设置 PPP 链路涉及一组独立的任务,其中包括规划任务以及与 PPP 无关的其他活动。本章介绍如何规划最常见的 PPP 链路、如何规划验证以及 PPPoE。
第 16 章,规划 PPP 链路(任务)后面的任务章节使用配置样例说明如何设置特定链路。本章中介绍了这些配置样例。
具体包含以下主题:
在实际设置链路之前,PPP 需要对任务进行规划。此外,如果要使用 PPPoE 通道,还必须首先设置 PPP 链路,然后提供通道。以下任务列表列出了本章中讨论的大型规划任务。您可能只需使用针对要配置的链路类型的常规任务。或者,可能需要执行针对链路、验证或 PPPoE 的任务。
表 16–1 PPP 规划的任务列表
任务 |
说明 |
参考 |
---|---|---|
规划拨号 PPP 链路 |
收集设置拨出计算机或拨入服务器需要的信息 | |
规划租用线路链路 |
收集设置租用线路上的客户机需要的信息 | |
规划 PPP 链路上的验证 |
收集在 PPP 链路上配置 PAP 或 CHAP 验证需要的信息 | |
规划 PPPoE 通道 |
收集设置可以运行 PPP 链路的 PPPoE 通道需要的信息 |
拨号链路的规划信息
第 17 章,设置拨号 PPP 链路(任务)中使用的链路样例说明
通常,只需配置拨号 PPP 链路一端的计算机:拨出计算机或拨入服务器。有关拨号 PPP 的介绍,请参阅拨号 PPP 概述。
本节中的规划信息不包括要收集的有关验证或 PPPoE 的信息。有关验证规划的详细信息,请参阅规划链路上的验证。有关 PPPoE 规划的信息,请参阅规划 PPPoE 通道上的 DSL 支持。
信息 |
操作 |
---|---|
调制解调器最大速度 |
请参阅调制解调器制造商提供的文档。 |
调制解调器连接命令(AT 命令) |
请参阅调制解调器制造商提供的文档。 |
用于链路另一端的拨入服务器的名称 |
创建有助于标识拨入服务器的任何名称。 |
拨入服务器所需的登录序列 |
与拨入服务器的管理员联系或参阅 ISP 文档(如果拨入服务器属于 ISP)。 |
本节中的规划信息不包括要收集的有关验证或 PPPoE 的信息。有关验证规划的详细信息,请参阅规划链路上的验证。有关 PPPoE 规划的信息,请参阅规划 PPPoE 通道上的 DSL 支持。
信息 |
操作 |
---|---|
调制解调器最大速度 |
请参阅调制解调器制造商提供的文档。 |
允许呼叫拨入服务器的人员的用户名 |
在设置预期用户的起始目录之前,获取这些用户的名称,如如何配置拨入服务器的用户中所述。 |
用于 PPP 通信的专用 IP 地址 |
从您公司中负责分派 IP 地址的个人获取地址。 |
第 17 章,设置拨号 PPP 链路(任务)中将介绍的任务可满足一家小型公司的需求,即允许员工在一周内有几天在家工作。某些员工需要在其家庭计算机上安装 Solaris OS。这些员工还需要远程登录到公司内联网中的工作计算机。
这些任务可设置具有以下特性的基本拨号链路:
拨出计算机位于需要呼叫公司内联网的员工家中。
拨入服务器是公司内联网中配置为接收员工传入呼叫的计算机。
使用 UNIX 样式登录验证拨出计算机。公司的安全策略不需要功能更强大的 Solaris PPP 4.0 验证方法。
下图显示了第 17 章,设置拨号 PPP 链路(任务)中设置的链路。
在此图中,某台远程主机使用电话线通过调制解调器拨叫 Big Company 的内联网。另一台主机已配置为拨叫 Big Company,但当前处于不活动状态。远程用户的呼叫按与 Big Company 中的拨入服务器相连的调制解调器的接收顺序进行应答。对等点之间建立了 PPP 连接。这样,拨出计算机就可以远程登录到内联网中的主机。
请参阅以下内容:
要设置拨出计算机,请参见表 17–2。
要设置拨入计算机,请参见表 17–3。
要获取拨号链路的概述,请参见拨号 PPP 概述。
要获取 PPP 文件和命令的详细信息,请参见在文件和命令行中使用 PPP 选项。
设置租用线路链路涉及配置从提供商处租用的交换式或非交换式服务的一端中的对等点。
