Citrix SD-WAN

PPPoE 会话

以太网点对点协议 (PPPoE) 通过常用客户场所设备(例如 Citrix SD-WAN)将以太网 LAN 上的多个计算机用户连接到远程站点。PPPoE 允许用户共享通用的数字用户线 (DSL)、电缆调制解调器或无线连接到互联网。PPPoE 将通常用于拨号连接的点对点协议 (PPP) 与支持局域网中多个用户的以太网协议相结合。PPP 协议信息封装在以太网框架内。

Citrix SD-WAN 设备使用 PPPoE 向 Internet 服务提供商 (ISP) 提供支持以与拨号连接不同的方式建立持续不间断的 DSL 和电缆调制解调器连接。PPPoE 提供每个用户远程站点会话,通过称为 发现 的初始交换来学习彼此的网络地址。在单个用户和远程站点(例如 ISP 提供程序)之间建立会话后,可以监视该会话。公司使用以太网和 PPPoE 通过 DSL 线路使用共享互联网接入。

Citrix SD-WAN 用作 PPPoE 客户端。它通过 PPPoE 服务器进行身份验证,并获取动态 IP 地址,或者使用静态 IP 地址建立 PPPoE 连接。

要建立成功的 PPPoE 会话,需要以下内容:

  • 配置虚拟网络接口 (VNI)。
  • 用于创建 PPPoE 会话的唯一凭据。
  • 配置 WAN 链接。每个 VNI 只能配置一个 WAN 链接。
  • 配置虚拟 IP 地址。每个会话根据提供的配置获取唯一的 IP 地址(动态或静态)。
  • 在桥接模式下部署设备以使用 PPPoE 静态 IP 地址,并将接口配置为 “受信任”。
  • 静态 IP 优先使用配置来强制服务器提出的 IP;如果与配置的静态 IP 不同,否则会发生错误。
  • 将设备部署为边缘设备,以便将 PPPoE 与动态 IP 结合使用,并将接口配置为 “不受信任”。
  • 支持的身份验证协议有:PAP、CHAP、EA-MD5、EAP-SRP。
  • 多个会话的最大数量取决于配置的 VNI 数量。
  • 创建多个 VNI 以支持每个接口组的多个 PPPoE 会话。

    注意

    允许使用相同的 802.1Q VLAN 标记创建多个 VNI。

PPPoE 配置的限制:

  • 不支持 802.1q VLAN 标记。
  • 不支持 EAP-TLS 身份验证。
  • 地址/控制压缩。
  • 放气压缩。
  • 协议字段压缩协商。
  • 压缩控制协议。
  • BSD 压缩压缩。
  • IPv6 和 IPX 协议。
  • 购买力平价多链接。
  • 范雅各布森风格 TCP/IP 头压缩.
  • 范雅各布森风格 TCP/IP 头压缩连接 ID 压缩选项.
  • LTE 接口不支持 PPPoE

从 Citrix SD-WAN 11.3.1 版本中,需要考虑额外的 8 字节 PPPoE 标头来调整 TCP 最大分段大小 (MSS)。额外的 8 个字节 PPPoE 报头根据 MTU 调整同步数据包中的 MSS。

为了方便配置 PPPoE,DHCP 客户端选项被替换为站点配置下的 SD-WAN Web 管理界面中名为客户端模式的新选项。

ppPoE 选项

下表分别介绍了 MCN 和分支 SD-WAN 设备上可用的客户端模式 PPPoE 配置选项。

MCN

  • PPPoE 静态

Branch

  • PPPoE 静态
  • PPPoE 动态
  • DHCP

配置 MCN 设备

  1. 在 SD-WAN MCN 设备 GUI 中,导航到 配置 > 虚拟 WAN > 配置编辑器。在 基本 选项卡下添加站点。有关详细信息,请参阅中的分支节点配置 配置 MCN

    添加站点 MCN

  2. 创建新站点后,打开 站点 选项卡。从 查看站点 下拉列表中选择新创建的站点

    添加站点 PPPoE

  3. 选择 MCN 站点的接口组。请执行以下操作:

    • 添加虚拟接口。
    • 配置以太网接口。
    • 配置旁路模式。
    • 如有必要,请选择 WCCP
    • 选择安全性 — 可信/不可信。

    对于虚拟接口:

    • 配置名称、防火墙区域、VALN ID 和客户端模式。
    • 配置了多个接口的 VNI 只能有一个接口用于 PPPoE 连接。
    • 如果配置了多个接口和 PPPoE 连接的 VNI 更改为不同的接口,则可以使用监视器页面停止现有会话并启动新会话,然后可以在新接口上建立新会话。

    虚拟接口 ppPoE

  4. 根据您对 MCN 设备上的客户端模式选项的网络配置要求,选择 PPPoE 静态或无。将显示以下更多选项。

    PPPoE MCN 设置

配置以下 PPPoE 参数,然后单击应用

  • 访问集中器 (AC) 名称字段。
  • Service Name(服务名称)。
  • 保留重新连接时间(默认为立即重新连接,’0’)
  • 身份验证类型-(自动/PAP/CHAP/EAP)。
    • 当身份验证选项设置为自动时,SD-WAN 设备将接受从服务器接收的受支持的身份验证协议请求。
    • 将 Auth 选项设置为 PAP/CHAP/EAP 时,将仅接受特定的身份验证协议。如果 PAP 在配置中并且服务器使用 CHAP 发送身份验证请求,连接请求将被拒绝。如果服务器不与 PAP 协商,则会出现身份验证失败。
  • CHAP 包括 – CHAP、Microsoft CHAP 和 Microsoft CHAPv2。
  • EAP 支持 EAP-MD5。
  • 用户名和密码。

