神州数码各实验配置注意文档.doc

/重点：两个三层交换机之间可以通过Vlan 1 进行路由退出的命令的运用在神州数码的视图下是没有quit的命令的，但并不代表不能用quit，在大多数的视图下，都可以用quit命令退回上一级视图，当然用exit也可以，看个人喜好，但有视图也是例外的，例如：# spanning-tree mst configuration视图下就要用它专用的退出命令：abrotNAT配置：1、 配置acl允许通过的网段；/一般用标准acl2、 配置地址池；ip nat pool+名字+起始IP+终止IP+子网掩码3、 配置nat转换那个网段；Ip nat inside source list +acl名字 pool +地址池名字4、 配置int接口和out接口；【接口试图】ip nat inside【接口试图】ip nat insideNAT server：# ip nat inside source static tcp + 服务的IP地址 + 服务端口 + 要转换成公网的IP地址 + 端口号在发布FTP的时候最好把21和20的都发布出去DNS一定要使用UDP服务路由器enable用户密码和时间配置：1、 enable password 0/7（不验证和验证）+密码 level+权限（默认不配置的时候是15）2、 date（接下来按照指示配置就OK了）配置语言：1、路由器 Chinese2、交换机 language ChineseOSPF路由协议的配置：1、 router id的配置，可以选择配置，配置的时候，要指向路由器接入的端口上的IP地址2、 router ospf +数字（可以随意）network +使能的网段 +子网掩码 +area +区域号（ospf 分单区域和多区域两种,单区域的配置 要注意每一个使能的网段后面的区域号都要一致，多区域配置两个区域相交的那路由器使能网段的时候要配置和对端相对应的区域号）3、 ospf的虚连接配置（ospf的虚连接是只多个不能直接相连接的区域通过建立逻辑的上虚拟连接，建立邻居关系）：area +本网段的区域号 + virtual-link + 相同区域对端的路由器的router id（虚连接链路的配置是运用在至少3个不同区域的ospf上，而且其中两个区域，分别和第三个区域连接）4、可以使用neighbor + 邻接路由的IP地址Ping命令有趣使用：问题：ping 可以学成 ping 1.001 ，写成1.1也能ping通因为ping 的协议的编写时采用了IPV6的机制的，中间是出现连续两个0的情况的话，可以合并，可以可以不写。DHCP服务器在交换机（DCRS-5650）上的配置：1、 开启DHCP服务器 service dhcp2、 定义DHCP的地址池和默认网关，DNS和租用时间：ip dhcp pool +名字（最好用要转换的vlan的vlan号） default-router +默认网关（PC默认网关可以选择vlan的ip） dns-server + DNS服务器的IP地址 network-address +做DHCP的网址网段 lease infinite （永久租用，可以选择时间）3、 定以地址池的范围：使用ip dhcp ip dhcp excluded-address +不要的地址（剩下的是使用的地址）注意：当要求要配置不同两个虚拟局域网的DHCP时，一定要配置两个地址池，按上面的制定，它会自动识别，配置在同一个下会出现后面配置的覆盖了前面配置的WINS服务器名字和域名指定： /出现几率少netbios-name-server 0 /服务器IPdomain-name /服务器域名RIP路由协议的配置：1、 进入RIP视图下：Router rip2、 使能需要的网段：交换机：network +网段/子网掩码位数 Network +vlan +vlan号 Network+接口号路由器：network+网段+子网掩码/子网掩码很重要，不加默认为32，导致不能学习到预想的网段3、rip中的路由引入：Redistribute + 引入的路由协议 +协议号（有就要写）/rip引入的时候，有时候要注意版本（不通可以换版本2）路由引入：不管在RIP引入ospf还是在OSPF引入rip ，都同样的配置，视图都是各自的配置视图，要注意的是，一般要学习到直连的网段的路由，必需引入直连路由。ACL的配置：Acl的命名：Acl的命名重要的是简单明了，要能区分不用的acl，但交换机和路由器是有些不同的扩展acl中：交换机不能以数字命名，例：ip access-list extended 32（不正确的）路由器可以使用数字ACL包括：标准ACL（standard）只能定义简单的网段，最好用在nat转换上 扩展ACL（extended）可以控制协议、端口、时间等，使用在高级控制中 数字ACL（交换机才有数字ACL，路由器没有数字ACL）标准ACL在路由器和交换机的配置区别：交换机：#ip access-list standard +ACL名字 #permit/deny +IP地址网段+反子网掩码路由器：#ip access-list standard +ACL名字 #permit/deny +IP地址网段+正子网掩码/经典配置例子：只允许Vlan 10（/24）在09：00-18:00的时间访问FTP服务器（/24），配置如下：（1）创建时间表# time-range T1# periodic weekdays 09:00 to 18:00（2）建立acl 控制# ip access-list extended A1# permit tcp eq ftp time-range T1# deny tcp any eq ftp /这个很重要（3）运用到接口上：（要用对接口，一般用在和服务器连接的接口，而且是出口，要看准）# int vlan + 要运用acl的接口# ip access-group A1/在配置允许某个网段只有在特定的时间才能上网的时候，也用time-range和acl 来控制要转换的网段。