Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PPP 用户接入网络概述

PPP 订阅者接口的动态配置文件概述

订阅者管理 PPP 支持使您能够为 PPP 订阅者接口创建和附加动态配置文件。PPP 用户登录时,路由器实例化指定的动态配置文件,然后将配置文件中定义的属性应用于接口。

动态配置文件用于静态和动态 PPP 接口。对于静态 PPP 接口,您可以使用 CLI 附加指定 PPP 选项的动态配置文件。对于动态 PPP 接口,动态配置文件会创建接口,包括 PPP 选项。

注意:

动态创建的接口仅在 PPPoE 接口上受支持。

与传统的 PPP 支持不同,订阅者管理不允许双向 PPP 身份验证 — 身份验证仅由路由器执行,从不由远程对等方执行。路由器的 AAA 进程管理订阅者管理的身份验证和地址分配。为动态配置文件配置 PPP 选项时,可以配置质询握手身份验证协议 (CHAP) 或密码身份验证协议 (PAP) 身份验证,并且可以控制路由器协商 CHAP 和 PAP 协议的顺序。此外,对于 CHAP 身份验证,您可以修改 CHAP 质询消息的默认长度。其他 PPP 选项(传统 PPP 接口配置常用或必需)在订阅者管理动态配置文件中不受支持。

了解路由器如何处理订阅者发起的 PPP 快速激活请求

在具有模块化端口集中器/模块化接口卡 (MPC/MIC) 的 MX 系列路由器上,MPC/MIC 上的数据包转发引擎处理并响应 PPP 订阅者(客户端)发起并发送到路由器的链路控制协议 (LCP) 回显请求数据包。LCP 回显请求数据包和 LCP 回显回复数据包是 PPP 激活机制的一部分,可帮助确定链路是否正常运行。

以前,LCP 回显请求数据包和 LCP 回显回复数据包由路由引擎在 MX 系列路由器上处理。LCP 回显请求数据包由数据包转发引擎而不是路由引擎处理的机制称为 PPP 快速激活

PPP 快速激活的优势

  • PPP 快速激活使数据包转发引擎能够接收来自 PPP 订阅者的 LCP 回显请求数据包并使用 LCP 回显回复数据包进行响应,从而减少激活交换所需的时间,而无需将 LCP 数据包发送到路由引擎进行处理。

  • PPP 快速激活可在路由器上提供更大的带宽,从而通过使路由引擎不必处理 LCP 回显请求和回显回复数据包来支持更多的用户并提高性能。

  • PPP 快速激活使用协商的幻数来识别到路由器的潜在流量环回或网络问题。如果需要,您还可以禁用验证以防止意外的 PPP 会话终止,例如,当 PPP 远程对等方使用任意号码而不是协商号码时。

PPP 快速激活处理的工作原理

无需在带有 MPC/MIC 的 MX 系列路由器上进行任何特殊配置,即可在数据包转发引擎上处理 PPP 快速激活请求。该功能默认处于启用状态,无法禁用。

以下序列介绍了 MX 系列路由器如何在 MPC/MIC 上的数据包转发引擎上处理 LCP 回显请求数据包和 LCP 回显回复数据包:

  1. 当 PPP 逻辑接口上启用激活请求传输时,路由引擎会通知数据包转发引擎。通知包括服务器和远程客户端的幻数。

  2. 数据包转发引擎接收由 PPP 订阅者(客户端)发起的 LCP 回显请求数据包。

  3. 数据包转发引擎验证 LCP 回显请求数据包中的对等幻数,并传输相应的 LCP 回显回复数据包,其中包含路由器协商的幻数。

  4. 如果数据包转发引擎在链路中检测到环路情况,则会将 LCP 回显请求数据包发送到路由引擎进行进一步处理。

    路由引擎将继续处理 LCP 回显请求数据包,直到环路条件清除。

当前未启用从路由器上的数据包转发引擎传输激活请求。

PPP 快速激活的统计信息显示

当带有 MPC/MIC 的 MX 系列路由器将 PPP 快速激活用于 PPP 链路时,操作命令输出show interfaces pp0.logical statistics中的字段不包括接收或发送的连接数据包数的统计信息,Keepalive statistics或者路由器接收或发送最后一个激活数据包以来的时间量的统计信息。

