您當前位置：首頁 > 互聯(lián)網(wǎng) > WAN接入/互聯(lián)配置與管理——2

WAN接入/互聯(lián)配置與管理——2

來源：程序員人生發(fā)布時間：2016-07-22 08:50:00 閱讀次數(shù)：2995次

配置同享DCC

同享DCC中1個物理接口可以屬于多個Dialer bundle（撥號捆綁），服務(wù)于多個Dialer接口但1個Dialer接口只對應(yīng)1個目的地址，只能使用1個Dialer bundle；1個Dialer bundle中可以包括多個物理接口，每一個物理接口具有不同的優(yōu)先級。

支持同享DCC的物理接口包括：ADSL接口、G.SHDSL接口、VDSL接口、E1-IMA接口、WAN側(cè)以太網(wǎng)接口、ISDN PRI接口和ISDN BRI接口。

同享DCC的主要配置任務(wù)以下（必須的只有前3項）

--- 配置鏈路層協(xié)議和IP地址

--- 使能同享DCC并配置DCC撥號ACL及接口的關(guān)聯(lián)。

--- 配置同享DCC呼喚

--- （可選）配置DCC撥號接口屬性。

--- （可選）配置DCC呼喚MP捆綁

--- （可選）配置通過DCC實現(xiàn)動態(tài)路由備份

1）配置鏈路層協(xié)議和IP地址

與輪詢DCC中的鏈路層協(xié)議配置相同，只是對同享DCC，如果是主叫端，需要在Dialer接口下配置PPP的相干命令，但建議用戶在物理撥號接口下也配置相同的PPP相干命令，以確保PPP鏈路參數(shù)協(xié)商的可靠性；如果被叫端，需要在物理撥號接口下配置PPP相干命令。

2）使能同享DCC并配置DCC撥號ACL及與接口的關(guān)聯(lián)

在同享DCC中，使能同享DCC、配置DCC撥號ACL及與接口的關(guān)聯(lián)僅能在Dialer接口下配置，不能在物理接口下配置。

3）配置同享DCC呼喚

使用同享DCC實現(xiàn)按需撥號時，由于物理接口隨著撥號串的不同而具有不同屬性，因此必須在Dialer接口上配置DCC參數(shù)，并且只能使用dialer number命令呼喚對真?zhèn)€撥號串。1個Dialer接口只能配置1個撥號串。

4）配置DCC撥號接口屬性

步驟與表4⑹相同，只是這里僅可在Dialer接口上配置。

5）配置DCC呼喚MP捆綁

步驟與表4⑺相同。

6）配置通過DCC實現(xiàn)動態(tài)路由備份

步驟與表4⑻，只是僅能在Dialer接口上配置。

DCC管理

1）display dialer 【interface interface-type interface-number】：查看撥號接口（可在物理撥號接口中，也可在Dialer接口上）的DCC信息，包括撥號接口的相干參數(shù)

2）display interface dialer 【number】：查看Dialer接口的信息，包括Dialer接口的狀態(tài)信息和統(tǒng)計信息。

3）reset counters interface 【dialer 【number】】：清除Dialer接口統(tǒng)計信息后，之前的統(tǒng)計信息將沒法恢復(fù)。

如果為了減緩網(wǎng)絡(luò)壓力或調(diào)劑撥號配置需要臨時撤除撥號鏈路時，可通過dialer disconnect 【interface interface-type interface-number】任意視圖命令手動撤除撥號鏈路。但此命令只是臨時撤除撥號鏈路：如配置了自動撥號，當?shù)竭_自動撥號時間時，會重新建立撥號鏈路；如未配置自動撥號，則當有報文傳輸時，會再次觸發(fā)撥號。

PPP配置與管理

PPP是在點對點鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)報文的1種鏈路層協(xié)議，路由器中的serial接口鏈路缺省運行的協(xié)議就是PPP。Async接口、CPOS接口、ISDN BRI接口、E1-F接口、CE1/PRI接口、T1-F接口、CT1/PRI接口、3G Cellular接口、Dialer接口、虛擬模板接口、POS接口都可運行PPP。

1、PPP介紹及基本工作機制

PPP是在SLIP（Serial Line Internet Protocol，串行線IP）基礎(chǔ)上發(fā)展起來的。PPP能夠提供用戶認證、易于擴充、并且支持同/異步通訊，取得廣泛利用。配置PPP可以實現(xiàn)PPPoE、PPPoA、PPPoEoA撥號上網(wǎng)及廣域網(wǎng)互聯(lián)。

