Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PPP 订阅者访问网络概述

PPP 用户接口动态配置文件概述

订阅者管理 PPP 支持允许您为 PPP 用户接口创建和连接动态配置文件。PPP 用户登录时,路由器实例化指定动态配置文件,然后将配置文件中定义的属性应用于接口。

动态配置文件同时用于静态和动态 PPP 接口。对于静态 PPP 接口,您可使用 CLI来连接动态配置文件,用于指定 PPP 选项。对于动态 PPP 接口,动态配置文件将创建接口,包括 PPP 选项。

注意:

仅在 PPPoE 接口上支持动态创建的接口。

与传统的 PPP 支持不同,订阅者管理不允许双向 PPP 身份验证 — 认证仅由路由器执行,远程对等方从不执行。路由器的AAA进程管理订阅者管理的身份验证和地址分配。为动态配置文件配置 PPP 选项时,您可以配置质询握手认证协议 (CHAP) 或密码认证协议 (PAP) 认证,并可以控制路由器协商 CHAP 和 PAP 协议的顺序。此外,对于 CHAP 认证,您可以修改 CHAP 质询消息的默认长度。订阅者管理动态配置文件中不支持其他 PPP 选项,这些选项是传统 PPP 接口配置常用的或必需选项。

了解路由器如何处理订阅者发起的 PPP 快速响应请求

在具有模块化端口集中器/模块化接口卡 (MPC/MIC) 的 MX 系列路由器上,MPC/MIC 进程上的 数据包转发引擎,并响应 PPP 用户(客户端)启动并发送到路由器的链路控制协议 (LCP) Echo-Request 数据包。LCP Echo-Request 数据包和 LCP 回应回复数据包是 PPP 保持机制的一部分,可帮助确定链路是否正常运行。

以前,LCP Echo-Request 数据包和 LCP 回应回复数据包由路由器在 MX 系列路由器上路由引擎。LCP Echo-Request 数据包由 数据包转发引擎而不是由 路由引擎处理的机制称为 PPP 快速响应

PPP 快速保持优势

  • PPP 快速响应器通过使 数据包转发引擎 从 PPP 订阅者接收 LCP Echo-Request 数据包以及使用 LCP Echo-Reply 数据包做出响应,而无需将 LCP 数据包发送到 路由引擎 进行处理,从而缩短保持交换所需时间。

  • PPP 快速响应器在路由器上提供更高的带宽,通过使 路由引擎 无需处理 LCP Echo-Request 和 Echo-Reply 数据包来支持更多的订阅者,提高了性能。

  • PPP 快速响应器使用协商的魔数识别路由器或网络问题的潜在流量回环。如果需要防止意外 PPP 会话终止,您还可以禁用验证,例如,当 PPP 远程对等方使用任意数字而不是协商的编号时。

PPP 快速响应处理的工作原理

对于带 MPC/MIC 的 MX 系列路由器,无需任何特殊配置,就可以在交换机上处理 PPP 快速数据包转发引擎。该功能默认启用,不能禁用。

以下序列介绍 MX 系列路由器如何处理 MPC/MIC 上交换机上的 LCP 回应请求数据包和 LCP 回应数据包转发引擎回复数据包:

  1. 当路由引擎 PPP 逻辑接口数据包转发引擎激活请求时,系统将会通知 用户。通知包含服务器和远程客户端的魔数。

  2. 数据包转发引擎接收 PPP 用户(客户端)启动的 LCP Echo-Request 数据包。

  3. 该数据包转发引擎将验证 LCP Echo-Request 数据包中的对等方魔数,并传输包含由路由器协商的魔数的相应 LCP Echo-Reply 数据包。

  4. 如果 数据包转发引擎检测到链路中的环路情况,它会将 LCP Echo-Request 数据包路由引擎以进一步进行处理。

    路由引擎继续处理 LCP Echo-Request 数据包,直至环路条件清除。

当前未启用从路由器上的 数据包转发引擎激活请求的传输。

PPP 快速保持显示统计信息

当具有 MPC/MIC 的 MX 系列路由器用于 PPP 链路时,操作Keepalive statisticsshow interfaces pp0.logical statistics命令输出中的字段不包括接收或发送的保留数据包数的统计信息,或者路由器自收到或发送最后一个活动数据包以来的时间量。

更改转发类配置的影响

要更改由 路由引擎 forwarding-class class-name [edit class-of-service host-outbound-traffic] 生成的出站信息流的默认队列分配(转发类),您可以在 层次结构级别包含 语句。

