史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
4.1 PPP 协议基础
PPP(Point to Point Protocol)协议是在点到点链路上承载网络层数据包的一种链路层协议。由 于它能够提供用户认证、易于扩充,并且支持同/异步通信,因而获得了广泛应用。在普通 Modem 拨号,以及现在主流的 PPPoE 或 PPPoA ADSL,或者 Cable Modem WAN 接入中都要用到 PPP 协 议。在路由器中的串行接口默认运行的就是 PPP 协议,不过一般情况下不需要对串行接口进行额外 的配置。
4.1.1 PPP 协议体系结构
PPP 协议作为一种提供在点到点链路上的封装、传输网络层数据包的数据链路层协议,处于 OSI 参考模型的第二层(即数据链路层),主要被设计用来在支持全双工的异步链路上进行点到点 之间的数据传输,为在点对点连接上传输多协议数据包提供了一个标准方法。不同于 X.25(一种 分组交换协议) 、Frame Relay(FR,帧中继)等数据链路层协议。同 时, PPP 又 是一 个多 协议 成帧机 制, 适合 于在调 制解 调器 、HDLC( Hight Data Link Control,高级数据链路控制)比特序列线路、SONET(Synchronous Optical Network,同步光纤 网)和其他网络的物理层上使用。 PPP 协议由层次结构组成,如图 41 所示。PPP 通过使用底层(物理层)的功能,可以使用同 步物理介质(如 ISDN、FR)或异步电路(如拨号连接)。PPP 的高层功能是利用其 NCP 协议族在 多个网络层协议之间传递数据包。 网络层 IP、IPX、AppleTalk 协议 数据链 路层 NCP(网络控制协议) LCP(链路控制协议) 物理层 EIA/TIA232、V2.4、V3.5、ISDN 图 41 PPP 协议体系结构
PPP 高层协议包括 BCP(Bridge Control Protocol,网桥控制协议)、IPCP(Internet Protocol
Control Protocol,IP 控制协议)、IPXCP(Internetwork Prcket Exchange Control Protocol,IPX 控制协 议),更好地支持了网络层协议。在 PPP 的帧中,包含一些功能域,在这些域中用一些标准代码标 识 PPP 封装的是什么网络层协议。 PPP 协议本身主要由封装、链路控制协议(LCP)、网络控制协议族(NCPs)和用于网络安全 方面的认证协议族(PAP 和 CHAP)组成。PPP 协议的具体功能就是由这些协议提供支持的,具体 体现在如下几个方面: l 多协议数据报封装:PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技 术。PPP 封装可保持对大多数常用硬件的兼容性。 l 链路控制(LC) :PPP 提供的 LCP(链路控制协议)功能全面,适用于大多数环境。 LCP 具有就封装格式选项自动达成一致、处理数据包大小限制、探测环路链路和其他普 通的配置错误、认证链路中对等单元的身份、决定链路功能正常或链路失败情况、终止 链路等功能。 l 网络控制(NC) :PPP 协议中的 NCP(网络控制协议)是一种扩展链路控制协议,可用于
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
建立、配置、测试和管理数据链路连接。 l 网络安全认证:PPP 协议中的网络安全协议族(包括 PAP 和 CHAP)可用于为网络点对点 连接提供身份认证,确保连接安全。4.1.2 PPP 会话身份认证原理
在 PPP 的点对点通信中,可以采用 PAP 或 CHAP 身份认证方式(首选 CHAP 方式)对连接用 户进行身份认证,以防非法用户的 PPP 连接。但这些认证是可选的,而不是必须的。如果需要认 证,则发生在网络层协议配置之前,在链路层建立完成并且选择了认证协议后,通信双方就可以被 认证了。在认证阶段中,要求链路发起方在认证选项中填写认证信息,以便确认用户得到了网络管 理员的许可。在认证过程中,通信双方对等的路由器要彼此交换认证信息。 如果是采用 PAP 协议,则整个身份认证过程是两次握手认证过程,口令以明文传送。PAP 认 证过程如图 42 所示。 图 42 PAP 身份认证的两次握手 用文字描述如下: (1)被认证方发送用户名和口令到认证方,示例中是以客户(Client)端 grfwgz02 向服务器 (Server)端 grfwgz01 请求身份认证。 (2)认证方 grfwgz01 根据自己的网络用户配置信息查看是否有此用户及口令是否正确,然后 返回不同的响应(Acknowledge 或 Not Acknowledge)。(3)如果正确,则会给对端发送 ACK(应答确认)报文,通知对端已被允许进入下一阶段协 商;否则发送 NCK(不确认)报文,通知对方认证失败。但此时并不会直接将链路关闭,客户端 还可以继续尝试新的用户密码。只有当认证不通过次数达到一定值(默认为 4)时才会关闭链路, 来防止因误传、网络干扰等造成不必要的 LCP 重新协商过程。 PAP 并不是一个健全的认证协议。它的特点是,在网络上以明文的方式传递用户名及口令,如 在传输过程中被截获,便有可能对网络安全造成极大的威胁。因此它并不是一种强有效的认证方 法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护, 仅适用于对网络安全要求相对较低的环境。 如果采取 CHAP 协议进行身份认证,则需要三次握手认证协议,不直接发送口令,由主认证方 首先发起认证请求。CHAP 的安全性比 PAP 高。CHAP 身份认证的三次握手流程如图 43 所示。用 文字描述如下(同样以客户端 grfwgz02 向服务器端 grfwgz01 发送认证请求为例进行介绍): (1)当客户端要求与认证服务器连接时,并不是像 PAP 认证方式那样直接由客户端输入用户 名和密码,而首先由认证方 grfwgz01 向被认证方 grfwgz02 发送一个作为身份认证请求的随机产生 的报文,并同时将自己配置用于认证的主机名(或用户名)附带上一起发送给被认证方。 (2)被认证方得到认证方的认证请求(Challenge)后,便根据此报文中认证方的主机名(或
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 用户名)和自己的用户表查找对应用户账户口令。如在用户表中找到与认证方主机名(或用户名) 相同的用户账户,便利用接收到的随机报文和该用户的密匙以 Md5 算法生成应答(Response),随 后将应答和自己用于认证的主机名(或用户名)发送给认证服务器。 图 43 CHAP 身份认证的三次握手 (3)认证方接到此应答后,再利用对方的主机名(用户名)在自己的用户表中查找自己系统 中保留的口令字,找到后再用自己的保留口令字(密匙)和随机报文以 Md5 算法生成结果,与被 认证方应答比较。认证成功认证服务器会发送一条 ACK 报文(Success),否则会发送一条 NAK 报 文(Failure)。 CHAP 身份认证的特点是只在网络上传输用户名,而并不以明文方式直接传输用户账户口令, 因此它的安全性比 PAP 要高。CHAP 认证方式使用不同的询问消息,每个消息都是不可能预测的唯 一值,这样就可以防范再生攻击。不断询问可以被限制在一次攻击中的时间内,本地路由器可以控 制询问的频率和时间。
4.2 PPP 协议配置
路由器上的同/异步串行接口(Serial)默认封装的都是 PPP 协议,与对方的连接都是采用点对 点方式,所以默认情况下都是需要对接口上的 PPP 协议进行配置。当然并不是所有串口都要求全面 配置 PPP 协议,如大多数情况下是无需配置 PPP 会话认证的,所以一般情况下,串口都可以在没 有任何专门配置的情况下使用。仅在需要在直接连接的双方串行接口间采用 PPP 会话认证、PPP 参 数和 IP 地址协商等功能时才需要进行配置。4.2.1 PPP 协议配置基本思路
在配置 H3C 路由器的 PPP 会话过程中,整个 PPP 协议的基本配置(不介绍太复杂的配置)思 路如表 41 所示,主要包括 PPP 协议封装、PPP 会话认证、PPP 协商参数等几个方面的配置。从中 可以看出,里面没有一项是必须配置的,均为可选。 表 41 PPP 的基本配置思路 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
