ppplcp协商报⽂有哪些_PPP点到点协议
⼀、PPP协议介绍
PPP协议包含 LCP PAP CHAP NCP(IPV4CP IPV6CP IPXCP)等⼯作在链路层⽀持链路级的 AAA 认证。 Authentication 认证:出⽰凭证 主认证 被认证 如锁是主认证,钥匙就是被认证被认证⽅要向主认证⽅出⽰⽤户名密码,主认证⽅确定没有问题在把链路开启。 Authorization 授权:认证通过后,我需要判断你能使⽤多少资源
Accounting 审计:监控 接收什么样流量
PPP 协议是⼀种点到点链路层协议,主要⽤于在全双⼯的同异步链路上进⾏点到点的数据传输。
PPP ⽀持所有类型的压缩,HDLC ⽀持站点压缩。
档案2013多链路捆绑,因为有 NCP,通过设置 TLV 字段轻松的⽀持各种三层⽹络协议 。
链路两端接⼝地址不配在同⼀个⼦⽹段,不写静态,通过 NCP 就能⾃动获悉去往对端接⼝的 32 为主机
路由,有了主机路由,就算⼦⽹段不在同⼀个,也能够互联互通。
同步/异步线缆都⽀持。
⼆、PPP组件及帧格式
1.组件
2.帧格式
三、LCP:数据链路层状态激活
两端都回给对端主动发送 LCP configuration request 配置请求报⽂ 中包含的参数可以设置 TLV,⼤体包含如下 : 环球新闻眼MRU 最⼤接收单元:默认 1500.两端需要⼀致。
认证协议:是使⽤ PAP /CHAP 。
Magic number 魔术字:防⽌环路的 router 在发送 LCP 报⽂之前,先本地基于硬件产⽣随机⼀个魔术
字,在发送的 configuration request 携带魔术字,对⽅收到报⽂会对⽐魔术字是否⼀样,如果⼀样,⾸先会给发送者返回⼀个错误 configuration NAK ⾮确认报⽂,我在本地计算⼀个新的魔术字,在等待发送⽅给我发送 configuration request。
Quality protocol 质量协议:⽤来做 QoS,那些数据优先转发 。
MP 多链路参数:描述是否⽤来做链路捆绑 。
报头压缩 。
载荷压缩:在报头中要不要做报头压缩,载荷压缩。
当对端收到 configuration request 后⾸先是查看这些参数,我是否能够识别,我和你的值能 否匹配,如果匹配也能识别,给你回复configuration ACK 配置确认报⽂,参数识别但不⽀持 回复 configuration NAK有些压根不识别 回复 configuration reject 拒绝都回复ACK,没有做认证的话,数据链路层是 UPUP,如果做的认证数据链路层还是 down 的。
下⾯我们来看⼀下LCP的报⽂,如下:
四、PAP 密码认证协议
PAP 密码认证协议⼜称为⼆次握⼿协议。⽐如有两台路由器相连:R1--------------R2,其中R1为主,R2为被动。之时就需要R2 给 R1 发送⽤户名密码。即Authentication- request 被认证⽅主动发送给主认证⽅,包含⽤户名密码,都是明⽂表⽰。主认证⽅收到后,在他的AAA 数据库⾥包含⽤户名密码条⽬,做⼀个匹配,匹配成功会返还 Authentication-ACK,失败返还 Authentication-NAK。
汽化潜热
五、CHAP 挑战握⼿认证协议
CHAP也称为三次握⼿协议,密⽂认证。
Challenge 主认证⽅给被认证⽅发送,包含随机数(防⽌重放攻击)、报⽂ IP(⽤来做确认 主认证⽅的⽤户名可选的。其中:Cisco ⼀定会包含⽤户名,可以在主认证⽅接⼝进⾏配置、没有配置将⾃⼰ hostname 发⾛;Huawei 可选的,如果接⼝配置了就发,如果没有配置就不发。
Response 被认证⽅给主认证⽅发送的回应 包含⽤户名(被认证⽅接⼝配置的⽤户名)、散列值(密码:
接⼝配置的密码+随机数+会话 ID、执⾏ MD5 计算),会话 ID(表⽰我这个 Response 是关于你 Challenge 的回应)主认证⽅收到后,做⼀个匹配,成功返还 success、失败返还 failure。
在发送 Challenge 到底包不包含⽤户名,Huawei 和 Cisco 完全是不⼀样的,先看 Huawei。
1.Huawei
如果被认证⽅收到的 challenge ⾥没有包含⽤户名,被认证⽅必须出⽰接⼝所配置的⽤户名和密码,执⾏散列发⾛。如果被认证⽅收到的challenge ⾥包含⽤户名,根据⽤户名在本地 AAA 认证数据库⾥有没有对应的密码条⽬存在。
