bot是不是ppp以前的ppp13不能用了
点击联系发帖人
时间:2018-04-14 17:02
&·&&·&发帖说明 本小组需要加入才可以发帖
[分享]从十三个失败案例分析PPP项目失败的主要风险
发表于&&&&5346人浏览&&&&1人跟帖&&&&筑龙币+100&&&&
选取自上世纪八十年代以来在中国实施的PPP项目中13个失败的案例,这些项目主要涉及高速公路、桥梁、隧道、供水、污水处理和电厂等领域,基本涵盖了我国实行PPP模式的主流领域。&PPP模式从这13个案例失败原因的汇总分析,普遍认为中国PPP项目的失败主要是由以下风险造成的:1.项目唯一性是指政府或其他投资人新建或改建其他项目,导致对该项目形成实质性的商业竞争而产生的风险。项目唯一性风险出现后往往会带来市场需求变化风险、市场收益风险、信用风险等一系列的后续风险,对项目的影响是非常大的。如杭州湾跨海大桥项目开工未满两年,在相隔仅50公里左右的绍兴市上虞沽渚的绍兴杭州湾大桥已在加紧准备当中,其中一个原因可能是因为当地政府对桥的高资金回报率不满,致使项目面临唯一性风险和收益不足风险。鑫远闽江四桥也有类似的遭遇,福州市政府曾承诺,保证在9年之内从南面进出福州市的车辆全部通过收费站,如果因特殊情况不能保证收费,政府出资偿还外商的投资,同时保证每年18%的补偿。但是&2004年5月16日,福州市二环路三期正式通车,大批车辆绕过闽江四桥收费站,公司收入急剧下降,投资收回无望,而政府又不予兑现回购经营权的承诺,只得走上仲裁庭。该项目中,投资者遭遇了项目唯一性风险及其后续的市场收益不足风险和政府信用风险。福建泉州刺桐大桥项目和京通高速公路的情况也与此类似,都出现了项目唯一性风险,并导致了市场收益不足。2.法律变更主要是指由于采纳、颁布、修订、重新诠释法律或规定而导致项目的合法性、市场需求、产品/服务收费、合同协议的有效性等元素发生变化,从而对项目的正常建设和运营带来损害,甚至直接导致项目的中止和失败的风险。PPP项目涉及的法律法规比较多,加之我国PPP项目还处在起步阶段,相应的法律法规不够健全,很容易出现这方面的风险。例如江苏某污水处理厂采用BOT融资模式,原先计划于2002年开工,但由于2002年9月《国务院办公厅关于妥善处理现有保证外方投资固定回报项目有关问题的通知》的颁布,项目公司被迫与政府重新就投资回报率进行谈判。上海的大场水厂和延安东路隧道也遇到了同样的问题,均被政府回购。3.审批延误主要指由于项目的审批程序过于复杂,花费时间过长和成本过高,且批准之后,对项目的性质和规模进行必要商业调整非常困难,给项目正常运作带来威胁。比如某些行业里一直存在成本价格倒挂现象,当市场化之后引入外资或民营资本后,都需要通过提价来实现预期收益。而根据我国《价格法》和《政府价格决策听证办法》规定,公用事业价格等政府指导价、政府定价,应当建立听证会制度,征求消费者、经营者和有关方面的意见,论证其必要性、可行性,这一复杂的过程很容易造成审批延误的问题。以城市水业为例,水价低于成本的状况表明水价上涨势在必行,但是各地的水价改革均遭到不同程度的公众阻力和审批延误问题。例如,2003年的南京水价上涨方案在听证会上未获通过;上海人大代表也提出反对水价上涨的提案,造成上海水价改革措施迟迟无法落实实施。因此出现了外国水务公司从中国市场撤出的现象。比较引人注目的是,泰晤士水务出售了其大场水厂的股份,Anglian从北京第十水厂项目中撤出口。4.政策决策失误冗长是指由于政府的决策程序不规范、官僚作风、缺乏PPP的运作经验和能力、前期准备不足和信息不对称等造成项目决策失误和过程冗长。例如青岛威立雅污水处理项目由于当地政府对PPP的理解和认识有限,政府对项目态度的频繁转变导致项目合同谈判时间很长。而且污水处理价格是在政府对市场价格和相关结构不了解的情况下签订,价格较高,后来政府了解以后又重新要求谈判降低价格。此项目中项目公司利用政府知识缺陷和错误决策签订不平等协议,从而引起后续谈判拖延,面临政府决策冗长的困境口。相类似的在大场水厂、北京第十水厂和廉江中法供水厂项目中也存在同样问题。5.政治反对主要是指由于各种原因导致公众利益得不到保护或受损,从而引起政治甚至公众反对项目建设所造成的风险。例如大场水厂和北京第十水厂的水价问题口,由于关系到公众利益,而遭到来自公众的阻力,政府为了维护社会安定和公众利益也反对涨价。6.政府信用是指政府不履行或拒绝行合同约定的责任和义务而给项目带来直接或间接的危害。例如在长春汇津污水处理厂项目中,汇津公司与长春市排水公司于2000年3月签署《合作企业合同》,设立长春汇津污水处理有限公司,同年长春市政府制定《长春汇津污水处理专营管理办法》。2000年底,项目投产后合作运行正常。然而,从2002年年中开始,排水公司开始拖欠合作公司污水处理费,长春市政府于2003年2月28日废止了《管理办法》,2003年3月起,排水公司开始停止向合作企业支付任何污水处理费。经过近两年的法律纠纷,2005年8月最终以长春市政府回购而结束。再比如在廉江中法供水厂项目中,双方签订的《合作经营廉江中法供水有限公司合同》,履行合同期为30年。合同有几个关键的不合理问题:问题一,水量问题。合同约定廉江自来水公司在水厂投产的第一年每日购水量不得少于6万立方米,且不断递增。而当年廉江市的消耗量约为2万立方米,巨大的量差使得合同履行失去了现实的可能性;问题二,水价问题。合同规定起始水价为1.25元人民币,水价随物价指数、银行汇率的提高而递增。而廉江市每立方米水均价为1.20元,此价格自1999年5月1日起执行至今未变。脱离实际的合同使得廉江市政府和自来水公司不可能履行合同义务该水厂被迫闲置,谈判结果至今未有定论。除此之外,遇到政府信用风险的还有江苏某污水处理厂、长春汇津污水处理和湖南某电厂等项目。7.不可抗力是指合同一方无法控制,在签订合同前无法合理防范,情况发生时,又无法回避或克服的事件或情况,如自然灾害或事故、战争、禁运等。例如湖南某电厂于上世纪&90年代中期由原国家计委批准立项,西方某跨国能源投资公司为中标人,项目所在地省政府与该公司签订了特许权协议,项目前期进展良好。但此时某些西方大国&(包括中标公司所在国)轰炸我驻南斯拉夫大使馆,对中国主权形成了严重的实质上的侵犯。国际政治形势的突变,使得投标人在国际上或中国的融资都变得不可能。项目公司因此最终没能在延长的融资期限内完成融资任务,省政府按照特许权协议规定收回了项目并没收了中标人的投标保函,之后也没有再重新招标,从而导致了外商在本项目的彻底失败。在江苏某污水处理厂项目关于投资回报率的重新谈判中,也因遇到非典中断了项目公司和政府的谈判。8.融资是指由于融资结构不合理、金融市场不健全、融资的可及性等因素引起的风险,其中最主要的表现形式是资金筹措困难。PPP项目的一个特点就是在招标阶段选定中标者之后,政府与中标者先草签特许权协议,中标者要凭草签的特许权协议在规定的融资期限内完成融资,特许权协议才可正式生效。如果在给定的融资期内发展商未能完成融资,将会被取消资格并没收投标保证金。在湖南某电厂的项目中,发展商就因没能完成融资而被没收了投标保函。9.市场收益不足是指项目运营后的收益不能满足收回投资或达到预定的收益。例如天津双港垃圾焚烧发电厂项目中,天津市政府提供了许多激励措施,如果由于部分规定原因导致项目收益不足,天津市政府承诺提供补贴。但是政府所承诺补贴数量没有明确定义,项目公司就承担了市场收益不足的风险。另外京通高速公路建成之初,由于相邻的辅路不收费,致使较长一段时间京通高速车流量不足,也出现了项目收益不足的风险。在杭州湾跨海大桥和福建泉州刺桐大桥的项目中也有类似问题。10.配套设备服务提供指项目相关的基础设施不到位引发的风险。在这方面,汤逊湖污水处理厂项目是一个典型案例。2001年凯迪公司以BOT方式承建汤逊湖污水处理厂项目,建设期两年,经营期20年,经营期满后无偿移交给武汉高科(代表市国资委持有国有资产的产权)。但一期工程建成后,配套管网建设、排污费收取等问题迟迟未能解决,导致工厂一直闲置,最终该厂整体移交武汉市水务集团。11.市场需求变化是指排除唯一性风险以外,由于宏观经济、社会环境、人口变化、法律法规调整等其他因素使市场需求变化,导致市场预测与实际需求之间出现差异而产生的风险。例如山东中华发电项目,项目公司于1997年成立,计划于2004年最终建成。建成后运营较为成功,然而山东电力市场的变化,国内电力体制改革对运营购电协议产生了重大影响。第一是电价问题,1998年根据原国家计委曾签署的谅解备忘录,中华发电在已建成的石横一期、二期电厂获准了0.41元/度这一较高的上网电价;而在2002年10月,菏泽电厂新机组投入运营时,山东省物价局批复的价格是0.32元/度。这一电价不能满足项目的正常运营;第二是合同中规定的“最低购电量”也受到威胁,2003年开始,山东省计委将以往中华发电与山东电力集团间的最低购电量5500小时减为5100小时。由于合同约束,山东电力集团仍须以“计划内电价”购买5500小时的电量,价差由山东电力集团自己掏钱填补,这无疑打击了山东电力集团公司购电的积极性悼。在杭州湾跨海大桥、闽江四桥,刺桐大桥和京通高速等项目中也存在这一风险。12.收费变更是指由于PPP产品或服务收费价格过高、过低或者收费调整不弹性、不自由导致项目公司的运营收入不如预期而产生的风险。例如,由于电力体制改革和市场需求变化,山东中华发电项目的电价收费从项目之初的0.41元/度变更到了0.32元/度,使项目公司的收益受到严重威胁伸。13.腐败主要指政府官员或代表采用不合法的影响力要求或索取不合法的财物,而直接导致项目公司在关系维持方面的成本增加,同时也加大了政府在将来的违约风险。例如由香港汇津公司投资兴建的沈阳第九水厂BOT项目,约定的投资回报率为:第2-4年,18.50%;第5-14年,21%;第15-20年,11%。如此高的回报率使得沈阳自来水总公司支付给第九水厂的水价是2.50/吨,而沈阳市1996年的平均供水价格是1.40/吨。到2000年,沈阳市自来水总公司亏损高达2亿多元。这个亏损额本来应由政府财政填平,但沈阳市已经多年不向自来水公司给予财政补贴了。沈阳市自来水总公司要求更改合同。经过数轮艰苦的谈判,2000年底,双方将合同变动如下:由沈阳市自来水总公司买回汇津公司在第九水厂所占股权的50%,投资回报率也降至14%。这样变动后沈阳自来水厂将来可以少付两个多亿。其实对外商承诺的高回报率在很大程度上与地方官员的腐败联系在一起,在业内,由外商在沈阳投资建设的八个水厂被誉为“沈阳水务黑幕”。以上是从案例中总结而来的导致PPP项目失败的主要风险,从对这些风险和案例的描述中也可以看出,一个项目的失败往往不是单一风险作用的结果,而是表现为多个风险的组合作用。推荐学习:
分享到微信朋友圈
打开微信"扫一扫",扫描上方二维码请点击右上角按钮&,选择&
&&发表于&&|&
&& &&筑龙币+20
失败是成功之母,失败的案例一定要看看
后才能评论,评论超过10个字,有机会获得筑龙币奖励!
