01-PPP命令
本章节下载: 01-PPP命令 (157.79 KB)
【命令】
ip address ppp-negotiate
undo ip address ppp-negotiate
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ip address ppp-negotiate命令用来为本端接口配置IP地址可协商属性,使本端接口接受PPP协商产生的由对端分配的IP地址。undo ip address ppp-negotiate命令用来取消为本端接口配置IP地址可协商属性。
缺省情况下,本端接口没有配置IP地址可协商属性。
相关配置可参考命令remote address和ppp ipcp remote-address forced。
【举例】
# 为接口Pos 3/1/1配置IP地址可协商属性。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ip address ppp-negotiate
【命令】
ip pool pool-number low-ip-address [ high-ip-address ]
undo ip pool pool-number
【视图】
系统视图/ISP域视图
【缺省级别】
2:系统级
【参数】
pool-number:地址池编号,取值范围为0~99。
low-ip-address和high-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【描述】
ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。
缺省情况下,没有定义为PPP用户分配IP地址的地址池。
需要注意的是:
· 在系统视图下配置的IP地址池用于为不需要进行认证的PPP用户分配IP地址。通过在指定的接口视图下配置命令remote address,来为该接口指定可用于为对端PPP用户分配的IP地址池。
· 在ISP域视图下配置的IP地址池用于为需要在指定ISP域中进行认证的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。
相关配置可参考命令remote address。
【举例】
# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] ip pool 0 129.102.0.1 129.102.0.10
【命令】
link-protocol ppp
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
link-protocol ppp命令用来配置接口封装的链路层协议为PPP。
【举例】
# 配置接口Pos 3/1/1封装的链路层协议为PPP。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] link-protocol ppp
【命令】
ppp authentication-mode { chap | ms-chap | ms-chap-v2 | pap } * [ [ call-in ] domain isp-name ]
undo ppp authentication-mode
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
chap:采用CHAP验证方式。
ms-chap:采用MS-CHAP验证方式。
ms-chap-v2:采用MS-CHAP-V2验证方式。
pap:采用PAP验证方式。
call-in:表示只在远端用户呼入时才验证对方。
domain isp-name:表示用户认证采用的域名,为1~24个字符的字符串。
【描述】
ppp authentication-mode命令用来配置本端PPP协议对对端设备的验证方式。undo ppp authentication-mode命令用来取消配置的验证方式,即不进行验证。
缺省情况下,PPP协议不进行验证。
需要注意的是:
· 如果配置时指定了domain,则使用指定域进行认证,地址分配必须使用该域下配置的地址池(通过display domain命令可以查看该域的配置)。
· 如果配置时没有指定domain,则判断用户名中是否带有domain信息。如果用户名中带有domain信息,则以用户名中的domain为准(若该domain名不存在,则认证被拒绝);如果用户名中不带domain,则使用系统缺省的域(缺省域可以通过命令domain default配置,若不配置,则缺省域为system)。
PPP有以下几种验证方式:
· PAP为两次握手验证,口令为明文。
· CHAP为三次握手验证,口令为密文。
· MS-CHAP为微软CHAP认证,是三次握手验证,口令为密文。
· MS-CHAP-V2为微软CHAP V2认证,是三次握手验证,口令为密文。
用户可以同时配置上面的多种验证方式,另外可以采用已经定义的AAA验证方法表进行验证。
上述任何一种验证方式,只是一种验证过程,最终能否通过验证,还需要AAA来作决定,AAA可以利用本地验证数据库验证或由AAA服务器进行验证。
关于创建本地用户以及配置本地用户属性、创建域以及配置域的属性的详细说明,请参见“安全配置指导”中的“AAA”。
相关配置可参考命令ppp chap user、ppp pap local-user、ppp chap password以及“安全命令参考/AAA”中的命令local-user和domain default enable。
【举例】
# 在接口Pos 3/1/1上,采用PAP方法验证对端设备。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ppp authentication-mode pap domain system
【命令】
ppp chap password { cipher | simple } password
undo ppp chap password
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
cipher:表示密码为密文显示。
simple:表示密码为明文显示。
password:CHAP验证的缺省口令,为1~48个字符的字符串。对于simple方式,password必须是明文密码;对于cipher方式,password可以是密文密码也可以是明文密码。明文密码可以是长度小于等于16的连续字符串,如:aabbcc。密文密码的长度可以是24位或64位,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
ppp chap password命令用来配置进行CHAP验证时采用的缺省口令。undo ppp chap password命令用来取消配置的口令。
相关配置可参考命令ppp authentication-mode chap。
【举例】
# 配置本地设备以CHAP方式被对端设备验证时,缺省口令为sysname且为明文显示。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ppp chap password simple sysname
【命令】
ppp chap user username
undo ppp chap user
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
username:CHAP验证用户名,为1~80个字符的字符串,该用户名是发送到对端设备进行CHAP验证时使用的用户名。
【描述】
ppp chap user命令用来配置采用CHAP认证时的用户名。undo ppp chap user命令用来删除已有的配置。
缺省情况下,CHAP认证的用户名为空。
配置CHAP验证时,要将各自的username配置为对端的local-user,而且对应的password要一致。
相关配置可参考命令ppp authentication-mode。
【举例】
# 配置接口Pos3/1/1进行CHAP验证时的用户名为Root。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ppp chap user Root
【命令】
ppp ipcp remote-address forced
undo ppp ipcp remote-address forced
