码迷,mamicode.com
首页 > 其他好文 > 详细

WAN接入/互联配置与管理——2

时间:2016-06-28 12:52:51      阅读:390      评论:0      收藏:0      [点我收藏+]

标签:

配置共享DCC

共享DCC中一个物理接口可以属于多个Dialer bundle(拨号捆绑),服务于多个Dialer接口但一个Dialer接口只对应一个目的地址,只能使用一个Dialer bundle;一个Dialer bundle中可以包含多个物理接口,每个物理接口具有不同的优先级。

支持共享DCC的物理接口包括:ADSL接口、G.SHDSL接口、VDSL接口、E1-IMA接口、WAN侧以太网接口、ISDN PRI接口和ISDN BRI接口。

共享DCC的主要配置任务如下(必须的只有前三项)

--- 配置链路层协议和IP地址

--- 使能共享DCC并配置DCC拨号ACL及接口的关联。

--- 配置共享DCC呼叫

--- (可选)配置DCC拨号接口属性。

--- (可选)配置DCC呼叫MP捆绑

--- (可选)配置通过DCC实现动态路由备份

1)配置链路层协议和IP地址

与轮询DCC中的链路层协议配置相同,只是对于共享DCC,如果是主叫端,需要在Dialer接口下配置PPP的相关命令,但建议用户在物理拨号接口下也配置相同的PPP相关命令,以确保PPP链路参数协商的可靠性;如果被叫端,需要在物理拨号接口下配置PPP相关命令。

2)使能共享DCC并配置DCC拨号ACL及与接口的关联

在共享DCC中,使能共享DCC、配置DCC拨号ACL及与接口的关联仅能在Dialer接口下配置,不能在物理接口下配置。

技术分享

3)配置共享DCC呼叫

使用共享DCC实现按需拨号时,由于物理接口随着拨号串的不同而具有不同属性,因此必须在Dialer接口上配置DCC参数,并且只能使用dialer number命令呼叫对端的拨号串。一个Dialer接口只能配置一个拨号串。

技术分享

4)配置DCC拨号接口属性

步骤与表4-6相同,只是这里仅可在Dialer接口上配置。

5)配置DCC呼叫MP捆绑

步骤与表4-7相同。

6)配置通过DCC实现动态路由备份

步骤与表4-8,只是仅能在Dialer接口上配置。

DCC管理

1)display dialer 【interface interface-type interface-number】:查看拨号接口(可在物理拨号接口中,也可在Dialer接口上)的DCC信息,包括拨号接口的相关参数

2)display interface dialer 【number】:查看Dialer接口的信息,包括Dialer接口的状态信息和统计信息。

3)reset counters interface 【dialer 【number】】:清除Dialer接口统计信息后,以前的统计信息将无法恢复。

如果为了缓解网络压力或调整拨号配置需要临时拆除拨号链路时,可通过dialer disconnect 【interface interface-type interface-number】任意视图命令手动拆除拨号链路。但此命令只是临时拆除拨号链路:如配置了自动拨号,当到达自动拨号时间时,会重新建立拨号链路;如未配置自动拨号,则当有报文传输时,会再次触发拨号。

PPP配置与管理

PPP是在点对点链路上承载网络层数据报文的一种链路层协议,路由器中的serial接口链路缺省运行的协议就是PPP。Async接口、CPOS接口、ISDN BRI接口、E1-F接口、CE1/PRI接口、T1-F接口、CT1/PRI接口、3G Cellular接口、Dialer接口、虚拟模板接口、POS接口都可运行PPP。

1、PPP介绍及基本工作机制

PPP是在SLIP(Serial Line Internet Protocol,串行线IP)基础上发展起来的。PPP能够提供用户认证、易于扩充、并且支持同/异步通信,获得广泛应用。配置PPP可以实现PPPoE、PPPoA、PPPoEoA拨号上网及广域网互联。

相对其他链路层协议,PPP有如下优点:

1)对物理层而言,PPP既支持同步链路又支持异步链路,而X.25、FR等仅支持同步链路,SLIP仅支持异步链路;

2)PPP具有良好的扩展性。

3)提供LCP(Link Control Protocol,链路控制协议),主要用来建立、拆除和监控PPP数据链路;

4)提供各种NCP(Network Control Protocol,网络控制协议),如IPCP、IPXCP,主要用来协商在该数据链路上传输的数据包的格式和类型,更好的支持了网络层协议;

