lcp的配置命令主要是针对lcp的协商选项的配置。分为两类:一是本地要发送给远端的选项;二是远端必须发送给自身的选项,分别由"ppp lcp local"和"ppp lcp remote"完成,各选项的详细含义见ppp协议。
config_s0#ppp lcp local ?
accm -设置 lcp 的 lcp_accm 协商选项
acfc -设置 lcp 的 lcp_acfc 协商选项
authenticate -设置 lcp 的 lcp_authent 协商选项
magic -设置 lcp 的 lcp_magic 协商选项
mru -设置 lcp 的 lcp_mru 协商选项
pfc -设置 lcp 的 lcp_pfc 协商选项
default -设置 lcp 的 协商选项 为缺省值
对lcp连接可进行open、close等操作,具体命令如下:
config_s0#ppp lcp ?
close -关闭 lcp 连接
listen -设置 lcp 为监听状态
local -设置 lcp 本地协商
open -建立 lcp 连接
timeout -设置 lcp 计时器值
try -设置 lcp 重发计数器值
当使用ppp lcp close命令关闭当前ppp连接后,lcp为closed状态。以后即使远端拨入,也不建立联接。必须通过ppp lcp listen或ppp lcp open将其启动,其中ppp lcp open主动发送lcp协议请求包。
1.2.ipcp协议的配置
1. ipcp协议选项主要是ip地址和是否进行tcp/ip报头压缩地协商。
config_s0#ppp ipcp local ?
compress -设置 ipcp 的 ipcp_compress 协商选项
address -设置 ipcp 的 ipcp_address 协商选项
default -设置 ipcp 的 协商选项 为缺省值
2. 对ip地址池的配置
config_s0#ppp ipcp pool string
string 为ip地址池名字。它是通过全局配置命令"config#ippool"来设置。
例如:"config#ippool add pool1 202.10.10.10 10" 表示增加ip地址池名字为pool1,起始ip地址为202.10.10.10,连续10个ip地址可供分配。
3. ipcp中ip地址协商
ppp ipcp local address a.b.c.d 表示本地向远端报告的自身ip地址
ppp ipcp romote address a.b.c.d 表示期望远端的ip地址
如果配置了期望远端的ip地址为零,则当远端未报告其ip地址,则由本地从ip地址池分配一个ip地址。
对ipcp连接可进行open、close等操作命令如下:
config_s0#ppp ipcp ?
close -关闭 ipcp 连接
listen -设置 ipcp 为监听状态
local -设置 ipcp本地协商选项
open -建立 ipcp 连接
pool -设置 ipcp 的ip地址池
remote -设置 ipcp 远端协商选项
timeout -设置 ipcp 记时器值
try -设置 ipcp 重发计数器值
1.3.ppp协议中chap和pap的配置。
ppp协议主要是针对在点对点链路上传送网络协议数据而提出的.通常是利用拨号线进行互联,由于话音交换机对数据通信中的安全性考虑不多,因此ppp协议包含了对通信双方身份认证的安全性协议pap与chap,即在网络层协商ip地址之前,首先必须通过身份认证。
pap (password authencation protocal)是一种很简单的认证协议。
如上图,a与b之间通过ppp协议互联,a设置了要进行pap认证,则当b拨通a后,b将自己的名字与口令一起发给a,a从自己的用户数据库中查到该口令与名字相符,则a与b可继续进行ip地址协商,否则a将切断线路.pap协议仅在连接建立阶段进行,在数据传输阶段不进行pap认证。
chap (challenge-handshake authentication protocal)相对pap安全性更高。
如上图,a与b之间通过ppp协议互联,a设置了要进行chap认证,则当b拨通a后,由a将一段随机数据和自身的名字发送给b,b根据此名字查到口令,用它对收到的随机数据通过md5算法进行加密,得到16字节的加密结果,然后b将该结果和b自身的名字一起发送给a。
a收到该报后,首先查到b的口令,同样用此口令对以前发送的随机数据,通过md5算法进行加密并将自己算出的加密结果与从b中收到的加密结果相比较,如果一致,a与b可继续进行ip地址协商,否则a将切断线路。
chap协议不仅仅在连接建立阶段进行在以后数据传输阶段,也将以随机间隔周期进行,如果发现结果不一致,a也将切断线路。
bdcom 2000系列路由器中ppp协议支持pap与chap认证,配置实例如下:
① 如上图一,a为bdocm 2000系列路由器通过s0端口与远端互联,使用pap认证协议
config_s0#enc ppp
config_s0#ppp auth pap
端口配置完成后还必须在用户数据库中,加入远端的名字与口令,通过全局配置命令完成,比如远端名字为bdocm2,口令为abcd
config# user add bdcom2 password abcd
如果b为bdcom 2000系列路由器由配置命令如下:
config_s0#enc ppp
config_s0#ppp pap user bdcom2 password abcd
则如果a要求pap认证,则b将以名字为bdocm2和口令为abcd发送给a,b发出的名字和它自身的名字并不一定要一致。
② 如上图二,a为bdcom 2000系列路由器,通过s0端口与远端互联,a要求chap认证
config_s0#enc ppp
config_s0# ppp auth chap
config_s0# ppp chap user bdcom1
最后一条配置命令表示a在chap认证开始时,将一段随机数据和名字“bdcom1”发送给b,b将根据该名字查到口令,对收到的数据进行加密,把结果和b自身的名字一起再发回a。
端口配置命令完成后,还必须在用户数据库中加入远端的名字与口令。比如远端名字为bdcom2,口令为abcd。
config# user add bdcom2 password abcd
如果b为bdcom 2000系列路由器,则配置命令如下:
config_s0#enc ppp
config_s0# ppp chap user bdcom2
而且还要在b的用户数据库中加入a的名字与口令
config# user add bdcom1 password abcd
a和b在配置用户数据库中,口令必须一致。
以上对pap、chap说明均以a对b认证为例,实际上b同时也可对a认证,而且两个方向的认证是互相独立,即可以采用不同的认证协议。