配置拒绝vlan 10和vlan 20之间的通信的配置，使用扩展acl ，配置在最近的端口上。镜像端口配置：1、monitor session 1 sourc interface +源端口+进入管理/出去管理/进入出去管理/可以acl列表 （ 当出现要求特定的数据包做镜像的时候，就要用到acl）2、monitor session 1 destination intface + 目的端口注意：做了链路聚合之后不能相互镜像，因为是在同一个组内，发的数据相同，看做是一个接口端口带宽限制和工作模式配置：端口视图#bandwidth control +允许的速度（单位比特/秒）+ 指定进出（进、出、进出）端口速度配置，在DCRS-5650的配置中，用的单位是M/s 端口视图#speed-duplex + 工作模式和速率（例：speed-duplex force10-half 10兆半双工）防ARP扫描功能配置：1、 开启防ARP扫描功能：# anti-arpscan enable2、 进入端口视图配置信任端口： 端口视图# anti-arpscan trust port（后面跟supertrust-port是设置为超级信任端口）3、 设置信任IP：#anti-arpscan trust ip + 信任的IP地址 + 子网掩码端口的安全配置（端口绑定配置）：1、 在端口视图下开启端口安全：端口视图# switchport port-security2、 配置最大连接数（设置MAC的最大连接数）：端口视图#switchport port-security maximum + 连接最大数3、 配置安全违背模式（超过最大连接数执行）：端口视图#switchport port-security violation + 关闭/保护模式4、 配置静态MCA地址与端口绑定：端口视图#switchport port-security mac-address + 要绑定的端口5、 动态实现配置MAC地址与端口绑定：（1） 启动端口安全功能：端口视图#switchport port-（2） 锁定端口，关闭MAC地址学习功能：端口视图#switchport port-security lock（3） 动态学习到的MAC地址转换为静态：端口视图# switchport port-security convert（4） 启动定时器：端口视图#switchport port-security timeout + 超时的时间/另一种配置的方法：DCS-3926(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface ethernet 0/0/10DCS-3926(config)#interface ethernet 0/0/10DCS-3926(config-ethernet0/0/10)#switchport port-securityDCS-3926(config-ethernet0/0/10)#switchport port-security lockDCS-3926#show mac-address-table 6、 ip地址与端口与MAC地址绑定： /三层交换机没有IP地址绑定功能（1） 启动am访问控制功能：#am enable （2） 进入接口视图配置IP与MAC地址的绑定： 要绑定的接口视图# am port （先使能要绑定的端口，才能配置）要绑定的接口视图# am mac-ip-pool + 要绑定的MAC地址 + 要绑定的IP地址动态MAC地址绑定：登录MAC地址和端口绑定只有在配置的时候才能把动态学习到的MAC地址绑定到端口上，之后的不能够再动态绑定，如果没有绑定，则按照规定处理端口，例如关闭。最大连接数是只一个端口最大绑定多少个MAC地址；。注意：当IP地址和端口和MAC地址绑定了的时候，这台PC机就不能插在别的端口上使用了，就算插上去也会出现错误，不能互通。13.mac地址表绑定mac-address-table static address mac地址 vlan 编号 int e 0/0/编号/解释: 让mac地址只能在指定vlan中的指定端口中使用,其他的都不能使用(未测试)14.mac地址过滤mac-address-table blackhole address mac地址 vlan 编号/解释: 让mac地址在指定vlan中不能使用(未测试)QOS的配置：交换机基于ACL的QOS配置1、 启动QOS服务：#mls qos2、 定义ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.3、 建立class-map，根据ACL分类：#class-map + 图的名字（例如：Q2）#match access-group + 根据的分类的ACL名字（例如：Q1）4、 建立policy-map策略表，把class-map图加入策略表中,定义动作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /两种动作如下：（1）#police + 