Solaris PPP 4.0 基础
第15 章• Solaris PPP 4.0(概述) 357
有关PPP的手册页
有关Solaris PPP 4.0 实现的技术层面的详细信息,请参阅以下手册页:
pppd(1M)
chat(1M)
pppstats(1M)
pppoec(1M)
pppoed(1M)
sppptun(1M)
snoop(1M)
此外,还可以参见pppdump(1M) 的手册页。可使用man 命令找到与PPP 有关的手册页。
PPP配置和术语
本节介绍PPP 配置,还将介绍本指南中使用的术语。
Solaris PPP 4.0 支持许多配置。
交换式访问(或称为拨号)配置
硬连线(或称为租用线路)配置
图15–1 PPP链路的各部分
上图显示了基本PPP 链路。该链路包含以下部分:
两台计算机,通常位于独立物理位置,称为对等点。对等点可以是个人计算机、工程工
作站、大型服务器,甚至商业路由器,具体取决于网站的要求。
每个对等点上的串行接口。在Solaris 计算机上,此接口可以是cua、hihp 或其他接口,
具体取决于是配置了异步还是同步PPP。
物理链路,如串行电缆、调制解调器连接或来自网络提供商的租用线路(如T1 或T3 线
路)。
PPP 配置和术语
358 系统管理指南:网络服务• 2006 年8 月
拨号PPP概述
最常用的PPP 配置是拨号链路。在拨号链路中,本地对等点向远程对等点拨号以建立连接
并运行PPP。在拨号过程中,本地对等点呼叫远程对等点的电话号码以启动该链路。
常见拨号情况包括呼叫ISP 的对等点(配置用于接收传入呼叫)的家庭计算机。另外一种情
况是公司站点,此站点中的本地计算机基于PPP 链路向另一建筑内的对等点传输数据。
在本指南中,启动拨号连接的本地对等点称为拨出计算机。接收传入呼叫的对等点称为拨
入服务器。此计算机实际上是拨出计算机的目标对等点,它可能是一台真实服务器也可能
不是。
PPP 不是客户机/服务器协议。一些PPP 文档使用术语“客户机”和“服务器”表示电话呼叫的
建立。拨入服务器与文件服务器或名称服务器类似,不是一台真实的服务器。拨入服务器
成为广泛使用的PPP 术语是因为拨入计算机通常为多台拨出计算机提供网络访问“服务”。
不过,拨入服务器是拨出计算机的目标对等点。
拨号PPP链路的各部分
请参见下图。
PPP 配置和术语
第15 章• Solaris PPP 4.0(概述) 359
图15–2 基本模拟拨号PPP链路
位置1(链路的拨出端)的配置由以下元素组成:
拨出计算机,通常为个人计算机或个人家庭中的工作站。
拨出计算机上的串行接口。/dev/cua/a 或/dev/cua/b 是运行Solaris 软件的计算机上传出
呼叫的标准串行接口。
连接到电话插口的异步调制解调器或ISDN 终端适配器(terminal adapter, TA)。
电话线和电话公司的服务。
位置2(链路的拨入端)的配置由以下元素组成:
连接到电话网络的电话插口或类似连接器
异步调制解调器或ISDN TA
拨入服务器上的串行接口,它是传入呼叫的ttya 或ttyb
PPP 配置和术语
360 系统管理指南:网络服务• 2006 年8 月
连接到网络(如公司内联网,对于ISP 则为全球Internet)的拨入服务器
使用拨出计算机上的ISDN 终端适配器
外部ISDN TA具有比调制解调器更快的速度,但可以按照基本相同的方法配置TA。配置
ISDN TA的主要差别在于聊天脚本,该脚本需要使用特定于TA制造商的命令。有关ISDN
TA的聊天脚本的信息,请参阅第462 页中的“外部ISDN TA的聊天脚本”。
拨号通信期间发生的操作
拨出和拨入对等点上的PPP 配置文件包含用于设置链路的指令。启动拨号链路时将发生以
下过程。
1. 拨出计算机上的用户或进程运行pppd 命令以启动链路。
2. 拨出计算机读取其PPP 配置文件。然后,拨出计算机基于串行线路将指令(包括拨入服
务器的电话号码)发送到其调制解调器。
