01 PPP和MP配置.docx
- 文档编号:6077952
- 上传时间:2023-05-09
- 格式:DOCX
- 页数:81
- 大小:81.26KB
01 PPP和MP配置.docx
《01 PPP和MP配置.docx》由会员分享,可在线阅读,更多相关《01 PPP和MP配置.docx(81页珍藏版)》请在冰点文库上搜索。
01PPP和MP配置
目录
6PPP和MP配置6-1
6.1简介6-3
6.1.1PPP简介6-3
6.1.2MP简介6-5
6.1.3参考信息6-6
6.2配置接口封装PPP协议及PPPMRU协商6-6
6.2.1建立配置任务6-6
6.2.2配置接口封装PPP协议6-7
6.2.3使能PPPMRU协商6-7
6.2.4检查配置结果6-8
6.3配置PAP单向认证方式6-8
6.3.1建立配置任务6-8
6.3.2配置验证方以PAP方式认证对端6-9
6.3.3配置被验证方以PAP方式被对端认证6-10
6.3.4检查配置结果6-10
6.4配置CHAP单向认证方式6-11
6.4.1建立配置任务6-11
6.4.2验证方配置用户名时以CHAP方式认证对端6-12
6.4.3验证方没有配置用户名时以CHAP方式认证对端6-13
6.4.4检查配置结果6-13
6.5配置PPP可选参数6-14
6.5.1建立配置任务6-14
6.5.2配置回呼功能6-16
6.5.3配置报文或报文头压缩6-16
6.5.4配置协商超时的间隔6-18
6.5.5设置轮询时间的间隔6-18
6.5.6配置DNS服务器地址协商6-18
6.5.7配置PPP链路质量检测6-19
6.5.8检查配置结果6-19
6.6采用虚拟接口模板进行MP直接绑定6-20
6.6.1建立配置任务6-20
6.6.2创建虚拟接口模板并分配IP地址6-21
6.6.3将接口直接绑定到已配置的虚拟接口模板6-21
6.6.4检查配置结果6-21
6.7采用虚拟接口模板进行MP验证绑定6-22
6.7.1建立配置任务6-22
6.7.2创建虚拟接口模板6-23
6.7.3配置PPP接口工作在MP方式6-24
6.7.4检查配置结果6-24
6.8采用MP-group进行MP绑定6-25
6.8.1建立配置任务6-25
6.8.2将接口加入到MP-group组6-26
6.8.3配置去使能终端标识符协商6-27
6.8.4检查配置结果6-27
6.9配置MP限制参数6-28
6.9.1建立配置任务6-28
6.9.2配置MP最大捆绑链路数6-29
6.9.3配置出报文进行分片的最小报文长度6-29
6.9.4配置MP分片重组窗口功能6-29
6.9.5检查配置结果6-30
6.10维护6-30
6.11配置举例6-31
6.11.1配置PAP示例6-31
6.11.2配置CHAP单向验证示例6-34
6.11.3配置CHAP双向验证示例6-36
6.11.4采用MP-group进行MP绑定示例6-38
6.11.5采用虚拟接口模板进行MP直接绑定示例6-43
6.11.6采用虚拟接口模板进行MP验证绑定示例6-46
6.12故障处理6-52
6.12.1物理链路不能转为Up状态6-52
6.12.2链路始终不能转为Up状态6-53
6.12.3PPP的CHAP验证失败6-53
6.12.4使用虚拟接口模板配置MP不工作6-54
插图目录
图6-1PPP运行流程图6-4
图6-2PAP、CHAP验证示例组网图6-31
图6-3MP-group绑定组网图6-39
图6-4MP直接绑定组网图6-43
图6-5MP配置组网图6-54
6PPP和MP配置
关于本章
本章描述内容如下表所示。
标题
内容
6.1简介
简单介绍PPP和MP的基本概念和原理。
6.2配置接口封装PPP协议及PPPMRU协商
介绍接口封装PPP协议和PPPMRU协商的配置。
6.3配置PAP单向认证方式
介绍PAP验证的配置。
举例:
配置PAP示例
6.4配置CHAP单向认证方式
介绍CHAP验证的配置。
举例:
配置CHAP单向验证示例
举例:
配置CHAP双向验证示例
6.5配置PPP可选参数
介绍PPP可选参数的配置。
6.6采用虚拟接口模板进行MP直接绑定
介绍采用虚拟接口模板进行MP直接绑定的配置。
举例:
采用虚拟接口模板进行MP直接绑定示例
6.7采用虚拟接口模板进行MP验证绑定
介绍采用虚拟接口模板进行MP验证绑定的配置。
