第19章PPP概述及其配置

1、第19章 PPP概述及其配置 n19.1 广域网概述n19.1.1 广域网协议n19.1.2 广域网接入技术n19.2 点到点协议n19.2.1 PPP的组成n19.2.2 PPP帧格式n19.2.3 PPP链路工作过程n19.2.4 认证协议第19章 PPP概述及其配置 （续）n19.3配置PPPn19.3.1 命令介绍n19.3.2 网络环境n19.3.3 PPP的参考配置n19.4 案例分析n19.5 本章小结19.1 广域网概述 n广域网是一个地理覆盖范围超过局域网的数据通信网络。 n广域网的主要特性 n使用网络提供商和电信公司所提供的传输设施传输数据n地理覆盖范围大，至少在上百公里以

2、上 ；n主要用于互连广泛地理范围内的局域网 ；n为了实现远距离通信，通常采用载波形式的频带传输或光传输。 ；n通常由公共通信部门来建设和管理的。n在网络拓扑结构上，通常采用网状拓扑，以提高广域网链路的容错性。n中间节点设备的处理速度、线路的质量以及传输环境的噪声都会影响广域网的可靠性。 19.1.1广域网协议n物理层协议 n广域网的物理层协议描述了如何提供机械、电气和功能特性。 n描述了数据终端设备（DTE）和数据通信设备（DCE）之间的接口。 n同/异步串口可以工作在同步和异步两种方式下，同步串口支持DTE和DCE两种工作模式。 n同步串口一般直接连接DDN、帧中继及X.25交换机等设备。

3、n同/异步串口的连接电缆有以下四种类型：nV.24（RS232）DTE电缆：网络端为DB25（公）连接器nV.24（RS232）DCE电缆：网络端为DB25（母）连接器nV.35 DTE电缆：网络端为34PIN（公）连接器nV.35 DCE电缆：网络端为34PIN（母）连接器n接口电缆的连接步骤如下：n第一步：确认对端设备的接口类型，并选择正确的同/异步串口电缆；n第二步:将同/异步串口电缆的DB28 一端插入路由器串口的DB28 接口。n第三步：将电缆的另一端接到以下设备：n如果广域网是 DDN 线路，请将电缆与DCE接口相连。n发送IP数据报到与下一台路由器相连的端口。n注意：n严禁在路由

4、器开机状态下插拔接口电缆，否则容易引起设备及端口的损坏。n在实验室中模拟广域网环境，可以用一对 DTE和DCE电缆背靠背连接后，再分别连接路由器。 路由选择过程n许多物理层标准定义了DTE和DCE之间接口的控制规则，如EIA/TIA-232、EIA/TIA-449、EIA-530、EIA/TIA-612/613、V.35、X.21等 。n数据链路层协议 n广域网的数据链路层描述了帧是如何在系统之间单一路径上进行传输、如何进行帧的封装。n广域网串行线路上支持的数据链路层协议主要有HDLC(高级数据链路控制)、PPP(点到点)、帧中继等 。n如果是两台路由器通过串口相连的话，在数据链路层应该使用相

5、同的协议。 n注意：不能在串行接口上配置以太网或令牌环网协议。 19.1.2 广域网接入技术 n接入网络是由业务节点接口(SNI)和用户网络接口(UNI)之间的一系列传送实体(如线路设施和传输设施)组成，为传送电信业务提供传送承载能力的设施系统。 n常用的广域网接人技术通常有下面几类。 n数字数据网 n数字数据网(Digital Data Network，DDN)是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网，可以为用户提供各种速率的高质量数字专用电路和其他新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。 n非对称数字用户环路 n非对称数字用户环路

6、 (Asymmetric Digital Subscriber Loop，ADSL)技术是一种不对称数字用户线实现宽带接入因特网的技术。n它在一对双绞线上提供上行640kbps和下行8Mbps的带宽，从而实现了真正意义上的宽带接入。 n个人用户采用ADSL接人Internet 。n企业用户采用ADSL接人Internet n帧中继n帧中继（Frame Relay，FR）技术是在X.25分组交换技术的基础上发展起来的一种快速分组交换技术。 n帧中继仅完成物理层和数据链路层的核心功能，将流量控制、纠错等留给智能终端去完成，简化了节点交换机之间协议。 n使用帧中继方式入网，主要有如下优点：n用户需要