【报文带宽限制大小（例如：10M，单位bit/s）】+ 【突发最高值（例如：4M，单位bit/s）】 exceed-action + 【超速率动作（例如：diop丢包）】（2）#set ip + 【控制参数类型（例如：改变dscp值为0 #set ip dscp 0）dcsp的值0-63，值越小，优先级越大】5、把策略表运用到接口上： #interface + 运用到策略表的接口（一般进接口） 接口视图#service-policy input + 策略表的名字（例如：Q3）路由器基于ACL的QOS配置：注意：启动QOS服务：#mls qos 只有DCRS-5650中才用到这个指令，路由器中式没有的，估计默认QOS开启1、 定义ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.2、 建立class-map，根据ACL分类：#class-map +【 图的名字（例如：Q2）】 match access-group + 【根据的分类的ACL名字（例如：Q1）】-和交换机的区别3、 建立policy-map策略表，把class-map图加入策略表中,定义动作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /两种动作如下：police 8000 1 conform-action transmit（1）#police + 【报文带宽限制大小（例如：10M，单位bit/s）】+ 【突发最高值（例如：4M，单位bit/s）】 conform-action transmit（遵循规则）-和交换机的区别（2）#set ip + 【控制参数类型（例如：改变dscp值为0 #set ip dscp 0）dcsp的值0-63，值越小，优先级越大】注意：路由器允许的最低流量为8000bit/s4、把策略表运用到接口上： #interface + 运用到策略表的接口（一般进接口） 接口视图#service-policy input + 策略表的名字（例如：Q3）路由器接口的限制速度配置：接口视图下# rate-limit input或output + 限制的源路由器PQ的QOS配置：（DCRS-5650交换机没有PQ的QOS）1、 定义ACL：#ip access-list standard +ACL名字（例如：QO1）#permit/deny.2、 配置优先级列表：#priority-list +（优先级列表号1-16，例如：1） protocol ip +【等级（4种等级，例如high）】list + （要控制的ACL名字，例如QO1）3、 把优先级列表运用到接口上：#interface + 要运用列表的接口（一般是进入的接口）接口视图#priority-group + （优先级列表号，例如：1）例子如下：（配置vlan10 的优先上传服务器）/配置QOSDCR-2626B_config#mls qosDCR-2626B_config#ip access-list standard 1（acl名字）DCR-2626B_config_std_nacl#permit （vlan10网段）DCR-2626B_config_std_nacl#exitDCR-2626B_config#priority-list 1 （priority-list名字）protocol ip high list 1（acl名字）/把列表运用到接口上（数据的进入接口）DCR-2626B_config#interface fastEthernet 0/3DCR-2626B_config_f0/3#priority-group 1 （priority-list名字）DCR-2626B_config_f0/3#exitDCR-2626B_config#exit策略路由的配置:1、 建立ACL控制源地址：#ip access-list standard +ACL名字（例如：CL1）#permit/deny.2、 基于ACL建立route-map，并制定策略（例如：指定下一跳）：#route-map +【 map名字，例如：CL2】+ permit/deny#match ip address + 【ACL名字，控制的源地址，例如：CL1】 /可以制定多种策略：（下面与下一跳为例子） #set ip next-hop + 下一跳的IP地址3、 把route-map绑定到接口上：#interface + 要绑定的接口（一般为进入源地址的接口）接口视图#ip policy route-map +【 map的名字，例如：CL2】时间表的配置：（定义一张时间表）# time-range +【时间表的名字】#periodic + 星期日期（例如：weekdays）+开始时间（例如：09：00）to +结束时间（例如：18：00）时间表可以运用到到ACL中，例子如下：（定义acl让 在星期一到星期五09:0018:00期间可以访问web服务器54）DCR-2626A_config# time-range vistweb（名字）DCR-2626A_config_time_range# periodic weekdays 09:00 to 18:00 DCR-2626A_config_time_range# exitDCR-2626A_config# ip access-list extended vistweb（ACL名字）DCR-2626A_config_ext_nacl# permit tcp 54 eq www time-range