3. 调制解调器拨打电话号码,以与拨入服务器上的调制解调器建立电话连接。
拨出计算机发送到调制解调器和拨入服务器的一系列文本字符串包含在称为聊天脚本的
文件中。如有必要,拨出计算机可发送命令到拨入服务器以调用该服务器上的PPP。
4. 连接到拨入服务器的调制解调器开始与拨出计算机上的调制解调器进行链路协商。
5. 完成调制解调器对调制解调器协商后,拨出计算机上的调制解调器将报告
“CONNECT”。
6. 两个对等点上的PPP 都将进入建立阶段,此阶段中链路控制协议(Link Control Protocol,
LCP) 协商基本链路参数和验证的使用。
7. 如有必要,对等点相互验证。
8. PPP 的网络控制协议(Network Control Protocol, NCP) 协商网络协议(如IPv4 或IPv6)的
使用。
然后,拨出计算机对通过拨入服务器可访问的主机运行telnet 或类似命令。
租用线路PPP概述
硬连线的租用线路PPP 配置包括通过链路连接的两个对等点。该链路由从提供商处租用的
交换式或非交换式数字服务组成。Solaris PPP 4.0 基于任何全双工、点对点租用线路介质工
作。通常,公司从网络提供商租用硬连线的链路以连接到ISP 或其他远程站点。
拨号链路与租用线路链路的比较
拨号链路和租用线路链路都包括通过通信介质连接的两个对等点。下表概述了两种链路类
型之间的差别。
PPP 配置和术语
第15 章• Solaris PPP 4.0(概述) 361
租用线路拨号线路
始终处于连接状态,除非系统管理员断开租用线路的连接或
由于停电而断开连接。
根据需要在用户尝试呼叫远程对等点时启动。
使用同步和异步通信。对于异步通信,通常使用长通信距离
调制解调器。
使用异步通信。
从提供商处租用。使用现有电话线路。
需要同步设备。使用低成本的调制解调器。
需要大多数SPARC 系统中常见的同步端口。但是,同步端
口在x86 系统和较新的SPARC 系统中不常见。
使用大多数计算机中附带的标准串行接口。
租用线路PPP链路的各部分
请参见下图。
图15–3基本租用线路配置
租用线路链路包含以下部分:
两个对等点,每个对等点位于链路的一端。每个对等点可以是工作站或服务器。通常,
一个对等点充当其网络或Internet 与另外一个对等点之间的路由器。
PPP 配置和术语
362 系统管理指南:网络服务• 2006 年8 月
每个对等点上的同步接口。一些运行Solaris 软件的计算机需要购买同步接口卡(如
HSI/P)才能连接到租用线路。其他计算机(如UltraSPARC® 工作站)具有内置同步接
口。
每个对等点上的CSU/DSU 同步数字单元,用于将同步端口连接到租用线路。
根据所在地区,CSU 可能内置在DSU 中、由个人拥有或从提供商处租用。DSU 为
Solaris 计算机提供了标准的同步串行接口。通过帧中继,帧中继访问设备(Frame Relay
Access Device, FRAD) 可执行串行接口适配。
租用线路,用于提供交换式或非交换式数字服务。例如SONET/SDH、帧中继PVC 和
T1。
租用线路通信期间发生的操作
在大多数类型的租用线路中,对等点实际上不相互拨号。相反,公司购买租用线路服务在
两个固定位置之间显式建立连接。有时,位于租用线路两端的两个对等点处于同一公司的
不同物理位置。另外一种情况是公司在租用线路上设置用于连接到ISP 的路由器。
尽管硬连线的链路更容易设置,但租用线路通常没有拨号链路使用广泛。硬连线的链路不
需要聊天脚本。租用线路时,由于两个对等点可相互识别,通常不使用验证。两个对等点
启动基于链路的PPP 之后,该链路将保持活动状态。如果线路未失败,或任何一个对等点
未显式终止租用线路链路,该链路将会一直保持活动状态。
租用线路上运行Solaris PPP 4.0 的对等点使用与定义拨号链路相同的大多数配置文件。
启动基于租用线路的通信时,将发生以下过程:
1. 每台对等计算机都在引导过程中或在其他管理脚本中运行pppd 命令。
2. 对等点读取其PPP 配置文件。
