PPP点到点协议
ppp可以进行安全认证,但只限于两个设备之间(点到点)
所以可以扩展为PPOE,PPOE可以对多,在以太网上借助PPP的验证功能,达到既可以接入多设备又能进行验证的目的
- PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
- PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
- PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
- PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。
- PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控制协议),用于各网络层参数的协商,更好地支持了网络层协议。
PPP链路建立流程
LCP报文格式
LCP协商过程
- R1和R2使用串行链路相连,运行PPP协议。当物理层链路变为可用状态之后,R1和R2使用LCP协商链路参数。
- 本例中,R1首先发送一个Configure-Request报文,此报文中包含R1上配置的链路层参数。当R2收到此Configure-Request报文之后,如果R2能识别并接受此报文中的所有参数,则向R1回应一个Configure-Ack报文。同样的,R2也需要向R1发送Configure-Request报文,使R1检测R2上的参数是不是可接受的。
- R1在没有收到Configure-Ack报文的情况下,会每隔3秒重传一次Configure-Request报文,如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文,则认为对端不d可用,停止发送Configure-Request报文。
- 当R2收到R1发送的Configure-Request报文之后,如果R2能识别此报文中携带的所有链路层参数,但是认为部分或全部参数的取值不能接受,即参数的取值协商不成功,则R2需要向R1回应一个Configure-Nak报文。
- 在这个Configure-Nak报文中,只包含不能接受的链路层参数,并且此报文所包含的链路层参数将被修改为R2上可以接受的取值(或取值范围)。
- 在收到Configure-Nak报文之后,R1需要根据此报文中的链路层参数重新选择本地配置的其他参数,并重新发送一个Configure-Request。
- 当R2收到R1发送的Configure-Request报文之后,如果R2不能识别此报文中携带的部分或全部链路层参数,则R2需要向R1回应一个Configure-Reject报文。在此Configure-Reject报文中,只包含不能被识别的链路层参数。
- 在收到Configure-Reject报文之后,R1需要向R2重新发送一个Configure-Request报文,在新的Configure-Request报文中,不再包含不被对端(R2)识别的参数。
PPP认证模式 - PAP
- LCP协商完成后,认证方要求被认证方使用PAP进行认证。
- PAP认证协议为两次握手认证协议,密码以明文方式在链路上发送,过程如下:
-
- 被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。
- 认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配;如果匹配,则返回Authenticate-Ack报文,表示认证成功。否则,返回Authenticate-Nak报文,表示认证失败。
认证方携带用户名时的认证
不同用户名认证
认证方不带用户名时的认证
NCP协商 - 静态IP地址协商
- NCP主要用来建立和配置不同的网络层协议,协商在该数据链路上所传输的数据包的格式与类型。常见的有IPCP等。
- 静态IP地址商过程如下:
-
- 每一端都要发送Configure-Request报文,在此报文中包含本地配置的IP地址;
- 每一端接收到此Configure-Request报文之后,检查其中的IP地址,如果IP地址是一个合法的单播IP地址,而且和本地配置的IP地址不同(没有IP冲突),则认为对端可以使用该地址,回应一个Configure-Ack报文。
NCP协商 - 动态IP地址协商
相当于DHCP分配地址的功能
- 动态协商IP地址的过程如下:
-
- R1向R2发送一个Configure-Request报文,此报文中会包含一个IP地址0.0.0.0,表示向对端请求IP地址;
- R2收到上述Configure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址10.1.1.1;
- R1收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址10.1.1.1;
- R2收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文;
- 同时,R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2,R1认为此地址合法,回应Configure-Ack报文。
IPCP配置动态地址协商功能
配置命令
PPP基础配置命令
[Huawei]int s0/0/0
[Huawei-Serial0/0/0] link-protocol ppp //配置接口为ppp接口
[Huawei-Serial0/0/0] ppp timer negotiate 10 //配置协商超时时间
一个接口只能有一种验证方式
PAP认证配置命令
认证端:
[R1]aaa #添加待认证用户信息
[R1-aaa]local-user huawei password cipher huawei123 #设置验证用户和密码
[R1-aaa]local-user huawei service-type ppp
#指定认证用户业务类型为ppp
[R2]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode pap
#指定认证模式为PAP
[R1-Serial1/0/0]ip address 10.1.1.1 30
被认证端:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp #更改端口类型为ppp
[R2-Serial1/0/0]ppp pap local-user huawei password cipher huawei123 #添加PPP认证的用户信息
[R2-Serial1/0/0]ip address 10.1.1.2 30
CHAP认证配置命令
认证端:
[R1]aaa #添加待认证用户信息
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type ppp
#指定认证用户业务类型
[R1]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode chap
#指定认证模式为CHAP
[R1-Serial1/0/0]ip address 10.1.1.1 30
被认证端:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp
[R2-Serial1/0/0]ppp chap user huawei #添加PPP认证的用户名信息
[R2-Serial1/0/0]ppp chap password cipher huawei123
#添加PPP认证的用户密码信息
[R2-Serial1/0/0]ip address 10.1.1.2 30
认证方不带用户名时的认证(也是就上面的案例)
认证方携带用用名时的认证
使用不同的账号进行验证