对于在 MX 系列路由器(MPC/MIC 和 PPP 客户端)之间传输的 PPP 快速(内联)连续 LCP 回应请求和 LCP 回应回复数据包,更改转发类配置会立即对新的 PPP-over-Ethernet (PPPoE)、PPP-over-ATM (PPPoA) 和 L2TP 网络服务器 (LNS) 用户会话(在配置更改后创建)以及现有 PPPoE、PPPoA、 和 LNS 订阅者会话,这些会话在配置更改之前建立。

忽略魔数不匹配

当数据包转发引擎验证收到的 LCP Echo-Request 数据包中的对等方魔数时,它会检查此魔数是否意外。收到的编号应匹配 LCP 协商期间同意的远程对等方的数量。远程对等方编号必须不同于本地对等方编号;当它们相同时,期望是存在环路条件(信息流将回环回本地对等方)或其他一些网络问题。

当验证检查确定存在不匹配时,即收到的远程对等方编号不同于协商后编号,数据包转发引擎会将发生故障的 Echo-Reply 数据包发送到路由引擎。如果在特定间隔内未收到带有效魔数的 Echo-Reply,PPP 会认为这是一个活动失败,会关闭 PPP 会话。

某些客户设备可能无法协商其本地魔数,而会插入任意值,作为它向活动数据包中路由器发送的魔数。此编号被识别为不匹配,会话最终将丢弃。从Junos OS版本18.1R1,可以将路由器配置为不执行魔数验证检查,以避免产生此结果。由于不匹配从未识别,因此路由器将继续与远程对等方交换 PPP 源数据包。 ignore-magic-number-mismatch 要配置此行为,请包括 L2TP 组配置文件中的语句、在路由器上终止的动态 PPP 用户连接的动态配置文件中或在 LNS 中动态通道 PPP 用户的动态配置文件中。

RADIUS源 CPE 设备的连接状态更新

从Junos OS版本 20.2R1开始,您可以使用 RADIUS 来源的消息来传达 BNG 透明地转发至 CPE 设备的信息,例如家庭网关。例如,此信息可能是 CPE 设备需要的上游带宽或其他一些连接速率参数。当您希望尽可能贴近订户动态地实施流量管理时,此功能非常有用。

通常,您可以在 PPP 认证期间RADIUS标准属性 Reply-Message (18) 将此信息传送给 CPE 设备。但是,如果您已经在将属性用于其他用途,您还可以使用 瞻博网络 连接状态消息 VSA (26-4874–218)。此 VSA 是回复消息属性 (18) 的逻辑扩展,格式和语义相同。

PPP 使用瞻博网络特定供应商的 LCP 扩展,将连接状态消息 VSA 的内容发送到对等方主网关。PPP 在 LCP 连接-更新-请求消息的连接状态消息选项中包含此信息。

RADIUS可以通过以下方式将连接状态消息 VSA 发送至身份验证:

  • 在RADIUS PPP 会话的协商和授权期间显示"访问-接受"消息

  • 在RADIUS活动 PPP 会话的 CoA 请求中

您可以为商业或住宅订户的任何给定会话使用这两种方法。访问接受消息提供初始连接参数。通过 CoA 功能,您可以在整个会话生命周期内根据需要更新连接速率参数。连接状态消息 VSA 中携带的信息通常是由本地配置(如动态服务配置文件或相应的 ANCP 端口连接消息)应用的信息流速率。

注意:

如果在动态客户端配置文件 lcp-connection-update 中不包含 PPP 选项,则 PPP 将处理来自身份验证的通知,但不采取措施。如果路由器上的 LCP 未在打开状态,则 PPP 对 VSA 不采取措施。

以下步骤介绍了当RADIUS接受消息中发送 VSA 时将会怎样:

  1. 身份验证的进程在来自服务器的访问接受消息中接收连接状态消息 VSA RADIUS消息。

  2. 身份验证进程将连接状态消息 VSA 发送到 PPP (jpppd)。

  3. PPP NCP 协商在路由器上的远程网关 PPP 客户端和 PPP 之间发生。

  4. 成功的协商会导致家族激活请求。当家族被激活时,PPP 会话进入会话 Up 状态。

  5. 如果动态客户端配置文件 lcp-connection-update 包括 PPP 选项,且路由器上的 LCP 状态为打开状态,则 PPP 会向网关发送 LCP 连接更新-请求消息。此消息在 连接-状态消息 选项中包含 VSA 信息。