5)提供认证协议CHAP(Challenge-Handshake Authentication Protocol,质询握手认证协议)、PAP(Password Authentication Protocol,密码认证协议),用于网络安全方面的认证;

6)无重传机制,网络开销小,速度快。

LCP、NCP、CHAP/PAP就是PPP所包含的三大扩展子协议,而PPP的工作机制正是在这三大扩展子协议协同工作基础上实现的。

整个PPP运行流程分为五个阶段,即Dead(死亡)阶段、Establish(链路建立)阶段、Authentication(身份认证)阶段、Network(网络控制协商)阶段和Terminate(结束)阶段。不同阶段进行不同协议的协商,只有前面的协议协商出结果后,才能转入下一个阶段协议的协商。

技术分享

  1. 通信双方开始建立PPP链路时,先进入到Establish阶段。

  2. 在Establish阶段,PPP链路进行LCP协商。协商内容包括工作方式是SP(Single-link PPP)还是MP(Multilink PPP)、最大接收单元MRU(Maximum Receive Unit)、验证方式和魔术字(magic number)等选项。LCP协商成功后进入Opened状态,表示底层链路已经建立。

  3. 如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。如果没有配置验证,则直接进入Network阶段。

  4. 在Authenticate阶段,如果验证失败,进入Terminate阶段,拆除链路,LCP状态转为Down。如果验证成功,进入Network阶段,此时LCP状态仍为Opened。

  5. 在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。

    NCP协商包括IPCP(IP Control Protocol)、MPLSCP(MPLS Control Protocol)等协商。IPCP协商内容主要包括双方的IP地址。

  6. NCP协商成功后,PPP链路将一直保持通信。PPP运行过程中,可以随时中断连接,物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。

  7. 在Terminate阶段,如果所有的资源都被释放,通信双方将回到Dead阶段,直到通信双方重新建立PPP连接,开始新的PPP链路建立。

PPP的基本架构:

PPP协议在协议栈中的位置

技术分享

PPP主要由三类协议族组成:

  • 链路控制协议族(Link Control Protocol),主要用来建立、拆除和监控PPP数据链路。(应该主要使用于Establish阶段和Terminate阶段)

  • 网络层控制协议族(Network Control Protocol),主要用来协商在该数据链路上所传输的数据包的格式与类型。(Network阶段)

  • 扩展协议族CHAP(Challenge-Handshake Authentication Protocol)和PAP(Password Authentication Protocol),主要用于网络安全方面的验证。(Authentication阶段)

技术分享

各字段的含义如下:

  • Flag域

    Flag域标识一个物理帧的起始和结束,该字节为0x7E。

  • Address域

    Address域可以唯一标识对端。PPP协议是被运用在点对点的链路上,因此,使用PPP协议互连的两个通信设备无须知道对方的数据链路层地址。按照协议的规定将该字节填充为全1的广播地址,对于PPP协议来说,该字段无实际意义。

  • Control域

    该字段默认值为0x03,表明为无序号帧,PPP默认没有采用序列号和确认应答来实现可靠传输。

    Address和Control域一起标识此报文为PPP报文,即PPP报文头为FF03。

  • Protocol域

    Protocol域可用来区分PPP数据帧中信息域所承载的数据包类型。

    Protocol域的内容必须依据ISO 3309的地址扩展机制所给出的规定。该机制规定协议域所填充的内容必须为奇数,也就是要求最低有效字节的最低有效位为“1”。

  • Information域
    Information域最大长度是1500字节,其中包括填充域的内容。Information域的最大长度称为最大接收单元MRU(Maximum Receive Unit)。MRU的缺省值为1500字节,在实际应用当中可根据实际需要进行MRU的协商。
    如果Information域长度不足,可被填充,但不是必须的。如果填充则需通信双方的两端能辨认出填充信息和真正需要传送的信息,方可正常通信。

  • FCS域
    FCS域的功能主要对PPP数据帧传输的正确性进行检测。
    在数据帧中引入了一些传输的保证机制,会引入更多的开销,这样可能会增加应用层交互的延迟。

如果当发送端发送的PPP数据帧的协议域字段不符合上述规定,接收端则会认为此数据帧是不可识别的。接收端向发送端发送一个Protocol-Reject报文,在该报文尾部将填充被拒绝报文的协议号。

