《《精编》PPP协议相关知识简介》由会员分享,可在线阅读,更多相关《《精编》PPP协议相关知识简介(9页珍藏版)》请在金锄头文库上搜索。
1、PPP协议摘要:PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。 家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。 目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线,Asymmetrical Digital Subscriber Loop)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。所以本文将介绍PPP的链接和
2、应用。关键词:PPP链路 PPP协议一、 PPP:点对点协议(Point to Point Protocol)点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即 SLIP。除了 IP 以外 PPP 还可以携带其它协议,包括 DECnet 和 Novell 的 Internet 网包交换(IPX)。PPP 主要由以下几部分组成:封装:一种封装多协议数据报的方法。PPP 封装提供了
3、不同网络层协议同时在同一链路传输的多路复用技术。PPP 封装精心设计,能保持对大多数常用硬件的兼容性。链路控制协议:PPP 提供的 LCP 功能全面,适用于大多数环境。LCP 用于就封装格式选项自动达成一致,处理数据包大小限制,探测环路链路和其他普通的配置错误,以及终止链路。LCP 提供的其他可选功能有:认证链路中对等单元的身份,决定链路功能正常或链路失败情况。网络控制协议:一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。配置:使用链路控制协议的简单和自制机制。该机制也应用于其它控制协议,例如:网络控制协议(NCP)。配置:使用链路控制协议的简单和自制机制。该机制也应用于其它控制
4、协议,如:网络控制协议(NCP).二、HDLC帧结构以及PPP帧结构比较1.HDLC的帧结构: 从网络层交下来的分组,变成为数据链路层的数据。这就是图1中的信息字段。信息字段的长度没有具体规定。数据链路层在信息字段的头尾各加上24bit的控制信息,这样就构成了一个完整的帧。HDLC规定了一个帧的开头(即首部中的第一个字节)和结尾(即尾部中的最后一个字节)各放入一个特殊的标记,作为一个帧的边界。这个标记就叫做标志d字段F。标志字段F为6个连续1加上两边各一个0共8位。地址字段A也是8个比特,它一般被写入次站的地址。帧校验序列FSC字共占16位,采用CRC-CCITT生成多项式。控制字段功8位,是
5、最复杂的字段,HDLC的许多重要功能都要靠控制字段来实现。根据其前面两个比特的取值,可将HDLC的许多帧划分为三大类,即信息帧、监督帧和无编号帧。此主题相关图片如下:8162440 bitsVariable16-32 bitsFlagAddressControlProtocolInformationFCS2.点对点协议PPP的帧结构:PPP帧格式和HDLC的相似,PPP帧的前3个字段和最后两个字段和HDLC的格式是一样的。PPP不是面向比特的,因而所有的PPP帧的长度都是整数个字节。与HDLC不同的是多了一个2个字节的协议字段。当协议字段为0X0021时,信息字段就是IIP数据报。若为0XC0
6、21,则信息字段是链路控制数据,而0X8021表示这是网络控制数据。 三、PPP链路建立过程和认证方式 1. PPP链路建立过程 PPP协议中提供了一整套方案 来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样几个部分:链路控制协议LCP(Link Control Protocol);网络控制协议NCP(Network Control Protocol);认证协议,最常用的包括口令验证协议PAP(Password Authentication Protocol)和挑战握手验证协议CHAP(Challenge-Handshake Authentication Protoco
7、l)。LCP负责创建,维护或终止一次物理连接。NCP是一族协议,负责解决物理连接上运行什么网络协议,以及解决上层网络协议发生的问题。下面介绍PPP链路建立的过程:PPP链路状态机如图1所示。一个典型的链路建立过程分为三个阶段:创建阶段、认证阶段和网络协商阶段。阶段1:创建PPP链路LCP负责创建链路。在这个阶段,将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文(Configure Packets)。一旦一个配置成功信息包(Configure-Ack packet)被发送且被接收,就完成了交换,进入了LCP开启状态。应当注意,在链路创建阶段,只是对验证协议进行选择,用户验
8、证将在第2阶段实现。阶段2:用户验证在这个阶段,客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前,禁止从认证阶段前进到网络层协议阶段。如果认证失败,认证者应该跃迁到链路终止阶段。在这一阶段里,只有链路控制协议、认证协议,和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。阶段3:调用网络层协议认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题,例如,在该阶段IP控制协议(IPC
