《[合同协议]第2章 点到点协议PPP2011-11-13》由会员分享,可在线阅读,更多相关《[合同协议]第2章 点到点协议PPP2011-11-13(34页珍藏版)》请在金锄头文库上搜索。
1、1网络协议分析网络协议分析第2章点到点协议PPP2本章内容2.1 PPP协议概述 2.2 PPP帧格式 2.3 PPP协议流程 2.4 链路控制协议LCP 2.5 网络控制协议NCP 2.6 PPP认证(PAP,CHAP) 2.7 PPPoE 技术32.1 PPP协议概述PPP协议常用于家庭用户与ISP通过拨号建立连接时使用的数据链路层协议。用 户至因特网ISP接入网PPP 协议PPP 协议4PPP协议的功能能够控制数据链路的建立; 允许多个PPP物理连接绑定在一起作为一条单独的逻辑连接。 支持多种网络层协议(IP(IP、IPXIPX和和AppleTalk)AppleTalk); 可运行在多种
2、类型的链路上(串行/并行,同步/异步) 能够有效进行错误检测(CRC); 支持验证(PAP,CHAP) 有协商选项,能够对网络层的地址和数据压缩等进行协商。5协议: = 0x0021 时,数据部分是IP数据报。 = 0xC021 时, 数据部分是 LCP数据 = 0x8021 时,数据部分是 NCP数据。 = 0xC023 时,数据部分是 PAP数据。 = 0xC223 时,数据部分是 CHAP数据。2.2 PPP 协议的帧格式PPP 帧1211字节127EFF03FACFCSF7E协议数据部分首部尾部不超过 1500 字节6说明地址字段 A = 0xFF(只用于点到点传输,目的地址唯一)。
3、标志字段 F = 0x7E (01111110),是PPP帧的定界符。 PPP帧定界的两种方法:字符填充法(异步链路:逐个字符传输) 零比特填充法(同步链路:逐个比特传输)72.3 PPP2.3 PPP协议流程协议流程(1 1)建立、配置及测试数据链路的)建立、配置及测试数据链路的LCPLCP协议协议 (2 2)针对不同网络层协议的网络控制协议)针对不同网络层协议的网络控制协议NCPNCP (3 3)在串行链路上封装)在串行链路上封装IPIP数据报数据报PPPPPP协议体系结构协议体系结构82.3 PPP2.3 PPP协议流程协议流程-图示图示链路不可用阶段链路不可用阶段(Dead):(Dea
4、d):表明物理层尚未准备好表明物理层尚未准备好92.3 PPP2.3 PPP协议流程协议流程-图示图示链路建立阶段链路建立阶段(Establish):(Establish):检测到载波信号,检测到载波信号,使用LCP建立和配置PPP链路102.3 PPP2.3 PPP协议流程协议流程-图示图示身份验证阶段身份验证阶段(Authenticate):(Authenticate):身份认证阶段112.3 PPP2.3 PPP协议流程协议流程-图示图示网络层协议阶段网络层协议阶段(NetworkNetwork): :使用NCP配置网络层协议122.3 PPP2.3 PPP协议流程协议流程-图示图示 网
5、络终止阶段网络终止阶段( (Terminate):PPPTerminate):PPP链路终止,但物链路终止,但物理层仍可用;当无载波信息时,进入理层仍可用;当无载波信息时,进入DeadDead阶段。阶段。132.4 LCP协议LCP链路配置报文格式类型ID长度 选项类型(见教材表2-2): 链路配置报文 链路终止报文 链路维护报文 ID:报文标识符 长度:报文字节数 选项:指明最大报文长度、认证协议及压缩等选项。14C021LCP数据数据FCSF 7EA FFC 03F 7E类型(类型(1)ID(1)长度(长度(13)MRU(1500)类型(类型(1)长度(长度(4) 认证协议(认证协议(CH
6、AP)类型(类型(3)长度(长度(5) MD5LCP 报文-示例PPP 帧LCP的Configure-Request报文031MRU:最大接收报文长度:最大接收报文长度15LCP链路配置过程(1)Configure-Request:(1)Configure-Request:发起方发送的链路配置请求报文发起方发送的链路配置请求报文发起方发起方回应方回应方Configure-Request16LCP链路配置过程(2)Configure-Ack:(2)Configure-Ack:如果Confiure-Request中的每个选项都能被接收端识别,而且都被接受;如果Confiure-Request中的每
7、个选项都能被接收端识别,而且都被接受;发起方发起方回应方回应方Configure-RequestConfigure-Ack17LCP链路配置过程(3)Configure-Nak:(3)Configure-Nak:如果Confiure-Request中的每个选项都能识别,但只有部分能接受;如果Confiure-Request中的每个选项都能识别,但只有部分能接受;发起方发起方回应方回应方Configure-RequestConfigure-NakConfigure-Ack18LCP链路配置过程(4)Configure-Reject:(4)Configure-Reject:如果Confiure-R
