本页内容
PPP 用户接入网络概述
PPP 用户接口的动态配置文件概述
通过支持 PPP 管理,您可以为 PPP 用户接口创建和附加动态配置文件。PPP 用户登录时,路由器会实例化指定的动态配置文件,然后将配置文件中定义的属性应用于接口。
动态配置文件用于静态和动态 PPP 接口。对于静态 PPP 接口,您可以使用 CLI 连接动态配置文件,这些配置文件会指定 PPP 选项。对于动态 PPP 接口,动态配置文件将创建接口,包括 PPP 选项。
动态创建的接口仅在 PPPoE 接口上受支持。
与传统的 PPP 支持不同,订阅者管理不允许双向 PPP 身份验证,身份验证仅由路由器执行,从不由远程对等方执行。路由器的 AAA 进程管理身份验证和地址分配,以便进行订阅者管理。为动态配置文件配置 PPP 选项时,可以配置质询握手认证协议 (CHAP) 或密码认证协议 (PAP) 身份验证,并且可以控制路由器协商 CHAP 和 PAP 协议的顺序。此外,对于 CHAP 身份验证,您可以修改 CHAP 质询消息的默认长度。其他 PPP 选项(对于传统 PPP 接口配置来说是常用的或必需的),在用户管理动态配置文件中不受支持。
了解路由器如何处理用户发起的 PPP 快速激活请求
在配备模块化端口集中器/模块化接口卡 (MPC/MIC) 的 MX 系列 路由器上,MPC/MIC 上的 数据包转发引擎 处理并响应 PPP 用户(客户端)发起并发送至路由器的链路控制协议 (LCP) 回显请求数据包。LCP 回显请求数据包和 LCP 回显应答数据包是 PPP 激活机制的一部分,有助于确定链路是否正常运行。
以前,LCP 回显请求数据包和 LCP 回显回复数据包由路由引擎在 MX 系列路由器上进行处理。由数据包转发引擎(而非路由引擎)处理 LCP 回显请求数据包的机制称为 PPP 快速激活。
PPP 快速激活的好处
PPP 快速激活使数据包转发引擎能够从 PPP 用户接收 LCP 回显请求数据包并使用 LCP 回显回复数据包进行响应,而无需将 LCP 数据包发送到路由引擎进行处理,从而缩短激活交换所需的时间。
PPP 快速激活可在路由器上提供更大的带宽,通过减轻路由引擎处理 LCP 回显请求和回显回复数据包的需要,从而支持更多具有更高性能的用户。
PPP 快速激活使用协商的幻数来识别到路由器的潜在流量环路或网络问题。如果需要,您还可以禁用验证以防止意外的 PPP 会话终止,例如当 PPP 远程对等方使用任意编号而不是协商编号时。
PPP 快速激活处理的工作原理
无需在带有 MPC/MIC 的 MX 系列路由器上进行任何特殊配置,即可在数据包转发引擎上处理 PPP 快速激活请求。默认情况下,该功能处于启用状态,无法禁用。
以下序列描述了 MX 系列 路由器如何处理 MPC/MIC 上数据包转发引擎上的 LCP 回显请求数据包和 LCP 回显回复数据包:
当 PPP 逻辑接口上启用了激活请求的传输时,路由引擎会通知数据包转发引擎。通知包括服务器和远程客户端的幻数。
数据包转发引擎接收由 PPP 用户(客户端)发起的 LCP 回显请求数据包。
数据包转发引擎验证 LCP 回显请求数据包中的对等方幻数,并传输包含路由器协商的幻数的相应 LCP 回显应答数据包。
如果数据包转发引擎检测到链路中的环路情况,则会将 LCP 回显请求数据包发送到路由引擎进行进一步处理。
路由引擎将继续处理 LCP 回显请求数据包,直到环路条件被清除。
当前未启用来自路由器上数据包转发引擎的激活请求传输。
PPP 快速激活的统计信息显示
当带有 MPC/MIC 的 MX 系列路由器对 PPP 链路使用 PPP 快速激活时, Keepalive statistics 作命令输出 show interfaces pp0.logical statistics 中的字段不包括接收或发送的激活数据包数或自路由器接收或发送最后一个激活数据包以来的时间量的统计信息。
更改转发类配置的影响
要更改路由引擎生成的出站流量的默认队列分配(转发类),可以在层次结构级别包含[edit class-of-service host-outbound-traffic]该forwarding-class class-name语句。
对于在具有 MPC/MIC 的 MX 系列路由器与 PPP 客户端之间传输的 PPP 快速(内联)激活 LCP 回显请求和 LCP 回显回复数据包,对于配置更改后创建的新以太网 PPP (PPPoE)、PPP-over-ATM (PPPoA) 和 L2TP 网络服务器 (LNS) 用户会话,以及现有 PPPoE、PPPoA、 和配置更改前建立的 LNS 用户会话。
