配置同享DCC
同享DCC中1个物理接口可以属于多个Dialer bundle(拨号捆绑),服务于多个Dialer接口但1个Dialer接口只对应1个目的地址,只能使用1个Dialer bundle;1个Dialer bundle中可以包括多个物理接口,每一个物理接口具有不同的优先级。
支持同享DCC的物理接口包括:ADSL接口、G.SHDSL接口、VDSL接口、E1-IMA接口、WAN侧以太网接口、ISDN PRI接口和ISDN BRI接口。
同享DCC的主要配置任务以下(必须的只有前3项)
--- 配置链路层协议和IP地址
--- 使能同享DCC并配置DCC拨号ACL及接口的关联。
--- 配置同享DCC呼唤
--- (可选)配置DCC拨号接口属性。
--- (可选)配置DCC呼唤MP捆绑
--- (可选)配置通过DCC实现动态路由备份
1)配置链路层协议和IP地址
与轮询DCC中的链路层协议配置相同,只是对同享DCC,如果是主叫端,需要在Dialer接口下配置PPP的相干命令,但建议用户在物理拨号接口下也配置相同的PPP相干命令,以确保PPP链路参数协商的可靠性;如果被叫端,需要在物理拨号接口下配置PPP相干命令。
2)使能同享DCC并配置DCC拨号ACL及与接口的关联
在同享DCC中,使能同享DCC、配置DCC拨号ACL及与接口的关联仅能在Dialer接口下配置,不能在物理接口下配置。
3)配置同享DCC呼唤
使用同享DCC实现按需拨号时,由于物理接口随着拨号串的不同而具有不同属性,因此必须在Dialer接口上配置DCC参数,并且只能使用dialer number命令呼唤对真个拨号串。1个Dialer接口只能配置1个拨号串。
4)配置DCC拨号接口属性
步骤与表4⑹相同,只是这里仅可在Dialer接口上配置。
5)配置DCC呼唤MP捆绑
步骤与表4⑺相同。
6)配置通过DCC实现动态路由备份
步骤与表4⑻,只是仅能在Dialer接口上配置。
DCC管理
1)display dialer 【interface interface-type interface-number】:查看拨号接口(可在物理拨号接口中,也可在Dialer接口上)的DCC信息,包括拨号接口的相干参数
2)display interface dialer 【number】:查看Dialer接口的信息,包括Dialer接口的状态信息和统计信息。
3)reset counters interface 【dialer 【number】】:清除Dialer接口统计信息后,之前的统计信息将没法恢复。
如果为了减缓网络压力或调剂拨号配置需要临时撤除拨号链路时,可通过dialer disconnect 【interface interface-type interface-number】任意视图命令手动撤除拨号链路。但此命令只是临时撤除拨号链路:如配置了自动拨号,当到达自动拨号时间时,会重新建立拨号链路;如未配置自动拨号,则当有报文传输时,会再次触发拨号。
PPP配置与管理
PPP是在点对点链路上承载网络层数据报文的1种链路层协议,路由器中的serial接口链路缺省运行的协议就是PPP。Async接口、CPOS接口、ISDN BRI接口、E1-F接口、CE1/PRI接口、T1-F接口、CT1/PRI接口、3G Cellular接口、Dialer接口、虚拟模板接口、POS接口都可运行PPP。
1、PPP介绍及基本工作机制
PPP是在SLIP(Serial Line Internet Protocol,串行线IP)基础上发展起来的。PPP能够提供用户认证、易于扩充、并且支持同/异步通讯,取得广泛利用。配置PPP可以实现PPPoE、PPPoA、PPPoEoA拨号上网及广域网互联。
相对其他链路层协议,PPP有以下优点:
1)对物理层而言,PPP既支持同步链路又支持异步链路,而X.25、FR等仅支持同步链路,SLIP仅支持异步链路;
2)PPP具有良好的扩大性。
3)提供LCP(Link Control Protocol,链路控制协议),主要用来建立、撤除和监控PPP数据链路;
4)提供各种NCP(Network Control Protocol,网络控制协议),如IPCP、IPXCP,主要用来协商在该数据链路上传输的数据包的格式和类型,更好的支持了网络层协议;
