ATEN_PPT_CHAP06_V14

1、第第05章內容回顧章內容回顧v廣域網(wǎng)的連接類型都有哪些廣域網(wǎng)的連接類型都有哪些v常用的廣域網(wǎng)封裝協(xié)議有什么常用的廣域網(wǎng)封裝協(xié)議有什么v列舉五種廣域網(wǎng)連接的接口類型列舉五種廣域網(wǎng)連接的接口類型PPPPPPPPP協(xié)議協(xié)議協(xié)議協(xié)議協(xié)議協(xié)議第第06章章本章目標本章目標v能夠在點對點鏈路上配置能夠在點對點鏈路上配置PPP協(xié)議協(xié)議 了解了解PPP協(xié)議的基本概念協(xié)議的基本概念 掌握掌握PPP鏈路的建立過程鏈路的建立過程 掌握掌握PAP和和CHAP認證認證 了解多鏈路了解多鏈路PPP 掌握掌握PPP協(xié)議的配置協(xié)議的配置PPP的認證的認證本章結構本章結構PPP協(xié)議協(xié)議PPP協(xié)議概述協(xié)議概述多鏈路多鏈路PPPPP

2、P的配置的配置PAP認證認證CHAP認證認證PPP協(xié)議的產(chǎn)生協(xié)議的產(chǎn)生PPP幀格式幀格式PPP鏈路的建立鏈路的建立PPP的組成的組成PPP協(xié)議概述協(xié)議概述vPPP（Point to Point Protocol）協(xié)議是在點對）協(xié)議是在點對點鏈路上運行的數(shù)據(jù)鏈路層協(xié)議點鏈路上運行的數(shù)據(jù)鏈路層協(xié)議v用戶使用撥號電話線接入用戶使用撥號電話線接入Internet時，一般都是時，一般都是使用使用 PPP 協(xié)議協(xié)議PSTNPPP協(xié)議協(xié)議PPP協(xié)議的產(chǎn)生協(xié)議的產(chǎn)生-SLIP協(xié)議協(xié)議vSLIP協(xié)議（協(xié)議（Serial Line Internet Protocol） 是在串行線路上對是在串行線路上對IP數(shù)據(jù)報進

3、行封裝的簡單協(xié)議數(shù)據(jù)報進行封裝的簡單協(xié)議 產(chǎn)生于二十世紀八十年代中期產(chǎn)生于二十世紀八十年代中期vSLIP協(xié)議的缺點協(xié)議的缺點 封裝格式十分簡單，無法進行封裝格式十分簡單，無法進行IP地址等參數(shù)的協(xié)商地址等參數(shù)的協(xié)商 只支持只支持IP協(xié)議協(xié)議 不具備校驗功能不具備校驗功能IP數(shù)據(jù)報文數(shù)據(jù)報文+END字符字符=SLIP數(shù)據(jù)幀數(shù)據(jù)幀PPP協(xié)議的發(fā)展歷程協(xié)議的發(fā)展歷程v1989年，年，PPP 協(xié)議被提出協(xié)議被提出v1994年，經(jīng)過年，經(jīng)過 多年的修訂，多年的修訂，PPP 協(xié)議正式已成協(xié)議正式已成為為Internet的標準之一的標準之一v由由RFC 1661定義，還包括定義，還包括RFC 1662、RF

4、C 1663等一系列協(xié)議等一系列協(xié)議PPP協(xié)議的優(yōu)點協(xié)議的優(yōu)點v支持同步或異步串行鏈路的傳輸支持同步或異步串行鏈路的傳輸v支持多種網(wǎng)絡層協(xié)議支持多種網(wǎng)絡層協(xié)議v支持錯誤檢測支持錯誤檢測v支持網(wǎng)絡層的地址協(xié)商支持網(wǎng)絡層的地址協(xié)商v支持用戶認證支持用戶認證v允許進行數(shù)據(jù)壓縮允許進行數(shù)據(jù)壓縮PPP的組成的組成vPPP主要包括三個部分主要包括三個部分 在串行鏈路上封裝上層數(shù)據(jù)報文的方法在串行鏈路上封裝上層數(shù)據(jù)報文的方法 采用采用LCP（Link-Control Protocol，鏈路控制協(xié)議），鏈路控制協(xié)議）來建立、控制數(shù)據(jù)鏈路來建立、控制數(shù)據(jù)鏈路 采用采用NCP（Network-Control Pr