更改转发类配置的影响

要更改路由引擎生成的出站流量的默认队列分配(转发类),可以在层次结构级别包含 forwarding-class class-name 该语句 [edit class-of-service host-outbound-traffic]

对于在具有 MPC/MIC 的 MX 系列路由器与 PPP 客户端之间传输的 PPP 快速(内联)激活 LCP 回显请求和 LCP 回显回复数据包,更改转发类配置会立即对配置更改后创建的新以太网 PPP (PPPoE)、ATM PPP (PPPoA) 和 L2TP 网络服务器 (LNS) 用户会话以及现有 PPPoE、PPPoA 以及在配置更改之前建立的 LNS 订阅者会话。

忽略幻数不匹配

当数据包转发引擎验证收到的 LCP 回显请求数据包中的对等幻数时,它会检查该幻数是否是意外的。收到的号码应与 LCP 协商期间商定的远程对等方号码匹配。远程对等方编号必须不同于本地对等方编号;当它们相同时,预期是存在环回条件(流量正在环回本地对等方)或其他一些网络问题。

当验证检查确定存在不匹配时,这意味着收到的远程对等方编号与协商的编号不同,数据包转发引擎会将失败的 Echo-Reply 数据包发送到路由引擎。如果在一定时间间隔内未收到具有有效幻数的回显回复,PPP 会将其视为激活失败并拆除 PPP 会话。

某些客户设备可能不会协商其本地幻数,而是插入一个任意值作为其在激活数据包中发送到路由器的幻数。此数字被标识为不匹配,会话最终将被丢弃。从 Junos OS 18.1R1 版开始,可以通过将路由器配置为不执行幻数验证检查来避免此结果。由于从未识别出不匹配,路由器将继续与远程对等方交换 PPP 激活数据包。要配置此行为,请将语句 ignore-magic-number-mismatch 包含在 L2TP 组配置文件、在路由器上终止的动态 PPP 用户连接的动态配置文件中,或包含在 LNS 上动态隧道 PPP 用户的动态配置文件中。

源自 RADIUS 的连接状态更新至 CPE 设备

从 Junos OS 20.2R1 版开始,您可以使用 RADIUS 来源的消息来传达 BNG 透明转发到 CPE 设备(如家庭网关)的信息。例如,此信息可能是上游带宽或 CPE 设备所需的某些其他连接速率参数。当您希望动态实施尽可能靠近订阅者的流量管理时,此功能非常有用。

通常,您可以使用 RADIUS 标准属性回复消息 (18) 在 PPP 身份验证期间将此信息传达给 CPE 设备。但是,如果您已将该属性用于其他用途,也可以使用瞻博网络连接状态消息 VSA (26-4874–218)。此 VSA 是回复消息属性 (18) 的逻辑扩展,具有相同的格式和语义。

PPP 使用瞻博网络供应商特定的 LCP 扩展将连接状态消息 VSA 的内容发送到对等家庭网关。PPP 在 LCP 连接-更新-请求消息的“连接-状态-消息”选项中包含此信息。

RADIUS 可以通过以下方式将连接状态消息 VSA 发送到 authd:

  • 在 PPP 会话协商和授权期间的 RADIUS 访问-接受消息中

  • 在 RADIUS CoA 请求中随时用于活动 PPP 会话

您可以将这两种方法用于企业或住宅订阅者的任何给定会话。访问-接受消息提供初始连接参数。CoA 功能使您能够在会话的整个生命周期中根据需要更新连接速率参数。连接状态消息 VSA 中携带的信息通常是本地配置(如动态服务配置文件或相应的 ANCP 端口打开消息)应用的流量速率。