举例:
采用虚拟接口模板进行MP验证绑定示例
6.8采用MP-group进行MP绑定
介绍采用MP-group进行MP绑定的配置。
举例:
采用MP-group进行MP绑定示例
6.9配置MP限制参数
介绍MP参数的配置。
6.10维护
调试PPP和MP。
6.11配置举例
介绍PPP和MP的各种组网举例。
6.12故障处理
介绍常见故障的处理过程。
6.1
简介
本节介绍配置PPP(Point-to-PointProtocol)和MP(MultiLinkPPP)所需要理解的知识,具体内容如下所列。
●PPP简介
●MP简介
●参考信息
6.1.1PPP简介
PPP介绍
PPP是在点到点链路上承载网络层数据包的一种链路层协议。
由于它能够提供用户验证,易于扩充,并且支持同异步通信,因而获得广泛应用。
PPP定义了一整套协议,包括:
●链路控制协议LCP(LinkControlProtocol),主要用来建立、拆除和监控数据链路。
●网络层控制协议NCP(NetworkControlProtocol),主要用来协商在该数据链路上所传输的数据包的格式与类型。
●验证协议(PAP和CHAP),用于网络安全方面的验证。
PPP的PAP验证协议
PAP(PasswordAuthenticationProtocol)验证为两次握手验证,口令为明文,PAP验证的过程如下:
●被验证方发送本端用户名和口令到验证方。
●验证方根据本地用户表查看是否有被验证方的用户名以及口令是否正确,然后返回不同的响应(接受或拒绝)。
PAP不是一种安全的验证协议。
当验证时,口令以明文方式在链路上发送,并且由于完成PPP链路建立后,被验证方会不停地在链路上反复发送用户名和口令,直到身份验证过程结束,所以不能防止攻击。
PPP的CHAP验证协议
CHAP(ChallengeHandshakeAuthenticationProtocol)验证为三次握手验证,口令为密文(密钥)。
CHAP单向验证是指一端作为验证方,另一端作为被验证方。
双向验证是单向验证的简单叠加,即两端都是既作为验证方又作为被验证方。
在实际应用中一般只采用单向验证。
CHAP单向验证过程分为两种情况:
验证方配置了用户名和验证方没有配置用户名。
推荐使用验证方配置用户名的方式,这样可以对验证方的用户名进行确认。
●验证方配置了用户名的验证过程
验证方配置了用户名的验证过程如下:
−验证方把随机产生的“质询(Challenge)”报文和本端主机名一起发送给被验证方。
−被验证方收到报文后,根据验证方的用户名在本地用户列表中查找本地口令。
根据查找到的口令和质询报文,通过MD5算法进行计算得出一个数值,并将计算得出的数值和自己的主机名发回验证方(Response)。
−验证方收到Response后,根据其中携带的被验证方主机名,在本端用户表中查找被验证方口令字,找到匹配项后,利用质询报文和被验证方口令字,通过MD5算法进行计算得出一个数值,根据此数值与收到的Response的结果进行比较,然后返回不同的响应(接受或拒绝)。
●验证方没有配置用户名的验证过程
验证方没有配置用户名时,验证方只把“质询”报文发送到被验证方。
被验证方直接根据本地接口设置的口令和质询报文通过MD5算法计算得出一个数值,并将计算得出的数值和自己的主机名发回验证方。
其他过程和验证方配置了用户名时相同。
PPP运行过程
PPP运行过程如图6-1所示。
图6-1PPP运行流程图
●开始建立PPP链路时,先进入到Establish阶段。
●在Establish阶段,PPP链路进行LCP协商。
协商内容包括工作方式是SP(Single-linkPPP)还是MP(MultilinkPPP)、验证方式和最大接收单元等。
LCP协商成功后进入Opened状态,表示底层链路已经建立。
●如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。
●如果验证失败,进入Terminate阶段,拆除链路,LCP状态转为Down。
如果验证成功,进入NCP协商阶段,此时LCP状态仍为Opened,而NCP状态从Initial转到Request。
●NCP协商支持IPCP、MPLSCP、OSCICP等协商。
IPCP协商主要包括双方的IP地址。
通过NCP协商来选择和配置一个网络层协议。
只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
●PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件,例如用户干预。
报文压缩
VRP实现PPP链路层协议上的对IP、UDP、RTP和TCP报文头的压缩,压缩方式有如下三种。
(实时传输协议(RTP)是一个Internet协议标准,它描述了程序管理多媒体数据实时传输的方式。
)
●Stac压缩:
需要协商CCP,是对IP整个报文的压缩。
●TCP/IP报文头压缩:
需要IPCP协商,只压缩报文头的部分。
●PPP头压缩:
只压缩PPP报文头部分。
有关该方面的内容请参考《VRP配置指南QoS》。
6.1.2MP简介
MP是出于增加带宽的考虑,将多个PPP链路捆绑使用的技术。
可以在支持PPP的接口(如Serial接口或低速POS接口)上应用。
MP允许将报文分片,分片报文通过MP的多条PPP链路送往同一目的地。
实现方式
VRP支持两种MP配置方法:
●MP-group
●虚拟接口模板VT(Virtual-Template)
对于同一个虚拟接口模板,建议不要同时配置多种业务(如MP、L2TP、PPPoE等)。
但是对于同一个接口,不能同时绑定到Mp-group和VT中。
采用MP-group方式配置MP时,直接将物理接口加入到MP-group中即可。
采用虚拟接口模板配置MP时,又可以分为两种情况。
●直接绑定
直接将链路绑定到指定的虚拟接口模板,不在虚拟接口模板上对用户进行验证。
对于绑定到虚拟接口模板上的物理接口,可以配置验证,也可以不配置验证。
−配置验证:
用户在接口上通过验证后,接口被直接绑定到指定的虚拟接口模板上。
−不配置验证:
当接口可用时,接口被直接绑定到指定的虚拟接口模板上。
●需要验证的绑定
系统可以根据两个参数对接口进行验证绑定。
−用户名:
PPP链路进行PAP或CHAP验证时接收到的对端用户名。
−终端标识符(EndpointDiscriminator):
唯一标识一台路由器,是进行LCP协商时接收到的对端终端标识符。
可以只根据用户名或终端标识符验证,也可以同时根据用户名和终端标识符验证。
拥有相同用户名或终端标识符的接口被捆绑到同一个虚拟接口模板。
如果配置按用户名把物理接口绑定到VT上,需要配置本端接口用CHAP或PAP方式认证对端。
但同一VT上的不同物理接口的认证方式可以不同。
具体的配置步骤请参见配置PAP单向认证方式或配置CHAP单向认证方式。
同时需要将该物理接口绑定到MP。
实际使用中,通信两端的物理接口也可以配置单向验证方式,即一端直接绑定到虚拟接口模板,另一端则通过用户名绑定到相应的虚拟接口模板。
协商过程
MP的协商包括LCP协商和NCP协商两个过程:
●LCP协商:
两端首先进行LCP协商,除了协商一般的LCP参数外,还要验证对端接口是否也工作在MP方式下。
如果两端工作方式不同,LCP协商不成功。
●NCP协商:
根据MP-group接口或指定虚拟接口模板的各项NCP参数(如IP地址等)进行NCP协商,物理接口配置的NCP参数不起作用。
NCP协商通过后,即可建立MP链路。
6.1.3参考信息
如果要更详细了解PPP的原理,请参考以下文档。
●RFC1661:
ThePoint-to-PointProtocol(PPP)
●RFC1144:
CompressingTCP/IPheadersforlow-speedseriallinks
●RFC1717:
ThePPPMultilinkProtocol(MP)
●RFC1332:
ThePPPInternetProtocolControlProtocol(IPCP)
●RFC1962:
ThePPPCompressionControlProtocol(CCP)
6.2配置接口封装PPP协议及PPPMRU协商
6.2.1建立配置任务
应用环境
点到点的直接连接是广域网连接的一种比较简单的形式,点到点连接的线路上链路层封装的协议主要有PPP和HDLC。
但是HDLC协议只支持同步方式,而PPP协议支持同、异步两种传输方式,因此得到广泛的应用。
PPP协议处于OSI(OpenSystemsInterconnection)参考模型的第二层,主要用在支持全双工的同异步链路上,进行点到点之间的数据传输。
PPP支持MRU(MaximumReceiveUnit)协商机制。
