指导”中的“L2TP”。
【举例】
# 开启下发ND前缀网段路由功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp nd-prefix-route enable
【相关命令】
· ipv6 dhcp prefix-pool(BRAS业务命令参考/DHCPv6)
· prefix-pool(BRAS业务命令参考/DHCPv6)
· authorization-attribute ipv6-nd-prefix-pool(BRAS业务命令参考/AAA)
ppp pap local-user命令用来配置本地设备被对端设备采用PAP方式认证时发送的用户名和密码。
undo ppp pap local-user命令用来恢复缺省情况。
【命令】
ppp pap local-user username password { cipher | simple } string
undo ppp pap local-user
【缺省情况】
被对端以PAP方式认证时,本地设备发送的用户名和密码均为空。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
username:本地设备被对端设备采用PAP方式认证时发送的用户名,为1~80个字符的字符串,区分大小写。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~255个字符的字符串,密文密码为1~373个字符的字符串。
【使用指导】
当本地设备被对端以PAP方式认证时,本地设备发送的用户名和密码应与对端设备的用户名(通过命令local-user username配置)和密码(通过命令password { cipher | simple } string配置)一致。
【举例】
# 配置本地设备被对端以PAP方式认证时发送的用户名为user1,密码为pass1。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp pap local-user user1 password simple pass1
【相关命令】
· local-user(BRAS业务命令参考/AAA)
· password(BRAS业务命令参考/AAA)
ppp peer hostroute-suppress命令用来开启抑制PPP对端主机路由添加到本端直连路由表的功能。
undo ppp peer hostroute-suppress命令用来关闭抑制PPP对端主机路由添加到本端直连路由表的功能。
【命令】
ppp peer hostroute-suppress
undo ppp peer hostroute-suppress
【缺省情况】
抑制PPP对端主机路由添加到本端直连路由表的功能处于关闭状态。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,PPP链路协商成功后自动将对端主机路由加到本端直连路由表中。因PPP链路不严格限制对端路由和本端路由在同一网段,有时为避免因一端配置了错误的IP地址,导致另一端将该错误的对端主机路由加到本端直连路由表中,并在网络中进行错误的路由发布,可通过配置本命令抑制PPP对端主机路由添加到本端直连路由表。
本命令仅支持在PPPoE Server和L2TP的LNS侧配置,并且配置后必须重新进行PPP协商,配置才能生效。
【举例】
# 在虚拟模板接口1上开启抑制PPP对端主机路由添加到本端直连路由表的功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp peer hostroute-suppress
ppp source-ip-check命令用来开启PPP用户源IP地址检查功能。
undo ppp source-ip-check命令用来关闭PPP用户源IP地址检查功能。
【命令】
ppp source-ip-check
undo ppp source-ip-check
【缺省情况】
PPP用户源IP地址检查功能处于关闭状态。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,当设备收到PPP报文时,只要根据报文信息能够在设备上查询到对应的PPP用户,就认为该报文是合法报文,正常上送CPU处理。
在一些安全性较低的环境中,攻击者可能会仿冒合法PPP用户向设备发送大量PPP报文,使设备的系统资源被大量占用甚至耗尽,导致合法PPP用户的报文无法得到有效处理,以达到攻击的目的。
为有效防范网络中上述恶意攻击行为的发生,可开启PPP用户源IP地址检查功能。开启PPP用户源IP地址检查功能后,当设备收到PPP报文且根据报文信息能够查询到对应的PPP用户时,设备会进一步检查报文中源IP地址和查询到的PPP用户信息中的IP地址是否相同,相同则正常处理,不同则丢弃该报文。
本功能仅用于对PPPoE和L2TP用户的IPv4流量进行基于源IP地址的合法性检查。
在PPPoE的Router-Initiated组网结构,不允许开启PPP用户源IP地址检查功能,否则将导致PPPoE Client下挂的主机无法访问网络资源。
【举例】
# 在虚拟模板接口1上开启PPP用户源IP地址检查功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp source-ip-check
ppp timer negotiate命令用来配置PPP协商超时时间。
undo ppp timer negotiate命令用来恢复缺省情况。
【命令】
ppp timer negotiate seconds
undo ppp timer negotiate
【缺省情况】
PPP协商超时时间间隔为3秒。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
seconds:协商超时时间间隔,取值范围为1~10,单位为秒。
【使用指导】
在PPP协商过程中,如果在超时时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。