5)提供认证协议CHAP(Challenge-Handshake Authentication Protocol,质询握手认证协议)、PAP(Password Authentication Protocol,密码认证协议),用于网络安全方面的认证;
6)无重传机制,网络开消小,速度快。
LCP、NCP、CHAP/PAP就是PPP所包括的3大扩大子协议,而PPP的工作机制正是在这3大扩大子协议协同工作基础上实现的。
全部PPP运行流程分为5个阶段,即Dead(死亡)阶段、Establish(链路建立)阶段、Authentication(身份认证)阶段、Network(网络控制协商)阶段和Terminate(结束)阶段。不同阶段进行不同协议的协商,只有前面的协议协商出结果后,才能转入下1个阶段协议的协商。
通讯双方开始建立PPP链路时,先进入到Establish阶段。
在Establish阶段,PPP链路进行LCP协商。协商内容包括工作方式是SP(Single-link PPP)还是MP(Multilink PPP)、最大接收单元MRU(Maximum Receive Unit)、验证方式和魔术字(magic number)等选项。LCP协商成功落后入Opened状态,表示底层链路已建立。
如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。如果没有配置验证,则直接进入Network阶段。
在Authenticate阶段,如果验证失败,进入Terminate阶段,撤除链路,LCP状态转为Down。如果验证成功,进入Network阶段,此时LCP状态仍为Opened。
在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置1个网络层协议并进行网络层参数协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
NCP协商包括IPCP(IP Control Protocol)、MPLSCP(MPLS Control Protocol)等协商。IPCP协商内容主要包括双方的IP地址。
NCP协商成功后,PPP链路将1直保持通讯。PPP运行进程中,可以随时中断连接,物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能致使链路进入Terminate阶段。
在Terminate阶段,如果所有的资源都被释放,通讯双方将回到Dead阶段,直到通讯双方重新建立PPP连接,开始新的PPP链路建立。
PPP协议在协议栈中的位置
PPP主要由3类协议族组成:
链路控制协议族(Link Control Protocol),主要用来建立、撤除和监控PPP数据链路。(应当主要使用于Establish阶段和Terminate阶段)
网络层控制协议族(Network Control Protocol),主要用来协商在该数据链路上所传输的数据包的格式与类型。(Network阶段)
扩大协议族CHAP(Challenge-Handshake Authentication Protocol)和PAP(Password Authentication Protocol),主要用于网络安全方面的验证。(Authentication阶段)
各字段的含义以下:
Flag域
Flag域标识1个物理帧的起始和结束,该字节为0x7E。
Address域
Address域可以唯1标识对端。PPP协议是被应用在点对点的链路上,因此,使用PPP协议互连的两个通讯装备不必知道对方的数据链路层地址。依照协议的规定将该字节填充为全1的广播地址,对PPP协议来讲,该字段无实际意义。
Control域
该字段默许值为0x03,表明为无序号帧,PPP默许没有采取序列号和确认应对来实现可靠传输。
Address和Control域1起标识此报文为PPP报文,即PPP报文头为FF03。
Protocol域
Protocol域可用来辨别PPP数据帧中信息域所承载的数据包类型。
Protocol域的内容必须根据ISO 3309的地址扩大机制所给出的规定。该机制规定协议域所填充的内容必须为奇数,也就是要求最低有效字节的最低有效位为“1”。
Information域
Information域最大长度是1500字节,其中包括填充域的内容。Information域的最大长度称为最大接收单元MRU(Maximum Receive Unit)。MRU的缺省值为1500字节,在实际利用当中可根据实际需要进行MRU的协商。
