规划拨号PPP 链路
第16 章• 规划PPP 链路（任务） 371
图16–1拨号链路样例
在此图中，某台远程主机使用电话线通过调制解调器拨叫Big Company 的内联网。另一台
主机已配置为拨叫Big Company，但当前处于不活动状态。远程用户的呼叫按与Big
Company 中的拨入服务器相连的调制解调器的接收顺序进行应答。对等点之间建立了PPP
连接。这样，拨出计算机就可以远程登录到内联网中的主机。
有关拨号PPP的更多参考信息
请参阅以下内容：
 要设置拨出计算机，请参见表17–2。
 要设置拨入计算机，请参见表17–3。
规划拨号PPP 链路
372 系统管理指南：网络服务• 2006 年8 月
 要获取拨号链路的概述，请参见第359 页中的“拨号PPP 概述”。
 要获取PPP 文件和命令的详细信息，请参见第445 页中的“在文件和命令行中使用PPP
选项”。
规划租用线路链路
设置租用线路链路涉及配置从提供商处租用的交换式或非交换式服务的一端中的对等点。
本节包含以下信息：
 租用线路链路的规划信息
 图16–2 中所示的链路样例说明
有关租用线路链路的介绍，请参阅第361 页中的“租用线路PPP 概述”。有关设置租用线
路的任务，请参见第18 章。
设置租用线路链路之前
如果您的公司租用网络提供商的租用线路链路，则通常只需配置您所在链路端的系统。链
路另一端的对等点由其他管理员维护。此管理员可以是公司远程位置的某个系统管理员，
也可以是ISP 的系统管理员。
租用线路链路需要的硬件
除链路介质外，您所在链路端还需要以下硬件：
 系统同步接口
 同步单元(CSU/DSU)
 您的系统
某些网络提供商的用户驻地设备(customer premises equipment, CPE) 中包括路由器、同步接
口和CSU/DSU。但是，必需设备随提供商和您所在地区的政府限制的不同而变化。如果所
需设备未随租用线路一起提供，则网络提供商可以提供此设备的相关信息。
要收集的租用线路链路信息
配置本地对等点之前，可能需要收集下表中列出的各项。
表16–4规划租用线路链路
信息操作
接口的设备名称请参阅接口卡文档。
规划租用线路链路
第16 章• 规划PPP 链路（任务） 373
表16–4 规划租用线路链路（续）
信息操作
同步接口卡的配置说明请参阅接口卡文档。配置HSI/P 接口时需要此信息。可能不需
要配置其他类型的接口卡。
（可选）远程对等点的IP 地址请参阅服务提供商文档。或者，与远程对等点的系统管理员
联系。仅当IP 地址未在两个对等点之间协商时，才需要此信
息。
（可选）远程对等点的名称请参阅服务提供商文档。或者，可与远程对等点的系统管理
员联系。
（可选）链路的速度请参阅服务提供商文档。或者，可与远程对等点的系统管理
员联系。
（可选）远程对等点使用的压缩请参阅服务提供商文档。或者，可与远程对等点的系统管理
员联系。
租用线路链路配置示例
第18 章中的任务说明如何实现一个中型组织(LocalCorp) 为其员工提供Internet 访问的目
标。当前，员工的计算机连接到公司的专用内联网。
LocalCorp 需要快速处理和访问Internet 上的许多资源。该组织与服务提供商Far ISP 签订合
同，以允许LocalCorp 设置其自己的连接到Far ISP 的租用线路。然后，LocalCorp 从一家电
话公司Phone East 租用T1 线路。Phone East 使用租用线路连接LocalCorp 与Far ISP。然后，
Phone East 为LocalCorp 提供已配置的CSU/DSU。
这些任务可设置具有下列特征的租用线路链路。
 LocalCorp 将一个系统设置为网关路由器，用于通过租用线路将包转发至Internet 上的主
机。
 Far ISP 也将一个对等点设置为路由器，用于连接客户的租用线路。
规划租用线路链路
374 系统管理指南：网络服务• 2006 年8 月
图16–2租用线路配置示例
在上图中，在LocalCorp 中设置了一台路由器以实现PPP。该路由器通过其hme0 接口与公司