3. 对等点协商通信参数。
4. IP 链路建立。
PPP验证
验证是检验用户是否是其声明的身份的过程。UNIX 登录序列是一种简单形式的验证:
1. login 命令提示用户键入名称和口令。
2. 然后,login 尝试在口令数据库中查找所键入的用户名和口令以验证该用户。
3. 如果数据库中包含该用户名和口令,则用户将通过验证并得到访问系统的权限。如果数
据库中不包含该用户名和口令,则将拒绝用户访问系统。
缺省情况下,Solaris PPP 4.0 在未指定缺省路由的计算机上不要求验证。因此,不包含缺省
路由的本地计算机不会验证远程呼叫者。相反,如果计算机定义了缺省路由,则计算机会
始终验证远程呼叫者。
对于设置连接到您计算机的PPP 链路的呼叫者,可以使用PPP 验证协议来检验其身份。相
反,如果本地计算机必须呼叫会验证呼叫者的对等点,则必须配置PPP 验证信息。
PPP 验证
第15 章• Solaris PPP 4.0(概述) 363
验证者和被验证者
由于呼叫者必须向远程对等点证明其身份,所以PPP 链路上的呼叫计算机被视为被验证
者。对等点被视为验证者。验证者将在安全协议的相应PPP 文件中查找呼叫者的身份,然
后确定是否对呼叫者进行验证。
通常为拨号链路配置PPP 验证。开始呼叫时,拨出计算机是被验证者。拨入服务器是验证
者。服务器中包含一个机密文件形式的数据库。此文件列出了被授予可设置连接到服务器
的PPP 链路权限的用户。这些用户被视为可信赖呼叫者。
一些拨出计算机要求远程对等点在响应拨出计算机的呼叫时提供验证信息。然后,它们的
角色将互换:远程对等点成为被验证者,而拨出计算机成为验证者。
注– PPP 4.0 不阻止租用线路对等点的验证,但租用线路链路中通常不使用验证。租用线路
合同的性质通常表示,线路两端的参与者可相互识别。两端的参与者通常是可信赖的。但
是,由于PPP 验证并不难于管理,所以应认真考虑实现租用线路的验证。
PPP验证协议
PPP 验证协议包括口令验证协议(Password Authentication Protocol, PAP) 和质询握手身份验证
协议(Challenge-Handshake Authentication Protocol, CHAP)。对于允许链接到本地计算机的每
个呼叫方,每一种协议都使用包含呼叫方的标识信息(或称为安全凭证)的机密数据库。
有关PAP 的详细说明,请参见第465 页中的“口令验证协议(Password Authentication
Protocol, PAP)”。有关CHAP说明,请参见第468 页中的“质询握手身份验证协议
(Challenge-Handshake Authentication Protocol, CHAP)”。
为什么使用PPP验证?
在PPP 链路上提供验证是可选操作。此外,尽管验证会检验对等点是否可信赖,但PPP 验
证不提供数据的机密性。为了保密,请使用加密软件,如IPsec、PGP、SSL、Kerberos 和
Solaris 安全Shell。
注– Solaris PPP 4.0 未实现RFC 1968 中说明的PPP 加密控制协议(Encryption Control Protocol,
ECP)。
请考虑在下列情况下实现PPP 验证。
您的公司接受来自基于公共交换式电话网络的用户的传入呼叫。
您的公司安全策略要求远程用户在通过公司防火墙访问网络或从事安全事务时提供验证
凭证。
您需要根据标准UNIX 口令数据库(如/etc/passwd、NIS、NIS+、LDAP 或PAM)对呼
叫者进行验证。对于此情况使用PAP 验证。
PPP 验证
364 系统管理指南:网络服务• 2006 年8 月
公司的拨入服务器还提供网络的Internet 连接。对于此情况使用PAP 验证。
串行线路没有位于链路任何一端的计算机或网络上的口令数据库安全。对于此情况使用
CHAP验证。
通过PPPoE 支持DSL用户
许多网络提供商和在家工作的个人使用数字用户线路(Digital Subscriber Line, DSL) 技术提供