注意:

lcp-connection-update如果未在动态客户端配置文件中包含 PPP 选项,PPP 将处理来自 authd 的通知,但不执行任何操作。如果路由器上的 LCP 未处于“打开”状态,则 PPP 不会对 VSA 执行任何操作。

以下步骤描述了当 RADIUS 在访问接受消息中发送 VSA 时发生的情况:

  1. authd 进程从 RADIUS 服务器接收访问-接受消息中的连接状态消息 VSA。

  2. authd 进程将连接状态消息 VSA 发送到 PPP (jpppd)。

  3. PPP NCP 协商在远程网关 PPP 客户端和路由器上的 PPP 之间进行。

  4. 成功的协商会导致家庭激活请求。激活系列后,PPP 会话将进入会话启动状态。

  5. 如果动态客户端配置文件包含 lcp-connection-update PPP 选项,并且路由器上的 LCP 处于“打开”状态,则 PPP 会向网关发送 LCP 连接-更新-请求消息。此消息在连接状态消息选项中包含 VSA 信息。

    • 如果网关支持 LCP 连接-更新-请求,它将向路由器返回 LCP 连接-更新-确认消息。主网关 LCP 在收到请求时必须处于“已打开”状态,否则会丢弃该请求。

    • 如果网关不支持 LCP 连接-更新-请求,它将向路由器返回 LCP 代码拒绝消息。

    注意:

    如果网关没有响应,路由器将重试更新请求。它使用 PPP 默认值,最多重试 10 次,两次尝试间隔为 3 秒。

    注意:

    lcp-connection-update如果未在动态客户端配置文件中包含 PPP 选项,PPP 将处理来自 authd 的通知,但不执行任何操作。如果该选项存在,但路由器上的 LCP 未处于“打开”状态,则 PPP 不会对 VSA 执行任何操作。

以下步骤描述了当 RADIUS 在 CoA 请求中发送 VSA 时发生的情况。这假定 NCP 协商已经成功并且会话处于活动状态。

  1. authd 进程从 RADIUS 服务器接收 CoA 请求中的连接状态消息 VSA。

  2. authd 进程将连接状态消息 VSA 发送到 PPP (jpppd)。

  3. 如果动态客户端配置文件包含 lcp-connection-update PPP 选项,并且路由器上的 LCP 处于“打开”状态,则 PPP 会向网关发送 LCP 连接-更新-请求消息。此消息在连接状态消息选项中包含 VSA 信息。

    • 如果网关支持 LCP 连接-更新-请求,它将向路由器返回 LCP 连接-更新-确认消息。主网关 LCP 在收到请求时必须处于“已打开”状态,否则会丢弃该请求。

    • 如果网关不支持 LCP 连接-更新-请求,它将向路由器返回 LCP 代码拒绝消息。

    注意:

    如果网关没有响应,路由器将重试更新请求。它使用 PPP 默认值,最多重试 10 次,两次尝试间隔为 3 秒。

如果主网关无法收到连接-更新-请求消息,路由器将重试发送该消息。当路由器未从网关收到连接-更新-确认或 LCP 代码-拒绝时,或者当 Ack 消息出现问题时,路由器也会重试请求。默认重试间隔为 3 秒。路由器将重试消息 10 次,直至默认值,然后退出。如果路由器在未收到相应的 Connection-Update-Ack 消息的情况下耗尽所有重试尝试,则会记录该消息,就像收到 PPP 代码拒绝消息一样。

注意:

RADIUS 可以在访问-接受消息或 CoA 请求中包含连接状态消息 VSA 的多个实例。如果发生这种情况,authd 仅使用第一个实例,而忽略任何其他实例。

访问-接受或 CoA 请求可能包含连接状态消息 VSA 以外的其他属性,但 VSA 与任何其他属性之间没有相互依赖关系。即使消息包含激活服务 (26–65) 或停用服务 (26–66) VSA,也是如此。缺乏依赖性意味着即使 authd 没有成功应用其他属性,它仍然会将连接信息发送到 PPP,PPP 又将 VSA 内容发送到家庭网关。