续表 步骤 命令 说明 Step 3 linkprotocol ppp 例如: [SysnameSerial2/0] linkprotocol ppp (可选)配置接口封装的链路层协议为 PPP。默认接口封装 的链路层协议为 PPP Step 4 timer hold seconds 例如: [SysnameSerial2/0] timer hold 20 (可选)配置轮询时间间隔。默认轮询时间间隔为 10 秒 配置 PPP PAP 会话认证,参见 4.2.2 节 Step 5 配置 PPP CHAP 会话认证,参见 4.2.3 和 4.2.4 节 (二者可选其一)默认 PPP 不进行认证 Step 6 配置 PPP 协商参数,参见 4.3 节 (可选)配置 PPP 协商参数,一般不需要配置 1.linkprotocol ppp 命令 linkprotocol ppp 接口视图命令用来配置接口封装的链路层协议为 PPP。默认除以太网接口 外,其他接口封装的链路层协议均为 PPP。所以,除以太网接口外,其他接口如果要使用 PPP 封装 的话,可以不配置此命令。 以下示例是配置接口 Serial2/0 封装的链路层协议为 PPP。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] linkprotocol ppp 2.timer hold 命令timer hold seconds 接口视图命令用来配置轮询时间间隔,轮询时间间隔指的是接口发送 keepalive 报文的周期。参数 seconds 用来指定接口发送 keepalive 报文的周期,取值范围为 0~ 32767,单位为秒。如果将轮询时间间隔配置为 0 秒,则不发送 keepalive 报文。 默认轮询时间间隔为 10 秒,可用 undo timer hold 命令恢复默认情况。 在速率非常低的链路上,参数 seconds 不能配置得过小。因为在低速链路上,大报文可能会需 要很长的时间才能传送完毕,这样就会延迟 keepalive 报文的发送与接收。而接口如果在多个 keepalive 周期之后仍然无法收到对端的 keepalive 报文,它就会认为链路发生了故障。 当接口配置了 PPP 时,链路两端设备配置的轮询时间间隔必须相等。 以下示例是配置接口 Serial2/0 的轮询时间间隔为 20 秒。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] timer hold 20
4.2.2 配置 PAP 认证
PPP 有两种认证方式:PAP 为两次握手认证,由被认证方发起,密码为明文;CHAP 为三次握 手认证,由认证方发起,密码为密文。但无论是 CHAP 还是 PAP 都只是一个认证过程,最终能否 通过认证还需要 AAA 来作决定(当然这仅是在配置了 AAA 认证的情况下)。AAA 可利用本地认 证数据库认证或由 AAA 服务器进行认证。本节介绍的是 PAP 认证方式的配置步骤。对于拨号接口的认证,建议在物理接口和 Dialer(拨号)接口上都进行配置。因为当物理接口 接收到 DCC 呼叫请求时,首先进行 PPP 协商并认证拨入用户的合法性,然后再将呼叫转交给上层 协议进行处理。
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 1.认证方的 PAP 认证配置 在 PAP PPP 会话认证配置中,主要的配置是在认证方(相当于 PPP 服务器端) ,包括:认证模 式、PAP 认证域、本地用于认证的用户账户和密码、本地用户的服务类型、本地认证方案,具体配 置步骤如表 42 所示。 表 42 认证方的 PAP 认证配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp authenticationmode pap [ [ callin ] domain ispname ] 例如: [SysnameSerial2/0] ppp authenticationmode pap domain system 配置本地认证对端的方式为 PAP。默认 PPP 协议 不进行认证 Step 4 quit 例如: [SysnameSerial2/0] quit 退回系统视图 Step 5 localuser username 例如: [Sysname] localuser user1 创建用于认证对方的本地用户(也就是对方进行 认证时所用的用户名),并进入本地用户视图 Step 6 password { cipher | simple } password 例如: [Sysnameluseruser1] password simple 123456 设置本地用户的密码 Step 7 servicetype ppp 例如: [Sysnameluseruser1] servicetype ppp 设置本地用户的服务类型为 PPP Step 8 quit 例如: [Sysnameluseruser1] quit 退回系统视图 Step 9 domain ispname 例如: [Sysname] domain test (可选)创建一个 ISP 域,或者进入已创建 ISP 域 的视图 Step 10 authentication ppp local 例如: [Sysnameispsystem]authorization ppp local (可选)配置域用户使用本地认证方案 在以上配置步骤中,涉及到几个有关 PAP 认证的命令,下面具体介绍。 (1)ppp authenticationmode 命令。
ppp authenticationmode pap [ [ callin ] domain ispname ]命令是 ppp authenticationmode { chap | pap } [ [ callin ] domain ispname ] 接口视图命令的子命令,选择了专用于 PAP 认证的选 项。它是用来配置本端 PPP 协议对对端设备的认证方式的。命令中的参数和选项说明如下: l chap:二选一选项,指定采用 CHAP 认证方式。 l pap:二选一选项,指定采用 PAP 认证方式。 l callin:可选项,表示只在远端用户呼入时才认证对方。 l domain ispname:可选项,指定用户认证采用的域名,为 1~24 个字符的字符串。 默认 PPP 协议不进行认证,可用 undo ppp authenticationmode 命令取消配置的认证方式,即 不进行认证。 【注意】如果配置时使用了域名(由 domain ispname 可选项和参数对指定) ,则使用指定域进 行认证,地址分配必须使用该域下配置的地址池(可通过 display domain 命令查看该域的配置)。 如果配置时没有配置域,则判断用户名中是否带有 domain 信息。如果用户名中带有域信息,则以
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
用户名中的域为准(若该域名不存在,则认证被拒绝);如果用户名中不带域,则使用系统默认的 域(默认域可以通过 domain default enable 系统视图命令配置,若不配置,则默认域为 system)。 以下示例是设置在接口 Serial2/0 上采用 PAP 方法认证对端设备。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp authenticationmode pap domain system (2)localuser 命令。 localuser username 系统视图命令用来添加用于本地 PPP 会话的用户账户,并进入本地用户视 图。参数 username 用来指定要删除的本地 PPP 用户名,为 1~55 个字符的字符串,区分大小写。 用户名不要携带域名,不能包括符号\、|、/、:、*、?、<、>和@,且不能为 a、al 或 all。 默认无本地 PPP 用户,可用 undo localuser username 命令删除指定的本地用户。 以下示例是添加名称为 winda 的本地 PPP 用户。 <Sysname> systemview [Sysname] localuser winda [Sysnameluseruser1] (3)password 命令。password { cipher | simple } password 本地用户视图命令用来设置本地 PPP 用户的密码。命令 中的参数和选项说明如下: l cipher:二选一选项,指定以密文方式显示密码。 l simple:二选一选项,指定以明文方式显示密码。 l password:指定设置的密码。明文密码可以是长度小于等于 63 位的连续字符串,密文密 码的长度取值为 24 或 88 位。对于 simple 方式,必须是明文密码;对于 cipher 方式,可 以是密文密码也可以是明文密码。 默认是没有配置本地 PPP 用户密码的,可用 undo password 命令取消本地用户的密码。 【 注 意 】 当 采 用 localuser passworddisplaymode cipherforce 命 令 后 , 即 使 用 户 通 过 password 命令指定密码显示方式为明文显示(即 simple 方式),密码也会显示为密文。在 cipher 方式下,长度小于等于 16 的明文密码会被加密为长度是 24 的密文,长度大于 16 且小于等于 63 的 明文密码会被加密为长度是 88 的密文。当用户输入长度为 24 的密码时,如果密码能够被系统解 密,则按密文密码处理;若不能被解密,则按明文密码处理。 以下示例是设置名称为 winda 的密码为明文显示,密码为 123456。 <Sysname> systemview [Sysname] localuser winda [Sysnameluseruser1] password simple 123456 (4)servicetype 命令。 servicetype ppp 本地用户视图命令用来设置用户可以使用的服务类型为 PPP。 默认系统不对用户授权任何服务,可用 undo servicetype ppp 命令删除用户可以使用的 PPP 服 务类型。 以下示例是指定用户 user1 可以使用 PPP 服务。 <Sysname> systemview [Sysname] localuser user1 [Sysnameluseruser1] servicetype PPP (5)domain 命令。