筑龙学社APP扫码
立即免费下载资料
只需1元,认证E会员,百万资料免费下
【微信扫码支付】
您已成功认证为E会员
删除理由:
&广告/SPAM
还可以输入&120&字
他一定是哪里做的不够好,别替他瞒着了,告诉我们吧~
:&400-900-8066H3C 防火墙产品 配置指导(V7)(R_R_E_E_PPP和PPPoE配置指导_PPP和PPPoE配置-新华三集团-H3C
多业务安全网关配置配置指导
13-PPP和PPPoE配置指导
01-PPP和PPPoE配置
&&(328.31 KB)
docurl=/cn/Service/Document_Software/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R_R)-6W105/13/_0.htm
01-PPP和PPPoE配置
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
F5000-S/F5000-C/F/F5040
F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1
LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV
PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。
PPP定义了一整套协议,包括:
·&&&&&链路控制协议(Link Control Protocol,LCP):用来建立、拆除和监控数据链路。
·&&&&&网络控制协议(Network Control Protocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型。
·&&&&&认证协议:用来对用户进行认证,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MSCHAP(Microsoft CHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2)。
1. PPP链路建立过程
PPP链路建立过程如所示:
(1)&&&&&PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2)&&&&&PPP在Establish阶段主要进行LCP协商。LCP协商内容包括:Authentication-Protocol(认证协议类型)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文)。
(3)&&&&&如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证。如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件。
(4)&&&&&如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:IP地址、DNS服务器地址等。)
(5)&&&&&到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
链路建立过程
有关PPP的详细介绍请参考RFC 1661。
2. PPP认证
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费。
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。
(1)&&&&&PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
(2)&&&&&CHAP认证
CHAP为三次握手协议。
CHAP认证过程分为两种方式:认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
(3)&&&&&MSCHAP认证
MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:
·&&&&&MSCHAP采用的加密算法是0x80。
·&&&&&MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
(4)&&&&&MSCHAPv2认证
MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:
·&&&&&MSCHAPv2采用的加密算法是0x81。
·&&&&&MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。
·&&&&&MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
·&&&&&MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
3. PPP支持IPv4
在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商。
(1)&&&&&IP地址协商
PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址。
在PPP协商IP地址的过程中,设备可以分为两种角色:
·&&&&&Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
·&&&&&Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商。
当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见“安全配置指导”中的“AAA”)和接口下的配置,按照如下顺序给Client端分配IP地址:
·&&&&&如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置)。
·&&&&&如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址。
·&&&&&如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址。
(2)&&&&&DNS服务器地址协商
设备在进行IPCP协商的过程中可以进行DNS服务器地址协商。设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址。通常情况下:
·&&&&&当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;
·&&&&&当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。
4. PPP支持IPv6
在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6 DNS服务器地址。
(1)&&&&&IPv6地址分配
PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能直接协商出IPv6地址。
客户端可以通过如下三种方式分配到IPv6全球单播地址:
·&&&&&方式1:客户端通过ND协议中的RA报文获得IPv6地址前缀。客户端采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址。RA报文中携带的IPv6地址前缀的来源有三种:AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。三种来源的优先级依次降低,AAA授权的优先级最高。关于ND协议的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
·&&&&&方式2:客户端通过DHCPv6协议申请IPv6全球单播地址。在服务器端可以通过AAA授权为每个客户端分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给客户端。如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为客户端分配地址。关于DHCPv6协议的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。
·&&&&&方式3:客户端通过DHCPv6协议申请代理前缀,客户端通过代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
根据组网不同,主机获取IPv6地址的方式如下:
·&&&&&当主机通过桥设备或者直连接入设备时,设备可以采用上述的方式1或方式2直接为主机分配IPv6全球单播地址。
·&&&&&当主机通过路由器接入设备时,设备可以采用方式3为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址。
(2)&&&&&IPv6 DNS服务器地址分配
在IPv6网络中,IPv6 DNS服务器地址的分配有如下两种方式:
·&&&&&AAA授权IPv6 DNS服务器地址,通过ND协议中的RA报文将此IPv6 DNS服务器地址分配给主机。
·&&&&&DHCPv6客户端向DHCPv6服务器申请IPv6 DNS服务器地址。
1.2& 配置PPP
配置任务简介
表1-1 PPP配置任务简介
配置PPP认证方式
配置轮询功能
配置PPP协商参数
配置PPP IPHC压缩功能
配置PPP链路质量监测功能
配置PPP计费统计功能
配置PPP用户的nas-port-type属性
1.2.2& 配置PPP认证方式
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
1. 配置PAP认证
(1)&&&&&配置认证方
表1-2 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为PAP
ppp authentication-mode pap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
(2)&&&&&配置被认证方
表1-3 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码
ppp pap local-user
username password { cipher
| simple } string
缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空
查看加密方式时,无论采用明文或密文加密,默认显示密文方式
CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名。
(1)&&&&&认证方配置了用户名
·&&&&&配置认证方
表1-4 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为CHAP
ppp authentication-mode chap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置采用CHAP认证时认证方的用户名
ppp chap user
缺省情况下,CHAP认证的用户名为空
在被认证方上为认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名必须与被认证方上的配置一致
认证方用户的密码和被认证方用户的密码要配置成相同的
表1-5 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置采用CHAP认证时被认证方的用户名
ppp chap user username
缺省情况下,CHAP认证的用户名为空
在认证方上为被认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码
为认证方配置的用户名必须与认证方上的配置一致
认证方用户的密码和被认证方用户的密码要配置成相同的
(2)&&&&&认证方没有配置用户名
·&&&&&配置认证方
表1-6 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为CHAP
ppp authentication-mode chap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名必须与被认证方上的配置一致
为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致
·&&&&&配置被认证方
表1-7 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置采用CHAP认证时被认证方的用户名
ppp chap user username
缺省情况下,CHAP认证的用户名为空
在认证方上为被认证方配置的用户名必须跟此处配置的一致
设置CHAP认证密码
ppp chap password { cipher | simple
} password
缺省情况下,没有配置进行CHAP认证时采用的密码
在认证方上为被认证方配置的密码必须跟此处配置的一致
查看加密方式时,无论采用明文或密文加密,默认显示密文方式
MSCHAP或MSCHAPv2认证
与CHAP认证相同,MSCHAP和MSCHAPv2认证也分为两种:认证方配置了用户名和认证方没有配置用户名。
配置MSCHAP或MSCHAPv2认证时需注意:
·&&&&&设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。
·&&&&&L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。
·&&&&&MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
表1-8 配置MSCHAP或MSCHAPv2认证的认证方(认证方配置了用户名)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为MSCHAP或MSCHAPv2
ppp authentication-mode { ms-chap | ms-chap-v2
} [ [ call-in ] domain
isp-name ]
缺省情况下,PPP协议不进行认证
配置采用MSCHAP或MSCHAPv2认证时认证方的用户名
ppp chap user
在被认证方上为认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
表1-9 配置MSCHAP或MSCHAPv2认证的认证方(认证方没有配置用户名)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为MSCHAP或MSCHAPv2
ppp authentication-mode { ms-chap | ms-chap-v2
} [ [ call-in ] domain
isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
1.2.3& 配置轮询功能
PPP协议使用轮询机制来确认链路状态是否正常。
当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down。
如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
轮询时间间隔设置应小于协商超时时间间隔,否则无法轮询。
表1-10 配置轮询功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置接口发送keepalive报文的周期
timer-hold seconds
缺省情况下,接口发送keepalive报文的周期为10秒