忽略幻数不匹配
当数据包转发引擎验证收到的 LCP 回显请求数据包中的对等幻数时,它会检查幻数是否意外。收到的号码应与 LCP 协商期间商定的远程对等方的号码匹配。远程对等方编号必须不同于本地对等方编号;当它们相同时,预期存在环路情况(流量环回本地对等方)或其他网络问题。
当验证检查确定存在不匹配(即接收到的远程对等方编号与协商的编号不同)时,数据包转发引擎会将失败的回显回复数据包发送到路由引擎。如果在特定时间间隔内未收到具有有效幻数的回显应答,PPP会将其视为激活故障,并中断PPP会话。
某些客户设备可能不会协商其本地幻数,而是插入任意值作为在激活数据包中发送到路由器的幻数。此数字被识别为不匹配,会话最终会被丢弃。从 Junos OS 18.1R1 版开始,可以通过将路由器配置为不执行幻数验证检查来避免出现此结果。由于无法识别失配,因此路由器将继续与远程对等方交换 PPP 激活数据包。要配置此行为,请将该 ignore-magic-number-mismatch 语句包含在 L2TP 组配置文件中,包含在在路由器上终止的动态 PPP 用户连接的动态配置文件中,或者包含在 LNS 上动态隧道 PPP 用户的动态配置文件中。
也可以看看
CPE 设备的 RADIUS 来源连接状态更新
从 Junos OS 20.2R1 版开始,您可以使用 RADIUS 源消息来传达 BNG 透明转发到 CPE 设备(如家庭网关)的信息。例如,此信息可能是 CPE 设备所需的上游带宽或其他连接速率参数。当您希望在尽可能靠近订阅者的地方动态实施流量管理时,此功能会很有用。
通常,您可以在 PPP 身份验证期间使用 RADIUS 标准属性 Reply-Message (18) 将此信息传送到 CPE 设备。但是,如果您已将该属性用于其他用途,则也可以使用瞻博网络连接-状态-消息 VSA (26-4874–218)。此 VSA 是 Reply-Message 属性 (18) 的逻辑扩展,具有相同的格式和语义。
PPP 使用特定于瞻博网络供应商的 LCP 扩展,将连接-状态-消息 VSA 的内容发送到对等主网关。PPP 在 LCP Connection-Update-Request 消息的 Connection-Status-Message 选项中包含此信息。
RADIUS 可以通过以下方式将连接状态消息 VSA 发送到 authd:
-
在协商和授权 PPP 会话期间的 RADIUS Access-Accept 消息中
-
在任何时候的 RADIUS CoA 请求中,用于活动 PPP 会话
对于商业或住宅订阅者的任何给定会话,您可以同时使用这两种方法。Access-Accept 消息提供初始连接参数。CoA 功能使您能够在会话的整个生命周期中根据需要更新连接速率参数。连接-状态-消息 VSA 中携带的信息通常是由本地配置(例如动态服务配置文件或相应的 ANCP 端口启动消息)应用的流量速率。
如果未在动态客户端配置文件中包括 lcp-connection-update PPP 选项,PPP 将处理来自 authd 的通知,但不执行任何作。如果路由器上的LCP未处于“已打开”状态,则PPP不会对VSA执行任何作。
以下步骤描述了 RADIUS 在 Access-Accept 消息中发送 VSA 时会发生什么情况:
-
authd 进程在来自 RADIUS 服务器的 Access-Accept 消息中接收 Connection-Status-Message VSA。
-
authd 进程将连接状态消息 VSA 发送到 PPP (jpppd)。
-
PPP NCP 协商在远程网关 PPP 客户端与路由器上的 PPP 之间进行。
-
协商成功将产生家庭激活请求。激活家族时,PPP 会话将进入会话启动状态。
-
如果动态客户端配置文件包含
lcp-connection-updatePPP 选项,并且路由器上的 LCP 处于“已打开”状态,则 PPP 会向网关发送 LCP Connection-Update-Request 消息。此消息在 Connection-Status-Message 选项中包含 VSA 信息。-
如果网关支持 LCP Connection-Update-Request,则会向路由器返回 LCP Connection-Update-Ack 消息。家庭网关 LCP 在收到请求时必须处于 Opened 状态,否则会丢弃请求。
-
