系统管理指南：网络服务

第 5 部分串行网络主题

本节主要讲述串行网络，其中提供了有关 PPP 和 UUCP 的概述、任务和参考信息。

第 15 章 Solaris PPP 4.0（概述）

本节介绍串行联网主题。串行联网是指使用串行接口（如 RS-232 或 V.35 端口）连接两台或更多计算机，以便进行数据传送。与 LAN 接口（如以太网）不同，这些串行接口用于连接相距很远的系统。PPP（Point-to-Point Protocol，点对点协议）和 UUCP（UNIX-to-UNIX CoPy，UNIX 对 UNIX 复制）是可用于实现串行联网的独特技术。为联网配置串行接口之后，多个用户可以按照几乎与使用任何其他网络接口（如以太网）相同的方法使用该接口。

本章介绍 Solaris PPP 4.0。利用此版本的 PPP，可以使位于不同物理位置的两台计算机能够在多种介质上使用 PPP 来相互通信。从 Solaris 9 发行版开始，Solaris PPP 4.0 将作为基本安装的一部分。

本章将讨论以下主题：

Solaris PPP 4.0 基础

Solaris PPP 4.0 实现点对点协议 (Point-to-Point Protocol, PPP)，此协议为数据链路协议，是 TCP/IP 协议集的成员之一。PPP 说明通过通信介质（如电话线路）在两台端点计算机之间传输数据的方式。

自 20 世纪 90 年代初以来，PPP 已广泛用作通过通信链路发送数据报的 Internet 标准。PPP 标准由 Internet 工程任务组 (Internet Engineering Task Force, IETF) 的点对点工作组在 RFC 1661 中说明。当远程计算机呼叫配置用于接收传入呼叫的 Internet 服务提供商 (Internet service provider, ISP) 或公司服务器时，通常使用 PPP。

Solaris PPP 4.0 基于公开的澳大利亚国立大学 (Australian National University, ANU) PPP–2.4 并实现 PPP 标准。支持异步和同步 PPP 链路。

Solaris PPP 4.0 兼容性

在整个 Internet 社区中可以获取各种版本的标准 PPP，并且正在广泛使用这些版本。ANU PPP-2.4 广泛用于 Linux、Tru64 UNIX，以及 BSD 的三种最主要变体：

FreeBSD
OpenBSD
NetBSD

Solaris PPP 4.0 为运行 Solaris 操作系统的计算机带来了 ANU PPP-2.4 的高可配置特性。在运行 Solaris PPP 4.0 的计算机上可以轻易地设置连接到任何运行标准 PPP 实现的计算机的 PPP 链路。

不基于 ANU 但却能成功地与 Solaris PPP 4.0 进行交互操作的 PPP 实现包括：

Solaris PPP，也称为 asppp，在 Solaris 2.4 到 Solaris 8 发行版中可用
Solstice^TM PPP 3.0.1
Microsoft Windows 98 DUN
Cisco IOS 12.0（同步）

要使用的 Solaris PPP 版本

从 Solaris 9 发行版开始，Solaris PPP 4.0 是受支持的 PPP 实现。Solaris 9 发行版和 Solaris 10 发行版不包括早期的异步 Solaris PPP (asppp) 软件。有关更多信息，请参阅以下内容：

第 23 章，从异步 Solaris PPP 迁移到 Solaris PPP 4.0（任务）
位于 http://docs.sun.com 上的 Solaris 8 System Administrator Collection

为什么使用 Solaris PPP 4.0？

如果您当前使用的是 asppp，可以考虑迁移到 Solaris PPP 4.0。请注意这两种 Solaris PPP 技术之间的以下差别：

传送模式

asppp 仅支持异步通信。Solaris PPP 4.0 支持异步通信和同步通信。
配置过程

设置 asppp 需要对 asppp.cf 配置文件、三个 UUCP 文件和 ifconfig 命令进行配置。此外，必须为可能登录到计算机的所有用户预先配置接口。

设置 Solaris PPP 4.0 需要为 PPP 配置文件定义选项，或发出带选项的 pppd 命令。您也可以将配置文件和命令行方法结合使用。Solaris PPP 可动态创建和删除接口。不需要为每个用户直接配置 PPP 接口。
asppp 中无法提供的 Solaris PPP 4.0 功能
- MS-CHAPv1 和 MS-CHAPv2 验证
- 基于以太网的 PPP (PPP over Ethernet, PPPoE)，用于支持 ADSL 网桥
- PAM 验证
- 插件模块
- IPv6 寻址
- 使用 Deflate 或 BSD 压缩方法进行的数据压缩
- Microsoft 客户端回叫支持

Solaris PPP 4.0 升级路径

如果要将现有 asppp 配置转换为 Solaris PPP 4.0，可以使用此发行版附带的转换脚本。有关完整说明，请参阅如何从 asppp 转换为 Solaris PPP 4.0。

其他可获取更多 PPP 信息的渠道

可利用印刷材料和联机文档等多种资源获取更多有关 PPP 的信息。以下几个小节给出了一些建议。

有关 PPP 的专业参考书籍

有关广泛使用的 PPP 实现（包括 ANU PPP）的更多信息，请参阅以下书籍：

由 Carlson, James 编著的《PPP Design, Implementation, and Debugging》，第 2 版。Addison-Wesley 出版，2000。
由 Sun, Andrew 编著的《 Using and Managing PPP》。O'Reilly & Associates 出版，1999。

有关 PPP 的 Web 站点

要获取有关 PPP 的常规信息，请访问以下 Web 站点：

有关 ANU PPP 的信息，请访问澳大利亚公立大学的 PPP 系统信息库，网址为 http://pserver.samba.org/cgi-bin/cvsweb/ppp/。
有关 Solaris 系统管理和 PPP 早期版本的技术信息、常见问题解答和讨论，请访问 Sun Microsystems 的系统管理员资源，网址为 http://www.sun.com/bigadmin/home/index.html。
有关许多不同 PPP 实现的调制解调器配置和建议，请参阅 Stokely Consulting 的 Web 项目管理与软件开发 Web 站点：http://www.stokely.com/unix.serial.port.resources/ppp.slip.html。

有关 PPP 的请求注解文档 (Requests for Comments, RFC)

有关 PPP 的一些有用的 Internet RFC 包括：

1661 和 1662，说明 PPP 的主要功能
1334，说明验证协议（如口令验证协议 (Password Authentication Protocol, PAP) 和质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)）
1332，说明基于以太网的 PPP (PPP over Ethernet, PPPoE) 的信息性 RFC

要获取 PPP RFC 的副本，请在 http://www.ietf.org/rfc.html 的 IETF RFC Web 页上指定 RFC 的编号。

有关 PPP 的手册页

有关 Solaris PPP 4.0 实现的技术层面的详细信息，请参阅以下手册页：

此外，还可以参见 pppdump(1M) 的手册页。可使用 man 命令找到与 PPP 有关的手册页。

PPP 配置和术语

本节介绍 PPP 配置，还将介绍本指南中使用的术语。

Solaris PPP 4.0 支持许多配置。

交换式访问（或称为拨号）配置
硬连线（或称为租用线路）配置

图 15–1 PPP 链路的各部分

上图显示了基本 PPP 链路。该链路包含以下部分：

两台计算机，通常位于独立物理位置，称为对等点。对等点可以是个人计算机、工程工作站、大型服务器，甚至商业路由器，具体取决于网站的要求。
每个对等点上的串行接口。在 Solaris 计算机上，此接口可以是 cua、hihp 或其他接口，具体取决于是配置了异步还是同步 PPP。
物理链路，如串行电缆、调制解调器连接或来自网络提供商的租用线路（如 T1 或 T3 线路）。

拨号 PPP 概述

最常用的 PPP 配置是拨号链路。在拨号链路中，本地对等点向远程对等点拨号以建立连接并运行 PPP。在拨号过程中，本地对等点呼叫远程对等点的电话号码以启动该链路。

常见拨号情况包括呼叫 ISP 的对等点（配置用于接收传入呼叫）的家庭计算机。另外一种情况是公司站点，此站点中的本地计算机基于 PPP 链路向另一建筑内的对等点传输数据。

在本指南中，启动拨号连接的本地对等点称为拨出计算机。接收传入呼叫的对等点称为拨入服务器。此计算机实际上是拨出计算机的目标对等点，它可能是一台真实服务器也可能不是。

PPP 不是客户机/服务器协议。一些 PPP 文档使用术语“客户机”和“服务器”表示电话呼叫的建立。拨入服务器与文件服务器或名称服务器类似，不是一台真实的服务器。拨入服务器成为广泛使用的 PPP 术语是因为拨入计算机通常为多台拨出计算机提供网络访问“服务”。不过，拨入服务器是拨出计算机的目标对等点。

拨号 PPP 链路的各部分

请参见下图。

图 15–2 基本模拟拨号 PPP 链路

图中显示了位置 1 和位置 2 之间的基本拨号链路，将在下面的上下文中对其进行说明。

位置 1（链路的拨出端）的配置由以下元素组成：

拨出计算机，通常为个人计算机或个人家庭中的工作站。
拨出计算机上的串行接口。/dev/cua/a 或 /dev/cua/b 是运行 Solaris 软件的计算机上传出呼叫的标准串行接口。
连接到电话插口的异步调制解调器或 ISDN 终端适配器 (terminal adapter, TA)。
电话线和电话公司的服务。

位置 2（链路的拨入端）的配置由以下元素组成：

连接到电话网络的电话插口或类似连接器
异步调制解调器或 ISDN TA
拨入服务器上的串行接口，它是传入呼叫的 ttya 或 ttyb
连接到网络（如公司内联网，对于 ISP 则为全球 Internet）的拨入服务器

使用拨出计算机上的 ISDN 终端适配器

外部 ISDN TA 具有比调制解调器更快的速度，但可以按照基本相同的方法配置 TA。配置 ISDN TA 的主要差别在于聊天脚本，该脚本需要使用特定于 TA 制造商的命令。有关 ISDN TA 的聊天脚本的信息，请参阅外部 ISDN TA 的聊天脚本。

拨号通信期间发生的操作

拨出和拨入对等点上的 PPP 配置文件包含用于设置链路的指令。启动拨号链路时将发生以下过程。

拨出计算机上的用户或进程运行 pppd 命令以启动链路。
拨出计算机读取其 PPP 配置文件。然后，拨出计算机基于串行线路将指令（包括拨入服务器的电话号码）发送到其调制解调器。
调制解调器拨打电话号码，以与拨入服务器上的调制解调器建立电话连接。

拨出计算机发送到调制解调器和拨入服务器的一系列文本字符串包含在称为聊天脚本的文件中。如有必要，拨出计算机可发送命令到拨入服务器以调用该服务器上的 PPP。
连接到拨入服务器的调制解调器开始与拨出计算机上的调制解调器进行链路协商。
完成调制解调器对调制解调器协商后，拨出计算机上的调制解调器将报告 “CONNECT”。
两个对等点上的 PPP 都将进入建立阶段，此阶段中链路控制协议 (Link Control Protocol, LCP) 协商基本链路参数和验证的使用。
如有必要，对等点相互验证。
PPP 的网络控制协议 (Network Control Protocol, NCP) 协商网络协议（如 IPv4 或 IPv6）的使用。

然后，拨出计算机对通过拨入服务器可访问的主机运行 telnet 或类似命令。

租用线路 PPP 概述

硬连线的租用线路 PPP 配置包括通过链路连接的两个对等点。该链路由从提供商处租用的交换式或非交换式数字服务组成。Solaris PPP 4.0 基于任何全双工、点对点租用线路介质工作。通常，公司从网络提供商租用硬连线的链路以连接到 ISP 或其他远程站点。

拨号链路与租用线路链路的比较

拨号链路和租用线路链路都包括通过通信介质连接的两个对等点。下表概述了两种链路类型之间的差别。

租用线路	拨号线路
始终处于连接状态，除非系统管理员断开租用线路的连接或由于停电而断开连接。	根据需要在用户尝试呼叫远程对等点时启动。
使用同步和异步通信。对于异步通信，通常使用长通信距离调制解调器。	使用异步通信。
从提供商处租用。	使用现有电话线路。
需要同步设备。	使用低成本的调制解调器。
需要大多数 SPARC 系统中常见的同步端口。但是，同步端口在 x86 系统和较新的 SPARC 系统中不常见。	使用大多数计算机中附带的标准串行接口。

租用线路 PPP 链路的各部分

请参见下图。

图 15–3 基本租用线路配置

租用线路链路包含以下部分：

两个对等点，每个对等点位于链路的一端。每个对等点可以是工作站或服务器。通常，一个对等点充当其网络或 Internet 与另外一个对等点之间的路由器。
每个对等点上的同步接口。一些运行 Solaris 软件的计算机需要购买同步接口卡（如 HSI/P）才能连接到租用线路。其他计算机（如 UltraSPARC® 工作站）具有内置同步接口。
每个对等点上的 CSU/DSU 同步数字单元，用于将同步端口连接到租用线路。

根据所在地区，CSU 可能内置在 DSU 中、由个人拥有或从提供商处租用。DSU 为 Solaris 计算机提供了标准的同步串行接口。通过帧中继，帧中继访问设备 (Frame Relay Access Device, FRAD) 可执行串行接口适配。
租用线路，用于提供交换式或非交换式数字服务。例如 SONET/SDH、帧中继 PVC 和 T1。

租用线路通信期间发生的操作

在大多数类型的租用线路中，对等点实际上不相互拨号。相反，公司购买租用线路服务在两个固定位置之间显式建立连接。有时，位于租用线路两端的两个对等点处于同一公司的不同物理位置。另外一种情况是公司在租用线路上设置用于连接到 ISP 的路由器。

尽管硬连线的链路更容易设置，但租用线路通常没有拨号链路使用广泛。硬连线的链路不需要聊天脚本。租用线路时，由于两个对等点可相互识别，通常不使用验证。两个对等点启动基于链路的 PPP 之后，该链路将保持活动状态。如果线路未失败，或任何一个对等点未显式终止租用线路链路，该链路将会一直保持活动状态。

租用线路上运行 Solaris PPP 4.0 的对等点使用与定义拨号链路相同的大多数配置文件。

启动基于租用线路的通信时，将发生以下过程：

每台对等计算机都在引导过程中或在其他管理脚本中运行 pppd 命令。
对等点读取其 PPP 配置文件。
对等点协商通信参数。
IP 链路建立。

PPP 验证

验证是检验用户是否是其声明的身份的过程。UNIX 登录序列是一种简单形式的验证：

login 命令提示用户键入名称和口令。
然后，login 尝试在口令数据库中查找所键入的用户名和口令以验证该用户。
如果数据库中包含该用户名和口令，则用户将通过验证并得到访问系统的权限。如果数据库中不包含该用户名和口令，则将拒绝用户访问系统。

