5PPP協(xié)議-ATEN_PPT_chap06_V14.ppt

1、Page 1/34,內(nèi)容回顧,廣域網(wǎng)的連接類型都有哪些 常用的廣域網(wǎng)封裝協(xié)議有什么 列舉五種廣域網(wǎng)連接的接口類型,PPP協(xié)議,Page 3/34,本章目標(biāo),能夠在點對點鏈路上配置PPP協(xié)議 了解PPP協(xié)議的基本概念 掌握PPP鏈路的建立過程 掌握PAP和CHAP認(rèn)證 了解多鏈路PPP 掌握PPP協(xié)議的配置,Page 4/34,PPP的認(rèn)證,本章結(jié)構(gòu),PPP協(xié)議,PPP協(xié)議概述,多鏈路PPP,PPP的配置,PAP認(rèn)證,CHAP認(rèn)證,PPP協(xié)議的產(chǎn)生,PPP幀格式,PPP鏈路的建立,PPP的組成,Page 5/34,PPP協(xié)議概述,PPP（Point to Point Protocol）協(xié)議是在點

2、對點鏈路上運行的數(shù)據(jù)鏈路層協(xié)議 用戶使用撥號電話線接入Internet時，一般都是使用 PPP 協(xié)議,PSTN,PPP協(xié)議,Page 6/34,PPP協(xié)議的產(chǎn)生-SLIP協(xié)議,SLIP協(xié)議（Serial Line Internet Protocol） 是在串行線路上對IP數(shù)據(jù)報進行封裝的簡單協(xié)議 產(chǎn)生于二十世紀(jì)八十年代中期 SLIP協(xié)議的缺點 封裝格式十分簡單，無法進行IP地址等參數(shù)的協(xié)商 只支持IP協(xié)議 不具備校驗功能,IP數(shù)據(jù)報文,+,END字符,=,Page 7/34,PPP協(xié)議的發(fā)展歷程,1989年，PPP 協(xié)議被提出 1994年，經(jīng)過 多年的修訂，PPP 協(xié)議正式已成為Interne

3、t的標(biāo)準(zhǔn)之一 由RFC 1661定義，還包括RFC 1662、RFC 1663等一系列協(xié)議,Page 8/34,PPP協(xié)議的優(yōu)點,支持同步或異步串行鏈路的傳輸 支持多種網(wǎng)絡(luò)層協(xié)議 支持錯誤檢測 支持網(wǎng)絡(luò)層的地址協(xié)商 支持用戶認(rèn)證 允許進行數(shù)據(jù)壓縮,Page 9/34,PPP的組成,PPP主要包括三個部分 在串行鏈路上封裝上層數(shù)據(jù)報文的方法 采用LCP（Link-Control Protocol，鏈路控制協(xié)議）來建立、控制數(shù)據(jù)鏈路 采用NCP（Network-Control Protocol，網(wǎng)絡(luò)控制協(xié)議）來支持多種網(wǎng)絡(luò)協(xié)議,物理介質(zhì)（同/異步）,LCP,NCP,PPP,IP,IPX,其它網(wǎng)絡(luò)協(xié)

4、議,IPCP,IPXCP,其它NCP,網(wǎng)絡(luò)層,數(shù)據(jù)鏈路層,物理層,Page 10/34,PPP鏈路的建立,PPP鏈路的建立共有五個階段,鏈路不可用 階段,鏈路建立 階段,認(rèn)證階段,網(wǎng)絡(luò)層協(xié)議 階段,鏈路終止 階段,物理層 UP,鏈路UP,認(rèn)證通過或無認(rèn)證,認(rèn)證失敗,關(guān)閉,失敗,Page 11/34,PPP幀格式,協(xié)議域,信息域,0 x7E,0 xFF,0 x03,幀校驗,0 x7E,1Byte,2Bytes,2Bytes,1Byte,1Byte,1Byte,信息域：根據(jù)協(xié)議域的內(nèi)容而定 當(dāng)協(xié)議域為LCP協(xié)議時，信息域內(nèi)為LCP協(xié)商參數(shù) 當(dāng)協(xié)議域為NCP協(xié)議時，信息域內(nèi)為NCP協(xié)商參數(shù) 當(dāng)協(xié)議域

5、為IP協(xié)議時，信息域內(nèi)為用戶數(shù)據(jù),地址域：對方的數(shù)據(jù)鏈路層地址。 因為PPP協(xié)議是點對點的鏈路層協(xié)議，所以此字節(jié)無意義，用0 xFF填充,標(biāo)志字節(jié)：用來標(biāo)示PPP幀的開始和結(jié)束,控制域：通常用0 x03填充,協(xié)議域：用來區(qū)分PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)報文的內(nèi)容 常見取值： 0 xc021 信息域中承載的是LCP協(xié)議數(shù)據(jù)報文 0 xc023 信息域中承載的是PAP協(xié)議的認(rèn)證報文 0 xc223 信息域中承載的是CHAP協(xié)議的認(rèn)證報文 0 x8021 信息域中承載的是NCP協(xié)議數(shù)據(jù)報文 0 x0021 信息域中承載的是IP協(xié)議數(shù)據(jù)報文,Page 12/34,LCP協(xié)議,用來建立、配置、維護、