例如包含的⽤户名为 R1,在被认证⽅真有 R1 的 ppp 密码配置:
Localuser R1 password cipher Huawei
Localuser R1 service-type ppp
收到的 challenge ⾥包含 R1 ⽤户名,我就会拿 R1 的⽤户名在本地 AAA 认证数据库⾥对应的密码,到条⽬后对应的密码 Huawei
来做⼀个发送,在发送 Response 的时候就可以 包含这个密码。
胡延照但是这个时候我被认证⽅接⼝也配置了密码,这个时候被认证⽅接⼝配置的密码出⽰优先级⾼于 AAA 认证数据库的密码,这个时候主认证⽅给被认证⽅发送⼀个 Challenge,假设包含⽤户名 R1,在被认证⽅ AAA数据库⾥有 R1 密码存在,并且没有在接⼝配置密码,就使⽤Huawei 密码来做⼀个出⽰,⽤户名还是出⽰我接⼝配置的。这个时候在 AAA 数据库中没有到对应的条⽬,只能在接⼝配置密码。
在认证数据库中存在密码,并且接⼝也配置了密码,就出⽰接⼝密码。所以华为的被认证⽅并不是要求 100%在接⼝配置密码信息,可以不配,但是在主认证⽅发送的 Challenge 必须包含⽤户名,在被认证⽅要针对这个⽤户名在本地 AAA 数据库中去创建⼀个相对应的密码条⽬。认证才能通过。
2.Cisco
主认证 ⽤户名可以接⼝配置,没有没有配置,主认证⽅就会把⾃⼰的主机名发⾛。被认证⽅收到的 Challenge ⾥⼀定会包含⽤户名,如
R1 被认证收到后基于你的⽤户名在本地 AAA 数据库⾥对应的密码条⽬,到出⽰这个密码。
被认证⽅本地 AAA 数据库的密码优先级⾼于接⼝级的密码优先级,全局⾼于接⼝
被认证⽅出⽰⽤户名的时候,接⼝配置了就出⽰接⼝配置,没有配置把⾃⼰主机名发⾛。举例如下:
R1-----------------------------R2
R1 和 R2 就是两台路由器的⽤户名,做双向认证。,接⼝什么都不配置,认证如何通过。如下:
R1 :username R2 password Cisco
R2 :username R1 password Cisco
只需要创建⽤户名是对端主机的条⽬,并且 password ⼀致就 OK,R1 由于什么也没有做,发送 Challenge 认证的时候,⽤户名就是
R1,在 R2 上有对应的 R1的密码条⽬,出⽰密码的时候,就出⽰ Cisco。
由于我的接⼝也没有配置⽤户名,我给你出⽰的⽤户名就是主机名,所以 R2 给 R1 出⽰的⽤户名是 R2 password 是 Cisco 所以 R1 收到⽤户名为 R2,密码为 Cisco 的 Challenge 之后,我拿这个信息和的配置信息对⽐ 。⽤户名和 password 都⼀致,通过。现在 R2 就算是在接⼝级配置 Cisco123 密码,⼀样能够通过,因为使⽤的密码还是 Cisco。
洁银
认证通过后,下⾯就是使⽤ NCP 做 3 层协商,通常是 IPV4CP,NCP 和 LCP 协商差不多,双⽅都给对端都是发送 configuration request,这个只会包含你接⼝的地址信息和 DNS 信息,对⽅收到后会判
断⾸先你是否有地址,地址是否冲突,都 OK,给你返configuration ACK,不 OK 返还 configuration NAK,并且会告诉你的那些参数有问题。
NCP 和 LCP 都 OK,PPP 链路就可以⼯作了 使⽤完链路之后可以通过 LCP 去关闭链路。
PPP 链路建⽴有 3 步 :
1.通过 LCP 去协商数据链路层的参数,协商完毕后链路基本已经 UP UP 了。
2.认证 可选的,可以使⽤ PAP /CHAP 来完成认证,可以单向可以双向,两端都给对端发送⽤户名密码,对⽅都要给你的⽤户名密码做⼀个审核评判。可选的必须要做。
3.认证通过后, 根据你三层所使⽤的协议,然后我运⾏相对应的 NCP 协议来做⼀个协商,协商 3层的地址信息,看接⼝是否有地址,地址是否冲突,没有问题后,建⽴完成。
六、IPCP动态地址协商
如果有⼀端没有配置地址,发送 configuration request 对于没有地址这⼀段我的地址就是全0,收到全 0 之后,意识你没有地址,给你回复⼀个 NAK,在 NAK 中告诉你,可以使⽤这个地址,这个地址就是和我接⼝同⼀个⼦⽹端中可⽤的地址,给你发送⼀个,之后你会⽤
应⽤这个地址,给你发送 configuration request 携带这个地址。
我爱读书网
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议