PPP协议及验证机制

ppp合同及验证机制

PPP合同(Point-to-PointProiocol)是一种数据链路层

合同，它是为在同等单元之间传播数据包这样曰勺简朴链路而设计的。

这种链路提供全双工操作，并按照顺序传递数据包。PPP为基于多种

主机、网桥和路由器的简朴连接提供一种共通的解决方案。道

PPP合同涉及如下三个部分：

门.数据帧封装措施。2a.链路控制合同LCP(LinkCont

rolProtocol):它用于对封装格式选项的自动协商，建立和终结连

接，探测链路错误和配备错误。

3.针对不同网络层合同的)一族网络控制合同NCP(Network

ControIProtocoI):PPP合同规定了针对每一种网络层合同

均有相应的;网络控制合同，并用它们来管理各个合同不同的)需求。a

PPP合同简介*14.PPP数据帧封赛

PPP合同为串行链路上传播时数据报定义了一种封装措施，它基

于高层数据链路控制(HDLC)原则。PPP数据帧的格式如图1所

7J\o

标上地址控制标上

协议致械(〈IS0O字1*)CRC

7EFF037E

aPPP帧以标

志字符01111110开始和结束，地址字段长度为1字节，内容为

原则广播地址11111111,控制字段为CO000011o合同字段

长度为2个字节，其值代表其后的数据字段所属的网络层合同，如:OxO

021代表IP合同，OxC021代表LCP数据,0x8021代表NCP数

据等。数据字段涉及合同字段中指定的合同的数据报，长度为0-15

00字节。CRC字段为整个帧时循环冗余校验码，用来检测传播中

也许浮现的数据错误。

会虽然使用所有的帧头字段,PPP合同帧也只需要8个字节

就可以形成封装。如果在低速链路上或者带宽需要付费的状况下,PPP

合同容许只使用最基本的字段,将帧头的开销压缩到2或4个字节时

长度,这就是所谓的PPP帧头压缩。

2*.PPP回话的四个阶段

一次完整的PPP回话过程涉及四个阶段：链路建立阶段、拟定链

路质量阶段、网络层控制合同阶段和链路终结阶段(如图2所示)。

1.a,IFAB,~1

DOWNr——[CLOSING-

-------------------Hit1———Wrtk

--------：一------：―------一4(1)链路建立阶段：PPP

通信双方用链路控制合同互换配备信息，一旦配备信息互换成功，链

路即宣布建立。配备信息一般都使用默认值，只有不依赖于网络控制

合同日勺配备选项才在此时由链路控制合同配备。值得注意的是，在链

路建立的过程中，任何非链路控制合同的包都会被没有任何告示地丢

弃…

(2)链路质量拟定阶段:这个阶段在某些文献中也称为链路认证

阶段。链路控制合同负责测试链路的质量与否能承载网络层的合同。

在这个阶段中，链路质量测试是PPP合同提供的一种可选项,也可不

执行。同步，如果顾客选择了验证合同，验证的过程将在这个阶段完

毕。PPP支持两种验证合同:密码验证合同(PAP)和握手鉴权合

同(CHAP)…④(3)网络层控制合同阶段:PPP会话双方完

毕上述两个阶段的操作后,开始使用相应的网络层控制合同配备网络

层的)合同，如：IP、IPX等。

(4)链路终结阶段：链路控制合同用互换链路终结包的措施终

结链路。引起链路终结的因素诸多:载波丢失、认证失败、链路质量

失败、空闲周期定期器期满或管理员关闭链路等。

3.PPP合同中的验证机制

验证过程在PPP合同中为可选项。在连接建立后进行连接者身

份验证的目的是为了避免有人在未经授权的状况下成功连接，从而导

致泄密。PPP合同支持两种验证合同：

4(1)口令验证合同(PAP):口令验证合同的原理是由发起

连接时一端反复向认证端发送顾客名/口令对,直到认证端响应以验

证确认信息或者回绝信息。

A(2)握手鉴权合同(CHAP):CHAP用三次握手的措施

周期性地检核对端的节点。其原理是:认证端向对端发送“挑战”信

息，对端接到“挑战”信息后用指定的算法计算出应答信息然后发送

I狼人◊一传说

SC/O

SO/1

2621X

10.1.1.0/30R3

101.2.0/30

S0/0

S0/0

262txM

fjlF0/0262。

192.168.2.0/24

I19Z.168.1.0/Z4F0/0RZ

iPC-PT

PCOb

PC-PT

PCI

A

图3路由器与路由器的互联AA两个路由器之间有两条链

路，分别运营PPP合同，其中一条链路使用CHAP认证，另一条采

用PAP认证。

1.路由器PPP封装配备

在端口模式下：

AA(config-if)#encopsulationppp//在路由器

A的SO、SI端口分别启动PPP合同。

B(config-if)#encapsulationppp〃在路由器B的SO、

SI端口分别启动PPP合同。*

2.配备PPP认证使用的顾客名和密码

4A(config)#usornamoBpasswordcisco〃为路由

器B设立一种顾客名和口令。

*B(config)#usernomeApasswordcisco〃为路由

器A设立一种顾客名和口令。*a3.配备PAP认证

会在路由器A、B的S1端口上：

4A(config-if)#pppauthenticationpap^

B(config-if)#pppauthenticationpap

A需要阐明的是，在Cisc。IOS11.1或更高的版本中，如