内联网相连。第二个连接是通过计算机的HSI/P 接口(hihp1) 连接至CSU/DSU 数字单元。然
后，CSU/DSU 连接至已安装的租用线路。LocalCorp 管理员配置HSI/P 接口和PPP 文件。然
后，该管理员键入/etc/init.d/pppd 以启动LocalCorp 与Far ISP 之间的链路。
有关租用线路的更多参考信息
请参阅以下内容：
 第18 章
 第361 页中的“租用线路PPP 概述”
规划链路上的验证
本节包含有关提供PPP 链路上验证的规划信息。第19 章包含在您的站点中实现PPP 验证的
任务。
PPP 提供两种类型的验证：PAP（详见第465 页中的“口令验证协议(Password
Authentication Protocol, PAP)”）和CHAP（详见第468 页中的“质询握手身份验证协议
(Challenge-Handshake Authentication Protocol, CHAP)”）。
规划链路上的验证
第16 章• 规划PPP 链路（任务） 375
在链路上设置验证之前，必须选择最符合您站点的安全策略的验证协议。然后，为拨入计
算机或呼叫者的拨出计算机（或者两种类型的计算机）设置机密文件和PPP 配置文件。有
关为您的站点选择合适的验证协议的信息，请参见第364 页中的“为什么使用PPP 验证？
”。
本节包含以下信息：
 PAP 和CHAP验证的规划信息
 图16–3 和图16–4 中所示的验证方案样例说明
有关设置验证的任务，请参见第19 章。
设置PPP验证之前
在您的站点设置验证应该作为PPP 整体策略的一个不可或缺部分。实现验证之前，应组装
硬件、配置软件并测试链路。
表16–5配置验证之前的先决条件
信息参考
配置拨号链路的任务第17 章。
测试链路的任务第21 章。
您站点的安全要求您公司的安全策略。如果没有安全策略，则可通过设置PPP 验证
来创建安全策略。
有关在您的站点中使用PAP 还是使用CHAP的建议第364 页中的“为什么使用PPP 验证？”。有关这些协议的更多
详细信息，请参阅第465 页中的“验证链路上的呼叫者”。
PPP验证配置示例
本节介绍要在第19 章的过程中使用的验证方案示例。
 第376 页中的“使用PAP 验证的配置示例”
 第378 页中的“使用CHAP验证的配置示例”
使用PAP 验证的配置示例
第404 页中的“配置PAP 验证”中的任务说明如何在PPP 链路上设置PAP 验证。这些过程
使用为第371 页中的“拨号PPP 配置示例”中虚构的"Big Company"创建的PAP 方案作为示
例。
Big Company 希望其用户能够在家工作。系统管理员则希望为连接到拨入服务器的串行线路
提供一种安全解决方案。使用NIS 口令数据库的UNIX 样式登录已在过去为Big Company 的
网络提供了良好的服务。系统管理员希望对通过PPP 链路进入网络的呼叫使用类似于UNIX
的验证方案。因此，管理员可实现使用PAP 验证的以下方案。
规划链路上的验证
376 系统管理指南：网络服务• 2006 年8 月
图16–3 PAP验证方案示例（在家工作）
系统管理员可创建一个专用的拨入DMZ，它通过路由器与公司网络的其余部分隔开。术语
DMZ来自军事术语“非军事化区”。DMZ是为了安全而设置的一个隔离网络。DMZ通常包
含公司为公众提供的资源，如Web 服务器、匿名FTP 服务器、数据库和调制解调器服务
器。一般情况下，网络设计者会将DMZ放置在防火墙与公司的Internet 连接之间。
在图16–3 中，唯一的DMZ占用者是拨入服务器myserver 和路由器。设置链路时，拨入服
务器要求呼叫者提供PAP 凭证，包括用户名和口令。此外，拨入服务器还会使用PAP 的
login 选项。因此，呼叫者的PAP 用户名和口令必须与其在拨入服务器口令数据库中的
UNIX 用户名和口令完全相符。
建立PPP 链路之后，呼叫者的包将转发到路由器。然后，路由器将传输内容转发到其在公
