點對點協議 ((PPP)

1、 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 61點對點協議 (PPP) 訪問WAN 第二章 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 62目標目標描述點對點串行通信的基本概念。描述點對點串行通信的基本概念。描述關鍵的描述關鍵的 PPP 概念。概念。配置配置 PPP 封裝。封裝。解釋和配置解釋和配置 PAP 和和 CHAP 身份驗證。身份驗證。 2006 Cisco Systems, Inc. Al

2、l rights reserved.Cisco PublicITE 1 Chapter 63章節(jié)內容章節(jié)內容 2.1 串行點對點鏈路串行點對點鏈路 2.2 PPP 概念概念 2.3 配置配置 PPP 2.4 配置配置 PPP 認證認證 2.5 章節(jié)實驗章節(jié)實驗 2.6 本章總結本章總結 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 642.1串行點對點鏈路 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6

3、52.1.1 串行通信簡介串行通信簡介 利用串行連接，信息通過一條導線發(fā)送時，每次發(fā)送一利用串行連接，信息通過一條導線發(fā)送時，每次發(fā)送一個位。個位。 并行連接則通過多根導線同時傳輸多個位。并行連接則通過多根導線同時傳輸多個位。 時滯和串擾兩個因素限制了并行通信的速率。時滯和串擾兩個因素限制了并行通信的速率。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 662.1.1串行通信簡介串行通信簡介時滯（時滯（Clock Skew）串擾（串擾（Crosstalk） 2006 Cisco Systems, I

4、nc. All rights reserved.Cisco PublicITE 1 Chapter 672.1.1串行通信簡介串行通信簡介 串行通信最大的優(yōu)勢是布線簡單串行通信最大的優(yōu)勢是布線簡單 串行電纜可以比并行電纜更長串行電纜可以比并行電纜更長 串行通信標準:RS-232V.35HSSI 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 682.1.1串行通信簡介串行通信簡介 個人計算機上的大多數串行端口都符合個人計算機上的大多數串行端口都符合 RS-232C 或更或更新的新的 RS-422 和和

5、 RS-423標準都使用標準都使用 9 針和針和 25 針連接器針連接器 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 692.1.2 TDM TDM 將一個鏈路的帶寬分割為若干獨立的通道或時隙。將一個鏈路的帶寬分割為若干獨立的通道或時隙。 MUX 可將每個信號分割成多個數據段。可將每個信號分割成多個數據段。MUX 通過將每個數據段插通過將每個數據段插入到時隙中為每個數據段各分配了一個通道。入到時隙中為每個數據段各分配了一個通道。 接收端的接收端的 MUX 僅根據每個位的到達時間將僅根據每個位的到達

6、時間將 TDM 流重新組裝成三個流重新組裝成三個獨立的數據流。獨立的數據流。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6102.1.2 TDM STDM 采用可變的時隙長度，讓通道可以競爭任何空閑采用可變的時隙長度，讓通道可以競爭任何空閑的時隙空間。的時隙空間。STDM 要求每個傳輸都帶有身份信息（通要求每個傳輸都帶有身份信息（通道標識符）。道標識符）。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter

7、 6112.1.2 TDM ISDN 即是一個采用同步即是一個采用同步 TDM 技術的例子。技術的例子。ISDN 基本速率基本速率 (BRI) 包含三個通道，分別是包含三個通道，分別是 2 個個 64 kb/s 的的 B 通道（通道（B1 和和 B2）和）和 1 個個 16 kb/s 的的 D 通道。通道。TDM 有有 9 個時隙，每個時隙按圖中所示順序重個時隙，每個時隙按圖中所示順序重復出現。復出現。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6122.1.2 TDM 電信行業(yè)使用更多的是電信

8、行業(yè)使用更多的是 SONET 或或 SDH 標準，這兩個標準，這兩個標準用于光學傳輸標準用于光學傳輸 TDM 數據。數據。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6132.1.2 TDM 最初多路復用電話呼叫中使用的單元的傳輸速率是最初多路復用電話呼叫中使用的單元的傳輸速率是 64 kb/s，一個單元就代表一個電話呼叫。此單元叫做，一個單元就代表一個電話呼叫。此單元叫做 DS0（ digital signal level zero ） 2006 Cisco Systems, Inc. All

9、 rights reserved.Cisco PublicITE 1 Chapter 6142.1.3分界點分界點 分界點標明您的網絡與其它組織的網絡的交接點。分界點標明您的網絡與其它組織的網絡的交接點。分界分界點是網絡中服務提供商責任范圍的終點。點是網絡中服務提供商責任范圍的終點。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6152.1.4 DTE 和和 DCE CPE 通常是路由器，也就是通常是路由器，也就是 DTE。如果。如果 DTE 直接連接到服務提供直接連接到服務提供商網絡，那么商網絡