配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路
timer-hold retry retry
缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路
可以配置的PPP协商参数包括:
·&&&&&协商超时时间间隔
·&&&&&协商IP地址
·&&&&&协商接口IP网段
·&&&&&协商DNS服务器地址
·&&&&&协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)
·&&&&&协商PFC(Protocol-Field-Compression,协议字段压缩)
1. 配置协商超时时间间隔
在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延时时间后,当接口物理层UP时PPP将在延时时间超时后才会主动进行LCP协商;如果在延时时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延时时间超时,而是直接进行LCP协商。
表1-11 配置协商超时时间间隔
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置协商超时时间间隔
ppp timer negotiate seconds
缺省情况下,协商超时时间间隔为3秒
(可选)配置LCP协商的延迟时间
ppp lcp delay milliseconds
缺省情况下,接口物理层UP后,PPP立即进行LCP协商
PPP协商IP地址
(1)&&&&&配置Client端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
为接口配置IP地址可协商属性
ip address ppp-negotiate
缺省情况下,接口没有配置IP地址可协商属性
本命令和ip address命令互斥,二者不能同时配置。关于ip address命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址”
(2)&&&&&配置Server端
在下列三种Server端分配IP地址的方式下Server端需要进行配置:
·&&&&&在接口下指定为Client端分配的IP地址。
·&&&&&从接口下指定的地址池中分配IP地址。
·&&&&&从ISP域下关联的地址池中分配IP地址。
这三种方式中,不同PPP用户可以采用的方式如下:
·&&&&&不需要进行PPP认证的PPP用户可以使用两种方式:在接口下指定为Client端分配的IP地址和从接口下指定的地址池中分配IP地址。这两种方式不能同时使用。
·&&&&&需要进行PPP认证的PPP用户可以使用全部的三种方式。用户可以同时配置多种方式。同时配置多种方式时,以ISP域下关联的地址池优先,然后是接口下指定为Client端分配的IP地址或者地址池(接口下的这两种方式不能同时使用)。
PPP可以使用两类地址池为对端分配IP地址:PPP地址池、DHCP地址池,优先采用PPP地址池。如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池来分配IP地址,则系统只会使用PPP地址池来分配IP地址。
端(在接口下指定为Client端分配的IP地址)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置接口为Client端分配的IP地址
remote address ip-address
缺省情况下,接口不为Client端分配IP地址
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
端(从接口下指定的PPP地址池中分配IP地址)
进入系统视图
system-view
配置PPP地址池
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
缺省情况下,没有配置PPP地址池
(可选)配置PPP地址池的网关地址
ip pool pool-name gateway ip-address [
vpn-instance vpn-instance-name
缺省情况下,没有为PPP地址池配置网关地址
(可选)配置PPP地址池路由
ppp ip-pool route ip-address {
mask-length | mask
} [ vpn-instance vpn-instance-name
缺省情况下,没有配置PPP地址池路由
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围
进入接口视图
interface interface-type interface-number
使用PPP地址池为Client端分配IP地址
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址
端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
配置了PPP地址池的网关地址后,可以不用配置本命令
表1-15 配置Server端(从接口下指定的DHCP地址池中分配IP地址)
进入系统视图
system-view
配置DHCP功能
·&&&&&如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容
·&&&&&如果Server端作为中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池
DHCP的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP”
进入接口视图
interface interface-type interface-number
使用DHCP地址池为Client端分配IP地址
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
(可选)配置使用PPP用户名作为DHCP客户端ID
remote address dhcp client-identifier username
缺省情况下,未使用PPP用户名作为DHCP客户端ID
表1-16 配置Server端(从ISP域下关联的PPP地址池中分配IP地址)
进入系统视图
system-view
配置PPP地址池
ip pool pool-name start-ip-address [ end-ip-address ] group group-name
缺省情况下,没有配置PPP地址池
(可选)配置PPP地址池的网关地址
ip pool pool-name gateway ip-address [
vpn-instance vpn-instance-name
缺省情况下,没有为PPP地址池配置网关地址
(可选)配置PPP地址池路由
ppp ip-pool route ip-address {
mask-length | mask
} [ vpn-instance vpn-instance-name
] [ vsrp-instance vsrp-instance-name
缺省情况下,没有配置PPP地址池路由
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围
进入ISP域视图
domain isp-name
在ISP域下关联PPP地址池为Client端分配IP地址
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下没有关联PPP地址池
本命令的详细介绍请参见“安全命令参考”中的“AAA”
退回系统视图
进入接口视图
interface interface-type interface-number
(可选)配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
配置了PPP地址池的网关地址后,可以不用配置本命令
表1-17 配置Server端(从ISP域下关联的DHCP地址池中分配IP地址)
进入系统视图
system-view
配置DHCP功能
·&&&&&如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容
·&&&&&如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池
DHCP的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP”
进入ISP域视图
domain isp-name
在ISP域下关联DHCP地址池为Client端分配IP地址
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下没有关联DHCP地址池
本命令的详细介绍请参见“安全命令参考”中的“AAA”
退回系统视图
进入接口视图
interface interface-type interface-number
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
(可选)配置使用PPP用户名作为DHCP客户端ID
remote address dhcp client-identifier username
缺省情况下,未使用PPP用户名作为DHCP客户端ID
3. 配置接口IP网段检查
使能接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。
如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查。
表1-18 配置接口IP网段检查
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
使能接口的IP网段检查功能
ppp ipcp remote-address match
缺省情况下,接口的IP网段检查功能处于关闭状态
DNS服务器地址协商
(1)&&&&&配置Client端
正常情况下,Client端配置了ppp ipcp dns request命令,Server端才会为本端指定DNS服务器地址。但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any命令。
表1-19 配置Client端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置设备主动请求对端指定DNS服务器地址
ppp ipcp dns request
缺省情况下,禁止设备主动向对端请求DNS服务器地址
配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址
ppp ipcp dns admit-any
缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址
在配置了ppp ipcp dns request命令的情况下不用配置本命令
(2)&&&&&配置Server端
表1-20 配置Server端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置设备为对端设备指定DNS服务器地址
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
缺省情况下,设备不为对端设备指定DNS服务器的IP地址
收到Client端的请求后,Server端才会为对端指定DNS服务器地址
缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,就可以对这两个字段进行压缩。
ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文。
ACFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行地址控制字段压缩,不再添加地址控制字段,以增加链路的有效载荷;对于LCP报文不进行地址控制字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1)&&&&&配置本地发送ACFC协商请求
表1-21 配置本地发送ACFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项
ppp acfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项
(2)&&&&&配置拒绝对端的ACFC协商请求
表1-22 配置拒绝对端的ACFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项
ppp acfc remote-reject
缺省情况下,接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩
缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型。
PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文。
PFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷;对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1)&&&&&配置本地发送PFC协商请求
表1-23 配置本地发送PFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项
ppp pfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项
(2)&&&&&配置拒绝对端的PFC协商请求
表1-24 配置拒绝对端的PFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项
ppp pfc remote-reject
缺省情况下,接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩
IPHC(IP Header Compression,IP报文头压缩)协议主要应用于低速链路上的语音通信。
在低速链路上,每个语音报文中报文头消耗大部分的带宽。比如,G.729编码20ms打包时长PPP链路,每秒传送个语音报文,每个语音报文中都包含46字节的报文头(6字节PPP头、20字节IP头、8字节UDP头、12字节RTP头),这样每一路语音数据所占的带宽为:(6+20+8+12)*8*50+8000(语音净荷所占带宽)=26.4kbps,传送RTP/UDP/IP头所花的带宽开销还是很大的,为(20+8+12)*8*50=16kbps,占语音数据总带宽的百分比为16k/26.4k=60.1%,网络带宽利用率很差。为了减少报文头对带宽的消耗,可以在PPP链路上使用IPHC压缩功能,对报文头进行压缩。
IPHC压缩分为如下两种:
·&&&&&RTP头压缩:对报文中的RTP/UDP/IP头(长度共40字节)进行压缩。
·&&&&&TCP头压缩:对报文中的TCP/IP头(长度共40字节)进行压缩。
IPHC压缩机制的总体思想是:在一次连接过程中,IP头、UDP头、RTP头以及TCP头中的一些字段是固定不变的,还有一些字段是有规律变化的,这样在压缩端和解压端分别维护一个压缩表项和解压缩表项来保存固定不变的字段和有规律变化的字段,在传输过程中,压缩端不需要发送完整的报文头,只发送报文头中有变化的信息,减少了报文头信息的长度,从而降低了报文头所占的带宽。
(1)&&&&&在压缩过程中,压缩端会将变化的字段编码到报文中;对于有规律变化的字段,其二次差分值为零时则不需要携带,其二次差分值不为零时,则其标志位置1,并将其一次差分值和标志位字段编码到报文中。
(2)&&&&&在解压过程中,解压端跟据解压缩表项还原固定不变的字段,对于有规律变化的字段,若其标志位为0,则按其变化规律做相应计算还原;若其标志位为1,则根据报文中携带的该字段的一次差分值和解压缩表项中该字段的信息进行计算还原。