如果网关不支持 LCP Connection-Update-Request,则会向路由器返回 LCP Code-Reject 消息。
注意:如果网关没有响应,路由器将重试更新请求。它使用 PPP 默认值,最多可重试 10 次,尝试间隔为 3 秒。
注意:如果未在动态客户端配置文件中包括
lcp-connection-updatePPP 选项,PPP 将处理来自 authd 的通知,但不执行任何作。如果该选项存在,但路由器上的LCP未处于“已打开”状态,则PPP不会对VSA执行任何作。 -
以下步骤描述了 RADIUS 在 CoA 请求中发送 VSA 时会发生什么情况。这假定 NCP 协商已经成功,并且会话处于活动状态。
-
authd 进程在来自 RADIUS 服务器的 CoA 请求中接收 Connection-Status-Message VSA。
-
authd 进程将连接状态消息 VSA 发送到 PPP (jpppd)。
-
如果动态客户端配置文件包含
lcp-connection-updatePPP 选项,并且路由器上的 LCP 处于“已打开”状态,则 PPP 会向网关发送 LCP Connection-Update-Request 消息。此消息在 Connection-Status-Message 选项中包含 VSA 信息。-
如果网关支持 LCP Connection-Update-Request,则会向路由器返回 LCP Connection-Update-Ack 消息。家庭网关 LCP 在收到请求时必须处于 Opened 状态,否则会丢弃请求。
-
如果网关不支持 LCP Connection-Update-Request,则会向路由器返回 LCP Code-Reject 消息。
注意:如果网关没有响应,路由器将重试更新请求。它使用 PPP 默认值,最多可重试 10 次,尝试间隔为 3 秒。
-
如果家庭网关未能收到 Connection-Update-Request 消息,路由器将重试发送该消息。当路由器未从网关收到 Connection-Update-Ack 或 LCP Code-Reject 时,或者当 Ack 消息出现问题时,它也会重试请求。默认重试间隔为 3 秒。路由器在退出之前将重试消息,最多按默认值重试 10 次。如果路由器在未收到相应的 Connection-Update-Ack 消息的情况下用尽所有重试尝试,则会像收到 PPP Code-Reject 消息一样记录消息。
RADIUS 可以在 Access-Accept 消息或 CoA 请求中包含 Connection-Status-Message VSA 的多个实例。如果发生这种情况,authd 将仅使用第一个实例,并忽略任何其他实例。
Access-Accept 或 CoA 请求可能包含除 Connection-Status-Message VSA 之外的其他属性,但 VSA 与任何其他属性之间不存在相互依赖关系。即使消息包含激活服务 (26–65) 或停用服务 (26–66) VSA,也是如此。缺乏依赖关系意味着即使 authd 未成功应用其他属性,它仍然会将连接信息发送到 PPP,PPP 又将 VSA 内容发送到家庭网关。
同样,无论 PPP 是否成功将连接状态消息 VSA 的内容传送到远程网关,authd 都会应用任何其他属性并返回 CoA 响应。即使 CoA 仅包含连接状态消息 VSA,也是如此。此功能是必需的,因为并非所有网关都接受此功能中使用的 LCP 扩展。
消息和选项格式
图 1 显示了 Connection-Update-Request 和 Connection-Update-Ack 消息的格式。格式相同,但表 1显示了两条消息的某些字段值不同。
| 字段 |
连接-更新-请求 |
连接-更新-确认 |
|---|---|---|
| 代码 |
0 表示特定于供应商 |
0 表示特定于供应商 |
| 标识符 |
供应商特定数据包的标识符 |
与 Connection-Update-Request 消息中的标识符相同。如果此值不匹配,路由器将记录错误并丢弃数据包。这样可以重试请求消息,就像网关没有收到请求消息一样。 |
| 长度 |
数据包中的字节数:12 加上 Connection-Status-Message 选项的长度 |
Connection-Update-Ack 数据包中的字节数:12 |
| 魔数 |
本地 PPP 魔数的协商价值 |
本地 PPP 魔数的协商价值 |
| 组织唯一标识符 (OUI) |
00-21-59(瞻博网络) |
00-21-59(瞻博网络) |