9、P)可以向拨入用户分配动态地址。这样,经过三个阶段以后,一条完整的PPP链路就建立起来了。 2. 认证方式 1)口令验证协议(PAP) PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。2)挑战-握手验证协议(CHAP) CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实
10、密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。CHAP对PAP进行了改进,不再直接通过链路发送明口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay a
11、ttack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。四、PPP协议的应用虽然有关驻地网的各种争论仍在继续,但宽带驻地网用户的接入业务目前已经在各地推出,无论如何,网络基础设施的建设都会先行一步,我们的讨论将从技术角度入手。 比较典型的驻地网用户接入方式是采用PPPoE或Web+DHCP方式,这两种方式各有哪些利弊呢?一)、PPPoE方式 PPPoE方式是在用户端安装了一个PPPoE客户端软件。用户上网前运行该客户端软件,输入用户名和密码,由客户端软件发出第二层广播包,寻找PPP
12、oE宽带接入服务器(BAS),由BAS将用户信息送往Radius服务器,对该用户进行认证。如果认证通过,BAS发送计费开始包至计费服务器,对该用户进行计费,并允许用户上网,BAS为每一个用户保存一个表。用户下网时,点击客户端软件的断开按钮,客户端软件发出下网信息给BAS,由BAS通知计费服务器停止计费,并清除用户表项,用户退网。 从以上原理性描述中,可以看到,PPPoE利用了PPP协议的优点,模拟了电话拨号用户的上网方式,似乎是一个完美的解决方案。该方式主要有以下优点: 1. PPPoE类似于电话拨号上网的过程,可以利用原有电话拨号用户的运营模式,集中设立用户数据库,集中设立AAA Serve
13、r,可管理性较强。 2. PPPoE便于开展多服务选择服务。对不同服务,可以用不同的用户名后缀来区分。 3. PPPoE方式可以对用户进行严格的速率限制,便于对用户速率需求进行量体裁衣,区别收费。但是,在运营过程中,PPPoE的也暴露了一些缺点: 1. PPPoE接入方式在用户端安装了客户端软件,带来了许多问题。 首先,现在流行的客户端软件都是第三方软件,不是开发操作系统厂家的产品,在实际应用中,会出现许多不兼容的现象。例如,经常性发生流量停顿、用户上网不流畅等现象。还有,一些软件对不同系统的兼容性不好,比如,有的可以在Windows 95/98上安装,却不能在Windows 2000系列上安
14、装。其次,用户端的情况比较复杂,用户的运行虚拟拨号的机器上很多都同时运行了代理软件,甚至运行了Web Server、办公自动化等软件,造成应用之间的冲突,导致PPPoE软件运行不正常,用户报障频繁,给运营商带来了巨大的维护压力。 再有,客户端软件需要购买正版版权,这对运营商来说是一个沉重的负担。 2. PPPoE方式基于第二层广播机制,使BAS与用户处于同一个广播域,这样,大大限制了网络的扩展性。同时,所有用户都处于一个广播域,使用户在第二层互通,造成了用户对安全问题的投诉。 3. PPPoE方式的用户流量全部经过BAS,用户流量增大后,BAS将会成为瓶颈。 二)、Web+DHCP方式 Web
15、+DHCP方式不需要在用户端安装客户端软件,用户开机后,计算机通过二层广播寻找DHCP服务器,DHCP服务器授予用户计算机地址、网关、DNS,这时用户只可以访问一个固定的登陆地址,用户打开浏览器输入固定登陆网址,在登陆页面上,输入用户名和口令,Web Server可以内置于用户网关设备上,同时做为Radius的客户端。由该设备将用户信息送往Radius认证服务器进行认证。用户通过认证后,用户网关设备上为每一用户建立一个用户表项,授予用户控制策略,并通知计费服务器开始计费。用户下网时,在登陆页面上点击退出按钮,Web Server收到退出信息后,通知Radius停止计费,同时清除用户表项。 从以
16、上原理性叙述可以看出Web+DHCP的认证方式有以下优点: 1. 同PPPoE方式一样,可以利用原有电话拨号用户的运营模式,通过设立集中用户数据库,集中认证、计费,可管理性较强。2. 用户端不需要安装客户端软件,诸如客户端软件所引起的兼容性、稳定性以及版权的问题均不存在了,大大减轻了运营商的维护压力,降低了用户报障率。 3. DHCP Server可以与用户处于同一网段,用户的DHCP 请求可以通过DHCP Relay跨越路由器,不必像PPPoE方式那样需要使BAS与用户处于同一网段,大大增加了网络的扩展性。 但是,该种方式也有缺点: 1. 对于防止用户IP地址的盗用缺乏有效手段,但是它可以通过用户网关设备上的用户表项,通过VLAN+IP+MAC来处理,而且,作为电信级服务,也应该这样做。 2. 现阶段
