PPP协议配置.docx
《PPP协议配置.docx》由会员分享,可在线阅读,更多相关《PPP协议配置.docx(11页珍藏版)》请在冰豆网上搜索。
PPP协议配置
PPP协议配置
作者:
风林
来源:
风林的家http:
//221.199.150.103/jsj/Html/net/book/Router/ppp.htm
日期:
2011/11/30
本部分包括以下内容:
配置接口的PPP封装
配置PPP协商超时时间
PPP协议是一种应用广泛的点到点链路协议,主要用于点到点连接的路由器间的通信。
PPP协议既可以用于同步通信,也可以用于异步通信,本部分只讨论同步接口上的PPP配置。
锐捷路由器的同步串行口默认封装CiscoHDLC,所以当把锐捷路由器和不支持CiscoHDLC的路由器相连时,通常采用PPP协议。
PPP协议支持验证功能,对于有验证要求的网络环境应采用PPP协议。
配置接口的PPP封装
由于锐捷路由器的Serial口默认封装是HDLC,如果需要使用PPP封装,需要配置它的封装协议。
1、配置接口采用PPP封装:
Ruijie(config)#interface interface-id
Ruijie(config-if)#encapsulationppp
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
encapsulationppp命令指定该接口采用PPP协议封装。
2、去除接口的PPP封装:
Ruijie(config)#interface interface-id
Ruijie(config-if)#noencapsulationppp
去除接口的PPP封装后,该接口采用默认的封装协议。
配置举例:
R1>enable
R1#configureterminal
R1(config)#interfaces0/0
R1(config-if)#encapsulationppp
R2>enable
R2#configureterminal
R2(config)#interfaces0/0
R2(config-if)#encapsulationppp
本例配置点到点相连的两个路由器采用PPP协议进行通信。
注意:
你必须保证相连的接口使用相同的协议,不同协议间是不能通信的。
配置PPP协商超时时间
PPP协议在建立链路时有一个协商过程,其内容包括工作方式、身份验证、地址等,其中的LCP协商和IPCP协商都有个超时时间,当时间到时,LCP将重新发送请求。
当异种设备进行互联时,有可能出现两边的超时时间不一致的情况,这时可使用命令修改这个时间,使它们保持一致。
1、配置超时时间:
Ruijie(config)#interface interface-id
Ruijie(config-if)#pppnegotiation-timeout seconds
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
pppnegotiation-timeout命令设置PPP的LCP协商的超时时间,seconds是以秒为单位的时间值。
2、恢复默认协商超时时间:
Ruijie(config)#interface interface-id
Ruijie(config-if)#nopppnegotiation-timeout
锐捷路由器默认的协商超时时间为3秒。
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#interfaces0/0
Ruijie(config-if)#encapsulationppp
Ruijie(config-if)#pppnegotiation-timeout10
本例把Serial0/0口的LCP协商的超时时间设置为10秒。
配置PAP验证
作者:
风林
来源:
风林的家
本部分包括以下内容:
配置PAP服务端
配置PAP客户端
配置双向PAP验证
PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了PPP封装就可以进行通信。
验证的目的防止XX的用户接入。
配置了验证后,在建立PPP连接时,服务端会核实客户端的身份,如果身份合法,则可以建立PPP连接。
PPP协议支持两种验证方法:
PAP和CHAP,配置时只需配置其中的一种。
PAP验证采用两次握手验证:
1、验证由客户端发起,它向服务端发送用户名和密码;
2、服务端查询自己的数据库,如果有匹配的用户名和密码,则验证通过,发送接受消息,否则拒绝连接。
由于PAP验证采用明文在网络中传输用户名和密码,安全性比CHAP验证差。
配置PAP服务端
服务端需要配置一个数据库,保存客户端的用户名和密码。
1、在服务端配置PAP验证:
Ruijie(config)#username username password password
Ruijie(config)#interface interface-id
Ruijie(config-if)#encapsulationppp
Ruijie(config-if)#pppauthenticationpap
username...password命令用于向数据库中添加客户端的用户名和密码。
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
encapsulationppp命令指定该接口采用PPP协议封装。
pppauthenticationpap命令用于在该接口上启用PAP验证。
2、取消配置的PAP验证:
Ruijie(config)#interface interface-id
Ruijie(config-if)#nopppauthenticationpap
配置举例:
R1>enable
R1#configureterminal
R1(config)#usernamecomhostpasswordcomword
R1(config)#interfaces0/0
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationpap
本例中R1是服务端,它在Serial0/0口配置了PPP协议,采用PAP验证用户身份,用户名为comhost,密码为comword。
配置PAP客户端
在PAP验证,客户端需要向服务端发送用户名和密码,由服务端检查用户的合法性。
在客户端配置PAP验证:
Ruijie(config)#interface interface-id
Ruijie(config-if)#encapsulationppp
Ruijie(config-if)#ppppapsent-username username password password
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
encapsulationppp命令指定该接口采用PPP协议封装。
ppppapsent-username命令配置PAP验证发送的用户名和密码,该名字和密码必须和服务端数据库中的名字和密码相同。
配置举例:
R2>enable
R2#configureterminal
R2(config)#interfaces0/0
R2(config-if)#encapsulationppp
R2(config-if)#ppppapsent-usernamecomhostpasswordcomword
本例中R2是客户端,它在Serial0/0口配置了PPP协议以及PAP验证所需的用户名和密码,这里的用户名和密码由服务端提供。
配置双向PAP验证
PAP验证可以配置为双向的,两端都需要验证对方的身份,只有双方的验证都通过了,PPP连接才会建立。
配置举例:
R1和R2之间的PPP连接采用PAP验证,验证的用户名都为aaa,密码都为123。