本节包含以下信息:
租用线路链路的规划信息
图 16–2 中所示的链路样例说明
有关租用线路链路的介绍,请参阅租用线路 PPP 概述。有关设置租用线路的任务,请参见第 18 章,设置租用线路 PPP 链路(任务)。
如果您的公司租用网络提供商的租用线路链路,则通常只需配置您所在链路端的系统。链路另一端的对等点由其他管理员维护。此管理员可以是公司远程位置的某个系统管理员,也可以是 ISP 的系统管理员。
系统同步接口
同步单元 (CSU/DSU)
您的系统
某些网络提供商的用户驻地设备 (customer premises equipment, CPE) 中包括路由器、同步接口和 CSU/DSU。但是,必需设备随提供商和您所在地区的政府限制的不同而变化。如果所需设备未随租用线路一起提供,则网络提供商可以提供此设备的相关信息。
信息 |
操作 |
---|---|
接口的设备名称 |
请参阅接口卡文档。 |
同步接口卡的配置说明 |
请参阅接口卡文档。配置 HSI/P 接口时需要此信息。可能不需要配置其他类型的接口卡。 |
(可选)远程对等点的 IP 地址 |
请参阅服务提供商文档。或者,与远程对等点的系统管理员联系。仅当 IP 地址未在两个对等点之间协商时,才需要此信息。 |
(可选)远程对等点的名称 |
请参阅服务提供商文档。或者,可与远程对等点的系统管理员联系。 |
(可选)链路的速度 |
请参阅服务提供商文档。或者,可与远程对等点的系统管理员联系。 |
(可选)远程对等点使用的压缩 |
请参阅服务提供商文档。或者,可与远程对等点的系统管理员联系。 |
第 18 章,设置租用线路 PPP 链路(任务)中的任务说明如何实现一个中型组织 (LocalCorp) 为其员工提供 Internet 访问的目标。当前,员工的计算机连接到公司的专用内联网。
LocalCorp 需要快速处理和访问 Internet 上的许多资源。该组织与服务提供商 Far ISP 签订合同,以允许 LocalCorp 设置其自己的连接到 Far ISP 的租用线路。然后,LocalCorp 从一家电话公司 Phone East 租用 T1 线路。Phone East 使用租用线路连接 LocalCorp 与 Far ISP。然后,Phone East 为 LocalCorp 提供已配置的 CSU/DSU。
这些任务可设置具有下列特征的租用线路链路。
LocalCorp 将一个系统设置为网关路由器,用于通过租用线路将包转发至 Internet 上的主机。
Far ISP 也将一个对等点设置为路由器,用于连接客户的租用线路。
在上图中,在 LocalCorp 中设置了一台路由器以实现 PPP。该路由器通过其 hme0 接口与公司内联网相连。第二个连接是通过计算机的 HSI/P 接口 (hihp1) 连接至 CSU/DSU 数字单元。然后,CSU/DSU 连接至已安装的租用线路。LocalCorp 管理员配置 HSI/P 接口和 PPP 文件。然后,该管理员键入 /etc/init.d/pppd 以启动 LocalCorp 与 Far ISP 之间的链路。
请参阅以下内容:
本节包含有关提供 PPP 链路上验证的规划信息。第 19 章,设置 PPP 验证(任务)包含在您的站点中实现 PPP 验证的任务。
PPP 提供两种类型的验证:PAP(详见口令验证协议 (Password Authentication Protocol, PAP))和 CHAP(详见质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP))。
在链路上设置验证之前,必须选择最符合您站点的安全策略的验证协议。然后,为拨入计算机或呼叫者的拨出计算机(或者两种类型的计算机)设置机密文件和 PPP 配置文件。有关为您的站点选择合适的验证协议的信息,请参见为什么使用 PPP 验证?。
本节包含以下信息:
有关设置验证的任务,请参见第 19 章,设置 PPP 验证(任务)。