相對其他鏈路層協(xié)議，PPP有以下優(yōu)點：

1）對物理層而言，PPP既支持同步鏈路又支持異步鏈路，而X.25、FR等僅支持同步鏈路，SLIP僅支持異步鏈路；

2）PPP具有良好的擴大性。

3）提供LCP（Link Control Protocol，鏈路控制協(xié)議），主要用來建立、撤除和監(jiān)控PPP數(shù)據(jù)鏈路；

4）提供各種NCP（Network Control Protocol，網(wǎng)絡(luò)控制協(xié)議），如IPCP、IPXCP，主要用來協(xié)商在該數(shù)據(jù)鏈路上傳輸?shù)臄?shù)據(jù)包的格式和類型，更好的支持了網(wǎng)絡(luò)層協(xié)議；

5）提供認證協(xié)議CHAP（Challenge-Handshake Authentication Protocol，質(zhì)詢握手認證協(xié)議）、PAP（Password Authentication Protocol，密碼認證協(xié)議），用于網(wǎng)絡(luò)安全方面的認證；

6）無重傳機制，網(wǎng)絡(luò)開消小，速度快。

LCP、NCP、CHAP/PAP就是PPP所包括的3大擴大子協(xié)議，而PPP的工作機制正是在這3大擴大子協(xié)議協(xié)同工作基礎(chǔ)上實現(xiàn)的。

全部PPP運行流程分為5個階段，即Dead（死亡）階段、Establish（鏈路建立）階段、Authentication（身份認證）階段、Network（網(wǎng)絡(luò)控制協(xié)商）階段和Terminate（結(jié)束）階段。不同階段進行不同協(xié)議的協(xié)商，只有前面的協(xié)議協(xié)商出結(jié)果后，才能轉(zhuǎn)入下1個階段協(xié)議的協(xié)商。

通訊雙方開始建立PPP鏈路時，先進入到Establish階段。
在Establish階段，PPP鏈路進行LCP協(xié)商。協(xié)商內(nèi)容包括工作方式是SP（Single-link PPP）還是MP（Multilink PPP）、最大接收單元MRU（Maximum Receive Unit）、驗證方式和魔術(shù)字（magic number）等選項。LCP協(xié)商成功落后入Opened狀態(tài)，表示底層鏈路已建立。
如果配置了驗證，將進入Authenticate階段，開始CHAP或PAP驗證。如果沒有配置驗證，則直接進入Network階段。
在Authenticate階段，如果驗證失敗，進入Terminate階段，撤除鏈路，LCP狀態(tài)轉(zhuǎn)為Down。如果驗證成功，進入Network階段，此時LCP狀態(tài)仍為Opened。
在Network階段，PPP鏈路進行NCP協(xié)商。通過NCP協(xié)商來選擇和配置1個網(wǎng)絡(luò)層協(xié)議并進行網(wǎng)絡(luò)層參數(shù)協(xié)商。只有相應(yīng)的網(wǎng)絡(luò)層協(xié)議協(xié)商成功后，該網(wǎng)絡(luò)層協(xié)議才可以通過這條PPP鏈路發(fā)送報文。

NCP協(xié)商包括IPCP（IP Control Protocol）、MPLSCP（MPLS Control Protocol）等協(xié)商。IPCP協(xié)商內(nèi)容主要包括雙方的IP地址。
NCP協(xié)商成功后，PPP鏈路將1直保持通訊。PPP運行進程中，可以隨時中斷連接，物理鏈路斷開、認證失敗、超時定時器時間到、管理員通過配置關(guān)閉連接等動作都可能致使鏈路進入Terminate階段。
在Terminate階段，如果所有的資源都被釋放，通訊雙方將回到Dead階段，直到通訊雙方重新建立PPP連接，開始新的PPP鏈路建立。

PPP的基本架構(gòu)：

PPP協(xié)議在協(xié)議棧中的位置

PPP主要由3類協(xié)議族組成：

鏈路控制協(xié)議族（Link Control Protocol），主要用來建立、撤除和監(jiān)控PPP數(shù)據(jù)鏈路。（應(yīng)當主要使用于Establish階段和Terminate階段）
網(wǎng)絡(luò)層控制協(xié)議族（Network Control Protocol），主要用來協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。（Network階段）
擴大協(xié)議族CHAP（Challenge-Handshake Authentication Protocol）和PAP（Password Authentication Protocol），主要用于網(wǎng)絡(luò)安全方面的驗證。（Authentication階段）

