内部资料,未经授权严禁外传内部资料,未经授权严禁外传
DCN-ROUTE-005DCN-ROUTE-005
链路层协议PPP
V1V1..00
客服中心技术支持团队客服中心技术支持团队
目录目录
概述
PPP 原理
PPP 应用
实验与练习
小结
什么是什么是PPPPPP协议协议
什么是PPP 协议
Point to Point 点对点协议
被设计为在两点间的简单链路上传输IP层数据包的链路层协议
应用层
表示层
会话层
传输层
网络层
链路层
物理层
PPP
为什么会有为什么会有PPPPPP协议协议
为什么会有PPP 协议
需要一种可以将IP数据包封装到串行链路的链路层协议.
网络层 IP数据包
链路层
物理层 串行链路
PPPPPP的用途的用途
PPP提供了在点对点连接上传输多协议数据包的最标准方法。
广泛的应用于各个方面,是众多通信协议的基础
1、数字同步链路
SDH-----E1/POS/CPOS DDN ISDN
2、异步串行链路
PSTN
3、ADSL上网需要用PPPoE协议,而PPPoE是以太网上的PPP
PPPoE-----PPP over Ethernet
4、L2TP、PPTP依靠底层PPP协议完成接入认证,提供隧道的点对点特性
其他链路层协议的特点其他链路层协议的特点
其他链路层协议的特点
• HDLC
简单高效
只支持同步传输方式
各厂商的HDLC有各自的标准,难以兼容互通
缺乏相关安全机制,不适于广域网传输
• FR、
点对多点的应用模式,使用、DLCI等逻辑
地址来区分多个网点
目前这两种协议已经日趋被取代和淘汰
PPP PPP 协议的特点协议的特点
PPP 协议的特点
协议机制完善
链路能力自协商 网络层支持 链路状态检测
可支持承载多种网络层协议
可封装IP 、 IPX等网络层协议
网络层 IP IPX DECnet Appletalk
链路层 PPP
物理层
PPPPPP协议特点协议特点
PPP 协议特点(续)
通用性
工业标准,各厂商间可以互通,有标准的RFC
可选择的认证方式
PAP、CHAP、MS-CHAP等
网络层协商
用独立于所使用的网络层协议的方法来商议使用网
络层的哪些选项,可以对网络层地址进行协商
支持多链路捆绑
可将多条串行链路捆绑在一起使用
目录目录
概述
PPP 原理
PPP 应用
实验与练习
小结
PPP PPP 协议原理协议原理
PPP 协议的封装
protocol
1-2个字节,依靠其数值识别被封装在information区域的内容
information
其内容由protocol区域的数值决定
padding
用来补足information区域的长度直至满足MRU*
PPP PPP 协议原理协议原理
PPP 协议的封装
protocol的取值:
0021-IP报文
C021-LCP帧
用来完成链路的建立,维护及终止.
C023-PAP帧
可选认证协议,具体由LCP决定
C223- CHAP帧
可选认证协议,具体由LCP决定
8021-IPCP帧
用来进行双方IP地址和路由信息的协商
PPP PPP 协议原理协议原理
PPP 的状态转换
PPP PPP 协议原理协议原理
PPP 的状态转换(续)
链路死亡状态
• 链路开始和结束于这个状态.
• 当一个物理接口UP时,PPP脱离该状态进入链路建立状态.
链路建立状态
• 在这个状态PPP通过发送和接收链路配置报文(LCP报文),协商
具体的参数选项.
• 当双方协商完成后,该状态结束, 进入认证阶段.
• 如果线路中断或者配置失效将返回死亡状态.
PPP PPP 协议原理协议原理
PPP 状态转换(续)
认证状态
• 若需要认证则使用CHAP或者PAP协议,进行认证协商.
• 若不需要认证则直接进入网络层协议配置状态
• 认证失败则进入链路中止状态
网络层协议配置状态
• 每一种网络层协议需要单独建立和配置一个NCP协议(如
IPCP协议).
• NCP协商通过后链路可以进行网络报文的通信.
• 不成功则关闭链路,进入链路终止状态.
PPP PPP 协议原理协议原理
PPP 状态转换(续)
链路终止状态
• 由于链路失效,认证失败,管理员关闭链路等原因,
随时可以进入链路终止状态.
• 该状态随即会站入链路死亡状态.
