欢迎到
在上文里,我们介绍了广域网设置中DSL与ATM VC相关的选项含义与设置,在本文中,我们将介绍广域网设置中PPP设置相关的背景知识和设置选项。
PPP
在开始具体的设置之前,我们先来介绍一下有关PPP协议的内容,有助于我们更好地了解这个选项的内容。
PPP(Point-to-Point Protocol点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。 目前,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线,Asymmetrical Digital Subscriber Loop)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。
利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE既保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。同样,在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同;不同的是它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准。
通过PPP协议,可以用来在ISP和他们的客户之间,识别和控制不同通信的方式,包括:
①识别ISP提供给客户的服务类型。
②ISP通过一个注册的用户名的密码来识别客户。
③使得ISP能传送因特网信息到他们的用户计算机上。
当然,各地的情况不同,在某些地区可能你的ISP不一定使用的是PPP协议,如果各位在修改系统的缺省设置来连接ISP服务器时出现了某些问题,那请问询问ISP实际的情况。
点击“广域网”标签下的“PPP”选项后,则在该页的内容有:查看当前PPP配置、添加PPP接口定义、查看PPP接口的详细资料、修改和删除PPP接口。
(一)、查看当前PPP配置
在“PPP 设置”页面上显示一个有关我们modem的PPP设置的基本信息的表。
PPP是作为与ADSL Modem端口相关的一组软件设置值,尽管ADSL Modem只有一个物理端口,但modem可以被定义为不止一组PPP设置值。每一个组设置值被称为一个PPP接口,并被赋予一个特定的接口名,例如ppp-0, ppp-1等等
在“PPP 设置”页面(图24)中,我们可以配置以下设置:
①Inactivity TimeOut(mins)(超时停止):在指定时间内没有数据传输会断开连接。
②忽略广域网到局域网的流量:当使用这个选项时,在输入方向――从广域网端口到局域网端口的数据通信量将不再作为广域网端口的活跃数据统计,即使用这个选项能让ADSL Modem如果在指定时间内没有任何活动的连接将会被断开。
rt
图24:PPP设置
在页面中,PPP 设置表中还有以下的项目需要解释一下:
①接口:预设PPP接口的名称。
②Vcc:哪一些PPP数据在VC上被传送,VC识别从你的ISP上获得数据的物理路径。更多信息请看“配置ATM VC”中有关详细内容。
③IPF Type(IPF,Interface Firewall protections,防火墙保护接口):防火墙保护接口类型,有三个选项可供选择,Public(公共)、Private(私用)或DMZ(中间区):
○Public,该接口连接到因特网上(PPP接口是典型的公共类型),在Public接口上接收的数据包受到在系统中所设置防火墙保护规则的最严格的限制。
○Private,为你局域网中私用接口,如以太网接口,在私用接口上接收信息包受到较少的保护限制,因为它们是在网络内部交换的。
○ DMZ(de-militarized zone 中间区),指计算机在访问因特网上时它可以访问公网和内网的信息(例如一台局域网中的公用服务器),输入中间区接口不管是局域网内的还是外面送来的信息包受到防火墙保护设置的限制介于公共和私用接口的限制之间。
④协议:所使用PPP协议的类型,你的ISP可能使用PPPOE(PPP-over-Ethernet)或者PPPOA(PPP-over-ATM)协议。
⑤广域网IP:你的ISP分配到你的广域网(DSL)端口的当前IP地址。例如笔者的是需要拨号的动态IP形式,则在拨号之前,这显示的是为0.0.0.0,如果拨号成功后,将会显示从ISP处获得的IP地址。
⑥网关IP:在你ISP的服务器上允许你访问因特网的IP地址。如果在没有拨号之前,该项也是0.0.0.0,拨号成功后,会显示为你的计算机所获取的IP地址。
⑦缺省路由:指不论ADSL是否使用分配给它的IP地址作为它的默认路由,有两个选项值Enable和Disable,我们一般都选择打开此项选择。详看“配置IP路由”中有关缺省路由的详细说明。