举例说明:在压缩TCP头时,Destination Port为固定不变的字段,在报文中不用携带;URG为变化的字段,在报文中携带;Sequence Number为有规律变化的字段(一般情况下是每次增加1),压缩端首先计算被压缩报文的Sequence Number字段和压缩表项中的Sequence Number字段的差值,即一次差分值,如果一次差分值为1,那么其二次差分值为1-1=0,则这个字段就不用携带,解压端会自动加1还原;如果其一次差分值不为1,比如为2,那么二次差分值就为2-1=1,这时就会置位Sequence Number的标志位,并将一次差分值2编码到报文中,解压端会在解压缩表项中的Sequence Number字段上加2还原。
配置本功能时需要注意:
·&&&&&用户必须在链路的两端同时开启IPHC压缩功能,该功能才生效。
·&&&&&在虚拟模板接口、Dialer接口、ISDN接口上开启/关闭IPHC压缩功能时,配置不会立即生效,只有对此接口或者其绑定的物理接口进行shutdown/undo shutdown操作后,配置才能生效。
·&&&&&只有在开启IPHC压缩功能后,才能配置接口上允许进行RTP头/TCP头压缩的最大连接数,并且需要对接口进行shutdown/undo shutdown操作后,配置才能生效。在关闭IPHC压缩功能后,配置将被清除。
表1-25 配置PPP IPHC压缩功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP IPHC压缩功能
ppp compression iphc enable [ nonstandard
缺省情况下,IPHC压缩功能处于关闭状态
与友商设备互通时需要配置nonstandard参数
配置接口上允许进行RTP头压缩的最大连接数
ppp compression iphc rtp-connections number
缺省情况下,接口上允许进行RTP头压缩的最大连接数为16
配置接口上允许进行TCP头压缩的最大连接数
ppp compression iphc tcp-connections number
缺省情况下,接口上允许进行TCP头压缩的最大连接数为16
链路质量监测功能
PPP链路质量监测功能可以实时对PPP链路的通信质量(丢包率和错包率)进行监测。
在没有配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
配置本功能时需要注意:
·&&&&&当在PPP链路两端同时开启链路质量监测功能时,两端设备的参数必须相等。一般来说,不建议在链路两端同时开启链路质量监测功能。
·&&&&&不建议在拨号线路上开启PPP链路质量监测功能。当在拨号线路上开启链路质量监测功能后,由于拨号线路的特点,一旦链路被禁用,DDR模块就会把拨号线路挂断,因此链路质量监测就不能正常的运行。只有当有数据需要传输时,DDR模块把拨号线路重新呼起,链路质量监测功能才能恢复正常。
表1-26 配置PPP链路质量监测功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP链路质量监测功能
ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]
缺省情况下,PPP链路质量监测功能处于关闭状态。设备支持情况请参考命令参考中的相关描述
配置当链路质量监测功能监测到链路质量低时向对端发送LCP echo报文
ppp lqm lcp-echo [ packet size
] [ interval interval
缺省情况下,当链路质量监测功能监测到链路质量低时不向对端发送LCP echo报文。设备支持情况请参考命令参考中的相关描述
计费统计功能
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“安全配置指导”中的“AAA”。
表1-27 配置PPP计费统计功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP计费统计功能
ppp account-statistics enable [ acl
{ acl-number | name
acl-name } ]
缺省情况下,PPP计费统计功能处于关闭状态
用户的nas-port-type属性
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
表1-28 配置PPP用户的nas-port-type属性
进入系统视图
system-view
进入虚拟模板接口视图
interface virtual-template number
配置接口的nas-port-type属性
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定:
·&&&&&如果是PPPoE业务,当承载链路类型为三层虚拟以太网接口时,nas-port-type属性为xdsl,否则nas-port-type属性为ethernet
·&&&&&如果是PPPoA业务,nas-port-type属性为xdsl
·&&&&&如果是L2TP业务,nas-port-type属性为virtual
显示和维护
命令可以显示PPP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除相应接口的统计信息。
表1-29 PPP显示和维护
显示PPP接入用户的信息
display ppp access-user { interface interface-type interface-number [ count ] | ip-address ip-address | ipv6-address ipv6-address
| username user-name
| user-type { lac | lns | pppoa | pppoe } [ count ] }
显示PPP地址池的信息
display ip pool [ pool-name | group group-name ]
显示IPHC压缩的统计信息
display ppp compression iphc { rtp
| tcp } [ interface interface-type interface-number ]
显示虚拟模板接口的相关信息
display interface [ virtual-template [ interface-number ] ] [ brief
[ description | down
显示虚拟访问接口的相关信息
display interface [ virtual-access [ interface-number ] ] [ brief
[ description | down
清除IPHC压缩的统计信息
reset ppp compression iphc [ rtp
| tcp ] [ interface interface-type interface-number ]
强制PPP用户下线
reset ppp access-user { ip-address
ip-address [ vpn-instance
ipv4-vpn-instance-name ] | ipv6-address ipv6-address
[ vpn-instance ipv6-vpn-instance-name
] | username user-name
清除VA接口的统计信息
reset counters interface [ virtual-access
[ interface-number ] ]
F5000-S/F5000-C/F/F5040
F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1
LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP协议的扩展。
PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法。要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系。
PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
关于PPPoE的详细介绍,可以参考RFC 2516。
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,有两种组网结构:
·&&&&&第一种方式是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。
组网结构图1
·&&&&&第二种方式是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoE Client,每个Host使用一个帐号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。
图2-2 PPPoE组网结构图2
时,配置过程请参见“。
PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。
PPPoE会话有三种工作模式:永久在线模式、按需拨号模式、诊断模式。
·&&&&&永久在线模式:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在。
·&&&&&按需拨号模式:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户配置的值,设备会自动中止PPPoE会话。
·&&&&&诊断模式:设备在配置完成后立即发起PPPoE呼叫,建立PPPoE会话。每隔用户配置的重建时间间隔,设备会自动断开该会话、并重新发起呼叫建立会话。通过定期建立、删除PPPoE会话,可以监控PPPoE链路是否处于正常工作状态。
PPPoE会话的工作模式由对应的拨号接口的配置决定:
·&&&&&当Dialer接口的链路空闲时间(通过dialer timer idle命令配置)配置为0,且Dialer接口上没有配置dialer diagnose命令时,PPPoE会话将工作在永久在线模式。
·&&&&&当Dialer接口的链路空闲时间(通过dialer timer idle命令配置)配置不为0,且Dialer接口上没有配置dialer diagnose命令时,PPPoE会话将工作在按需拨号模式。
·&&&&&当Dialer接口上配置了dialer diagnose命令时,PPPoE会话将工作在诊断模式。
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上使能共享DDR。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
进入系统视图
system-view
创建拨号访问组,并配置拨号控制规则
dialer-group group-number rule { protocol-name { deny | permit } | acl { acl-number | name acl-name } }
缺省情况下,不存在拨号访问组
创建Dialer接口,并进入该Dialer接口视图
interface dialer number
配置接口IP地址
ip address { address mask | ppp-negotiate }
缺省情况下,接口没有配置IP地址
使能共享DDR
dialer bundle enable
缺省情况下,接口上不使能任何类型的DDR
配置该拨号接口关联的拨号访问组,将该接口与拨号控制规则关联起来
dialer-group group-number
缺省情况下,接口不与任何拨号访问组相关联
配置链路空闲时间
dialer timer idle idle [ in
| in-out ]
缺省情况下,链路空闲时间为120秒
当idle配置为0时,PPPoE会话工作在永久在线模式下,否则工作在按需拨号模式下
配置DDR应用工作在诊断模式
dialer diagnose [ interval interval
缺省情况下,工作在非诊断模式
当工作在诊断模式时,链路空闲时间无效
配置DDR自动拨号的间隔时间
dialer timer autodial autodial-interval
缺省情况下,DDR自动拨号的间隔时间为300秒
当工作在永久在线模式或者诊断模式情况下,链路断开后将启动自动拨号定时器,等待自动拨号定时器超时后再重新发起呼叫
为了在链路断开时可以尽快自动重新拨号,建议将自动拨号的时间间隔配置的小一些
配置Dialer接口的MTU值
缺省情况下,Dialer接口的MTU值为1500字节
对于PPPoE Client应用的Dialer接口,应修改其MTU值,保证分片后的报文加上2个字节的PPP头和6个字节的PPPoE头之后的总长度不超过对应PPPoE会话所在接口的MTU值对于F设备,接口的MTU建议配置小于1490字节
表2-1 配置PPPoE会话
进入系统视图
system-view
进入三层以太网接口视图/三层以太网子接口视图/VLAN接口视图
interface interface-type interface-number
建立一个PPPoE会话,并且指定该会话所对应的Dialer bundle
pppoe-client dial-bundle-number number [ no-hostuniq ]
缺省情况下,没有配置PPPoE会话
该Dialer bundle的序号number与Dialer接口的编号相同
当PPPoE会话工作在永久在线模式时,如果使用reset pppoe-client命令复位PPPoE会话,设备会在自动拨号定时器超时后自动重新建立PPPoE会话。
当PPPoE会话工作在按需拨号模式时,如果使用reset pppoe-client命令复位PPPoE会话,设备会在有数据需要传送时,才重新建立PPPoE会话。
表2-2 复位PPPoE会话
复位PPPoE会话
reset pppoe-client { all | dial-bundle-number
请在用户视图下进行该操作
显示和维护
2.3.1& PPPoE Client显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE Client配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除PPPoE会话的协议报文统计信息。
表2-3 PPPoE Client显示和维护
显示PPPoE会话的概要信息
display pppoe-client session summary [ dial-bundle-number number
显示PPPoE会话的协议报文统计信息
display pppoe-client session packet [ dial-bundle-number number
清除PPPoE会话的协议报文统计信息
reset pppoe-client session packet [ dial-bundle-number
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!}
[分享]从十三个失败案例分析PPP项目失败的主要风险
发表于&&&&5346人浏览&&&&1人跟帖&&&&筑龙币+100&&&&
