ATENPPTchap06V1.4PPP协议.ppt

Page 1/34,第05章内容回顾,广域网的连接类型都有哪些 常用的广域网封装协议有什么 列举五种广域网连接的接口类型,PPP协议,第06章,Page 3/34,本章目标,能够在点对点链路上配置PPP协议 了解PPP协议的基本概念 掌握PPP链路的建立过程 掌握PAP和CHAP认证 了解多链路PPP 掌握PPP协议的配置,Page 4/34,PPP的认证,本章结构,PPP协议,PPP协议概述,多链路PPP,PPP的配置,PAP认证,CHAP认证,PPP协议的产生,PPP帧格式,PPP链路的建立,PPP的组成,Page 5/34,PPP协议概述,PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议 用户使用拨号电话线接入Internet时，一般都是使用 PPP 协议,PSTN,PPP协议,Page 6/34,PPP协议的产生-SLIP协议,SLIP协议（Serial Line Internet Protocol） 是在串行线路上对IP数据报进行封装的简单协议 产生于二十世纪八十年代中期 SLIP协议的缺点 封装格式十分简单，无法进行IP地址等参数的协商 只支持IP协议 不具备校验功能,IP数据报文,+,END字符,=,Page 7/34,PPP协议的发展历程,1989年，PPP 协议被提出 1994年，经过 多年的修订，PPP 协议正式已成为Internet的标准之一 由RFC 1661定义，还包括RFC 1662、RFC 1663等一系列协议,Page 8/34,PPP协议的优点,支持同步或异步串行链路的传输 支持多种网络层协议 支持错误检测 支持网络层的地址协商 支持用户认证 允许进行数据压缩,Page 9/34,PPP的组成,PPP主要包括三个部分 在串行链路上封装上层数据报文的方法 采用LCP（Link-Control Protocol，链路控制协议）来建立、控制数据链路 采用NCP（Network-Control Protocol，网络控制协议）来支持多种网络协议,物理介质（同/异步）,LCP,NCP,PPP,IP,IPX,其它网络协议,IPCP,IPXCP,其它NCP,网络层,数据链路层,物理层,Page 10/34,PPP链路的建立,PPP链路的建立共有五个阶段,链路不可用 阶段,链路建立 阶段,认证阶段,网络层协议 阶段,链路终止 阶段,物理层 UP,链路UP,认证通过或无认证,认证失败,关闭,失败,Page 11/34,PPP帧格式,协议域,信息域,0x7E,0xFF,0x03,帧校验,0x7E,1Byte,2Bytes,2Bytes,1Byte,1Byte,1Byte,信息域：根据协议域的内容而定 当协议域为LCP协议时，信息域内为LCP协商参数 当协议域为NCP协议时，信息域内为NCP协商参数 当协议域为IP协议时，信息域内为用户数据,地址域：对方的数据链路层地址。 因为PPP协议是点对点的链路层协议，所以此字节无意义，用0xFF填充,标志字节：用来标示PPP帧的开始和结束,控制域：通常用0x03填充,协议域：用来区分PPP数据帧中信息域所承载的数据报文的内容 常见取值： 0xc021 信息域中承载的是LCP协议数据报文 0xc023 信息域中承载的是PAP协议的认证报文 0xc223 信息域中承载的是CHAP协议的认证报文 0x8021 信息域中承载的是NCP协议数据报文 0x0021 信息域中承载的是IP协议数据报文,Page 12/34,LCP协议,用来建立、配置、维护、终止一条点对点链路 LCP协议协商选项 MRU，最大接收单元 认证协议 链路压缩 多链路捆绑,Page 13/34,NCP协议,用来建立、配置不同的网络层协议 包括IPCP、IPXCP等协议 IPCP协议协商选项 IP地址协商 TCP/IP头压缩,Page 14/34,PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成 PPP的帧格式 LCP协议用来负责链路的配置 NCP协议用来负责网络协议的配置 PPP链路建立的过程,阶段总结,Page 15/34,PPP认证协议,PPP协议支持用户的认证，是广域网接入使用最广泛的协议 PPP协议支持两种认证协议 PAP（Password Authentication Protocol，口令认证协议） CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）,Page 16/34,PAP认证,PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。,被认证方,主认证方,用户名和密码(user01/pw01),认证通过/未通过,用户名：user01 密 码：pw01,username password user01 pw01,根据用户数据库认证 用户名密码是否正确,Page 17/34,CHAP认证41,CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。,被认证方,主认证方,主认证方用户名，随机数据,被认证方用户名，随机报文与密码加密后的报文,接受/拒绝,Page 18/34,CHAP认证42,766-1,3640-1,MD5,Hash值,主认证方发送认证请求,表示此报文为认证请求,此次认证的序列号,主认证方认证用户名,被认证方在本地的数据库中查找对应的密码,Page 19/34,用户名 口令 766-1 PWD,CHAP认证43,被认证方回复认证请求,766-1,3640-1,此报文为CHAP认证响应报文,与认证请求中的id相同,被认证方的认证用户名,主认证方在本地数据库中查找被认证方对应的口令,随机数据,根据id找到先前保存的随机数据,MD5,Hash值,与被认证方计算得到的Hash值做比较，如果一致，则认为认证通过。,Page 20/34,CHAP认证44,主认证方确认认证是否通过,766-1,3640-1,Page 21/34,多链路PPP,MLP（MultiLink PPP）可以将多条PPP链路捆绑起来 对于MLP链路两端的设备，就好像只有一条PPP连接，只需配置一个IP地址 优点 增加带宽 负载分担 降低时延,Page 22/34,配置PPP协议,进入串口配置模式 Router(config)# interface serial 0/0 配置接口的链路层协议为PPP Router(config-if)# encapsulation ppp 配置接口的IP地址 Router(config-if)# ip address ip_addr ip_mask,Page 23/34,配置PAP认证-主认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用PAP认证 Router(config-if)# ppp authentication pap,0表示密码为明文保存,Page 24/34,配置PAP认证-被认证方,配置认证用户名和密码 Router(config-if)# ppp pap sent-username user_name password 0 pass_word,主认证方和被认证方配置的用户名和密码必须一致,Page 25/34,配置CHAP认证-主认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用CHAP认证 