廣域網(wǎng)協(xié)議-PPP技術(shù)介紹-D

1、技術(shù)介紹 廣域網(wǎng)協(xié)議目 錄i目 錄 HYPERLINK l _bookmark0 PPP、MP HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 PPP簡(jiǎn)介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 PAP驗(yàn)證 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 CHAP驗(yàn)證 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 PPP運(yùn)行過程 HYPERLINK l _bookmark2 3 HYPERLIN

2、K l _bookmark2 MP簡(jiǎn)介 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 實(shí)現(xiàn)方式 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 協(xié)商過程 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 MP作用 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark4 PPPoE HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 PPPoE簡(jiǎn)介 HYPERLINK l

3、 _bookmark4 5 HYPERLINK l _bookmark5 PPPoE Server HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 PPPoE Client HYPERLINK l _bookmark5 6技術(shù)介紹 廣域網(wǎng)協(xié)議PPP、MP PAGE 6PPP、MPPPP 簡(jiǎn)介PPP（Point to Point Protocol）協(xié)議是在點(diǎn)到點(diǎn)鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議，由于它能夠提供用戶驗(yàn)證、易于擴(kuò)充，并且支持同/異步通信，因而獲得廣泛應(yīng)用。PPP 定義了一整套的協(xié)議，包括鏈路控制協(xié)議（LCP）、網(wǎng)絡(luò)層控制協(xié)議（NC

4、P） 和驗(yàn)證協(xié)議（PAP 和 CHAP）。鏈路控制協(xié)議（Link Control Protocol，LCP）：主要用來建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路。網(wǎng)絡(luò)控制協(xié)議（Network Control Protocol，NCP）：主要用來協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。用于網(wǎng)絡(luò)安全方面的驗(yàn)證協(xié)議族 PAP 和 CHAP。PAP 驗(yàn)證PAP（Password Authentication Protocol）驗(yàn)證為兩次握手驗(yàn)證，密碼為明文，PAP驗(yàn)證的過程如下：被驗(yàn)證方發(fā)送用戶名和密碼到驗(yàn)證方；驗(yàn)證方根據(jù)本端用戶表查看是否有此用戶以及密碼是否正確，然后返回不同的響應(yīng)（Acknowledge or

5、 Not Acknowledge）。圖1 PAP 驗(yàn)證示意圖PAP 不是一種安全的驗(yàn)證協(xié)議。當(dāng)驗(yàn)證時(shí)，口令以明文方式在鏈路上發(fā)送，并且由于完成 PPP 鏈路建立后，被驗(yàn)證方會(huì)不停地在鏈路上反復(fù)發(fā)送用戶名和口令，直到身份驗(yàn)證過程結(jié)束，所以不能防止攻擊。CHAP 驗(yàn)證CHAP（Challenge-Handshake Authentication Protocol）驗(yàn)證為三次握手驗(yàn)證，密碼為密文（密鑰）。CHAP 單向驗(yàn)證是指一端作為驗(yàn)證方，另一端作為被驗(yàn)證方。雙向驗(yàn)證是單向驗(yàn)證的簡(jiǎn)單疊加，即兩端都是既作為驗(yàn)證方又作為被驗(yàn)證方。在實(shí)際應(yīng)用中一般只采用單向驗(yàn)證。CHAP 驗(yàn)證過程如下：驗(yàn)證方主動(dòng)發(fā)起驗(yàn)

6、證請(qǐng)求，驗(yàn)證方向被驗(yàn)證方發(fā)送一些隨機(jī)產(chǎn)生的報(bào)文（Challenge），并同時(shí)將本端的用戶名附帶上一起發(fā)送給被驗(yàn)證方；被驗(yàn)證方接到驗(yàn)證方的驗(yàn)證請(qǐng)求后，檢查本端接口上是否配置了缺省的 CHAP 密碼，如果配置了則被驗(yàn)證方利用報(bào)文 ID、該缺省密碼和 MD5 算法對(duì)該隨機(jī)報(bào)文進(jìn)行加密，將生成的密文和自己的用戶名發(fā)回驗(yàn)證方（Response）；如果被驗(yàn)證方檢查發(fā)現(xiàn)本端接口上沒有配置缺省的 CHAP 密碼，則被驗(yàn)證方根據(jù)此報(bào)文中驗(yàn)證方的用戶名在本端的用戶表查找該用戶對(duì)應(yīng)的密碼，如果在用戶表找到了與驗(yàn)證方用戶名相同的用戶，便利用報(bào)文 ID、此用戶的密鑰（密碼） 和 MD5 算法對(duì)該隨機(jī)報(bào)文進(jìn)行加密，將生成