domain ispname 系统视图命令用来创建 ISP 域并进入其视图。参数 ispname 用来指定要创 建的 ISP 域名,为 1~24 个字符的字符串,不区分大小写,不能包括/、:、*、?、<、>、@等字 符。需要注意的是,使用此命令时,如果指定的 ISP 域不存在,系统将会创建一个新的 ISP 域, 所有的 ISP 域在创建后即处于 active 状态。另外,系统中默认存在的 ISP 域 system 不能被删除,
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 只能修改。
默认系统存在一个名称为 system 的 ISP 域,可用 undo domain 命令删除指定的 ISP 域。 以下示例是创建一个新的 ISP 域 test,并进入其视图。
<Sysname> systemview [Sysname] domain test [Sysnameisptest]
(6)authorization ppp 命令。
authentication ppp local ISP 域视图命令用来为 PPP 用户配置本地授权方案。需要注意的是, 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的;RADIUS 授权是特殊的流程, 只是在认证和授权的 RADIUS 方案相同的条件下 RADIUS 授权起作用,否则授权失败。 默认 PPP 用户采用默认的授权方案,可用 undo authorization ppp 命令恢复默认情况。 以下示例是设置在系统默认的 ISP 域 system 下为 PPP 用户配置本地授权认证方案。 <Sysname> systemview [Sysname] domain system [Sysnameispsystem]authorization ppp local 2.被认证方的 PAP 认证配置 在 PAP 认证过程中,被认证方(相当于 PPP 客户端)的配置很简单,只需要在对应的串口下 配置所使用的本地 PAP 认证用户账户和密码即可,所使用的命令是 ppp pap localuser username password { cipher | simple } password 接口视图命令。命令中的参数和选项说明如下: l username:本地设备被向采用 PAP 认证方式的对端设备发送的用户名,为 1~80 个字符的 字符串。 l simple:二选一选项,指定采用明文密码显示方式。 l cipher:二选一选项,指定采用密文密码显示方式。 l password:本地设备被向采用 PAP 认证方式的对端设备发送的密码,为 1~48 个字符。 对于 simple 方式,必须是明文密码;对于 cipher 方式,可以是密文密码,也可以是明 文密码。明文密码可以是长度小于等于 48 的连续字符串,密文密码的长度必须是 24 位 或 64 位。 所配置的用户名和密码必须与在认证方配置的本地用户名和密码一致,参见表 42 所示的配置 步骤。 默认被对端以 PAP 方式认证时,本地设备发送的用户名和密码均为空,不进行认证,可用 undo ppp pap localuser 命令取消配置的用户名和密码。 以下示例是配置本地设备被对端以 PAP 方式认证时发送的用户名为 winda,密码为 123456。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp pap localuser winda password simple 123456
4.2.3 认证方配置了用户名情形下的 CHAP 认证配置
在本章前面已经介绍了,PPP 会话 CHAP 认证分为认证方配置了认证用户名和认证方没有配置 认证用户名两种情况,所以在此也要分两种情形来介绍。本节先介绍认证方配置了执行认证用户名 的情形下的 CHAP 认证配置方法。同样需要同时配置认证方和被认证方。 1.认证方 CHAP 配置 在认证方配置了认证用户名的情形下,认证方的 CHAP 认证配置步骤如表 43 所示。对比前面 PAP 认证过程中的认证方配置步骤可以看出,两者非常类似,都是配置认证模式、本地认证用户和史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
密码、本地用户的服务类型和本地认证方案。所不同的是认证模式的选择上,此处选择的是 CHAP,而上节选择的是 PAP。 表 43 认证方配置了认证用户名时的认证方 CHAP 认证的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp authenticationmode chap [ [ callin ] domain ispname ] 例如: [SysnameSerial2/0] ppp authenticationmode chap domain test 配置本地认证对端的方式为 CHAP。默认 PPP 协议不进 行认证 Step 4 ppp chap user username 例如: [SysnameSerial2/0] ppp chap user Root 配置采用 CHAP 认证时认证方的用户名,必须与在被认证方 通过 localuser username 命令创建的本地用户名一致 Step 5 quit 例如: [SysnameSerial2/0] quit 退回系统视图 Step 6 localuser username 例如: [Sysname] localuser user1 创建用于被认证方认证的本地用户,并进入本地用户视 图。这里所创建的用户要与被认证方通过 ppp chap user username 命令配置的认证用户名一致 Step 7 password { cipher | simple } password 例如: [Sysnameluseruser1] password simple 123456 设置本地用户的密码 Step 8 servicetype ppp 例如: [Sysnameluseruser1] servicetype ppp 设置本地用户的服务类型为 PPP Step 9 quit 例如: [Sysnameluseruser1] quit 退回系统视图 Step 10 domain ispname 例如: [Sysname] domain test (可选)创建一个 ISP 域,或者进入已创建 ISP 域的视图 Step 11 authentication ppp local 例如: [Sysnameispsystem]authorization ppp local (可选)配置域用户使用本地认证方案 另外,在 CHAP 认证中是通过 ppp chap user username 命令配置本端用于 CHAP 认证的用户名(但这个用户是在对端数据库中存在的),以取代在 PAP 认证时被认证方中配置的 ppp pap local
user username password { cipher | simple } password 命令。除此之外,所有配置命令均与上节的认 证方式配置命令一样,因此不再赘述。
ppp chap user username 命令用来配置本端用于 CHAP 认证的用户名。参数 username 用来配置 CHAP 认证的用户名,为 1~80 个字符,该用户名是发送到被认证方进行 CHAP 认证时使用的用户 名。指出只有该用户才可以访问认证方(PPP 服务器)。该命令配置的用户名一定要与被认证方通 过 localuser username 命令配置的本地用户名一致。
默认 CHAP 认证的用户名为空,也就是认证方不对被认证方进行认证,可用 undo ppp chap user 命令删除已有的配置。
以下示例是配置接口 Serial2/0 进行 CHAP 认证时的用户名为 lycb。
<Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp chap user lycb
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 2.被认证方的 CHAP 认证配置 在认证方配置了认证的用户名的情形下,被认证方的 CHAP 认证配置也是要注意使用 ppp chap user username 命令配置的认证用户账户要与认证方使用 localuser username 命令配置的本地 用户名一致,具体的配置步骤如表 44 所示。因为这里的配置命令在本章前面都已做了详细介绍, 所以在此不再赘述。 表 44 认证方配置了认证用户名时的被认证方 CHAP 认证的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/1 进入指定接口的视图 Step 3 ppp chap user username 例如: [SysnameSerial2/1] ppp chap user user1 配置采用 CHAP 认证时被认证方的用户名。在认证方上使用 local user username 命令为被认证方配置的本地用户的用户名必须跟此处 配置的一致 Step 4 quit 例如: [SysnameSerial2/1] quit 退回系统视图 Step 5 localuser username 例如: [Sysname] localuser Root 为认证方创建本地用户,并进入本地用户视图。这里所创建的用户要 与认证方使用 ppp chap user username 命令配置的用户名和密码一样 Step 6 password { cipher | simple } password 例如: [Sysnameluseruser1] password simple 654321 为认证方设置本地用户的密码。这里所配置的密码要与认证方使用 ppp chap user username 命令配置的用户账户的密码一样