    • 如果网关支持 LCP 连接更新请求,它向路由器返回一条 LCP 连接更新-Ack 消息。主网关 LCP 收到请求时必须打开状态,否则会丢弃请求。

    • 如果网关不支持 LCP 连接更新请求,它向路由器返回一条 LCP 代码拒绝消息。

    注意:

    如果网关不响应,路由器将重试更新请求。它将使用最多 10 次重试的 PPP 默认值,在尝试之间间隔 3 秒。

    注意:

    如果在动态客户端配置文件 lcp-connection-update 中不包含 PPP 选项,则 PPP 将处理来自身份验证的通知,但不采取措施。如果存在选项,但路由器上的 LCP 未在打开状态,则 PPP 不针对 VSA 采取措施。

以下步骤介绍了当系统在RADIUS CoA 请求中发送 VSA 时将发生的情况。假定 NCP 协商已成功且会话处于活动状态。

  1. 身份验证的流程在来自该服务器的连接-状态消息 VSA 的 CoA 请求RADIUS。

  2. 身份验证进程将连接状态消息 VSA 发送到 PPP (jpppd)。

  3. 如果动态客户端配置文件 lcp-connection-update 包括 PPP 选项,且路由器上的 LCP 状态为打开状态,则 PPP 会向网关发送 LCP 连接更新-请求消息。此消息在 连接-状态消息 选项中包含 VSA 信息。

    • 如果网关支持 LCP 连接更新请求,它向路由器返回一条 LCP 连接更新-Ack 消息。主网关 LCP 收到请求时必须打开状态,否则会丢弃请求。

    • 如果网关不支持 LCP 连接更新请求,它向路由器返回一条 LCP 代码拒绝消息。

    注意:

    如果网关不响应,路由器将重试更新请求。它将使用最多 10 次重试的 PPP 默认值,在尝试之间间隔 3 秒。

如果主网关无法收到连接更新请求消息,路由器将重试并发送电子邮件。如果路由器未从网关收到连接更新-Ack 或 LCP Code-拒绝回,或者 Ack 消息出现问题,则还会重试请求。默认重试间隔为 3 秒。路由器将在退出之前,最多重试 10 次短信。如果路由器在未收到适当的连接更新-Ack 消息的情况下耗尽所有重试尝试,则记录邮件,就像收到 PPP Code-拒绝消息一样。

注意:

RADIUS访问接受消息或 CoA 请求中,可包含连接状态消息 VSA 的多个实例。如果发生这种情况,authd 仅使用第一个实例并忽略任何其他实例。

除了连接状态消息 VSA 之外,访问接受或 CoA 请求还包含其他属性,但是 VSA 和任何其他属性之间没有关联。即使消息中包含激活服务 (26–65) 或停用服务 (26–66) VSA,这一点也是如此。缺乏依赖性意味着即使身份验证未成功应用其他属性,它仍将连接信息发送到 PPP,而 PPP 又将 VSA 内容发送到家庭网关。

同样,无论 PPP 是否成功将连接状态消息 VSA 的内容传达给远程网关,身份验证都将应用任何其他属性并返回 CoA 响应。即使 CoA 仅包含连接状态消息 VSA,也是如此。此功能是必需的,因为并非所有网关都将接受此功能中使用的 LCP 扩展。

消息和选项格式

图 1 显示了连接更新-请求和连接更新-确认消息的格式。格式相同,但 表 1 表明两条消息的一些字段值不同。

图 1:连接更新-请求和连接更新-确认消息格式 Connection-Update-Request and Connection-Update-Ack Message Format
表 1:连接更新-请求和连接更新-确认消息的字段值

领域

连接更新-请求

连接更新-确认

代码

0(针对供应商特定)

0(针对供应商特定)

标识符

供应商特定数据包的标识符

与连接更新请求消息中的标识符相同。如果此值不匹配,路由器将记录错误并丢弃数据包。这使得请求消息可以重试,就像网关尚未收到请求消息一样。

长度

数据包中的字节数:12 加上连接状态消息选项的长度

连接更新-Ack 数据包中的字节数:12

魔数

本地 PPP 魔数的协商值

本地 PPP 魔数的协商值

组织唯一标识符 (OUI)

00-21-59(表示瞻博网络

00-21-59(表示瞻博网络

类型

1 个(用于会话更新)