| 种类 |
1 用于会话更新 |
2 表示会话确认。对于任何其他值,路由器将记录错误并丢弃数据包。这样可以重试请求消息,就像网关没有收到请求消息一样。 |
| 价值观 |
TLV 格式的连接状态消息选项 |
不支持任何值 |
您可以配置 PPP 魔数的使用方式。
-
如果配置
ignore-magic-number-mismatchPPP选项,则会阻止对幻数进行验证。PPP 会忽略请求与 Ack 消息中的幻数之间的不匹配。如果没有其他验证错误,PPP 接受 Connection-Update-Ack 消息。 -
如果未配置
ignore-magic-number-mismatchPPP 选项,则幻数将通过验证。如果确认消息中的幻数与 LCP 协商期间建立的网关幻数不匹配,则路由器将记录错误,并将 Connection-Update-Ack 消息作为无效响应丢弃。这样可以重试请求消息,就像网关没有收到请求消息一样。
有关幻数的详细信息,请参阅 在 PPP Keepalive 交换期间阻止验证 PPP 幻数 。
图 2 显示了 Connection-Status-Message 选项的格式。表 2 列出了字段值。
| 字段 |
value |
|---|---|
| 类型 |
1 |
| 长度 |
选项中的字节数;2 加上消息的长度。消息长度可以是 1 到 247 字节。 |
| 状态消息 |
连接状态消息 VSA 的内容 |
配置 PPP 的动态配置文件
动态配置文件充当模板,让您能够创建、更新或删除包含客户端访问(例如接口或协议)或服务(例如 IGMP)属性的配置。使用动态配置文件,您可以合并客户端(以及最终一组客户端)的所有公共属性,并同时应用这些属性。
创建动态配置文件后,配置文件将驻留在路由器上的配置文件库中。然后,您可以使用该dynamic-profile语句将配置文件连接到接口。要将动态配置文件分配给 PPP 接口,可以在层次结构级别包含[edit interfaces interface-name unit logical-unit-number ppp-options]以下dynamic-profile语句:
[edit interfaces interface-name unit logical-unit-number ppp-options] dynamic-profile profile-name;
要监控配置,请发出命令 show interfaces interface-name 。
有关动态配置文件的信息,请参阅《Junos 订阅者访问配置指南》中的动态配置文件概述。
有关创建动态配置文件的信息,请参阅《Junos 订阅者访问配置指南》中的配置基本动态配置文件。
有关将动态配置文件分配给 PPP 接口的信息,请参阅《Junos 订阅者访问配置指南》中的将动态配置文件连接到静态 PPP 订阅者接口。
有关使用动态配置文件对 PPP 订阅者进行身份验证的信息,请参阅 为 PPP 订阅者配置动态身份验证。
此版本仅在 PPPoE 接口上支持 PPP 用户的动态配置文件。
在 PPP 激活交换期间防止验证 PPP 幻数
在 LCP 协商期间,在对等方之间协商 PPP 幻数。对等节点必须具有不同的幻数。当数字相同时,表示本地对等方发送的流量可能存在环路。在这种情况下,本地对等方会向远程对等方发送一个新号码。如果远程对等方返回的幻数与本地对等方发送的最新数字不同,则会同意这些数字。否则,幻数的交换将继续进行,直到收到有效(不同)数字或进程超时,在这种情况下,会话将被丢弃。
就数字达成一致后,对等方在交换PPP激活(Echo-Request/Echo-Reply)数据包时包含各自的幻数。数据包转发引擎会验证每次交换收到的幻数。当从远程对等方收到的 PPP 魔数与 LCP 协商期间商定的值不匹配时,就会发生不匹配。当验证检查确定存在不匹配时,数据包转发引擎会将失败的回显请求数据包发送到路由引擎。如果在特定时间间隔内未收到具有有效幻数的回显应答,PPP会将其视为激活故障,并中断PPP会话。
在某些情况下,这种行为是不可取的。某些客户设备不会协商其本地幻数;相反,它会插入一个任意值作为在 keepalive 数据包中发送到路由器的幻数。默认情况下,此数字被识别为不匹配,会话最终会被丢弃。可以通过阻止数据包转发引擎执行魔数验证检查来避免此结果。由于无法识别失配,因此路由器将继续与远程对等方交换 PPP 激活数据包。