4.2.4 认证方没有配置用户名情形下的 CHAP 认证配置
认证方没有配置用户名也就是没有通过 ppp chap user username 命令配置进行 CHAP 认证的用 户名。此时只需要在认证方使用 localuser username 命令配置本地认证的用户名和密码。但在被认 证方要使用 ppp chap user username 命令配置进行 CHAP 认证的用户名,它与认证方使用 local user username 命令配置的本地用户一致,但无须使用 localuser username 命令配置本地用户,因为 认证方不用使用 ppp chap user username 命令配置进行 CHAP 认证的用户。另外,在被认证方还要 通过 ppp chap password { cipher | simple } password 命令配置认证用户的密码。 在认证方没有配置认证用户名的情况下,认证方的 CHAP 认证配置步骤如表 45 所示,被认证 方的 CHAP 认证配置步骤如表 46 所示。 表 45 认证方没有配置认证用户名时的认证方 CHAP 认证的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp authenticationmode chap [ [ callin ] domain ispname ] 例如: [SysnameSerial2/0] ppp authenticationmode chap domain test 配置本地认证对端的方式为 CHAP。默认 PPP 协议不进 行认证 Step 4 quit 例如: [SysnameSerial2/0] quit 退回系统视图
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
续表 步骤 命令 说明 Step 5 localuser username 例如: [Sysname] localuser user1 为被认证方创建本地用户,并进入本地用户视图 Step 6 password { cipher | simple } password 例如: [Sysnameluseruser1] password simple 123456 设置本地用户的密码 Step 7 servicetype ppp 例如: [Sysnameluseruser1] servicetype ppp 设置本地用户的服务类型为 PPP Step 8 quit 例如: [Sysnameluseruser1] quit 退回系统视图 Step 9 domain ispname 例如: [Sysname] domain test 创建一个 ISP 域,或者进入已创建 ISP 域的视图 Step 10 authentication ppp local 例如: [Sysname] authentication ppp local (可选)配置域用户使用本地认证方案 表 46 认证方没有配置认证用户名时的被认证方 CHAP 认证的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/1 进入指定接口的视图 Step 3 ppp chap user username 例如: [SysnameSerial2/1] ppp chap user user1 配置采用 CHAP 认证时被认证方的用户名。在认证方上使用 localuser username 命令为被认证方配置的本地用户的用户名必 须跟此处配置的一致 Step 4 ppp chap password { cipher | simple } password 例如: [SysnameSerial2/1] ppp chap password simple 123456 设置默认的 CHAP 认证密码。这里配置的密码一定要与认证方 使用 localuser username 命令配置的本地用户账户密码一样上述配置步骤中,除了被认证方配置 CHAP 认证用户密码的 ppp chap password { cipher | simple } password 接口视图命令外,其他均已在本章前面介绍,不再赘述。ppp chap password { cipher | simple } password 接口视图命令用来配置进行 CHAP 认证时采用的默认密码。可用 undo ppp chap password 命令取消配置的密码。命令中的参数和选项说明如下: l cipher:二选一选项,指定采用密文方式显示密码。 l simple:二选一选项,指定采用明文方式显示密码。 l password:CHAP 认证的默认密码,为 1~48 个字符的字符串。对于 simple 方式,必须是 明文密码;对于 cipher 方式,可以是密文密码也可以是明文密码。明文密码可以是长度 小于等于 48 的连续字符串,密文密码的长度必须是 24 位或 64 位。 以下示例是配置本地设备以 CHAP 方式被对端设备认证时,默认密码为 sysname 且为明文显示。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp chap password simple sysname
4.2.5 PPP PAP 单向认证配置示例
单向认证是指只由一方对另一方进行认证,这样只要求在认证方配置有被认证方所发送的认证史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 用户账户即可,当然还要在认证方配置 PAP 本地认证方式。本示例的拓扑结构如图 44 所示, Router A 和 Router B 之间用接口 Serial2/0 互连,仅要求 Router A 用 PAP 方式认证 Router B,Router B 不需要对 Router A 进行认证。 图 44 PPP 会话 PAP 认证配置示例拓扑结构 具体的配置步骤如下: (1)Router A 的配置。 1)在本地用户视图中创建用于 PPP 会话 PAP 认证的本地用户 userb,以便对方(Router B)在 输入认证用户时在本地(Router A)用户数据库中可以查到。 <RouterA> systemview [RouterA] localuser userb 2)设置本地用户 userb 的简单密码为 passb。 [RouterAluseruserb] password simple passb 3)设置本地用户 userb 的服务类型为 PPP。 [RouterAluseruserb] servicetype ppp 4)配置与 Router B 相连的 PPP 接口 serial 2/0 封装 PPP 链路层协议。 [RouterAluseruserb] quit [RouterA] interface serial 2/0 [RouterASerial2/0] linkprotocol ppp 5)配置本地认证 Router B 的方式为 PAP,域名采用系统默认的 system。 [RouterASerial2/0] ppp authenticationmode pap domain system 6)配置 Router A 的 serial 2/0 接口的 IP 地址为 200.1.1.1 255.255.0.0。 [RouterASerial2/0] ip address 200.1.1.1 16 [RouterASerial2/0] quit 7)指定 ISP 域为默认的 system 域。 [RouterA] domain system 8)配置域用户使用本地认证方案。 [RouterAispsystem] authentication ppp local (2)Router B 的配置。 1)配置与 Router A 相连的 serial 2/0 接口封装的链路层协议为 PPP。 <RouterB> systemview [RouterB] interface serial 2/0 [RouterBSerial2/0] linkprotocol ppp
2)配置本地用于被 Router A 以 PAP 方式本地认证的 PAP 用户名和密码。必须与 Router A 上 创建的本地用户账户名和密码完全一样。
[RouterBSerial2/0] ppp pap localuser userb password simple passb
3)配置与 Router A 相连的 serial 2/0 接口的 IP 地址为 200.1.1.2 255.255.0.0。这个 IP 地址必须 与 Router A 上 serial 2/0 接口的 IP 地址在同一网段。
[RouterBSerial2/0] ip address 200.1.1.2 16
认证配置结果:可通过在被认证的 Router B 上执行 display interface serial 2/0 命令查看接口的 物理层和链路层的状态和 PPP 链路层相关协议的状态来证明链路的 PPP 协商是否已经成功(注意