缺省情况下，Solaris PPP 4.0 在未指定缺省路由的计算机上不要求验证。因此，不包含缺省路由的本地计算机不会验证远程呼叫者。相反，如果计算机定义了缺省路由，则计算机会始终验证远程呼叫者。

对于设置连接到您计算机的 PPP 链路的呼叫者，可以使用 PPP 验证协议来检验其身份。相反，如果本地计算机必须呼叫会验证呼叫者的对等点，则必须配置 PPP 验证信息。

验证者和被验证者

由于呼叫者必须向远程对等点证明其身份，所以 PPP 链路上的呼叫计算机被视为被验证者。对等点被视为验证者。验证者将在安全协议的相应 PPP 文件中查找呼叫者的身份，然后确定是否对呼叫者进行验证。

通常为拨号链路配置 PPP 验证。开始呼叫时，拨出计算机是被验证者。拨入服务器是验证者。服务器中包含一个机密文件形式的数据库。此文件列出了被授予可设置连接到服务器的PPP 链路权限的用户。这些用户被视为可信赖呼叫者。

一些拨出计算机要求远程对等点在响应拨出计算机的呼叫时提供验证信息。然后，它们的角色将互换：远程对等点成为被验证者，而拨出计算机成为验证者。

注 –

PPP 4.0 不阻止租用线路对等点的验证，但租用线路链路中通常不使用验证。租用线路合同的性质通常表示，线路两端的参与者可相互识别。两端的参与者通常是可信赖的。但是，由于 PPP 验证并不难于管理，所以应认真考虑实现租用线路的验证。

PPP 验证协议

PPP 验证协议包括口令验证协议 (Password Authentication Protocol, PAP) 和质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。对于允许链接到本地计算机的每个呼叫方，每一种协议都使用包含呼叫方的标识信息（或称为安全凭证）的机密数据库。有关 PAP 的详细说明，请参见口令验证协议 (Password Authentication Protocol, PAP)。有关 CHAP 说明，请参见质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。

为什么使用 PPP 验证？

在 PPP 链路上提供验证是可选操作。此外，尽管验证会检验对等点是否可信赖，但 PPP 验证不提供数据的机密性。为了保密，请使用加密软件，如 IPsec、PGP、SSL、Kerberos 和 Solaris 安全 Shell。

注 –

Solaris PPP 4.0 未实现 RFC 1968 中说明的 PPP 加密控制协议 (Encryption Control Protocol, ECP)。

请考虑在下列情况下实现 PPP 验证。

您的公司接受来自基于公共交换式电话网络的用户的传入呼叫。
您的公司安全策略要求远程用户在通过公司防火墙访问网络或从事安全事务时提供验证凭证。
您需要根据标准 UNIX 口令数据库（如 /etc/passwd、NIS、NIS+、LDAP 或 PAM）对呼叫者进行验证。对于此情况使用 PAP 验证。
公司的拨入服务器还提供网络的 Internet 连接。对于此情况使用 PAP 验证。
串行线路没有位于链路任何一端的计算机或网络上的口令数据库安全。对于此情况使用 CHAP 验证。

通过 PPPoE 支持 DSL 用户

许多网络提供商和在家工作的个人使用数字用户线路 (Digital Subscriber Line, DSL) 技术提供快速的网络访问。为了支持 DSL 用户，Solaris PPP 4.0 包括了基于以太网的 PPP (PPP over Ethernet, PPPoE) 功能。借助 PPPoE 技术，多个主机可以通过一个指向一个或多个目标的以太网链路来运行 PPP 会话。

如果您的情况符合下列之一，则应使用 PPPoE：

支持 DSL 用户（可能包括您自己）。您的 DSL 服务提供商要求用户配置 PPPoE 通道来接收基于 DSL 线路的服务。
您的站点是计划用于向用户提供 PPPoE 的 ISP。

本节介绍与 PPPoE 关联的术语和基本 PPPoE 拓扑的概述。

PPPoE 概述

PPPoE 是 RedBack Networks 的专有协议。PPPoE 为搜索协议，而不是标准 PPP 的另一个版本。在 PPPoE 情况中，启动 PPP 通信的计算机必须首先查找（或称为搜索）运行 PPPoE 的对等点。PPPoE 协议使用以太网广播包来查找对等点。

在搜索过程之后，PPPoE 通过启动主机（或称为 PPPoE 客户机）设置连接到对等点（PPPoE 访问服务器）的基于以太网的通道。建立通道是在一种协议顶端运行另一种协议的做法。使用 PPPoE，Solaris PPP 4.0 可建立基于以太网 IEEE 802.2 的 PPP 通道，这两种协议都是数据链路协议。产生的 PPP 连接就像是 PPPoE 客户机和访问服务器之间的专用连接。有关 PPPoE 的详细信息，请参见创建 PPPoE 通道以支持 DSL。

PPPoE 配置的各部分

PPPoE 配置中包括三个参与者：使用者、电话公司和服务提供商，如下图所示。

图 15–4 PPPoE 通道中的参与者

PPPoE 使用者

作为系统管理员，您可以帮助使用者配置其 PPPoE。一种常见类型的 PPPoE 使用者是需要基于 DSL 线路运行 PPPoE 的个人。另外一种 PPPoE 使用者是购买 DSL 线路的公司，员工可以通过该线路运行 PPPoE 通道，如上图所示。

公司使用者使用 PPPoE 的主要原因是通过高速的 DSL 设备向大量的主机提供 PPP 通信。通常，单独一台 PPPoE 客户机具有一个 DSL 调制解调器。或者，集线器上的一组客户机可以共享一个 DSL 调制解调器，该调制解调器也通过以太网线路连接到集线器。

注 –

从技术上讲，DSL 设备是网桥而不是调制解调器。但是，由于常见做法将这些设备称为调制解调器，所以本指南使用术语“DSL 调制解调器”。

PPPoE 通过连接到 DSL 调制解调器的以太网线路上的通道运行 PPP。该线路连接到分路器，而分路器又连接到电话线。

电话公司的 PPPoE

电话公司是 PPPoE 方案的中间层。电话公司使用称为数字用户线路访问多路复用器 (Digital Subscriber Line Access Multiplexer, DSLAM) 的设备，对通过电话线路接收的信号进行分路。DSLAM 将信号分离到独立的线路，模拟线路用于电话服务，数字线路用于 PPPoE。通过 DSLAM，数字线路将基于 ATM 数据网络的通道扩展到 ISP。

服务器提供商的 PPPoE

ISP 通过基于网桥的ATM 数据网络接收 PPPoE 传输。在 ISP 位置，运行 PPPoE 的访问服务器充当 PPP 链路的对等点。访问服务器在功能上与图 15–2 中介绍的拨入服务器非常类似，但访问服务器不使用调制解调器。访问服务器将单个 PPPoE 会话转换为常规 IP 流量，如 Internet 访问。

如果您是 ISP 的系统管理员，可能负责配置和维护访问服务器。

PPPoE 通道的安全性

PPPoE 通道实际上并不安全。您可以使用 PAP 或 CHAP 为基于通道运行的 PPP 链路提供用户验证。

第 16 章规划 PPP 链路（任务）

设置 PPP 链路涉及一组独立的任务，其中包括规划任务以及与 PPP 无关的其他活动。本章介绍如何规划最常见的 PPP 链路、如何规划验证以及 PPPoE。

第 16 章，规划 PPP 链路（任务）后面的任务章节使用配置样例说明如何设置特定链路。本章中介绍了这些配置样例。

具体包含以下主题：

整体 PPP 规划（任务列表）

在实际设置链路之前，PPP 需要对任务进行规划。此外，如果要使用 PPPoE 通道，还必须首先设置 PPP 链路，然后提供通道。以下任务列表列出了本章中讨论的大型规划任务。您可能只需使用针对要配置的链路类型的常规任务。或者，可能需要执行针对链路、验证或 PPPoE 的任务。

表 16–1 PPP 规划的任务列表


任务	说明	参考
规划拨号 PPP 链路	收集设置拨出计算机或拨入服务器需要的信息	规划拨号 PPP 链路
规划租用线路链路	收集设置租用线路上的客户机需要的信息	规划租用线路链路
规划 PPP 链路上的验证	收集在 PPP 链路上配置 PAP 或 CHAP 验证需要的信息	规划链路上的验证
规划 PPPoE 通道	收集设置可以运行 PPP 链路的 PPPoE 通道需要的信息	规划 PPPoE 通道上的 DSL 支持

规划拨号 PPP 链路

拨号链路是最常用的 PPP 链路。本节包含以下信息：

拨号链路的规划信息
第 17 章，设置拨号 PPP 链路（任务）中使用的链路样例说明

通常，只需配置拨号 PPP 链路一端的计算机：拨出计算机或拨入服务器。有关拨号 PPP 的介绍，请参阅拨号 PPP 概述。

设置拨出计算机之前

配置拨出计算机之前，请收集下表中列出的信息。

注 –

本节中的规划信息不包括要收集的有关验证或 PPPoE 的信息。有关验证规划的详细信息，请参阅规划链路上的验证。有关 PPPoE 规划的信息，请参阅规划 PPPoE 通道上的 DSL 支持。

表 16–2 拨出计算机的信息


信息	操作
调制解调器最大速度	请参阅调制解调器制造商提供的文档。
调制解调器连接命令（AT 命令）	请参阅调制解调器制造商提供的文档。
用于链路另一端的拨入服务器的名称	创建有助于标识拨入服务器的任何名称。
拨入服务器所需的登录序列	与拨入服务器的管理员联系或参阅 ISP 文档（如果拨入服务器属于 ISP）。

设置拨入服务器之前

配置拨入服务器之前，请收集下表中列出的信息。

注 –

表 16–3 拨入服务器的信息


信息	操作
调制解调器最大速度	请参阅调制解调器制造商提供的文档。
允许呼叫拨入服务器的人员的用户名	在设置预期用户的起始目录之前，获取这些用户的名称，如如何配置拨入服务器的用户中所述。
用于 PPP 通信的专用 IP 地址	从您公司中负责分派 IP 地址的个人获取地址。

拨号 PPP 配置示例

第 17 章，设置拨号 PPP 链路（任务）中将介绍的任务可满足一家小型公司的需求，即允许员工在一周内有几天在家工作。某些员工需要在其家庭计算机上安装 Solaris OS。这些员工还需要远程登录到公司内联网中的工作计算机。

这些任务可设置具有以下特性的基本拨号链路：

拨出计算机位于需要呼叫公司内联网的员工家中。
拨入服务器是公司内联网中配置为接收员工传入呼叫的计算机。
使用 UNIX 样式登录验证拨出计算机。公司的安全策略不需要功能更强大的 Solaris PPP 4.0 验证方法。

下图显示了第 17 章，设置拨号 PPP 链路（任务）中设置的链路。

图 16–1 拨号链路样例

在此图中，某台远程主机使用电话线通过调制解调器拨叫 Big Company 的内联网。另一台主机已配置为拨叫 Big Company，但当前处于不活动状态。远程用户的呼叫按与 Big Company 中的拨入服务器相连的调制解调器的接收顺序进行应答。对等点之间建立了 PPP 连接。这样，拨出计算机就可以远程登录到内联网中的主机。

有关拨号 PPP 的更多参考信息

请参阅以下内容：

要设置拨出计算机，请参见表 17–2。
要设置拨入计算机，请参见表 17–3。
要获取拨号链路的概述，请参见拨号 PPP 概述。
要获取 PPP 文件和命令的详细信息，请参见在文件和命令行中使用 PPP 选项。

规划租用线路链路

设置租用线路链路涉及配置从提供商处租用的交换式或非交换式服务的一端中的对等点。

本节包含以下信息：

租用线路链路的规划信息
图 16–2 中所示的链路样例说明

有关租用线路链路的介绍，请参阅租用线路 PPP 概述。有关设置租用线路的任务，请参见第 18 章，设置租用线路 PPP 链路（任务）。

设置租用线路链路之前

如果您的公司租用网络提供商的租用线路链路，则通常只需配置您所在链路端的系统。链路另一端的对等点由其他管理员维护。此管理员可以是公司远程位置的某个系统管理员，也可以是 ISP 的系统管理员。

租用线路链路需要的硬件

除链路介质外，您所在链路端还需要以下硬件：

系统同步接口
同步单元 (CSU/DSU)
您的系统

某些网络提供商的用户驻地设备 (customer premises equipment, CPE) 中包括路由器、同步接口和 CSU/DSU。但是，必需设备随提供商和您所在地区的政府限制的不同而变化。如果所需设备未随租用线路一起提供，则网络提供商可以提供此设备的相关信息。

要收集的租用线路链路信息

配置本地对等点之前，可能需要收集下表中列出的各项。

表 16–4 规划租用线路链路


信息	操作
接口的设备名称	请参阅接口卡文档。
同步接口卡的配置说明	请参阅接口卡文档。配置 HSI/P 接口时需要此信息。可能不需要配置其他类型的接口卡。
（可选）远程对等点的 IP 地址	请参阅服务提供商文档。或者，与远程对等点的系统管理员联系。仅当 IP 地址未在两个对等点之间协商时，才需要此信息。
（可选）远程对等点的名称	请参阅服务提供商文档。或者，可与远程对等点的系统管理员联系。
（可选）链路的速度	请参阅服务提供商文档。或者，可与远程对等点的系统管理员联系。
（可选）远程对等点使用的压缩	请参阅服务提供商文档。或者，可与远程对等点的系统管理员联系。

租用线路链路配置示例

第 18 章，设置租用线路 PPP 链路（任务）中的任务说明如何实现一个中型组织 (LocalCorp) 为其员工提供 Internet 访问的目标。当前，员工的计算机连接到公司的专用内联网。

LocalCorp 需要快速处理和访问 Internet 上的许多资源。该组织与服务提供商 Far ISP 签订合同，以允许 LocalCorp 设置其自己的连接到 Far ISP 的租用线路。然后，LocalCorp 从一家电话公司 Phone East 租用 T1 线路。Phone East 使用租用线路连接 LocalCorp 与 Far ISP。然后，Phone East 为 LocalCorp 提供已配置的 CSU/DSU。

这些任务可设置具有下列特征的租用线路链路。

LocalCorp 将一个系统设置为网关路由器，用于通过租用线路将包转发至 Internet 上的主机。
Far ISP 也将一个对等点设置为路由器，用于连接客户的租用线路。

图 16–2 租用线路配置示例

在上图中，在 LocalCorp 中设置了一台路由器以实现 PPP。该路由器通过其 hme0 接口与公司内联网相连。第二个连接是通过计算机的 HSI/P 接口 (hihp1) 连接至 CSU/DSU 数字单元。然后，CSU/DSU 连接至已安装的租用线路。LocalCorp 管理员配置 HSI/P 接口和 PPP 文件。然后，该管理员键入 /etc/init.d/pppd 以启动 LocalCorp 与 Far ISP 之间的链路。

