PPP协议.ppt

1、ppp协议,第4章,本章目标,能够在点对点链路上配置PPP协议 了解PPP协议的基本概念 掌握PPP链路的建立过程 掌握PAP和CHAP认证 了解多链路PPP 掌握PPP协议的配置,PPP的认证,本章结构,PPP协议,PPP协议概述,多链路PPP,PPP的配置,PAP认证,CHAP认证,PPP协议的产生,PPP帧格式,PPP链路的建立,PPP的组成,PPP协议的产生-SLIP协议,SLIP协议（Serial Line Internet Protocol） 是在串行线路上对IP数据报进行封装的简单协议 产生于二十世纪八十年代中期 SLIP协议的缺点 封装格式十分简单，无法进行IP地址等参数的协商

2、 只支持IP协议 不具备校验功能,IP数据报文,+,END字符,=,PPP协议概述,PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议 用户使用拨号电话线接入Internet时，一般都是使用 PPP 协议,PSTN,PPP协议,PPP协议的发展历程,1989年，PPP 协议被提出 1994年，经过多年的修订，PPP协议正式已成为Internet的标准之一 由RFC 1661定义，还包括RFC 1662、RFC 1663等一系列协议,PPP协议的优点,支持同步或异步串行链路的传输 支持多种网络层协议 支持错误检测 支持网络层的地址协商 支持用户认证

3、允许进行数据压缩,PPP的组成,PPP主要包括三个部分 在串行链路上协议的封装方法 采用LCP（Link-Control Protocol，链路控制协议）来建立、控制数据链路、处理不同大小的数据帧 采用NCP（Network-Control Protocol，网络控制协议）来支持多种网络协议,物理介质（同/异步）,LCP,NCP,PPP,IP,IPX,其它网络协议,IPCP,IPXCP,其它NCP,网络层,数据链路层,物理层,PPP链路的建立,PPP协议属于数据链路层，PPP链路的建立共有五个阶段,链路不可用 阶段,链路建立 阶段,认证阶段,网络层协议 阶段,链路终止 阶段,物理层 UP,链路

4、UP,认证通过或无认证,认证失败,关闭,失败,PPP帧格式,协议域,信息域,0 x7E,0 xFF,0 x03,帧校验,0 x7E,1Byte,2Bytes,2Bytes,1Byte,1Byte,1Byte,信息域：根据协议域的内容而定 当协议域为LCP协议时，信息域内为LCP协商参数 当协议域为NCP协议时，信息域内为NCP协商参数 当协议域为IP协议时，信息域内为用户数据,地址域：对方的数据链路层地址。 因为PPP协议是点对点的链路层协议，所以此字节无意义，用0 xFF填充,标志字节：用来标示PPP帧的开始和结束,控制域：通常用0 x03填充,协议域：用来区分PPP数据帧中信息域所承载的数

5、据报文的内容 常见取值： 0 xc021 信息字段是链路控制数据LCP 0 xc023 信息字段是安全性认证PAP 0 xc223 信息字段是安全性认证CHAP 0 x8021 信息字段是网络控制数据NCP 0 x0021 信息字段是IP数据报,LCP协议,用来建立、配置、维护、终止一条点对点链路 LCP协议协商选项 MRU，最大接收单元 认证协议 链路压缩 多链路捆绑,NCP协议,用来建立、配置不同的网络层协议 包括IPCP、IPXCP等协议 IPCP协议协商选项 IP地址协商 TCP/IP头压缩,PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成 PPP的帧格式 LCP协议用来负

6、责链路的配置 NCP协议用来负责网络协议的配置 PPP链路建立的过程,阶段总结,PPP认证协议,PPP协议支持用户的认证，是广域网接入使用最广泛的协议 PPP协议支持两种认证协议 PAP（Password Authentication Protocol，口令认证协议） CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）,PAP认证,PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。,被认证方,主认证方,用户名和密码(user01/pw01),认证通过/未通过,用户名：user01 密 码：pw01,userna

7、me password user01 pw01,根据用户数据库认证 用户名密码是否正确,CHAP认证41,CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。,被认证方,主认证方,主认证方用户名，随机数据,被认证方用户名，随机报文与密码加密后的报文,接受/拒绝,CHAP认证42,766-1,3640-1,MD5,Hash值,主认证方发送认证请求,表示此报文为认证请求,此次认证的序列号,主认证方认证用户名,被认证方在本地的数据库中查找对应的密码,用户名 口令 766-1 PWD,CHAP认证43,被认证方回复认证请求,766-1,3640-1,此报文为CHAP认证