快速的网络访问。为了支持DSL用户,Solaris PPP 4.0 包括了基于以太网的PPP (PPP over
Ethernet, PPPoE) 功能。借助PPPoE 技术,多个主机可以通过一个指向一个或多个目标的以
太网链路来运行PPP 会话。
如果您的情况符合下列之一,则应使用PPPoE:
支持DSL用户(可能包括您自己)。您的DSL服务提供商要求用户配置PPPoE 通道来接
收基于DSL线路的服务。
您的站点是计划用于向用户提供PPPoE 的ISP。
本节介绍与PPPoE 关联的术语和基本PPPoE 拓扑的概述。
PPPoE 概述
PPPoE 是RedBack Networks 的专有协议。PPPoE 为搜索协议,而不是标准PPP 的另一个版
本。在PPPoE 情况中,启动PPP 通信的计算机必须首先查找(或称为搜索)运行PPPoE 的
对等点。PPPoE 协议使用以太网广播包来查找对等点。
在搜索过程之后,PPPoE 通过启动主机(或称为PPPoE 客户机)设置连接到对等点(PPPoE
访问服务器)的基于以太网的通道。建立通道是在一种协议顶端运行另一种协议的做法。
使用PPPoE,Solaris PPP 4.0 可建立基于以太网IEEE 802.2 的PPP 通道,这两种协议都是数
据链路协议。产生的PPP 连接就像是PPPoE 客户机和访问服务器之间的专用连接。有关
PPPoE 的详细信息,请参见第473 页中的“创建PPPoE 通道以支持DSL”。
PPPoE 配置的各部分
PPPoE 配置中包括三个参与者:使用者、电话公司和服务提供商,如下图所示。
通过PPPoE 支持DSL用户
第15 章• Solaris PPP 4.0(概述) 365
图15–4 PPPoE 通道中的参与者
PPPoE 使用者
作为系统管理员,您可以帮助使用者配置其PPPoE。一种常见类型的PPPoE 使用者是需要
基于DSL线路运行PPPoE 的个人。另外一种PPPoE 使用者是购买DSL线路的公司,员工可
以通过该线路运行PPPoE 通道,如上图所示。
公司使用者使用PPPoE 的主要原因是通过高速的DSL设备向大量的主机提供PPP 通信。通
常,单独一台PPPoE 客户机具有一个DSL 调制解调器。或者,集线器上的一组客户机可以
共享一个DSL调制解调器,该调制解调器也通过以太网线路连接到集线器。
注– 从技术上讲,DSL设备是网桥而不是调制解调器。但是,由于常见做法将这些设备称为
调制解调器,所以本指南使用术语“DSL 调制解调器”。
通过PPPoE 支持DSL用户
366 系统管理指南:网络服务• 2006 年8 月
PPPoE 通过连接到DSL调制解调器的以太网线路上的通道运行PPP。该线路连接到分路
器,而分路器又连接到电话线。
电话公司的PPPoE
电话公司是PPPoE 方案的中间层。电话公司使用称为数字用户线路访问多路复用器(Digital
Subscriber Line Access Multiplexer, DSLAM) 的设备,对通过电话线路接收的信号进行分路。
DSLAM 将信号分离到独立的线路,模拟线路用于电话服务,数字线路用于PPPoE。通过
DSLAM,数字线路将基于ATM数据网络的通道扩展到ISP。
服务器提供商的PPPoE
ISP 通过基于网桥的ATM数据网络接收PPPoE 传输。在ISP 位置,运行PPPoE 的访问服务
器充当PPP 链路的对等点。访问服务器在功能上与图15–2 中介绍的拨入服务器非常类似,
但访问服务器不使用调制解调器。访问服务器将单个PPPoE 会话转换为常规IP 流量,如
Internet 访问。
如果您是ISP 的系统管理员,可能负责配置和维护访问服务器。
PPPoE 通道的安全性
PPPoE 通道实际上并不安全。您可以使用PAP 或CHAP为基于通道运行的PPP 链路提供用
户验证。
通过PPPoE 支持DSL用户
第15 章• Solaris PPP 4.0(概述) 367