在您的站点设置验证应该作为 PPP 整体策略的一个不可或缺部分。实现验证之前,应组装硬件、配置软件并测试链路。
表 16–5 配置验证之前的先决条件
信息 |
参考 |
---|---|
配置拨号链路的任务 | |
测试链路的任务 | |
您站点的安全要求 |
您公司的安全策略。如果没有安全策略,则可通过设置 PPP 验证来创建安全策略。 |
有关在您的站点中使用 PAP 还是使用 CHAP 的建议 |
为什么使用 PPP 验证?。有关这些协议的更多详细信息,请参阅验证链路上的呼叫者。 |
本节介绍要在第 19 章,设置 PPP 验证(任务)的过程中使用的验证方案示例。
配置 PAP 验证中的任务说明如何在 PPP 链路上设置 PAP 验证。这些过程使用为拨号 PPP 配置示例中虚构的 "Big Company"创建的 PAP 方案作为示例。
Big Company 希望其用户能够在家工作。系统管理员则希望为连接到拨入服务器的串行线路提供一种安全解决方案。使用 NIS 口令数据库的 UNIX 样式登录已在过去为 Big Company 的网络提供了良好的服务。系统管理员希望对通过 PPP 链路进入网络的呼叫使用类似于 UNIX 的验证方案。因此,管理员可实现使用 PAP 验证的以下方案。
系统管理员可创建一个专用的拨入 DMZ,它通过路由器与公司网络的其余部分隔开。术语 DMZ 来自军事术语“非军事化区”。DMZ 是为了安全而设置的一个隔离网络。DMZ 通常包含公司为公众提供的资源,如 Web 服务器、匿名 FTP 服务器、数据库和调制解调器服务器。一般情况下,网络设计者会将 DMZ 放置在防火墙与公司的 Internet 连接之间。
在图 16–3 中,唯一的 DMZ 占用者是拨入服务器 myserver 和路由器。设置链路时,拨入服务器要求呼叫者提供 PAP 凭证,包括用户名和口令。此外,拨入服务器还会使用 PAP 的 login 选项。因此,呼叫者的 PAP 用户名和口令必须与其在拨入服务器口令数据库中的 UNIX 用户名和口令完全相符。
建立 PPP 链路之后,呼叫者的包将转发到路由器。然后,路由器将传输内容转发到其在公司网络或 Internet 上的目标。
配置 CHAP 验证中的任务说明如何设置 CHAP 验证。这些过程使用要为租用线路链路配置示例中介绍的虚构 LocalCorp 创建的 CHAP 方案作为示例。
LocalCorp 通过连接到 ISP 的租用线路提供与 Internet 的连接。LocalCorp 中的技术支持部门会产生巨大的网络通信流量。因此,技术支持部门需要拥有自己的隔离专用网络。该部门的现场技术人员经常到处出差,他们需要从远程位置访问技术支持部门的网络以获取解决问题的信息。为了保护专用网络数据库中的敏感信息,必须对远程呼叫者进行验证方可授予登录权限。
因此,系统管理员可对拨号 PPP 配置实现以下 CHAP 验证方案。
技术支持部门网络与外界的唯一链路是连接到拨入服务器所在链路端的串行线路。系统管理员可配置每位现场服务代表的膝上型计算机,以实现具有 CHAP 安全性(包括 CHAP 机密)的 PPP。在拨入服务器的 chap-secrets 数据库中,包含允许呼入技术支持部门网络的所有计算机的 CHAP 凭证。
请选择以下内容:
请参见配置 PAP 验证。
请参见配置 CHAP 验证。
某些 DSL 提供商要求您为站点设置 PPPoE 通道,以便通过提供商的 DSL 线路和高速数字网络运行 PPP。有关 PPPoE 的概述,请参见通过 PPPoE 支持 DSL 用户。
PPPoE 通道包括三个参与者:使用者、电话公司和 ISP。您可以为您公司的 PPPoE 客户机使用者、家中的使用者或 ISP 服务器的使用者配置 PPPoE。
本节包含有关在客户机和访问服务器上运行 PPPoE 的规划信息。具体包括以下主题:
PPPoE 主机和访问服务器的规划信息
PPPoE 通道配置示例中介绍的 PPPoE 方案说明
有关设置 PPPoE 通道的任务,请参见第 20 章,设置 PPPoE 通道(任务)。