6、終止一條點對點鏈路 LCP協(xié)議協(xié)商選項 MRU，最大接收單元 認(rèn)證協(xié)議 鏈路壓縮 多鏈路捆綁,Page 13/34,NCP協(xié)議,用來建立、配置不同的網(wǎng)絡(luò)層協(xié)議 包括IPCP、IPXCP等協(xié)議 IPCP協(xié)議協(xié)商選項 IP地址協(xié)商 TCP/IP頭壓縮,Page 14/34,PPP協(xié)議由鏈路層封裝方法、LCP協(xié)議、NCP協(xié)議三部分組成 PPP的幀格式 LCP協(xié)議用來負(fù)責(zé)鏈路的配置 NCP協(xié)議用來負(fù)責(zé)網(wǎng)絡(luò)協(xié)議的配置 PPP鏈路建立的過程,階段總結(jié),Page 15/34,PPP認(rèn)證協(xié)議,PPP協(xié)議支持用戶的認(rèn)證，是廣域網(wǎng)接入使用最廣泛的協(xié)議 PPP協(xié)議支持兩種認(rèn)證協(xié)議 PAP（Password Auth

7、entication Protocol，口令認(rèn)證協(xié)議） CHAP（Challenge Handshake Authentication Protocol，質(zhì)詢握手認(rèn)證協(xié)議）,Page 16/34,PAP認(rèn)證,PAP是兩次握手認(rèn)證協(xié)議，口令以明文傳送，被認(rèn)證方首先發(fā)起認(rèn)證請求。,被認(rèn)證方,主認(rèn)證方,用戶名和密碼(user01/pw01),認(rèn)證通過/未通過,用戶名：user01 密 碼：pw01,username password user01 pw01,根據(jù)用戶數(shù)據(jù)庫認(rèn)證 用戶名密碼是否正確,Page 17/34,CHAP認(rèn)證41,CHAP是三次握手認(rèn)證協(xié)議，不發(fā)送口令，主認(rèn)證方首先發(fā)起認(rèn)證請求

8、，安全性比PAP高。,被認(rèn)證方,主認(rèn)證方,主認(rèn)證方用戶名，隨機數(shù)據(jù),被認(rèn)證方用戶名，隨機報文與密碼加密后的報文,接受/拒絕,Page 18/34,CHAP認(rèn)證42,766-1,3640-1,MD5,Hash值,主認(rèn)證方發(fā)送認(rèn)證請求,表示此報文為認(rèn)證請求,此次認(rèn)證的序列號,主認(rèn)證方認(rèn)證用戶名,被認(rèn)證方在本地的數(shù)據(jù)庫中查找對應(yīng)的密碼,Page 19/34,用戶名 口令 766-1 PWD,CHAP認(rèn)證43,被認(rèn)證方回復(fù)認(rèn)證請求,766-1,3640-1,此報文為CHAP認(rèn)證響應(yīng)報文,與認(rèn)證請求中的id相同,被認(rèn)證方的認(rèn)證用戶名,主認(rèn)證方在本地數(shù)據(jù)庫中查找被認(rèn)證方對應(yīng)的口令,隨機數(shù)據(jù),根據(jù)id找到先

9、前保存的隨機數(shù)據(jù),MD5,Hash值,與被認(rèn)證方計算得到的Hash值做比較，如果一致，則認(rèn)為認(rèn)證通過。,Page 20/34,CHAP認(rèn)證44,主認(rèn)證方確認(rèn)認(rèn)證是否通過,766-1,3640-1,Page 21/34,多鏈路PPP,MLP（MultiLink PPP）可以將多條PPP鏈路捆綁起來 對于MLP鏈路兩端的設(shè)備，就好像只有一條PPP連接，只需配置一個IP地址 優(yōu)點 增加帶寬 負(fù)載分擔(dān) 降低時延,Page 22/34,配置PPP協(xié)議,進入串口配置模式 Router(config)# interface serial 0/0 配置接口的鏈路層協(xié)議為PPP Router(config-if

10、)# encapsulation ppp 配置接口的IP地址 Router(config-if)# ip address ip_addr ip_mask,Page 23/34,配置PAP認(rèn)證-主認(rèn)證方,配置認(rèn)證用戶名和密碼 Router(config)# username user_name password 0 pass_word 啟用PAP認(rèn)證 Router(config-if)# ppp authentication pap,0表示密碼為明文保存,Page 24/34,配置PAP認(rèn)證-被認(rèn)證方,配置認(rèn)證用戶名和密碼 Router(config-if)# ppp pap sent-user