选取自上世纪八十年代以来在中国实施的PPP项目中13个失败的案例,这些项目主要涉及高速公路、桥梁、隧道、供水、污水处理和电厂等领域,基本涵盖了我国实行PPP模式的主流领域。&PPP模式从这13个案例失败原因的汇总分析,普遍认为中国PPP项目的失败主要是由以下风险造成的:1.项目唯一性是指政府或其他投资人新建或改建其他项目,导致对该项目形成实质性的商业竞争而产生的风险。项目唯一性风险出现后往往会带来市场需求变化风险、市场收益风险、信用风险等一系列的后续风险,对项目的影响是非常大的。如杭州湾跨海大桥项目开工未满两年,在相隔仅50公里左右的绍兴市上虞沽渚的绍兴杭州湾大桥已在加紧准备当中,其中一个原因可能是因为当地政府对桥的高资金回报率不满,致使项目面临唯一性风险和收益不足风险。鑫远闽江四桥也有类似的遭遇,福州市政府曾承诺,保证在9年之内从南面进出福州市的车辆全部通过收费站,如果因特殊情况不能保证收费,政府出资偿还外商的投资,同时保证每年18%的补偿。但是&2004年5月16日,福州市二环路三期正式通车,大批车辆绕过闽江四桥收费站,公司收入急剧下降,投资收回无望,而政府又不予兑现回购经营权的承诺,只得走上仲裁庭。该项目中,投资者遭遇了项目唯一性风险及其后续的市场收益不足风险和政府信用风险。福建泉州刺桐大桥项目和京通高速公路的情况也与此类似,都出现了项目唯一性风险,并导致了市场收益不足。2.法律变更主要是指由于采纳、颁布、修订、重新诠释法律或规定而导致项目的合法性、市场需求、产品/服务收费、合同协议的有效性等元素发生变化,从而对项目的正常建设和运营带来损害,甚至直接导致项目的中止和失败的风险。PPP项目涉及的法律法规比较多,加之我国PPP项目还处在起步阶段,相应的法律法规不够健全,很容易出现这方面的风险。例如江苏某污水处理厂采用BOT融资模式,原先计划于2002年开工,但由于2002年9月《国务院办公厅关于妥善处理现有保证外方投资固定回报项目有关问题的通知》的颁布,项目公司被迫与政府重新就投资回报率进行谈判。上海的大场水厂和延安东路隧道也遇到了同样的问题,均被政府回购。3.审批延误主要指由于项目的审批程序过于复杂,花费时间过长和成本过高,且批准之后,对项目的性质和规模进行必要商业调整非常困难,给项目正常运作带来威胁。比如某些行业里一直存在成本价格倒挂现象,当市场化之后引入外资或民营资本后,都需要通过提价来实现预期收益。而根据我国《价格法》和《政府价格决策听证办法》规定,公用事业价格等政府指导价、政府定价,应当建立听证会制度,征求消费者、经营者和有关方面的意见,论证其必要性、可行性,这一复杂的过程很容易造成审批延误的问题。以城市水业为例,水价低于成本的状况表明水价上涨势在必行,但是各地的水价改革均遭到不同程度的公众阻力和审批延误问题。例如,2003年的南京水价上涨方案在听证会上未获通过;上海人大代表也提出反对水价上涨的提案,造成上海水价改革措施迟迟无法落实实施。因此出现了外国水务公司从中国市场撤出的现象。比较引人注目的是,泰晤士水务出售了其大场水厂的股份,Anglian从北京第十水厂项目中撤出口。4.政策决策失误冗长是指由于政府的决策程序不规范、官僚作风、缺乏PPP的运作经验和能力、前期准备不足和信息不对称等造成项目决策失误和过程冗长。例如青岛威立雅污水处理项目由于当地政府对PPP的理解和认识有限,政府对项目态度的频繁转变导致项目合同谈判时间很长。而且污水处理价格是在政府对市场价格和相关结构不了解的情况下签订,价格较高,后来政府了解以后又重新要求谈判降低价格。此项目中项目公司利用政府知识缺陷和错误决策签订不平等协议,从而引起后续谈判拖延,面临政府决策冗长的困境口。相类似的在大场水厂、北京第十水厂和廉江中法供水厂项目中也存在同样问题。5.政治反对主要是指由于各种原因导致公众利益得不到保护或受损,从而引起政治甚至公众反对项目建设所造成的风险。例如大场水厂和北京第十水厂的水价问题口,由于关系到公众利益,而遭到来自公众的阻力,政府为了维护社会安定和公众利益也反对涨价。6.政府信用是指政府不履行或拒绝行合同约定的责任和义务而给项目带来直接或间接的危害。例如在长春汇津污水处理厂项目中,汇津公司与长春市排水公司于2000年3月签署《合作企业合同》,设立长春汇津污水处理有限公司,同年长春市政府制定《长春汇津污水处理专营管理办法》。2000年底,项目投产后合作运行正常。然而,从2002年年中开始,排水公司开始拖欠合作公司污水处理费,长春市政府于2003年2月28日废止了《管理办法》,2003年3月起,排水公司开始停止向合作企业支付任何污水处理费。经过近两年的法律纠纷,2005年8月最终以长春市政府回购而结束。再比如在廉江中法供水厂项目中,双方签订的《合作经营廉江中法供水有限公司合同》,履行合同期为30年。合同有几个关键的不合理问题:问题一,水量问题。合同约定廉江自来水公司在水厂投产的第一年每日购水量不得少于6万立方米,且不断递增。而当年廉江市的消耗量约为2万立方米,巨大的量差使得合同履行失去了现实的可能性;问题二,水价问题。合同规定起始水价为1.25元人民币,水价随物价指数、银行汇率的提高而递增。而廉江市每立方米水均价为1.20元,此价格自1999年5月1日起执行至今未变。脱离实际的合同使得廉江市政府和自来水公司不可能履行合同义务该水厂被迫闲置,谈判结果至今未有定论。除此之外,遇到政府信用风险的还有江苏某污水处理厂、长春汇津污水处理和湖南某电厂等项目。7.不可抗力是指合同一方无法控制,在签订合同前无法合理防范,情况发生时,又无法回避或克服的事件或情况,如自然灾害或事故、战争、禁运等。例如湖南某电厂于上世纪&90年代中期由原国家计委批准立项,西方某跨国能源投资公司为中标人,项目所在地省政府与该公司签订了特许权协议,项目前期进展良好。但此时某些西方大国&(包括中标公司所在国)轰炸我驻南斯拉夫大使馆,对中国主权形成了严重的实质上的侵犯。国际政治形势的突变,使得投标人在国际上或中国的融资都变得不可能。项目公司因此最终没能在延长的融资期限内完成融资任务,省政府按照特许权协议规定收回了项目并没收了中标人的投标保函,之后也没有再重新招标,从而导致了外商在本项目的彻底失败。在江苏某污水处理厂项目关于投资回报率的重新谈判中,也因遇到非典中断了项目公司和政府的谈判。8.融资是指由于融资结构不合理、金融市场不健全、融资的可及性等因素引起的风险,其中最主要的表现形式是资金筹措困难。PPP项目的一个特点就是在招标阶段选定中标者之后,政府与中标者先草签特许权协议,中标者要凭草签的特许权协议在规定的融资期限内完成融资,特许权协议才可正式生效。如果在给定的融资期内发展商未能完成融资,将会被取消资格并没收投标保证金。在湖南某电厂的项目中,发展商就因没能完成融资而被没收了投标保函。9.市场收益不足是指项目运营后的收益不能满足收回投资或达到预定的收益。例如天津双港垃圾焚烧发电厂项目中,天津市政府提供了许多激励措施,如果由于部分规定原因导致项目收益不足,天津市政府承诺提供补贴。但是政府所承诺补贴数量没有明确定义,项目公司就承担了市场收益不足的风险。另外京通高速公路建成之初,由于相邻的辅路不收费,致使较长一段时间京通高速车流量不足,也出现了项目收益不足的风险。在杭州湾跨海大桥和福建泉州刺桐大桥的项目中也有类似问题。10.配套设备服务提供指项目相关的基础设施不到位引发的风险。在这方面,汤逊湖污水处理厂项目是一个典型案例。2001年凯迪公司以BOT方式承建汤逊湖污水处理厂项目,建设期两年,经营期20年,经营期满后无偿移交给武汉高科(代表市国资委持有国有资产的产权)。但一期工程建成后,配套管网建设、排污费收取等问题迟迟未能解决,导致工厂一直闲置,最终该厂整体移交武汉市水务集团。11.市场需求变化是指排除唯一性风险以外,由于宏观经济、社会环境、人口变化、法律法规调整等其他因素使市场需求变化,导致市场预测与实际需求之间出现差异而产生的风险。例如山东中华发电项目,项目公司于1997年成立,计划于2004年最终建成。建成后运营较为成功,然而山东电力市场的变化,国内电力体制改革对运营购电协议产生了重大影响。第一是电价问题,1998年根据原国家计委曾签署的谅解备忘录,中华发电在已建成的石横一期、二期电厂获准了0.41元/度这一较高的上网电价;而在2002年10月,菏泽电厂新机组投入运营时,山东省物价局批复的价格是0.32元/度。这一电价不能满足项目的正常运营;第二是合同中规定的“最低购电量”也受到威胁,2003年开始,山东省计委将以往中华发电与山东电力集团间的最低购电量5500小时减为5100小时。由于合同约束,山东电力集团仍须以“计划内电价”购买5500小时的电量,价差由山东电力集团自己掏钱填补,这无疑打击了山东电力集团公司购电的积极性悼。在杭州湾跨海大桥、闽江四桥,刺桐大桥和京通高速等项目中也存在这一风险。12.收费变更是指由于PPP产品或服务收费价格过高、过低或者收费调整不弹性、不自由导致项目公司的运营收入不如预期而产生的风险。例如,由于电力体制改革和市场需求变化,山东中华发电项目的电价收费从项目之初的0.41元/度变更到了0.32元/度,使项目公司的收益受到严重威胁伸。13.腐败主要指政府官员或代表采用不合法的影响力要求或索取不合法的财物,而直接导致项目公司在关系维持方面的成本增加,同时也加大了政府在将来的违约风险。例如由香港汇津公司投资兴建的沈阳第九水厂BOT项目,约定的投资回报率为:第2-4年,18.50%;第5-14年,21%;第15-20年,11%。如此高的回报率使得沈阳自来水总公司支付给第九水厂的水价是2.50/吨,而沈阳市1996年的平均供水价格是1.40/吨。到2000年,沈阳市自来水总公司亏损高达2亿多元。这个亏损额本来应由政府财政填平,但沈阳市已经多年不向自来水公司给予财政补贴了。沈阳市自来水总公司要求更改合同。经过数轮艰苦的谈判,2000年底,双方将合同变动如下:由沈阳市自来水总公司买回汇津公司在第九水厂所占股权的50%,投资回报率也降至14%。这样变动后沈阳自来水厂将来可以少付两个多亿。其实对外商承诺的高回报率在很大程度上与地方官员的腐败联系在一起,在业内,由外商在沈阳投资建设的八个水厂被誉为“沈阳水务黑幕”。以上是从案例中总结而来的导致PPP项目失败的主要风险,从对这些风险和案例的描述中也可以看出,一个项目的失败往往不是单一风险作用的结果,而是表现为多个风险的组合作用。推荐学习:
分享到微信朋友圈
打开微信"扫一扫",扫描上方二维码请点击右上角按钮&,选择&
&&发表于&&|&
&& &&筑龙币+20
失败是成功之母,失败的案例一定要看看
后才能评论,评论超过10个字,有机会获得筑龙币奖励!
筑龙学社APP扫码
立即免费下载资料
只需1元,认证E会员,百万资料免费下
【微信扫码支付】
您已成功认证为E会员
删除理由:
&广告/SPAM
还可以输入&120&字
他一定是哪里做的不够好,别替他瞒着了,告诉我们吧~
:&400-900-8066H3C 防火墙产品 配置指导(V7)(R_R_E_E_PPP和PPPoE配置指导_PPP和PPPoE配置-新华三集团-H3C
多业务安全网关配置配置指导
13-PPP和PPPoE配置指导
01-PPP和PPPoE配置
&&(328.31 KB)
docurl=/cn/Service/Document_Software/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R_R)-6W105/13/_0.htm
01-PPP和PPPoE配置
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
F5000-S/F5000-C/F/F5040
F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1
LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV
PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。
PPP定义了一整套协议,包括:
·&&&&&链路控制协议(Link Control Protocol,LCP):用来建立、拆除和监控数据链路。
·&&&&&网络控制协议(Network Control Protocol,NCP):用来协商在数据链路上所传输的网络层报文的一些属性和类型。
·&&&&&认证协议:用来对用户进行认证,包括PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)、MSCHAP(Microsoft CHAP,微软CHAP协议)和MSCHAPv2(微软CHAP协议版本2)。
1. PPP链路建立过程
PPP链路建立过程如所示:
(1)&&&&&PPP初始状态为不活动(Dead)状态,当物理层Up后,PPP会进入链路建立(Establish)阶段。
(2)&&&&&PPP在Establish阶段主要进行LCP协商。LCP协商内容包括:Authentication-Protocol(认证协议类型)、MRU(Maximum-Receive-Unit,最大接收单元)、Magic-Number(魔术字)、PFC(Protocol-Field-Compression,协议字段压缩)、ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)、MP等选项。如果LCP协商失败,LCP会上报Fail事件,PPP回到Dead状态;如果LCP协商成功,LCP进入Opened状态,LCP会上报Up事件,表示链路已经建立(此时对于网络层而言PPP链路还没有建立,还不能够在上面成功传输网络层报文)。
(3)&&&&&如果配置了认证,则进入Authenticate阶段,开始PAP、CHAP、MSCHAP或MSCHAPv2认证。如果认证失败,LCP会上报Fail事件,进入Terminate阶段,拆除链路,LCP状态转为Down,PPP回到Dead状态;如果认证成功,LCP会上报Success事件。
(4)&&&&&如果配置了网络层协议,则进入Network协商阶段,进行NCP协商(如IPCP协商、IPv6CP协商)。如果NCP协商成功,链路就会UP,就可以开始承载协商指定的网络层报文;如果NCP协商失败,NCP会上报Down事件,进入Terminate阶段。(对于IPCP协商,如果接口配置了IP地址,则进行IPCP协商,IPCP协商通过后,PPP才可以承载IP报文。IPCP协商内容包括:IP地址、DNS服务器地址等。)
(5)&&&&&到此,PPP链路将一直保持通信,直至有明确的LCP或NCP消息关闭这条链路,或发生了某些外部事件(例如用户的干预)。
链路建立过程
有关PPP的详细介绍请参考RFC 1661。
2. PPP认证
PPP提供了在其链路上进行安全认证的手段,使得在PPP链路上实施AAA变的切实可行。将PPP与AAA结合,可在PPP链路上对对端用户进行认证、计费。
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。
(1)&&&&&PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
(2)&&&&&CHAP认证
CHAP为三次握手协议。
CHAP认证过程分为两种方式:认证方配置了用户名、认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
(3)&&&&&MSCHAP认证
MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:
·&&&&&MSCHAP采用的加密算法是0x80。
·&&&&&MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
(4)&&&&&MSCHAPv2认证
MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:
·&&&&&MSCHAPv2采用的加密算法是0x81。
·&&&&&MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。
·&&&&&MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
·&&&&&MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
3. PPP支持IPv4
在IPv4网络中,PPP进行IPCP协商过程中可以进行IP地址、DNS服务器地址的协商。
(1)&&&&&IP地址协商
PPP在进行IPCP协商的过程中可以进行IP地址的协商,即一端给另一端分配IP地址。
在PPP协商IP地址的过程中,设备可以分为两种角色:
·&&&&&Client端:若本端接口封装的链路层协议为PPP但还未配置IP地址,而对端已有IP地址时,用户可为本端接口配置IP地址可协商属性,使本端接口作为Client端接受由对端(Server端)分配的IP地址。该方式主要用于设备在通过ISP访问Internet时,由ISP分配IP地址。