输出信息中的粗体字部分),并且可通过执行 Ping 命令认证 Router A 和 Router B 可以互相 ping 通
对方。执行以上两命令的输出示例如下:
[RouterBSerial2/0] display interface serial 2/0 Serial2/0 current state: UP
Line protocol current state: UP
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
The Maximum Transmit Unit is 1500, Hold timer is 10(sec) Internet Address is 200.1.1.2/16 Primary
Link layer protocol is PPP
LCP opened, IPCP opened
Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0 Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0 Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0 Interface is V35
206 packets input, 2496 bytes 206 packets output, 2492 bytes
[RouterBSerial2/0] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=103 ms Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
200.1.1.1 ping statistics 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss roundtrip min/avg/max = 1/23/103 ms
4.2.6 PPP PAP 双向认证配置示例
双向认证是指互连的双方要相互进行认证,要求双方在各自的本地用户视图中配置了对方进行 PAP 认证时所发送的用户账户,而且双方都要配置 PAP 本地认证方式。本示例的拓扑结构仍参见 图 44,Router A 和 Router B 之间用接口 Serial2/0 互连,不过此时要求 Router A 和 Router B 用 PAP 方式相互认证对方。 具体配置步骤如下: (1)Router A 的配置。 <RouterA> systemview [RouterA] localuser userb [RouterAluseruserb] password simple passb [RouterAluseruserb] servicetype ppp [RouterAluseruserb] quit [RouterA] interface serial 2/0 [RouterASerial2/0] linkprotocol ppp[RouterASerial2/0] ppp authenticationmode pap domain system
[RouterASerial2/0] ppp pap localuser usera password simple passa !配置本地被 Router B 以 PAP 方式认证时 Router A 发送的 PAP !用户名为 usera 和密码为 passa。因为这里要配置的是双向认证 [RouterASerial2/0] ip address 200.1.1.1 16
[RouterASerial2/0] quit [RouterA] domain system
[RouterAispsystem] authentication ppp local
对比上节的 Router A 配置可以看出,两者基本上一样,只是在上节 Router A 的第 5 步和第 6 步之间插入了一条配置 Router A 被 Router B PAP 认证的用户名和密码的 ppp pap localuser 命令配 置用于向 Router B 发送 PAP 认证的用户名和密码。
(2)Router B 的配置。
因为是双向 PAP 认证,所以 Router B 的配置命令与 Router A 的基本一样,不同的只是所配置 的具体参数值。具体如下:
<RouterB> systemview [RouterB] localuser usera
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 [RouterBluserusera] servicetype ppp [RouterBluserusera] quit [RouterB] interface serial 2/0 [RouterBSerial2/0] linkprotocol ppp [RouterBSerial2/0] ppp authenticationmode pap domain system [RouterBSerial2/0] ppp pap localuser userb password simple passb [RouterBSerial2/0] ip address 200.1.1.2 16 [RouterBSerial2/0] quit [RouterB] domain system [RouterBispsystem] authentication ppp local 同样可以前面提到的 display interface serial 2/0 和 ping 命令认证结果。
4.2.7 PPP CHAP 认证配置示例
本示例的拓扑结构仍参见图 44。要求设备 Router A 用 CHAP 方式认证设备 Router B,此时认 证方为 Router A,被认证方为 Router B。这里要区分认证方是否配置用户名这两种情况进行配置。 1.认证方配置用户名时以 CHAP 方式认证对端的配置方法 这种情况下的配置步骤如下: (1)Router A 的配置。 1)在本地用户视图中添加用于 PPP 会话 CHAP 认证的本地用户 userb,以便对方在输入认证 用户时在本地用户数据库中可以查到,只有这样才能进行用户认证。 <RouterA> systemview [RouterA] localuser userb 2)为对端设置本地用户 userb 的简单密码为 hello。 [RouterAluseruserb] password simple hello 3)设置本地用户 userb 的服务类型为 PPP。 [RouterAluseruserb] servicetype ppp 4)配置与 Router B 相连的 PPP 接口 serial 2/0 封装 PPP 链路层协议。 [RouterAluseruserb] quit [RouterA] interface serial 2/0 [RouterASerial2/0] linkprotocol ppp5)配置采用 CHAP 认证时 Router A 的用户名为 usera。它要与对方(Router B)上用 local user 命令配置的用户名和密码一样,是随质询报文一起发送到对端的认证用户名。 [RouterASerial2/0] ppp chap user usera 6)配置本地认证 Router B 的方式为 CHAP,域名采用系统默认的 system。 [RouterASerial2/0] ppp authenticationmode chap domain system 7)配置 Router A 的 serial 2/0 接口的 IP 地址为 200.1.1.1 255.255.0.0。 [RouterASerial2/0] ip address 200.1.1.1 16 [RouterASerial2/0] quit 8)创建名为 system 的 ISP 域。 [RouterA] domain system 9)配置域用户使用本地认证方案。 [RouterAispsystem] authentication ppp local (2)Router B 的配置。
Router B 的 CHAP 认证配置步骤与 Router A 的类似,只是不用配置本地认证方式,因为这里 配置的是单向 CHAP 认证。但在 Router B 上要配置本地用户账户和密码,而且必须与 Router A 在 使用 ppp chap user username 命令时所配置的用户账户名一样,当然密码也要求一样。
<RouterB> systemview
[RouterB] localuser usera !如果没有此命令,则本端不能认证对方是否有权力进行 CHAP 认证 [RouterBluserusera] password simple hello
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
