一、PPP协议概述
**PPP(Point-to-Point Protocol,点对点协议)**是用于在点对点链路上传输数据包的协议。它提供了链路建立、身份验证、网络层协议协商和链路终止等功能。基于HDLC协议封装数据报,通过LCP(链路控制协议)建立链路,NCP(网络控制协议)配置网络层参数。
PPP工作过程
- 链路建立阶段:通过LCP(Link Control Protocol)协商链路参数,如MTU、身份验证方式等。
- 身份验证阶段:根据协商的身份验证方式(PAP、CHAP等)进行身份验证。
- 网络层协议配置阶段:通过NCP(Network Control Protocol)协商网络层协议参数。
- 数据传输阶段:发送端将数据包封装成PPP帧,在数据链路上传输。
- 链路终止阶段:发送端或接收端发起链路终止请求。
常见应用场景
1. 家庭宽带接入
PPPoE:通过以太网运行PPP协议,实现用户认证和接入。
PPPoA:在ATM网络上运行PPP协议,管理用户认证。
2. 企业网络
专线连接:企业分支机构与总部间通过PPP链路互联。
VPN隧道:通过PPTP或L2TP实现安全的虚拟专用网络连接。
关键特性
- 安全性:支持多种认证机制,防止未经授权访问。
- 可靠性:通过LCP和NCP确保链路稳定和协议配置。
- 扩展性:支持多协议数据报封装,适应不同网络环境。
二、PPP认证方式
1. PAP认证(Password Authentication Protocol)
工作原理:
- 发起方将自己的用户名和密码明文发送给认证方
- 认证方查询本地数据库,匹配成功则允许连接
优点:
- 简单易用,易于实现和配置
- 通用性强,支持多种操作系统和设备
缺点:
- 安全性低:使用明文传输用户名和密码,容易被窃听和破解
- 不支持双向认证:无法验证认证方的身份
应用场景:
- 低安全要求的网络
- 双向认证不重要的场景
配置命令:
[Huawei] aaa
[Huawei-aaa] local-user username password cipher password
[Huawei-aaa] local-user username service-type ppp
[Huawei-aaa] quit
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] link-protocol ppp
[Huawei-Serial3/0/0] ppp authentication-mode pap2. CHAP认证(Challenge Handshake Authentication Protocol)
工作原理:
- 认证方发送一个随机挑战值
- 被认证方使用MD5算法加密挑战值和密码
- 返回加密结果,认证方验证结果
优点:
- 安全性高:不传输明文密码
- 支持双向认证
应用场景:
- 高安全要求的网络
配置命令:
[Huawei] aaa
[Huawei-aaa] local-user username password cipher password
[Huawei-aaa] local-user username service-type ppp
[Huawei-aaa] quit
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] link-protocol ppp
[Huawei-Serial3/0/0] ppp chap user username
[Huawei-Serial3/0/0] ppp chap password cipher password三、PPP配置案例
案例1:PAP单向认证配置
拓扑:两台AR2220路由器通过串口连接
AR1配置:
<Huawei> system-view
[Huawei] un in en
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ip address 192.168.2.2 255.255.255.0
[Huawei-Serial3/0/0] quit
[Huawei] ip route-static 0.0.0.0 0 192.168.2.3
[Huawei] aaa
[Huawei-aaa] local-user csdn password cipher 123456
[Huawei-aaa] local-user csdn service-type ppp
[Huawei-aaa] quit
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] link-protocol ppp
[Huawei-Serial3/0/0] ppp authentication-mode papAR2配置:
<Huawei> system-view
[Huawei] un in en
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ip address 192.168.2.3 255.255.255.0
[Huawei-Serial3/0/0] quit
[Huawei] ip route-static 0.0.0.0 0 192.168.2.2
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] link-protocol ppp
[Huawei-Serial3/0/0] ppp pap local-user csdn password cipher 123456案例2:CHAP双向认证配置
AR1配置(主认证):
<Huawei> system-view
[Huawei] aaa
[Huawei-aaa] local-user r2 password cipher 123456
[Huawei-aaa] local-user r2 service-type ppp
[Huawei-aaa] quit
[Huawei] interface Serial 4/0/0
[Huawei-Serial4/0/0] link-protocol ppp
[Huawei-Serial4/0/0] ppp authentication-mode chapAR2配置(被认证):