有关租用线路的更多参考信息

请参阅以下内容：

规划链路上的验证

本节包含有关提供 PPP 链路上验证的规划信息。第 19 章，设置 PPP 验证（任务）包含在您的站点中实现 PPP 验证的任务。

PPP 提供两种类型的验证：PAP（详见口令验证协议 (Password Authentication Protocol, PAP)）和 CHAP（详见质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)）。

在链路上设置验证之前，必须选择最符合您站点的安全策略的验证协议。然后，为拨入计算机或呼叫者的拨出计算机（或者两种类型的计算机）设置机密文件和 PPP 配置文件。有关为您的站点选择合适的验证协议的信息，请参见为什么使用 PPP 验证？。

本节包含以下信息：

PAP 和 CHAP 验证的规划信息
图 16–3 和图 16–4 中所示的验证方案样例说明

有关设置验证的任务，请参见第 19 章，设置 PPP 验证（任务）。

设置 PPP 验证之前

在您的站点设置验证应该作为 PPP 整体策略的一个不可或缺部分。实现验证之前，应组装硬件、配置软件并测试链路。

表 16–5 配置验证之前的先决条件


信息	参考
配置拨号链路的任务	第 17 章，设置拨号 PPP 链路（任务）。
测试链路的任务	第 21 章，修复常见的 PPP 问题（任务）。
您站点的安全要求	您公司的安全策略。如果没有安全策略，则可通过设置 PPP 验证来创建安全策略。
有关在您的站点中使用 PAP 还是使用 CHAP 的建议	为什么使用 PPP 验证？。有关这些协议的更多详细信息，请参阅验证链路上的呼叫者。

PPP 验证配置示例

本节介绍要在第 19 章，设置 PPP 验证（任务）的过程中使用的验证方案示例。

使用 PAP 验证的配置示例

配置 PAP 验证中的任务说明如何在 PPP 链路上设置 PAP 验证。这些过程使用为拨号 PPP 配置示例中虚构的 "Big Company"创建的 PAP 方案作为示例。

Big Company 希望其用户能够在家工作。系统管理员则希望为连接到拨入服务器的串行线路提供一种安全解决方案。使用 NIS 口令数据库的 UNIX 样式登录已在过去为 Big Company 的网络提供了良好的服务。系统管理员希望对通过 PPP 链路进入网络的呼叫使用类似于 UNIX 的验证方案。因此，管理员可实现使用 PAP 验证的以下方案。

图 16–3 PAP 验证方案示例（在家工作）

系统管理员可创建一个专用的拨入 DMZ，它通过路由器与公司网络的其余部分隔开。术语 DMZ 来自军事术语“非军事化区”。DMZ 是为了安全而设置的一个隔离网络。DMZ 通常包含公司为公众提供的资源，如 Web 服务器、匿名 FTP 服务器、数据库和调制解调器服务器。一般情况下，网络设计者会将 DMZ 放置在防火墙与公司的 Internet 连接之间。

在图 16–3 中，唯一的 DMZ 占用者是拨入服务器 myserver 和路由器。设置链路时，拨入服务器要求呼叫者提供 PAP 凭证，包括用户名和口令。此外，拨入服务器还会使用 PAP 的 login 选项。因此，呼叫者的 PAP 用户名和口令必须与其在拨入服务器口令数据库中的 UNIX 用户名和口令完全相符。

建立 PPP 链路之后，呼叫者的包将转发到路由器。然后，路由器将传输内容转发到其在公司网络或 Internet 上的目标。

使用 CHAP 验证的配置示例

配置 CHAP 验证中的任务说明如何设置 CHAP 验证。这些过程使用要为租用线路链路配置示例中介绍的虚构 LocalCorp 创建的 CHAP 方案作为示例。

LocalCorp 通过连接到 ISP 的租用线路提供与 Internet 的连接。LocalCorp 中的技术支持部门会产生巨大的网络通信流量。因此，技术支持部门需要拥有自己的隔离专用网络。该部门的现场技术人员经常到处出差，他们需要从远程位置访问技术支持部门的网络以获取解决问题的信息。为了保护专用网络数据库中的敏感信息，必须对远程呼叫者进行验证方可授予登录权限。

因此，系统管理员可对拨号 PPP 配置实现以下 CHAP 验证方案。

图 16–4 CHAP 验证方案示例（呼叫专用网络）

技术支持部门网络与外界的唯一链路是连接到拨入服务器所在链路端的串行线路。系统管理员可配置每位现场服务代表的膝上型计算机，以实现具有 CHAP 安全性（包括 CHAP 机密）的 PPP。在拨入服务器的 chap-secrets 数据库中，包含允许呼入技术支持部门网络的所有计算机的 CHAP 凭证。

有关验证的更多参考信息

请选择以下内容：

请参见配置 PAP 验证。
请参见配置 CHAP 验证。
请参见验证链路上的呼叫者和 pppd(1M) 手册页。

规划 PPPoE 通道上的 DSL 支持

某些 DSL 提供商要求您为站点设置 PPPoE 通道，以便通过提供商的 DSL 线路和高速数字网络运行 PPP。有关 PPPoE 的概述，请参见通过 PPPoE 支持 DSL 用户。

PPPoE 通道包括三个参与者：使用者、电话公司和 ISP。您可以为您公司的 PPPoE 客户机使用者、家中的使用者或 ISP 服务器的使用者配置 PPPoE。

本节包含有关在客户机和访问服务器上运行 PPPoE 的规划信息。具体包括以下主题：

PPPoE 主机和访问服务器的规划信息
PPPoE 通道配置示例中介绍的 PPPoE 方案说明

有关设置 PPPoE 通道的任务，请参见第 20 章，设置 PPPoE 通道（任务）。

设置 PPPoE 通道之前

预配置活动取决于您是配置通道的客户端还是服务器端。无论哪种情况，您或您的组织都必须与电话公司签订合同。电话公司为客户机提供 DSL 线路，以及为访问服务器提供某种形式的桥接并可能提供 ATM 管道。在大多数合同中，电话公司都会在您的站点组装其设备。

配置 PPPoE 客户机之前

PPPoE 客户机实现通常包含以下设备：

个体使用的个人计算机或其他系统
DSL 调制解调器，通常由电话公司或 Internet 访问提供商安装
（可选）集线器（涉及多台客户机时），适用于公司的 DSL 使用者
（可选）分路器，通常由提供商安装

根据用户或公司的需求以及提供商提供的服务，可以使用许多不同的 DSL 配置。

表 16–6 规划 PPPoE 客户机


信息	操作
如果为个人或您自己设置家庭 PPPoE 客户机，请获取 PPPoE 范围之外的任何设置信息。	请求电话公司或 ISP 提供所需的任何设置过程。
如果在公司站点中设置 PPPoE 客户机，请收集被指定 PPPoE 客户机系统的用户的名称。如果配置远程 PPPoE 客户机，则您可能要负责提供有关添加家庭 DSL 设备的用户信息。	请求公司中的管理人员提供已授权用户的列表。
查找 PPPoE 客户机上的可用接口。	在每台计算机上运行 `ifconfig -a` 命令，以列出接口名称。
（可选）获取 PPPoE 客户机的口令。	请求用户提供其首选口令。或者，为用户指定口令。请注意，此口令用于链路验证，而不用于 UNIX 登录。

配置 PPPoE 服务器之前

规划 PPPoE 访问服务器涉及与电话公司合作，用于提供与其数据服务网络的连接。电话公司将在您的站点上安装其线路（通常为 ATM 管道），并为访问服务器提供某种形式的桥接。您需要配置以太网接口以访问公司提供的服务。例如，您需要配置用于访问 Internet 的接口，以及电话公司网桥的以太网接口。

表 16–7 规划 PPPoE 访问服务器


信息	操作
用于数据服务网络中的线路的接口	运行 `ifconfig -a` 命令以标识接口。
PPPoE 服务器提供的服务类型	请求管理人员和网络规划者提出要求和建议。
（可选）为使用者提供的服务类型	请求管理人员和网络规划者提出要求和建议。
（可选）远程客户机的主机名和口令	询问网络规划者和您站点中负责合同协商的其他人。主机名和口令用于 PAP 或 CHAP 验证，而不用于 UNIX 登录。

PPPoE 通道配置示例

本节包含 PPPoE 通道示例，用于说明第 20 章，设置 PPPoE 通道（任务）中的任务。虽然下图中显示了通道的所有参与者，但您只管理其中一端：客户端或服务器端。

图 16–5 PPPoE 通道示例

在该示例中，MiddleCo 希望为其员工提供高速 Internet 访问。MiddleCo 从 Phone East 处购买 DSL 包，而 Phone East 又与服务提供商 Far ISP 签订合同。Far ISP 为从 Phone East 处购买 DSL 的客户提供 Internet 和其他 IP 服务。

PPPoE 客户机配置示例

MiddleCo 从为站点提供一条 DSL 线路的 Phone East 处购买包。该包包含一条连接到 MiddleCo 的 PPPoE 客户机 ISP 的已验证专用连接。系统管理员用电缆将预期的 PPPoE 客户机与集线器相连。然后，Phone East 的技术人员用电缆将集线器连接到其 DSL 设备。

PPPoE 服务器配置示例

为了实现 FarISP 与 Phone East 之间的业务安排，FarISP 的系统管理员需要配置访问服务器 dslserve。此服务器具有以下四个接口：

eri0 －与本地网络连接的主网络接口
hme0 －FarISP 用于为其客户提供 Internet 服务的接口
hme1 －MiddleCo 约定用于已验证的 PPPoE 通道的接口
hme2 －其他客户约定用于其 PPPoE 通道的接口

有关 PPPoE 的更多参考信息

请选择以下内容：

请参见设置 PPPoE 客户机。
请参见设置 PPPoE 访问服务器。
请参见创建 PPPoE 通道以支持 DSL以及 pppoed(1M)、pppoec(1M) 和 sppptun(1M) 手册页。

第 17 章设置拨号 PPP 链路（任务）

本章介绍配置最常见的 PPP 链路（即拨号链路）的任务。主要主题如下：

设置拨号 PPP 链路的主要任务（任务列表）

您可通过配置调制解调器、修改网络数据库文件以及修改表 22–1 中描述的 PPP 配置文件来设置拨号 PPP 链路。

下表列出了配置拨号 PPP 链路两端的主要任务。通常，您只需配置该链路的一端，拨出计算机或拨入服务器。

表 17–1 设置拨号 PPP 链路的任务列表


任务	说明	参考
1. 收集预配置信息	设置链路之前，收集所需数据，例如对等主机名、目标电话号码和调制解调器速度。	规划拨号 PPP 链路
2. 配置拨出计算机	在通过该链路进行呼叫的计算机上设置 PPP。	表 17–2
3. 配置拨入服务器	在接收传入呼叫的计算机上设置 PPP。	表 17–3
4. 呼叫拨入服务器	键入 `pppd` 命令以启动通信。	如何呼叫拨入服务器

配置拨出计算机

本节中的任务说明如何配置拨出计算机。这些任务以图 16–1 中介绍的从家中拨入方案为例。您可以在将计算机提供给预期用户之前，在公司执行这些任务。或者，可以指导有经验的用户设置其家庭计算机。设置拨出计算机的任何用户都必须对该计算机具有超级用户权限。

配置拨出计算机的任务（任务列表）

表 17–2 设置拨出计算机的任务列表


任务	说明	参考
1. 收集预配置信息	设置链路之前，收集所需数据，例如对等主机名、目标电话号码和调制解调器速度。	规划拨号 PPP 链路
2. 配置调制解调器和串行端口	设置调制解调器和串行端口。	如何配置调制解调器和串行端口（拨出计算机）
3. 配置串行线路通信	配置串行线路的传输特征。	如何定义串行线路上的通信
4. 定义拨出计算机与对等点之间的会话	收集创建聊天脚本时使用的通信数据。	如何创建用于呼叫对等点的指令
5. 配置有关特定对等点的信息	配置用于呼叫单个拨入服务器的 PPP 选项。	如何定义与单个对等点的连接
6. 呼叫对等点	键入 `pppd` 命令以启动通信。	如何呼叫拨入服务器.

拨号 PPP 模板文件

Solaris PPP 4.0 提供了模板文件。每个模板都包含特定 PPP 配置文件的公用选项。下表列出了可用于设置拨号链路的样例模板以及与其等效的 Solaris PPP 4.0 文件。

模板文件	PPP 配置文件	参考
`/etc/ppp/options.tmpl`	`/etc/ppp/options`	`/etc/ppp/options.tmpl` 模板
`/etc/ppp/options.ttya.tmpl`	`/etc/ppp/options.ttyname`	`options.ttya.tmpl` 模板文件
`/etc/ppp/myisp-chat.tmpl`	采用所选名称且用以包含聊天脚本的文件	`/etc/ppp/myisp-chat.tmpl` 聊天脚本模板
`/etc/ppp/peers/myisp.tmpl`	`/etc/ppp/peers/peer-name`	`/etc/ppp/peers/myisp.tmpl` 模板文件

如果您决定使用其中一个模板文件，请务必将该模板重命名为与其等效的 PPP 配置文件。但聊天文件模板 /etc/ppp/myisp-chat.tmpl 例外。您可以为聊天脚本选择任何名称。

配置拨出计算机上的设备

设置拨出 PPP 计算机的第一个任务是配置串行线路中的设备：调制解调器和串行端口。

注 –

适用于调制解调器的任务通常适用于 ISDN TA。

执行下一过程之前，必须完成下列操作。

在拨出计算机上安装 Solaris 9 发行版或 Solaris 10 发行版
确定调制解调器的最佳速度
确定所要使用的拨出计算机串行端口
获取拨出计算机的超级用户口令

有关规划信息，请参见表 16–2。

如何配置调制解调器和串行端口（拨出计算机）

对调制解调器进行编程。

虽然存在多种类型的调制解调器，但大多数调制解调器出厂时都具有正确的 Solaris PPP 4.0 设置。以下列出了使用 Solaris PPP 4.0 的调制解调器的基本参数设置。
- DCD －遵照载体说明
- DTR －设置得较低，以便调制解调器挂起，并使调制解调器处于挂机状态
- 流控制－设置为 RTS/CTS，以便进行全双工硬件流控制
- 注意序列－禁用
如果在设置链路时遇到问题，并且怀疑调制解调器出现故障，请首先参阅调制解调器制造商所提供的文档。此外，许多 Web 站点都提供了有关调制解调器编程方面的帮助。最后，您可以从如何诊断调制解调器问题中获得一些解决调制解调器问题的建议。