R1>enable
R1#configureterminal
R1(config)#usernameaaapassword123
R1(config)#interfaces0/0
R1(config-if)#encapsulationppp
R1(config-if)#ppppapsent-usernameaaapassword123
R1(config-if)#pppauthenticationpap
R2>enable
R2#configureterminal
R2(config)#usernameaaapassword123
R2(config)#interfaces0/0
R2(config-if)#encapsulationppp
R2(config-if)#ppppapsent-usernameaaapassword123
R2(config-if)#pppauthenticationpap
为了简化PAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。
如果一台路由器需要配置多个接口的PAP验证,通常也只配置一个公用用户名和公用密码,这已经可以起到验证效果,而配置过程可以简化许多。
配置CHAP验证
作者:
风林
来源:
风林的家
本部分包括以下内容:
配置CHAP服务端
配置CHAP客户端
配置双向CHAP验证
PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了PPP封装就可以进行通信。
验证的目的防止XX的用户接入。
配置了验证后,在建立PPP连接时,服务端会核实客户端的身份,如果身份合法,则可以建立PPP连接。
PPP协议支持两种验证方法:
PAP和CHAP,配置时只需配置其中的一种。
CHAP验证采用三次握手验证:
1、验证由服务端发起,它向用户端发送一个随机性的询问消息;
2、客户端用自己的名字和密码对这个消息用MD5算法加密,把密文发回服务端;
3、服务端用自己保存的客户端名字和密码对原消息用MD5算法加密,把密文和收到的密文比较,相同则发送接受消息,否则拒绝连接。
由于CHAP验证不在网络中传输用户名和密码,安全性比PAP验证好。
配置CHAP服务端
服务端需要配置一个数据库,保存客户端的用户名和密码。
1、在服务端配置CHAP验证:
Ruijie(config)#username username password password
Ruijie(config)#interface interface-id
Ruijie(config-if)#encapsulationppp
Ruijie(config-if)#pppauthenticationchap
username...password命令用于向数据库中添加客户端的用户名和密码。
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
encapsulationppp命令指定该接口采用PPP协议封装。
pppauthenticationchap命令用于在该接口上启用CHAP验证。
2、取消配置的CHAP验证:
Ruijie(config)#interface interface-id
Ruijie(config-if)#nopppauthenticationchap
配置举例:
R1>enable
R1#configureterminal
R1(config)#usernamecomhostpasswordcomword
R1(config)#interfaces0/0
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationchap
本例中R1是服务端,它在Serial0/0口配置了PPP协议,采用CHAP验证用户身份,用户名为comhost,密码为comword。
配置CHAP客户端
如果服务端要求进行CHAP验证,客户端需要使用服务端提供的用户名和密码加密询问消息。
方法一:
Ruijie(config)#interface interface-id
Ruijie(config-if)#encapsulationppp
Ruijie(config-if)#pppchaphostname username
Ruijie(config-if)#pppchappassword password
interface命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。
encapsulationppp命令指定该接口采用PPP协议封装。
pppchaphostname命令配置CHAP验证使用的用户名,该名字必须和服务端数据库中的名字相同。
pppchappassword命令配置CHAP验证使用的密码,该密码必须和服务端数据库中的密码相同。
配置举例:
R2>enable
R2#configureterminal
R2(config)#interfaces0/0
R2(config-if)#encapsulationppp
R2(config-if)#pppchaphostnamecomhost
R2(config-if)#pppchappasswordcomword
本例中R2是客户端,它在Serial0/0口配置了PPP协议以及CHAP验证所需的用户名和密码,这里的用户名和密码由服务端提供。
方法二:
在默认情况下,客户端把自己的主机名作为CHAP验证的用户名使用,所以可以把服务端提供的用户名设置为主机名进行CHAP验证。
配置举例:
R2>enable
R2#configureterminal
R2(config)#hostnamecomhost
comhost(config)#interfaces0/0
comhost(config-if)#encapsulationppp
comhost(config-if)#pppchappasswordcomword
本例把R2路由器的名字设置为验证使用的用户名,在Serial0/0口只需配置PPP协议以及CHAP验证所需的密码即可。
配置双向CHAP验证
CHAP验证可以配置为双向的,两端都需要验证对方的身份,只有双方的验证都通过了,PPP连接才会建立。
配置举例:
R1端验证的用户名为aaa,密码为123;R2端验证的用户名为bbb,密码为456。
R1>enable
R1#configureterminal
R1(config)#usernamebbbpassword456
R1(config)#interfaces0/0
R1(config-if)#encapsulationppp
R1(config-if)#pppchaphostnameaaa
R1(config-if)#pppchappassword123
R1(config-if)#pppauthenticationchap
说明:
R1端数据库中存放的对端的用户名和密码;接口上配置的是本地的用户名和密码。
R2也是如此。
R2>enable
R2#configureterminal
R2(config)#usernameaaapassword123
R2(config)#interfaces0/0
R2(config-if)#encapsulationppp
R2(config-if)#pppchaphostnamebbb
R2(config-if)#pppchappassword456
R2(config-if)#pppauthenticationchap
为了简化CHAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。
如果一台路由器需要配置多个接口的CHAP验证,通常也只配置一个公用用户名和公用密码,这已经可以起到验证效果,而配置过程可以简化许多。