点对点协议.pptVIP

点对点协议 学习目标 通过本章的学习，希望您能够： 广域网的概念 广域网中的数据链路层协议 点对点协议PPP Pap配置 Chap配置 广域网的概念 广域网（Wide Area Network，WAN）指一个很大地理范围的由许多局域网组成的网络，比如，一家大型公司在各地的分公司的内部网络互相连结组成一个网络。 互联网就是一个巨大的广域网。 广域网设备 广域网交换机 接入服务器 调制解调器 ISDN终端适配器 路由器（Router） 广域网中的数据链路层协议 点到点协议（PPP） 高级数据链路控制（HDLC）协议 帧中继（Frame Relay） PPP协议简介 PPP（Point to Point Protocol）协议 是一种在点到点链路上承载网络层数据包的一种链路层协议。 由于 它能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛应用。 PPP 定义了一整套的协议: 链路控制协议（LCP） Link Control Protocol，简称LCP。主要用来建立、拆除和监控数据链路。 网络控制协议（NCP） Network Control Protocol，简称NCP。主要用来协商在该数据链路上所传输的数据包的格式与类型。 验证协议（PAP 和CHAP） 用于网络安全方面的验证。 PPP协议结构 PPP运行过程 PPP 的运行机制 (1) 在开始建立PPP 链路时，先进入到Establish 阶段。 进行LCP 协商，协商内容包括工作方式（是SP还是MP）、验证方式和最大接收单元MRU（Maximum-Receive-Unit）等。 (2) LCP 在协商成功后进入Opened 状态，表示底层链路已经建立。 (3) 如果配置了验证（远端验证本地或者本地验证远端）则进入Authenticate 阶段，开始CHAP 或PAP 验证。 (4) 如果验证失败进入Terminate 阶段，拆除链路，LCP 状态转为Down；如果验证成功就进入Network 协商阶段（NCP），此时LCP 状态仍为Opened。两端的NCP根据网络层的不同协议互相交换网络层特定的分组。（PPP协议两端的网络层可以运行不同的网络层协议） (5) PPP 链路将一直保持通信，直至有明确的LCP 或NCP 帧关闭这条链路，或发生了某些外部事件（例如，用户的干预）。 PPP 的验证 (1) PAP 验证 PAP 验证为两次握手验证，PAP 验证的过程如下： 被验证方发送用户名和口令到验证方； 验证方根据本端用户表查看是否有此用户以及口令 是否正确，然后返回不同的响应（Acknowledge or Not Acknowledge）。 PPP 的验证 (2) CHAP 验证 CHAP 验证为三次握手验证，CHAP 验证过程如下： 验证方主动发起验证请求，验证方向被验证方发送一些随机产生的报文（Challenge），并同时将本端的用户名附带上一起发送给被验证方； 被验证方接到验证方的验证请求后，被验证方根据此报文中验证方的用户名查找用户口令字，如找到用户表中与验证方用户名相同的用户，就利用报文ID、此用户的密钥（口令字）和MD5 算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方（Response）； 如果被验证方没有在本端用户表中找到匹配的用户名，则检查本端接口上是否配置了ppp chap password 命令，如果配置了该命令则被验证方利用报文ID、此用户的密钥（口令字）和MD5 算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方（Response）。 验证方接收到该报文后，根据此报文中被验证方的用户名，在自己的本地用户数据库（local-user）中查找被验证方用户名对应的被验证方口令字，利用该口令和MD5 算法对原随机报文加密，比较二者的密文，根据比较结果返回不同的响应（Acknowledge or Not Acknowledge）。 PAP验证 特点 CHAP验证 特点 PPP认证配置 PPP认证配置 扩展：H3C配置命令 封装PPP link-protocol ppp 设置验证类型 ppp authentication-mode {pap|chap} 设置用户名、口令、服务类型 [H3C]local-user huawei [H3C-luser-huawei]password simple 12345 [H3C-luser-huawei]service-type ppp PPP配置举例一 PAP单向验证 【验证】 通过查看disp int s 3/0/0信息，接口物理层和链路层的状态都是up状态，并且PPP的L