预配置活动取决于您是配置通道的客户端还是服务器端。无论哪种情况,您或您的组织都必须与电话公司签订合同。电话公司为客户机提供 DSL 线路,以及为访问服务器提供某种形式的桥接并可能提供 ATM 管道。在大多数合同中,电话公司都会在您的站点组装其设备。
个体使用的个人计算机或其他系统
DSL 调制解调器,通常由电话公司或 Internet 访问提供商安装
(可选)集线器(涉及多台客户机时),适用于公司的 DSL 使用者
(可选)分路器,通常由提供商安装
根据用户或公司的需求以及提供商提供的服务,可以使用许多不同的 DSL 配置。
表 16–6 规划 PPPoE 客户机
信息 |
操作 |
---|---|
如果为个人或您自己设置家庭 PPPoE 客户机,请获取 PPPoE 范围之外的任何设置信息。 |
请求电话公司或 ISP 提供所需的任何设置过程。 |
如果在公司站点中设置 PPPoE 客户机,请收集被指定 PPPoE 客户机系统的用户的名称。如果配置远程 PPPoE 客户机,则您可能要负责提供有关添加家庭 DSL 设备的用户信息。 |
请求公司中的管理人员提供已授权用户的列表。 |
查找 PPPoE 客户机上的可用接口。 |
在每台计算机上运行 ifconfig -a 命令,以列出接口名称。 |
(可选)获取 PPPoE 客户机的口令。 |
请求用户提供其首选口令。或者,为用户指定口令。请注意,此口令用于链路验证,而不用于 UNIX 登录。 |
规划 PPPoE 访问服务器涉及与电话公司合作,用于提供与其数据服务网络的连接。电话公司将在您的站点上安装其线路(通常为 ATM 管道),并为访问服务器提供某种形式的桥接。您需要配置以太网接口以访问公司提供的服务。例如,您需要配置用于访问 Internet 的接口,以及电话公司网桥的以太网接口。
表 16–7 规划 PPPoE 访问服务器
信息 |
操作 |
---|---|
用于数据服务网络中的线路的接口 |
运行 ifconfig -a 命令以标识接口。 |
PPPoE 服务器提供的服务类型 |
请求管理人员和网络规划者提出要求和建议。 |
(可选)为使用者提供的服务类型 |
请求管理人员和网络规划者提出要求和建议。 |
(可选)远程客户机的主机名和口令 |
询问网络规划者和您站点中负责合同协商的其他人。主机名和口令用于 PAP 或 CHAP 验证,而不用于 UNIX 登录。 |
本节包含 PPPoE 通道示例,用于说明第 20 章,设置 PPPoE 通道(任务)中的任务。虽然下图中显示了通道的所有参与者,但您只管理其中一端:客户端或服务器端。
在该示例中,MiddleCo 希望为其员工提供高速 Internet 访问。MiddleCo 从 Phone East 处购买 DSL 包,而 Phone East 又与服务提供商 Far ISP 签订合同。Far ISP 为从 Phone East 处购买 DSL 的客户提供 Internet 和其他 IP 服务。
MiddleCo 从为站点提供一条 DSL 线路的 Phone East 处购买包。该包包含一条连接到 MiddleCo 的 PPPoE 客户机 ISP 的已验证专用连接。系统管理员用电缆将预期的 PPPoE 客户机与集线器相连。然后,Phone East 的技术人员用电缆将集线器连接到其 DSL 设备。
为了实现 FarISP 与 Phone East 之间的业务安排,FarISP 的系统管理员需要配置访问服务器 dslserve。此服务器具有以下四个接口:
eri0 -与本地网络连接的主网络接口
hme0 -FarISP 用于为其客户提供 Internet 服务的接口
hme1 -MiddleCo 约定用于已验证的 PPPoE 通道的接口
hme2 -其他客户约定用于其 PPPoE 通道的接口
请选择以下内容:
请参见设置 PPPoE 客户机。
请参见设置 PPPoE 访问服务器。
请参见创建 PPPoE 通道以支持 DSL以及 pppoed(1M)、pppoec(1M) 和 sppptun(1M) 手册页。