主讲教师:马宇麟授课专业:计算机应用技术,第19讲 PPP协议,网络设备调试,课程回顾,广域网的连接类型都有哪些?常用的广域网封装协议有什么?列举五种广域网连接的接口类型,,本章结构,,,,,,,,PPP概述,PPP帧格式,,PAP认证,CHAP认证,PPP协议,,PPP协议的产生,PPP协议的组成,PPP认证,PPP的配置,多链路PPP,,,,,,PPP链路的建议,,PPP协议概述,PPP(Point to Point Protocol)协议是在点对点链路上运行的数据链路层协议用户使用拨号线接入Internet时,一般都是使用 PPP 协议,PSTN,,,,PPP协议,PPP协议的产生-SLIP协议,SLIP协议(Serial Line Internet Protocol)是在串行线路上对IP数据报进行封装的简单协议产生于二十世纪八十年代中期SLIP协议的缺点封装格式十分简单,无法进行IP地址等参数的协商只支持IP协议不具备校验功能,IP数据报文,+,END字符,=,PPP协议的发展历程,1989年,PPP 协议被提出1994年,经过 多年的修订,PPP 协议正式已成为Internet的标准之一由RFC 1661定义,还包括RFC 1662、RFC 1663等一系列协议,PPP协议的优点,支持同步或异步串行链路的传输支持多种网络层协议支持错误检测支持网络层的地址协商支持用户认证允许进行数据压缩,PPP的组成,PPP主要包括三个部分在串行链路上封装上层数据报文的方法采用LCP(Link-Control Protocol,链路控制协议)来建立、控制数据链路采用NCP(Network-Control Protocol,网络控制协议)来支持多种网络协议,物理介质(同/异步),LCP,NCP,,PPP,,,IP,IPX,其它网络协议,IPCP,IPXCP,其它NCP,,,网络层,数据链路层,物理层,PPP链路的建立,PPP链路的建立共有五个阶段,链路不可用阶段,链路建立阶段,认证阶段,网络层协议阶段,链路终止阶段,,,物理层 UP,链路UP,认证通过或无认证,认证失败,关闭,失败,PPP帧格式,,协议域,信息域,0x7E,0xFF,0x03,帧校验,0x7E,,,,1Byte,2Bytes,,,,,,,,,,,2Bytes,1Byte,1Byte,1Byte,,,,,,,,,,信息域:根据协议域的内容而定 当协议域为LCP协议时,信息域内为LCP协商参数 当协议域为NCP协议时,信息域内为NCP协商参数 当协议域为IP协议时,信息域内为用户数据,地址域:对方的数据链路层地址。
因为PPP协议是点对点的链路层协议,所以此字节无意义,用0xFF填充,标志字节:用来标示PPP帧的开始和结束,控制域:通常用0x03填充,协议域:用来区分PPP数据帧中信息域所承载的数据报文的内容常见取值:0xc021 信息域中承载的是LCP协议数据报文0xc023 信息域中承载的是PAP协议的认证报文0xc223 信息域中承载的是CHAP协议的认证报文0x8021 信息域中承载的是NCP协议数据报文0x0021 信息域中承载的是IP协议数据报文,LCP协议,用来建立、配置、维护、终止一条点对点链路LCP协议协商选项MRU,最大接收单元认证协议链路压缩多链路捆绑,NCP协议,用来建立、配置不同的网络层协议包括IPCP、IPXCP等协议IPCP协议协商选项IP地址协商TCP/IP头压缩,PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成PPP的帧格式LCP协议用来负责链路的配置NCP协议用来负责网络协议的配置PPP链路建立的过程,阶段总结,PPP认证协议,PPP协议支持用户的认证,是广域网接入使用最广泛的协议PPP协议支持两种认证协议PAP(Password Authentication Protocol,口令认证协议)CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议),PAP认证,PAP是两次握手认证协议,口令以明文传送,被认证方首先发起认证请求。
被认证方,主认证方,用户名和密码(user01/pw01),认证通过/未通过,用户名:user01密 码:pw01,username passworduser01 pw01,根据用户数据库认证用户名密码是否正确,,,CHAP认证4-1,CHAP是三次握手认证协议,不发送口令,主认证方首先发起认证请求,安全性比PAP高被认证方,主认证方,,,,,,主认证方用户名,随机数据,被认证方用户名,随机报文与密码加密后的报文,接受/拒绝,,CHAP认证4-2,766-1,3640-1,,,,MD5,Hash值,主认证方发送认证请求,表示此报文为认证请求,此次认证的序列号,主认证方认证用户名,被认证方在本地的数据库中查找对应的密码,,用户名 口令766-1 PWD,,,CHAP认证4-3,被认证方回复认证请求,766-1,3640-1,此报文为CHAP认证响应报文,与认证请求中的id相同,被认证方的认证用户名,主认证方在本地数据库中查找被认证方对应的口令,,随机数据,根据id找到先前保存的随机数据,,MD5,Hash值,,,与被认证方计算得到的Hash值做比较,如果一致,则认为认证通过。
CHAP认证4-4,主认证方确认认证是否通过,766-1,3640-1,,多链路PPP,MLP(MultiLink PPP)可以将多条PPP链路捆绑起来 对于MLP链路两端的设备,就好像只有一条PPP连接,只需配置一个IP地址优点增加带宽负载分担降低时延,,,,,配置PPP协议,进入串口配置模式Router(config)# interface serial 0/0配置接口的链路层协议为PPPRouter(config-if)# encapsulation ppp配置接口的IP地址Router(config-if)# ip address ip_addr ip_mask,配置PAP认证-主认证方,配置认证用户名和密码Router(config)# username user_name password 0 pass_word启用PAP认证Router(config-if)# ppp authentication pap,0表示密码为明文保存,配置PAP认证-被认证方,配置认证用户名和密码Router(config-if)# ppp pap sent-username user_name password 0 