368
规划PPP 链路(任务)
设置PPP 链路涉及一组独立的任务,其中包括规划任务以及与PPP 无关的其他活动。本章
介绍如何规划最常见的PPP 链路、如何规划验证以及PPPoE。
第16 章后面的任务章节使用配置样例说明如何设置特定链路。本章中介绍了这些配置样
例。
具体包含以下主题:
第370 页中的“规划拨号PPP 链路”
第373 页中的“规划租用线路链路”
第375 页中的“规划链路上的验证”
第379 页中的“规划PPPoE 通道上的DSL支持”
整体PPP规划(任务列表)
在实际设置链路之前,PPP 需要对任务进行规划。此外,如果要使用PPPoE 通道,还必须
首先设置PPP 链路,然后提供通道。以下任务列表列出了本章中讨论的大型规划任务。您
可能只需使用针对要配置的链路类型的常规任务。或者,可能需要执行针对链路、验证或
PPPoE 的任务。
表16–1PPP规划的任务列表
任务说明参考
规划拨号PPP 链路收集设置拨出计算机或拨入服务器需要的信
息
第370 页中的“规划拨号PPP 链路”
规划租用线路链路收集设置租用线路上的客户机需要的信息第373 页中的“规划租用线路链路”
规划PPP 链路上的验证收集在PPP 链路上配置PAP 或CHAP验证需
要的信息
第375 页中的“规划链路上的验证”
16 第1 6 章
369
表16–1 PPP规划的任务列表(续)
任务说明参考
规划PPPoE 通道收集设置可以运行PPP 链路的PPPoE 通道需
要的信息
第379 页中的“规划PPPoE 通道上的
DSL支持”
规划拨号PPP链路
拨号链路是最常用的PPP 链路。本节包含以下信息:
拨号链路的规划信息
第17 章中使用的链路样例说明
通常,只需配置拨号PPP 链路一端的计算机:拨出计算机或拨入服务器。有关拨号PPP 的
介绍,请参阅第359 页中的“拨号PPP 概述”。
设置拨出计算机之前
配置拨出计算机之前,请收集下表中列出的信息。
注– 本节中的规划信息不包括要收集的有关验证或PPPoE 的信息。有关验证规划的详细信
息,请参阅第375 页中的“规划链路上的验证”。有关PPPoE 规划的信息,请参阅第379
页中的“规划PPPoE 通道上的DSL支持”。
表16–2拨出计算机的信息
信息操作
调制解调器最大速度请参阅调制解调器制造商提供的文档。
调制解调器连接命令(AT 命令) 请参阅调制解调器制造商提供的文档。
用于链路另一端的拨入服务器的名称创建有助于标识拨入服务器的任何名称。
拨入服务器所需的登录序列与拨入服务器的管理员联系或参阅ISP 文档(如果拨入服务器
属于ISP)。
设置拨入服务器之前
配置拨入服务器之前,请收集下表中列出的信息。
规划拨号PPP 链路
370 系统管理指南:网络服务• 2006 年8 月
注– 本节中的规划信息不包括要收集的有关验证或PPPoE 的信息。有关验证规划的详细信
息,请参阅第375 页中的“规划链路上的验证”。有关PPPoE 规划的信息,请参阅第379
页中的“规划PPPoE 通道上的DSL支持”。
表16–3拨入服务器的信息
信息操作
调制解调器最大速度请参阅调制解调器制造商提供的文档。
允许呼叫拨入服务器的人员的用户名在设置预期用户的起始目录之前,获取这些用户的名称,如
第393 页中的“如何配置拨入服务器的用户”中所述。
用于PPP 通信的专用IP 地址从您公司中负责分派IP 地址的个人获取地址。
拨号PPP配置示例
第17 章中将介绍的任务可满足一家小型公司的需求,即允许员工在一周内有几天在家工
作。某些员工需要在其家庭计算机上安装Solaris OS。这些员工还需要远程登录到公司内联
网中的工作计算机。
这些任务可设置具有以下特性的基本拨号链路:
拨出计算机位于需要呼叫公司内联网的员工家中。
拨入服务器是公司内联网中配置为接收员工传入呼叫的计算机。
使用UNIX 样式登录验证拨出计算机。公司的安全策略不需要功能更强大的Solaris PPP
4.0 验证方法。
下图显示了第17 章中设置的链路。