5、otocol，網(wǎng)絡控制協(xié)，網(wǎng)絡控制協(xié)議）來支持多種網(wǎng)絡協(xié)議議）來支持多種網(wǎng)絡協(xié)議物理介質（同物理介質（同/ /異步）異步）LCPNCPPPPIPIPX其它網(wǎng)絡協(xié)議其它網(wǎng)絡協(xié)議IPCPIPXCP其它NCP網(wǎng)絡層網(wǎng)絡層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層PPP鏈路的建立鏈路的建立vPPP鏈路的建立共有五個階段鏈路的建立共有五個階段鏈路不可用鏈路不可用階段階段鏈路建立鏈路建立階段階段認證階段認證階段網(wǎng)絡層協(xié)議網(wǎng)絡層協(xié)議階段階段鏈路終止鏈路終止階段階段物理層物理層 UP鏈路鏈路UP認證通認證通過或無過或無認證認證認證失敗認證失敗關閉關閉失敗失敗PPP幀格式幀格式協(xié)議域協(xié)議域信息域信息域0 x7E 0 xF

6、F 0 x03幀校驗幀校驗0 x7E1Byte2Bytes2Bytes1Byte1Byte1Byte信息域：根據(jù)協(xié)議域的內容而定信息域：根據(jù)協(xié)議域的內容而定 當協(xié)議域為當協(xié)議域為LCP協(xié)議時，信息域內為協(xié)議時，信息域內為LCP協(xié)商參數(shù)協(xié)商參數(shù) 當協(xié)議域為當協(xié)議域為NCP協(xié)議時，信息域內為協(xié)議時，信息域內為NCP協(xié)商參數(shù)協(xié)商參數(shù) 當協(xié)議域為當協(xié)議域為IP協(xié)議時，信息域內為用戶數(shù)據(jù)協(xié)議時，信息域內為用戶數(shù)據(jù)地址域：對方的數(shù)據(jù)鏈路層地址。地址域：對方的數(shù)據(jù)鏈路層地址。因為因為PPP協(xié)議是點對點的鏈路層協(xié)議，協(xié)議是點對點的鏈路層協(xié)議，所以此字節(jié)無意義，用所以此字節(jié)無意義，用0 xFF填充填充標志字節(jié)：

7、用來標示標志字節(jié)：用來標示PPP幀的開始和幀的開始和結束結束控制域：通常用控制域：通常用0 x03填充填充協(xié)議域：用來區(qū)分協(xié)議域：用來區(qū)分PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)報文的內容數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)報文的內容常見取值：常見取值：0 xc021 信息域中承載的是信息域中承載的是LCP協(xié)議數(shù)據(jù)報文協(xié)議數(shù)據(jù)報文0 xc023 信息域中承載的是信息域中承載的是PAP協(xié)議的認證報文協(xié)議的認證報文0 xc223 信息域中承載的是信息域中承載的是CHAP協(xié)議的認證報文協(xié)議的認證報文0 x8021 信息域中承載的是信息域中承載的是NCP協(xié)議數(shù)據(jù)報文協(xié)議數(shù)據(jù)報文0 x0021 信息域中承載的是信息域中承

8、載的是IP協(xié)議數(shù)據(jù)報文協(xié)議數(shù)據(jù)報文LCP協(xié)議協(xié)議v用來建立、配置、維護、終止一條點對點鏈路用來建立、配置、維護、終止一條點對點鏈路vLCP協(xié)議協(xié)商選項協(xié)議協(xié)商選項 MRU，最大接收單元，最大接收單元 認證協(xié)議認證協(xié)議 鏈路壓縮鏈路壓縮 多鏈路捆綁多鏈路捆綁NCP協(xié)議協(xié)議v 用來建立、配置不同的網(wǎng)絡層協(xié)議用來建立、配置不同的網(wǎng)絡層協(xié)議v包括包括IPCP、IPXCP等協(xié)議等協(xié)議vIPCP協(xié)議協(xié)商選項協(xié)議協(xié)商選項 IP地址協(xié)商地址協(xié)商 TCP/IP頭壓縮頭壓縮PPP協(xié)議由鏈路層封裝方法、協(xié)議由鏈路層封裝方法、LCP協(xié)議、協(xié)議、NCP協(xié)協(xié)議三部分組成議三部分組成PPP的幀格式的幀格式LCP協(xié)議用來負責

9、鏈路的配置協(xié)議用來負責鏈路的配置NCP協(xié)議用來負責網(wǎng)絡協(xié)議的配置協(xié)議用來負責網(wǎng)絡協(xié)議的配置PPP鏈路建立的過程鏈路建立的過程階段總結階段總結PPP認證協(xié)議認證協(xié)議v PPP協(xié)議支持用戶的認證，是廣域網(wǎng)接入使用最協(xié)議支持用戶的認證，是廣域網(wǎng)接入使用最廣泛的協(xié)議廣泛的協(xié)議vPPP協(xié)議支持兩種認證協(xié)議協(xié)議支持兩種認證協(xié)議 PAP（Password Authentication Protocol，口令認，口令認證協(xié)議）證協(xié)議） CHAP（Challenge Handshake Authentication Protocol，質詢握手認證協(xié)議），質詢握手認證協(xié)議）PAP認證認證vPAP是兩次握手認證協(xié)議

