PPP0E学习理解.doc

PPPOE学习理解 概述 PPPOE就是在以太网上的PPP，是PPP的扩展，它提供了一种在广播式的网络中多台主机连接到无端的访问集中器上的一种标准，因此在了解PPPOE之前我们必须先了解PPP协议。 PPP协议的基本概念 PPP协议（Point-to-Point Protocol）由SLIP协议（Serial Line Internet Protocol）发展而来。SLIP是一种在点对点的串行链路上封装IP数据报的简单协议，它仅支持一种网络层协议（IP协议）同一时刻在串行链路上发送，SLIP不是Internet的标准协议。 PPP由于自身的诸多的优点已成为目前被广泛使用的数据链路层协议，PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。它不仅能支持IP地址的动态分配和管理，同步（面向位的同步数据块的传送）或异步（起始位+数据位+奇偶校验位+停止位）物理层的传输，网络层协议的复用，链路的配置、质量检测和纠错，而且还支持多种配置参数选项的协商。 PPP协议的组成 LCP协议（Link Control Protocol） NCP协议（Network Control Protocol） PPP的扩展协议（如Multilink Protocol）————应用较少 认证协议——————可选 注意 PPP的扩展协议主要着眼于PPP包的压缩和网络带宽的节省PPP扩展协议——MP（Multilink Protocol）协议MP协议通过软件来实现对不同速率的多链路进行捆绑，可以灵活的调整点对点系统之间的多条物理链路，为整个系统提供一条虚拟链路。MP的捆绑是依照用户进行的，当链路的Discriminator、验证方式和用户完全相同时，才能进行捆绑，MP的协商在认证完成之后进行，MP不会导致链路拆除。 PPP的认证不作为PPP协议的一个主要部分，PPP协议在默认情况下不进行认证配置参数选项的协商，它只作为一个可选的参数，当点对点线路的两端需要进行认证时才进行配置。但在实际应用中PPP的认证过程是不可忽略的，例如我们使用计算机上网时，需要通过PPP协议与NAS设备互连，在整个协议的协商过程中，我们需要输入用户名和密码，它包括以下两种认证方式。 口令证议（PAP） PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。挑战-握手验证协议（CHAP） CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challenge string）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第方冒充远程客户（remote client impersonation）进行攻击。创建阶段认证阶段网络协商阶段链路终止阶段 第一阶段：链路死亡阶段 也称为物理层不可用阶段，PPP链路都需要从这里开始和结束。当通信的双方检测到物理线路激活（通常是检测到链路上有载波信号）时，就会从当前这个阶段跃迁至链路建立阶段 第二阶段：创建PPP链路 　　 注意在链路创建阶段，只是对验证协议进行选择，用户验证将在第阶段实现。 　　：用户验证 在这个阶段，客户端会自己的身份发送给远端的接入服务器。在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。在这一阶段里，只有链路控制协议、认证协议，和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。 　　　　：网络协认证阶段完成之后，PPP将调用在链路创建阶段（阶段）选定的各种网络控制协议（NCP）。选定的NCP解决PPP链路之上的高层协议问题，例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址