PPP PPP 协议原理协议原理
PPP 的主要协议
链路建立阶段(LCP)
可选认证阶段(CHAP/PAP)
网络层协商阶段(NCP)
DEAD
LCP OPEN
CHAP/PAP OPEN
PROTOCOL OPEN
NCP OPEN
ADD PEER INTO
ROUTE TABEL
PPP PPP 协议原理协议原理
LCP协商过程
所谓协商,就是link configuration packet报文的交互
双方互相发送Config Request,若同意CONFIG中的协商参数,则
回复Config ACK
一端收到对方的ACK后,进入LCP OPEN状态
双方的协商相对独立,一方收到自己REQ的ACK后即认为LCP
OPEN
PPP PPP 协议原理协议原理
LCP协商过程(续)
双方互相发送Config Request,接收方若不同意对方的协商
参数,可以使用NAK回复对方自己不同意的选项并包含自己
同意的参数
收到NAK后,在下一次的CONFIG REQ中,将NAK中所提到
的选项填入NAK中的参数
PPP PPP 协议原理协议原理
链路终止
Terminate-Request & Terminate-ACK
• LCP包含链路终止报文来中断连接
• 当一端接收到Terminate-Request后必须回复
Terminate-ACK,同时中断连接
PPP PPP 协议原理协议原理
链路维护
Echo-Request & Echo-ACK
• 检测物理链路是否中断
• 使用LCP协商时确定的MAGIC NUMBER,检测是否有环
路
• 只有在LCP OPEN状态,收到的Echo报文才是有效的,否
则会被丢弃
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段
PAP
• Password Authentication Protocol
CHAP
• Challenge Handshake Authentication Protocol
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段—PAP
如果在LCP的协商中,任意一端要求使用PAP认证,则当LCP协商结
束后,双方进入PAP认证阶段
Peer使用明文将用户名与密码发送给要求认证的authenticator端
如果认证通过,authenticator回复Success,反之回复Failure
PAP认证只在链路的建立阶段进行认证
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段--CHAP
如果在LCP协商中,任意一端要求CHAP认证,则在LCP协商结束后,
双方进入CHAP认证阶段
双方通过以下报文的交互,完成CHAP认证
• Challenge报文
• Response报文
• Success报文
• Failure报文
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段—CHAP(续)
CHAP认证流程
• 进入CHAP认证后,要求认证端成为
authenticator
• authenticator向peer端发送challenge报文
• Peer收到challenge报文后,使用收到的随机
数+标识符+收到的用户名在本地数据库中所对
应的密码,使用MD5计算出HASH值,并向
authenticator回复response报文
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段—CHAP(续)
CHAP认证流程(续)
• authenticator收到response后,使用相同的随机数+标识
符+收到的response中的用户名在本地数据库中所对应的
密码,进行MD5计算.
• 将计算得到的HASH值与收到的response中的HASH值进
行对比,完全相同的话回复success.不相同的话回复
failure.
• 整个过程中challenge , response , success以及failure
的identifier值必定相同,如果不相同,报文会被丢弃.
PPP PPP 协议原理协议原理
PPP 协商的可选认证阶段—CHAP(续)
CHAP认证的优点
• 链路上只传输HASH加密值,不传输密码,密码
非常安全
• 在链路建立后还要随机进行认证,如果失败将随
时切断连接,持续地保证了连接的安全性
PPP PPP 协议原理协议原理
Network Control Protocol
将自己的IP地址装入NCP REQ中发送给对方
收到对方的NCP REQ并可以接收其中地址,则回复NCP ACK
收到对方回复的NCP ACK,认为NCP协商完成,将对方的地址加入路
由表
PPP PPP 协议原理协议原理
Network Control Protocol(续)
当B端为A端指定了地址并收到了对方的NCP REQ时,会返回NAK
,其中包含了B为A所指定的地址
A收到后,将使用该地址再次发送NCP REQ
通常使用NCP的该特点为对端配置地址
目录目录
概述
PPP 原理
PPP 应用
实验与练习
小结
PPP PPP 协议应用协议应用
ISDN拨号上网
ISDN是一种拨号连接进入internet的方式,其中综合调用了PPP
协议中最常见的若干功能
• 认证
• 地址协商
• 多链路捆绑
PPP PPP 协议应用协议应用
认证的实际应用
PPP的认证功能存在两种应用
• 通过与认证服务器的配合使用,使得ISP可以核实用户的身份,
并进行相关的计费(按时、按流量)
PPP PPP 协议应用协议应用
地址协商的实际应用
现今,由于网络的普及,网络接入者持续增多,公网IP地址极度
缺乏,如何合理地使用IP地址成为了服务提供商的难题
网络接入者虽然很多,但实际上他们同时的同时接入率并不是很
高,如果可以由ISP为他们动态的提供地址,将很大程度上提高地
址的使用效率,一定程度上解决IP地址匮乏的问题
PPP的IP地址协商功能,可以让ISP动态地为接入者提供地址
同时,可以也可以减少用户需要设置的内容,使哟还能够户使用
更加方便
PPP PPP 协议应用协议应用
PPP Multilink实际应用
该功能可以将多条串行链路捆绑成为一条虚拟的逻辑链路来进行
使用,让用户扩充带宽变得非常简单
在ISDN中,该项技术使用非常普遍。用户可以使用Multilink将两
条64K带宽的链路捆绑为一条128K带宽的链路来使用。
PPP multilink实际上是PPP的一种扩展应用。
PPP PPP 协议应用协议应用
PPP 协议的衍生
VPDN:L2TP、PPTP
使用PPP的认证功能,从而保证VPN遂道建立时的安全性.
使用PPP协商、配置数据链路/网络层信息(地址、DNS、路由
等信息协商、下发)
维持数据模型的点对点特性。
PPPoE
使用PPP的认证功能来实行帐号管理及收费.