司网络或Internet 上的目标。
规划链路上的验证
第16 章• 规划PPP 链路（任务） 377
使用CHAP验证的配置示例
第410 页中的“配置CHAP验证”中的任务说明如何设置CHAP验证。这些过程使用要为
第374 页中的“租用线路链路配置示例”中介绍的虚构LocalCorp 创建的CHAP方案作为示
例。
LocalCorp 通过连接到ISP 的租用线路提供与Internet 的连接。LocalCorp 中的技术支持部门
会产生巨大的网络通信流量。因此，技术支持部门需要拥有自己的隔离专用网络。该部门
的现场技术人员经常到处出差，他们需要从远程位置访问技术支持部门的网络以获取解决
问题的信息。为了保护专用网络数据库中的敏感信息，必须对远程呼叫者进行验证方可授
予登录权限。
因此，系统管理员可对拨号PPP 配置实现以下CHAP验证方案。
图16–4CHAP验证方案示例（呼叫专用网络）
技术支持部门网络与外界的唯一链路是连接到拨入服务器所在链路端的串行线路。系统管
理员可配置每位现场服务代表的膝上型计算机，以实现具有CHAP安全性（包括CHAP机
密）的PPP。在拨入服务器的chap-secrets 数据库中，包含允许呼入技术支持部门网络的所
有计算机的CHAP凭证。
规划链路上的验证
378 系统管理指南：网络服务• 2006 年8 月
有关验证的更多参考信息
请选择以下内容：
 请参见第404 页中的“配置PAP 验证”。
 请参见第410 页中的“配置CHAP验证”。
 请参见第465 页中的“验证链路上的呼叫者”和pppd(1M) 手册页。
规划PPPoE 通道上的DSL支持
某些DSL提供商要求您为站点设置PPPoE 通道，以便通过提供商的DSL线路和高速数字网
络运行PPP。有关PPPoE 的概述，请参见第365 页中的“通过PPPoE 支持DSL用户”。
PPPoE 通道包括三个参与者：使用者、电话公司和ISP。您可以为您公司的PPPoE 客户机使
用者、家中的使用者或ISP 服务器的使用者配置PPPoE。
本节包含有关在客户机和访问服务器上运行PPPoE 的规划信息。具体包括以下主题：
 PPPoE 主机和访问服务器的规划信息
 第380 页中的“PPPoE 通道配置示例”中介绍的PPPoE 方案说明
有关设置PPPoE 通道的任务，请参见第20 章。
设置PPPoE 通道之前
预配置活动取决于您是配置通道的客户端还是服务器端。无论哪种情况，您或您的组织都
必须与电话公司签订合同。电话公司为客户机提供DSL线路，以及为访问服务器提供某种
形式的桥接并可能提供ATM管道。在大多数合同中，电话公司都会在您的站点组装其设
备。
配置PPPoE 客户机之前
PPPoE 客户机实现通常包含以下设备：
 个体使用的个人计算机或其他系统
 DSL调制解调器，通常由电话公司或Internet 访问提供商安装
 （可选）集线器（涉及多台客户机时），适用于公司的DSL使用者
 （可选）分路器，通常由提供商安装
根据用户或公司的需求以及提供商提供的服务，可以使用许多不同的DSL配置。
规划PPPoE 通道上的DSL支持
第16 章• 规划PPP 链路（任务） 379
表16–6 规划PPPoE 客户机
信息操作
如果为个人或您自己设置家庭PPPoE 客户机，请获取
PPPoE 范围之外的任何设置信息。
请求电话公司或ISP 提供所需的任何设置过程。
如果在公司站点中设置PPPoE 客户机，请收集被指定
PPPoE 客户机系统的用户的名称。如果配置远程PPPoE
客户机，则您可能要负责提供有关添加家庭DSL设备的
用户信息。
请求公司中的管理人员提供已授权用户的列表。
查找PPPoE 客户机上的可用接口。在每台计算机上运行ifconfig -a 命令，以列出接口名称。
（可选）获取PPPoE 客户机的口令。请求用户提供其首选口令。或者，为用户指定口令。请注意，
此口令用于链路验证，而不用于UNIX 登录。
配置PPPoE 服务器之前