如果Information域长度不足,可被填充,但不是必须的。如果填充则需通讯双方的两端能辨认出填充信息和真正需要传送的信息,方可正常通讯。
FCS域
FCS域的功能主要对PPP数据帧传输的正确性进行检测。
在数据帧中引入了1些传输的保证机制,会引入更多的开消,这样可能会增加利用层交互的延迟。
如果当发送端发送的PPP数据帧的协议域字段不符合上述规定,接收端则会认为此数据帧是不可辨认的。接收端向发送端发送1个Protocol-Reject报文,在该报文尾部将填充被谢绝报文的协议号。
在链路建立阶段,PPP协议通过LCP报文进行链路的建立和协商。此时LCP报文作为PPP的净载荷被封装在PPP数据帧的Information域中,PPP数据帧的协议域的值固定填充0xC021。
在链路建立阶段的全部进程中信息域的内容是变化的,它包括很多种类型的报文,所以这些报文也要通过相应的字段来辨别。
Code域
Code域的长度为1个字节,主要是用来标识LCP数据报文的类型。
在链路建立阶段,接收方接收到LCP数据报文。当其Code域的值无效时,就会向对端发送1个LCP的代码谢绝报文(Code-Reject报文)。
Identifier域
Identifier域为1个字节,用来匹配要求和响应,当Identifier域值为非法时,该报文将被抛弃。
通常1个配置要求报文的ID是从0x01开始逐渐加1的。当对端接收到该配置要求报文后,不管使用何种报文回应对方,但必须要求回应报文中的ID要与接收报文中的ID1致。
Length域
Length域的值就是该LCP报文的总字节数据。它是Code域、Identifier域、Length域和Data域4个域长度的总和。
Length域所唆使字节数以外的字节将被当作填充字节而疏忽掉,而且该域的内容不能超过MRU的值。
Data域
Data域所包括的是协商报文的内容,这个内容包括以下字段。
Type为协商选项类型。
Length为协商选项长度,它是指Data域的总长度,也就是包括Type、Length和Data。
Data为协商选项的详细信息。
2、配置PPP基本功能
PPP基本功能包括配置接口的链路层协议为PPP和配置端口的IP地址。基本功能配置完成后,可以初步建立PPP链路。主要包括以下两项任务:
1)配置接口封装的链路层协议为PPP
2)配置接口的IP地址
1种是在接口上直接配置IP地址,另外一种是通过IP地址协商获得IP地址。配置PPP协商IP地址又分为两种情况:
-- 配置装备作为PPP客户端:如本端装备接口封装的链路层协议为PPP,且未配置IP地址,对端已有IP地址时,可把本端装备配置为客户端,使本端装备接口接收PPP协商产生的由对端分配的IP地址。这类方式主要利用于通过ISP访问Internet
--- 配置装备作为PPP服务器
装备作为服务器时可以为对端指定IP地址,但首先要在系统视图下配置本地IP地址池,指明地址池的地址范围,
3、配置PPP的PAP认证
PPP基本功能实现后,用户根据需要配置PAP或CHAP认证。
1)PAP认证:这是1种两次握手验证协议。以明文方式在链路上发送验证密码,完成PPP链路建立后,被验证方会不停地在链路上反复发送用户名和密码,直到身份验证进程结束,安全性不高
PAP认证有PAP单向认证与PAP双向认证:PAP单向认证是指1端作为认证方,另外一端作为被认证方。双向认证是单向认证的简单叠加,即两端都是既作为认证方又作为被认证方。
2)CHAP认证:是1种3次握手验证协议。只在网络上传输用户名,而不传输用户密码,安全性高。
CHAP认证有CHAP单向认证与CHAP双向认证:
CHAP单向认证是指1端作为认证方,另外一端作为被认证方。双向认证是单向认证的简单叠加,即两端都是既作为认证方又作为被认证方。
CHAP认证进程分为两种情况:认证方配置了用户名和认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样可以对认证方的用户名进行确认。
PAP认证需要同时在认证方(实行认证的1方)和被认证方进行配置。在认证方本地要创建好用于对被认证方进行认证的用户账户信息(包括用户名和密码),而在被认证方要配置进行认证时要发送的用户账户信息,并且要与认证方本地用于认证的用户账户信息完全1致。固然,两端还要配置采取相同的PPP认证方式。