各字段的含義以下：

Flag域

Flag域標識1個物理幀的起始和結(jié)束，該字節(jié)為0x7E。
Address域

Address域可以唯1標識對端。PPP協(xié)議是被應(yīng)用在點對點的鏈路上，因此，使用PPP協(xié)議互連的兩個通訊裝備不必知道對方的數(shù)據(jù)鏈路層地址。依照協(xié)議的規(guī)定將該字節(jié)填充為全1的廣播地址，對PPP協(xié)議來講，該字段無實際意義。
Control域

該字段默許值為0x03，表明為無序號幀，PPP默許沒有采取序列號和確認應(yīng)對來實現(xiàn)可靠傳輸。

Address和Control域1起標識此報文為PPP報文，即PPP報文頭為FF03。
Protocol域

Protocol域可用來辨別PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)包類型。

Protocol域的內(nèi)容必須根據(jù)ISO 3309的地址擴大機制所給出的規(guī)定。該機制規(guī)定協(xié)議域所填充的內(nèi)容必須為奇數(shù)，也就是要求最低有效字節(jié)的最低有效位為“1”。
Information域
Information域最大長度是1500字節(jié)，其中包括填充域的內(nèi)容。Information域的最大長度稱為最大接收單元MRU（Maximum Receive Unit）。MRU的缺省值為1500字節(jié)，在實際利用當中可根據(jù)實際需要進行MRU的協(xié)商。
如果Information域長度不足，可被填充，但不是必須的。如果填充則需通訊雙方的兩端能辨認出填充信息和真正需要傳送的信息，方可正常通訊。
FCS域
FCS域的功能主要對PPP數(shù)據(jù)幀傳輸?shù)恼_性進行檢測。
在數(shù)據(jù)幀中引入了1些傳輸?shù)谋ＷC機制，會引入更多的開消，這樣可能會增加利用層交互的延遲。

如果當發(fā)送端發(fā)送的PPP數(shù)據(jù)幀的協(xié)議域字段不符合上述規(guī)定，接收端則會認為此數(shù)據(jù)幀是不可辨認的。接收端向發(fā)送端發(fā)送1個Protocol-Reject報文，在該報文尾部將填充被謝絕報文的協(xié)議號。

在鏈路建立階段，PPP協(xié)議通過LCP報文進行鏈路的建立和協(xié)商。此時LCP報文作為PPP的凈載荷被封裝在PPP數(shù)據(jù)幀的Information域中，PPP數(shù)據(jù)幀的協(xié)議域的值固定填充0xC021。

在鏈路建立階段的全部進程中信息域的內(nèi)容是變化的，它包括很多種類型的報文，所以這些報文也要通過相應(yīng)的字段來辨別。

Code域

Code域的長度為1個字節(jié)，主要是用來標識LCP數(shù)據(jù)報文的類型。

在鏈路建立階段，接收方接收到LCP數(shù)據(jù)報文。當其Code域的值無效時，就會向?qū)Χ税l(fā)送1個LCP的代碼謝絕報文（Code-Reject報文）。

Identifier域

Identifier域為1個字節(jié)，用來匹配要求和響應(yīng)，當Identifier域值為非法時，該報文將被拋棄。

通常1個配置要求報文的ID是從0x01開始逐漸加1的。當對端接收到該配置要求報文后，不管使用何種報文回應(yīng)對方，但必須要求回應(yīng)報文中的ID要與接收報文中的ID1致。
Length域

Length域的值就是該LCP報文的總字節(jié)數(shù)據(jù)。它是Code域、Identifier域、Length域和Data域4個域長度的總和。

Length域所唆使字節(jié)數(shù)以外的字節(jié)將被當作填充字節(jié)而疏忽掉，而且該域的內(nèi)容不能超過MRU的值。
Data域

Data域所包括的是協(xié)商報文的內(nèi)容，這個內(nèi)容包括以下字段。
- Type為協(xié)商選項類型。
- Length為協(xié)商選項長度，它是指Data域的總長度，也就是包括Type、Length和Data。
- Data為協(xié)商選項的詳細信息。

2、配置PPP基本功能

PPP基本功能包括配置接口的鏈路層協(xié)議為PPP和配置端口的IP地址。基本功能配置完成后，可以初步建立PPP鏈路。主要包括以下兩項任務(wù)：

1）配置接口封裝的鏈路層協(xié)議為PPP

2）配置接口的IP地址

1種是在接口上直接配置IP地址，另外一種是通過IP地址協(xié)商獲得IP地址。配置PPP協(xié)商IP地址又分為兩種情況：

-- 配置裝備作為PPP客戶端：如本端裝備接口封裝的鏈路層協(xié)議為PPP，且未配置IP地址，對端已有IP地址時，可把本端裝備配置為客戶端，使本端裝備接口接收PPP協(xié)商產(chǎn)生的由對端分配的IP地址。這類方式主要利用于通過ISP訪問Internet