7、的密文和被驗(yàn)證方自己的用戶名發(fā)回驗(yàn)證方（Response）；驗(yàn)證方用自己保存的被驗(yàn)證方密碼和 MD5 算法對(duì)原隨機(jī)報(bào)文加密，比較二者的密文，根據(jù)比較結(jié)果返回不同的響應(yīng)（Acknowledge or Not Acknowledge）。圖2 CHAP 驗(yàn)證示意圖PPP 運(yùn)行過程PPP 運(yùn)行過程（參見下圖）如下：在開始建立 PPP 鏈路時(shí)，先進(jìn)入到 Establish 階段。在 Establish 階段 PPP 鏈路進(jìn)行 LCP 協(xié)商，協(xié)商內(nèi)容包括工作方式（是 SP 還是 MP）、驗(yàn)證方式和最大傳輸單元等。LCP 協(xié)商成功后進(jìn)入 Opened 狀態(tài)， 表示底層鏈路已經(jīng)建立。如果配置了驗(yàn)證（遠(yuǎn)端驗(yàn)證本

8、地或者本地驗(yàn)證遠(yuǎn)端）則進(jìn)入 Authenticate 階段， 開始 CHAP 或 PAP 驗(yàn)證。如果驗(yàn)證失敗進(jìn)入 Terminate 階段，拆除鏈路，LCP 狀態(tài)轉(zhuǎn)為 Down；如果驗(yàn)證成功就進(jìn)入 Network 協(xié)商階段（NCP），此時(shí) LCP 狀態(tài)仍為 Opened，而IPCP 狀態(tài)從Initial 轉(zhuǎn)到 Request。NCP 協(xié)商支持 IPCP 協(xié)商，IPCP 協(xié)商主要包括雙方的 IP 地址。通過 NCP 協(xié)商來選擇和配置一個(gè)網(wǎng)絡(luò)層協(xié)議。只有相應(yīng)的網(wǎng)絡(luò)層協(xié)議協(xié)商成功后，該網(wǎng)絡(luò)層協(xié)議才可以通過這條 PPP 鏈路發(fā)送報(bào)文。PPP 鏈路將一直保持通信，直至有明確的 LCP 或 NCP 幀關(guān)閉

9、這條鏈路，或發(fā)生了某些外部事件（例如用戶的干預(yù)）。圖3 PPP 運(yùn)行流程圖有關(guān) PPP 的詳細(xì)說明，請(qǐng)參考 RFC1661。MP 簡(jiǎn)介為了增加帶寬，可以將多個(gè) PPP 鏈路捆綁使用，稱為 MultiLink PPP，簡(jiǎn)稱 MP。MP 會(huì)將報(bào)文分片（小于最小分片包長(zhǎng)時(shí)不分片）后，從 MP 鏈路下的多個(gè) PPP 通道發(fā)送到 PPP 對(duì)端，對(duì)端將這些分片組裝起來遞給網(wǎng)絡(luò)層。實(shí)現(xiàn)方式MP 的配置主要有兩種方式，一種是通過虛擬模板接口（Virtual-Template，VT）， VT 是用于配置一個(gè)虛擬訪問接口（Virtual Access，VA）的模板，將多個(gè) PPP 鏈路捆綁成 MP 之后，需要?jiǎng)?chuàng)建

10、一個(gè) VA 與對(duì)端交換數(shù)據(jù)。此時(shí)，系統(tǒng)將選擇一個(gè) VT， 以便動(dòng)態(tài)地創(chuàng)建一個(gè) VA；一種是利用 MP-group 接口。這兩種配置方式的區(qū)別主要是：虛擬模板接口方式可以與驗(yàn)證相結(jié)合，可以根據(jù)對(duì)端的用戶名找到指定的虛擬模板接口，從而利用模板上的配置，創(chuàng)建相應(yīng)的捆綁（Bundle，系統(tǒng)中用 VT 通道來表示），以對(duì)應(yīng)一條 MP 鏈路。由一個(gè)虛擬模板接口還可以派生出若干個(gè)捆綁，每個(gè)捆綁對(duì)應(yīng)一條 MP 鏈路。那么這樣一來，從網(wǎng)絡(luò)層看來，這若干條 MP 鏈路會(huì)形成一個(gè)點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)?。從這個(gè)意義上講，虛擬模板接口比 MP-group 接口更加靈活。為區(qū)分虛擬模板接口派生出的多個(gè)捆綁，需要指定捆綁方式，

11、系統(tǒng)在虛擬模板接口視圖下提供了命令 ppp mp binding-mode 來指定綁定方式，綁定方式有authentication、both、descriptor 三種，缺省是 both。authentication 是根據(jù)驗(yàn)證用戶名捆綁，descriptor 是根據(jù)終端描述符捆綁（LCP 協(xié)商時(shí)，會(huì)協(xié)商出這個(gè)選項(xiàng)值），both 是要同時(shí)參考這兩個(gè)值捆綁。MP-group 接口與虛擬模板接口相比則單純?cè)S多，它是 MP 的專用接口，不能支持其他應(yīng)用，也不能利用對(duì)端的用戶名來指定捆綁，同時(shí)也不能派生多個(gè)捆綁。但正因?yàn)樗暮?jiǎn)單，導(dǎo)致了它的快速高效、配置簡(jiǎn)單、容易理解。協(xié)商過程MP 的協(xié)商包括 LCP