11、name user_name password 0 pass_word,主認(rèn)證方和被認(rèn)證方配置的用戶名和密碼必須一致,Page 25/34,配置CHAP認(rèn)證-主認(rèn)證方,配置認(rèn)證用戶名和密碼 Router(config)# username user_name password 0 pass_word 啟用CHAP認(rèn)證 Router(config-if)# ppp authentication chap 配置認(rèn)證用的用戶名 Router(config-if)# ppp chap hostname user_name,如果不配置此命令，默認(rèn)使用路由器的主機名作為主認(rèn)證方的用戶名,Page 26/3

12、4,配置CHAP認(rèn)證-被認(rèn)證方,配置認(rèn)證用戶名和密碼 Router(config)# username user_name password 0 pass_word 配置認(rèn)證用的用戶名 Router(config-if)# ppp chap hostname user_name 配置認(rèn)證用的密碼 Router(config-if)# ppp chap password 0 pass_word,如果不配置此命令，默認(rèn)使用路由器的主機名作為被認(rèn)證方的用戶名,當(dāng)沒有配置認(rèn)證的用戶名和密碼時，可以使用此命令配置默認(rèn)的密碼,Page 27/34,配置IP地址協(xié)商,服務(wù)器端 Router(config-i

13、f)# peer default ip address ip_addr 客戶端 Router(config-if)# ip address negotiated,配置此命令后，原先在接口上配置的IP地址將被刪除,Page 28/34,配置PPP壓縮,啟用PPP壓縮 Router(config-if)# compress predictor | stac 啟用TCP/IP頭壓縮 Router(config-if)# ip tcp header-compression,需要在PPP鏈路的兩端均配置才能生效 當(dāng)路由器負(fù)載過大時，最好不要啟用PPP壓縮,需要在PPP鏈路的兩端均配置才能生效 在高速線路

14、上最好不要啟用此功能,Page 29/34,PPP配置實例,RouterA# config terminal RouterA(config)# interface serial 0/0 RouterA(config-if)# ip address 192.168.1.2 255.255.255.252 RouterA(config-if)# encapsulation ppp RouterA(config-if)# ppp pap sent-username benet password 0 best RouterA(config-if)# no shutdown,RouterB# confi

15、g terminal RouterB(config)# username benet password 0 best RouterB(config)# interface serial 0/0 RouterB(config-if)# ip address 192.168.1.1 255.255.255.252 RouterB(config-if)# clock rate 2000000 RouterB(config-if)# encapsulation ppp RouterB(config-if)# ppp authentication pap RouterB(config-if)# no s

16、hutdown,A,B,Page 30/34,PPP的調(diào)試和排錯3-1,show interface命令 Router#show interface serial 0/1 Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCP MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encaps

17、ulation PPP, loopback not set LCP Open Open: IPCP, CDPCP,物理層UP，數(shù)據(jù)鏈路層UP,此接口的IP地址由IPCP協(xié)議協(xié)商決定,此接口鏈路層封裝協(xié)議為PPP,LCP、IPCP、CDPCP協(xié)議狀態(tài)都為open,Page 31/34,PPP的調(diào)試和排錯3-2,debug ppp packet命令 *Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up *Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interfa

18、ce Serial0/1, changed state to up *Mar 1 00:21:38.211: Se0/1 LCP: O CONFREQ Closed id 33 len 10 *Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent *Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ REQsent id 34 len 10 *Mar 1 00:21

19、:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0 xC021, datagramsize 14 *Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK REQsent id 34 len 10 *Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3) *Mar 1 00:21:40.226: Se0/1 PPP: I

20、 pkt type 0 xC021, datagramsize 18 *Mar 1 00:21:40.226: Se0/1 LCP: I CONFREQ ACKrcvd id 50 len 14 *Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0) *Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK ACKrcvd id 50 len 14 *Mar

21、1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023) *Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0),鏈路不可用階段,鏈路建立階段,Page 32/34,PPP的調(diào)試和排錯3-3,debug ppp packet命令 *Mar 1 00:21:40.230: Se0/1 PAP: O AUTH-REQ id 10 len 15 from benet *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 x

22、C023, datagramsize 9 *Mar 1 00:21:40.234: Se0/1 PAP: I AUTH-ACK id 10 len 5 *Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 x8021, datagramsize 14 *Mar 1 00:21:40.238: Se0/1 IPCP: I CONFREQ Closed id 1 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.2 (0 x0306C0A80102) *Mar 1 00:21:40.238: Se0/1 IPCP: O CONFREQ Closed id 2 len 10 *Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.1 (0 x0306C0A80101)