同样,无论 PPP 是否成功地将连接状态消息 VSA 的内容传达给远程网关,authd 都会应用任何其他属性并返回 CoA 响应。即使 CoA 仅包含连接状态消息 VSA,也是如此。此功能是必需的,因为并非所有网关都接受此功能中使用的 LCP 扩展。

消息和选项格式

图 1 显示了连接-更新-请求和连接-更新-确认消息的格式。格式相同,但 表 1显示两条消息的某些字段值不同。

图 1:连接-更新-请求和连接-更新-确认消息格式 Connection-Update-Request and Connection-Update-Ack Message Format
表 1:连接-更新-请求和连接-更新-确认消息的字段值

领域

连接-更新-请求

连接-更新-确认

代码

0 表示供应商特定

0 表示供应商特定

标识符

供应商特定数据包的标识符

与连接-更新-请求消息中的标识符相同。如果此值不匹配,路由器将记录错误并丢弃数据包。这样就可以重试请求消息,就像网关未收到请求消息一样。

长度

数据包中的字节数:12 加上连接状态消息选项的长度

连接更新确认数据包中的字节数:12

魔数

本地 PPP 幻数的协商值

本地 PPP 幻数的协商值

组织唯一标识符 (OUI)

00-21-59(瞻博网络)

00-21-59(瞻博网络)

种类

1 个用于会话更新

2 表示会话确认。对于任何其他值,路由器将记录错误并丢弃数据包。这样就可以重试请求消息,就像网关未收到请求消息一样。

TLV 格式的连接状态消息选项

不支持任何值

您可以配置 PPP 幻数的使用方式。

  • 如果配置 ignore-magic-number-mismatch PPP 选项,则会阻止验证幻数。PPP 会忽略请求中的幻数与 Ack 消息之间的不匹配。如果没有其他验证错误,PPP 将接受连接-更新-确认消息。

  • 如果未配置 ignore-magic-number-mismatch PPP 选项,则会对幻数进行验证。如果确认消息中的幻数与 LCP 协商期间建立的网关幻数不匹配,路由器将记录错误并将连接-更新-确认消息作为无效响应丢弃。这样就可以重试请求消息,就像网关未收到请求消息一样。

有关幻数的详细信息,请参阅 防止在 PPP 激活交换期间验证 PPP 幻数

图 2 显示了“连接-状态-消息”选项的格式。 表 2 列出了字段值。

图2:连接状态消息选项格式 Connection-Status-Message Option Format
表 2:连接状态消息选项的字段值

领域

价值

类型

1

长度

选项中的字节数;2 加上消息的长度。消息长度可以是 1 到 247 字节。

状态消息

连接状态消息 VSA 的内容

为 PPP 配置动态配置文件

动态配置文件充当模板,使您能够创建、更新或删除包含客户端访问(如接口或协议)或服务(如 IGMP)属性的配置。使用动态配置文件,您可以合并客户端(最终是一组客户端)的所有公共属性,并同时应用这些属性。

创建动态配置文件后,配置文件驻留在路由器上的配置文件库中。然后,您可以使用该 dynamic-profile 语句将配置文件附加到接口。要将动态配置文件分配给 PPP 接口,可以在层次结构级别包含 dynamic-profile 语句 [edit interfaces interface-name unit logical-unit-number ppp-options]

要监控配置,请发出 show interfaces interface-name 命令。

有关动态配置文件的信息,请参阅 Junos 订阅者访问配置指南中的动态配置文件概述

有关创建动态配置文件的信息,请参阅《Junos 订阅者访问配置指南》中的配置基本动态配置文件

有关将动态配置文件分配给 PPP 接口的信息,请参阅《Junos 订阅者访问配置指南》中的将动态配置文件附加到静态 PPP 订阅者接口

有关使用动态配置文件对 PPP 订户进行身份验证的信息,请参阅 为 PPP 订户配置动态身份验证

注意:

PPP 订阅者的动态配置文件仅在此版本的 PPPoE 接口上受支持。

防止在 PPP 激活交换期间验证 PPP 幻数

在 LCP 协商期间,对等方之间协商 PPP 幻数。对等方必须具有不同的幻数。当数字相同时,表示本地对等方发送的流量可能存在环回。在这种情况下,本地对等方向远程对等方发送一个新号码。如果远程对等方返回的幻数与本地对等方发送的最新号码不同,则同意这些号码。否则,幻数交换将继续,直到收到有效(不同)号码或进程超时,在这种情况下,会话将被丢弃。

商定数字后,对等方在交换 PPP 激活(Echo-Request/Echo-Reply)数据包时会包含各自的幻数。数据包转发引擎验证每次交换收到的幻数。当从远程对等方收到的 PPP 幻数与 LCP 协商期间商定的值不匹配时,会发生不匹配。当验证检查确定存在不匹配时,数据包转发引擎会将失败的回显请求数据包发送到路由引擎。如果在一定时间间隔内未收到具有有效幻数的回显回复,PPP 会将其视为激活失败并拆除 PPP 会话。

在某些情况下,这种行为是不可取的。某些客户设备无法协商其本地幻数;相反,它会插入一个任意值作为它在激活数据包中发送到路由器的幻数。默认情况下,此数字被标识为不匹配,会话最终将被丢弃。通过阻止数据包转发引擎执行幻数验证检查,可以避免此结果。由于从未识别出不匹配,路由器将继续与远程对等方交换 PPP 激活数据包。

通过将语句作为 ignore-magic-number-mismatch 应用于动态 PPP 配置文件、L2TP LNS 动态配置文件或 L2TP 组配置文件的 PPP 选项之一来禁用幻数验证检查。当远程对等方幻数是预期的协商号码时,配置此语句不会影响 LCP 幻数协商或激活交换。

注意:

由于不执行幻数验证,因此数据包转发引擎不会检测远程对等方是否发送本地对等方的幻数,这表示环路或其他网络问题。这被认为是不太可能出现的情况,因为 LCP 协商已成功完成,这意味着当时不存在环回。

要配置动态配置文件以防止数据包转发引擎检测幻数不匹配:

配置 PPP 选项。

  • 对于在路由器上终止的动态 PPP 订阅者连接:

  • 对于 LNS 内联服务接口上的动态隧道 PPP 订户:

您可以使用该 show ppp interface interface-name extensive 命令查看是否忽略幻数。

如何配置 CPE 设备的 RADIUS 源连接状态更新

您可以使用 RADIUS 来源的消息来传达 BNG 透明转发到 CPE 设备(如家庭网关)的信息。例如,此信息可能是上游带宽或 CPE 设备所需的某些其他连接速率参数。

启用此功能后,PPP 可以对 authd 在 RADIUS 访问-接受消息或 CoA 消息中收到的连接状态消息 VSA (26–218) 进行操作。然后,PPP 在 LCP 连接-更新-请求消息中将 VSA 的内容传送到远程对等方。此操作要求满足以下条件:

  • 至少已成功协商第一个地址族,并且会话处于活动状态。

  • 路由器 LCP 处于“已打开”状态。

否则,PPP 不会对 VSA 执行任何操作。如果不启用该 lcp-connection-update 选项,PPP 将处理来自 authd 的通知,但不执行任何操作。

您可以在与使用 CPE 设备的订阅者关联的动态客户端配置文件中配置此功能。实际上,您正在将其添加到客户端配置文件中的许多其他功能中。此示例仅显示此功能的特定配置。此功能还要求您在 RADIUS 服务器上配置 VSA 26-218;这超出了本文档的范围。

要在 PPP 订阅者接口的动态配置文件中配置连接状态更新,请执行以下操作:

  1. 编辑客户端配置文件中的 PPP 选项。
  2. 启用连接状态更新。

您可以使用 PPP 逻辑接口的命令来确定 show ppp interface extensive LCP 连接更新是否成功。您可以使用命令 show system subscriber-management statistics ppp 监控相关统计信息。

将动态配置文件附加到静态 PPP 用户接口

您可以将动态配置文件附加到静态 PPP 订阅者接口。PPP 订户登录时,将实例化指定的动态配置文件,并将配置文件中定义的服务应用于接口。

要将动态配置文件附加到静态 PPP 订阅者接口,请执行以下操作:

  1. 指定要配置 PPP 选项。
  2. 指定要与接口关联的动态配置文件。

将静态 PPP 订阅者配置迁移到动态配置文件概述

本主题讨论使用动态配置文件将某些静态、已终止的 IPv4 PPP 订阅者配置迁移到动态配置的几个注意事项。在具有旧版 Junos OS 版本(Junos OS 版本 15.1R4 及更高版本)的路由器上管理静态订户的服务提供商需要将其静态订户迁移到运行增强型订阅者管理(Junos OS 15.1R4 版及更高版本)的路由器上使用动态配置文件进行管理。从 Junos OS 18.2R1 版开始,添加了多项增强功能,以促进这些静态服务提供商配置向动态配置文件的过渡。

本地身份验证

某些具有静态配置的提供程序可能使用的 CPE 设备不支持任何身份验证协议,甚至不支持 CHAP 或 PAP。提供程序可以使用 PPPoE 服务名称表作为在静态 PPPoE 逻辑接口上对订阅者进行身份验证和授权的基本方法。如果订阅者 ACI 或 ARI 与表条目不匹配,则通常会丢弃 PPP PADI 和 PADR 数据包。旧版 Junos OS 不支持为身份验证方法配置 了无身份验证 的订阅者。

对于 CPE 不支持身份验证协议(如 PAP 和 CHAP)的订阅者,您可以在本地配置用户名和密码。路由器在联系 RADIUS 服务器进行身份验证时使用这些值。

  • 要配置用于本地身份验证的用户名,请在动态逻辑接口的 PPP 选项中包含该 username-include 语句。您可以根据以下一个或多个属性定义名称:MAC 地址、代理电路 ID、代理远程 ID 和域名。默认情况下,句点 (.) 是名称元素之间的分隔符,但您可以改为定义其他字符。

  • 要配置本地认证密码,请将语句 password 包含在动态逻辑接口的 PPP 选项中。

您可以使用同一动态配置文件来支持不支持身份验证协议的 CPE 和支持身份验证协议的 CPE。

CPE 来源地址分配

对于某些静态配置,不会使用 RADIUS 或路由器上的本地地址池分配订阅者地址。相反,CPE 具有为订阅者配置的静态地址;在 IPCP 协商期间,CPE 请求路由器将该地址分配给订阅者。

从 Junos OS 版本 18.2R1 开始,您可以在 RADIUS 服务器的配置中将通配符地址 255.255.255.255.255 分配给帧路由地址属性 [8]。当 RADIUS 返回具有该值的属性时,jpppd 会自动接受客户端在 IPCP 配置请求消息中提供的订阅者 IP 地址分配,而不是分配其他地址。

标记 2 路由属性

在某些配置中,静态 PPP 订阅者接口配置在不同的 VRF 中。每个 VRF 配置都有静态路由,这些路由指向静态 PPP 用户接口作为下一跃点地址。这些路由可能配置了 tag2 属性;MP-BGP 要求在播发路由时应用适当的本地首选项和社区。

从 Junos OS 18.2R1 版开始,您可以将 RADIUS 服务器配置为在对订阅者进行身份验证时在帧路由属性 [22] 中包含 tag2 属性。

您还必须配置动态配置文件,以便从帧路由属性派生 tag2 值。为此,请指定动态实例化访问路由时要使用的 $junos 帧路由 tag2 预定义变量。或者,您可以将动态配置文件配置为为特定访问路由前缀提供特定的 tag2 值。