通过将语 ignore-magic-number-mismatch 句包含在动态 PPP 配置文件、L2TP LNS 动态配置文件或 L2TP 组配置文件中应用的 PPP 选项之一,禁用幻数验证检查。当远程对等方魔数为预期协商号码时,配置此语句不会影响 LCP 魔数协商或激活交换。
由于不执行魔数验证,因此数据包转发引擎不会检测远程对等方是否发送本地对等方的魔数,这表示存在环路或其他网络问题。这被认为是不太可能的情况,因为 LCP 协商成功完成,这意味着当时不存在环路。
要配置动态配置文件以防止数据包转发引擎检测到幻数中的不匹配,请执行以下作:
配置 PPP 选项。
对于在路由器上终止的动态 PPP 用户连接:
[edit dynamic-profiles profile-name interfaces pp0 unit “$junos-interface-unit” ppp-options] user@host# set ignore-magic-number-mismatch
对于 LNS 内联服务接口上的动态隧道 PPP 用户:
[edit dynamic-profiles profile-name interfaces "$junos-interface-ifd-name" unit “$junos-interface-unit” ppp-options] user@host# set ignore-magic-number-mismatch
您可以使用该 show ppp interface interface-name extensive 命令查看是否忽略幻数。
如何配置 RADIUS 来源的 CPE 连接状态更新
您可以使用 RADIUS 源消息传达 BNG 透明转发到 CPE 设备(如家庭网关)的信息。例如,此信息可能是 CPE 设备所需的上游带宽或其他连接速率参数。
启用此功能后,PPP 可以对 authd 在 RADIUS 访问接受消息或 CoA 消息中接收的连接状态消息 VSA (26–218) 进行作。然后,PPP 将 LCP Connection-Update-Request 消息中的 VSA 内容传达给远程对等方。此作要求满足以下条件:
至少第一个地址族已成功协商,并且会话处于活动状态。
路由器 LCP 处于“已打开”状态。
否则,PPP 不会对 VSA 执行任何作。如果未启用该 lcp-connection-update 选项,PPP 将处理来自 authd 的通知,但不执行任何作。
您可以在与使用 CPE 设备的用户关联的动态客户端配置文件中配置此功能。实际上,您会将此添加到客户端配置文件中的许多其他功能中。此示例仅显示此功能的特定配置。此功能还要求您在 RADIUS 服务器上配置 VSA 26-218;这不在本文档的讨论范围内。
要在动态配置文件中为 PPP 用户接口配置连接状态更新:
您可以对 PPP 逻辑接口使用命令 show ppp interface extensive 来确定 LCP 连接更新是否成功。您可以使用命令 show system subscriber-management statistics ppp 监控相关统计信息。
将动态配置文件连接到静态 PPP 用户接口
您可以将动态配置文件连接到静态 PPP 用户接口。PPP 用户登录时,指定的动态配置文件将被实例化,并在配置文件中定义的服务应用于接口。
要将动态配置文件连接到静态 PPP 用户接口,请执行以下作:
将静态 PPP 订阅者配置迁移到动态配置文件概述
本主题讨论使用动态配置文件将某些静态、已终止的 IPv4 PPP 用户配置迁移到动态配置的几个注意事项。在使用旧版 Junos OS 版本(早于 Junos OS 15.1R4 版)的路由器上管理静态订阅者的服务提供商需要将其静态订阅者迁移到在运行增强型订阅者管理(Junos OS 15.1R4 及更高版本)的路由器上使用动态配置文件进行管理。从 Junos OS 18.2R1 版开始,添加了多项增强功能,以便于将这些静态服务提供商配置过渡到动态配置文件。
本地身份验证
某些具有静态配置的提供商可能会使用不支持任何身份验证协议的 CPE 设备,甚至不支持 CHAP 或 PAP。提供商可以使用 PPPoE 服务名称表作为基本方法,在静态 PPPoE 逻辑接口上对订阅者进行身份验证和授权。如果用户 ACI 或 ARI 与表条目不匹配,则通常会丢弃 PPP PADI 和 PADR 数据包。旧版 Junos OS 不支持配置了 身份验证 方法的 无身份验证 订阅者。
对于 CPE 不支持 PAP 和 CHAP 等身份验证协议的用户,可以在本地配置用户名和密码。路由器在联系 RADIUS 服务器进行身份验证时使用这些值。