规划PPPoE 访问服务器涉及与电话公司合作，用于提供与其数据服务网络的连接。电话公
司将在您的站点上安装其线路（通常为ATM管道），并为访问服务器提供某种形式的桥
接。您需要配置以太网接口以访问公司提供的服务。例如，您需要配置用于访问Internet 的
接口，以及电话公司网桥的以太网接口。
表16–7 规划PPPoE 访问服务器
信息操作
用于数据服务网络中的线路的接口运行ifconfig -a 命令以标识接口。
PPPoE 服务器提供的服务类型请求管理人员和网络规划者提出要求和建议。
（可选）为使用者提供的服务类型请求管理人员和网络规划者提出要求和建议。
（可选）远程客户机的主机名和口令询问网络规划者和您站点中负责合同协商的其他人。主机名和
口令用于PAP 或CHAP验证，而不用于UNIX 登录。
PPPoE 通道配置示例
本节包含PPPoE 通道示例，用于说明第20 章中的任务。虽然下图中显示了通道的所有参与
者，但您只管理其中一端：客户端或服务器端。
规划PPPoE 通道上的DSL支持
380 系统管理指南：网络服务• 2006 年8 月
图16–5 PPPoE 通道示例
在该示例中，MiddleCo 希望为其员工提供高速Internet 访问。MiddleCo 从Phone East 处购
买DSL包，而Phone East 又与服务提供商Far ISP 签订合同。Far ISP 为从Phone East 处购买
DSL的客户提供Internet 和其他IP 服务。
PPPoE 客户机配置示例
MiddleCo 从为站点提供一条DSL线路的Phone East 处购买包。该包包含一条连接到
MiddleCo 的PPPoE 客户机ISP 的已验证专用连接。系统管理员用电缆将预期的PPPoE 客户
机与集线器相连。然后，Phone East 的技术人员用电缆将集线器连接到其DSL设备。
规划PPPoE 通道上的DSL支持
第16 章• 规划PPP 链路（任务） 381
PPPoE 服务器配置示例
为了实现FarISP 与Phone East 之间的业务安排，FarISP 的系统管理员需要配置访问服务器
dslserve。此服务器具有以下四个接口：
 eri0 －与本地网络连接的主网络接口
 hme0 －FarISP 用于为其客户提供Internet 服务的接口
 hme1 －MiddleCo 约定用于已验证的PPPoE 通道的接口
 hme2 －其他客户约定用于其PPPoE 通道的接口
有关PPPoE 的更多参考信息
请选择以下内容：
 请参见第418 页中的“设置PPPoE 客户机”。
 请参见第421 页中的“设置PPPoE 访问服务器”。
 请参见第473 页中的“创建PPPoE 通道以支持DSL”以及pppoed(1M)、pppoec(1M) 和
sppptun(1M) 手册页。
规划PPPoE 通道上的DSL支持
382 系统管理指南：网络服务• 2006 年8 月
设置拨号PPP 链路（任务）
本章介绍配置最常见的PPP 链路（即拨号链路）的任务。主要主题如下：
 第384 页中的“配置拨出计算机”
 第390 页中的“配置拨入服务器”
 第395 页中的“呼叫拨入服务器”
设置拨号PPP链路的主要任务（任务列表）
您可通过配置调制解调器、修改网络数据库文件以及修改表22–1 中描述的PPP 配置文件来
设置拨号PPP 链路。
下表列出了配置拨号PPP 链路两端的主要任务。通常，您只需配置该链路的一端，拨出计
算机或拨入服务器。
表17–1 设置拨号PPP链路的任务列表
任务说明参考
1. 收集预配置信息设置链路之前，收集所需数据，例如对
等主机名、目标电话号码和调制解调器
速度。
第370 页中的“规划拨号PPP 链路”
2. 配置拨出计算机在通过该链路进行呼叫的计算机上设置
PPP。
表17–2
3. 配置拨入服务器在接收传入呼叫的计算机上设置PPP。表17–3
4. 呼叫拨入服务器键入pppd 命令以启动通信。第395 页中的“如何呼叫拨入服务器”
17 第1 7 章
383
配置拨出计算机