【举例】
# 配置PPP协商超时时间间隔为5秒。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp timer negotiate 5
ppp username check命令用来配置PPP用户请求上线时必须带用户名,否则上线失败。
undo ppp username check命令用来恢复缺省情况。
【命令】
ppp username check
undo ppp username check
【缺省情况】
PPP用户请求上线时可以不带用户名。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
用户名的格式为“userid@isp-name”。用户名为空,是指userid和ISP域名均为空。如果userid为空,ISP域名不为空,则按用户名非空进行处理。
缺省情况下,PPP用户请求上线时如果未携带用户名(即用户名为空),对于PPPoE用户,将采用请求报文中的用户MAC地址作为用户名;对于L2TP用户,将采用请求报文中的calling number作为用户名。
当设备采用请求报文中的用户MAC地址或calling number作为用户名向AAA进行认证时,将保持信息的原始性,不会对其内容和格式进行任何修改。
当网络环境需要严格检查用户名合法性时,可配置本命令。配置本命令后,当设备收到未携带用户名的PPPoE或L2TP用户的上线请求时,不会采用请求报文中的用户MAC地址或calling number作为用户名向AAA进行认证,而是直接返回给用户认证失败。
【举例】
# 配置PPP用户请求上线时必须带用户名,否则上线失败。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp username check
remote address命令用来配置为Client端分配IP地址。
undo remote address命令用来恢复缺省情况。
【命令】
remote address { ip-address | pool pool-name }
undo remote address
【缺省情况】
接口不为Client端分配IP地址。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:为Client端分配的IP地址。
pool pool-name:为Client端分配IP地址使用的地址池,即将地址池pool-name中的一个IP地址分配给Client端。该地址池既可以是PPP地址池,也可以是DHCP地址池。pool-name表示地址池的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
当对端接口还未配置IP地址而本端接口已经有IP地址时,本端接口可以为对端接口分配IP地址。这时,需要在对端接口上配置ip address ppp-negotiate命令,使对端接口作为Client端,接受由PPP协商产生的、Server端分配的IP地址。
PPP可以使用两类地址池为对端接口分配IP地址:PPP地址池、DHCP地址池,优先采用PPP地址池。如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池来分配IP地址,则系统只会使用PPP地址池来分配IP地址。
本端接口配置了remote address命令后会强制为对端分配IP地址,如果对端接口没有配置ip address ppp-negotiate命令而是直接配置了IP地址,则对端接口不会接受本端分配的IP地址,则会导致IPCP协商失败。
Server端给Client端分配IP地址后,可以配置remote address/undo remote address命令,但是配置不能立即生效,已经为Client端分配的IP地址仍然可以正常使用,需要等到下一次IPCP协商时新的配置才生效。
建议在配置此应用时先配置remote address命令,然后再配置ip address命令,使得remote address命令的配置能够生效(因为配置ip address命令后,就开始进行IPCP协商。因此,如果在ip address命令后配置remote address命令,需要等到下次IPCP协商时,才能为Client端分配IP地址。所以建议先配置remote address命令,再配置ip address命令)。
【举例】
# 接口虚拟模板接口10为Client端分配的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] remote address 10.0.0.1
【相关命令】
· ip address ppp-negotiate
· ip pool
remote address dhcp client-identifier命令用来配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。
undo remote address dhcp client-identifier命令用来恢复缺省情况。
【命令】
remote address dhcp client-identifier { { callingnum | username } [ session-info ] | session-info }
undo remote address dhcp client-identifier
【缺省情况】
未配置PPP用户作为DHCP客户端时使用的DHCP客户端ID的生成方式。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
callingnum:使用主叫号码生成DHCP客户端ID。其中,主叫号码通过L2TP协商报文中的calling number AVP携带,由用户MAC地址、LAC设备上用户接入接口和用户所属VLAN组成。例如,某用户MAC地址是000f-e235-dc71,用户接入接口为GE3/1/1.1,用户所属的外层和内层VLAN分别是VLAN 1和VLAN 2,则主叫号码为000f-e235-dc71 GE3/1/1.1:0001.0002。如果同时指定session-info参数,将使用主叫号码和PPP会话生成DHCP客户端ID。