8、equest中有部分选项不能被识别,或不能被接受。如果Confiure-Request中有部分选项不能被识别,或不能被接受。发起方发起方回应方回应方Configure-RequestConfigure-NakConfigure-RejectConfigure-Ack192.5 NCP协议PPP协议两端的网络层可以运行不同的网络层协议,如果采用IP协议,则PPP协议的NCP模块采用IPCP协议。 IPCP协议的主要功能:请求PPP回应方分配一个IP地址给发送方。IP地址的两种协商方式: 发送方在Configure-Request报文中指定一个IP地址; 由回应方直接指派一个IP地址。208021
9、IPCP数据数据FCSF 7EA FFC 03F 7E类型(类型(1)ID(1)长度(长度(14)压缩协议压缩协议类型(类型(2)长度(长度(4) IP地址地址类型(类型(3)长度(长度(6) IP地址地址IPCP 报文-示例PPP 帧031212.6 PPP2.6 PPP认证认证PPPPPP支持两种认证协议:支持两种认证协议:PAPPAP和和CHAPCHAP。 (1 1)密码验证协议密码验证协议PAPPAP(Password Password Authentication ProtocolAuthentication Protocol):通过两次握手机):通过两次握手机制验证远程节点。制验证
10、远程节点。 (2 2)挑战握手验证协议挑战握手验证协议CHAPCHAP(Challenge Challenge Hand Authentication ProtocolHand Authentication Protocol):使用三次):使用三次握手机制来启动一条链路和周期性的验证远程握手机制来启动一条链路和周期性的验证远程节点。节点。22PAPPAP认证认证PAPPAP认证:两次握手,认证:两次握手,密码在链路上是以明文方式传输的。被验证方首先发起验证请求。 由于验证重试的频率和次数由远程节点来控制,由于验证重试的频率和次数由远程节点来控制,因此不能防止回放攻击和重复的尝试攻击。因此不能防
11、止回放攻击和重复的尝试攻击。 PAPPAP认证只在链路建立阶段使用。认证只在链路建立阶段使用。23CHAPCHAP认证认证CHAPCHAP认证:三次握手。认证:三次握手。它只在网络上传送用户名而不传送口令,主验证方首先发起验证请求,安全性比PAP高。 CHAP认证可在链路建立和数据通信阶段多次使用。24CHAPCHAP验证过程验证过程(1 1)CHAPCHAP身份验证呼叫阶段身份验证呼叫阶段(2 2)CHAPCHAP身份验证挑战阶段身份验证挑战阶段25CHAPCHAP验证过程验证过程(3 3)CHAPCHAP身份验证回应阶段身份验证回应阶段26CHAPCHAP验证过程验证过程(4 4)CHAP
12、CHAP身份验证回应阶段身份验证回应阶段27CHAPCHAP验证过程验证过程(5 5)CHAPCHAP身份验证确认阶段身份验证确认阶段28CHAPCHAP验证过程验证过程(6 6)CHAPCHAP身份验证确认阶段(成功)身份验证确认阶段(成功)29CHAPCHAP验证过程验证过程(7 7)CHAPCHAP身份验证确认阶段(失败)身份验证确认阶段(失败)30配置PPP 验证RouterX(config-if)# encapsulation ppp封装PPP协议RouterX(config)# hostname name给本路由器取名RouterX(config)# username name p
13、assword password保存对方路由器的用户名和密码RouterX(config-if)# ppp authentication chap | chap pap | pap chap | pap设置认证方式(PAP,CHAP)31CHAP 配置举例hostname RouterX username RouterY password sameone ! int serial 0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication chaphostname RouterY username Route
14、rX password sameone ! int serial 0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication chap10.0.1.110.0.1.2322.7 PPPoE协议PPPoE :在以太网上封装点对点协议。 PPPoE的适用场合: 用于有线电视调制解调器的服务程序 用于数字用户线路(ADSL)的服务程序任何能被PPP封装的协议都可以通过PPPoE 传输。 PPPoE协议把PPP帧封装在以太网帧中。33PPPoE报文格式填充34PPPoE的特点(1) PPPoE可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计。(2) PPPoE可以提供动态IP地址分配方式,同时根据分配的IP地址,定位用户在本网内的活动。(3) 从运营商的角度来看,PPPoE对现存的网络结构变更较小。