7、数据通信，带宽要求为64kbit/s2Mbit/s，而参与通信的各方多于两个的时候，使用帧中继是一种较好的解决方案。n通信距离较长时，应优选帧中继。n由于帧中继具有动态分配带宽的功能，因此当数据业务量为突发性时，帧中继可以有效地处理突发性数据。 n异步传输模式n异步传输模式 (Asynchronous Transfer Mode，ATM) 以固定长度的信元为单位（每个信元长53字节，其中报头占了5字节），信元长度小，时延小，实时性较好。n采用虚电路方式传输数据，既可以使用专用虚电路，也可以使用交换虚电路。 n采用光纤做传输介质，能获得高的传输速率。n对时间延迟要求严格的数据非常适合采用ATM技

8、术。 19.2 点到点协议n点到点协议（Point to Point Protocol，PPP）提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。n19.2.1 PPP协议的组成n一个将IP数据报封到串行链路的方法。PPP既支持异步链路，也支持面向比特的同步链路。 n一个用来建立、配置和测试数据链路的链路控制协议LCP（Link Control Protocol）。通信的双方可协商一些选项。 n一套网络控制协议NCP（Network Control Protocol），支持不同的网络层协议，如IP、IPX、和AppleTalk等。 19.2.2 PPP帧

9、格式 n标志字段：为0 x7E（0 x表示十六进制数）；n地址字段和控制字段都是固定不变的，分别为0 xFF、0 x03。n协议字段：表明数据部分的类型，协议字段不同，后面的数据字段类型就不同。n如：0 x0021是IP数据报；0 xC021是链路控制数据LCP；0 x8021是网络控制数据NCP；0 xC023是安全性认证PAP；0 xC223是安全性认证CHAP。 19.2.3 PPP链路工作过程 n链路不可用阶段 n也称为物理层不可用阶段，当通信双方的两端检测到物理线路激活（通常时检测到链路上有载波信号）时，就会从当前这个阶段跃迁至下一个阶段。n链路被断开后也会返回到这个阶段。在实际过程

10、中这个阶段所停留的时间是很短的，仅仅是检测到对方设备的存在。 n链路建立阶段 n发送一些配置报文来配置数据链路，这些配置的参数不包括网络层协议所需的参数。 n认证阶段 n默认情况下链路两端的设备是不进行认证的。在该阶段支持PAP和CHAP两种认证方式，验证方式的选择是依据在链路建立阶段双方进行协商的结果。 n网络层协议阶段 nPPP完成了前面几个阶段，每种网络层协议（IP、IPX和AppleTalk）会通过各自相应的网络控制协议进行配置，每个NCP协议可在任何时间打开和关闭。 n网络终止阶段 nPPP能在任何时候终止链路。当链路关闭时，链路层会通知网络层做相应的操作，而且也会通过物理层强制关闭

11、链路。nPPP工作过程实例n当用户拨号接入ISP时，路由器的调制解调器对拨号做出应答，并建立一条物理连接。这时PC机向路由器发送一系列的LCP分组（封装成多个PPP帧）。这些分组及其响应选择了将要使用的一些PPP参数，接着就进行网络层配置，NCP给新接入的PC机分配一个临时的IP地址，这样PC机就成为Internet上一个主机了。用户通信完毕时，NCP释放网络层连接，收回原来分配出去的IP地址。接着LCP释放数据链路层连接，最后释放的是物理层的连接。 19.2.4 认证协议 nPAP认证 nPAP是一种简单的明文认证方式，它是一种用于对试图登录到点对点协议服务器上的用户进行身份认证的方法。 n

12、PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。 n被认证方首先发起认证请求，把自己的用户名和密码传送给认证方，认证方把接收到的用户名和密码与本地用户数据库中的信息作比较，如果该数据库中有与用户名和密码一致的选项，认证通过，否则认证不通过。 n如果双方都配置为认证方，则需要双方的两个单向认证过程都完成后，方可进入到网络层协议阶段，否则在一定次数的认证失败后，会从当前状态返回链路不可用状态。 nPAP的缺点是用户的用户名和密码是明文发送的，有可能导致安全问题。 nCHAP认证 nCHAP为三次握手协议，它只在网络上传送用户名而不