username:使用PPP用户名生成DHCP客户端ID。如果同时指定session-info参数,将使用PPP用户名和PPP会话生成DHCP客户端ID。
session-info:使用PPP会话生成DHCP客户端ID。仅指定本参数时,将使用用户MAC地址、用户所属VLAN和PPP会话生成DHCP客户端ID。
【使用指导】
缺省情况下,PPP客户端通过DHCP申请IP地址时随机选择DHCP客户端ID,此时DHCP服务器无法根据客户端ID为特定的客户端分配特定的IP地址。如需根据客户端ID为特定的客户端分配特定的IP地址,需要通过本命令配置使用主叫号码或用户名生成客户端ID。
需要注意的是,当使用PPP用户名生成DHCP客户端ID时,请确保各个上线用户分别使用不同的PPP用户名上线。
同一用户多次接入时,PPP会针对一个用户建立多条会话,这些会话的用户名、用户MAC、用户所属VLAN等信息都是相同的,使用DHCP分配地址时会分配到相同的IP地址,DHCPv6采用每用户每前缀方式分配地址时会分配到相同的ND前缀。指定session-info配置情况下,PPP会话会参与生成DHCP客户端ID,使不同PPP会话能够分到不同的IP地址或ND前缀。
【举例】
# 配置PPP用户作为DHCP客户端时使用用户名生成DHCP客户端ID。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] remote address dhcp client-identifier username
reset ppp access-user命令用来强制PPP用户下线。
【命令】
(独立运行模式)
reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-minimum [ vxlan-maximum ] } * } [ slot slot-number ]
(IRF模式)
reset ppp access-user { ip-address ipv4-address [ vpn-instance ipv4-vpn-instance-name ] | ipv6-address ipv6-address [ vpn-instance ipv6-vpn-instance-name ] | mac-address mac-address [ interface interface-type interface-number [ s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] ] ] | { domain domain-name | interface interface-type interface-number | ip-type { ipv4 | ipv6 | dual-stack } | pool pool-name | pool-group pool-group-name | s-vlan svlan-minimum [ svlan-maximum ] [ c-vlan cvlan-minimum [ cvlan-maximum ] ] | service-type { hsi | stb | voip } | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-type { lac | lns | pppoe } | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-minimum [ vxlan-maximum ] } * } [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ip-address ipv4-address:表示指定IPv4地址的PPP用户。ipv4-address表示用户的IPv4地址。
vpn-instance ipv4-vpn-instance-name:表示指定PPP用户所属的VPN实例。ipv4-vpn-instance-name表IPv4 示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示该用户属于公网。
ipv6-address ipv6-address:表示指定IPv6地址的PPP用户。ipv6-address表示用户的IPv6地址。
vpn-instance ipv6-vpn-instance-name:表示指定PPP用户所属的VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示该用户属于公网。
mac-address mac-address:显示指定MAC地址对应的PPP接入用户的信息,形式为H-H-H。
interface interface-type interface-number:表示指定接口接入的PPP用户。interface-type interface-number表示接口类型和接口编号。
s-vlan svlan-minimum [ svlan-maximum ]:表示通过指定服务提供商VLAN上线的在线用户。svlan-minimum和svlan-maximum表示用户所属服务提供商VLAN起始范围。VLAN取值范围为1~4094。
c-vlan cvlan-minimum [ cvlan-maximum ]:表示通过指定用户VLAN上线的在线用户。cvlan-minimum和cvlan-maximum表示用户所属用户VLAN起始范围。VLAN取值范围为1~4094。
domain domain-name:表示指定ISP域的PPP用户。domain-name表示ISP域的名称,为1~255个字符的字符串,区分大小写。
ip-type:表示指定IP类型的PPP用户。
ipv4:表示指定IP类型为IPv4用户。
ipv6:表示指定IP类型为IPv6用户。