2 个(用于会话确认)。对于任何其他值,路由器将记录错误,并丢弃数据包。这使得请求消息可以重试,就像网关尚未收到请求消息一样。

TLV 格式的连接状态消息选项

不支持任何值

您可以配置 PPP 魔数的使用方式。

  • 如果配置 ignore-magic-number-mismatch PPP 选项,将阻止验证魔数。PPP 将忽略请求中的魔数与 Ack 消息之间的不匹配。如果没有其他验证错误,PPP 接受连接更新-Ack 消息。

  • 如果不配置 ignore-magic-number-mismatch PPP 选项,则魔数要通过验证。如果 Ack 消息中的魔数与在 LCP 协商期间建立的网关的魔数不匹配,路由器将记录错误并丢弃连接更新-Ack 消息作为无效响应。这使得请求消息可以重试,就像网关尚未收到请求消息一样。

有关 魔数的信息,请参阅 在 PPP 保持交换期间阻止 PPP 魔数验证 。

图 2 显示了连接状态消息选项的格式。 表 2 列出了字段值。

图 2:连接状态消息选项格式 Connection-Status-Message Option Format
表 2:连接状态消息选项的字段值

领域

价值

类型

1

长度

选项中的字节数;2 加消息长度。消息长度为 1 到 247 字节。

状态消息

连接状态消息 VSA 的内容

为 PPP 配置动态配置文件

动态配置文件用作模板,允许您创建、更新或移除包含客户端访问属性(例如接口或协议)或服务(如 IGMP)的配置。使用动态配置文件,您可以整合客户端的所有常用属性(并最终一组客户端),并同时应用属性。

创建动态配置文件之后,配置文件就位于路由器的配置文件库中。然后,您可以使用 语句 dynamic-profile 将配置文件附加到接口。要向 PPP 接口分配动态配置文件,您可以在 dynamic-profile 层级包含 [edit interfaces interface-name unit logical-unit-number ppp-options] 语句:

要监控配置,请发出 show interfaces interface-name 命令。

有关动态配置文件的信息,请参阅 " 订阅者访问配置指南Junos 动态配置文件概述

有关创建动态配置文件的信息,请参阅 Junos 用户访问配置指南 中配置基本动态配置文件

有关将动态配置文件分配给 PPP 接口的信息,请参阅 Junos 订阅者访问配置指南 中的 将动态配置文件附加到静态 PPP 用户接口

有关使用动态配置文件认证 PPP 订阅者的信息,请参阅 为 PPP 订阅者配置 动态身份验证

注意:

只有此版本在 PPPoE 接口上才支持 PPP 订户的动态配置文件。

阻止 PPP 保持交换期间 PPP 魔数的验证

PPP 魔数在 LCP 协商期间在对等方之间协商。对等方必须拥有不同的魔数。当数字相同时,表示本地对等方发送的流量中可能有回环。在这种情况下,本地对等方会向远程对等方发送新编号。如果远程对等方返回的魔数不同于本地对等方发送的最新编号,则这些号码已达成一致。否则,魔数交换将继续,直到收到有效(不同)编号或流程时间过长(在这种情况下,会话将丢弃)。

在达成一致编号后,对等方交换 PPP 保持器 (Echo-Request/Echo-Reply) 数据包时,会包含各自的魔数。该数据包转发引擎验证每个交换收到的魔数。如果从远程对等方收到的 PPP 魔数与 LCP 协商期间商定的值不匹配,则发生不匹配。当验证检查确定存在不匹配时,数据包转发引擎将出现故障的 Echo-Request 数据包发送到路由引擎。如果在特定间隔内未收到带有效魔数的 Echo-Reply,PPP 会认为这是一个活动失败,会关闭 PPP 会话。

在某些情况下,这种行为是不需要的。一些客户设备不会协商其本地魔数;而是会插入任意值,作为它发送到路由器的保留数据包中的魔数。默认情况下,此数字被识别为不匹配,会话最终将丢弃。这一结果可以避免,因为数据包转发引擎执行魔数验证检查。由于不匹配从未识别,因此路由器将继续与远程对等方交换 PPP 源数据包。

将 语句包括为 ignore-magic-number-mismatch 动态 PPP 配置文件、L2TP LNS 动态配置文件或 L2TP 组配置文件中应用的 PPP 选项之一,以禁用魔数验证检查。如果远程对等方魔数是预期协商编号,则配置此语句对 LCP 魔数协商或活动数的交换没有影响。