10、，那么 DTE 也可以是終端、計算機、打印機或傳真機。也可以是終端、計算機、打印機或傳真機。 DCE 通常是調制解調器或通常是調制解調器或 CSU/DSU，DCE 設備用于將來自設備用于將來自 DTE 的用戶數據轉換為的用戶數據轉換為 WAN 服務提供商傳輸鏈路所能接受的格式。服務提供商傳輸鏈路所能接受的格式。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6162.1.4 DTE 和和 DCE 2006 Cisco Systems, Inc. All rights reserved.Cisco P

11、ublicITE 1 Chapter 6172.1.4 DTE 和和 DCE 并行和串行轉換并行和串行轉換 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6182.1.5 HDLC封裝封裝 要確保使用正確的協議，您需要配置適當的第要確保使用正確的協議，您需要配置適當的第 2 層封裝類型。層封裝類型。 協議的選擇取決于協議的選擇取決于 WAN 技術和通信設備。技術和通信設備。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1

12、Chapter 6192.1.5 HDLC封裝封裝 HDLC 是由國際標準化組織是由國際標準化組織 (ISO) 開發(fā)的、面向比特的同步數據鏈開發(fā)的、面向比特的同步數據鏈路層協議。路層協議。 HDLC 定義的第定義的第 2 層幀結構采用確認機制進行流量控制和錯誤控制層幀結構采用確認機制進行流量控制和錯誤控制。 HDLC 使用幀定界符（或標志）來標記每個幀的開頭和結尾。使用幀定界符（或標志）來標記每個幀的開頭和結尾。 Cisco 已經擴展了已經擴展了 HLDC 協議，解決了無法支持多協議的問題。協議，解決了無法支持多協議的問題。 2006 Cisco Systems, Inc. All right

13、s reserved.Cisco PublicITE 1 Chapter 6202.1.5 HDLC封裝封裝 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6212.1.6配置配置 HDLC 封裝封裝 Cisco HDLC 是是 Cisco 設備在同步串行線路上使用的默設備在同步串行線路上使用的默認封裝方法。認封裝方法。 如果連接的不是如果連接的不是 Cisco 設備，則應使用同步設備，則應使用同步 PPP。 啟用 HDLC 封裝 2006 Cisco Systems, Inc. All right

14、s reserved.Cisco PublicITE 1 Chapter 6222.1.7 串行接口故障排除串行接口故障排除 Show Interface Serial 命令命令 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6232.1.7 串行接口故障排除串行接口故障排除 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6242.1.7 串行接口故障排除串行接口故障排除 2006 Cisco Syste

15、ms, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6252.1.7 串行接口故障排除串行接口故障排除 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6262.1.7 Troubleshooting a Serial Interface Show Controllers 命令命令 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6272.2 PPP

16、概念 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6282.2.1 PPP簡介簡介 它不是專用協議它不是專用協議. 鏈路質量管理功能監(jiān)視鏈路的質量鏈路質量管理功能監(jiān)視鏈路的質量. PPP 允許同時使用多個網絡層協議。允許同時使用多個網絡層協議。 PPP 支持認證支持認證 PPP 組件組件:l HDLCl LCPl NCP 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6292.2.2 PPP 分層體系結

17、構分層體系結構 在物理層，可在一系列接口上配置在物理層，可在一系列接口上配置 PPP，這些接口包括，這些接口包括：l異步串行異步串行l(wèi)同步串行同步串行l(wèi)HSSIlISDN 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6302.2.2 PPP 分層體系結構分層體系結構 LCP 是是 PPP 中實際工作的部分。中實際工作的部分。LCP 位于物理層的上方，其職責位于物理層的上方，其職責是建立、配置和測試數據鏈路連接。是建立、配置和測試數據鏈路連接。 PPP 提供提供 LCP 中的服務選項，主要用于協商和

18、幀檢查，以幫助管中的服務選項，主要用于協商和幀檢查，以幫助管理員實現對指定點對點的控制。理員實現對指定點對點的控制。 一旦建立了鏈路，一旦建立了鏈路，PPP 還會采用還會采用 LCP 自動批準封裝格式（身份驗自動批準封裝格式（身份驗證、壓縮、錯誤檢測）。證、壓縮、錯誤檢測）。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6312.2.2 PPP 分層體系結構分層體系結構 PPP 允許多個網絡層協議在同一通信允許多個網絡層協議在同一通信鏈路上運行。鏈路上運行。 對于所使用的每個網絡層協議，對于所使用

19、的每個網絡層協議，PPP 都分別使用獨立的都分別使用獨立的 NCP。 NCP 包含了功能字段，功能字段中包含了功能字段，功能字段中包含的標準化代碼用于指示包含的標準化代碼用于指示 PPP 封封裝的網絡層協議。裝的網絡層協議。值值(in hex)協議名稱協議名稱8021Internet 協議控制協議協議控制協議8023OSI 網絡層控制協議網絡層控制協議8029Appletalk 控制協議控制協議802bNovell IPX 控制協議控制協議c021鏈路控制協議鏈路控制協議c023密碼驗證協議密碼驗證協議c223挑戰(zhàn)握手驗證協議挑戰(zhàn)握手驗證協議 2006 Cisco Systems, Inc.