vistweb（time-range名字）DCR-2626A_config# interface fastEthernet 0/0DCR-2626A_config_f0/0# ip access-group vistweb （ACL名字）inVPN的配置：VPN的GRE类型的配置：1、 创建Tunnel接口，虚拟通道，并设置IP地址（两端的IP地址一定要在同一网段）：Tunnel接口视图# interface tunnel + 端口号（例如：0）Tunnel接口视图# ip address + tunnel接口的IP地址 + 子网掩码 2、 指定物理源端口与物理目的端口：Tunnel接口视图# tunnel source +【 本段出外网的接口或IP地址】Tounel接口视图# tunnel destination +【对端进入内网接口或IP地址】3、 设置tounel的密钥（可选）： Tounel接口视图# tunnel key + 【密钥数字，例如：4】4、 发布要VPN保护数据的网段：用静态路由把指向对端的内网，下一跳为Tunnel口# ip route + 【保护数字网段】 + 【子网掩码】 + 【下一跳tunnel接口（例如：tunnel 0）】（两端的配置基本一样，但要注意源端口和目的端口的互换，要注意在同一网段，和网段的发布）VPN的IPSec类型：1、自动协商（1）定义要保护的数据源网段（使用扩张acl） /要注意定义源地址和目的地址都是保护的网段，配置（略）（2）配置IKE策略# crypto isakmp policy + 【优先级（例如：10）】Isakmp视图# authentication pre-share /认证方法Isakmp视图# encryption des /加密方式Isakmp视图# hash md5 /设置算法Isakmp视图# group + 【DH号（1或2）】 /可选Isakmp视图# lifetime + 【生存时间，例如：86400】 # crypto isakmp key + 【密码（例如：u1）】 + 【指定对端公网口的IP地址】（3）创建变换集# crypto ipsec transform-set + 【变换集的名字，例如：T1】 /名字一定要记住后面要用# transform-type esp-des esp-md5-hmac （设置ESP加密和认证，如果没有指定，就配置上面两个）#mode + 【模式（例如：tunnel）】 /默认的情况下为tunnel（4）关联变换集和创建对等体 # crypto map +【名字，例如：M1】 +【序列号，例如：1】+ ipsec-isakmp 协商模式 # set transform-set + 【变换集名字，例如：T1】 /关联变换集 # set peer + 【对端公网口上的IP地址】 /要注意端口的IP不要指错 # match address + 【ACL的名字，控制保护源网段的扩展ACL的名字】（5）运用到接口上 # interface + 要运用的接口 接口视图# crypto map + 【名字，例如：M1】（6）把对端保护的数据在本段网络发布，并指定端口的下一跳：/可以使用静态路由/要建立IPSec VPN一定要有一个建立连接的过程，需要两端能互相的数据包能到运用的接口上。2、手工配置 ？交换机的链路汇聚：静态配置聚合组1、 建立汇聚组port-group：# port-group 汇聚组号（二层1-15，三层1-8，例如：1）2、 把接口加入到汇聚组中去：# interface + 要汇聚的接口 接口视图# port-group +（组号，例如：1）mode + （模式，例如：on） 动态配置聚合组：（只有三层和三层的交换机才能动态聚合，二层和三层不能动态聚合）SA：# port-group + 聚合组号# interface + 要聚合的端口号接口视图下# port-group + 组号 + mode +（active或passive）SB：# port-group + 聚合组号#interface + 要聚合的端口号接口视图下# port-group + 组号 + mode +（active或passive）/重点：SA和SB的模式一端要active，另一端要passive。使用：show port-group brief命令查看聚合组有没有配置成功，当Number of port-channels : 1 的值是“1”时，证明成功。文件管理（上传和下载文件）：1、 配置IP地址：要让设备的管理IP和TFTP/FTP的PCi的IP在同一网段2、 PC开启配置TFTP/FTP服务器的目录：主要配置服务器的下载文件的路劲3、 交换机/路由器启动TFTP/FTP服务：# tftp-server enable# ftp-server enable4、 配置文件上传或下载：#copy + 源文件名（例如：startup-config）+ tftp/ftp：/服务器PC的IP地址/+保存的文件名（例如：startup1）私有vlan配置：Private vlan分三种：（1）Primary VLAN（主lan）：它内部端口可以和关联带该Primary VLAN 的Isolated VLAN 和 Community VLAN中的端口相通，它之间的端口也可以进行通信； （2）Isolated VLAN（隔离lan） 内的端口之间不能通信，但可以和其关联的Primary VLAN 内的端口通信，而且不能和Community VLAN通信； （3）Community VLAN（群体vlan）内的端口互相之间可以通信，但不同的群体VLAN间不能通信，也可以和其关联的Primary VLAN 内的端口通信，但不能和Isolated VLAN内的端口进行通信。