将调制解调器电缆与拨出计算机的串行端口以及电话插口相连。

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

如《系统管理指南：高级管理》中的“使用串行端口工具设置终端和调制解调器（概述）”中所述，运行 /usr/sadm/bin/smc 命令。此命令用于打开 Solaris Management Console。

使用 Solaris Management Console 可执行以下操作。
1. 选择与调制解调器相连的端口。
2. 将调制解调器方向指定为仅拨出。
  
  您可以将调制解调器设置为双向。但是，选择仅拨出更安全，这样可以阻止可能的侵入者。
注 –
您可以通过 /usr/sadm/bin/smc 设置波特率和超时。但是，pppd 守护进程将忽略这些设置。

单击“确定”应用更改。

配置拨出计算机的通信

本节中的各个过程说明如何配置拨出计算机串行线路上的通信。使用这些过程之前，必须首先对调制解调器和串行端口进行配置，如如何配置调制解调器和串行端口（拨出计算机）中所述。

以下任务说明如何启用拨出计算机，以成功启动与拨入服务器的通信。通信是按照 PPP 配置文件中的选项所定义的方式启动的。需要创建以下文件：

/etc/ppp/options
/etc/ppp/options.ttyname
聊天脚本
/etc/ppp/peers/peer-name

Solaris PPP 4.0 提供了 PPP 配置文件模板，您可以根据需要自定义这些模板。有关这些文件的详细信息，请参阅拨号 PPP 模板文件。

如何定义串行线路上的通信

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用以下项创建称作 /etc/ppp/options 的文件：
lock
/etc/ppp/options 文件由本地计算机用来定义适用于所有通信的全局参数。lock 选项启用 UUCP 样式锁定，格式为 /var/spool/locks/LK.xxx.yyy.zzz。

注 –
如果拨出计算机没有 /etc/ppp/options 文件，则只有超级用户才能运行 pppd 命令。但是，/etc/ppp/options 可以为空。

有关 /etc/ppp/options 的完整说明，请参阅/etc/ppp/options 配置文件。

（可选的）创建称为 /etc/ppp/options.ttyname 的文件，用于定义从特定串行端口启动通信的方式。

以下示例显示了设备名称为 /dev/cua/a 的端口的 /etc/ppp/options.ttyname 文件。
# cat /etc/ppp/options.cua.a crtscts
PPP 选项 crtscts 指示 pppd 守护进程针对串行端口 a 打开硬件流控制。

有关 /etc/ppp/options.ttyname 文件的更多信息，请转至/etc/ppp/options.ttyname 配置文件。

按照如何设置调制解调器速度中所述，设置调制解调器速度。

如何创建用于呼叫对等点的指令

在拨出计算机启动 PPP 链路之前，必须收集有关将成为对等点的拨入服务器的信息。然后，使用此信息创建聊天脚本，用于描述拨出计算机与对等点之间的实际会话。

确定拨出计算机的调制解调器所需的运行速度。

有关更多信息，请参见配置拨号链路的调制解调器速度。

从拨入服务器的站点获取以下信息：
- 服务器的电话号码
- 使用的验证协议（如果适用）
- 对于聊天脚本对等点所需的登录序列

获取拨入服务器站点中的名称服务器的名称和 IP 地址。

在聊天脚本中，提供用于启动呼叫特定对等点的指令。

例如，可以创建以下聊天脚本 /etc/ppp/mychat，以呼叫拨入服务器 myserver。

SAY "Calling the peer\n"

        TIMEOUT 10

        ABORT BUSY

        ABORT 'NO CARRIER'

        ABORT ERROR

        REPORT CONNECT

        "" AT&F1&M5S2=255

        TIMEOUT 60

        OK ATDT1-123-555-1234 

        CONNECT \c

        SAY "Connected; logging in.\n"

        TIMEOUT 5

        ogin:--ogin: pppuser

        TIMEOUT 20

        ABORT 'ogin incorrect'

        ssword: \qmypassword

        "% " \c

        SAY "Logged in.  Starting PPP on peer system.\n" 

        ABORT 'not found'

        "" "exec pppd"

        ~ \c

该脚本包含用于呼叫需要登录序列的 Solaris 拨入服务器的指令。有关每条指令的说明，请参阅用于 UNIX 样式登录的增强基本聊天脚本。有关创建聊天脚本的完整详细信息，请阅读定义拨号链路上的会话一节。

注 –

不要直接调用该聊天脚本，而应将聊天脚本的文件名用作 chat 命令的参数来调用该脚本。

如果对等点运行 Solaris 或类似操作系统，请考虑将上述聊天脚本用作拨出计算机的模板。

如何定义与单个对等点的连接

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

通过创建以下 /etc/resolv.conf 文件来更新 DNS 数据库：
domain bigcompany.com nameserver 10.10.111.15 nameserver 10.10.130.8
domain bigcompany.com

指定对等点的 DNS 域为 bigcompany.com。

nameserver 10.10.111.15 和 nameserver 10.10.130.8

列出 bigcompany.com 中的名称服务器的 IP 地址。

编辑 /etc/nsswitch.conf 文件，指示首先在 DNS 数据库中搜索主机信息。
hosts: dns [NOTFOUND=return] files

为对等点创建文件。

例如，可以创建以下文件来定义拨入服务器 myserver：
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 noauth connect "chat -U 'mypassword' -T 1-123-555-1213 -f /etc/ppp/mychat"
/dev/cua/a

指定应将设备 /dev/cua/a 用作呼叫 myserver 的串行接口。

57600

定义链路的速度。

noipdefault

指定对于使用对等点 myserver 的事务，拨出计算机的初始 IP 地址为 0.0.0.0。myserver 会为每个拨号会话的拨出计算机分配一个 IP 地址。

idle 120

指示链路在空闲 120 秒之后必须超时。

noauth

指定对等点 myserver 在与拨出计算机协商连接时，无需提供验证凭证。

connect "chat -U 'mypassword' -T 1-123-555-1213 -f /etc/ppp/mychat"

指定 connect 选项及其参数，包括对等点的电话号码以及带有呼叫指令的聊天脚本 /etc/ppp/mychat。

另请参见

以下列出了相关的参考信息。

要配置其他拨出计算机，请参见如何配置调制解调器和串行端口（拨出计算机）。
要通过拨叫其他计算机来测试调制解调器的连通性，请参见 cu(1C) 和 tip(1) 手册页。这些实用程序有助于您测试调制解调器的配置是否正确。此外，这些实用程序还可用于测试是否可与另一台计算机建立连接。
要了解有关配置文件和选项的更多信息，请参见在文件和命令行中使用 PPP 选项。
要配置拨入服务器，请参见配置拨入服务器上的设备。

配置拨入服务器

本节中的任务用于配置拨入服务器。拨入服务器是一台通过 PPP 链路接收拨出计算机的呼叫的对等计算机。这些任务说明如何配置图 16–1 中介绍的拨入服务器 myserver。

配置拨入服务器的任务（任务列表）

表 17–3 设置拨入服务器的任务列表


任务	说明	参考
1. 收集预配置信息	设置链路之前，收集所需数据，例如对等主机名、目标电话号码和调制解调器速度。	规划拨号 PPP 链路
2. 配置调制解调器和串行端口	设置调制解调器和串行端口。	如何配置调制解调器和串行端口（拨入服务器）
3. 配置呼叫对等点信息	为允许呼叫拨入服务器的每台拨出计算机设置用户环境和 PPP 选项。	如何配置拨入服务器的用户
4. 配置串行线路通信	配置串行线路的传输特性。	如何定义串行线路上的通信（拨入服务器）

配置拨入服务器上的设备

以下过程说明如何配置拨入服务器的调制解调器和串行端口。

执行下一过程之前，必须在对等拨入服务器上完成下列活动：

安装 Solaris 9 发行版或 Solaris 10 发行版
确定调制解调器的最佳速度
决定要使用的串行端口

如何配置调制解调器和串行端口（拨入服务器）

按照调制解调器制造商所提供的文档中的说明，对调制解调器进行编程。

有关其他建议，请参阅如何配置调制解调器和串行端口（拨出计算机）。

连接调制解调器和拨入服务器上的串行端口。

成为拨入服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用 Solaris Management Console 的 /usr/sadm/bin/smc 命令配置串行端口，如《系统管理指南：高级管理》中的“使用串行端口工具设置终端和调制解调器（概述）”中所述。

使用 Solaris Management Console 可执行以下操作：
1. 选择与调制解调器相连的串行端口。
2. 将调制解调器方向指定为仅拨入。
  
  注 –
  Solaris PPP 4.0 支持调制解调器进行双向通信。
3. 单击“确定”应用更改。

如何设置调制解调器速度

下一过程说明如何设置拨入服务器的调制解调器速度。有关 Sun Microsystems 计算机使用的速度的建议，请参见配置拨号链路的调制解调器速度。

登录到拨入服务器。

使用 tip 命令访问调制解调器。

有关使用 tip 设置调制解调器速度的说明，请参阅 tip(1) 手册页。

将调制解调器配置为固定 DTE 速率。

使用 ttymon 或 /usr/sadm/bin/smc 将串行端口锁定为该速率，如《系统管理指南：高级管理》中的“使用串行端口工具设置终端和调制解调器（概述）”中所述。

另请参见

以下列出了相关的参考信息。

设置拨入服务器的用户

设置拨入服务器的过程中涉及配置有关每个已知远程呼叫者的信息。

开始本节中的过程之前，必须完成以下操作：

获取允许从远程拨出计算机登录的所有用户的 UNIX 用户名。
按照如何配置调制解调器和串行端口（拨入服务器）中的说明，设置调制解调器和串行线路。
确定指定给远程用户传入呼叫的专用 IP 地址。如果潜在呼叫者数超出拨入服务器上调制解调器和串行端口数，则可考虑创建一个专用的传入 IP 地址。有关创建专用 IP 地址的完整信息，请转至为呼叫者创建 IP 寻址方案。

如何配置拨入服务器的用户

成为拨入服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

在拨入服务器上为每个远程 PPP 用户创建一个新帐户。

可以使用 Solaris Management Console 来新建用户。/usr/sadm/bin/smc 命令用于打开 Solaris Management Console。有关通过 Solaris Management Console 创建新用户的说明，请参见《系统管理指南：基本管理》中的“设置用户帐户（任务图）”。

使用 Solaris Management Console 为新用户指定参数。

例如，下表显示了拨出计算机 myhome 上 user1 的 pppuser 帐户的参数。

参数	值	定义
用户名	`pppuser`	远程用户的用户帐户名。此帐户名应与聊天脚本登录序列中指定的帐户名相符。例如，`pppuser` 是如何创建用于呼叫对等点的指令的聊天脚本中的帐户名。
登录 Shell	`/usr/bin/pppd`	远程用户的缺省登录 Shell。登录 Shell `/usr/bin/pppd` 最初会将呼叫者限制到专用 PPP 环境。
创建起始目录路径	`/export/home/pppuser`	当呼叫者成功登录到拨入服务器时，将设置起始目录 `/export/home/pppuser`。

为每个呼叫者创建一个 $HOME/.ppprc 文件，用于包含各种特定于用户 PPP 会话的选项。

例如，可为 pppuser 创建以下 .ppprc 文件。
# cat /export/home/pppuser/.ppprc noccp
noccp 用于禁用链路上的压缩控制。

另请参见

以下列出了相关的参考信息。

配置拨入服务器的通信

以下任务说明如何启用拨入服务器以打开与任何拨出计算机的通信。以下 PPP 配置文件中定义的选项可确定如何建立通信。

/etc/ppp/options
/etc/ppp/options.ttyname

有关这些文件的详细信息，请参阅在文件和命令行中使用 PPP 选项。

继续之前，应完成以下操作：

配置拨入服务器的串行端口和调制解调器，如如何配置调制解调器和串行端口（拨入服务器）中所述。
配置有关拨入服务器的预期用户的信息，如如何配置拨入服务器的用户中所述。

如何定义串行线路上的通信（拨入服务器）

成为拨入服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用以下项创建 /etc/ppp/options 文件。
nodefaultroute
nodefaultroute 表明如果没有 root 权限，则本地系统上的任何 pppd 会话都无法建立缺省路由。

注 –
如果拨入服务器没有 /etc/ppp/options 文件，则只有超级用户才能运行 pppd 命令。但是，/etc/ppp/options 文件可以为空。

创建文件 /etc/options.ttyname，以定义如何处理通过串行端口 ttyname 接收的呼叫。

以下 /etc/options.ttya 文件定义了拨入服务器的串行端口 /dev/ttya 处理传入呼叫的方式。
:10.0.0.80 xonxoff
:10.0.0.80

为通过串行端口 ttya 呼入的所有对等点指定 IP 地址 10.0.0.80

xonxoff

允许串行线路在启用了软件流控制的情况下处理来自调制解调器的通信

另请参见

如果按照本章中的所有过程进行操作，则至此已完成拨号链路配置。以下列出了相关的参考信息。

要通过拨叫其他计算机来测试调制解调器的连通性，请参见 cu(1C) 和 tip(1) 手册页。这些实用程序有助于您测试调制解调器的配置是否正确。此外，这些实用程序还可用于测试是否可与另一台计算机建立连接。
要为拨入服务器配置更多选项，请参见配置拨入服务器。
要配置更多拨出计算机，请参见配置拨出计算机。
要指示远程计算机呼叫拨入服务器，请参见呼叫拨入服务器。

呼叫拨入服务器

通过指示拨出计算机呼叫拨入服务器，可建立拨号 PPP 链路。您可通过在本地 PPP 配置文件中指定 demand 选项，指示拨出计算机呼叫服务器。但是，建立该链路的最常用方法是让用户在拨出计算机上运行 pppd 命令。

继续执行下面的任务之前，应完成下面的一个或两个操作：

按照配置拨出计算机中所述，设置拨出计算机
按照配置拨入服务器中所述，设置拨入服务器

如何呼叫拨入服务器

使用常规用户帐户而不是 root 登录到拨出计算机。

通过运行 pppd 命令来呼叫拨入服务器。

例如，以下命令将启动拨出计算机与拨入服务器 myserver 之间的链路：
% pppd 57600 call myserver
pppd

通过调用 pppd 守护进程来启动呼叫

57600

设置主机与调制解调器之间的线路速度

call myserver

调用 pppd. pppd 的 call 选项，然后读取在如何定义与单个对等点的连接中创建的 /etc/ppp/peers/myserver 文件中的选项

与服务器网络中的某台主机联系，例如，图 16–1 中所示的主机 lindyhop：
ping lindyhop
如果链路未正常工作，请参阅第 21 章，修复常见的 PPP 问题（任务）。

终止 PPP 会话：
% pkill -x pppd

另请参见

如果按照本章中的所有过程进行操作，则至此已完成拨号链路配置。以下列出了相关的参考信息：

要指示用户开始在其拨出计算机上工作，请参见如何呼叫拨入服务器。
要解决链路上的问题，请参见第 21 章，修复常见的 PPP 问题（任务）。
要了解有关本章中使用的文件和选项的更多信息，请参见在文件和命令行中使用 PPP 选项。