[RouterBluserusera] servicetype ppp [RouterBluserusera] quit [RouterB] interface serial 2/0 [RouterBSerial2/0] linkprotocol ppp[RouterBSerial2/0] ppp chap user userb !这是本端被认证方认证的用户名,与认证方通过 localuser 命令配置的本地用户名和 !密码一致 [RouterBSerial2/0] ip address 200.1.1.2 16 2.认证方没有配置用户名时以 CHAP 方式认证对端的配置方法 在这种情况下,认证方 Router A 的配置与前面认证配置了用户名情况下的配置唯一区别就是没 有使用 ppp chap user username 命令指定认证时的用户名。 <RouterA> systemview [RouterA] localuser userb [RouterAluseruserb] password simple hello [RouterAluseruserb] servicetype ppp [RouterAluseruserb] quit [RouterA] interface serial 2/0 [RouterASerial2/0] ppp authenticationmode chap domain system [RouterASerial2/0] ip address 200.1.1.1 16 [RouterASerial2/0] quit [RouterA] domain system [RouterAispsystem] authentication ppp local 此时 Router B 的配置更简单了,只需要配置用于进行 CHAP 认证时所发送的本地用户名和密 码,然后配置接口 IP 地址即可。具体如下: (1)配置采用 CHAP 认证时 Router B 的用户名。 <RouterB> systemview [RouterB] interface serial 2/0 [RouterBSerial2/0] ppp chap user userb (2)设置 userb 用户的 CHAP 认证密码。 [RouterBSerial2/0] ppp chap password simple hello (3)配置接口的 IP 地址。 [RouterBSerial2/0] ip address 200.1.1.2 16
同样可以通过 display interface serial 2/0 命令查看接口的物理层和链路层状态,并且可以通过 执行 ping 命令认证 Router A 和 Router B 可以互相 ping 通对方。
4.3 PPP 协商参数配置
本节所介绍的配置内容均为可选配置,主要介绍协商超时时间间隔、协商 IP 地址和协商 DNS 地址这三个方面常用的协商参数配置。其他还可以配置诸如 ACCM(AsyncControlCharacter Maps,异步控制字符映射表)、ACFC(AddressandControlFieldCompression,地址控制字段压 缩)和 PFC(ProtocolFieldCompression,协议字段压缩)协商参数,本节不作介绍。4.3.1 配置协商超时时间间隔
在 PPP 协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则 PPP 将会重发前一 次发送的报文。超时时间间隔可选范围为 1~10 秒。具体配置步骤如表 47 所示。在以上的配置步骤中,ppp timer negotiate seconds 接口视图配置命令用来配置 PPP 协商超时 时间间隔。参数 seconds 用来指定协商超时时间间隔,取值范围为 1~10 秒。在 PPP 协商过程中, 如果在这个时间间隔内没有收到对端的应答报文,则 PPP 将会重发前一次发送的报文。
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 表 47 协商超时时间间隔的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp timer negotiate seconds 例如: [SysnameSerial2/0] ppp timer negotiate 5 配置协商超时时间间隔。默认协商超时时间间隔为 3 秒 默认 PPP 协商超时时间间隔为 3 秒,可用 undo ppp timer negotiate 命令恢复默认情况。 以下示例是配置 PPP 协商超时时间间隔为 5 秒。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp timer negotiate 5
4.3.2 配置协商 IP 地址
在 PPP 会话中,协商 IP 地址的方式有两种: l 配置路由器作为 Client 端:若本端接口封装的链路层协议为 PPP,但还未配置 IP 地址, 而对端已有 IP 地址时,可为本端接口配置 IP 地址协商属性,使本端接口接受 PPP 协商产 生的由对端分配的 IP 地址。该配置主要用于在通过 ISP 访问 Internet 时,得到由 ISP 分配 的 IP 地址。 l 配置路由器作为 Server 端:若路由器是作为 Server 为对端设备分配 IP 地址,则应首先在 域视图或系统视图下配置本地 IP 地址池,指明地址池的地址范围,然后在接口视图下指 定该接口使用的地址池。 1.配置路由器作为客户端 如果路由器是作为 PPP 会话 Client 端,则 IP 地址的协商配置步骤如表 48 所示。 表 48 Client 端的 IP 地址协商配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ip address pppnegotiate 例如: [SysnameSerial2/0] ip address pppnegotiate 设置接口 IP 地址可协商属性 ip address pppnegotiate 接口视图命令用来为本端接口配置 IP 地址可协商属性,使本端接口接 受 PPP 协商产生的由对端分配的 IP 地址。默认本端接口没有配置 IP 地址可协商属性,可用 undo ip address pppnegotiate 命令取消为本 端接口配置 IP 地址可协商属性。
以下示例是为接口 Serial2/0 配置 IP 地址可协商属性。
<Sysname> systemview [Sysname] interface serial 2/0
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
[SysnameSerial2/0] ip address pppnegotiate 2.为不需要 PPP 认证的用户配置路由器作为服务器端 如果路由器是作为 PPP 会话服务器端,则进行 IP 地址协商时又要根据是否要进行 PPP 会话认 证来区别配置。对于不需要进行认证的 PPP 用户,Server 端的配置方式如表 49 所示。 表 49 对于不需要进行认证的 PPP 用户的 Server 端 IP 地址协商的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 ip pool poolnumber lowipaddress [ highipaddress ] 例如: [Sysnameisptest] ip pool 0 129.102.0.1 129.102.0.10 定义 IP 地址池 Step 3 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入要分配 IP 地址的接口 Step 4 remote address pool [ poolnumber ] 或 remote address ipaddress 例如: [SysnameSerial2/0] remote address pool 0 或 [SysnameSerial2/0] remote address 129.102.0.8 在接口上使用全局地址池给 PPP 用户分配 IP 地址,或者 直接为对端指定 IP 地址。当配置了“remote address pool” 命令,但没有指定地址池号时,默认使用 0 号全局地址池(1)ip pool 命令。
ip pool poolnumber lowipaddress [ highipaddress ]系统视图/ISP 域视图命令用来定义为 PPP 用户分配 IP 地址的地址池。命令中的参数说明如下:
l poolnumber:地址池编号,取值范围为 0~99。
l lowipaddress 和 highipaddress:分别为地址池的起始和结束 IP 地址。一个地址池中起始
IP 地址和结束 IP 地址之间的地址数不能超过 1024。如果在定义 IP 地址池时不指定结束 IP 地址,则该地址池中只有一个 IP 地址,即起始 IP 地址。 在 ISP 域视图下,配置的 IP 地址池用于为相应的 ISP 域的 PPP 用户分配 IP 地址。这主要用于 通过某接口接入的 PPP 用户较多,而接口所能分配的地址不够用的情况。例如,运行 PPPoE 协议 的 Ethernet 接口最多可以接入 4096 个用户,但在该 Ethernet 接口的 Virtual Template 上只能配置一 个地址池,而一个地址池最多只有 1024 个地址,这显然不能满足要求。通过配置 ISP 域的地址池 可以为 ISP 的 PPP 用户分配地址,从而解决接口地址池中地址不够的问题。 默认没有定义为 PPP 用户分配 IP 地址的地址池,可用 undo ip pool 命令删除指定的 IP 地址池。 以下示例是配置 IP 地址池 0,地址范围为 129.102.0.1~129.102.0.10。 <Sysname> systemview [Sysnameisptest] ip pool 0 129.102.0.1 129.102.0.10 (2)remote address 命令。 remote address { ipaddress | pool [ poolnumber ] }接口视图命令用来配置为对端接口分配 IP 地 址。其实它可以分成上述步骤中第 4 步中的两条命令。命令中的参数说明如下: l ipaddress:二选一参数,为对端分配的 IP 地址。