·&&&&&Server端:若设备作为Server端为Client端分配IP地址,则应先配置地址池(可以是PPP地址池或者DHCP地址池),然后在ISP域下关联地址池,或者在接口下指定为Client端分配的IP地址或者地址池,最后再配置Server端的IP地址,开始进行IPCP协商。
当Client端配置了IP地址可协商属性后,Server端根据AAA认证结果(关于AAA的介绍请参见“安全配置指导”中的“AAA”)和接口下的配置,按照如下顺序给Client端分配IP地址:
·&&&&&如果AAA认证服务器为Client端设置了IP地址或者地址池信息,则Server端将采用此信息为Client端分配IP地址(这种情况下,为Client端分配的IP地址或者分配IP地址所采用的地址池信息是在AAA认证服务器上进行配置的,Server端不需要进行特殊配置)。
·&&&&&如果Client端认证时使用的ISP域下设置了为Client端分配IP地址的地址池,则Server端将采用此地址池为Client端分配IP地址。
·&&&&&如果Server端的接口下指定了为Client端分配的IP地址或者地址池,则Server端将采用此信息为Client端分配IP地址。
(2)&&&&&DNS服务器地址协商
设备在进行IPCP协商的过程中可以进行DNS服务器地址协商。设备既可以作为Client端接收其它设备分配的DNS服务器地址,也可以作为Server端向其它设备提供DNS服务器地址。通常情况下:
·&&&&&当主机与设备通过PPP协议相连时,设备应配置为Server端,为对端主机指定DNS服务器地址,这样主机就可以通过域名直接访问Internet;
·&&&&&当设备通过PPP协议连接运营商的接入服务器时,设备应配置为Client端,被动接收或主动请求接入服务器指定DNS服务器地址,这样设备就可以使用接入服务器分配的DNS来解析域名。
4. PPP支持IPv6
在IPv6网络中,PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能协商出IPv6地址、IPv6 DNS服务器地址。
(1)&&&&&IPv6地址分配
PPP进行IPv6CP协商过程中,只协商出IPv6接口标识,不能直接协商出IPv6地址。
客户端可以通过如下三种方式分配到IPv6全球单播地址:
·&&&&&方式1:客户端通过ND协议中的RA报文获得IPv6地址前缀。客户端采用RA报文中携带的前缀和IPv6CP协商的IPv6接口标识一起组合生成IPv6全球单播地址。RA报文中携带的IPv6地址前缀的来源有三种:AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。三种来源的优先级依次降低,AAA授权的优先级最高。关于ND协议的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
·&&&&&方式2:客户端通过DHCPv6协议申请IPv6全球单播地址。在服务器端可以通过AAA授权为每个客户端分配不同的地址池,当授权了地址池后,DHCPv6在分配IPv6地址时会从地址池中获取IPv6地址分配给客户端。如果AAA未授权地址池,DHCPv6会根据服务器端的IPv6地址查找匹配的地址池为客户端分配地址。关于DHCPv6协议的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。
·&&&&&方式3:客户端通过DHCPv6协议申请代理前缀,客户端通过代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
根据组网不同,主机获取IPv6地址的方式如下:
·&&&&&当主机通过桥设备或者直连接入设备时,设备可以采用上述的方式1或方式2直接为主机分配IPv6全球单播地址。
·&&&&&当主机通过路由器接入设备时,设备可以采用方式3为路由器分配IPv6前缀,路由器把这些IPv6前缀分配给主机来生成IPv6全球单播地址。
(2)&&&&&IPv6 DNS服务器地址分配
在IPv6网络中,IPv6 DNS服务器地址的分配有如下两种方式:
·&&&&&AAA授权IPv6 DNS服务器地址,通过ND协议中的RA报文将此IPv6 DNS服务器地址分配给主机。
·&&&&&DHCPv6客户端向DHCPv6服务器申请IPv6 DNS服务器地址。
1.2& 配置PPP
配置任务简介
表1-1 PPP配置任务简介
配置PPP认证方式
配置轮询功能
配置PPP协商参数
配置PPP IPHC压缩功能
配置PPP链路质量监测功能
配置PPP计费统计功能
配置PPP用户的nas-port-type属性
1.2.2& 配置PPP认证方式
PPP支持如下认证方式:PAP、CHAP、MSCHAP、MSCHAPv2。用户可以同时配置多种认证方式,在LCP协商过程中,认证方根据用户配置的认证方式顺序逐一与被认证方进行协商,直到协商通过。如果协商过程中,被认证方回应的协商报文中携带了建议使用的认证方式,认证方查找配置中存在该认证方式,则直接使用该认证方式进行认证。
1. 配置PAP认证
(1)&&&&&配置认证方
表1-2 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为PAP
ppp authentication-mode pap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
(2)&&&&&配置被认证方
表1-3 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码
ppp pap local-user
username password { cipher
| simple } string
缺省情况下,被对端以PAP方式认证时,本地设备发送的用户名和密码均为空
查看加密方式时,无论采用明文或密文加密,默认显示密文方式
CHAP认证分为两种:认证方配置了用户名和认证方没有配置用户名。
(1)&&&&&认证方配置了用户名
·&&&&&配置认证方
表1-4 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为CHAP
ppp authentication-mode chap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置采用CHAP认证时认证方的用户名
ppp chap user
缺省情况下,CHAP认证的用户名为空
在被认证方上为认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名必须与被认证方上的配置一致
认证方用户的密码和被认证方用户的密码要配置成相同的
表1-5 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置采用CHAP认证时被认证方的用户名
ppp chap user username
缺省情况下,CHAP认证的用户名为空
在认证方上为被认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则被认证方必须为认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置认证方的用户名和密码
为认证方配置的用户名必须与认证方上的配置一致
认证方用户的密码和被认证方用户的密码要配置成相同的
(2)&&&&&认证方没有配置用户名
·&&&&&配置认证方
表1-6 配置认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为CHAP
ppp authentication-mode chap [ [ call-in ] domain isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名必须与被认证方上的配置一致
为被认证方配置的密码必须与被认证方上配置的CHAP认证密码一致
·&&&&&配置被认证方
表1-7 配置被认证方
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置采用CHAP认证时被认证方的用户名
ppp chap user username
缺省情况下,CHAP认证的用户名为空
在认证方上为被认证方配置的用户名必须跟此处配置的一致
设置CHAP认证密码
ppp chap password { cipher | simple
} password
缺省情况下,没有配置进行CHAP认证时采用的密码
在认证方上为被认证方配置的密码必须跟此处配置的一致
查看加密方式时,无论采用明文或密文加密,默认显示密文方式
MSCHAP或MSCHAPv2认证
与CHAP认证相同,MSCHAP和MSCHAPv2认证也分为两种:认证方配置了用户名和认证方没有配置用户名。
配置MSCHAP或MSCHAPv2认证时需注意:
·&&&&&设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。
·&&&&&L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。
·&&&&&MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
表1-8 配置MSCHAP或MSCHAPv2认证的认证方(认证方配置了用户名)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为MSCHAP或MSCHAPv2
ppp authentication-mode { ms-chap | ms-chap-v2
} [ [ call-in ] domain
isp-name ]
缺省情况下,PPP协议不进行认证
配置采用MSCHAP或MSCHAPv2认证时认证方的用户名
ppp chap user
在被认证方上为认证方配置的用户名必须跟此处配置的一致
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
表1-9 配置MSCHAP或MSCHAPv2认证的认证方(认证方没有配置用户名)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地认证对端的方式为MSCHAP或MSCHAPv2
ppp authentication-mode { ms-chap | ms-chap-v2
} [ [ call-in ] domain
isp-name ]
缺省情况下,PPP协议不进行认证
配置本地AAA认证或者远程AAA认证
请参见“安全配置指导”中的“AAA”
·&&&&&若采用本地AAA认证,则认证方必须为被认证方配置本地用户的用户名和密码
·&&&&&若采用远程AAA认证,则远程AAA服务器上需要配置被认证方的用户名和密码
为被认证方配置的用户名和密码必须与被认证方上的配置一致
1.2.3& 配置轮询功能
PPP协议使用轮询机制来确认链路状态是否正常。
当接口上封装的链路层协议为PPP时,链路层会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down。
如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
轮询时间间隔设置应小于协商超时时间间隔,否则无法轮询。
表1-10 配置轮询功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置接口发送keepalive报文的周期
timer-hold seconds
缺省情况下,接口发送keepalive报文的周期为10秒
配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路
timer-hold retry retry
缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路
可以配置的PPP协商参数包括:
·&&&&&协商超时时间间隔
·&&&&&协商IP地址
·&&&&&协商接口IP网段
·&&&&&协商DNS服务器地址
·&&&&&协商ACFC(Address-and-Control-Field-Compression,地址控制字段压缩)
·&&&&&协商PFC(Protocol-Field-Compression,协议字段压缩)
1. 配置协商超时时间间隔
在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。超时时间间隔的取值范围为1~10秒。
在PPP链路两端设备对LCP协商报文的处理速度差异较大的情况下,为避免因一端无法及时处理对端发送的LCP协商报文而导致对端重传,可在对协商报文处理速度较快的设备上配置LCP协商的延迟时间。配置LCP协商的延时时间后,当接口物理层UP时PPP将在延时时间超时后才会主动进行LCP协商;如果在延时时间内本端设备收到对端设备发送的LCP协商报文,则本端设备将不再等待延时时间超时,而是直接进行LCP协商。
表1-11 配置协商超时时间间隔
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置协商超时时间间隔
ppp timer negotiate seconds
缺省情况下,协商超时时间间隔为3秒
(可选)配置LCP协商的延迟时间
ppp lcp delay milliseconds
缺省情况下,接口物理层UP后,PPP立即进行LCP协商
PPP协商IP地址
(1)&&&&&配置Client端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
为接口配置IP地址可协商属性
ip address ppp-negotiate
缺省情况下,接口没有配置IP地址可协商属性
本命令和ip address命令互斥,二者不能同时配置。关于ip address命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址”
(2)&&&&&配置Server端
在下列三种Server端分配IP地址的方式下Server端需要进行配置:
·&&&&&在接口下指定为Client端分配的IP地址。
·&&&&&从接口下指定的地址池中分配IP地址。
·&&&&&从ISP域下关联的地址池中分配IP地址。
这三种方式中,不同PPP用户可以采用的方式如下:
·&&&&&不需要进行PPP认证的PPP用户可以使用两种方式:在接口下指定为Client端分配的IP地址和从接口下指定的地址池中分配IP地址。这两种方式不能同时使用。
·&&&&&需要进行PPP认证的PPP用户可以使用全部的三种方式。用户可以同时配置多种方式。同时配置多种方式时,以ISP域下关联的地址池优先,然后是接口下指定为Client端分配的IP地址或者地址池(接口下的这两种方式不能同时使用)。
PPP可以使用两类地址池为对端分配IP地址:PPP地址池、DHCP地址池,优先采用PPP地址池。如果用户配置了名称相同的PPP地址池和DHCP地址池,并采用该名称的地址池来分配IP地址,则系统只会使用PPP地址池来分配IP地址。
端(在接口下指定为Client端分配的IP地址)
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置接口为Client端分配的IP地址
remote address ip-address
缺省情况下,接口不为Client端分配IP地址
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
端(从接口下指定的PPP地址池中分配IP地址)
进入系统视图
system-view
配置PPP地址池
ip pool pool-name start-ip-address [ end-ip-address ] [ group group-name ]
缺省情况下,没有配置PPP地址池
(可选)配置PPP地址池的网关地址