第 18 章设置租用线路 PPP 链路（任务）

本章介绍如何配置在对等点之间使用租用线路的 PPP 链路。主要章节包括：

设置租用线路（任务列表）

与设置拨号链路相比，设置租用线路链路相对比较容易。在大多数情况下，您都无需配置 CSU/DSU、拨号服务或验证。如果您确实需要配置 CSU/DSU，请参阅制造商所提供的文档以获取有关此复杂任务的帮助。

下面的任务列表中介绍了与基本租用线路链路设置有关的所有任务。

注 –

某些类型的租用线路确实需要 CSU/DSU，才能对另外一个对等点的地址进行“拨号”。例如，帧中继使用交换式虚拟电路 (Switched Virtual Circuit, SVC) 或交换式 56 服务。

表 18–1 设置租用线路链路的任务列表


任务	说明	参考
1. 收集预配置信息	设置链路之前，收集所需数据。	表 16–4
2. 设置租用线路硬件	组装 CSU/DSU 和同步接口卡。	如何配置同步设备
3. 如果需要，配置接口卡	配置启动租用线路时要使用的接口脚本。	如何配置同步设备
4. 配置有关远程对等点的信息	定义本地机器和远程对等点之间的通信的工作方式。	如何配置租用线路上的计算机
5. 启动租用线路	作为引导过程的一部分，将计算机配置为在租用线路上启动 PPP。	如何配置租用线路上的计算机

配置租用线路上的同步设备

本节中的任务涉及配置租用线路链路配置示例中介绍的租用线路拓扑所需的设备。连接租用线路需要的同步设备包括接口和调制解调器。

设置同步设备的先决条件

执行下一过程之前，必须具有下列各项：

由提供商安装在您站点中的工作租用线路
同步单元 (CSU/DSU)
安装在您的系统中的 Solaris 9 发行版或 Solaris 10 发行版
您的系统所需类型的同步接口卡

如何配置同步设备

如有必要，将接口卡物理安装在本地机器中。

按照制造商所提供的文档说明进行操作。

将 CSU/DSU 电缆连接到接口。

如有必要，将 CSU/DSU 电缆连接到租用线路插口或类似连接器。

根据制造商或网络提供商所提供的文档说明配置 CSU/DSU。

注 –
提供租用线路的提供商可能会为您的链路提供和配置 CSU/DSU。

如有必要，按照接口文档的说明配置接口卡。

配置接口卡涉及为接口创建启动脚本。在图 16–2 所示的租用线路配置中，位于 LocalCorp 的路由器使用 HSI/P 接口卡。

以下脚本 hsi-conf 用于启动 HSI/P 接口。
#!/bin/ksh /opt/SUNWconn/bin/hsip_init hihp1 speed=1536000 mode=fdx loopback=no \ nrzi=no txc=txc rxc=rxc txd=txd rxd=rxd signal=no 2>&1 > /dev/null
hihp1

指示使用的同步端口为 HSI/P

speed=1536000

设置该项以指示 CSU/DSU 的速度

另请参见

要配置租用线路上的本地机器，请参阅如何配置租用线路上的计算机。

配置租用线路上的计算机

本节中的任务说明如何设置路由器，以使其在租用线路的末端（您所在的一端）充当本地对等点。该任务以租用线路链路配置示例中介绍的租用线路为例。

配置租用线路上的本地机器的先决条件

执行下一过程之前，必须完成下列操作：

按照配置租用线路上的同步设备中介绍的方法，安装并配置链路的同步设备
获取租用线路上本地机器的超级用户口令
将本地机器设置为在网络上作为路由器来运行，以使用租用线路提供商提供的服务

如何配置租用线路上的计算机

成为本地机器（路由器）的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

在路由器的 /etc/hosts 文件中，为远程对等点添加项。
# cat /etc/hosts # # Internet host table # 127.0.0.1 localhost 192.168.130.10 local2-peer loghost 192.168.130.11 local1-net 10.0.0.25 farISP
/etc/hosts 文件示例适用于虚构的 LocalCorp 中的本地路由器。请注意服务提供商的远程对等点 farISP 的 IP 地址和主机名。

创建文件 /etc/ppp/peers/ peer-name，以保留有关提供商对等点的信息。

在以下租用线路链路示例中，将创建文件 /etc/ppp/peers/farISP。

# cat /etc/ppp/peers/farISP

init '/etc/ppp/conf_hsi'

local

/dev/hihp1

sync

noauth

192.168.130.10:10.0.0.25

passive

persist

noccp

nopcomp

novj

noaccomp

下表对 /etc/ppp/peers/farISP 中使用的各个选项和参数进行了说明。

选项	定义
`init '/etc/ppp/conf_hsi'`	启动链路。然后，`init` 使用脚本 `/etc/ppp/conf_hsi` 中的参数配置 HSI 接口。
`local`	指示 `pppd` 守护进程不要更改数据终端就绪 (Data Terminal Ready, DTR) 信号的状态。此外，还指示 `pppd` 忽略数据载波检测 (Data Carrier Detect, DCD) 输入信号。
`/dev/hihp1`	指定同步接口的设备名称。
`sync`	为链路建立同步编码。
`noauth`	确定本地系统不需要求从其对等点进行验证。但是，对等点仍会要求验证。
`192.168.130.10:10.0.0.25`	定义本地对等点和远程对等点的 IP 地址，并用冒号分隔。
`passive`	指示本地机器上的 `pppd` 守护进程在发出最大数目的 LCP 配置请求后保持静默，并等待对等点启动。
`persist`	指示 `pppd` 守护进程在连接终止后尝试重新启动链路。
`noccp, nopcomp, novj, noaccomp`	分别禁用压缩控制协议 (Compression Control Protocol, CCP)、协议字段压缩、Van Jacobson 压缩以及地址和控制字段压缩。这些形式的压缩可加快拨号链路上的传输，但可能会降低租用线路的速度。

创建称作 demand 的初始化脚本，以作为引导过程的一部分创建 PPP 链路。

# cat /etc/ppp/demand

#!/bin/sh

if [ -f /var/run/ppp-demand.pid ] &&

   /usr/bin/kill -s 0 `/bin/cat /var/run/ppp-demand.pid`

then

        :

else

        /usr/bin/pppd call farISP

fi

demand 脚本包含用于建立租用线路链路的 pppd 命令。下表对 $PPPDIR/demand 的内容进行了说明。

代码样例	说明
if [ -f /var/run/ppp-demand.pid ] && /usr/bin/kill -s 0 `/bin/cat /var/run/ppp-demand.pid`	这些行用于检查 `pppd` 是否正在运行。如果 `pppd` 正在运行，则无需启动它。
`/usr/bin/pppd call farISP`	此行用于启动 `pppd`。`pppd` 从 `/etc/ppp/options` 读取选项。此外，命令行中的 `call farISP` 选项也会使其读取 `/etc/ppp/peers/farISP`。

作为 Solaris 引导过程的一部分，Solaris PPP 4.0 启动脚本 /etc/rc2.d/S47pppd 会调用 demand 脚本。/etc/rc2.d/S47pppd 中的以下行用于搜索是否存在称为 $PPPDIR/demand 的文件。

    if [ -f $PPPDIR/demand ]; then

                . $PPPDIR/demand

        fi

如果找到该文件，则执行 $PPPDIR/demand。在执行 $PPPDIR/demand 过程中，将建立链路。

注 –

要访问本地网络以外的计算机，请指示用户运行 telnet、ftp、rsh 或类似命令。

另请参见

如果您已按照本章中的所有过程进行操作，则至此已完成租用线路链路的配置。以下列出了相关的参考信息。

要查找疑难解答信息，请参见修复租用线路问题。
要了解有关本章中使用的文件和选项的更多信息，请参见在文件和命令行中使用 PPP 选项。

第 19 章设置 PPP 验证（任务）

本章介绍设置 PPP 验证的任务，具体包含以下主题：

这些过程说明如何基于拨号链路实现验证，因为与租用线路链路相比，配置拨号链路进行验证的可能性更大。如果公司的安全策略要求基于租用线路进行验证，则可以配置该验证。可使用本章中的任务来指导租用线路验证。

如果要使用 PPP 验证，但又不能确定应使用的协议，请查看为什么使用 PPP 验证？一节。有关 PPP 验证的更多详细信息，请参阅 pppd(1M) 手册页和验证链路上的呼叫者。

配置 PPP 验证（任务列表）

本节包含有助于您快速访问 PPP 验证过程的任务列表。

表 19–1 常规 PPP 验证的任务列表


任务	说明	参考
配置 PAP 验证	使用这些过程在拨入服务器和拨出计算机上启用 PAP 验证。	设置 PAP 验证（任务列表）
配置 CHAP 验证	使用这些过程在拨入服务器和拨出计算机上启用 CHAP 验证。	设置 CHAP 验证（任务列表）

配置 PAP 验证

本节中的任务说明如何使用口令验证协议 (Password Authentication Protocol, PAP) 在 PPP 链路上实现验证。这些任务使用PPP 验证配置示例中的示例来说明拨号链路的 PAP 工作方案。请根据这些说明在您的站点上实现 PAP 验证。

执行后续过程之前，必须完成下列操作：

设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
理论上，对于拨入服务器验证，必须获取管理网络口令数据库（例如，在 LDAP、NIS 或本地文件中）的计算机的超级用户权限
获取本地计算机（拨入服务器或拨出计算机）的超级用户权限

设置 PAP 验证（任务列表）

使用下面的任务列表，可快速访问拨入服务器中与 PAP 相关的任务和拨出计算机上的可信赖呼叫者。

表 19–2 PAP 验证的任务列表（拨入服务器）


任务	说明	参考
1. 收集预配置信息	收集验证所需的用户名和其他数据。	规划链路上的验证
2. 如有必要，更新口令数据库	确保所有可能的呼叫者均位于服务器的口令数据库中。	如何创建 PAP 凭证数据库（拨入服务器）
3. 创建 PAP 数据库	在 `/etc/ppp/pap-secrets` 中为所有预期呼叫者创建安全凭证。	如何创建 PAP 凭证数据库（拨入服务器）
4. 修改 PPP 配置文件	将特定于 PAP 的选项添加到 `/etc/ppp/options` 和 `/etc/ppp/peers/peer-name` 文件中。	如何将 PAP 支持添加到 PPP 配置文件（拨入服务器）

表 19–3 PAP 验证的任务列表（拨出计算机）


任务	说明	参考
1. 收集预配置信息	收集验证所需的用户名和其他数据。	规划链路上的验证
2. 为可信赖呼叫者的计算机创建 PAP 数据库	在 `/etc/ppp/pap-secrets` 中为可信赖呼叫者创建安全凭证，如有必要，还为呼叫拨出计算机的其他用户创建安全凭证。	如何为可信赖呼叫者配置 PAP 验证凭证
3. 修改 PPP 配置文件	将特定于 PAP 的选项添加到 `/etc/ppp/options` 和 `/etc/ppp/peers/peer-name` 文件中。	如何将 PAP 支持添加到 PPP 配置文件（拨出计算机）

在拨入服务器上配置 PAP 验证

要设置 PAP 验证，必须执行以下操作：

创建 PAP 凭证数据库
修改 PPP 配置文件以支持 PAP

如何创建 PAP 凭证数据库（拨入服务器）

此过程修改 /etc/ppp/pap-secrets 文件，该文件包含用于对链路上的呼叫者进行验证的 PAP 安全凭证。PPP 链路上的两台计算机中必须都存在 /etc/ppp/pap-secrets。

图 16–3 中介绍的 PAP 配置样例使用了 PAP 的 login 选项。如果计划使用此选项，则可能还需要更新网络的口令数据库。有关 login 选项的更多信息，请参阅使用带有 login 选项的 /etc/ppp/pap-secrets。

汇编包含所有可能的可信赖呼叫者的列表。可信赖呼叫者是将被授予从其远程计算机呼叫拨入服务器的权限的人员。

检验每个可信赖呼叫者在拨入服务器的口令数据库中是否已具有 UNIX 用户名和口令。

注 –
对于使用 PAP 的 login 选项对呼叫者进行验证的 PAP 配置样例，这种检验尤其重要。如果选择不实现 PAP 的 login 选项，则呼叫者的 PAP 用户名不必与其 UNIX 用户名相符。有关标准 /etc/ppp/pap-secrets 的信息，请参阅 /etc/ppp/pap-secrets 文件。

如果某个可能的可信赖呼叫者没有 UNIX 用户名和口令，请执行以下操作：
1. 向您不认识的呼叫者的管理者确认其是否具有访问拨入服务器的权限。
2. 在公司安全策略的指导下，为这些呼叫者创建 UNIX 用户名和口令。

成为拨入服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

编辑 /etc/ppp/pap-secrets 文件。

Solaris PPP 4.0 在 /etc/ppp 中提供了一个 pap-secrets 文件，该文件包含有关如何使用 PAP 验证的注释，但不包含任何选项。可以在注释末尾添加以下选项。
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
要使用 /etc/ppp/pap-secrets 的 login 选项，必须键入每个可信赖呼叫者的 UNIX 用户名。只要第三个字段中出现一组双引号 (““)，就会在服务器的口令数据库中查找该呼叫者的口令。

myserver * serverpass * 项包含拨入服务器的 PAP 用户名和口令。在图 16–3 中，可信赖呼叫者 user2 需要从远程对等点进行验证。因此，myserver 的 /etc/ppp/pap-secrets 文件包含与 user2 建立链路时要使用的 PAP 凭证。

另请参见

以下列出了相关的参考信息。

修改 PPP 配置文件以进行 PAP 验证（拨入服务器）

本节中的任务说明如何更新任何现有 PPP 配置文件，以支持在拨入服务器上进行 PAP 验证。

如何将 PAP 支持添加到 PPP 配置文件（拨入服务器）

此过程以如何定义串行线路上的通信（拨入服务器）中介绍的 PPP 配置文件为例。

以超级用户身份登录到拨入服务器或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

将验证选项添加到 /etc/ppp/options 文件中。

例如，将以粗体显示的选项添加到现有 /etc/ppp/options 文件中，以实现 PAP 验证：
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
auth