dual-stack:表示指定IP类型为双协议栈用户。
pool pool-name:表示指定PPP地址池或DHCPv4地址池的PPP用户。pool-name表示PPP或DHCPv4地址池的名称,为1~31个字符的字符串,不区分大小写。
pool-group pool-group-name:表示指定DHCPv4地址池组的PPP用户。pool-group-name表示DHCPv4地址池组的名称,为1~31个字符的字符串,不区分大小写。
service-type:表示指定业务类型的用户。
hsi:表示HSI(High Speed Internet,高速上网)业务。
stb:表示STB(Set Top Box,机顶盒)业务。
voip:表示IP(Voice over IP,IP电话)业务。
user-address-type:表示指定用户地址类型的用户。
ds-lite:表示轻量级双栈地址。
ipv6:表示IPv6地址。
nat64:表示NAT64地址。
private-ds:表示私网双栈地址。
private-ipv4:表私网IPv4地址。
public-ds:表示公网双栈地址。
public-ipv4:表示公网IPv4地址。
user-type:表示指定类型的在线用户。
lac:表示设备作为LAC的在线用户。
lns:表示设备作为LNS的在线用户。
pppoe:表示用户类型为PPPoE的在线用户。
username user-name:表示指定用户名的PPP用户。user-name表示用户的名称,为1~80个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:表示指定VPN实例的PPP用户。vpn-instance-name表示用户接入的VPN实例名称,为1~31个字符的字符串,区分大小写。
vxlan vxlan-minimum [ vxlan-maximum ]:表示通过指定VXLAN上线的在线用户的信息。vxlan-minimum和vxlan-maximum表示用户所属VXLAN的起始范围。VXLAN取值范围为0~16777215。
slot slot-number:表示指定单板的PPP用户。slot-number表示单板所在的槽位号。如果未指定本参数,将强制所有单板的PPP用户下线。(独立运行模式)
chassis chassis-number slot slot-number:表示指定成员设备上指定单板的PPP用户。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将强制所有成员设备上所有单板的PPP用户下线。(IRF模式)
本命令仅对当前在线的用户生效。用户被强制下线后,重新连接即可再次上线。
【举例】
# 强制IP地址为192.168.100.2的PPP用户下线。
<Sysname> reset ppp access-user ip-address 192.168.100.2
# 强制地址池为aaa的PPP用户下线。
<Sysname> reset ppp access-user pool aaa
# 强制域为bbb的PPP用户下线。
<Sysname> reset ppp access-user domain bbb
# 强制接口为GigabitEthernet 3/1/1的PPP用户下线。
<Sysname> reset ppp access-user interface gigabitethernet3/1/1
【相关命令】
· display ppp access-user
reset ppp chasten blocked-user命令用来解除静默用户的静默状态。
【命令】
reset ppp chasten blocked-user [ username user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
username user-name:解除指定用户名的静默用户的静默状态,user-name表示PPP用户名,为1~336字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名为1~80字符的字符串并区分大小写,域名为1~255字符的字符串不区分大小写,并采用精确匹配,即仅解除指定认证域中用户名与user-name指定的字符串完全匹配的静默用户的静默状态。例如指定PPP用户名为abc@dm1时,表示仅解除dm1域中用户名为abc的用户的静默状态,若用户名中未指定认证域,则解除系统缺省认证域中用户名为abc的用户的静默状态。如果静默用户的用户名中含有多个@,则必须指定该静默用户所在域才可解除静默状态。如果未指定本参数,将解除所有PPP用户的静默状态。未指定本参数,将解除所有被静默用户的静默状态。
【使用指导】
缺省情况下,用户一旦达到静默条件被置于静默状态,则只能等待静默剩余老化时间超时,才能解除静默,在静默周期内设备直接丢弃来自此PPP用户的报文。
通过执行本命令可以手动解除静默用户的静默状态,用户静默状态解除后,如果设备再次收到该PPP用户的报文,则依然可以对其进行认证处理。
【举例】
# 解除认证域dm1中用户名为abc的静默用户的静默状态。
<Sysname> reset ppp chasten blocked-user username abc@dm1
# 解除缺省认证域为system中用户名为abc的静默用户的静默状态。
<Sysname> reset ppp chasten blocked-user username abc
或
<Sysname> reset ppp chasten blocked-user username abc@system
# 解除认证域dm1中用户名为abc@ppp的静默用户的静默状态。
<Sysname> reset ppp chasten blocked-user username abc@ppp@dm1
# 解除缺省认证域为system中用户名为abc@ppp的静默用户的静默状态。
<Sysname> reset ppp chasten blocked-user username abc@ppp@system