13、传送口令，因此安全性比PAP高 n在认证开始，由认证方向被认证方发送一段随机的报文，并加上自己的用户名，这个过程叫做挑战。n当被认证方收到认证方的认证请求，从中提取出认证方所发送过来的用户名，然后根据该用户名在被认证方设备的后台数据库中去查找相同的用户名的记录，当查找到后就使用该用户名所对应的密码，然后把这个密码、报文ID和认证方发送的随机报文用MD5加密算法生成密文，随后将密文和自己的用户名送回。n认证方收到被认证方发送的报文后，提取被认证方的用户名，然后去查找本地的用户数据库，当找到与被认证方一致用户名后，根据该用户名所对应的密码、保留报文ID和随机报文用MD5加密算法生成结果，和刚刚被认

14、证方所返回的密文进行比较，如果相同则通知被认证方认证通过，否则认证没有通过， 19.3 配置PPPn19.3.1 命令介绍n基本配置命令 nlink-protocol ppp n此命令在接口视图下执行，功能是用来配置接口封装的数据链路层协议为PPP。 ntimer hold seconds n此命令在串口视图下执行，功能是用来设置串口轮询时间间隔 n配置PAP或CHAP验证方式命令 nppp authentication-mode chap|pap n此命令在接口视图下执行，功能是用来本端PPP协议对对端路由器的验证方式。 nservice-type ppp n此命令在接口视图下执行，功能是用

15、来设置用户可以使用PPP服务类型。 nppp pap local-user username password simple|cipher password n此命令在接口视图下执行，功能是用来配置本地路由器被对端路由器采用PAP方式验证时发送的用户名和口令。 nppp chap user username n此命令在接口视图下执行，功能是用来配置采用CHAP认证时的用户名称。 nusername：CHAP验证用户名 n ppp chap password simple|cipher password n此命令在接口视图下执行，功能是用来配置进行CHAP验证时采用的口令。被验证端加密随机报文时

16、，优先使用ppp chap password命令配置的口令；如果没有配置ppp chap password命令，才会使用本地用户数据库（local-user）中查到的用户口令。 19.3.2 网络环境 n网络拓扑结构以及IP地址分配 19.3.3 PPP的参考配置 nPPP配置步骤 n为路由器端口设置IP地址；n启用路由选择协议，然后检查路由是否正确。n配置PAP或CHAP认证方式。n参考配置 nsystem-viewnQuidwaysysname RAnRAinterface Ethernet 0/0nRA-Ethernet0/0ip address 192.168.10.1 24nRA-E

17、thernet0/0quitnRAinterface Serial 0/0nRA-Serial0/0ip address 172.16.1.1 24nRA-Serial0/0quitnRAripnRA-ripnetwork 192.168.10.0nRA-ripnetwork 172.16.1.0nPAP认证认证 n主验证方配置主验证方配置 nRAinterface Serial 0/0nRA-Serial0/0ppp authentication-mode pap /设置PPP采用PAP认证nRA-Serial0/0quitnRAlocal-user routerb /创建本地用户route

18、rbnRA-luser-routerbpassword simple h3c09 /设置routerb的密码为h3c09nRA-luser-routerbservice-type ppp /授权用户使用PPP服务nRA-luser-routerbquitnRAinterface Serial 0/0nRA-Serial0/0shutdown /关闭当前接口nRA-Serial0/0undo shutdown n被验证方配置被验证方配置 nRBinterface Serial 0/0nRB-Serial0/0ppp pap local-user routerb password simple h

19、3c09 /发送用户名和密码nRB-Serial0/0shutdownnRB-Serial0/0undo shutdownnCHAP认证认证 n在RA和RB路由器上配置接口IP地址，启用路由协议，并且能够互相ping通。然后进行CHAP认证配置。 n主验证方主验证方 nRAlocal-user routerbnRA-luser-routerbpassword simple h3c09nRA-luser-routerbservice-type pppnRA-luser-routerbquitnRAinterface Serial 0/0nRA-Serial0/0ppp authentication-mode chapnRA-Serial0/0ppp chap user routeranRA-Serial0/0shutdownnRA-Serial0/0undo shutdownn被验证方被验证方 nRBlocal-user routeranRB-luser-routerapassword simple h3c09nRB-luser-routeraservice-type pppnRB-luser-routeraquitnRBinterface Serial 0/0nRB-Serial0/0ppp chap user routerbnRB-