10、，口令以明文傳送，被是兩次握手認證協(xié)議，口令以明文傳送，被認證方首先發(fā)起認證請求。認證方首先發(fā)起認證請求。被認證方被認證方主認證方主認證方用戶名和密碼用戶名和密碼(user01/pw01)認證通過認證通過/ /未通過未通過用戶名：用戶名：user01密密 碼：碼：pw01username passworduser01 pw01根據(jù)用戶數(shù)據(jù)庫認證根據(jù)用戶數(shù)據(jù)庫認證用戶名密碼是否正確用戶名密碼是否正確CHAP認證認證41vCHAP是三次握手認證協(xié)議，不發(fā)送口令，主認是三次握手認證協(xié)議，不發(fā)送口令，主認證方首先發(fā)起認證請求，安全性比證方首先發(fā)起認證請求，安全性比PAP高。高。被認證方被認證方主認證方

11、主認證方主認證方用戶名，隨機數(shù)據(jù)主認證方用戶名，隨機數(shù)據(jù)被認證方用戶名，隨機報文與被認證方用戶名，隨機報文與密碼加密后的報文密碼加密后的報文接受接受/ /拒絕拒絕CHAP認證認證4201 id 隨機數(shù)據(jù)隨機數(shù)據(jù) 3640-1766-13640-1用戶名用戶名 口令口令3640-1 PWDid 隨機數(shù)據(jù)隨機數(shù)據(jù) PWDMD5Hash值值v主認證方發(fā)送認證請求主認證方發(fā)送認證請求表示此報文為表示此報文為認證請求認證請求此次認證的序此次認證的序列號列號主認證方認證主認證方認證用戶名用戶名被認證方在本地被認證方在本地的數(shù)據(jù)庫中查找的數(shù)據(jù)庫中查找對應的密碼對應的密碼用戶名用戶名 口令口令766-1 PW

12、DCHAP認證認證43v被認證方回復認證請求被認證方回復認證請求02 idHash值值766-1766-13640-1此報文為此報文為CHAP認認證響應報文證響應報文與認證請求中的與認證請求中的id相同相同被認證方的認證被認證方的認證用戶名用戶名主認證方在本地數(shù)據(jù)主認證方在本地數(shù)據(jù)庫中查找被認證方對庫中查找被認證方對應的口令應的口令id 隨機數(shù)據(jù)隨機數(shù)據(jù) PWD隨機數(shù)據(jù)隨機數(shù)據(jù)根據(jù)根據(jù)id找到先前保存找到先前保存的隨機數(shù)據(jù)的隨機數(shù)據(jù)MD5Hash值值與被認證方計算得與被認證方計算得到的到的Hash值做比較，值做比較，如果一致，則認為如果一致，則認為認證通過。認證通過。CHAP認證認證44v主認

13、證方確認認證是否通過主認證方確認認證是否通過766-13640-103 id“認證通過認證通過”多鏈路多鏈路PPPvMLP（MultiLink PPP）可以將多條）可以將多條PPP鏈路捆鏈路捆綁起來綁起來 v對于對于MLP鏈路兩端的設備，就好像只有一條鏈路兩端的設備，就好像只有一條PPP連接，只需配置一個連接，只需配置一個IP地址地址v優(yōu)點優(yōu)點 增加帶寬增加帶寬 負載分擔負載分擔 降低時延降低時延配置配置PPP協(xié)議協(xié)議v 進入串口配置模式進入串口配置模式Router(config)# interface serial 0/0v配置接口的鏈路層協(xié)議為配置接口的鏈路層協(xié)議為PPPRouter(co

14、nfig-if)# encapsulation pppv配置接口的配置接口的IP地址地址Router(config-if)# ip address ip_addr ip_mask配置配置PAP認證認證-主認證方主認證方v配置認證用戶名和密碼配置認證用戶名和密碼Router(config)# username user_name password 0 pass_wordv啟用啟用PAP認證認證Router(config-if)# ppp authentication pap0表示密碼為明文保存表示密碼為明文保存配置配置PAP認證認證-被認證方被認證方v配置認證用戶名和密碼配置認證用戶名和密碼Ro

15、uter(config-if)# ppp pap sent-username user_name password 0 pass_word主認證方和被認證方主認證方和被認證方配置的用戶名和密碼配置的用戶名和密碼必須一致必須一致配置配置CHAP認證認證-主認證方主認證方v配置認證用戶名和密碼配置認證用戶名和密碼Router(config)# username user_name password 0 pass_wordv啟用啟用CHAP認證認證Router(config-if)# ppp authentication chapv配置認證用的用戶名配置認證用的用戶名Router(config-if