本节中的任务说明如何配置拨出计算机。这些任务以图16–1 中介绍的从家中拨入方案为
例。您可以在将计算机提供给预期用户之前，在公司执行这些任务。或者，可以指导有经
验的用户设置其家庭计算机。设置拨出计算机的任何用户都必须对该计算机具有超级用户
权限。
配置拨出计算机的任务（任务列表）
表17–2设置拨出计算机的任务列表
任务说明参考
1. 收集预配置信息设置链路之前，收集所需数据，例如对
等主机名、目标电话号码和调制解调器
速度。
第370 页中的“规划拨号PPP 链路”
2. 配置调制解调器和串行
端口
设置调制解调器和串行端口。第385 页中的“如何配置调制解调器和串行端口
（拨出计算机）”
3. 配置串行线路通信配置串行线路的传输特征。第387 页中的“如何定义串行线路上的通信”
4. 定义拨出计算机与对等
点之间的会话
收集创建聊天脚本时使用的通信数据。第387 页中的“如何创建用于呼叫对等点的指令”
5. 配置有关特定对等点的
信息
配置用于呼叫单个拨入服务器的PPP 选
项。
第389 页中的“如何定义与单个对等点的连接”
6. 呼叫对等点键入pppd 命令以启动通信。第395 页中的“如何呼叫拨入服务器”.
拨号PPP模板文件
Solaris PPP 4.0 提供了模板文件。每个模板都包含特定PPP 配置文件的公用选项。下表列出
了可用于设置拨号链路的样例模板以及与其等效的Solaris PPP 4.0 文件。
模板文件PPP 配置文件参考
/etc/ppp/options.tmpl /etc/ppp/options 第449 页中的“/etc/ppp/options.tmpl
模板”
/etc/ppp/options.ttya.tmpl /etc/ppp/options.ttyname 第451 页中的“options.ttya.tmpl 模
板文件”
/etc/ppp/myisp-chat.tmpl 采用所选名称且用以包含聊天脚本的文
件
第457 页中的
“/etc/ppp/myisp-chat.tmpl 聊天脚本
模板”
配置拨出计算机
384 系统管理指南：网络服务• 2006 年8 月
模板文件PPP 配置文件参考
/etc/ppp/peers/myisp.tmpl /etc/ppp/peers/peer-name 第454 页中的
“/etc/ppp/peers/myisp.tmpl 模板文
件”
如果您决定使用其中一个模板文件，请务必将该模板重命名为与其等效的PPP 配置文件。
但聊天文件模板/etc/ppp/myisp-chat.tmpl 例外。您可以为聊天脚本选择任何名称。
配置拨出计算机上的设备
设置拨出PPP 计算机的第一个任务是配置串行线路中的设备：调制解调器和串行端口。
注– 适用于调制解调器的任务通常适用于ISDN TA。
执行下一过程之前，必须完成下列操作。
 在拨出计算机上安装Solaris 9 发行版或Solaris 10 发行版
 确定调制解调器的最佳速度
 确定所要使用的拨出计算机串行端口
 获取拨出计算机的超级用户口令
有关规划信息，请参见表16–2。

如何配置调制解调器和串行端口（拨出计算机）
对调制解调器进行编程。
虽然存在多种类型的调制解调器，但大多数调制解调器出厂时都具有正确的Solaris PPP 4.0
设置。以下列出了使用Solaris PPP 4.0 的调制解调器的基本参数设置。
 DCD－遵照载体说明
 DTR －设置得较低，以便调制解调器挂起，并使调制解调器处于挂机状态
 流控制－设置为RTS/CTS，以便进行全双工硬件流控制
 注意序列－禁用
如果在设置链路时遇到问题，并且怀疑调制解调器出现故障，请首先参阅调制解调器制造
商所提供的文档。此外，许多Web 站点都提供了有关调制解调器编程方面的帮助。最后，
您可以从第435 页中的“如何诊断调制解调器问题”中获得一些解决调制解调器问题的建
议。
将调制解调器电缆与拨出计算机的串行端口以及电话插口相连。

 

 

以上文章转自于 ： http://developers.sun.com.cn/