1、 创建VLAN，指定VLAN的Private VLAN 类型：# vlan + VLAN ID（例如：100）Vlan视图# private-vlan + 私有vlan的类型（例如：primary 、community 或 isolated）2、 建立关联关系（把Isolated VLAN与Community VLAN关联到Primary VLAN 中去）：主vlan视图# private-vlan association + 【要关联的VLAN ID，可以用分号隔开】（例如： #private-vlan association 200；300；400）3、 在相应的VLAN中添加相应的端口：Vlan视图# switchport interface + 【添加的相应端口】注意：1、创建私有vlan的时候，先做关联，再添加端口。因为关联时，会自动把原vlan的端口移除。 2、隔离vlan中不显示隔离端口，只显示混杂端口。交换机、路由器组播协议配置：交换机VRRP的配置：1、 建立虚拟路由器：# router vrrp + 【虚拟组号，例如：1】2、 指定虚拟IP地址（虚拟网关地址）和 设置优先级：虚拟组视图# virtual-ip + 【虚拟IP地址】虚拟组视图# priority +【优先级（1-255），master=255，backup=100】（默认为100）3、 在虚拟组中增加VLAN接口： 虚拟组视图# interface + 【vlan接口，例如：vlan 2】4、 启动虚拟路由组： 虚拟组视图# enableVRRP的边角配置：（1）设置VRRP的抢占模式： VRRP视图# preempt-mode + flase(关闭抢占模式) 或 true （使能抢占模式） /默认是抢占模式（2）设置VRRP发送VRRP报文的时隔： VRRP视图# advertisement-interval + 【时间，例如：3（单位：秒）】 注意：要两边的VRRP都同时设定相同的时间，才能交换VRRP报文，不然会出现，它们都认为自己是master的情况，不能进行主的选举（3）配置VRRP的端口监控： VRRP视图# circuit-failover + 要监测的端口 + 要降低的优先级 /注意要先关闭VRRP会话（disable），才能配置，只有在抢占模式下才能起作用注意：配置了端口监测后，拔掉下层的线会比较会影响VRRP的延迟时间，可能会丢掉很多的包。注意：假如都配置成功后，但有一台交换机的状态没有转变，那重启一次VRRP就能解决这个问题。HSRP协议的配置：交换机的配置：（HSRP和VRRP很类似，都是可以做网关冗余的，所以使用的环境也很相同）HSRP的工作状态为：active 备份的状态：standby# interface + 【要配置的vlan接口，例如：vlan 2】接口视图# standby + 【组号（0-255），默认为“0”】 + ip + 【要充当组共同的IP地址】接口视图# standby + 【要设置优先级的组号】+ priority + 【优先级（默认为100，数值越大，优先级越大），例如：要把该交换机设为主链路，写成 120】接口视图# standby + 【组号】+ authentication + 【验证字符（1-8个字节）】 （可选）接口视图# standby + 【组号】+ preempt /启动抢占模式，只有抢占模式，才会在每次断开时候重新选举出优先级高的交换机作为主交换机，默认情况下是非抢占模式路由器的配置：（路由器的HSRP和交换机的很类似，它是配置到F接口上的，如果下面有多个vlan使用独臂路由，创建子接口，配置到子接口上）# interface + 【要配置的接口，例如：F0/0】接口视图# standby + 【组号（0-255），默认为“0”】 + ip + 【要充当组共同的IP地址】接口视图# standby + 【要设置优先级的组号】+ priority + 【优先级（默认为100，数值越大，优先级越大），例如：要把该路由器设为主链路，写成 120】接口视图# standby + 【组号】+ authentication + 【验证字符（1-8个字节）】 /注意：在路由器上，必需配置，不然不通接口视图# standby + 【组号】+ preempt /启动抢占模式，只有抢占模式，才会在每次断开时候重新选举出优先级高的交换机作为主交换机，默认情况下是非抢占模式接口视图# standby + 【组号】+ track + interface + 【要监测的端口，例如F0/3】路由器的链路协议配置（DHLC、FR和PPP等）：1、神州数码本身要配置时钟指定DCE串行端口才能正常通信。 串行接口视图# physical-layer speed + 【速率，例如：6400】2、DHLC协议配置（神州数码默认为DHLC，H3C为无验证PPP）： 串行接口视图# encapsulation dhlc （链路协议，要保持两端一至才能正常通信，所以要等两端都配置好才能通信）3、FR（帧中继）协议配置： （1）串口上启动FR协议： 串行接口视图# encapsulation frame-relay （2）建立虚拟链路号，及指定DCE或DTE，配置DCE的端口速率： 串行接口视图# frame-relay local-dlci + 【链路号，例如：16】 串行接口视图# frame-relay intf-type + DCE或DTE 串行接口视图# physical-layer speed + 【速率，例如：6400】 （要一段指定DCE，另一端指定DTE，才能正常的通信，而且在DCE端配置时钟速率） （3）配置虚拟链路（DLCI）与对端IP地址的映射： 串行接口视图# frame-relay map + 对端的IP地址 pvc + 【本端的虚拟链路号，例如：16】broadcast 注意：本段的虚拟链路号 + 对端的IP地址，可以确认一条虚拟通道，一定要对应，不然出错。