    PPPoE MCN 选项

下图显示了分支 SD-WAN 设备的 PPPoE 客户端模式选项。如果选择 PPPoE 动态,则 VNI 必须为“不受信任”。

客户端模式选项

配置 WAN 链接

  1. 在 SD-WAN GUI 中,导航到 站点 > WAN 链接。每个 PPPoE 静态或动态 VNI 只允许创建一个 WAN 链接。WAN 链接配置因客户端模式的 VNI 选择而异。

  2. 如果 VNI 配置为 PPPoE 动态客户端模式:

    • IP 地址和网关 IP 地址字段变为非活动状态。
    • 虚拟路径模式设置为“主”。
    • 无法配置代理 ARP。

    默认情况下,选择网关 MAC 地址绑定。

    广域网链路 PPPoE

  3. 如果 VNI 配置了 PPPoE 静态客户端模式,请配置 IP 地址。

    配置 IP ppPoE

注意

如果服务器不遵守配置的静态 IP 地址并提供不同的 IP 地址,则会发生错误。PPPoE 会话尝试定期重新建立连接,直到服务器接受配置的 IP 地址。

监测 PPPoE 会议

您可以通过导航到 SD-WAN GUI 中的 监视 > PPPoE 页面来监视 PPPoE 会话。

PPPoE 页面提供使用 PPPoE 静态或动态客户端模式配置的 VNI 的状态信息。它允许您手动启动或停止会话以进行故障排除。

  • 如果 VNI 已启动并准备就绪,则 IP 和网关 IP 列将显示会话中的当前值。它表示这些是最近接收的值。
  • 如果 VNI 停止或处于失败状态,则这些值为上次接收的值。
  • 将鼠标悬停在网关 IP 列上显示从接收会话和 IP 的 PPPoE 访问集中器的 MAC 地址。
  • 将鼠标悬停在“状态”值上会显示一条消息,这对于“失败”状态更有用。

    监控 PPPoE

状态 列使用三种颜色代码(绿色、红色、黄色和值)显示 PPPoE 会话的状态。下表描述了状态和描述。您可以将鼠标悬停在状态上以获取描述。

PPPoE 会话类型 颜色 说明
已配置 黄色 VNI 配置了 PPPoE。这是一个初始状态。
正在拨号 黄色 配置 VNI 后,PPPoE 会话状态通过启动 PPPoE 发现移动到拨号状态。数据包信息被捕获。
会话 黄色 VNI 从发现状态移动到会话状态。正在等待接收 IP,如果是动态的,或等待服务器对通告 IP 的确认(如果是静态的)。
已就绪 绿色 接收 IP 数据包,VNI 和关联的 WAN 链接已准备就绪可供使用。
失败 红色 PPP/PPPoE 会话终止。失败的原因可能是配置无效或致命错误。会话将在 30 秒后尝试重新连接。
已停止 黄色 PPP/PPPoE 会话手动停止。
终止 黄色 由于某种原因而终止的中间状态。此状态在一定持续时间后自动启动(正常错误为 5 秒,致命错误为 30 秒)。
已禁用 黄色 SD-WAN 服务处于禁用状态。

故障排除 PPPoE 会话故障

在 监视 页上,当建立 PPPoE 会话时出现问题时:

  • 将鼠标悬停在 失败 状态上显示最近失败的原因。
  • 若要建立新的会话或对活动 PPPoE 会话进行故障排除,请使用 监视-> PPPoE 页面并重新启动会话。
  • 如果 PPPoE 会话手动停止,则在手动启动并激活配置更改或重新启动服务之前,无法启动该会话。

PPPoE 会话可能会因以下原因而失败:

  • 当 SD-WAN 由于配置中的用户名/密码不正确而无法向对等方进行身份验证时。

  • PPP 协商失败-协商没有达到至少一个网络协议正在运行的地步。

  • 系统内存或系统资源问题。

  • 配置无效/错误(错误的 AC 名称或服务名称)。

  • 由于操作系统错误,无法打开串行端口。

  • 没有收到回声数据包的响应(链接不好或服务器未响应)。

  • 有几个连续不成功的拨号会话在一分钟内。

在连续 10 次失败后,观察到失败的原因。

  • 如果故障正常,它将立即重新启动。
  • 如果失败是错误,则重新启动将恢复 10 秒。
  • 如果失败是致命的,则重新启动将恢复 30 秒,然后重新启动。

LCP Echo 请求数据包每 60 秒从 SD-WAN 生成一次,未能接收 5 个回显响应被视为链路失败,并重新建立会话。

PPPoE 日志文件

文件包含与 PPPoE 相关的日志。

要从 SD-WAN GUI 查看或下载 SDWAN_IP_learne.log 文件,请导航到 设备设置 > 日 志/监视 > 日志选项。查看或下载 SDWAN_IP 学习的。日志 文件。

PPPoE 日志

PPPoE 会话