【相关命令】
· display ppp chasten statistics
· display ppp chasten user
· ppp authentication chasten
reset ppp offline-reason statistics命令用来清除PPP用户下线原因的统计信息。
【命令】
(独立运行模式)
reset ppp offline-reason statistics [ slot slot-number ]
(IRF模式)
reset ppp offline-reason statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的PPP用户下线原因统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有单板的PPP用户下线原因统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的PPP用户下线原因统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有单板的PPP用户下线原因统计信息。(IRF模式)
【举例】
# 清除指定slot的PPP用户下线原因下线原因的统计信息。
<system> reset ppp offline-reason statistics slot 1
【相关命令】
· display ppp offline-reason statistics
reset ppp packet statistics命令用来清除PPP的协商报文统计信息。
【命令】
(独立运行模式)
reset ppp packet statistics [ slot slot-number ]
(IRF模式)
reset ppp packet statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的PPP的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有单板的PPP报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的PPP的报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有成员设备上所有单板的PPP报文统计信息。(IRF模式)
【举例】
# 清除接口板Slot1上的PPP的协商报文统计信息。
<Sysname> reset ppp packet statistics slot 1
【相关命令】
· display ppp packet statistics
timer-hold命令用来配置接口发送keepalive报文的周期。
undo timer-hold命令用来恢复缺省情况。
【命令】
timer-hold seconds
undo timer-hold
【缺省情况】
虚拟PPP接口发送keepalive报文的周期为10秒;
虚拟模板接口发送keepalive报文的周期为60秒。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
seconds:接口发送keepalive报文的周期,取值范围为0~32767,单位为秒。取值为0表示不主动发送keepalive报文;当本端收到对端主动发送过来的keepalive报文时,仍可以对该keepalive报文进行应答。
【使用指导】
在速率非常低的链路上,参数seconds不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retries个(可以通过timer-hold retry命令修改该个数)keepalive周期内没有收到keepalive报文的应答,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
当需要对PPPoE用户的IPv4和IPv6流量进行分开计费时,如果PPPoE用户是通过三层聚合接口或三层聚合子接口上线,请配置该接口绑定的虚拟模板接口的keepalive报文的发送周期不小于60秒。
【举例】
# 配置虚拟模板接口10发送keepalive报文的周期为20秒。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] timer-hold 20
【相关命令】
· timer-hold retry
timer-hold retry命令用来配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路。
undo timer-hold retry命令用来恢复缺省情况。
【命令】
timer-hold retry retries
undo timer-hold retry
【缺省情况】
虚拟PPP接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路;
虚拟模板接口在3个keepalive周期内没有收到keepalive报文的应答就拆除链路。
【视图】
虚拟PPP接口视图
虚拟模板接口视图
【缺省用户角色】
network-admin
【参数】
retries:接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路,取值范围为1~255。
【使用指导】
在速率非常低的链路上,参数retries不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retries个keepalive周期之后仍然无法收到对端的keepalive报文的应答,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
【举例】
# 配置虚拟模板接口10在10个keepalive周期内没有收到keepalive报文的应答就拆除链路。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] timer-hold 20
【相关命令】