技术分享

在链路建立阶段,PPP协议通过LCP报文进行链路的建立和协商。此时LCP报文作为PPP的净载荷被封装在PPP数据帧的Information域中,PPP数据帧的协议域的值固定填充0xC021。

在链路建立阶段的整个过程中信息域的内容是变化的,它包括很多种类型的报文,所以这些报文也要通过相应的字段来区分。

  • Code域

    Code域的长度为一个字节,主要是用来标识LCP数据报文的类型。

    在链路建立阶段,接收方接收到LCP数据报文。当其Code域的值无效时,就会向对端发送一个LCP的代码拒绝报文(Code-Reject报文)。
    技术分享

  • Identifier域

    Identifier域为1个字节,用来匹配请求和响应,当Identifier域值为非法时,该报文将被丢弃。

    通常一个配置请求报文的ID是从0x01开始逐步加1的。当对端接收到该配置请求报文后,无论使用何种报文回应对方,但必须要求回应报文中的ID要与接收报文中的ID一致。

  • Length域

    Length域的值就是该LCP报文的总字节数据。它是Code域、Identifier域、Length域和Data域四个域长度的总和。

    Length域所指示字节数之外的字节将被当作填充字节而忽略掉,而且该域的内容不能超过MRU的值。

  • Data域

    Data域所包含的是协商报文的内容,这个内容包含以下字段。

    • Type为协商选项类型。

    • Length为协商选项长度,它是指Data域的总长度,也就是包含Type、Length和Data。

    • Data为协商选项的详细信息。

技术分享

2、配置PPP基本功能

PPP基本功能包括配置接口的链路层协议为PPP和配置端口的IP地址。基本功能配置完成后,可以初步建立PPP链路。主要包括以下两项任务:

1)配置接口封装的链路层协议为PPP

2)配置接口的IP地址

一种是在接口上直接配置IP地址,另一种是通过IP地址协商获取IP地址。配置PPP协商IP地址又分为两种情况:

  -- 配置设备作为PPP客户端:如本端设备接口封装的链路层协议为PPP,且未配置IP地址,对端已有IP地址时,可把本端设备配置为客户端,使本端设备接口接收PPP协商产生的由对端分配的IP地址。这种方式主要应用于通过ISP访问Internet

--- 配置设备作为PPP服务器

设备作为服务器时可以为对端指定IP地址,但首先要在系统视图下配置本地IP地址池,指明地址池的地址范围,

技术分享
技术分享
技术分享

3、配置PPP的PAP认证

PPP基本功能实现后,用户根据需要配置PAP或CHAP认证。

1)PAP认证:这是一种两次握手验证协议。以明文方式在链路上发送验证密码,完成PPP链路建立后,被验证方会不停地在链路上反复发送用户名和密码,直到身份验证过程结束,安全性不高

PAP认证有PAP单向认证与PAP双向认证:PAP单向认证是指一端作为认证方,另一端作为被认证方。双向认证是单向认证的简单叠加,即两端都是既作为认证方又作为被认证方。

2)CHAP认证:是一种三次握手验证协议。只在网络上传输用户名,而不传输用户密码,安全性高。

CHAP认证有CHAP单向认证与CHAP双向认证:
CHAP单向认证是指一端作为认证方,另一端作为被认证方。双向认证是单向认证的简单叠加,即两端都是既作为认证方又作为被认证方。
CHAP认证过程分为两种情况:认证方配置了用户名和认证方没有配置用户名。推荐使用认证方配置用户名的方式,这样可以对认证方的用户名进行确认。 

PAP认证需要同时在认证方(实施认证的一方)和被认证方进行配置。在认证方本地要创建好用于对被认证方进行认证的用户账户信息(包括用户名和密码),而在被认证方要配置进行认证时要发送的用户账户信息,并且要与认证方本地用于认证的用户账户信息完全一致。当然,两端还要配置采用相同的PPP认证方式。

技术分享
技术分享
技术分享

4、配置PPP的CHAP认证

当认证方配置了用户名时,可以使被认证方验证认证方的资格,以防连接到非法的服务器端,也就是被认证方也有资格验证对方是否有资格对自己进行认证。就相当于一个双向认证:不仅认证方可以对被认证方进行认证,被认证方也可对认证方进行认证,这就是CHAP三次握手过程的基本原理。在认证方没有配置用户名时,CHAP认证过程与PAP认证过程一样。