有关预定义变量的详细信息,请参阅 Junos OS 预定义变量

好处

  • 当 CPE 不支持 PAP 和 CHAP 等身份验证协议时,本地身份验证允许使用本地存储的密码和用户名为订阅者进行身份验证。

  • CPE 源地址分配使路由器能够接受 CPE 请求的静态配置的用户 IP 地址,而不是从本地或外部源地址池分配地址。

  • tag2 属性支持更详细地指定路由。

在动态配置文件中为静态终止的 IPv4 PPP 订阅者配置本地身份验证

某些具有静态配置的提供程序可能使用的 CPE 设备不支持任何身份验证协议,甚至不支持 CHAP 或 PAP。提供程序可以使用 PPPoE 服务名称表作为在静态 PPPoE 逻辑接口上对订阅者进行身份验证和授权的基本方法。如果用户 ACI 或 ARI 与表条目不匹配,则通常会丢弃 PPP PADI 和 PADR 数据包。

从 Junos OS 18.2R1 版开始,您可以为不支持身份验证协议(如 PAP 和 CHAP)的客户端在本地配置用户名和密码。路由器在联系 RADIUS 服务器进行身份验证时使用这些值。这有助于将静态订阅者迁移到在运行增强型订阅者管理的路由器上使用动态配置文件。

要配置本地身份验证:

  1. 使用一个或多个可用选项配置用户名。
    1. (可选)指定用户名中包含代理电路标识符 (ACI)。ACI 派生自 PPPoE 标记。

    2. (可选)指定用户名中包含代理远程 ID (ARI)。ARI 派生自 PPPoE 标记。

    3. (可选)指定用户名中包含来自客户端 PDU 的 MAC 地址。MAC 地址派生自 PPPoE 数据包。

    4. (可选)指定客户端域名以结束用户名。路由器将 @ 字符添加为此选项的分隔符。

    5. (可选)指定分隔符以分隔组成用户名的组件。默认分隔符为句点 (.)。路由器始终使用 @ 字符作为域名前的分隔符。

  2. 配置订阅者的密码。

当您包含所有选项并使用默认分隔符时,用户名采用以下格式:

例如,请考虑以下示例配置,其中 ACI 为 aci1002,ARI 为 ari349,MAC 地址为 00:00:5e:00:53:ff:

此配置为以下唯一本地用户名生成 $ABC 123$ABC123 的本地密码:

0000.5e00.53ff-aci1002-ari349@example.com

在动态配置文件中为静态终止的 IPv4 PPP 订阅者配置 tag2 属性

在某些配置中,PPP 订阅者使用具有 tag2 属性的静态路由。例如,MP-BGP 使用 tag2 使其能够在播发路由时应用适当的本地首选项和社区。将这些订阅者迁移到在运行增强型订阅者管理的路由器上使用动态配置文件时,可以通过配置路由的特定值或从 RADIUS 服务器派生该值来配置 tag2 属性。此支持在 Junos OS 18.2R1 版中首次提供。

  • 要为路由配置特定的 tag2 值,请执行以下操作:

    • 指定值。

  • 要从 RADIUS 服务器派生 tag2 值,请执行以下操作:

    1. 将 RADIUS 服务器配置为在对订阅者进行身份验证时,将 tag2 属性包含在帧路由属性 [22] 中。有关配置信息,请参阅 RADIUS 服务器文档。配置可能类似于以下示例:

    2. 将动态配置文件配置为使用 $junos 帧路由标记 2 预定义变量从帧路由属性动态派生 tag2 值。

      $junos帧路由 IP 地址前缀预定义变量也会从帧路由属性派生访问路由的 IPv4 地址前缀。

为 PPP 订阅者配置动态身份验证

您可以配置包含 PPP 身份验证的动态配置文件,使 PPP 客户端能够动态访问网络。可以指定 CHAP 或 PAP 身份验证。或者,您还可以控制路由器协商 CHAP 和 PAP 协议的顺序。