注意:

由于未执行魔数验证,数据包转发引擎无法检测远程对等方是否发送本地对等方的魔数,这表示回环或其他网络问题。这被视为不太可能发生的情况,因为 LCP 协商成功完成,这意味着当时不存在环路。

要配置动态配置文件以防止数据包转发引擎检测魔数不匹配:

配置 PPP 选项。

  • 对于在路由器上终止的动态 PPP 用户连接:

  • 对于 LNS 内联服务接口上的动态隧道 PPP 用户:

您可以使用 命令 show ppp interface interface-name extensive 查看是否忽略魔数。

如何配置RADIUS源 CPE 设备的连接状态更新

您可使用RADIUS消息来传达 BNG 透明地转发至 CPE 设备的信息,例如家庭网关。例如,此信息可能是 CPE 设备需要的上游带宽或其他一些连接速率参数。

启用此功能时,PPP 可以处理通过"访问接受"消息或 CoA 消息RADIUS接收的连接状态消息 VSA (26–218)。然后,PPP 在 LCP 连接更新-请求消息中将 VSA 的内容传送给远程对等方。此操作需要实现以下事实:

  • 至少已成功协商第一个地址族,并且会话处于活动状态。

  • 路由器 LCP 已打开状态。

否则,PPP 对 VSA 不采取措施。如果不启用 选项,PPP 将 lcp-connection-update 处理来自身份验证的通知,但不采取措施。

在使用 CPE 设备与订阅者相关联的动态客户端配置文件中配置此功能。实际上,您将这添加到客户端配置文件中的大量其他功能中。此示例仅显示了此功能的特定配置。此功能还需要在多台服务器上配置 VSA 26-218;RADIUS VSA 26-218;本文没有提供相关内容

要配置 PPP 用户接口动态配置文件中的连接状态更新,请执行以下操作:

  1. 在客户端配置文件中编辑 PPP 选项。
  2. 启用连接状态更新。

您可对 show ppp interface extensive PPP 逻辑接口使用 命令确定 LCP 连接更新是否成功。您可以使用 命令监控相关 show system subscriber-management statistics ppp 统计信息。

将动态配置文件附加到静态 PPP 用户接口

您可以将动态配置文件连接到静态 PPP 用户接口。当 PPP 用户登录时,指定的动态配置文件将实例化,配置文件中定义的服务将应用于接口。

要将动态配置文件连接到静态 PPP 用户接口:

  1. 指定要配置 PPP 选项。
  2. 指定要与接口相关联的动态配置文件。

将静态 PPP 用户配置迁移到动态配置文件概述

本主题讨论使用动态配置文件将某些静态、已终止的 IPv4 PPP 订阅者配置迁移至动态配置的多个注意事项。管理传统 Junos OS 版本(低于 Junos OS 版本 15.1R4) 的路由器上的静态订阅者服务提供商需要将其静态订阅者迁移至使用运行增强订阅者管理(Junos OS 版本 15.1R4 和更高版本)的路由器上的动态配置文件进行管理。从Junos OS版本18.2R1,添加了几个增强功能,以方便这些静态服务提供商配置过渡到动态配置文件。

本地身份验证

一些采用静态配置的提供商可能会使用不支持任何认证协议的 CPE 设备,甚至是 CHAP 或 PAP。提供商可能会将 PPPoE 服务名称表用作静态 PPPoE 逻辑接口上的订阅者进行身份验证和授权的一种简单方法。如果订阅者 ACI 或 ARI 与表条目不匹配,则 PPP PADI 和 PADR 数据包通常丢弃。传统Junos OS版本不支持为认证方法配置 无认证 的用户。

对于 CPE 不支持认证协议(例如 PAP 和 CHAP)的用户,可本地配置用户名和密码。路由器与多台服务器联系时RADIUS这些值进行身份验证。

  • 要配置本地认证用户名,请为 username-include 动态逻辑接口在 PPP 选项中包括 语句。您可以基于以下一个或多个属性定义名称:MAC 地址、代理电路 ID、代理远程 ID 和域名。默认情况下,一个期间 (.) 是名称的元素之间的分隔符,但是您可以改为定义其他字符。

