2025信息系统项目管理师视频教程
128074 人在学
广域网PPP协议简介
PPP(Point-to-Point Protocol)协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。
PPP协议是在串行线IP协议SLIP(Serial Line Internet Protocol)的基础上发展起来的。由于SLIP协议具有只支持异步传输方式、无协商过程(尤其不能协商如双方IP地址等网络层属性)、只能承载IP一种网络层报文等缺陷,在发展过程中,逐步被PPP协议所替代。
PPP协议有如下优点:
•对物理层而言,PPP既支持同步链路又支持异步链路,而X.25、FR(Frame Relay)等数据链路层协议仅支持同步链路,SLIP仅支持异步链路。
•PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
•提供LCP(Link Control Protocol)协议,用于各种链路层参数的协商。
•提供各种NCP(Network Control Protocol)协议(如IPCP、IPXCP),用于各网络层参数的协商,更好地支持了网络层协议。
•提供认证协议CHAP(Challenge-Handshake Authentication Protocol)、PAP(Password Authentication Protocol),更好的保证了网络的安全性。
•无重传机制,网络开销小,速度快。
PPP应用场景
路由器作为企业出口网关时,LAN侧连接内网主机,WAN侧连接运营商网络设备,根据WAN侧接口不同,运营商网络设备可能为DSLAM、OLT、无线基站。
PPP主要有以下应用:
•RouterA通过PPP链路与RouterB的WAN侧接口相连,RouterA通过PPP的IPCP协商获取IP地址,与广域网络建立连接。主要运用于企业分支机构和总部间可以通过PPP链路实现园区网间的互联。
•PPP和其他技术结合,可以提供多种业务。设备支持的业务有PPPoE、PPPoA、PPPoEoA、PPPoFR、PPPoMFR和PPPoISDN。
PPP的建链过程
下图是PPP协议整个链路过程需经历阶段的状态转移图:
PPP运行的过程简单描述如下:
1.通信双方开始建立PPP链路时,先进入到Establish阶段。
2.在Establish阶段,PPP链路进行LCP协商。协商内容包括工作方式是SP(Single-link PPP)还是MP(Multilink PPP)、最大接收单元MRU(Maximum Receive Unit)、验证方式和魔术字(magic number)等选项。LCP协商成功后进入Opened状态,表示底层链路已经建立。
3.如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。如果没有配置验证,则直接进入Network阶段。
4.在Authenticate阶段,如果验证失败,进入Terminate阶段,拆除链路,LCP状态转为Down。如果验证成功,进入Network阶段,此时LCP状态仍为Opened。
5.在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。
NCP协商包括IPCP(IP Control Protocol)、MPLSCP(MPLS Control Protocol)等协商。IPCP协商内容主要包括双方的IP地址。
6.NCP协商成功后,PPP链路将一直保持通信。PPP运行过程中,可以随时中断连接,物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。
7.在Terminate阶段,如果所有的资源都被释放,通信双方将回到Dead阶段,直到通信双方重新建立PPP连接,开始新的PPP链路建立。
Authenticate阶段(验证阶段)
缺省情况下,PPP链路不进行验证。如果要求验证,在链路建立阶段必须指定验证协议。
PPP验证主要是用于主机和设备之间,通过PPP网络服务器交换电路或拨号接入连接的链路,偶尔也用于专用线路。
PPP提供密码验证协议PAP(Password Authentication Protocol)和质询握手验证协议CHAP(Challenge-Handshake Authentication Protocol)两种验证方式。
单向验证是指一端作为验证方,另一端作为被验证方。双向验证是单向验证的简单叠加,即两端都是既作为验证方又作为被验证方。在实际应用中一般只采用单向验证。
PAP验证过程
PAP验证协议为两次握手验证,口令为明文。
•被验证方把本地用户名和口令发送到验证方。
•验证方根据本地用户表查看是否有被验证方的用户名
■若有,则查看口令是否正确,若口令正确,则认证通过;若口令不正确,则认证失败。
■若没有,则认证失败。
CHAP验证过程
CHAP验证协议为三次握手验证协议。它只在网络上传输用户名,而并不传输用户密码,因此安全性要比PAP高。
CHAP单向验证过程分为两种情况:验证方配置了用户名和验证方没有配置用户名。推荐使用验证方配置用户名的方式,这样可以对验证方的用户名进行确认。
•验证方配置了用户名的验证过程
■验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方。
■被验证方接到验证方的验证请求后,先检查本端接口上是否配置了ppp chap password命令,如果配置了该命令,则被验证方用报文ID、命令中配置的用户密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response)。如果接口上未配置ppp chap password命令,则根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,用报文ID、此用户的密钥(密码)和MD5算法对该随机报文进行加密,将生成的密文和被验证方自己的用户名发回验证方(Response)。
■验证方用报文ID和自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,若比较结果一致,认证通过,若比较结果不一致,认证失败。