如果链路配置MTU(MaximumTransmitUnit)值,需要使能PPP的MRU协商功能,使链路两端的MTU协商一致后才能进行数据传输。
前置任务
在配置PPP链路层协议之前,需完成配置接口的物理属性。
数据准备
在配置PPP协议或PPPMRU协商之前,需准备以下数据。
序号
数据
1
接口的编号
配置过程
要完成配置接口封装PPP协议和PPPMRU协商的任务,需要执行如下的配置过程。
序号
过程
1
配置接口封装PPP协议
2
使能PPPMRU协商
3
检查配置结果
6.2.2配置接口封装PPP协议
在路由器上进行以下配置。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令link-protocolppp,配置接口的链路层协议为PPP。
对于串口和POS接口,缺省情况下,链路层协议为PPP。
----结束
6.2.3使能PPPMRU协商
在路由器上进行以下配置。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令pppmru-negotiate{ipv4|ipv6},使能链路控制层进行MRU协商。
缺省情况下,链路控制层进行IPv4MRU协商。
若接口配置了IPv6MTU值,需要使能PPPIPv6MRU协商,链路控制层才能进行IPv6MRU协商。
----结束
6.2.4检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
操作
命令
查看接口的PPP协议的配置信息和协商之后MTU的值。
displayinterface[interface-type[interface-number]][|{begin|exclude|include}regular-expression]
执行命令displayinterface,可以看到接口上PPP的配置信息。
例如:
Serial6/0/0currentstate:
UP
Lineprotocolcurrentstate:
UP
Description:
HUAWEI,QuidwaySeries,Serial6/0/0Interface,RoutePort
TheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)
InternetAddressis10.1.1.2/24
LinklayerprotocolisPPP
LCPopened
QoSmax-bandwidth:
64Kbps
Outputqueue:
(Urgentqueue:
Size/Length/Discards)0/50/0
Outputqueue:
(Protocolqueue:
Size/Length/Discards)0/1000/0
Outputqueue:
(FIFOqueue:
Size/Length/Discards)0/256/0
InterfaceisV35
231packetsinput,2784bytes
236packetsoutput,2874bytes
6.3配置PAP单向认证方式
6.3.1建立配置任务
应用环境
PAP认证方式使用明文口令。
被验证方的用户名和密码可以通过AAA模式加入验证方的本地用户列表,也可以通过RADIUS服务器进行。
PAP的单向认证方式是指通信双方,只有一方作为验证方,而另一方作为被验证方。
双向认证也就是双方都既作为验证方,同时也作为被验证方。
本节介绍通过AAA模式将被验证方的用户名和密码加入验证方的本地用户列表完成PAP单向认证的配置。
前置任务
在配置PAP认证方式之前,需完成以下任务。
●配置路由器接口的物理属性
●配置接口封装PPP协议
数据准备
在配置PAP认证方式之前,需准备以下数据。
序号
数据
1
路由器接口编号
2
被验证方的用户名和密码
配置过程
要完成配置PAP单向认证方式的任务,需要执行如下的配置过程。
序号
过程
1
配置验证方以PAP方式认证对端
2
配置被验证方以PAP方式被对端认证
3
检查配置结果
6.3.2配置验证方以PAP方式认证对端
在路由器上进行以下配置。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令aaa,进入AAA视图。
步骤3执行命令local-useruser-namepassword{simple|cipher}password,将被验证方的用户名和密码加入本地用户列表。