20、All rights reserved.Cisco PublicITE 1 Chapter 6322.2.3 PPP 幀結構幀結構 FLAG field:表示幀的開始和結尾表示幀的開始和結尾 ADDRESS field:標準廣播地址標準廣播地址, PPP 不單獨非配給工作站地址不單獨非配給工作站地址 CONTROL field:值為值為0 x03，要求以不排序的幀傳輸用戶數據，提，要求以不排序的幀傳輸用戶數據，提供了無連接鏈路服務供了無連接鏈路服務 PROTOCOL field: 用于識別幀的數據字段中封裝的協議用于識別幀的數據字段中封裝的協議 FCS field:用于檢測用于檢測PPP幀中的

21、比特電平錯誤幀中的比特電平錯誤 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6332.2.4創(chuàng)建創(chuàng)建 PPP 會話會話 創(chuàng)建創(chuàng)建 PPP 會話的三個階段會話的三個階段 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6342.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路 LCP 操作包括對鏈路創(chuàng)建、鏈路維護和鏈路切斷的策略操作包括對鏈路創(chuàng)建、鏈路維護和鏈路切斷的策略控制。控制。. lLink-establis

22、hment 幀負責建立和配置鏈路（幀負責建立和配置鏈路（Configure-Request、Configure-Ack、Configure-Nak 和和 Configure-Reject）lLink-maintenance 幀負責管理和調試鏈路（幀負責管理和調試鏈路（Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply 和和 Discard-Request）lLink-termination 幀負責切斷鏈路（幀負責切斷鏈路（Terminate-Request 和和 Terminate-Ack） 2006 Cisco Systems, Inc.

23、All rights reserved.Cisco PublicITE 1 Chapter 6352.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路 Link Establishment Link MaintenanceLink TerminationLink IdelNCP Termination NCP Establishment 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6362.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路 發(fā)起方向響應方發(fā)送一份發(fā)起方向響應方發(fā)送一份“需求列表需求列表 (wish

24、 list)”。 NCP 僅切斷網絡層和僅切斷網絡層和 NCP 鏈路鏈路 如果如果 LCP 在在 NCP 之前切斷鏈路，則之前切斷鏈路，則 NCP 會話會話 (session) 也將被終止。也將被終止。. PPP 可以隨時切斷該鏈路。發(fā)生切斷，可能是因為載波可以隨時切斷該鏈路。發(fā)生切斷，可能是因為載波丟失、身份驗證失敗、鏈路質量故障、空閑計時器超時或丟失、身份驗證失敗、鏈路質量故障、空閑計時器超時或人為因素。人為因素。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6372.2.5 使用使用 LCP

25、創(chuàng)建鏈路創(chuàng)建鏈路 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6382.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路代碼代碼數據包類型數據包類型1Configure-Request2Configure-Ack3Configure-Nack4Configure-Reject5Terminate-Request6Terminate-Ack7Code-Reject8Protocol-Reject9Echo-Request10Echo-Reply11Discard-Request 2006 Cisco Sys

26、tems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6392.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路 可以對可以對 PPP 進行配置，使之支持進行配置，使之支持Authentication（認證（認證）, Compression（壓縮）（壓縮）, Multilink （多鏈路捆綁）（多鏈路捆綁） 功能功能。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6402.2.5 使用使用 LCP創(chuàng)建鏈路創(chuàng)建鏈路 要協商這些要協商這些 PPP 選

27、項的用法，選項的用法，LCP link-establishment 幀在幀在 LCP 幀的數據字段中應包含選項信息。幀的數據字段中應包含選項信息。 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6412.2.6 NCP 詳解詳解 PPP 可以傳輸許多類型的網絡層協議數據，每個網絡協議都有一個可以傳輸許多類型的網絡層協議數據，每個網絡協議都有一個相應的相應的 在在 NCP 成功配置網絡層協議之后，在已建立的成功配置網絡層協議之后，在已建立的 LCP 鏈路上，網絡鏈路上，網絡協議將處于開啟狀態(tài)。協議將處