· timer-hold
trace access-user命令用来创建业务跟踪对象。
undo trace access-user命令用来删除指定的业务跟踪对象。
【命令】
trace access-user object object-id { access-mode { lns | pppoe } | calling-station-id calling-station-id | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | tunnel-id tunnel-id | username user-name } * [ aging time | output { file file-name | syslog-server server-ip-address | vty } ] *
undo trace access-user { all | object object-id }
【缺省情况】
不存在业务跟踪对象。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
object object-id:表示业务跟踪对象的编号,取值范围为1~5。
access-mode:表示基于接入模式创建跟踪对象。
· lns:表示基于L2TP接入模式下的LNS设备创建跟踪对象。
· pppoe:表示基于PPPoE接入模式创建跟踪对象。
calling-station-id calling-station-id:表示基于L2TP呼叫号码创建跟踪对象。calling-station-id表示L2TP的呼叫号码,为1~64个字符的字符串,不区分大小写,形式为H-H-H IFNAME:SVLAN.CVLAN。其中,H-H-H为用户MAC地址,IFNAME为LAC设备上用户接入接口的简称,SVLAN.CVLAN分别为用户的外层和内层VLAN ID,当用户没有VLAN信息时,SVLAN.CVLAN填充为ffff.ffff。例如,某用户MAC地址是000f-e235-dc71,LAC设备上用户接入接口为RAGG1.1,用户所属的外层和内层VLAN分别是VLAN 1和VLAN 2,则L2TP呼叫号码为000f-e235-dc71 RAGG1.1:0001.0002。
c-vlan vlan-id:表示基于内层VLAN创建跟踪对象。vlan-id表示接入用户的内层VLAN,取值范围为1~4094。
interface interface-type interface-number:表示基于接入接口创建跟踪对象。interface-type interface-number表示用户接入接口的类型和接口编号。如果指定本参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。
ip-address ip-address:表示基于用户IP地址创建跟踪对象。ip-address表示用户的IP地址。
mac-address mac-address:表示基于用户MAC地址创建跟踪对象。mac-address表示用户的MAC地址。
s-vlan vlan-id:表示基于外层VLAN创建跟踪对象。vlan-id表示接入用户的外层VLAN,取值范围为1~4094。
tunnel-id tunnel-id:表示基于L2TP隧道ID创建跟踪对象。tunnel-id表示接入用户的L2TP隧道ID,取值范围为1~65535。
username user-name:表示基于用户名创建跟踪对象。user-name表示用户的名称,为1~253
个字符的字符串,区分大小写。
aging time:指定跟踪时间,取值范围为0~60,单位为分钟,缺省值为15。跟踪时间从命令配置后开始计算,跟踪时间超时后将不再对业务对象进行跟踪。当超时时间设置为0时,表示设备将一直对业务对象进行跟踪永不超时;如需停止跟踪,可通过undo命令删除该业务跟踪对象或关闭配置该命令的VTY。
output:指定业务跟踪信息的输出位置,缺省输出到VTY监视终端。
file file-name:表示业务跟踪信息输出到设备Flash存储介质的根目录下。file-name表示业务跟踪信息在存储设备中的存储文件名,为1~63个字符的字符串,区分大小写。
syslog-server server-ip-address:表示业务跟踪信息输出到日志服务器。server-ip-address表示日志服务器的IP地址。
vty:表示业务跟踪信息输出到当前VTY监视终端。
all:表示删除所有业务追踪对象。
【使用指导】
通过创建业务追踪对象可以追踪接入用户的上下线相关信息的,通过指定不同的匹配参数,可以实现对特定用户的追踪。
使用本命令时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用本命令。
当配置输出信息到日志服务器时,请确保设备与指定的日志服务器之间路由可达并且日志服务器配置正确。
主备倒换后本命令的配置自动失效,需要重新配置。
因在LNS设备上无法获取接入用户的MAC地址和内外层VLAN信息,当设备作为LNS端时,通过本命令配置的mac-address、c-vlan或s-vlan不生效。例如:当配置access-mode lns时,同时配置mac-address、c-vlan或s-vlan,则实际效果相当于仅配置了access-mode lns。
【举例】
# 创建编号为1的业务跟踪对象。
<Sysname> system-view
[Sysname] trace access-user object 1 access-mode pppoe interface gigabitethernet 3/1/1.1 ip-address 1.1.1.2 mac-address 1-2-3 c-vlan 2 s-vlan 3
【相关命令】
· display trace access-user
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!