12、 協(xié)商和 NCP 協(xié)商兩個(gè)過程：LCP 協(xié)商：兩端首先進(jìn)行 LCP 協(xié)商，除了協(xié)商一般的 LCP 參數(shù)外，還要驗(yàn)證對(duì)端接口是否也工作在 MP 方式下。如果兩端工作方式不同，LCP 協(xié)商不成功。NCP 協(xié)商：在 LCP 協(xié)商成功后，根據(jù) MP-group 接口或指定虛擬接口模板的各項(xiàng) NCP 參數(shù)（如 IP 地址等）進(jìn)行 NCP 協(xié)商，物理接口配置的 NCP 參數(shù)不起作用。NCP 協(xié)商通過后，即可建立 MP 鏈路。MP 作用MP 的作用主要有：增加帶寬，結(jié)合 DCC（Dial Control Center，撥號(hào)控制中心）可以做到動(dòng)態(tài)增加或減小帶寬負(fù)載分擔(dān)備份利用分片降低時(shí)延MP 能在任何支持 P

13、PP 封裝的接口下工作，如串口、ISDN 的 BRI/PRI 接口等，也包括 PPPoX（PPPoE、PPPoA、PPPoFR 等）這類虛擬接口，建議用戶盡可能將同一類的接口捆綁使用，不要將不同類的接口捆綁使用。PPPoEPPPoE 簡(jiǎn)介PPPoE 是 Point-to-Point Protocol over Ethernet 的簡(jiǎn)稱，它可以通過一個(gè)遠(yuǎn)端接入設(shè)備為以太網(wǎng)上的主機(jī)提供因特網(wǎng)接入服務(wù)，并對(duì)接入的每個(gè)主機(jī)實(shí)現(xiàn)控制、計(jì)費(fèi)功能。由于很好地結(jié)合了以太網(wǎng)的經(jīng)濟(jì)性及 PPP 良好的可擴(kuò)展性與管理控制功能， PPPoE 在包括小區(qū)組網(wǎng)建設(shè)等一系列應(yīng)用中被廣泛采用。PPPoE 協(xié)議采用 Clien

14、t/Server 方式，它將 PPP 報(bào)文封裝在以太網(wǎng)幀之內(nèi)，在以太網(wǎng)上提供點(diǎn)對(duì)點(diǎn)的連接。PPPoE 有兩個(gè)階段：Discovery 階段和 PPP Session 階段，具體如下：Discovery 階段當(dāng)一個(gè)主機(jī)想開始 PPPoE 進(jìn)程的時(shí)候，它必須先識(shí)別接入端的以太網(wǎng) MAC 地址， 建立 PPPoE 的 SESSION ID。這就是Discovery 階段的目的。PPP Session 階段當(dāng) PPPoE 進(jìn)入 Session 階段后 PPP 報(bào)文就可以作為 PPPoE 幀的凈荷封裝在以太網(wǎng)幀發(fā)到對(duì)端，SESSION ID 必須是Discovery 階段確定的 ID，MAC 地址必須是

15、對(duì)端的 MAC 地址，PPP 報(bào)文從 Protocol ID 開始。在 Session 階段，主機(jī)或服務(wù)器任何一方都可發(fā) PADT（PPPoE Active Discovery Terminate）報(bào)文通知對(duì)方結(jié)束本Session。關(guān)于 PPPoE 的詳細(xì)介紹，可以參考 RFC2516。PPPoE Server設(shè)備提供了 PPPoE Server 的功能，支持動(dòng)態(tài)分配 IP 地址，提供本地認(rèn)證、RADIUS/TACACS+等多種認(rèn)證方式，配合訪問包過濾防火墻及狀態(tài)防火墻，可以對(duì)內(nèi)部網(wǎng)絡(luò)提供安全保障，適用于校園、智能小區(qū)等通過以太網(wǎng)接入 Internet 的組網(wǎng)應(yīng)用。這種組網(wǎng)方式需要在用戶 Host 上安裝 PPPoE 客戶端撥號(hào)軟件。PPPoE ClientPPPoE 在 ADSL 寬帶接入中被廣泛使用。通常情況下，一臺(tái)主機(jī)如果要通過 ADSL 接入Internet，必須在主機(jī)上安裝PPPoE 客戶端撥號(hào)軟件。設(shè)備實(shí)現(xiàn)了PPPoE Client功能（即 PPPoE 的客戶端撥號(hào)功能），用戶可以不用在 Host 上安裝 PPPoE 客戶端軟件即可接