16、)# ppp chap hostname user_name如果不配置此命令，默認使用路由器的主機名如果不配置此命令，默認使用路由器的主機名作為主認證方的用戶名作為主認證方的用戶名配置配置CHAP認證認證-被認證方被認證方v配置認證用戶名和密碼配置認證用戶名和密碼Router(config)# username user_name password 0 pass_wordv配置認證用的用戶名配置認證用的用戶名Router(config-if)# ppp chap hostname user_namev配置認證用的密碼配置認證用的密碼Router(config-if)# ppp chap pas

17、sword 0 pass_word如果不配置此命令，默認使用路由器的主機名如果不配置此命令，默認使用路由器的主機名作為被認證方的用戶名作為被認證方的用戶名當沒有配置認證的用戶名和密碼時，可以使用當沒有配置認證的用戶名和密碼時，可以使用此命令配置默認的密碼此命令配置默認的密碼配置配置IP地址協(xié)商地址協(xié)商v服務器端服務器端Router(config-if)# peer default ip address ip_addrv客戶端客戶端Router(config-if)# ip address negotiated配置此命令后，原先在接口上配置此命令后，原先在接口上配置的配置的IP地址將被刪除地址將

18、被刪除配置配置PPP壓縮壓縮v啟用啟用PPP壓縮壓縮Router(config-if)# compress predictor | stac v啟用啟用TCP/IP頭壓縮頭壓縮Router(config-if)# ip tcp header-compression需要在需要在PPP鏈路的兩端均配置才能生效鏈路的兩端均配置才能生效當路由器負載過大時，最好不要啟用當路由器負載過大時，最好不要啟用PPP壓縮壓縮需要在需要在PPP鏈路的兩端均配置才能生效鏈路的兩端均配置才能生效在高速線路上最好不要啟用此功能在高速線路上最好不要啟用此功能PPP配置實例配置實例RouterA# config termin

19、alRouterA(config)# interface serial 0/0RouterA(config-if)# ip address 192.168.1.2 255.255.255.252RouterA(config-if)# encapsulation pppRouterA(config-if)# ppp pap sent-username benet password 0 bestRouterA(config-if)# no shutdownRouterB# config terminal RouterB(config)# username benet password 0 best

20、RouterB(config)# interface serial 0/0RouterB(config-if)# ip address 192.168.1.1 255.255.255.252RouterB(config-if)# clock rate 2000000RouterB(config-if)# encapsulation pppRouterB(config-if)# ppp authentication papRouterB(config-if)# no shutdownABPPP的調試和排錯的調試和排錯3-1vshow interface命令命令Router#show interf

21、ace serial 0/1Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCPMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP物理層物理層UP，數(shù)據(jù)鏈，數(shù)據(jù)鏈路

22、層路層UP此接口的此接口的IP地址由地址由IPCP協(xié)議協(xié)議協(xié)商決定協(xié)商決定此接口鏈路層封裝協(xié)此接口鏈路層封裝協(xié)議為議為PPPLCP、IPCP、CDPCP協(xié)協(xié)議狀態(tài)都為議狀態(tài)都為openPPP的調試和排錯的調試和排錯3-2vdebug ppp packet命令命令*Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up*Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:2

23、1:38.211: Se0/1 LCP: O CONFREQ Closed id 33 len 10*Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3)*Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent*Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ REQsent id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x0

24、50613D78FE3)*Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0 xC021, datagramsize 14*Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK REQsent id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3)*Mar 1 00:21:40.226: Se0/1 PPP: I pkt type 0 xC021, datagramsize 18*Mar 1 00:21:40.226

25、: Se0/1 LCP: I CONFREQ ACKrcvd id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023)*Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0)*Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK ACKrcvd id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023)*Mar

26、 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0)鏈路不可用階段鏈路不可用階段鏈路建立階段鏈路建立階段PPP的調試和排錯的調試和排錯3-3vdebug ppp packet命令命令*Mar 1 00:21:40.230: Se0/1 PAP: O AUTH-REQ id 10 len 15 from benet*Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 xC023, datagramsize 9*Mar 1 00:21:40.234: Se0/1 PAP: I

27、AUTH-ACK id 10 len 5*Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 x8021, datagramsize 14*Mar 1 00:21:40.238: Se0/1 IPCP: I CONFREQ Closed id 1 len 10*Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.2 (0 x0306C0A80102)*Mar 1 00:21:40.238: Se0/1 IPCP: O CONFREQ Closed id 2 len 10*Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.1 (0 x0306C0A80101)*Mar 1 00:21:40.242: S