pass_word,主认证方和被认证方配置的用户名和密码必须一致,配置CHAP认证-主认证方,配置认证用户名和密码Router(config)# username user_name password 0 pass_word启用CHAP认证Router(config-if)# ppp authentication chap配置认证用的用户名Router(config-if)# ppp chap hostname user_name,如果不配置此命令,默认使用路由器的主机名作为主认证方的用户名,配置CHAP认证-被认证方,配置认证用户名和密码Router(config)# username user_name password 0 pass_word配置认证用的用户名Router(config-if)# ppp chap hostname user_name配置认证用的密码Router(config-if)# ppp chap password 0 pass_word,如果不配置此命令,默认使用路由器的主机名作为被认证方的用户名,当没有配置认证的用户名和密码时,可以使用此命令配置默认的密码,配置IP地址协商,服务器端Router(config-if)# peer default ip address ip_addr客户端Router(config-if)# ip address negotiated,配置此命令后,原先在接口上配置的IP地址将被删除,配置PPP压缩,启用PPP压缩Router(config-if)# compress { predictor | stac }启用TCP/IP头压缩Router(config-if)# ip tcp header-compression,需要在PPP链路的两端均配置才能生效当路由器负载过大时,最好不要启用PPP压缩,需要在PPP链路的两端均配置才能生效在高速线路上最好不要启用此功能,PPP配置实例,RouterA# config terminalRouterA(config)# interface serial 0/0RouterA(config-if)# ip address 192.168.1.2 255.255.255.252RouterA(config-if)# encapsulation pppRouterA(config-if)# ppp pap sent-username benet password 0 bestRouterA(config-if)# no shutdown,RouterB# config terminal RouterB(config)# username benet password 0 bestRouterB(config)# interface serial 0/0RouterB(config-if)# ip address 192.168.1.1 255.255.255.252RouterB(config-if)# clock rate 2000000RouterB(config-if)# encapsulation pppRouterB(config-if)# ppp authentication papRouterB(config-if)# no shutdown,A,B,PPP的调试和排错3-1,show interface命令Router#show interface serial 0/1Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCPMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP,物理层UP,数据链路层UP,此接口的IP地址由IPCP协议协商决定,此接口链路层封装协议为PPP,LCP、IPCP、CDPCP协议状态都为open,PPP的调试和排错3-2,debug ppp packet命令*Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up*Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:21:38.211: Se0/1 LCP: O CONFREQ [Closed] id 33 len 10*Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3)*Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent*Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ [REQsent] id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3)*Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0xC021, datagramsize 14*Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK [REQsent] id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0x13D78FE3 (0x050613D78FE3)*Mar 1 00:21:40.226: Se0/1 PPP: I pkt type 0xC021, datagramsize 18*Mar 1 00:21:40.226: Se0/1 LCP: I CONFREQ [ACKrcvd] id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0x0304C023)*Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0x13940FF0 (0x050613940FF0)*Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK [ACKrcvd] id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0x0304C023)*Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0x13940FF0 (0x050613940FF0),。