Router(config-if)# ppp authentication chap 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name,如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名,Page 26/34,配置CHAP认证-被认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name 配置认证用的密码 Router(config-if)# ppp chap password 0 pass_word,如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名,当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码,Page 27/34,配置IP地址协商,服务器端 Router(config-if)# peer default ip address ip_addr 客户端 Router(config-if)# ip address negotiated,配置此命令后，原先在接口上配置的IP地址将被删除,Page 28/34,配置PPP压缩,启用PPP压缩 Router(config-if)# compress predictor | stac 启用TCP/IP头压缩 Router(config-if)# ip tcp header-compression,需要在PPP链路的两端均配置才能生效 当路由器负载过大时，最好不要启用PPP压缩,需要在PPP链路的两端均配置才能生效 在高速线路上最好不要启用此功能,Page 29/34,PPP配置实例,RouterA# config terminal RouterA(config)# interface serial 0/0 RouterA(config-if)# ip address 192.168.1.2 255.255.255.252 RouterA(config-if)# encapsulation ppp RouterA(config-if)# ppp pap sent-username benet password 0 best RouterA(config-if)# no shutdown,RouterB# config terminal RouterB(config)# username benet password 0 best RouterB(config)# interface serial 0/0 RouterB(config-if)# ip address 192.168.1.1 255.255.255.252 RouterB(config-if)# clock rate 2000000 RouterB(config-if)# encapsulation ppp RouterB(config-if)# ppp authentication pap RouterB(config-if)# no shutdown,A,B,Page 30/34,PPP的调试和排错3-1,show interface命令 Router#show interface serial 0/1 Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCP MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP,物理层UP，数据链路层UP,此接口的IP地址由IPCP协议协商决定,此接口链路层封装协议为PPP,LCP、IPCP、CDPCP协议状态都为open,Page 31/34,PPP的调试和排错3-2,debug ppp packet命令 *Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up *Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up *Mar 1 00:21:38.211: Se0/1 LCP: O CONFREQ Closed id 33 len 10 *Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent *Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ REQsent id 34 len 10 *Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0xC021, datagramsize 14 *Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK REQsent id 34 len 10 *Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3) *Mar 1 00:21:40.226: Se0/1 PPP: I pkt type 0xC021, datagramsize 18 *Mar 1 00:21:40.226: Se0/1 LCP: I CONFREQ ACKrcvd id 50 len 14 *Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0x13940FF0 (0x050613940FF0) *Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK ACKrcvd id 50 len 14 *Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0x13940FF0 (0x050613940FF0),链路不可用阶段,链路建立阶段,Page 32/34,PPP的调试和排错3-3,debug ppp packet命令 *Mar 1 00:21:40.230: Se0/1 PAP: O AUTH-REQ id 10 len 15 from “benet“ *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0xC023, datagramsize 9 *Mar 1 00:21:40.234: Se0/1 PAP: I AUTH-ACK id 10 len 5 *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0x8021, datagramsize 14 *Mar 1 00:21:40.238: Se0/1 IPCP: I CONFREQ Closed id 1 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.2 (0x0306C0A80102) *Mar 1 00:21:40.238: Se0/1 IPCP: O CONFREQ Closed id 2 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.1 (0x0306C0A80101)