ip pool pool-name gateway ip-address [
vpn-instance vpn-instance-name
缺省情况下,没有为PPP地址池配置网关地址
(可选)配置PPP地址池路由
ppp ip-pool route ip-address {
mask-length | mask
} [ vpn-instance vpn-instance-name
缺省情况下,没有配置PPP地址池路由
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围
进入接口视图
interface interface-type interface-number
使用PPP地址池为Client端分配IP地址
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址
端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
配置了PPP地址池的网关地址后,可以不用配置本命令
表1-15 配置Server端(从接口下指定的DHCP地址池中分配IP地址)
进入系统视图
system-view
配置DHCP功能
·&&&&&如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容
·&&&&&如果Server端作为中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池
DHCP的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP”
进入接口视图
interface interface-type interface-number
使用DHCP地址池为Client端分配IP地址
remote address pool pool-name
缺省情况下,接口不为Client端分配IP地址
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
(可选)配置使用PPP用户名作为DHCP客户端ID
remote address dhcp client-identifier username
缺省情况下,未使用PPP用户名作为DHCP客户端ID
表1-16 配置Server端(从ISP域下关联的PPP地址池中分配IP地址)
进入系统视图
system-view
配置PPP地址池
ip pool pool-name start-ip-address [ end-ip-address ] group group-name
缺省情况下,没有配置PPP地址池
(可选)配置PPP地址池的网关地址
ip pool pool-name gateway ip-address [
vpn-instance vpn-instance-name
缺省情况下,没有为PPP地址池配置网关地址
(可选)配置PPP地址池路由
ppp ip-pool route ip-address {
mask-length | mask
} [ vpn-instance vpn-instance-name
] [ vsrp-instance vsrp-instance-name
缺省情况下,没有配置PPP地址池路由
用户需要保证配置的PPP地址池路由网段覆盖PPP地址池网段范围
进入ISP域视图
domain isp-name
在ISP域下关联PPP地址池为Client端分配IP地址
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下没有关联PPP地址池
本命令的详细介绍请参见“安全命令参考”中的“AAA”
退回系统视图
进入接口视图
interface interface-type interface-number
(可选)配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
配置了PPP地址池的网关地址后,可以不用配置本命令
表1-17 配置Server端(从ISP域下关联的DHCP地址池中分配IP地址)
进入系统视图
system-view
配置DHCP功能
·&&&&&如果Server端同时作为DHCP服务器,则在Server端上配置DHCP服务器、DHCP地址池相关内容
·&&&&&如果Server端作为DHCP中继,则在Server端上配置DHCP中继相关内容(必须配置DHCP中继用户地址表项记录功能、DHCP中继地址池),并在远端DHCP服务器上配置DHCP地址池
DHCP的具体配置介绍请参见“三层技术-IP业务配置指导”中的“DHCP”
进入ISP域视图
domain isp-name
在ISP域下关联DHCP地址池为Client端分配IP地址
authorization-attribute ip-pool pool-name
缺省情况下,ISP域下没有关联DHCP地址池
本命令的详细介绍请参见“安全命令参考”中的“AAA”
退回系统视图
进入接口视图
interface interface-type interface-number
配置Server端的IP地址
ip address
ip-address
缺省情况下,接口没有配置IP地址
(可选)配置使用PPP用户名作为DHCP客户端ID
remote address dhcp client-identifier username
缺省情况下,未使用PPP用户名作为DHCP客户端ID
3. 配置接口IP网段检查
使能接口的IP网段检查功能后,当IPCP协商时,本地会检查对端的IP地址与本端接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败。
如果接口的IP网段检查功能处于关闭状态,则在IPCP协商阶段不进行接口IP网段检查。
表1-18 配置接口IP网段检查
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
使能接口的IP网段检查功能
ppp ipcp remote-address match
缺省情况下,接口的IP网段检查功能处于关闭状态
DNS服务器地址协商
(1)&&&&&配置Client端
正常情况下,Client端配置了ppp ipcp dns request命令,Server端才会为本端指定DNS服务器地址。但是有一些特殊的设备,Client端并未请求,Server端却要强制为Client端指定DNS服务器地址,从而导致协商不通过,为了适应这种情况,Client端可以配置ppp ipcp dns admit-any命令。
表1-19 配置Client端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置设备主动请求对端指定DNS服务器地址
ppp ipcp dns request
缺省情况下,禁止设备主动向对端请求DNS服务器地址
配置设备可以被动地接收对端指定的DNS服务器地址,即设备不发送DNS请求,也能接收对端设备分配的DNS服务器地址
ppp ipcp dns admit-any
缺省情况下,设备不会被动地接收对端设备指定的DNS服务器的IP地址
在配置了ppp ipcp dns request命令的情况下不用配置本命令
(2)&&&&&配置Server端
表1-20 配置Server端
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置设备为对端设备指定DNS服务器地址
ppp ipcp dns primary-dns-address [ secondary-dns-address ]
缺省情况下,设备不为对端设备指定DNS服务器的IP地址
收到Client端的请求后,Server端才会为对端指定DNS服务器地址
缺省情况下,PPP报文中的地址字段的值固定为0xFF,控制字段的值固定为0x03,既然这两个字段的值是固定的,就可以对这两个字段进行压缩。
ACFC协商选项字段用来通知对端,本端可以接收地址和控制字段被压缩的报文。
ACFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行地址控制字段压缩,不再添加地址控制字段,以增加链路的有效载荷;对于LCP报文不进行地址控制字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1)&&&&&配置本地发送ACFC协商请求
表1-21 配置本地发送ACFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地发送ACFC协商请求,即LCP协商时本地发送的协商请求携带ACFC协商选项
ppp acfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带ACFC协商选项
(2)&&&&&配置拒绝对端的ACFC协商请求
表1-22 配置拒绝对端的ACFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置拒绝对端的ACFC协商请求,即LCP协商时拒绝对端携带的ACFC协商选项
ppp acfc remote-reject
缺省情况下,接受对端的ACFC协商请求,即LCP协商时接受对端携带的ACFC协商选项,并且发送的报文进行地址控制字段压缩
缺省情况下,PPP报文中的协议字段长度为2字节,然而,目前典型的协议字段取值都小于256,所以可以压缩成一个字节来区分协议类型。
PFC协商选项字段用来通知对端,本端可以接收协议字段被压缩成一个字节的报文。
PFC协商在LCP协商阶段进行,当协商通过后,对于发送的非LCP报文将进行协议字段压缩,如果协议字段的头8比特为全零,则不添加此8比特,以增加链路的有效载荷;对于LCP报文不进行协议字段压缩,以确保LCP协商过程顺利进行。
建议在低速链路上配置本功能。
(1)&&&&&配置本地发送PFC协商请求
表1-23 配置本地发送PFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置本地发送PFC协商请求,即LCP协商时本地发送的协商请求携带PFC协商选项
ppp pfc local-request
缺省情况下,LCP协商时本地发送的协商请求不携带PFC协商选项
(2)&&&&&配置拒绝对端的PFC协商请求
表1-24 配置拒绝对端的PFC协商请求
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
配置拒绝对端的PFC协商请求,即LCP协商时拒绝对端携带的PFC协商选项
ppp pfc remote-reject
缺省情况下,接受对端的PFC协商请求,即LCP协商时接受对端携带的PFC协商选项,并且发送的报文进行协议字段压缩
IPHC(IP Header Compression,IP报文头压缩)协议主要应用于低速链路上的语音通信。
在低速链路上,每个语音报文中报文头消耗大部分的带宽。比如,G.729编码20ms打包时长PPP链路,每秒传送个语音报文,每个语音报文中都包含46字节的报文头(6字节PPP头、20字节IP头、8字节UDP头、12字节RTP头),这样每一路语音数据所占的带宽为:(6+20+8+12)*8*50+8000(语音净荷所占带宽)=26.4kbps,传送RTP/UDP/IP头所花的带宽开销还是很大的,为(20+8+12)*8*50=16kbps,占语音数据总带宽的百分比为16k/26.4k=60.1%,网络带宽利用率很差。为了减少报文头对带宽的消耗,可以在PPP链路上使用IPHC压缩功能,对报文头进行压缩。
IPHC压缩分为如下两种:
·&&&&&RTP头压缩:对报文中的RTP/UDP/IP头(长度共40字节)进行压缩。
·&&&&&TCP头压缩:对报文中的TCP/IP头(长度共40字节)进行压缩。
IPHC压缩机制的总体思想是:在一次连接过程中,IP头、UDP头、RTP头以及TCP头中的一些字段是固定不变的,还有一些字段是有规律变化的,这样在压缩端和解压端分别维护一个压缩表项和解压缩表项来保存固定不变的字段和有规律变化的字段,在传输过程中,压缩端不需要发送完整的报文头,只发送报文头中有变化的信息,减少了报文头信息的长度,从而降低了报文头所占的带宽。
(1)&&&&&在压缩过程中,压缩端会将变化的字段编码到报文中;对于有规律变化的字段,其二次差分值为零时则不需要携带,其二次差分值不为零时,则其标志位置1,并将其一次差分值和标志位字段编码到报文中。
(2)&&&&&在解压过程中,解压端跟据解压缩表项还原固定不变的字段,对于有规律变化的字段,若其标志位为0,则按其变化规律做相应计算还原;若其标志位为1,则根据报文中携带的该字段的一次差分值和解压缩表项中该字段的信息进行计算还原。
举例说明:在压缩TCP头时,Destination Port为固定不变的字段,在报文中不用携带;URG为变化的字段,在报文中携带;Sequence Number为有规律变化的字段(一般情况下是每次增加1),压缩端首先计算被压缩报文的Sequence Number字段和压缩表项中的Sequence Number字段的差值,即一次差分值,如果一次差分值为1,那么其二次差分值为1-1=0,则这个字段就不用携带,解压端会自动加1还原;如果其一次差分值不为1,比如为2,那么二次差分值就为2-1=1,这时就会置位Sequence Number的标志位,并将一次差分值2编码到报文中,解压端会在解压缩表项中的Sequence Number字段上加2还原。
配置本功能时需要注意:
·&&&&&用户必须在链路的两端同时开启IPHC压缩功能,该功能才生效。
·&&&&&在虚拟模板接口、Dialer接口、ISDN接口上开启/关闭IPHC压缩功能时,配置不会立即生效,只有对此接口或者其绑定的物理接口进行shutdown/undo shutdown操作后,配置才能生效。
·&&&&&只有在开启IPHC压缩功能后,才能配置接口上允许进行RTP头/TCP头压缩的最大连接数,并且需要对接口进行shutdown/undo shutdown操作后,配置才能生效。在关闭IPHC压缩功能后,配置将被清除。
表1-25 配置PPP IPHC压缩功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP IPHC压缩功能
ppp compression iphc enable [ nonstandard
缺省情况下,IPHC压缩功能处于关闭状态
与友商设备互通时需要配置nonstandard参数
配置接口上允许进行RTP头压缩的最大连接数
ppp compression iphc rtp-connections number
缺省情况下,接口上允许进行RTP头压缩的最大连接数为16
配置接口上允许进行TCP头压缩的最大连接数
ppp compression iphc tcp-connections number
缺省情况下,接口上允许进行TCP头压缩的最大连接数为16
链路质量监测功能
PPP链路质量监测功能可以实时对PPP链路的通信质量(丢包率和错包率)进行监测。
在没有配置PPP链路质量监测功能之前,PPP接口(封装PPP协议的接口)会每隔一段时间向对端发送keepalive报文;在配置此功能之后,PPP接口会用LQR(Link Quality Reports,链路质量报告)报文代替keepalive报文,即每隔一段时间向对端发送LQR报文,用以对链路情况进行监测。
当链路质量正常时,系统对每个LQR报文进行链路质量计算,如果连续两次链路质量低于用户设置的禁用链路质量百分比,链路会被禁用。当链路被禁用后,系统每隔十个LQR报文进行一次链路质量计算,只有连续三次链路质量高于用户设置的恢复链路质量百分比,链路才会被恢复。因此,当链路被禁用后,至少要在30个keepalive周期后才能恢复。如果keepalive周期设置过大,可能会导致链路长时间无法恢复。
配置本功能时需要注意:
·&&&&&当在PPP链路两端同时开启链路质量监测功能时,两端设备的参数必须相等。一般来说,不建议在链路两端同时开启链路质量监测功能。