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp ipcp remote-address forced命令用来使设备为对端分配IP地址时具有强制性,不允许对端使用自行配置的IP地址。undo ppp ipcp remote-address forced命令用来取消这种强制性,允许对端使用自行配置的IP地址。
缺省情况下,在PPP的IPCP协商阶段进行IP地址协商时,IP地址协商情况为本端不具有地址分配的强制性,即本端设备允许对端自行配置IP地址。当对端明确请求本端分配IP地址时,本端给对端分配IP地址;若对端已自行配置IP地址时,本端不再强行给对端分配IP地址。在不允许对端自行指定IP地址的情况下,设备本端接口下一定要配置ppp ipcp remote-address forced命令。
相关配置可参考命令remote address。
【举例】
# 接口Pos3/1/1准备为对端分配的IP地址为10.0.0.1。此时,对端可以接收这个分配的地址,也可以自行配置IP地址或不配置IP地址。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] remote address 10.0.0.1
# 接口Pos3/1/1准备为对端分配的IP地址为10.0.0.1。此时,对端必须接收这个IP地址,不允许对端自行配置IP地址或不配置IP地址。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] remote address 10.0.0.1
[Sysname-Pos3/1/1] ppp ipcp remote-address forced
【命令】
ppp pap local-user username password { cipher | simple } password
undo ppp pap local-user
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
username:本地设备被对端设备采用PAP方式验证时发送的用户名,为1~80个字符的字符串。
simple:表示密码为明文显示。
cipher:表示密码为密文显示。
password:本地设备被对端设备采用PAP方式验证时发送的口令,为1~48个字符的字符串。对于simple方式,password必须是明文密码;对于cipher方式,password可以是密文密码也可以是明文密码。明文密码可以是长度小于等于48的连续字符串,如:aabbcc。密文密码的长度必须是24位,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
ppp pap local-user命令用来配置本地设备被对端设备采用PAP方式验证时发送的用户名和口令。undo ppp pap local-user命令用来取消配置的用户名和口令。
缺省情况下,被对端以PAP方式验证时,本地设备发送的用户名和口令均为空。
当本地设备被对端以PAP方式验证时,本地设备发送的用户名username和口令password应与对端设备的username(通过命令local-user username配置)和password(通过命令password { cipher | simple } password配置)一致。
相关配置可参考“安全命令参考/AAA”中的命令local-user和password。
【举例】
# 配置本地设备被对端以PAP方式验证时发送的用户名为user1,口令为pass1。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ppp pap local-user user1 password simple pass1
【命令】
ppp timer negotiate seconds
undo ppp timer negotiate
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
seconds:协商超时时间间隔,取值范围为1~10,单位为秒。在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。
【描述】
ppp timer negotiate命令用来配置PPP协商超时时间间隔。undo ppp timer negotiate命令用来恢复缺省情况。
缺省情况下,PPP协商超时时间间隔为3秒。
【举例】
# 配置PPP协商超时时间间隔为5秒。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] ppp timer negotiate 5
【命令】
remote address { ip-address | pool [ pool-number ] }
undo remote address
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
ip-address:为对端分配的IP地址。
pool [ pool-number ]:为对端分配IP地址使用的地址池。pool-number用来指定地址池号,即将地址池pool-number中的一个IP地址分配给对端。取值范围为0~99,缺省值是0。
【描述】
remote address命令用来配置为对端分配IP地址。undo remote address命令用来取消为对端接口分配IP地址。
缺省情况下,接口不为对端分配IP地址。
当对端接口还未配置IP地址而本端设备已经有IP地址时,可配置本端设备为对端接口分配IP地址。这时,需要在对端设备上配置ip address ppp-negotiate命令,在本端设备上配置remote address命令,使对端接口接受由PPP协商分配的IP地址。
· 该命令不具有地址分配的强制性,即在配置该命令后,也允许对端自行配置IP地址;如不希望(或不允许)对端自行配置IP地址,必须再配置ppp ipcp remote-address forced。
· 直接给对端分配IP地址或从全局地址池中给对端分配IP地址后,不能配置remote address/undo remote address命令,只有当此IP地址被释放后才能够进行配置,建议用户可以对此接口进行shutdown操作以释放IP地址,之后再执行remote address/undo remote address命令;通过AAA认证从指定域的地址池中给对端分配IP地址后,可以配置remote address/undo remote address命令,但是已经为对端分配的IP地址仍然可以正常使用,新的PPP接入采用新的配置分配IP地址。
· 该命令不能即时生效,需要等到下一次IPCP协商时,才会根据此配置进行协商。建议在配置此应用时先配置 remote address命令,然后再配置 ip address命令,使得配置能够生效。
相关配置可参考命令ip address ppp-negotiate和ppp ipcp remote-address forced。
【举例】
# 接口Pos3/1/1为对端分配的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
[Sysname-Pos3/1/1] remote address 10.0.0.1
【命令】
timer hold seconds
undo timer hold
【视图】
POS接口视图
【缺省级别】
2:系统级
【参数】
seconds:接口发送keepalive报文的周期,取值范围为0~32767,单位为秒。
【描述】
timer hold命令用来配置轮询时间间隔,轮询时间间隔指的是接口发送keepalive报文的周期。undo timer hold命令用来恢复缺省情况。
缺省情况下,轮询时间间隔为10秒。
如果将轮询时间间隔配置为0秒,则不发送keepalive报文
在速率非常低的链路上,参数seconds不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在多个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
当接口配置了PPP时,链路两端设备配置的轮询时间间隔必须相等。
【举例】
# 配置接口Pos3/1/1的轮询时间间隔为20秒。
<Sysname> system-view
[Sysname] interface Pos 3/1/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