指定服务器必须在建立链路之前对呼叫者进行验证。

login

指定应使用标准 UNIX 用户验证服务对远程呼叫者进行验证。

nodefaultroute

表明如果没有 root 权限，则本地系统上的任何 pppd 会话都无法建立缺省路由。

proxyarp

在系统的地址解析协议 (Address Resolution Protocol, ARP) 表中添加项，用于指定对等点的 IP 地址和系统的以太网地址。使用此选项，对等点看起来位于其他系统的本地以太网中。

ms-dns 10.0.0.1

启用 pppd 以便为客户机提供域名服务器 (Domain Name Server, DNS) 地址 10.0.0.1。

idle 120

指定将在两分钟后断开空闲用户的连接。

在 /etc/ppp/options.cua.a 文件中，为 cua/a 用户添加以下地址。
:10.0.0.2

在 /etc/ppp/options.cua.b 文件中，为 cua/b 用户添加以下地址。
:10.0.0.3

在 /etc/ppp/pap-secrets 文件中，添加以下项。
* * "" *
注 –
如前所述，login 选项提供必需的用户验证。/etc/ppp/pap-secrets 文件中的此项是使用 login 选项启用 PAP 的标准方法。

另请参见

有关如何为拨入服务器的可信赖呼叫者配置 PAP 验证凭证，请参阅为可信赖呼叫者配置 PAP 验证（拨出计算机）。

为可信赖呼叫者配置 PAP 验证（拨出计算机）

本节包含在可信赖呼叫者的拨出计算机上设置 PAP 验证的任务。作为系统管理员，在将 PAP 凭证分发给预期呼叫者之前，可在系统上设置 PAP 验证。或者，如果远程呼叫者已经有自己的计算机，则可以指导这些呼叫者完成本节中的任务。

为可信赖呼叫者配置 PAP 涉及两个任务：

配置呼叫者的 PAP 安全凭证
配置呼叫者的拨出计算机以支持 PAP 验证

如何为可信赖呼叫者配置 PAP 验证凭证

此过程说明如何为两个可信赖呼叫者设置 PAP 凭证，其中一个可信赖呼叫者需要来自远程对等点的验证凭证。此过程中的步骤假定，作为系统管理员的您要在可信赖呼叫者的拨出计算机上创建 PAP 凭证。

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用图 16–3 中介绍的 PAP 配置样例，并假定拨出计算机属于 user1。

修改呼叫者的 pap-secrets 数据库。

Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/pap-secrets 文件。可以将以下选项添加到此 /etc/ppp/pap-secrets 文件中。
user1 myserver pass1 *
请注意，user1 的口令 pass1 以可读的 ASCII 格式在链路中传递。myserver 是呼叫者 user1 的对等点名称。

成为另一台拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用 PAP 验证示例，并假定此拨出计算机属于呼叫者 user2。

修改呼叫者的 pap-secrets 数据库。

可以将以下选项添加到现有 /etc/ppp/pap-secrets 文件的末尾。
user2 myserver pass2 * myserver user2 serverpass *
在此示例中，/etc/ppp/pap-secrets 有两个项。第一个项包含 user2 传递给拨入服务器 myserver 以进行验证的 PAP 安全凭证。

作为链路协商的一部分，user2 需要拨入服务器的 PAP 凭证。因此，/etc/ppp/pap-secrets 的第二行中还包含期望来自 myserver 的 PAP 凭证。

注 –
由于大多数 ISP 不提供验证凭证，因此要与 ISP 进行通信，上述方案可能不切实际。

另请参见

以下列出了相关的参考信息。

修改 PPP 配置文件以进行 PAP 验证（拨出计算机）

以下任务说明如何更新现有 PPP 配置文件，以支持在可信赖呼叫者的拨出计算机上进行 PAP 验证。

此过程使用以下参数在属于图 16–3 中介绍的 user2 的拨出计算机上配置 PAP 验证。user2 要求传入呼叫者对呼叫（包括来自拨入服务器 myserver 的呼叫）进行验证。

如何将 PAP 支持添加到 PPP 配置文件（拨出计算机）

此过程以如何定义串行线路上的通信中介绍的 PPP 配置文件为例。此过程将配置属于 user2 的拨出计算机，如图 16–3 中所示。

以超级用户身份登录到拨出计算机。

修改 /etc/ppp/options 文件。

以下 /etc/ppp/options 文件包含 PAP 支持选项，如粗体所示。
# cat /etc/ppp/options lock name user2 auth require-pap
name user2

将 user2 设置为本地计算机上用户的 PAP 名称。如果使用 login 选项，则 PAP 名称必须与口令数据库中该用户的 UNIX 用户名相同。

auth

说明拨出计算机在建立链路之前必须对呼叫者进行验证。

注 –
虽然大多数拨出计算机不要求从其对等点进行验证，但此拨出计算机要求这样做。可使用任意一种方法。

require-pap

要求来自对等点的 PAP 凭证。

为远程计算机 myserver 创建 /etc/ppp/peers/peer-name 文件。

以下示例说明如何将 PAP 支持添加到如何定义与单个对等点的连接中创建的现有 /etc/ppp/peers/myserver 文件。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
以粗体显示的新选项用于添加对等点 myserver 的 PAP 要求。

user user2

将 user2 定义为本地计算机的用户名

remotename myserver

将 myserver 定义为要求来自本地计算机的验证凭证的对等点

另请参见

以下列出了相关的参考信息。

要通过呼叫拨入服务器来测试 PAP 验证设置，请参见如何呼叫拨入服务器。
有关 PAP 验证的更多信息，请参见口令验证协议 (Password Authentication Protocol, PAP)。

配置 CHAP 验证

本节中的任务说明如何使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 在 PPP 链路上实现验证。这些任务使用图 16–4 中的示例来说明进行专用网络拨号的 CHAP 工作方案。请根据这些说明在您的站点上实现 CHAP 验证。

执行后续过程之前，必须完成下列操作：

设置并测试拨入服务器与属于可信赖呼叫者的拨出计算机之间的拨号链路
获取本地计算机（拨入服务器或拨出计算机）的超级用户权限

设置 CHAP 验证（任务列表）

表 19–4 CHAP 验证的任务列表（拨入服务器）


任务	说明	参考
1. 将 CHAP 机密指定给所有可信赖呼叫者	创建呼叫者的 CHAP 机密，或指示呼叫者创建自己的 CHAP 机密。	如何创建 CHAP 凭证数据库（拨入服务器）
2. 创建 chap-secrets 数据库	将所有可信赖呼叫者的安全凭证添加到 `/etc/ppp/chap-secrets` 文件中。	如何创建 CHAP 凭证数据库（拨入服务器）
3. 修改 PPP 配置文件	将特定于 CHAP 的选项添加到 `/etc/ppp/options` 和 `/etc/ppp/peers/peer-name` 文件中。	如何将 CHAP 支持添加到 PPP 配置文件（拨入服务器）

表 19–5 CHAP 验证的任务列表（拨出计算机）


任务	说明	参考
1. 为可信赖呼叫者的计算机创建 CHAP 数据库	在 `/etc/ppp/chap-secrets` 中为可信赖呼叫者创建安全凭证，如有必要，还为呼叫拨出计算机的其他用户创建安全凭证。	如何创建 CHAP 凭证数据库（拨入服务器）
2. 修改 PPP 配置文件	将特定于 CHAP 的选项添加到 `/etc/ppp/options` 文件中。	如何将 CHAP 支持添加到 PPP 配置文件（拨出计算机）

在拨入服务器上配置 CHAP 验证

设置 CHAP 验证的第一个任务是修改 /etc/ppp/chap-secrets 文件。此文件包含用于对链路上的呼叫者进行验证的 CHAP 安全凭证（包括 CHAP 机密）。

注 –

UNIX 或 PAM 验证机制对 CHAP 无效。例如，不能按如何创建 PAP 凭证数据库（拨入服务器）中所述的内容使用 PPP login 选项。如果验证方案需要 PAM 或 UNIX 样式的验证，请改为选择 PAP。

以下过程为专用网络中的拨入服务器实现 CHAP 验证。PPP 链路是与外界的唯一连接。网络管理员（可能包括系统管理员）已对可访问网络的那些呼叫者授予权限。

如何创建 CHAP 凭证数据库（拨入服务器）

汇编包含所有可信赖呼叫者的用户名的列表。可信赖呼叫者包括所有已授予呼叫专用网络权限的人员。

为每个用户指定 CHAP 机密。

注 –
务必选择不易猜出的可靠 CHAP 机密。CHAP 机密的内容无任何其他限制。

指定 CHAP 机密的方法取决于站点的安全策略。或者由您负责创建机密，或者呼叫者必须创建自己的机密。如果您不负责指定 CHAP 机密，则务必获取由每个可信赖呼叫者创建的、或为每个可信赖呼叫者创建的 CHAP 机密。

成为拨入服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

修改 /etc/ppp/chap-secrets 文件。

Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以在现有 /etc/ppp/chap-secrets 文件的末尾为服务器 CallServe 添加以下选项。
account1 CallServe key123 * account2 CallServe key456 *
key123 是可信赖呼叫者 account1 的 CHAP 机密。

key456 是可信赖呼叫者 account2 的 CHAP 机密。

另请参见

以下列出了相关的参考信息。

修改 PPP 配置文件以进行 CHAP 验证（拨入服务器）

本节中的任务说明如何更新现有 PPP 配置文件，以支持在拨入服务器上进行 CHAP 验证。

如何将 CHAP 支持添加到 PPP 配置文件（拨入服务器）

以超级用户身份登录到拨入服务器。

修改 /etc/ppp/options 文件。

添加以粗体显示的 CHAP 支持选项。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
name CallServe

将 CallServe 定义为本地计算机（在此实例中为拨入服务器）上用户的 CHAP 名称

auth

使本地计算机在建立链路之前对呼叫者进行验证

创建其他 PPP 配置文件以支持可信赖呼叫者。

请参见如何配置拨入服务器的用户和如何定义串行线路上的通信（拨入服务器）。

另请参见

要为可信赖呼叫者配置 CHAP 验证凭证，请参阅如何创建 CHAP 凭证数据库（拨入服务器）。

为可信赖呼叫者配置 CHAP 验证（拨出计算机）

本节包含在可信赖呼叫者的拨出计算机上设置 CHAP 验证的任务。根据站点的安全策略，可以由您或可信赖呼叫者负责设置 CHAP 验证。

在远程呼叫者配置 CHAP 的情况下，应确保该呼叫者的本地 CHAP 机密与拨入服务器的 /etc/ppp/chap-secrets 文件中该呼叫者的等效 CHAP 机密匹配。然后，指示这些呼叫者执行本节中的任务以配置 CHAP。

为可信赖呼叫者配置 CHAP 涉及两个任务：

创建呼叫者的 CHAP 安全凭证
配置呼叫者的拨出计算机以支持 CHAP 验证

如何为可信赖呼叫者配置 CHAP 验证凭证

此过程说明如何为两个可信赖呼叫者设置 CHAP 凭证。此过程中的步骤假定，作为系统管理员的您要在可信赖呼叫者的拨出计算机上创建 CHAP 凭证。

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

使用使用 CHAP 验证的配置示例中的 CHAP 配置样例，并假定拨出计算机属于可信赖呼叫者 account1。

修改呼叫者 account1 的 chap-secrets 数据库。

Solaris PPP 4.0 提供了一个包含有用注释但不包含任何选项的 /etc/ppp/chap-secrets 文件。可以将以下选项添加到现有 /etc/ppp/chap-secrets 文件中。
account1 CallServe key123 *
CallServe 是 account1 要尝试访问的对等点的名称。key123 是将用于 account1 与 CallServer 之间的链路的 CHAP 机密。

成为另一台拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

假定此计算机属于呼叫者 account2。

修改呼叫者 account2 的 /etc/ppp/chap-secrets 数据库。
account2 CallServe key456 *
现在，account2 将机密 key456 作为在指向对等点 CallServe 的链路上使用的 CHAP 凭证。

另请参见

以下列出了相关的参考信息。

将 CHAP 添加到配置文件（拨出计算机）

要了解有关 CHAP 验证的更多信息，请参阅质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP)。下一任务将配置属于在使用 CHAP 验证的配置示例中介绍的呼叫者 account1 的拨出计算机。

如何将 CHAP 支持添加到 PPP 配置文件（拨出计算机）

以超级用户身份登录到拨出计算机。

确保 /etc/ppp/options 文件包含以下选项。
# cat /etc/ppp/options lock nodefaultroute

为远程计算机 CallServe 创建 /etc/ppp/peers/peer-name 文件。
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
选项 user account1 将 account1 设置为指定给 CallServe 的 CHAP 用户名。有关以上文件中其他选项的说明，请参见如何定义与单个对等点的连接中类似的 /etc/ppp/peers/myserver 文件。

另请参见

要通过呼叫拨入服务器来测试 CHAP 验证，请参阅如何呼叫拨入服务器。

第 20 章设置 PPPoE 通道（任务）

本章介绍在 PPPoE 通道的任何一端设置参与者（PPPoE 客户机和 PPPoE 访问服务器）的任务。包含以下特定主题：

这些任务以规划 PPPoE 通道上的 DSL 支持中介绍的方案为例。有关 PPPoE 概述，请参阅通过 PPPoE 支持 DSL 用户。

设置 PPPoE 通道的主要任务（任务列表）

下表列出了配置 PPPoE 客户机和 PPPoE 访问服务器的主要任务。要在您的站点实现 PPPoE，只需设置您所在的 PPPoE 通道的一端（客户端或访问服务器端）。

表 20–1 设置 PPPoE 客户机的任务列表


任务	说明	参考
1. 配置 PPPoE 接口	定义要用于 PPPoE 通道的以太网接口。	如何配置 PPPoE 客户机接口
2. 配置有关 PPPoE 访问服务器的信息	为 PPPoE 通道的服务提供商端的访问服务器定义参数。	如何定义 PPPoE 访问服务器对等点
3. 设置 PPP 配置文件	定义客户机的 PPP 配置文件（如果尚未定义）。	如何定义串行线路上的通信
4. 创建通道	呼叫访问服务器。	如何定义 PPPoE 访问服务器对等点

表 20–2 设置 PPPoE 访问服务器的任务列表


任务	说明	参考
1. 设置 PPPoE 访问服务器	定义要用于 PPPoE 通道的以太网接口以及访问服务器提供的服务。	如何设置 PPPoE 访问服务器
2. 设置 PPP 配置文件	定义客户机的 PPP 配置文件（如果尚未定义）。	配置拨入服务器的通信
3. （可选）限制接口的使用	使用 PPPoE 选项和 PAP 验证，将特定的以太网接口限制为仅某些客户机可使用。	如何将接口限制为仅特定客户机可使用

设置 PPPoE 客户机

要通过 DSL 为客户机系统提供 PPP，必须首先在与相应调制解调器或集线器相连的接口上配置 PPPoE。然后，需要更改 PPP 配置文件，以便在 PPPoE 的另外一端定义访问服务器。