⑧启用Dhcp:当设为启用时,ADSL会从ISP处的DHCP服务器获得附加的IP信息,PPP连接本身就获得了设备的IP地址,子网掩码,DNS地址和缺省网关地址。如果启用DHCP,则ADSL会为其他不同类型服务获得IP地址(如SMTP、POP3等,这些服务类型在“DHCP服务器配置”页面上有列出的)。
⑨启用DNS:当设为启用时,DNS地址通过PPP连接取得,并发布到通过该设备的DHCP服务功能而获取得到IP地址的客户端计算机中,这个选项只用在把ADSL设置成为你局域网中的一台DHCP服务器时才可启用,当禁用时,局域网中的计算机会使用在DHCP地址段(详看“配置DHCP服务器”)中的和DNS特性中预设的DNS地址。
⑩运行状态 :指当前的PPP连接是正在连接之中,或是处于断开状态,抑或是一种特殊类型的数据交换正在进行中(如密码认证或DHCP)
⑾操作:提供三个图标,你可以点击相应的图标来修改( ),删除( )或查看( )其它有关PPP接口的详细资料。
(二)、查看PPP接口详细资料
我们可以在“PPP配置表”点击 查看有关在PPP接口设定的详细资料,系统会弹出“PPP接口 - 详细”页面(图24所示),上显示以下的一些附加项目(与上面重复的项目在这里就不再了,请各位看上面的相关说明)
①状态:指不论这个接口在系统中是否被指定,会有如下三种不同的状态显示:
○启用:当ADSL被打开或重启时都会为用户建立一个连接。
○禁用:PPP接口在当前不能使用。
○开始传送数据:仅在当数据被送到接口时才建立PPP连接(举例来说当一个局域网用户正试图使用因特网时)
②服务器名:你正在使用PPP连接的ISP服务器名,ISP可能提供不同类型的服务(如在线游戏或商业通信),每个服务都需要一个不同的注册信息和其它的连接方式 (这个选项适用于PPPOE接口而不适用在PPPOA接口)。
③上次失败原因:指上次结束PPP通信的原因。
⊙No Valid PADO Recvd(无法接收PADO):一开始PPPOE连接就没法收到ISP响应的数据包。
⊙No Valid PADS Recvd(无法接收PADS):在建立初始化后设备无法收到来自ISP的确认信息包。
⊙Stopped by User(用户自行断开):用户断开连接(例如修改PPP接口设定)。
⊙No Activity(无法激活):PPP连接超时,指在PPP配置页上指定的时间内仍没有建立起连接。
⊙Auth Failure(登录失败):因用户名和密码不符而被ISP拒绝建立连接。
⊙PADT recvd(接收到PADT):ISP发送来一个特殊类型数据包来终止PPP连接。
⊙VC down(VC关闭):因为设备和ISP间的VC(虚拟电路)被关闭了。
⊙Internal failure(内部失败):系统软件丢失造成的。
④DNS: 使用在这个PPP连接的DNS服务器的IP地址(依赖于不同ISP,会显示不同的地址)。连接正常后会显示正确的DNS服务器地址,否则都是0.0.0.0。
⑤SDNS:使用在这个PPP连接的备用DNS服务器的IP地址(依赖于不同ISP,会显示不同的地址)。也与前面的DNS服务器地址一样,要连接正常后才会显示。
⑥安全协议: 在这个PPP连接中使用的PPP安全类型。可能是PAP(Password Authentication Protocol 口令验证协议)或CHAP(Challenge Handshake Authentication Protocol,挑战-握手验证协议)。
⑦注册名:在每次PPP连接被建立时,你用来登录到ISP的用户名。
图24:PPP接口的详细资料
小知识:
口令验证协议(PAP):PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
挑战-握手验证协议(CHAP):CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
挑战-握手验证协议(CHAP):CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
图25:添加一个PPP接口
(四)、修改和删除PPP接口
要修改一个PPP接口,可在“PPP 设置”页面上的“操作”栏中点击 图标来修改某个PPP接口,这时会弹出一个“PPP接口 - 修改”页面(图26所示)。在其中你仅可以修改PPP连接的状态项,安全协议,你的注册用户名和密码。但如果要修改其它的设置则你必须删除这个接口来创建一个新的PPP接口。
要删除一个PPP接口,可在“PPP 设置”页面上的“操作”栏中点击 图标来删除某个PPP接口。在删除一个PPP接口之前,请一定要小心,除非确认这个接口你已不再使用了。如果没有一个合适的PPP接口,那将不能连接到因特网上。在删除了一个接口后,我们就可使用与这个接口名称相同的名字来创建一个新的PPP接口了。
在完成修改或删除PPP接口后,点击“提交”按钮,就可完成了。
图26:修改一个PPP接口
在下一篇文章里,我们将继续介绍广域网设置的其它选项。