8、响应报文,与认证请求中的id相同,被认证方的认证用户名,主认证方在本地数据库中查找被认证方对应的口令,随机数据,根据id找到先前保存的随机数据,MD5,Hash值,与被认证方计算得到的Hash值做比较，如果一致，则认为认证通过。,CHAP认证44,主认证方确认认证是否通过,766-1,3640-1,多链路PPP,MLP（MultiLink PPP）可以将多条PPP链路捆绑起来 对于MLP链路两端的设备，就好像只有一条PPP连接，只需配置一个IP地址 优点 增加带宽 负载分担 降低时延,配置PPP协议,进入串口配置模式 Router(config)# interface serial 0/0 配

9、置接口的链路层协议为PPP Router(config-if)# encapsulation ppp 配置接口的IP地址 Router(config-if)# ip address ip_addr ip_mask,配置PAP认证-主认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用PAP认证 Router(config-if)# ppp authentication pap,0表示密码为明文保存,配置PAP认证-被认证方,配置认证用户名和密码 Router(config-if)# ppp pap s

10、ent-username user_name password 0 pass_word,主认证方和被认证方配置的用户名和密码必须一致,配置CHAP认证-主认证方,在主认证方添加被认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用CHAP认证 Router(config-if)# ppp authentication chap 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name,如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名,配置CHAP

11、认证-被认证方,在被认证方添加主认证用户名和密码 Router(config)# username user_name password 0 pass_word 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name 配置认证用的密码 Router(config-if)# ppp chap password 0 pass_word,如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名,当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码,配置IP地址协商,服务器端 Router(config-if)# peer defa

12、ult ip address ip_addr 客户端 Router(config-if)# ip address negotiated,配置此命令后，原先在接口上配置的IP地址将被删除,配置PPP压缩,启用PPP压缩（增大路由CPU和内存的使用率） Router(config-if)# compress predictor | stac 启用TCP/IP头压缩（适用于低速链路） Router(config-if)# ip tcp header-compression,需要在PPP链路的两端均配置才能生效 当路由器负载过大时，最好不要启用PPP压缩,需要在PPP链路的两端均配置才能生效 在高速线

13、路上最好不要启用此功能,PPP配置实例,RouterA# config terminal RouterA(config)# interface serial 0/0 RouterA(config-if)# ip address 192.168.1.2 255.255.255.252 RouterA(config-if)# encapsulation ppp RouterA(config-if)# ppp pap sent-username benet password 0 best RouterA(config-if)# no shutdown,RouterB# config terminal

14、 RouterB(config)# username benet password 0 best RouterB(config)# interface serial 0/0 RouterB(config-if)# ip address 192.168.1.1 255.255.255.252 RouterB(config-if)# clock rate 2000000 RouterB(config-if)# encapsulation ppp RouterB(config-if)# ppp authentication pap RouterB(config-if)# no shutdown,A,

15、B,PPP的调试和排错3-1,show interface命令 Router#show interface serial 0/1 Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCP MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback

16、 not set LCP Open Open: IPCP, CDPCP,物理层UP，数据链路层UP,此接口的IP地址由IPCP协议协商决定,此接口链路层封装协议为PPP,LCP、IPCP、CDPCP协议状态都为open,PPP的调试和排错3-2,debug ppp packet命令 *Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up *Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interface Serial0/1, changed state to u

17、p *Mar 1 00:21:38.211: Se0/1 LCP: O CONFREQ Closed id 33 len 10 *Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent *Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ REQsent id 34 len 10 *Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber

18、0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0 xC021, datagramsize 14 *Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK REQsent id 34 len 10 *Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.226: Se0/1 PPP: I pkt type 0 xC021, datagramsize

19、18 *Mar 1 00:21:40.226: Se0/1 LCP: I CONFREQ ACKrcvd id 50 len 14 *Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0) *Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK ACKrcvd id 50 len 14 *Mar 1 00:21:40.226: Se0/1 LCP: AuthP

20、roto PAP (0 x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0),链路不可用阶段,链路建立阶段,PPP的调试和排错3-3,debug ppp packet命令 *Mar 1 00:21:40.230: Se0/1 PAP: O AUTH-REQ id 10 len 15 from benet *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 xC023, datagramsize 9 *Mar 1 00:21:40.234: S

21、e0/1 PAP: I AUTH-ACK id 10 len 5 *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 x8021, datagramsize 14 *Mar 1 00:21:40.238: Se0/1 IPCP: I CONFREQ Closed id 1 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.2 (0 x0306C0A80102) *Mar 1 00:21:40.238: Se0/1 IPCP: O CONFREQ Closed id 2 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.1 (0 x0306C0A80101) *Mar 1 00:21:4