要配置本地身份验证的用户名,请将该
username-include语句包含在动态逻辑接口的 PPP 选项中。您可以根据以下一个或多个属性定义名称:MAC 地址、代理电路 ID、代理远程 ID 和域名。默认情况下,句点 (.) 是名称元素之间的分隔符,但您可以改为定义其他字符。要配置本地身份验证密码,请将该
password语句包含在动态逻辑接口的 PPP 选项中。
您可以使用相同的动态配置文件来支持不支持 身份验证 协议的 CPE 和支持 协议的 CPE。
CPE 源地址分配
对于某些静态配置,不会使用 路由器上的 RADIUS 或本地地址池来分配用户地址。相反,CPE 为订阅者配置了静态地址;在 IPCP 协商期间,CPE 请求路由器将该地址分配给用户。
从 Junos OS 18.2R1 版开始,您可以将通配符地址 255.255.255.255.255 分配给 RADIUS 服务器配置中的 Framed-Route-Address 属性 [8]。当 RADIUS 返回具有该值的属性时,jpppd 会自动接受客户端在 IPCP 配置请求消息中提供的用户 IP 地址分配,而不是分配其他地址。
Tag2 路由属性
在某些配置中,静态 PPP 用户接口配置在不同的 VRF 中。每个 VRF 配置都有指向静态 PPP 用户接口作为下一跃点地址的静态路由。这些路由可能配置了 tag2 属性;MP-BGP 要求在播发路由时应用适当的本地优先级和社区。
从 Junos OS 18.2R1 版开始,您可以将 RADIUS 服务器配置为在对用户进行身份验证时,将 tag2 属性包含在 Framed-Route 属性 [22] 中。
您还必须配置动态配置文件,以便从 Framed-Route 属性派生 tag2 值。为此,请指定动态实例化访问路由时要使用的 $junos-framed-route-tag2 预定义变量。或者,您可以将动态配置文件配置为为特定的访问路由前缀提供特定的 tag2 值。
有关预定义变量的更多信息,请参阅 Junos OS 预定义变量 。
优势
当 CPE 不支持 PAP 和 CHAP 等身份验证协议时,本地身份验证支持使用本地存储的用户密码和用户名进行身份验证。
CPE 源地址分配使路由器能够接受 CPE 请求的静态配置的用户 IP 地址,而不是从本地或外部源地址池分配地址。
tag2 属性可以更详细地指定路由。
在动态配置文件中为静态终止的 IPv4 PPP 用户配置本地身份验证
某些具有静态配置的提供商可能会使用不支持任何身份验证协议的 CPE 设备,甚至不支持 CHAP 或 PAP。提供商可以使用 PPPoE 服务名称表作为基本方法,在静态 PPPoE 逻辑接口上对订阅者进行身份验证和授权。如果用户 ACI 或 ARI 与表条目不匹配,则通常会丢弃 PPP PADI 和 PADR 数据包。
从 Junos OS 18.2R1 版开始,您可以为不支持 PAP 和 CHAP 等身份验证协议的客户端在本地配置用户名和密码。路由器在联系 RADIUS 服务器进行身份验证时使用这些值。这有助于静态订阅者迁移到在运行增强型订阅者管理的路由器上使用动态配置文件。
要配置本地身份验证:
当您包含所有选项并使用默认分隔符时,用户名将采用以下格式:
mac-address.circuit-id.remote-id@domain-name
例如,考虑以下示例配置,其中 ACI 为 aci1002,ARI 为 ari349,MAC 地址为 00:00:5e:00:53:ff:
[edit dynamic-profiles profile-name interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options local-authentication] user@host# set username-include circuit-id user@host# set username-include remote-id user@host# set username-include mac-address user@host# set username-include domain-name example.com user@host# set username-include delimiter - user@host# set password $ABC123$ABC123
此配置会导致以下唯一本地用户名的本地密码为 $ABC 123$ABC123:
0000.5e00.53ff-aci1002-ari349@example.com
在静态终止的 IPv4 PPP 用户的动态配置文件中配置 Tag2 属性
在某些配置中,PPP 用户使用具有 tag2 属性的静态路由。例如,MP-BGP 使用 tag2 使其能够在播发路由时应用相应的本地优先级和社区。将这些订阅者迁移为在运行增强型订阅者管理的路由器上使用动态配置文件时,可以通过为路由配置特定值或从 RADIUS 服务器派生该值来配置 tag2 属性。这项支持首先在 Junos OS 18.2R1 版中提供。
要为路由配置特定的 tag2 值:
指定值。
[edit dynamic-profiles profile-name routing-options access route prefix] user@host# set tag2 route-tag2
要从 RADIUS 服务器派生 tag2 值:
将 RADIUS 服务器配置为在对用户进行身份验证时,将 tag2 属性包含在 Framed-Route 属性 [22] 中。请参阅 RADIUS 服务器文档,了解配置信息。配置可能类似于以下示例:
user@sub.example.com User-Password := "$ABC123" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Route += "198.51.100.0/24 203.0.113.27 tag 5 distance 10 tag2 3"
将动态配置文件配置为使用 $junos-framed-route-tag2 预定义变量从 Framed-Route 属性动态派生 tag2 值。
[edit dynamic-profiles profile-name routing-options access route "$junos-framed-route-ip-address-prefix] user@host# set tag2 $junos-framed-route-tag2
$junos-framed-route-ip-address-prefix 预定义变量也从 Framed-Route 属性派生访问路由的 IPv4 地址前缀。
为 PPP 订阅者配置动态身份验证
您可以配置包含使 PPP 客户端能够动态访问网络的 PPP 身份验证的动态配置文件。您可以指定 CHAP 或 PAP 身份验证。或者,您还可以控制路由器协商 CHAP 和 PAP 协议的顺序。
对于动态接口,路由器仅支持单向身份验证,路由器始终充当验证器。在动态配置文件中配置 PPP 身份验证时,CHAP 身份验证支持该 challenge-length 选项,该选项允许您配置 CHAP 质询消息的最小长度和最大长度。CHAP 身份验证和 PAP 身份验证均不支持任何其他配置选项,包括 passive 语句。
PPP 用户的动态配置文件仅在 PPPoE 接口上受支持。
要在动态配置文件中为 PPP 用户接口配置身份验证,请执行以下作:
修改 CHAP 质询长度
您可以修改路由器发送给 PPP 客户端的质询握手身份验证协议 (CHAP) 质询消息的默认最小长度和最大长度。CHAP 质询消息包含特定 PPP 用户会话所特有的信息,用作路由器与客户端之间的身份验证机制的一部分,用于验证客户端的身份以访问路由器。
默认情况下,CHAP 质询的最小长度为 16 字节,最大长度为 32 字节。您可以覆盖此默认值,以在 8 字节到 63 字节的范围内配置 CHAP 质询的最小长度和最大长度。
我们建议将 CHAP 质询的最小长度和最大长度都配置为至少 16 个字节。
开始之前:
在接口上配置 CHAP 协议。
有关动态 PPP 用户接口,请参阅 为 PPP 用户配置动态身份验证。
有关使用 PPP 封装的静态接口,请参阅 配置 PPP 质询握手认证协议。
要配置 CHAP 质询消息的最小和最大长度:
示例:最小 PPPoE 动态配置文件
此示例显示用于静态 PPPoE 接口的动态配置文件的最低配置。配置必须包括节 interfaces pp0 。
dynamic-profiles {
ppp-profile-1 {
interfaces {
pp0 {
unit "$junos-interface-unit";
}
}
}
}
验证和管理订阅者管理的 PPP 配置
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。