步骤4执行命令quit,退出到系统视图。
步骤5执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤6执行命令pppauthentication-modepap[call-in],配置本地以PAP方式验证对端。
步骤7执行命令restart,重启接口。
如果更改用户名或密码,必须在相应接口视图下执行restart或shutdown、undoshutdown命令才能使配置生效。
----结束
6.3.3配置被验证方以PAP方式被对端认证
在路由器上进行以下配置。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令ppppaplocal-useruser-namepassword{cipher|simple}password,配置本地被对端以PAP方式验证时,本地发送PAP用户名和口令。
步骤4执行命令restart,重启接口。
如果更改用户名或密码,必须在相应接口视图下执行restart或shutdown、undoshutdown命令才能使配置生效。
----结束
6.3.4检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
操作
命令
查看当前接口的链路状态和LCP的运行状态
displayinterface[interface-type[interface-number]]
执行命令displayinterface,可以判断接口上PPP的PAP验证方式是否成功。
当LCP处于Open时,表示验证通过。
如下面的显示信息所示。
Serial6/0/0currentstate:
UP
Lineprotocolcurrentstate:
UP
Description:
HUAWEI,QuidwaySeries,Serial6/0/0Interface,RoutePort
TheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)
InternetAddressis10.1.1.2/24
LinklayerprotocolisPPP
LCPopened
QoSmax-bandwidth:
64Kbps
Outputqueue:
(Urgentqueue:
Size/Length/Discards)0/50/0
Outputqueue:
(Protocolqueue:
Size/Length/Discards)0/1000/0
Outputqueue:
(FIFOqueue:
Size/Length/Discards)0/256/0
InterfaceisV35
373packetsinput,4536bytes
379packetsoutput,4756bytes
6.4配置CHAP单向认证方式
6.4.1建立配置任务
应用环境
CHAP认证方式使用密文口令。
被验证方的用户名和密码可以通过AAA模式加入验证方的本地用户列表,也可以通过RADIUS服务器进行。
CHAP的单向认证方式是指通信双方,只有一方作为验证方,而另一方作为被验证方。
双向认证也就是双方都既作为验证方,同时也作为被验证方。
本节介绍通过AAA模式将对端的用户名和密码加入本地用户列表完成CHAP单向认证的配置。
前置任务
在配置CHAP认证方式之前,需完成以下任务。
●配置路由器接口的物理属性
●配置接口封装PPP协议
数据准备
在配置CHAP认证方式之前,需准备以下数据。
序号
数据
1
路由器接口编号
2
验证方的用户名(可选)
3
被验证方的用户名和密码
配置过程
要完成配置CHAP单向认证方式的任务,需要执行如下的配置过程。
序号
过程
1
验证方配置用户名时以CHAP方式认证对端
2
验证方没有配置用户名时以CHAP方式认证对端
3
检查配置结果
步骤1~2是并列的,根据需要选择其中一种进行配置即可。
推荐使用步骤1进行配置。
6.4.2验证方配置用户名时以CHAP方式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 01 PPP和MP配置 PPP MP 配置
![提示](https://static.bingdoc.com/images/bang_tan.gif)