  • 要配置本地认证的密码,请 password 为动态逻辑接口在 PPP 选项中包括 语句。

您可以使用相同的动态配置文件同时支持不支持认证协议的 CPES 和这样做的 CPES。

CPE 源地址分配

对于某些静态配置,通过使用路由器上的 RADIUS本地地址池,不会分配用户地址。相反,CPE 为订阅者配置了静态地址;在 IPCP 协商期间,CPE 会请求路由器将该地址分配给订阅者。

从 Junos OS 版 18.2R1 开始,您可以在 RADIUS 服务器的配置中为帧路由地址属性 [8] 分配 255.255.255 的通配符地址。当RADIUS返回具有该值的 属性时,jpppd 自动接受客户端在 IPCP configure-request 消息中提供的订阅者 IP 地址分配,而不是分配其他地址。

标记 2 路由属性

在某些配置中,静态 PPP 用户接口在不同的 VRF 中配置。每个 VRF 配置都有一个静态路由,指向静态 PPP 用户接口作为下一跃点地址。这些路由可能配置了 tag2 属性;MP-BGP通告路由时,需要应用适当的本地优先级和社区。

从 Junos OS 版本 18.2R1开始,您可以将 RADIUS 服务器配置为在用户进行验证时将 tag2 属性包括到 Framed-Route 属性 [22] 中。

您还必须配置动态配置文件,以从帧路由属性获取 tag2 值。为此,请指定$junos路由动态实例化时要使用的组帧路由-tag2 预定义变量。或者,也可配置动态配置文件,为特定访问路由前缀提供特定标记2 值。

有关 Junos OS变量的信息 ,请参阅 Junos OS 预定义变量 。

好处

  • 当 CPE 不支持 PAP 和 CHAP 等认证协议时,本地认证使用户可以使用本地存储的密码和用户名进行身份验证。

  • CPE 源地址分配允许路由器接受 CPE 请求的静态配置的订阅者 IP 地址,而不是从本地或外部来源的地址池分配地址。

  • tag2 属性允许更详细说明路由。

在动态配置文件中为静态已终止的 IPv4 PPP 订阅者配置本地身份验证

一些采用静态配置的提供商可能会使用不支持任何认证协议的 CPE 设备,甚至是 CHAP 或 PAP。提供商可能会将 PPPoE 服务名称表用作静态 PPPoE 逻辑接口上的订阅者进行身份验证和授权的一种简单方法。如果订阅者 ACI 或 ARI 与表条目不匹配,则 PPP PADI 和 PADR 数据包通常丢弃。

从Junos OS版本18.2R1,您可以为不支持 PAP 和 CHAP 等认证协议的客户端在本地配置用户名和密码。路由器与多台服务器联系时RADIUS这些值进行身份验证。这有助于将静态订阅者迁移到在运行增强订阅者管理的路由器上使用动态配置文件。

要配置本地身份验证:

  1. 使用一个或多个可用选项配置用户名。
    1. (可选)指定用户名中包含代理电路标识符 (ACI)。ACI 从 PPPoE 标记派生。

    2. (可选)指定用户名中包含代理远程 ID (ARI)。ARI 从 PPPoE 标记派生。

    3. (可选)指定用户名MAC 地址来自客户端 PDU 的代理。此MAC 地址从 PPPoE 数据包派生。

    4. (可选)指定客户端域名以终止用户名。路由器将 @ 字符添加为此选项的分隔符。

    5. (可选)指定分隔符以分隔构成用户名的组件。默认分隔符是一个期间 (.)。路由器始终使用 @ 字符作为域名前面的分隔符。

  2. 配置订阅者的密码。

在包含所有选项并使用默认分隔符时,用户名采用以下格式:

例如,考虑以下样本配置,其中 ACI 为 aci1002,ARI 为 ari349,MAC 地址 为 00:00:5e:00:53:ff:

此配置导致为以下唯一本地用户名$ABC 123$ABC123 的本地密码:

0000.5e00.53ff-aci1002-ari349@example.com

在动态配置文件中为静态已终止的 IPv4 PPP 订阅者配置标记2 属性

在某些配置中,PPP 用户可以使用具有 tag2 属性的静态路由。例如,MP-BGP 使用 tag2 来启用它在通告路由时应用相应的本地优先级和社区。当您将这些订阅者迁移到在运行增强型订阅者管理的路由器上使用动态配置文件时,可以通过为路由配置特定值,或从 RADIUS 服务器派生来配置 tag2 属性。此支持首次在 Junos OS 版18.2R1。