4、配置PPP的CHAP认证
当认证方配置了用户名时,可使被认证方验证认证方的资格,以防连接到非法的服务器端,也就是被认证方也有资格验证对方是不是有资格对自己进行认证。就相当于1个双向认证:不但认证方可以对被认证方进行认证,被认证方也可对认证方进行认证,这就是CHAP3次握手进程的基本原理。在认证方没有配置用户名时,CHAP认证进程与PAP认证进程1样。
认证方配置了用户名后的CHAP认证具体步骤以下表4⑴3。双方都要配置认证用户名,创建用于对方认证的本地用户名账户,因此此时被认证方同时需要对认证的资格进行确认。认证方没有配置用户名的CHAP认证的具体步骤如表4⑴4,此时被认证方不需要对认证资格进行确认。
表中所列都是针对CHAP单向认证,双向认证时需要双方同时配置表中的认证方和被认证方。
5、配置PPP协商参数
在装备上还可以有选择的配置1些用于协商的参数具体包括以下可选配置任务
1)协商超时时间间隔
在PPP协商进程中,如果在某个时间间隔内没有收到对真个应对报文,则PPP会重发1次发送的报文,这个时间间隔称为“超时时间间隔”。
2)协商轮询时间间隔
指接口发送keepalive(保持活跃)报文的周期。keepalive报文用于链路状态监测保护,接口如果在5个keepalive周期以后没法收到keepalive报文,认为链路产生故障。
3)协商DNS服务器地址
装备在进行PPP地址协商进程中可以进行DNS地址协商,此时装备可以配置成接受对端分配的DNS地址,也可配置为向对端提供DNS地址。当不可以同时都配。
6)PPP管理
RouterA对RouterB进行单向认证,RouterB不需要对RouterA进行认证。采取PPP PAP认证方式最简单,RouterA作为PAP认证的认证方,RouterB作为PAP认证的被认证方。
认证方RouterA上的配置
①配置接口Serial1/0/0的IP地址及封装的链路层协议为PPP。
②配置PPP认证方式为PAP,认证域名为system
③配置本地用户账户和域。由于要对被认证方进行认证,需要在本地创建用于认证的用户名和密码。
④重启接口,保证配置生效。
被认证方RouterB上的配置
①配置接口serial2/0/0的IP地址及封装的链路层协议为PPP。
这时候PING 10.10.10.9是不通 的。
②配置向认证方RouterA发送PAP认证的PAP用户名和密码
③重启接口,保证配置生效
测试连通性:
8)PAP双向认证配置实例:
拓扑结构通上图,不同的地方是既希望RouterA对RouterB进行简单的PAP认证,也希望RouterB对RouterA进行认证。
RouterA上的配置
①配置接口色rial/0/0的IP地址及封装的链路层协议为PPP。
②配置PPP认证方式为PAP,认证域名为system
③配置本地用户及域,此处的用户名要与RouterB发送的PAP认证用户名和密码1致
④配置本地向RouterB发送的PAP认证用户名和密码,并重启接口,使配置生效
RouterB上的配置
①配置接口serial2/0/0的IP地址及封装的链路层协议为PPP
②配置PPP认证方式为PAP,认证域为system
③配置本地用户及域。此处的用户名要与RouterA发送的PAP认证用户名和密码1致(即user2@system,huawei2)
④配置本地向RouterA发送PAP认证用户名和密码,并重启接口,使配置生效。
这里故意将RouterB向RouterA发送认证的密码写错,发现PING不通,修改过来:
用户必须写全,上面进行了测试,如果user1@system写成user1,也不通。
9)CHAP单向认证配置实例:
拓扑图同上面,不同的地方是希望RouterA对RouterB进行可靠的CHAP认证,而RouterB不需要对RouterA进行认证。仅需配置RouterA作为CHAP认证的认证方,RouterB作为CHAP认证的被认证方。
认证方RouterA上的配置
被认证方RouterB上的配置
RouterB上配置被RouterA以CHAP方式认证时RouterB发送的CHAP用户时,只配置了用户名,没配置密码,1直PING不同,使用ppp chap password cipher password命令加上密码后通了。
上一篇 Retrofic 源码阅读