l pool [ poolnumber ]:二选一参数,为对端分配 IP 地址使用的地址池。poolnumber 用来 指定地址池号,即将地址池 poolnumber 中的一个 IP 地址分配给对端,取值范围为 0~ 99,默认值是 0。
当对端接口还未配置 IP 地址而本端设备已经有了 IP 地址时,可以配置本端设备为对端接口分 配 IP 地址。这时,需要在对端设备上配置 ip address pppnegotiate 命令,在本端设备上配置
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 remote address 命令,使对端接口接受由 PPP 协商产生分配的 IP 地址。
默认接口不为对端分配 IP 地址,可用 undo remote address 命令取消为对端接口分配 IP 地址。 【说明】该命令不具有地址分配的强制性,即在配置该命令后也允许对端自行配置 IP 地址; 如果不希望(或不允许)对端自行配置 IP 地址,则必须再配置 ppp ipcp remoteaddress forced 命 令,这将在本节后面介绍。
直接给对端分配 IP 地址或从全局地址池中给对端分配 IP 地址后,不能配置 remote address 和 undo remote address 命令了,只有当此 IP 地址被释放后才能进行配置,建议用户可以对此接口进 行 shutdown 操作以释放 IP 地址,之后再执行这两条命令;通过 AAA 认证从指定域的地址池中给 对端分配 IP 地址后,可以配置这两条命令,但是已经为对端分配的 IP 地址仍然可以正常使用,新 的 PPP 接入采用新的配置分配 IP 地址。 该命令不即时生效,需要等到下一次 IPCP 协商时才会根据此配置进行协商。建议在配置此应 用时先配置 remote address 命令,然后再配置 ip address 命令,使得配置能够生效。 以下示例是配置接口 Serial2/0 为对端分配的 IP 地址为 10.0.0.1。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] remote address 10.0.0.1 (3)为需要 PPP 认证的用户配置路由器作为 Server 端。 对于需要进行认证的 PPP 用户,Server 端的配置方式如表 410 所示,定义地址池所使用的域 就是配置进行 PPP 认证时指定的域。 表 410 对于需要进行认证的 PPP 用户的 Server 端 IP 地址协商的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 domain domainname 例如: [Sysname] domain test 进入指定的域视图 Step 3 ip pool poolnumber lowipaddress [ highipaddress ] 例如: [Sysnameisptest] ip pool 0 129.102.0.1 129.102.0.10 定义域地址池 Step 4 quit 例如: [Sysnameisptest] quit 退回系统视图 Step 5 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 6 remote address pool [ poolnumber ] 例如: [SysnameSerial2/0] remote address pool 0 使用域地址池给 PPP 用户分配 IP 地址。若配置该命令时不指定 poolnumber,则在 IP 地址协商时依次使用该域下的地址池给用户 分配 IP 地址 Step 7 ppp ipcp remoteaddress forced 例如: [SysnameSerial2/0] ppp ipcp remoteaddress forced (可选)配置 PPP IPCP 不允许对端使用自行配置的固定 IP 地址。 默认 PPP IPCP 的 IP 地址协商情况为本端不具有地址分配的强制 性,即设备本端允许对端自行配置地址。当对端明确请求本端分配 地址时,本端给对端分配地址;若对端已自行配置 IP 地址时,本 端不再强行给对端分配地址 以上配置步骤中,大多数命令均已在本章前面作了详细介绍,只有 ppp ipcp remoteaddress forced 接口视图命令没有介绍。它是用来使设备为对端分配 IP 地址时具有强制性,不允许对端使 用自行配置的 IP 地址。 默认在 PPP 的 IPCP 协商阶段进行 IP 地址协商时,IP 地址协商情况为本端不具有地址分配的强 制性,即本端设备允许对端自行配置 IP 地址。当对端明确请求本端分配 IP 地址时,本端给对端分配
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
IP 地址;若对端已自行配置 IP 地址时,本端不再强行给对端分配 IP 地址。可用 undo ppp ipcp remoteaddress forced 命令取消这种强制性,允许对端使用自行配置的 IP 地址。在不允许对端自行 指定 IP 地址的情况下,设备本端接口下一定要配置 ppp ipcp remoteaddress forced 命令。
以下示例是设置接口 Serial2/0 准备为对端分配的 IP 地址为 10.0.0.1。此时,对端必须接收这个 IP 地址,不允许对端自行配置 IP 地址或不配置 IP 地址。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] remote address 10.0.0.1 [SysnameSerial2/0] ppp ipcp remoteaddress forced
4.3.3 配置协商 DNS 服务器地址
路由器在进行 IP 地址协商的过程中可以进行 DNS 地址协商,此时路由器既可以被配置为 DNS 客户端,接收对端分配的 DNS 地址,也可以配置为 DNS 服务器端,为对端提供 DNS 地址。一般 情况下,当 PC 与路由器通过 PPP 协议相连时,路由器应为 PC 机指定 DNS 地址,这样 PC 就可以 通过域名直接访问 Internet;当路由器通过 PPP 协议连接运营商的接入服务器时,路由器应配置为 被动接收或主动向 ISP 接入服务器请求 DNS 地址,这样路由器就可以使用接入服务器分配的 DNS 来解析域名。 当路由器担当 DNS 地址分配客户端时的配置步骤如表 411 所示。 表 411 路由器担当 DNS 地址分配客户端时的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp ipcp dns request 例如: [SysnameSerial2/0] ppp ipcp dns request 配置路由器主动请求对端指定 DNS 地址。默认禁止路由器主动向对端 请求 DNS 服务器地址 Step 4 ppp ipcp dns admitany 例如: [SysnameSerial2/0] ppp ipcp dns admitany (可选)配置路由器被动地接收对端指定的 DNS 服务器地址。默认路 由器不会被动地接收对端设备指定的 DNS 服务器的 IP 地址 1.ppp ipcp dns request 命令 ppp ipcp dns request 接口视图命令用来配置设备可以主动向对端请求 DNS 服务器地址。当路 由器通过 PPP 协议与其他设备相连时(通常为路由器拨号连接运营商的接入服务器),通过协商, 路由器可以主动请求对端指定 DNS 地址,这样设备就可以使用对端设备指定的 DNS 来解析域名。默认禁止设备主动向对端请求 DNS 服务器地址,可用 undo ppp ipcp dns request 命令恢复默 认情况。 以下示例是配置 Serial2/0 接口主动请求 DNS 服务器地址。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp ipcp dns request 2.ppp ipcp dns admitany 命令 ppp ipcp dns admitany 接口视图命令用来配置设备可以被动地接收对端设备指定的 DNS 服务 器的 IP 地址,即设备不发送 DNS 请求也能接收对端设备分配的 DNS 服务器的 IP 地址。当路由器
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 通过 PPP 协议与其他设备相连时,通过协商,路由器可以被动地接收对端设备指定的 DNS 服务器 地址,这样路由器就可以使用对端设备指定的 DNS 服务器来解析域名。
