[计算机硬件及网络]5配置PPP.pptVIP

使用show interface命令显示Multilink状态。当使用了Multilink，该项状态为OPEN。 Show ppp Multilink命令显示多路传输的轮询组的绑定情况。显示内容包括绑定成员数，链路属于哪一个绑定等信息。 第一个例子显示该系统有两组正在使用的绑定。 第二个例子显示创建的堆叠组stack group的情况，在堆叠组成员中，Multilink PPP绑定hansolo使用端口Virtual-access4。属于该绑定的两个子端口分别是本地PRI的某个通道(serial0:4)和堆栈组成员systemb的端口。 察看PAP或CHAP另外一个方法为show dialer命令。该命令用来察看拨号连接。 如果显示远程路由器的名字，则代表通过PAP或CHAP验证。你可以察看两方的路由器，以此确定PAP或CHAP是否工作。如果你没有看见其它名字，表示至少一个方向的验证错误。 上面的幻灯片显示了debug ppp negotiation命令的输出。这里显示了一个正常的协商过程，协商双方统一了NCP参数，IP协议类型的请求得到回应。也可以使用debug ppp events命令以其它形式显示PPP事件。 也可以使用单向CHAP验证。单向的CHAP验证必须配置在接收端，这样路由器才会知道拨入者。Cisco路由器即使没有配置CHAP验证也会回应验证请求，这种动作叫做被动模式passive mode。 当客户端路由器发出初始化呼叫，该路由器的hold-queue计时器开始计时。在该计时器到时之前不会在有新的呼叫。该计时器当建立PPP NCP 连接或呼叫失败后才会停止。 对包括使用ISDN端口的轮询组来说，如果enable time较长而有用户在此期间拨入最后一个端口，则将不会有回拨。如果在enable time期间有感兴趣包的话，最后一个端口将被该端口用来拨号，则将不会产生回拨。 实施PPP callback注意以下问题： 要使回拨成功验证必须通过。 在断开初始呼叫和发起回叫前的时间长度由enable timeout决定。这个时间间隔保证初始呼叫以被完全断开。 hold-queue时间决定客户端发起到相同目的地的另一个呼叫的间隔。 callback服务器必须在此间隔内回拨，否则将产生另一个初始化呼叫并可能因此阻止回拨。 callback client上的hold-queue计时器大致应该大于服务器hold-queue计时器的4倍。 上面的流程图表示PPP的PAP或CHAP验证的过程： 用户键入PPP命令后，系统确认验证类型。如果没有配置验证，立刻启动PPP进程。否则到下一步。 确认了验证方法后，执行下列措施之一： 检查本地数据库（使用username password命令建立的）察看相应的用户名和口令是否符合。 向安全服务器（如：TACACS或RADIUS）发出认证请求。 检查安全服务器或本地数据库的应答。如果为肯定的则启动PPP进程，如果是否定的则拒绝访问。 如果你决定使用验证协议，比如PAP或CHAP。使用PAP验证将启动双向的验证进程。左面的路由器以明码的形式发送右边路由器的名字和自己的口令给右边的路由器。PAP验证使用不安全的验证方式，因为你可以在线路上使用协议分析仪截获明码口令。 PAP不能防止“重放playback”。这里的“playback”指使用sniffer等协议分析仪连接线路并截获包。通过再次使用截获的包来通过验证的手法称为“playback”。 如果你希望保证安全，则建议使用CHAP验证。只有在远程用户只支持PAP验证时才使用PAP。 如上图所示，这里的两个路由器left和right通过ISDN相连。首先配置使用PAP验证。在BRI端口需要配置encapsulation ppp。然后使用ppp authentication PAP命令使left路由器在LCP协商时告诉right路由器使用PAP验证自己的身份。 下面是配置地址、用户名和口令。 两边的口令必须一致。 路由器名和口令为大小写敏感。 为使双方正确通讯，两个路由器都使用dialer map命令。使用了该命令双方才知道如何验证，这是因为预先知道了对方。 通过三次握手的CHAP验证可以周期