果路由器发送(或响应)PAP消息(或祈求)，则必须在指定接口上使用

PAP合同。n&单向认证：例如A向B发出认证祈求，那么

只在A上配备即可B不用额外配备。x总A(config-i

f)#ppppapsent-usernameBpasswordcisco*

双向认证:A和B双方要互相认证，那么A、B都要配备。aa

A(config-if)#ppppapsent-usernameBpassword

cisco

B(config-if)#ppppapsent-usernameA

passwordcisca

4.配备CHAP认证

a在路由器A、B的］S0端口上：aaA(config-if)#

pppauthenticationchap^

B(config-if)#pppauthenticctionchap

基于PT5的PPP认证配备实验拓扑图

一、实战配备CHAP

配备R1的CHAP：ARouter(config)#hostnameR1

R1(config)#usernameR3passwordcisco

RI(config)#intsO/OaRI(config-if)#clockrate6400

ORI(config-if)#ipaddr.1255.255.255.252AR](c

onfig-if)#noshut

Rl(config-if)#intf0/0

RI(config-if)#ipaddr192.168.1.1255.255.255.

0AR1(config-if)#noshut

R1(config)#routerospfURI(config-router)#n

etwork192.168.1.10.0.0.255areaORI(config-rou

ter)#network10.1.1.00.0.0.3areaOH1(config)#int

sO/OR1(config-if)#encapsulationppp^RI(config

-if)#pppauthenticationchap

配备R3的CHAP:

Router(config)#hostnameR3会R3(config)#use

rnomeR1posswordcisco

R3(config)#usernameR2passwordcisco

R3(config)#ints0/0

R3(config-if)#ipaddr.2255.255.255.252

R3(config-if)#noshuhR3(config-if)#intsO/l^

R3(config-if)#ipaddr10.1.2.1255.255.255.

252

R3(config-if)#noshubR3(config)#routerospf

□R3(config-router)#network10.1.1.00.0.0.3ar

ea0

R3(config-router)#networkIC.1.2.00.0.0.3area

OR3(config)#ints0/0

R3(config-if)#encapsuIationppp

R3(config-if)#pppauthenticationchap

R3(config)#ints0/1

R3(config-if)#encapsulationppp

R3(config-if)#pppauthenticationchap

配备R2的CHAP：

Router(config)#hostnameR2^R2(config)#username

R3passwordciscosR2(config)#ints0/0

R2(config-if)#clockrate640OOR2(config-if)#ipa

ddr.2255.255.255.252^R2(config-if)#noshut

R2(config-if)#intf0/OR2(config-if)#ipaddr192.16

8.2,1255.255.255.0R2(config-if)#noshut

R2(config)#routerospfSR2(config-router)#ne

twork192.168.2.10.0.0.255areaR2(config-

router)#network10.1.2.00.0.0.3areaOR2(conf

ig)#intsO/OAR2(config-if)#encapsulation

pppAR2(config-if)#pppauthenticationchap

二、实战配备PAP

清除掉刚刚的CHAP配备或者使用Router(config-if)#noenca

psuIationppp将HDLC封装合同还原。

配备RI的PAP:

RI(config-if)#noencapsulationppRout

er(config)#hcstnomeRI

R1(config)#usernameR3passwordcisco

RI(config)#ints0/0

RI(config-if)#encapsulationppQRI(config-i

f)#pppouthenticationpap

RI(config-if)#ppppapsent-usernameR1pass

wordcisco

配备R3的PAP:

Router(config)#hostnameR3AR3(config)#user

nameR1passwordciscoR3(