默认设备不会被动地接收对端设备指定的 DNS 服务器的 IP 地址,可用 undo ppp ipcp dns admitany 命令禁止设备被动地接收对端设备指定的 DNS 服务器的 IP 地址。 【注意】在配置此命令之前必须配置 ppp ipcp dns request 命令。 以下示例是配置本地设备的 Serial2/0 接口可以被动地接收对端指定的 DNS 服务器地址。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp ipcp dns request [SysnameSerial2/0] ppp ipcp dns admitany 如果要配置路由器为对端设备指定 DNS 服务器地址,则需要按如表 412 所示的步骤进行配置。 表 412 路由器担当 DNS 地址分配服务器端的配置步骤 步骤 命令 说明 Step 1 systemview 例如: <Sysname> systemview 进入系统视图 Step 2 interface interfacetype interfacenumber 例如: [Sysname] interface serial 2/0 进入指定接口的视图 Step 3 ppp ipcp dns primarydnsaddress [ secondarydnsaddress ] 例如: [SysnameSerial2/0] ppp ipcp dns 100.1.1.1 100.1.1.2 使路由器为对端设备指定 DNS 服务器地址。默认路由器不为 对端设备指定 DNS 服务器的 IP 地址 以上配置步骤中的 ppp ipcp dns primarydnsaddress [ secondarydnsaddress ]接口视图命令用来 配置路由器为对端设备指定 DNS 服务器 IP 地址。参数 primarydnsaddress 用来指定主 DNS 服务 器的 IP 地址,参数 secondarydnsaddress 用来指定从 DNS 服务器的 IP 地址。 当设备之间通过 PPP 协议相连时,通过协商,路由器可以为对端 PC 设备指定 DNS 服务器的 IP 地址(但需要等待对端请求,不会主动给对端指定 DNS 的地址)。这样,对端 PC 机就可以通过 域名直接访问网络。如果 PC 与路由器通过 PPP 协议相连时,用户可以在 PC 上使用命令 winipcfg 或 ipconfig /all 来查看路由器为其提供的 DNS 服务器的 IP 地址。路由器可以为对端设备提供主 DNS 和从 DNS 两个服务器的 IP 地址。
默认设备不为对端设备指定 DNS 服务器的 IP 地址,可用 undo ppp ipcp dns primarydns
address [ secondarydnsaddress ]命令禁止设备为对端设备指定 DNS 服务器的 IP 地址。 以下示例是配置路由器为对端设备分配的主 DNS 服务器的 IP 地址为 100.1.1.1,从 DNS 服务 器的 IP 地址为 100.1.1.2。 <Sysname> systemview [Sysname] interface serial 2/0 [SysnameSerial2/0] ppp ipcp dns 100.1.1.1 100.1.1.2
4.3.4 PPP 协商 IP 地址配置示例
本示例的网络拓扑结构如图 45 所示。Router A 通过 PPP 协商,为对端设备 Router B 的接口 Serial2/0 分配 IP 地址。 图 45 PPP 协商 IP 地址配置示例拓扑结构 Router A Router B S2/0 200.1.1.1/16 S2/0史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册
第 4 章 WAN 接入配置与管理
具体的配置步骤如下: (1)Router A 的配置。 1)创建用于为对端分配 IP 地址的本地 IP 地址池。 <RouterA> systemview [RouterA] ip pool 1 200.1.1.10 200.1.1.20 2)配置接口 Serial2/0 的 IP 地址。 [RouterA] interface serial 2/0 [RouterASerial2/0] ip address 200.1.1.1 255.255.255.0 3)配置为对端接口在所创建的 IP 地址池中分配 IP 地址。 [RouterASerial2/0] remote address pool 1 (2)Router B 的配置。 1)在接口 Serial2/0 启用通过协商获取 IP 地址。 <RouterB> systemview [RouterB] interface serial 2/0 [RouterBSerial2/0] ip address pppnegotiate2)配置完成后,通过 display brief interface serial 2/0 命令查看接口 Serial2/0 的摘要信息。可 以看到接口链路层协议已激活,并且已获得 IP 地址(注意输出信息中的粗体字部分)。
[RouterBSerial2/0] display brief interface serial 2/0 The brief information of interface(s) under route mode:
Interface Link Protocollink Protocol type Main IP
S2/0 UP UP PPP 200.1.1.10
3)此时可以通过 ping 命令认证配置结果,具体如下,证明可成功 ping 通了(注意输出信息中
的粗体字部分)。
[RouterB] ping 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=255 time=4 ms Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=255 time=4 ms Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=255 time=4 ms
200.1.1.1 ping statistics 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss roundtrip min/avg/max = 1/4/10 ms
4.4 MP 配置
MP(MultiLink PPP,多链路 PPP)可以将多个 PPP 链路捆绑使用,以增加链路带宽。MP 会 将报文分片(小于最小分片包长时不分片)后,从 MP 链路下的多个 PPP 通道发送到 PPP 对端, 对端将这些分片组装起来递给网络层。MP 的作用主要有:增加带宽、负载分担、备份、利用分片 降低时延。这样可以大大提高点对点数据传输效率。4.4.1 MP 的实现方式和协商过程
MP 能在任何支持 PPP 封装的接口下工作,如串口(Serial)、ISDN 的 BRI/PRI 接口等,也包
括 PPPoX(PPPoE、PPPoA、PPPoFR 等)这类虚拟接口,建议用户尽可能将同一类的接口捆绑使 用,不要将不同类的接口捆绑使用。
史 上 最 “ 牛 ” 的 H 3C 路 由 器 配 置 与 管 理 手 册 1.MP 的实现方式 MP 的配置主要有两种方式: (1)通过虚拟模板(VirtualTemplate,VT)接口,VT 是用于配置一个虚拟访问(Virtual Access,VA)接口的模板,将多个 PPP 链路捆绑成 MP 之后,需要创建一个 VA 接口与对端交换数 据。此时,系统将选择一个 VT,以便动态地创建一个 VA。 (2)利用 MPgroup 接口。MPgroup 是多个物理接口绑定,然后通过 PPP 点到点协议和对端 端口建立连接。 这两种配置方式的主要区别在于: l VT 接口方式可以与认证相结合,也可以根据对端的用户名找到指定的虚拟模板接口,从 而利用模板上的配置创建相应的捆绑(Bundle,系统中用 VT 通道来表示),以对应一条 MP 链路。 l 一个 VT 接口还可以派出若干个捆绑,每个捆绑对应一条 MP 链路。那么这样一来,从网 络层来看,这若干条 MP 链路会形成一个点对多点的网络拓扑。为区分 VT 接口派生出的 多个捆绑,需要指定捆绑方式,系统在虚拟模板接口视图下提供了 ppp mp bindingmode 命令来指定绑定方式,绑定方式有 authentication、both、descriptor 三种,默认是 both。 authentication 是根据认证用户名捆绑,descriptor 是根据终端描述符捆绑(LCP 协商时, 会协商出这个选项值),both 是要同时参考这两个值捆绑。 l MPgroup 接口与虚拟模板接口相比则单纯许多,它是 MP 的专用接口,不能支持其他应 用,也不能利用对端的用户名来指定捆绑,同时也不能派生多个捆绑。但正因为它的简 单,导致了它的快速高效、配置简单、容易理解。 2.协商过程 MP 协商包括 LCP 和 NCP 两个协商过程。LCP 协商是首先进行的,除协商一般的 LCP 参数外, 还认证对端接口是否也工作在 MP 方式下,如果两端工作方式不同,LCP 协商不成功。NCP 协商是在 LCP 协商成功后进行的,根据 MPgroup 接口或指定虚拟接口模板的各项 NCP 参数(如 IP 地址等)进 行 NCP 协商,但物理接口配置的 NCP 参数不起作用。NCP 协商通过后,即可建立 MP 链路。