·&&&&&不建议在拨号线路上开启PPP链路质量监测功能。当在拨号线路上开启链路质量监测功能后,由于拨号线路的特点,一旦链路被禁用,DDR模块就会把拨号线路挂断,因此链路质量监测就不能正常的运行。只有当有数据需要传输时,DDR模块把拨号线路重新呼起,链路质量监测功能才能恢复正常。
表1-26 配置PPP链路质量监测功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP链路质量监测功能
ppp lqm close-percentage close-percentage [ resume-percentage resume-percentage ]
缺省情况下,PPP链路质量监测功能处于关闭状态。设备支持情况请参考命令参考中的相关描述
配置当链路质量监测功能监测到链路质量低时向对端发送LCP echo报文
ppp lqm lcp-echo [ packet size
] [ interval interval
缺省情况下,当链路质量监测功能监测到链路质量低时不向对端发送LCP echo报文。设备支持情况请参考命令参考中的相关描述
计费统计功能
PPP协议可以为每条PPP链路提供基于流量的计费统计功能,具体统计内容包括出入两个方向上流经本链路的报文数和字节数。AAA可以获取这些流量统计信息用于计费控制。关于AAA计费的详细介绍请参见“安全配置指导”中的“AAA”。
表1-27 配置PPP计费统计功能
进入系统视图
system-view
进入接口视图
interface interface-type interface-number
开启PPP计费统计功能
ppp account-statistics enable [ acl
{ acl-number | name
acl-name } ]
缺省情况下,PPP计费统计功能处于关闭状态
用户的nas-port-type属性
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
表1-28 配置PPP用户的nas-port-type属性
进入系统视图
system-view
进入虚拟模板接口视图
interface virtual-template number
配置接口的nas-port-type属性
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,nas-port-type属性由PPP用户的业务类型和承载链路类型决定:
·&&&&&如果是PPPoE业务,当承载链路类型为三层虚拟以太网接口时,nas-port-type属性为xdsl,否则nas-port-type属性为ethernet
·&&&&&如果是PPPoA业务,nas-port-type属性为xdsl
·&&&&&如果是L2TP业务,nas-port-type属性为virtual
显示和维护
命令可以显示PPP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除相应接口的统计信息。
表1-29 PPP显示和维护
显示PPP接入用户的信息
display ppp access-user { interface interface-type interface-number [ count ] | ip-address ip-address | ipv6-address ipv6-address
| username user-name
| user-type { lac | lns | pppoa | pppoe } [ count ] }
显示PPP地址池的信息
display ip pool [ pool-name | group group-name ]
显示IPHC压缩的统计信息
display ppp compression iphc { rtp
| tcp } [ interface interface-type interface-number ]
显示虚拟模板接口的相关信息
display interface [ virtual-template [ interface-number ] ] [ brief
[ description | down
显示虚拟访问接口的相关信息
display interface [ virtual-access [ interface-number ] ] [ brief
[ description | down
清除IPHC压缩的统计信息
reset ppp compression iphc [ rtp
| tcp ] [ interface interface-type interface-number ]
强制PPP用户下线
reset ppp access-user { ip-address
ip-address [ vpn-instance
ipv4-vpn-instance-name ] | ipv6-address ipv6-address
[ vpn-instance ipv6-vpn-instance-name
] | username user-name
清除VA接口的统计信息
reset counters interface [ virtual-access
[ interface-number ] ]
F5000-S/F5000-C/F/F5040
F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1
LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)的提出,解决了PPP无法应用于以太网的问题,是对PPP协议的扩展。
PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法。要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系。
PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
关于PPPoE的详细介绍,可以参考RFC 2516。
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,有两种组网结构:
·&&&&&第一种方式是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE Client位于企业/公司内部,PPPoE Server是运营商的设备)。
组网结构图1
·&&&&&第二种方式是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoE Client,每个Host使用一个帐号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。
图2-2 PPPoE组网结构图2
时,配置过程请参见“。
PPPoE Client的配置包括配置拨号接口和配置PPPoE会话。
PPPoE会话有三种工作模式:永久在线模式、按需拨号模式、诊断模式。
·&&&&&永久在线模式:当物理线路up后,设备会立即发起PPPoE呼叫,建立PPPoE会话。除非用户删除PPPoE会话,否则此PPPoE会话将一直存在。
·&&&&&按需拨号模式:当物理线路up后,设备不会立即发起PPPoE呼叫,只有当有数据需要传送时,设备才会发起PPPoE呼叫,建立PPPoE会话。如果PPPoE链路的空闲时间超过用户配置的值,设备会自动中止PPPoE会话。
·&&&&&诊断模式:设备在配置完成后立即发起PPPoE呼叫,建立PPPoE会话。每隔用户配置的重建时间间隔,设备会自动断开该会话、并重新发起呼叫建立会话。通过定期建立、删除PPPoE会话,可以监控PPPoE链路是否处于正常工作状态。
PPPoE会话的工作模式由对应的拨号接口的配置决定:
·&&&&&当Dialer接口的链路空闲时间(通过dialer timer idle命令配置)配置为0,且Dialer接口上没有配置dialer diagnose命令时,PPPoE会话将工作在永久在线模式。
·&&&&&当Dialer接口的链路空闲时间(通过dialer timer idle命令配置)配置不为0,且Dialer接口上没有配置dialer diagnose命令时,PPPoE会话将工作在按需拨号模式。
·&&&&&当Dialer接口上配置了dialer diagnose命令时,PPPoE会话将工作在诊断模式。
在配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上使能共享DDR。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
进入系统视图
system-view
创建拨号访问组,并配置拨号控制规则
dialer-group group-number rule { protocol-name { deny | permit } | acl { acl-number | name acl-name } }
缺省情况下,不存在拨号访问组
创建Dialer接口,并进入该Dialer接口视图
interface dialer number
配置接口IP地址
ip address { address mask | ppp-negotiate }
缺省情况下,接口没有配置IP地址
使能共享DDR
dialer bundle enable
缺省情况下,接口上不使能任何类型的DDR
配置该拨号接口关联的拨号访问组,将该接口与拨号控制规则关联起来
dialer-group group-number
缺省情况下,接口不与任何拨号访问组相关联
配置链路空闲时间
dialer timer idle idle [ in
| in-out ]
缺省情况下,链路空闲时间为120秒
当idle配置为0时,PPPoE会话工作在永久在线模式下,否则工作在按需拨号模式下
配置DDR应用工作在诊断模式
dialer diagnose [ interval interval
缺省情况下,工作在非诊断模式
当工作在诊断模式时,链路空闲时间无效
配置DDR自动拨号的间隔时间
dialer timer autodial autodial-interval
缺省情况下,DDR自动拨号的间隔时间为300秒
当工作在永久在线模式或者诊断模式情况下,链路断开后将启动自动拨号定时器,等待自动拨号定时器超时后再重新发起呼叫
为了在链路断开时可以尽快自动重新拨号,建议将自动拨号的时间间隔配置的小一些
配置Dialer接口的MTU值
缺省情况下,Dialer接口的MTU值为1500字节
对于PPPoE Client应用的Dialer接口,应修改其MTU值,保证分片后的报文加上2个字节的PPP头和6个字节的PPPoE头之后的总长度不超过对应PPPoE会话所在接口的MTU值对于F设备,接口的MTU建议配置小于1490字节
表2-1 配置PPPoE会话
进入系统视图
system-view
进入三层以太网接口视图/三层以太网子接口视图/VLAN接口视图
interface interface-type interface-number
建立一个PPPoE会话,并且指定该会话所对应的Dialer bundle
pppoe-client dial-bundle-number number [ no-hostuniq ]
缺省情况下,没有配置PPPoE会话
该Dialer bundle的序号number与Dialer接口的编号相同
当PPPoE会话工作在永久在线模式时,如果使用reset pppoe-client命令复位PPPoE会话,设备会在自动拨号定时器超时后自动重新建立PPPoE会话。
当PPPoE会话工作在按需拨号模式时,如果使用reset pppoe-client命令复位PPPoE会话,设备会在有数据需要传送时,才重新建立PPPoE会话。
表2-2 复位PPPoE会话
复位PPPoE会话
reset pppoe-client { all | dial-bundle-number
请在用户视图下进行该操作
显示和维护
2.3.1& PPPoE Client显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE Client配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除PPPoE会话的协议报文统计信息。
表2-3 PPPoE Client显示和维护
显示PPPoE会话的概要信息
display pppoe-client session summary [ dial-bundle-number number
显示PPPoE会话的协议报文统计信息
display pppoe-client session packet [ dial-bundle-number number
清除PPPoE会话的协议报文统计信息
reset pppoe-client session packet [ dial-bundle-number
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!}
我要回帖
更多关于 采用ppp模式的请示 的文章
更多推荐
- ·苹果微信记录怎样苹果手机怎么备份到电脑上所有数据上
- ·临工86H山东临工故障代码大全s01675 F005什么意思?
- ·叼毛在广东话叼你啥意思里是什么意思?指的又是那些??
- ·回族开斋节几月几号 回族开斋节是哪个少数民族的一天
- ·自由光汽车大灯使用注意事项清洗怎么用
- ·网上巴黎真人斗地主主怎么样
- ·为什么f5与地址栏按回车输入wwW5858pCoM后点回车也没用?
- ·(极客娱乐)——主宰仓库管理方法与思路怎么开启主宰仓库管理方法与思路开启方法
- ·是不是腾讯云域名转到阿里云别的uuu773域明了,到底wwWuuu773cOm是什么故障导致的
- ·为什么XVIDEOS 不能看了 能登上去 视频全是叉 不能看
- ·是不是又dd323用户无权修改接入点点啦就连,愿来的wwWdd323cOm也适效了
- ·为什么wWw最近229mm总是不能打开.mm文件,是不是229mm换了COM啊?
- ·是不是因为苹果电脑缺少插件了什么790ma插件的问题,所以wwW790maCoM才老是打不开页面的
- ·为什么wWw这个UUU11的新能用的经济发展新动能是什么么,还有没有【UUU11样的好占COM?
- ·为什么wWw这个882qq怎么进不去了现在找不到了,谁知道882qq怎么进不去了是不是被停用了COM啊?
- ·巴黎人如何进入如何玩斗地主游戏规则
- ·为什么wWw现在658qq里女孩子不让进qq空间了,谁还有658qq这样的COM来一个?
- ·小白素材vip平台来说说自己是怎么选平台的?
- ·求极品飞车20破解版安卓14 安卓破解版
- ·为什么wWw我一输入499ee com新地址这个找服的滴子,499ee com新地址老跳到别的cOm里呢?
- ·bot是不是ppp以前的ppp13不能用了
- ·为什么wWw我一输入499ee新域名这个找服的滴子,499ee新域名老跳到别的cOm里呢
- ·是不是以经www99ww6www.2xpxp.com跳转转到别的接入点了,不能继续99ww6打开了
- ·微信如何看与我相关关在哪?小游戏和视频选项怎么删除
- ·为什么wwW么有我爱www52avavv提示,浏览器上我爱www52avavvcOm打开的时候
- ·Moba游戏地图更新,所需要的配置会不会提高电脑配置
- ·为什么yemalu登不了wwWye321CoM又不能登,还是ye321珍的让合斜了
- ·是不是跳转到别的wwW1www.27ckck.com了,差不多的1www.27ckck.comcOm也不能收视了
- ·这是什么网游好玩点游戏
- ·是不是取消微信所有授权登录的wwWccc255人都登不上,还是就我这ccc255Com不管了
- ·为什么wwWhenhenchaluCoM又不能登,还是henhenchalu珍的让合斜了
- ·维护其间332ss.com怎么准备?
- ·华为nova3e刺激战场2s玩刺激战场可以调多高画质
- ·(极客娱乐)——版的月灵髓液多少级招
- ·谁能告诉我如何选择百元礼包是什么
- ·王者荣耀厉害的辅助什么辅助厉害 王者荣耀厉害的辅助最佳辅助推荐