认证方配置了用户名后的CHAP认证具体步骤如下表4-13。双方都要配置认证用户名,创建用于对方认证的本地用户名账户,因此此时被认证方同时需要对认证的资格进行确认。认证方没有配置用户名的CHAP认证的具体步骤如表4-14,此时被认证方不需要对认证资格进行确认。

表中所列都是针对CHAP单向认证,双向认证时需要双方同时配置表中的认证方和被认证方。

技术分享
技术分享

技术分享

5、配置PPP协商参数

在设备上还可以有选择的配置一些用于协商的参数具体包括以下可选配置任务

1)协商超时时间间隔

在PPP协商过程中,如果在某个时间间隔内没有收到对端的应答报文,则PPP会重发一次发送的报文,这个时间间隔称为“超时时间间隔”。

2)协商轮询时间间隔

指接口发送keepalive(保持活跃)报文的周期。keepalive报文用于链路状态监测维护,接口如果在5个keepalive周期之后无法收到keepalive报文,认为链路发生故障。

3)协商DNS服务器地址

设备在进行PPP地址协商过程中可以进行DNS地址协商,此时设备可以配置成接受对端分配的DNS地址,也可配置为向对端提供DNS地址。当不可以同时都配。

技术分享

6)PPP管理

  • display this:在对应接口视图下查看对应接口下配置PPP认证信息
  • display local-user:查看本地用户的配置情况。
  • reset  ppp compression iphc 【interface interface-type interface-number】:清除IPHC压缩统计信息
  • reset PPP compression stac-lzs 【interface interface-type interface-number】:清除STAC-LZS压缩统计信息。
7)PAP单向认证配置实例:

技术分享

RouterA对RouterB进行单向认证,RouterB不需要对RouterA进行认证。采用PPP PAP认证方式最简单,RouterA作为PAP认证的认证方,RouterB作为PAP认证的被认证方。

认证方RouterA上的配置

①配置接口Serial1/0/0的IP地址及封装的链路层协议为PPP。

技术分享

②配置PPP认证方式为PAP,认证域名为system

技术分享

③配置本地用户账户和域。因为要对被认证方进行认证,需要在本地创建用于认证的用户名和密码。

技术分享

④重启接口,保证配置生效。

技术分享

被认证方RouterB上的配置

①配置接口serial2/0/0的IP地址及封装的链路层协议为PPP。

技术分享

这时PING 10.10.10.9是不通 的。

②配置向认证方RouterA发送PAP认证的PAP用户名和密码

技术分享

③重启接口,保证配置生效

技术分享

测试连通性:

技术分享

技术分享

8)PAP双向认证配置实例:

拓扑结构通上图,不同之处是既希望RouterA对RouterB进行简单的PAP认证,也希望RouterB对RouterA进行认证。

RouterA上的配置

①配置接口色rial/0/0的IP地址及封装的链路层协议为PPP。

技术分享

②配置PPP认证方式为PAP,认证域名为system

技术分享

③配置本地用户及域,此处的用户名要与RouterB发送的PAP认证用户名和密码一致

技术分享

④配置本地向RouterB发送的PAP认证用户名和密码,并重启接口,使配置生效

技术分享

RouterB上的配置

①配置接口serial2/0/0的IP地址及封装的链路层协议为PPP

技术分享

②配置PPP认证方式为PAP,认证域为system

技术分享

③配置本地用户及域。此处的用户名要与RouterA发送的PAP认证用户名和密码一致(即user2@system,huawei2)

技术分享

④配置本地向RouterA发送PAP认证用户名和密码,并重启接口,使配置生效。

技术分享

这里故意将RouterB向RouterA发送认证的密码写错,发现PING不通,修改过来:

技术分享

用户必须写全,上面进行了测试,如果user1@system写成user1,也不通。

9)CHAP单向认证配置实例

拓扑图同上面,不同之处是希望RouterA对RouterB进行可靠的CHAP认证,而RouterB不需要对RouterA进行认证。仅需配置RouterA作为CHAP认证的认证方,RouterB作为CHAP认证的被认证方。

认证方RouterA上的配置

技术分享

被认证方RouterB上的配置

技术分享

RouterB上配置被RouterA以CHAP方式认证时RouterB发送的CHAP用户时,只配置了用户名,没配置密码,一直PING不同,使用ppp chap password cipher password命令加上密码后通了。


WAN接入/互联配置与管理——2

标签:

原文地址:http://blog.csdn.net/kaoa000/article/details/51766292

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!