<Huawei> system-view
[Huawei] interface Serial 4/0/0
[Huawei-Serial4/0/0] link-protocol ppp
[Huawei-Serial4/0/0] ppp chap user r1
[Huawei-Serial4/0/0] ppp chap password cipher 654321AR2配置(主认证):
<Huawei> system-view
[Huawei] aaa
[Huawei-aaa] local-user r1 password cipher 654321
[Huawei-aaa] local-user r1 service-type ppp
[Huawei-aaa] quit
[Huawei] interface Serial 4/0/0
[Huawei-Serial4/0/0] link-protocol ppp
[Huawei-Serial4/0/0] ppp authentication-mode chapAR1配置(被认证):
<Huawei> system-view
[Huawei] interface Serial 4/0/0
[Huawei-Serial4/0/0] ppp chap user r2
[Huawei-Serial4/0/0] ppp chap password cipher 123456案例3:MP-Group(多链路捆绑)配置
MP-Group可以将多个物理接口捆绑成一个逻辑接口,实现负载分担和备份功能。在华为eNSP中配置MP-Group(多链路捆绑)可以有效提升链路带宽和可靠性。其核心思路是创建一个逻辑的MP-Group接口,然后将多个物理串口捆绑到该逻辑接口下。
| 配置阶段 | 配置项 | 命令示例/说明 |
|---|---|---|
| 1. 基础准备 | 进入系统视图并命名设备 | system-view [Huawei]sysname R1 |
| 2. 创建MP-Group接口 | 创建逻辑接口并配置IP | [R1]interface Mp-group 0/0/0 [R1-Mp-group0/0/0]ip address 192.168.1.1 255.255.255.0 |
| 3. 捆绑物理接口 | 将物理接口加入MP-Group | [R1]interface Serial1/0/0 [R1-Serial1/0/0]ppp mp Mp-group 0/0/0 注:对需要捆绑的每个串口(如S1/0/1)重复此操作。 |
注意:在MP-Group接口配置PAP/CHAP认证时,每个被加入的接口都需要单独配置。
四、高级PPP配置
1. DNS服务器地址协商
配置为对端设备分配DNS服务器地址:此配置使对端设备通过PPP链路获取指定的DNS服务器地址。
[Huawei] system-view
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ppp ipcp dns 8.8.8.8 8.8.4.4
#primary-dns-address #secondary-dns-address配置接受对端分配的任何DNS服务器地址:此配置允许对端动态分配DNS地址,适用于ISP分配IP场景。
[Huawei] system-view
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ppp ipcp dns admit-any2. OSICP和MPLSCP协商
启用OSICP协商:OSICP用于OSI网络层协议协商,但需确保对端支持OSI协议。
[Huawei] system-view
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ppp osicp enable禁用OSICP协商:禁用后链路将不再尝试OSI协议协商。
修改OSICP或MPLSCP的 enable/disable状态后,接口重启是必须的。
[Huawei] system-view
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ppp osicp disable3. PPP链路状态监控
配置保持活跃时间:
[Huawei] system-view
[Huawei] interface Serial 3/0/0
[Huawei-Serial3/0/0] ppp keepalive 10 3- 10:轮询时间间隔(秒)
- 3:保持活跃数
- 参数说明 :
10:轮询时间间隔(秒),链路每10秒发送一次状态检测报文。3:保持活跃数,连续3次未收到响应则判定链路故障。
- 监控效果 :
该配置实时监控链路状态,及时发现故障并触发重连或告警。
注意事项
- DNS协商优先级 :
- 设备不能同时配置为"指定"和"接收"DNS地址,否则会导致配置冲突。
- 协议兼容性 :
- OSICP仅在OSI网络环境中有效,需确保对端支持OSI协议。
- 监控参数 :
- 保持活跃时间应根据链路质量调整,避免误判或频繁重连。
- 验证配置 :
- 使用
display ppp information interface Serial 3/0/0命令查看链路状态和协商结果。
- 使用
五、配置注意事项
- 配置生效 :配置完成后,需要执行
shutdown和undo shutdown命令使配置生效。 - 双向认证:在双向认证中,双方都需要配置对方的用户名和密码。
- MP-Group配置:在MP-Group接口配置认证时,每个物理接口都需要单独配置认证方式。
- 密码安全 :使用
cipher参数存储密码,避免明文显示。 - 测试方法 :配置完成后,使用
shutdown和undo shutdown命令重启接口进行测试。
总结
PPP协议是华为设备中常用的点对点链路协议,通过PAP和CHAP两种认证方式提供不同级别的安全性。PAP简单易用但安全性低,适用于低安全要求的网络;CHAP安全性高,适用于高安全要求的网络。MP-Group(多链路捆绑)技术可以将多个物理接口捆绑成一个逻辑接口,实现负载分担和链路备份功能,提高网络可靠性。通过合理的PPP配置,可以有效保障点对点链路的安全性和可靠性,满足不同网络场景的需求。