  • 要配置路由的特定标记2 值,

    • 指定值。

  • 要从服务器获取 tag2 值,RADIUS:

    1. 配置RADIUS服务器,在用户进行验证时将 tag2 属性包括到 Framed-Route 属性 [22] 中。有关配置RADIUS,请参阅您的安全服务器文档。配置可能类似以下示例:

    2. 配置动态配置文件,以使用 $junos帧路由-tag2 预定义变量从帧化路由属性动态获取 tag2 值。

      组$junos帧路由-route-ip-address 前缀预定义变量从 Framed-Route 属性中派生出接入路由的 IPv4 地址前缀。

为 PPP 订阅者配置动态身份验证

您可以配置包含 PPP 身份验证的动态配置文件,使 PPP 客户端能够动态访问网络。您可以指定 CHAP 或 PAP 认证。或者,您也可控制路由器协商 CHAP 和 PAP 协议的顺序。

对于动态接口,路由器仅支持单向认证 — 路由器始终用作验证器。在动态配置文件中配置 PPP 身份验证时,CHAP 认证 challenge-length 支持 选项,从而允许您配置 CHAP 质询消息的最小长度和最大长度。CHAP 认证或 PAP 认证均不支持其他任何配置选项,包括 passive 语句。

注意:

PPP 用户的动态配置文件仅在 PPPoE 接口上受支持。

要配置 PPP 用户接口动态配置文件中的身份验证:

  1. 为动态配置文件命名。
  2. 配置动态配置文件的接口和单元。用于 pp0 接口类型和单元的预定义变量。
  3. 配置 PPP 选项。
  4. 指定动态配置文件中使用的认证协议。您可以配置 CHAP 或 PAP。认证协议均无附加选项。
  5. (可选)配置 CHAP 挑战消息的最小长度和最大长度。

    请参阅 修改 CHAP 质询长度

  6. (可选)配置路由器协商 CHAP 和 PAP 认证协议的顺序。
  7. (可选)配置路由器以提示 CPE 在 IPCP 协商期间协商动态 PPPoE 用户的 DNS 地址。

修改 CHAP 质询长度

您可以修改路由器发送给 PPP 客户端的质询握手认证协议 (CHAP) 质询消息的默认最小长度和最大长度。CHAP 质询消息包含特定 PPP 用户会话特有的信息,用作路由器和客户端之间的认证机制的一部分,用于验证客户端是否用于访问路由器。

默认情况下,CHAP 质询的最小长度为 16 字节,最大长度为 32 字节。您可以覆盖此默认值,以配置 CHAP 质询的最小长度和范围为 8 字节到 63 字节的最大长度。

最佳做法:

建议将 CHAP 质询的最小长度和最大长度均配置为至少 16 字节。

开始之前:

要配置 CHAP 质询消息的最小和最大长度:

  1. 指定要配置 PPP 选项。
    • 对于动态 PPP 用户接口:

    • 对于采用 PPP 封装的静态接口:

  2. 指定要配置 CHAP 选项。
    • 对于动态 PPP 用户接口:

    • 对于采用 PPP 封装的静态接口:

  3. 指定 CHAP 质询的最小长度和最大长度。
    • 对于动态 PPP 用户接口:

    • 对于采用 PPP 封装的静态接口:

    例如, challenge-length 名为 pppoe-client-profile 的动态配置文件中的以下语句将 CHAP 质询的最小长度设定为 20 字节,将最大长度设定为 40 字节。

示例:最低 PPPoE 动态配置文件

此示例显示了用于静态 PPPoE 接口的动态配置文件的最低配置。配置必须包含部分 interfaces pp0

验证和管理订阅者管理的 PPP 配置

目的

查看或清除有关用于订阅者管理的 PPP 配置的信息。

行动

  • 要显示有关 PPP 接口的信息:

  • 要显示 PPP 统计信息:

  • 要显示 PPP 会话摘要信息,

  • 要显示 PPP 地址池信息:

版本历史记录表
释放
描述
20.2R1
从Junos OS版本 20.2R1开始,您可以使用 RADIUS 来源的消息来传达 BNG 透明地转发至 CPE 设备的信息,例如家庭网关。
18.2R1
从Junos OS版本18.2R1,添加了几个增强功能,以方便这些静态服务提供商配置过渡到动态配置文件。
18.1R1
从Junos OS版本18.1R1,可以将路由器配置为不执行魔数验证检查,以避免产生此结果。