4、PPP的无验证配置： 串行接口视图# encapsulation ppp（和DHLC配置类似）5、PPP的PAP验证的配置： # username + 对方验证账号 + password + 对方验证密码 # aaa authentication ppp default local /设置PPP本地用户认证，很重要，一定要配置接口视图# encapsulation ppp接口视图# ppp authentication pap /配置ppp的pap验证接口视图# ppp pap sent-username + 对端建立的验证账号 + password +对端建立的验证密码6、PPP的CHAP认证的配置： # username + 对方验证账号 + password + 对方验证密码 # aaa authentication ppp default local /设置PPP本地用户认证，很重要，一定要配置接口视图# encapsulation ppp接口视图# ppp authentication chap /配置ppp的pap验证/和pap不同的地方就是在配置用户和密码验证的时候，两个都要指定，不然不通接口视图# ppp chap hostname + 对端建立的验证账号接口视图# ppp chap password + 对端建立的验证密码6、PPP的PAP的单向认证： 这个实验中，给大家提醒要注意的几点：1，做pap实验时，为了避免出错，一定要先做单向实验：也就是说在DCE端数据库存储一个用户名密码，让DTE端发动用户名密码来认证。认证通过则打开信道。作单向认证时！要注意的问题！：服务段RA设置：# username RB password RB# aaa authen ppp defaule local接口视图# enca ppp接口视图# ppp authen pap接口视图# phy speed 64000客户端RB设置：enca pppppp pap sent-username RB password RB/注意点：千万不要在客户端输入“ppp authen pap” 这个命令的意思是需要做pap的认证。单向认证时，是不需要客户端输入这个命令的/注意：(改变了端口认证配置时 要重新启动端口，才能生效)不管是pap验证还是chap验证都必须按步骤来第一步，两端都封装PPP协议，并配上IP ，进行联通测试第二步，两端都启用pAP或chap验证，再测试才能成功！如果不行将S口shutdown 后再 开启7、PPP的chap的单向认证：RTA：# aaa authentication ppp + 【认证方法的名字，例如：test】+ local /建立本地aaa认证的方法，这个很重要# username + 【对端的用户名】 password + 【密码】# encapsulation ppp /启动PP认证# ppp authentication chap + 【验证方法，例如：test】# physical-layer speed 64000RTB：# aaa authentication ppp default local# encapsulation ppp# ppp chap hostname +【本端发送的用户名】# ppp chap password +【密码】经典例子（很重要）：Router-A_config#aaa authentication ppp bisai localRouter-A_config#username RDCE password digital1Router-A_config_s0/1#encapsulation pppRouter-A_config_s0/1#ppp authentication chap bisaiRouter-A_config_s0/1#physical-layer speed 9600Router-B_config#aaa authentication ppp default localRouter-B_config_s0/1#encapsulation pppRouter-B_config_s0/1#ppp chap hostname RDCERouter-B_config_s0/1#ppp chap password digital18、PPP的papa和chap 混合使用：（例如：先pap后chap）RTA:# username rb password rb# aaa authen ppp defaule local接口视图# enca ppp接口视图# ppp authen pap chap / 混合使用，先pap，后chap接口视图# phy speed 64000接口视图# ppp pap sent ra pass ra接口视图# ppp chap hostname ra接口视图# ppp chap password raRTB：# username ra password ra# aaa authen p