--- 配置裝備作為PPP服務(wù)器

裝備作為服務(wù)器時可以為對端指定IP地址，但首先要在系統(tǒng)視圖下配置本地IP地址池，指明地址池的地址范圍，

3、配置PPP的PAP認證

PPP基本功能實現(xiàn)后，用戶根據(jù)需要配置PAP或CHAP認證。

1）PAP認證：這是1種兩次握手驗證協(xié)議。以明文方式在鏈路上發(fā)送驗證密碼，完成PPP鏈路建立后，被驗證方會不停地在鏈路上反復(fù)發(fā)送用戶名和密碼，直到身份驗證進程結(jié)束，安全性不高

PAP認證有PAP單向認證與PAP雙向認證：PAP單向認證是指1端作為認證方，另外一端作為被認證方。雙向認證是單向認證的簡單疊加，即兩端都是既作為認證方又作為被認證方。

2）CHAP認證：是1種3次握手驗證協(xié)議。只在網(wǎng)絡(luò)上傳輸用戶名，而不傳輸用戶密碼，安全性高。

CHAP認證有CHAP單向認證與CHAP雙向認證：
CHAP單向認證是指1端作為認證方，另外一端作為被認證方。雙向認證是單向認證的簡單疊加，即兩端都是既作為認證方又作為被認證方。
CHAP認證進程分為兩種情況：認證方配置了用戶名和認證方?jīng)]有配置用戶名。推薦使用認證方配置用戶名的方式，這樣可以對認證方的用戶名進行確認。

PAP認證需要同時在認證方（實行認證的1方）和被認證方進行配置。在認證方本地要創(chuàng)建好用于對被認證方進行認證的用戶賬戶信息（包括用戶名和密碼），而在被認證方要配置進行認證時要發(fā)送的用戶賬戶信息，并且要與認證方本地用于認證的用戶賬戶信息完全1致。固然，兩端還要配置采取相同的PPP認證方式。

4、配置PPP的CHAP認證

當認證方配置了用戶名時，可使被認證方驗證認證方的資格，以防連接到非法的服務(wù)器端，也就是被認證方也有資格驗證對方是不是有資格對自己進行認證。就相當于1個雙向認證：不但認證方可以對被認證方進行認證，被認證方也可對認證方進行認證，這就是CHAP3次握手進程的基本原理。在認證方?jīng)]有配置用戶名時，CHAP認證進程與PAP認證進程1樣。

認證方配置了用戶名后的CHAP認證具體步驟以下表4⑴3。雙方都要配置認證用戶名，創(chuàng)建用于對方認證的本地用戶名賬戶，因此此時被認證方同時需要對認證的資格進行確認。認證方?jīng)]有配置用戶名的CHAP認證的具體步驟如表4⑴4，此時被認證方不需要對認證資格進行確認。

表中所列都是針對CHAP單向認證，雙向認證時需要雙方同時配置表中的認證方和被認證方。

5、配置PPP協(xié)商參數(shù)

在裝備上還可以有選擇的配置1些用于協(xié)商的參數(shù)具體包括以下可選配置任務(wù)

1）協(xié)商超時時間間隔

在PPP協(xié)商進程中，如果在某個時間間隔內(nèi)沒有收到對真?zhèn)€應(yīng)對報文，則PPP會重發(fā)1次發(fā)送的報文，這個時間間隔稱為“超時時間間隔”。

2）協(xié)商輪詢時間間隔

指接口發(fā)送keepalive（保持活躍）報文的周期。keepalive報文用于鏈路狀態(tài)監(jiān)測保護，接口如果在5個keepalive周期以后沒法收到keepalive報文，認為鏈路產(chǎn)生故障。

3）協(xié)商DNS服務(wù)器地址

裝備在進行PPP地址協(xié)商進程中可以進行DNS地址協(xié)商，此時裝備可以配置成接受對端分配的DNS地址，也可配置為向?qū)Χ颂峁〥NS地址。當不可以同時都配。

6）PPP管理

display this：在對應(yīng)接口視圖下查看對應(yīng)接口下配置PPP認證信息
display local-user：查看本地用戶的配置情況。
reset ppp compression iphc 【interface interface-type interface-number】：清除IPHC緊縮統(tǒng)計信息
reset PPP compression stac-lzs 【interface interface-type interface-number】：清除STAC-LZS緊縮統(tǒng)計信息。

7）PAP單向認證配置實例：