28、于開啟狀態(tài)。IPCP Process 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6422.3 配置 PPP 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6432.3.1 PPP 配置選項配置選項 認證認證 壓縮壓縮 錯誤檢測錯誤檢測 多鏈路捆綁多鏈路捆綁 PPP 回撥回撥 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 C

29、hapter 6442.3.2 PPP 配置命令配置命令 在接口上啟用在接口上啟用 PPP 壓縮壓縮:會影響系統(tǒng)性能。會影響系統(tǒng)性能。 鏈路質量監(jiān)視鏈路質量監(jiān)視: 多個鏈路上的負載均衡多個鏈路上的負載均衡 Example:R3(config)#interface serial 0/0R3(config-if)#encapsulation pppR3(config-if)#compress predictor | stac R3(config-if)#ppp quality 80R3(config-if)#ppp multilink 2006 Cisco Systems, Inc. All ri

30、ghts reserved.Cisco PublicITE 1 Chapter 6452.3.3校驗串行校驗串行PPP 封裝配置封裝配置 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6462.3.4排除排除PPP封裝故障封裝故障 debug 命令是非常有用的工具，能夠提供豐富的信息命令是非常有用的工具，能夠提供豐富的信息 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6472.3.4排除排除PPP封裝故

31、障封裝故障 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6482.3.4排除排除PPP封裝故障封裝故障 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6492.3.4 Troubleshooting PPP Encapsulation 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6502.4 配置PPP 身

32、份驗證本章重點，期未考試內容之一本章重點，期未考試內容之一 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6512.4.1 PPP 驗證協議驗證協議 驗證是可選的驗證是可選的 如果使用了身份驗證，您就可以在如果使用了身份驗證，您就可以在 LCP 建立鏈路并選擇身份驗證協建立鏈路并選擇身份驗證協議之后驗證對等點的身份議之后驗證對等點的身份 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6522.4.2 密碼

33、驗證協議密碼驗證協議 (PAP)n遠程節(jié)點在該鏈路上重復發(fā)送用戶名遠程節(jié)點在該鏈路上重復發(fā)送用戶名-口令對，直到發(fā)送口令對，直到發(fā)送節(jié)點確認該用戶名節(jié)點確認該用戶名-口令對或終止連接為止?？诹顚蚪K止連接為止。n以明文形式發(fā)送口令以明文形式發(fā)送口令n不能防護回送或反復試錯攻擊不能防護回送或反復試錯攻擊n遠程節(jié)點將控制登錄嘗試的頻率和時間遠程節(jié)點將控制登錄嘗試的頻率和時間n兩次握手兩次握手 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6532.4.3挑戰(zhàn)握手驗證協議挑戰(zhàn)握手驗證協議 (CHAP) 2

34、006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6542.4.3挑戰(zhàn)握手驗證協議挑戰(zhàn)握手驗證協議 (CHAP) 與一次性身份驗證的與一次性身份驗證的 PAP 不同，不同，CHAP 定期執(zhí)行消息詢定期執(zhí)行消息詢問，以確保遠程節(jié)點仍然擁有有效的口令值。問，以確保遠程節(jié)點仍然擁有有效的口令值。 CHAP 通過使用唯一且不可預測的可變詢問消息值提供通過使用唯一且不可預測的可變詢問消息值提供回送攻擊防護功能?；厮凸舴雷o功能。 2006 Cisco Systems, Inc. All rights reserve

35、d.Cisco PublicITE 1 Chapter 655Chap驗證過程驗證過程 、A向向B發(fā)起發(fā)起PPP連接請求連接請求 、B向向A聲明，要求對聲明，要求對A進行進行CHAP驗證驗證 、A向向B聲明，同意驗證（聲明，同意驗證（LCP協商）協商） 、路由器、路由器B把把“用戶用戶ID，隨機數，隨機數”發(fā)給路由器發(fā)給路由器A 、路由器、路由器A用收到的用收到的“用戶用戶ID和隨機數和隨機數”與與“自己的密碼自己的密碼”做散列做散列運算運算 、路由器、路由器A把把“用戶用戶ID、隨機數、散列結果、隨機數、散列結果”發(fā)給發(fā)給B 、路由器、路由器B用收到的用收到的“用戶用戶ID、隨機數、隨機數”

36、與與“自己的密碼自己的密碼”做散列做散列運算，把散列運算結果與運算，把散列運算結果與“A發(fā)過來的散列運算結果發(fā)過來的散列運算結果”進行比較，結果進行比較，結果一樣，驗證成功；結果不一樣，驗證失敗。（一樣，驗證成功；結果不一樣，驗證失敗。（chap三次握手）三次握手） 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6562.4.4 PPP 封裝和身份驗證過程封裝和身份驗證過程 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6572.4.5 配置配置PPP身份驗證身份驗證 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6582.4.5 配置配置PPP身份驗證身份驗證 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6592.