设置 PPPoE 客户机的先决条件

设置 PPPoE 客户机之前，必须完成下列操作：

在要使用 PPPoE 通道的客户机上，安装 Solaris 8 Update 6 发行版或后续发行版。
联系服务提供商，了解有关其 PPPoE 访问服务器的信息。
指示电话公司或服务提供商组装客户机使用的设备。这些设备包括 DSL 调制解调器和分路器等，最好由电话公司而非您来组装这些设备。

如何配置 PPPoE 客户机接口

使用此过程可定义要用于 PPPoE 通道的以太网接口。

成为 PPPoE 客户机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

将连接到 DSL 的以太网接口名称添加到 /etc/ppp/pppoe.if 文件中。

例如，对于将 hme0 用作连接到 DSL 调制解调器的网络接口的 PPPoE 客户机，将以下项添加到 /etc/ppp/pppoe.if 中。
hme0
有关 /etc/ppp/pppoe.if 的更多信息，请转至/etc/ppp/pppoe.if 文件。

为使用 PPPoE 配置接口。
# /etc/init.d/pppd start

（可选的）检验是否现在已对 PPPoE 接口进行检测。
# /usr/sbin/sppptun query hme0:pppoe hme0:pppoed
此外，也可以使用 /usr/sbin/sppptun 命令，手动检测 PPPoE 接口。有关说明，请参阅/usr/sbin/sppptun 命令。

如何定义 PPPoE 访问服务器对等点

您可以在 /etc/ppp/peers/peer-name 文件中定义访问服务器。用于访问服务器的许多选项也可用于定义拨号方案中的拨入服务器。有关 /etc/ppp/peers.peer-name 的详细说明，请参阅/etc/ppp/peers/peer-name 文件。

成为 PPPoE 客户机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

在 /etc/ppp/peers/peer-name 文件中，定义服务提供商的 PPPoE 访问服务器。

例如，以下文件 /etc/ppp/peers/dslserve 定义PPPoE 通道配置示例中介绍的 Far ISP 的访问服务器 dslserve。
# cat /etc/ppp/peers/dslserve sppptun plugin pppoe.so connect "/usr/lib/inet/pppoec hme0" noccp noauth user Red password redsecret noipdefault defaultroute
有关此文件中的选项定义，请转至用于定义访问服务器对等点的 /etc/ppp/peers/peer-name 文件。

修改 PPPoE 客户机的其他 PPP 配置文件。
1. 按照配置拨出计算机中配置拨出计算机的说明中所述，配置 /etc/ppp/options。
2. 创建 /etc/ppp/options.sppptun 文件。/etc/ppp/options.sppptun 可为检测的 PPPoE 接口所连接到的串行端口定义 PPP 选项。
  
  您可以使用可用于/etc/ppp/options.ttyname 配置文件中所述的 /etc/ppp/options. ttyname 文件的所有选项。由于 sppptun 是 pppd 配置中的指定设备名称，因此必须为文件 /etc/ppp/options.sppptun 命名。

确保所有用户都可以在客户机上启动 PPP。
# touch /etc/ppp/options

测试 PPP 是否可在 DSL 线路上运行。
% pppd debug updetach call dslserve
dslserve 是指定给PPPoE 通道配置示例中所示的 ISP 访问服务器的名称。debug updetach 选项则使调试信息显示在终端窗口中。

如果 PPP 正常运行，终端输出将显示处于活动状态的链路。如果 PPP 仍未运行，请尝试以下命令以查看服务器是否正常运行：
# /usr/lib/inet/pppoec -i hme0
注 –
已配置的 PPPoE 客户机的用户可以通过键入以下命令，在 DSL 线路上开始运行 PPP：
% pppd call ISP-server-name
然后，用户便可以运行应用程序或服务。

另请参见

以下列出了相关的参考信息。

设置 PPPoE 访问服务器

如果您的公司是服务提供商，则可以为通过 DSL 连接访问您站点的客户机提供 Internet 服务和其他服务。该过程包括确定服务器中哪些接口与 PPPoE 通道有关，以及定义哪些服务可供用户使用。

如何设置 PPPoE 访问服务器

使用此过程可定义要用于 PPPoE 通道的以太网接口，以及配置访问服务器提供的服务。

成为访问服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

将 PPPoE 通道专用的以太网接口名称添加到 /etc/ppp/pppoe.if 文件。

例如，对于PPPoE 通道配置示例中所示的访问服务器 dslserve，可以使用以下 /etc/ppp/pppoe.if 文件。
# cat /etc/ppp/pppoe.if hme1 hme2

在 /etc/ppp/pppoe 文件中定义访问服务器提供的全局服务。

在以下 /etc/ppp/pppoe 文件中，列出了图 16–5 中所示的访问服务器 dslserve 提供的服务。
device hme1,hme2 service internet pppd "proxyarp 192.168.1.1:" service debugging pppd "debug proxyarp 192.168.1.1:"
在该文件示例中，对于 dslserve 的以太网接口 hme1 和 hme2，宣布支持 Internet 服务。在这些以太网接口上，对 PPP 链路启用了调试功能。

采用与设置拨入服务器相同的方法设置 PPP 配置文件。

有关更多信息，请参阅为呼叫者创建 IP 寻址方案。

启动 pppoed 守护进程。
# /etc/init.d/pppd start
pppd 还会检测 /etc/ppp/pppoe.if 中列出的接口。

（可选的）检验是否已检测服务器上的 PPPoE 接口。
# /usr/sbin/sppptun query hme1:pppoe hme1:pppoed hme2:pppoe hme2:pppoed
以上样例表明，当前正在检测 PPPoE 接口 hme1 和 hme2。此外，也可以使用 /usr/sbin/sppptun 命令，手动检测 PPPoE 接口。有关说明，请参阅/usr/sbin/sppptun 命令。

如何修改现有 `/etc/ppp/pppoe` 文件

成为访问服务器的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

根据需要修改 /etc/ppp/pppoe。

使 pppoed 守护进程识别新服务。
# pkill -HUP pppoed

如何将接口限制为仅特定客户机可使用

以下过程说明如何将接口限制为仅一组 PPPoE 客户机可使用。执行此任务之前，需要获取指定给该接口的客户机的实际以太网 MAC 地址。

注 –

某些系统允许您更改以太网接口的 MAC 地址。您应将此功能视为一种便利因素，而非一种安全措施。

使用PPPoE 通道配置示例中所示的示例，这些步骤说明如何为 MiddleCo 中的客户机保留 dslserve 的接口之一 hme1。

配置访问服务器接口并定义服务，如如何设置 PPPoE 访问服务器中所示。

在服务器的 /etc/ethers 数据库中创建客户机项。

以下是客户机 Red、Blue 和 Yellow 的项样例。
8:0:20:1:40:30 redether 8:0:20:1:40:10 yellowether 8:0:20:1:40:25 blueether
该样例将符号名称 redether、yellowether 和 blueether 指定给客户机 Red、Yellow 和 Blue 的以太网地址。为 MAC 地址指定符号名称为可选操作。

通过在 /etc/ppp/pppoe.device 文件中定义以下信息，限制特定接口上提供的服务。

在此文件中，device 为要定义的设备的名称。
# cat /etc/ppp/pppoe.hme1 service internet pppd "name dslserve-hme1" clients redether,yellowether,blueether
dslserve-hme1 是访问服务器的名称，该名称用于匹配 pap-secrets 文件中的项。clients 选项将接口 hme1 限制为以太网符号名称为 redether、yellowether 和 blueether 的客户机可使用。

如果未在 /etc/ethers 中为客户机的 MAC 地址定义符号名称，则可将数字地址用作 clients 选项的参数。允许使用通配符。

例如，可以指定数字地址 clients 8:0:20:*:*:*。通过使用通配符，可接受 /etc/ethers 中的所有匹配地址。

为访问服务器创建 /etc/ppp/pap-secrets 文件：
Red dslserve-hme1 redpasswd * Blue dslserve-hme1 bluepasswd * Yellow dslserve-hme1 yellowpassd *
这些项为允许在 dslserve 的 hme1 接口上运行 PPP 的客户机的 PAP 名称和口令。

有关 PAP 验证的更多信息，请参见配置 PAP 验证。

另请参见

以下列出了相关的参考信息。

有关 PPPoE 的更多信息，请参见创建 PPPoE 通道以支持 DSL。
有关 PPPoE 和 PPP 问题疑难解答的信息，请参见解决与 PPP 和 PPPoE 相关的问题。
有关配置 PPPoE 客户机的信息，请参见设置 PPPoE 客户机。
有关为客户机配置 PAP 验证的信息，请参见为可信赖呼叫者配置 PAP 验证（拨出计算机）。
有关在服务器上配置 PAP 验证的信息，请参见在拨入服务器上配置 PAP 验证。

第 21 章修复常见的 PPP 问题（任务）

本章包含对 Solaris PPP 4.0 的常见问题进行疑难解答的有关信息，具体包含以下主题：

此外，在 James Carlson 的《PPP Design, Implementation, and Debugging》以及澳大利亚国立大学的网站中，也提供了详细的 PPP 疑难解答建议。有关更多信息，请参见有关 PPP 的专业参考书籍和有关 PPP 的 Web 站点。

解决 PPP 问题（任务列表）

使用以下任务列表可快速访问有关常见 PPP 问题的建议和解决方案。

表 21–1 PPP 疑难解答任务列表


任务	定义	参考
获取有关 PPP 链路的诊断信息	使用 PPP 诊断工具获取用于疑难解答的输出。	如何从 `pppd` 获取诊断信息
获取 PPP 链路的调试信息	使用 `pppd debug` 命令生成用于疑难解答的输出。	如何启用 PPP 调试功能
对网络层常见问题进行疑难解答	使用一系列检查来确定并修复与网络相关的 PPP 问题。	如何诊断网络问题
对常见的通信问题进行疑难解答	确定并修复影响 PPP 链路的通信问题。	如何诊断和修复通信问题
对配置问题进行疑难解答	确定并修复 PPP 配置文件的问题	如何诊断 PPP 配置问题
对与调制解调器相关的问题进行疑难解答	确定并修复调制解调器问题。	如何诊断调制解调器问题
对与聊天脚本相关的问题进行疑难解答	确定并修复拨出计算机的聊天脚本问题。	如何获取聊天脚本的调试信息
对串行线路速度问题进行疑难解答	确定并修复拨入服务器的线路速度问题。	如何诊断和修复串行线路速度问题
对租用线路的常见问题进行疑难解答	确定并修复租用线路的性能问题。	修复租用线路问题
对与验证相关的问题进行疑难解答	确定并修复与验证数据库相关的问题。	诊断和修复验证问题
对 PPPoE 问题范围进行疑难解答	使用 PPP 诊断工具获取用于确定并修复 PPPoE 问题的输出。	如何获取 PPPoE 的诊断信息

PPP 疑难解答工具

PPP 链路通常出现以下三种主要故障：

链路建立故障
链路在常规使用期间性能不正常
在链路任一端出现的可追溯到网络的问题

确定 PPP 工作与否的最简单方法是在链路上运行命令。请对对等点网络中的主机运行 ping 或 traceroute 等命令，然后观察结果。但是，您应使用 PPP 和 UNIX 调试工具来监视所建立链路的性能，或排除有问题链路的故障。

本节说明如何从 pppd 及其关联的日志文件获取诊断信息。本章的其余各节将介绍借助 PPP 疑难解答工具可以发现和修复的 PPP 常见问题。

如何从 `pppd` 获取诊断信息

以下过程说明如何在本地计算机上查看链路的当前操作。

成为本地计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

将为 PPP 配置的串行设备作为参数，运行 pppd：
# pppd cua/b debug updetach
以下示例说明了当 pppd 在前台运行时，生成的拨号链路和租用线路链路显示内容。如果在后台运行 pppd debug，生成的输出将发送到 /etc/ppp/connect-errors 文件。

示例 21–1 正常运行的拨号链路的输出

# pppd /dev/cua/b debug updetach

have route to 0.0.0.0/0.0.0.0 via 172.21.0.4

serial speed set to 230400 bps

Using interface sppp0

Connect: sppp0 <--> /dev/cua/b

sent [LCP ConfReq id=0x7b <asyncmap 0x0> <magic 0x73e981c8> <pcomp> <accomp>]

rcvd [LCP Ident id=0x79 magic=0x0 "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 

	2004 09:36:22)"]

Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 2004 09:36:22)

	rcvd [LCP ConfRej id=0x7b <asyncmap 0x0>]

sent [LCP Ident id=0x7c magic=0x0 "ppp-2.4.0b1 (Sun Microsystems, Inc., Sep 15 

	2004 09:38:33)"

sent [LCP ConfReq id=0x7d <magic 0x73e981c8> <pcomp> <accomp>]

rcvd [LCP ConfAck id=0x7d <magic 0x73e981c8> <pcomp> <accomp>]

rcvd [LCP ConfAck id=0x78 <magic 0xdd4ad820> <pcomp> <accomp>]

sent [LCP ConfAck id=0x78 <magic 0xdd4ad820> <pcomp> <accomp>]

sent [LCP Ident id=0x7e magic=0x73e981c8 "ppp-2.4.0b1 (Sun Microsystems, Inc., 

	Sep 15 2004 09:38:33)"]

sent [IPCP ConfReq id=0x3d <addr 0.0.0.0> <compress VJ 0f 01>]

rcvd [LCP Ident id=0x7a magic=0xdd4ad820 "ppp-2.4.0b1 (Sun Microsystems, Inc., 

	Oct  6 2004 09:36:22)"]

Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 2004 09:36:22)

rcvd [IPCP ConfReq id=0x92 <addr 10.0.0.1> <compress VJ 0f 01>

sent [IPCP ConfAck id=0x92 <addr 10.0.0.1> <compress VJ 0f 01>

rcvd [IPCP ConfNak id=0x3d <addr 10.0.0.2>]]

sent [IPCP ConfReq id=0x3e <addr 10.0.0.2> <compress VJ 0f 01>]

rcvd [IPCP ConfAck id=0x3e <addr 10.0.0.2> <compress VJ 0f 01>]

local  IP address 10.0.0.2

remote IP address 10.0.0.1

示例 21–2 正常运行的租用线路链路的输出

# pppd /dev/se_hdlc1 default-asyncmap debug updetach

pppd 2.4.0b1 (Sun Microsystems, Inc., Oct 24 2004 07:13:18) started by root, uid 0

synchronous speed appears to be 0 bps

init option: '/etc/ppp/peers/syncinit.sh' started (pid 105122)

Serial port initialized.

synchronous speed appears to be 64000 bps

Using interface sppp0

Connect: sppp0 <--> /dev/se_hdlc1

sent [LCP ConfReq id=0xe9 <magic 0x474283c6><pcomp> <accomp>]

rcvd [LCP ConfAck id=0xe9 <magic 0x474283c6><pcomp> <accomp>]

rcvd [LCP ConfReq id=0x22 <magic 0x8e3a53ff><pcomp> <accomp>]

sent [LCP ConfReq id=0x22 <magic 0x8e3a53ff><pcomp> <accomp>]

sent [LCP Ident id=0xea magic=0x474283c6 "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 