对于动态接口,路由器仅支持单向身份验证 — 路由器始终充当身份验证器。在动态配置文件中配置 PPP 身份验证时,CHAP 身份验证支持该选项,该 challenge-length 选项使您能够配置 CHAP 质询消息的最小长度和最大长度。CHAP 身份验证和 PAP 身份验证均不支持任何其他配置选项,包括 passive 语句。

注意:

PPP 订阅者的动态配置文件仅在 PPPoE 接口上受支持。

要在动态配置文件中为 PPP 订阅者接口配置身份验证,请执行以下操作:

  1. 为动态配置文件命名。
  2. 配置动态配置文件的接口和单元。用于 pp0 接口类型和单元的预定义变量。
  3. 配置 PPP 选项。
  4. 指定动态配置文件中使用的身份验证协议。您可以配置 CHAP 或 PAP。这两种身份验证协议都没有其他选项。
  5. (可选)配置 CHAP 质询消息的最小长度和最大长度。
  6. (可选)配置路由器协商 CHAP 和 PAP 身份验证协议的顺序。
  7. (可选)将路由器配置为在 IPCP 协商期间提示 CPE 协商动态 PPPoE 订阅者的 DNS 地址。

修改 CHAP 质询长度

您可以修改路由器发送到 PPP 客户端的质询握手身份验证协议 (CHAP) 质询消息的默认最小长度和最大长度。CHAP 质询消息包含特定 PPP 订阅者会话所特有的信息,用作路由器和客户端之间身份验证机制的一部分,以验证客户端的身份以访问路由器。

默认情况下,CHAP 质询的最小长度为 16 个字节,最大长度为 32 个字节。您可以覆盖此默认值以配置 CHAP 质询最小长度和最大长度,范围为 8 字节到 63 字节。

最佳实践:

建议将 CHAP 质询的最小长度和最大长度都配置为至少 16 个字节。

准备工作:

要配置 CHAP 质询消息的最小和最大长度,请执行以下操作:

  1. 指定要配置 PPP 选项。
    • 对于动态 PPP 订阅者接口:

    • 对于具有 PPP 封装的静态接口:

  2. 指定要配置 CHAP 选项。
    • 对于动态 PPP 订阅者接口:

    • 对于具有 PPP 封装的静态接口:

  3. 指定 CHAP 质询的最小长度和最大长度。
    • 对于动态 PPP 订阅者接口:

    • 对于具有 PPP 封装的静态接口:

    例如,名为 pppoe-client-profile 的动态配置文件中的以下 challenge-length 语句将 CHAP 质询的最小长度设置为 20 字节,将最大长度设置为 40 字节。

示例:最低 PPPoE 动态配置文件

此示例显示了用于静态 PPPoE 接口的动态配置文件的最低配置。配置必须包含 interfaces pp0 节。

验证和管理订阅者管理的 PPP 配置

目的

查看或清除有关订阅者管理的 PPP 配置的信息。

行动

  • 要显示有关 PPP 接口的信息,请执行以下操作:

  • 要显示 PPP 统计信息,请执行以下操作:

  • 要显示 PPP 会话摘要信息,请执行以下操作:

  • 要显示 PPP 地址池信息,请执行以下操作:

版本历史记录表
释放
描述
20.2R1
从 Junos OS 20.2R1 版开始,您可以使用 RADIUS 来源的消息来传达 BNG 透明转发到 CPE 设备(如家庭网关)的信息。
18.2R1
从 Junos OS 18.2R1 版开始,添加了多项增强功能,以促进这些静态服务提供商配置向动态配置文件的过渡。
18.1R1
从 Junos OS 18.1R1 版开始,可以通过将路由器配置为不执行幻数验证检查来避免此结果。