PPP、MP 和 SLIP 配置（上）

PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。PPP定义了一整套的协议包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）。PPP由于能够提供用户验证、易于扩充和支持同异步而获得较广泛的应用。

PPP运行过程：

• PPP在建立链路之前首先进行LCP协商，协商内容包括工作方式是SP还是MP、验证方式和最大传输单元等。
• LCP协商过后就进入Establish阶段，此时LCP状态为Opened，表示链路已经建立。
• 如果配置了验证（远端验证本地或者本地验证远端）就进入Authenticate阶段，开始CHAP或PAP验证。
• 如果验证失败进入Terminate阶段，拆除链路，LCP状态转为Down；如果验证成功就进入Network协商阶段（NCP），此时LCP状态仍为Opened，而IPCP和IPXCP状态从Initial转到Request。
• NCP协商支持IPCP和IPXCP协商，IPCP协商主要包括双方的IP地址，IPXCP协商主要包括双方的网络号和节点号。通过NCP协商来选择和配置一个或多个网络层协议。每个选中的网络层协议配置成功后，该网络层协议就可通过这条链路发送报文了。
• 此链路将一直保持通信，直至有明确的LCP或NCP帧关闭这条链路，或发生了某些外部事件（例如，用户的干预）。

图6-1 PPP运行流程图

PPP的验证方式：

• PAP为两次握手验证，口令为明文。

PAP验证过程如下：

• 被验证方发送用户名和口令到验证方；
• 验证方根据用户配置查看是否有此用户以及口令是否正确，然后返回不同的响应。
• CHAP为三次握手验证，口令为密文（密钥）。

CHAP验证过程：

• 验证方向被验证方发送一些随机产生的报文(Challenge)；
• 被验证方用自己的口令字和MD5算法对该随机报文进行加密，将生成的密文发回验证方(Response)；
• 验证方用自己保存的被验证方口令字和MD5算法对原随机报文加密，比较二者的密文，根据比较结果返回不同的响应（Acknowledge or Not Acknowledge）。

为了增加带? 可以将多个PPP链路捆绑使用，称为MultiLink PPP，简称MP。

另外在点到点链路上可以采用更简单的链路层协议SLIP（Serial Line IP），主要用于在点到点串口连接上运行TCP/IP。

SLIP 协议只简单定义帧开始和结束符，以便在串行线路上截取IP报文，与PPP相比，没有地址概念、没有协商过程、不区分报文类型（因此同一时间只能支持一种网络协议）而且没有纠错功能。

SLIP一般用于异步专线。

6.2.2 PPP、MP 和 SLIP 配置任务列表

PPP 的配置任务包括：

• 配置接口封装的链路层协议为PPP
• 配置PPP协商参数
• 配置PPP验证方式及相关参数
• 配置PPP只对呼入验证
• 在接口上应用AAA的PPP验证方法

MP的配置任务包括：

• 创建并配置MP虚拟接口模板
• 建立PPP用户与MP虚拟接口模板的对应关系

SLIP的配置任务包括：

• 配置接口封装的链路层协议为SLIP
• 配置接口封装的链路层协议为PPP

　

表6-1 配置接口封装的链路层协议为PPP

操作	命令
配置接口封装的链路层协议为PPP	encapsulation ppp

6.2.3 配置PPP协商参数

用户可以配置的PPP协商参数包括：

• 工作方式为单链路PPP或多链路PPP捆绑，多链路PPP捆绑可以增加带宽。
• 发送回呼请求和接受回呼请求，在某些特殊情况下，如链路的两端为A和B，A作为主叫呼通B之后，向B发回呼请求，B接收到A的回呼请求后，挂断连接，然后B作为主叫方回呼A，并与A重新建立连接，这样可以为A节省网络传输费用。
• 协商超时时间间隔，在PPP协商过程中，如果在这个时间间隔内没有收到对端的应答报文，则PPP将会重发前一次发送的报文。缺省超时时间间隔为3秒。
• 另外一些NCP的协商参数如本地IP地址、分配给对方的IP地址、IPX网络号和IPX节点号等的配置请参见相关章节。例如ip address negotiate 命令要求对端为本地分配IP地址，而peer default ip address 命令可以指定本地为对端分配的IP地址。

表6-2 配置PPP协商参数

操作	命令
允许多链路PPP捆绑	ppp multilink
禁止多链路PPP捆绑	no ppp multilink
允许发送回呼请求	ppp callback request
禁止发送回呼请求	no ppp callback request
允许接受回呼请求	ppp callback accept
禁止接受回呼请求	no ppp callback accept
配置协商超时时间间隔	ppp negotiate timeout seconds

6.2.4 配置PPP验证方式及相关参数

　　在本地路由器和远地路由器之间的验证支持CHAP和PAP两种验证方式，另外，两台路由器之间的验证是双向的。以下将根据不同的验证方向和验证方法分别介绍需要配置步骤。

（1）配置本地路由器以PAP方式验证对端路由器

表6-3 配置本地路由器以PAP方式验证对端路由器

操作	命令
配置本地验证对端（方式为PAP）	ppp authentication pap
将被验证端配置为本地用户，并配置被验证方用户名与口令的对应关系	user user password { 0 | 7 }password

（2）配置本地路由器以CHAP方式验证对端路由器

表6-4 配置本地路由器以CHAP方式验证对端路由器

操作	命令
配置本地验证对端（方式为CHAP）	ppp authentication chap
配置本地路由器域名	ppp chap host hostname
将对端路由器配置为本地用户	user user password { 0 | 7 } password

（3）配置本地路由器被对端路由器以PAP方式验证

表6-5 配置本地路由器被对端路由器以PAP方式验证

操作	命令
配置本地路由器被对端路由器以PAP方式验证时发送的PAP用户名和口令	ppp pap sent-username sent-username password { 0 | 7 } password

（4）配置本地路由器被对端路由器以CHAP方式验证

表6-6 配置本地路由器被对端路由器以CHAP方式验证

操作	命令
配置本地路由器域名	ppp chap host hostname
配置验证方用户名与验证口令的对应关系	user user password { 0 | 7 } password

其中 0和 7表示对  password 进行加密显示或直接显示。

在配置CHAP验证时，双方的  user 互为对方的  hostname，而且  password 要一致。