■验证方没有配置用户名的验证过程
■验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge)。
■被验证方接到验证方的验证请求后,利用报文ID、ppp chap password命令配置的CHAP密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response)。
■验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,若比较结果一致,认证通过,若比较结果不一致,认证失败。
CHAP与PAP验证过程对比
•PAP认证中,口令以明文方式在链路上发送,完成PPP链路建立后,被验证方会不停地在链路上反复发送用户名和口令,直到身份验证过程结束,所以安全性不高。当实际应用过程中,对安全性要求不高时,可以采用PAP认证建立PPP连接。
•CHAP认证中,验证协议为三次握手验证协议。它只在网络上传输用户名,而并不传输用户密码,因此安全性比PAP认证高。当实际应用过程中,对安全性要求较高时,可以采用CHAP认证建立PPP连接。
PPP配置举例
组网需求
RouterA的Serial1/0/0和RouterB的Serial1/0/0相连。
用户希望RouterA对RouterB进行可靠的认证,而RouterB不需要对RouterA进行认证。
配置思路
配置思路如下:
1.用户希望进行可靠的认证,对安全的要求较高,所以需要配置CHAP认证且认证方需要配置用户名。
2.用户希望进行单向认证,所以仅需要配置RouterA作为CHAP认证的认证方,RouterB作为CHAP认证的被认证方。
操作步骤
1.配置RouterA
# 配置接口Serial1/0/0的IP地址及封装的链路层协议为PPP。
system-view
[Huawei] sysname RouterA
[RouterA] interface serial 1/0/0
[RouterA-Serial1/0/0] link-protocol ppp
[RouterA-Serial1/0/0] ip address 10.10.10.9 30
[RouterA-Serial1/0/0] quit
# 配置本地用户及域。
[RouterA] aaa
[RouterA-aaa] authentication-scheme system_a
[RouterA-aaa-authen-system_a] authentication-mode local
[RouterA-aaa-authen-system_a] quit
[RouterA-aaa] domain system
[RouterA-aaa-domain-system] authentication-scheme system_a
[RouterA-aaa-domain-system] quit
[RouterA-aaa] local-user user2@system password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters.
Please enter password:
Please confirm password:
Info: Add a new user.
Warning: The new user supports all access modes. The management user access mode
s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi
sed to configure the required access modes only.
[RouterA-aaa] local-user user2@system service-type ppp
[RouterA-aaa] quit
# 配置PPP认证方式为CHAP、认证域为system。
[RouterA] interface serial 1/0/0
[RouterA-Serial1/0/0] ppp authentication-mode chap domain system
# 重启接口,保证配置生效。
[RouterA-Serial1/0/0] shutdown
[RouterA-Serial1/0/0] undo shutdown
2.配置RouterB
# 配置接口Serial1/0/0的IP地址及封装的链路层协议为PPP。
system-view
[Huawei] sysname RouterB
[RouterB] interface serial 1/0/0
[RouterB-Serial1/0/0] link-protocol ppp
[RouterB-Serial1/0/0] ip address 10.10.10.10 30
# 配置本地被RouterA以CHAP方式认证时RouterB发送的CHAP用户名和密码。
[RouterB-Serial1/0/0] ppp chap user user2@system
[RouterB-Serial1/0/0] ppp chap password cipher huawei123
# 重启接口,保证配置生效。
[RouterB-Serial1/0/0] shutdown
[RouterB-Serial1/0/0] undo shutdown
验证配置结果
# 通过命令display interface serial 1/0/0查看接口的配置信息,接口的物理层和链路层的状态都是Up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且RouterA和RouterB可以互相Ping通对方。
课课家教育,拥有十年华为网络工程师认证培训经验,课课家教育一直坚持自主研发,将丰富的华为网络工程师培训经验有效融入教程研发过程,自成体系的华为网络工程师视频教程和华为网络工程师培训教材、华为网络工程师在线题库等使考生的学习更具系统性,辅导更具针对性。
>>>>>>点击进入华为认证专题