使用PPP为对端分配地址的功能来使用户自动获取IP地址.
维持数据模型的点对点特性。
目录目录
概述
PPP 原理
PPP 应用
PPP 配置与实验
小结
PPP PPP 配置与实验配置与实验
PPP 简单配置实验
实验目的:掌握PPP协议的简单配置.
• 两台设备的Serial0/2使用CR-V35MT (直通)
CR-V35FC(交叉)线缆背靠背连接
PPP PPP 配置与实验配置与实验
第一步: PPP 的接口配置
(1) 设定接口时钟方式
背靠背环境一端作为DCE一端作为DTE
CR-V35MT连线一端为DCE,需设置时钟速率
config# interface <type> <number>
config_if# physical speed 115200
(2) 封装PPP
config# interface <type> <number>
config_if# encapsulation ppp
(3) 设置IP地址
config# interface <type> <number>
config_if# ip add *.*.*.* *.*.*.*
PPP PPP 配置与实验配置与实验
第二步: PPP 的认证配置 ----认证核心端
(1) 在全局模式下激活AAA认证
方式一: 使用本地数据库认证
config# aaa authentication ppp default local
方式二: 使用认证服务器认证
config# aaa authentication ppp default group radious
(2) 本地认证数据库配置
config# username *** password ***
PPP PPP 配置与实验配置与实验
第二步: PPP 的认证配置 ----认证核心端
方式一: CHAP认证
config_if# ppp authentication chap
config_if# ppp chap hostname ***
方式二: PAP认证
config_if# ppp authentication pap
PPP PPP 配置与实验配置与实验
第三步: PPP 的认证配置 ----远端
(1) 本地认证数据库配置
config# username *** password ***
(2) PPP的认证配置
方式一: CHAP认证
config_if# ppp chap hostname ***
方式二: PAP认证命令
config_if# ppp pap sent-username *** password ***
PPP PPP 配置与实验配置与实验
PPP 的认证配置(续)
认证数据库对应关系
ROUTER A ROUTER B
使用PAP认证
SENT-
USERNAME a b
SENT-
PASSWORD DCN DCN
使用CHAP认证 HOSTNAME a b
本地数据库的配置
USERNAME b a
PASSWORD DCN DCN
PPP PPP 配置与实验配置与实验
第四步: PPP 地址协商配置(可选)
地址分配者:
• 为对端分配地址命令格式
config_if# peer default ip address [] [pool] [dhcp]
• 在全局模式下创建地址池为地址协商所调用:
config# ip local pool PPOOL N
地址获得者:
• 在端口下将地址设定为协商
config_if# ip address negotiated
PPP PPP 配置与实验配置与实验
第五步: PPP 邻居路由配置(可选)
在PPP的原理中曾经提到,在NCP协商成功时会将
对端邻居的主机路由信息加入本地路由表。
实际上可以通过关闭邻居路由,拒绝将对端加入路
由表
[no] peer neighbor-route
PPP PPP 配置与实验配置与实验
PPP 状态察看
可以通过对PPP状态的观察来确认PPP协商所处的状态.
show ppp status
其中PPP状态信息中指明了使用PPP协议的端口总数,以及UP/DOWN
的端口口数及其详细信息,包括端口名称,编号,类型,状态,以及死亡/活
跃时间.
PPP PPP 配置与实验配置与实验
PPP 状态察看
可以通过对串口的状态的观察来确认PPP协商所处的状态.
show interface [serial] [async] n/m
其中LCP,PAP(或其他认证协议),IPCP的状态,指明了PPP协商所处的
阶段以及其具体状态.
PPP PPP 配置与实验配置与实验
PPP 协商过程的跟踪
可以通过对协商的跟踪来更清楚,详细,直观地了解我们公司所
做的PPP的工作流程.
跟踪协商过程的命令格式:
debug ppp negotiation
也可以单独跟踪PPP认证的过程:
debug ppp authentication
PPP PPP 配置与实验配置与实验
PPP 简单配置实验
实验目的:掌握PPP协议的简单配置.
• 照图配置,使路由器AB能互相PING通.
PPP PPP 配置与实验配置与实验
PPP 的认证
实验目的:掌握PPP中认证的配置方法.
• 使用PAP认证/CHAP认证,尝试一方要求认证/双方要求认
证,要求AB PING通.
• 扩展:在双向认证时,使用PAP认证,双方所使用的密码可以
不一样吗?CHAP呢?
PPP PPP 配置与实验配置与实验
PPP 地址协商
实验目的:了解地址协商做了些什么,能做些什么.
• 不在A的S0/2口内配置ip add mask . 用地址分发
的方法实现下图拓扑,并保证AB可以互相PING通.
• 说出在你所完成的配置中,A可以使用的地址范围,以及为什
么.
目录目录
概述
PPP 原理
PPP 应用
实验与练习
小结
小结小结
本章小结
掌握PPP协议协商的流程
掌握PPP协议的LCP报文的类型及作用
掌握PPP协议的认证协议
掌握PPP协议的NCP的过程
了解PPP协议的应用范围
谢谢大家,更多详情请登陆 ...