	22 2004 14:31:44)"]

sent [IPCP ConfReq id=0xf7 <addr 0.0.0.0> <compress VJ Of o1>]]

sent [CCP ConfReq id=0x3f <deflate 15> <deflate(old#) 15> <bsd v1 15>]

rcvd [LCP Ident id=0x23 magic=0x8e3a53ff "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 

	22 2004 14:31:44)"]

Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 22 2004 14:31:44)

rcvd [IPCP ConfReq id=0x25 <addr 10.0.0.1> <compress VJ Of 01>]

sent [IPCP ConfAck id=0x25 <addr 10.0.0.1> <compress VJ Of 01>]

rcvd [CCP ConfReq id=0x3 <deflate 15> <deflate(old#) 15 <bsd v1 15>]

sent [CCP ConfAck id=0x3 <deflate 15> <deflate(old#) 15 <bsd v1 15>]

rcvd [IPCP ConfNak id=0xf8 <addr 10.0.0.2>]

rcvd [IPCP ConfReq id=0xf7 <addr 10.0.0.2> <compress VJ Of 01>]

rcvd [CCP ConfAck id=0x3f <deflate 15> <deflate(old#) 15 <bsd v1 15>]

Deflate (15) compression enabled

rcvd [IPCP ConfAck id=0xf8 <addr 10.0.0.2> <compress VJ Of 01>]

local  IP address 10.0.0.2

remote IP address 10.0.0.1

如何启用 PPP 调试功能

以下任务说明如何使用 pppd 命令获取调试信息。

注 –

对于每台主机，只需执行一次步骤 1 到步骤 3。此后，可以继续执行步骤 4 以便为主机打开调试功能。

成为超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

创建日志文件以保存 pppd 的输出。
# touch /var/log/pppdebug

在 /etc/syslog.conf 中，为 pppd 添加以下 syslog 功能。
daemon.debug;local2.debug /var/log/pppdebug

重新启动 syslogd。
# pkill -HUP -x syslogd

使用以下 pppd 语法，为呼叫特定对等点打开调试功能。
# pppd debug call peer-name
peer-name 必须是 /etc/ppp/peers 目录中的文件的名称。

查看日志文件的内容。
# tail -f /var/log/pppdebug
有关日志文件示例，请参见步骤 3。

解决与 PPP 和 PPPoE 相关的问题

有关如何解决与 PPP 和 PPPoE 相关的问题的信息，请参阅以下各节。

如何诊断网络问题

如果 PPP 链路处于活动状态，但远程网络上几乎没有可以访问的主机，则表明可能存在网络问题。以下过程将说明如何确定并修复影响 PPP 链路的网络问题。

成为本地计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

关闭有问题的链路。

在配置文件中，通过为 PPP 配置添加以下选项以禁用所有可选协议：
noccp novj nopcomp noaccomp default-asyncmap
这些选项可提供最简单的、未被压缩的可用 PPP。请尝试在命令行上将这些选项作为 pppd 的参数进行调用。如果可以访问先前无法访问的主机，请在以下任一位置添加这些选项。
- /etc/ppp/peers/peer-name，call 选项之后
- /etc/ppp/options，确保这些选项可全局应用

呼叫远程对等点，然后启用调试功能。
% pppd debug call peer-name

使用 chat 的 -v 选项，获取聊天程序的详细日志。

例如，在任何 PPP 配置文件中使用以下格式：
connect 'chat -v -f /etc/ppp/chatfile'
/etc/ppp/chatfile 表示聊天文件的名称。

使用 Telnet 或其他应用程序访问远程主机，以尝试重新生成该问题。

观察调试日志。如果仍然无法访问远程主机，则 PPP 问题可能与网络相关。

检验远程主机的 IP 地址是否为已注册的 Internet 地址。

某些组织会指定在本地网络内已知、但无法路由至 Internet 的内部 IP 地址。如果远程主机位于您公司内，则必须设置名称到地址转换 (name-to-address translation, NAT) 服务器或代理服务器，才能访问 Internet。如果远程主机位于您公司外，则应向远程组织报告该问题。

检查路由表。
1. 检查本地计算机和对等点上的路由表。
2. 检查位于从对等点到远程系统的路径中的所有路由器的路由表。另外，检查返回对等点的路径中的所有路由器的路由表。
  
  请确保中间路由器的配置正确。通常，在返回对等点的路径中，可能会发现问题。

（可选的）如果该计算机为路由器，请检查可选功能。
# ndd -set /dev/ip ip_forwarding 1
有关 ndd 的更多信息，请参阅 ndd(1M) 手册页。

在 Solaris 10 发行版中，可以使用 routeadm(1M) 来代替 ndd(1M)。
# routeadm -e ipv4-forwarding -u
注 –
ndd 命令没有持久性。使用该命令设置的值将在重新引导系统时丢失。routeadm 命令则具有持久性。使用该命令设置的值将在重新引导系统后保留。

检查通过 netstat -s 和类似工具获取的统计信息。

有关 netstat 的完整详细信息，请参阅 netstat(1M) 手册页。
1. 在本地计算机上运行统计信息。
2. 呼叫对等点。
3. 观察 netstat -s 生成的新统计信息。有关更多信息，请参阅影响 PPP 的常见网络问题。

检查 DNS 配置。

错误的名称服务配置会因无法解析 IP 地址而使应用程序出现故障。

影响 PPP 的常见网络问题

您可以使用 netstat -s 生成的消息，来修复下表中所示的网络问题。相关过程信息，请参阅如何诊断网络问题。

表 21–2 影响 PPP 的常见网络问题


消息	问题	解决方案
`IP packets not forwardable`	本地主机缺少路由。	在本地主机的路由表中添加缺失的路由。
`ICMP input destination unreachable`	本地主机缺少路由。	在本地主机的路由表中添加缺失的路由。
`ICMP time exceeded`	两个路由器正在互相转发同一目标地址，从而使包来回传递，直到超出生存时间 (time-to-live, TTL) 值。	使用 `traceroute` 查找路由循环的原因，然后与出现错误的路由器的管理员联系。有关 `traceroute` 的信息，请参阅 traceroute(1M) 手册页。
`IP packets not forwardable`	本地主机缺少路由。	在本地主机的路由表中添加缺失的路由。
`ICMP input destination unreachable`	本地主机缺少路由。	在本地主机的路由表中添加缺失的路由。

如何诊断和修复通信问题

两个对等点无法成功建立链路，则表明出现了通信问题。有时，这些问题实际上是由于聊天脚本配置错误而导致的协商问题。以下过程说明如何清除通信问题。有关清除由于聊天脚本错误而导致的协商问题，请参见表 21–5。

成为本地计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

呼叫对等点。

呼叫远程对等点，然后启用调试功能。
% pppd debug call peer-name
为修复某些通信问题，可能需要从对等点获取调试信息。

在生成的日志中检查通信问题。有关更多信息，请参阅影响 PPP 的常见通信问题。

影响 PPP 的常见通信问题

下表介绍了与如何诊断和修复通信问题过程的日志输出有关的症状。

表 21–3 影响 PPP 的常见通信问题


症状	问题	解决方案
`too many Configure-Requests`	一个对等点无法接收另一个对等点的信息。	检查以下问题：计算机或调制解调器的布线可能出错。调制解调器配置的位设置可能不正确。或者，该配置可能中断了流量控制。聊天脚本可能出现故障。在这种情况下，请参见表 21–5。
`pppd debug` 输出显示 LCP 已启动，但更高级别的协议失败或显示出现 CRC 错误。	异步控制字符映射 (asynchronous control character map, ACCM) 的设置不正确。	使用 `default-async` 选项将 ACCM 设置为标准的 FFFFFFFF 缺省值。首先，尝试在命令行上将 `default-async` 用作 `pppd` 的选项。如果该问题已解决，则将 `default-async` 添加到 `/etc/ppp/options`，或添加到 call 选项之后的 `/etc/ppp/peers/peer-name`。
`pppd debug` 输出显示，IPCP 在启动后立即终止。	IP 地址配置可能不正确。	检查聊天脚本以检验该脚本的 IP 地址是否正确。如果聊天脚本正确，则请求对等点的调试日志，然后检查对等点日志中的 IP 地址。
链路显示性能很差。	调制解调器的配置不正确，并出现流量控制配置错误、调制解调器设置错误以及 DTE 日志配置错误。	检查调制解调器配置。如有必要，调整该配置。

如何诊断 PPP 配置问题

某些 PPP 问题可以追溯到 PPP 配置文件的问题。以下过程说明如何确定并修复常见的配置问题。

成为本地计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

呼叫远程对等点，然后启用调试功能。
% pppd debug call peer-name

在生成的日志中检查配置问题。有关更多信息，请参阅常见的 PPP 配置问题。

常见的 PPP 配置问题

下表介绍了与如何诊断 PPP 配置问题过程的日志输出有关的症状。

表 21–4 常见的 PPP 配置问题


症状	问题	解决方案
`pppd debug` 输出包含错误消息 `Could not determine remote IP address`。	`/etc/ppp/peers/peer-name` 文件未包含对等点的 IP 地址。对等点在链路协商期间没有提供 IP 地址。	在 pppd 命令行或 `/etc/ppp/peers/peer-name` 中，使用以下格式为对等点提供 IP 地址： :10.0.0.10
`pppd debug` 输出显示 CCP 数据压缩失败。该输出还指示链路被丢弃。	对等点的 PPP 压缩配置可能出现冲突。	通过在 `/etc/ppp/options` 中添加 `noccp` 选项，对其中一个对等点禁用 CCP 压缩。

如何诊断调制解调器问题

调制解调器问题可能是拨号链路的主要问题。调制解调器配置问题的最常见指示是对等点没有响应。但是，在确定链路问题是否确实为调制解调器配置问题所致时，可能会遇到问题。

有关调制解调器疑难解答的基本建议，请参阅《系统管理指南：高级管理》中的“解决终端和调制解调器问题”。此外，调制解调器制造商所提供的文档和网站也提供了有关其特定设备问题的解决方案。以下过程有助于确定调制解调器配置错误是否会导致链路问题。

按照如何启用 PPP 调试功能中的说明，呼叫已打开调试功能的对等点。

显示生成的 /var/log/pppdebug 日志，以检查调制解调器配置是否错误。

使用 ping 在链路上发送各种大小的包。

有关 ping 的完整详细信息，请参阅 ping(1M) 手册页。

如果收到较小的包，而较大的包被丢弃，则表明调制解调器存在问题。

检查接口 sppp0 上的错误：

% netstat -ni

Name  Mtu  Net/Dest   Address      Ipkts    Ierrs Opkts    Oerrs Collis Queue 

lo0   8232 127.0.0.0  127.0.0.1    826808   0     826808   0     0      0     

hme0  1500 172.21.0.0 172.21.3.228 13800032 0     1648464  0     0      0     

sppp0 1500 10.0.0.2   10.0.0.1     210      0     128      0     0      0

如果接口错误随时间而增加，则调制解调器配置可能存在问题。

故障排除

显示生成的 /var/log/pppdebug 日志时，输出中出现以下症状可以表明调制解调器配置出现错误。本地计算机可以接收对等点的信息，而对等点却无法接收本地计算机的信息。

对等点未发送任何 "recvd" 消息。
输出包含来自对等点的 LCP 消息，但链路失败，并显示本地计算机发送的 too many LCP Configure Requests 消息。
链路终止，并显示 SIGHUP 信号。

如何获取聊天脚本的调试信息

以下过程用于从 chat 获取调试信息和清除常见问题的建议。有关更多信息，请参阅常见的聊天脚本问题。

成为拨出计算机的超级用户或承担等效角色。

角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

编辑要呼叫的对等点的 /etc/ppp/peers/peer-name 文件。

将 -v 作为参数添加到 connect 选项中指定的 chat 命令。
connect "/usr/bin/chat -v -f /etc/ppp/chat-script-name"

查看 /etc/ppp/connect-errors 文件中的聊天脚本错误。

以下是使用 chat 出现的主要错误。

Oct 31 08:57:13 deino chat[107294]: [ID 702911 local2.info] expect (CONNECT)

Oct 31 08:57:58 deino chat[107294]: [ID 702911 local2.info] alarm

Oct 31 08:57:58 deino chat[107294]: [ID 702911 local2.info] Failed

该示例表明在等待 (CONNECT) 字符串时超时。如果 chat 失败，将从 pppd 获取以下消息：

Connect script failed

常见的聊天脚本问题

聊天脚本是拨号链路中容易出现问题的地方。下表列出了常见的聊天脚本错误，并提供了用于修复这些错误的建议。有关过程信息，请参阅如何获取聊天脚本的调试信息。

表 21–5 常见的聊天脚本问题

症状

问题

解决方案

pppd debug 输出包含 Connect script failed

聊天脚本提供了用户名和口令。

ogin: user-name

ssword: password

但是，您计划与之连接的对等点却没有提示此信息。

从聊天脚本中删除登录名和口令。
再次尝试呼叫对等点。
如果仍然出现该消息，请致电 ISP。然后，要求 ISP 提供正确的登录序列。

/usr/bin/chat -v 日志包含 "expect (login:)" alarm read timed out

聊天脚本提供了用户名和口令。

ogin: pppuser

ssword: \q\U

但是，您计划连接到的对等点却没有提示此信息。

从聊天脚本中删除登录名和口令。
再次尝试呼叫对等点。
如果仍然出现该消息，请致电 ISP。然后，要求 ISP 提供正确的登录序列。

pppd debug 输出包含 possibly looped-back

本地计算机或其对等点正在命令行上挂起，并且未运行 PPP。聊天脚本中包含未正确配置的登录名和口令。

从聊天脚本中删除登录名和口令。
再次尝试呼叫对等点。
如果仍然出现该消息，请致电 ISP。然后，要求提供正确的登录序列。

pppd debug 输出显示 LCP 已激活，但之后链路很快终止。

聊天脚本中的口令可能不正确。

确保您持有正确的本地计算机口令。
检查聊天脚本中的口令。如果不正确，请修复该口令。
再次尝试呼叫对等点。
如果仍然出现该消息，请致电 ISP。然后，要求 ISP 提供正确的登录序列。

对等点的文本以波浪号 (~) 开头。

聊天脚本提供了用户名和口令。

ogin: pppuser

ssword: \q\U

但是，您计划与之连接的对等点却没有提示此信息。

从聊天脚本中删除登录名和口令。
再次尝试呼叫对等点。
如果仍然出现该消息，请致电 ISP。然后，请求正确的登录序列。

调制解调器挂起。

聊天脚本使用以下行来强制本地计算机等待来自对等点的 CONNECT 消息：

CONNECT ”