DCN-ROUTE-005-链路层协议PPPv1.2.pptVIP

* * * *3.为什么只有在LCP OPEN状态收到ECHO才是有效的呢?如同地21页所说,LCP OPEN是单边的,当A发送CONFIG REQ并收到ACK后,即单独进入LCP OPEN.而此刻对端B可能并没有收到他的ACK,即并没有进入OPEN状态.此时如果B收到A的ECHO-REQUEST,就会丢弃. LCP链路维护报文还包括: Code-reject:如果LCP报文的CODE域,包含不可识别的CODE代码,即认为对方可能使用了不同的PPP版本,发送CODE-REJECT给对方并丢弃连接. Protocol-reject:如果收到的PPP报文PROTOCOL域的代码不可识别,说明对方使用了不支持的协议,发送REJECT并停止向对方发送协商报文.该类报文只能在LCP OPEN阶段出现. Discard-request: LCP includes a Discard-Request Code in order to provide a Data Link Layer sink mechanism for use in exercising the local to remote direction of the link. This is useful as an aid in debugging, performance testing, and for numerous other functions. 该类报文也只能在LCPOPEN阶段出现.对端收到后丢弃. * Type=3 Length=4 Authentication-protocol: c023 PAP c223 CHAP Data:由不同的协议决定 * PAP认证过程： 如图所示，中心路由器（authenticator）与远端路由器（peer）之间通过PPP协议互联，中心路由器（authenticator）设置了需要进行PAP认证，则当远端路由器（peer）拨通中心路由器（authenticator）后，peer将自己的名字与口令一起发给authenticator，authenticator从自己的用户数据库中查到该口令与名字相符，则返回ACK表示认证通过,否则返回失败并切断线路。PAP协议仅在连接建立阶段进行，在数据传输阶段不进行PAP认证。 PAP认证协议的特点： 使用明文格式发送用户名和密码，这样十分不安全。很容易在传输的过程中被人获得用户名和密码 发起方为被认证方，可以做无限次的尝试（暴力破解） 只在链路建立的阶段进行认证，一旦链路建立成功将不再进行认证检测 * RFC1994 中心路由器（CORE）与远端路由器（DCN）之间通过PPP协议互联，中心路由器（CORE）设置了需要进行CHAP认证，则当远端路由器（DCN）拨通中心路由器（CORE）后，进行以下的认证过程： 由远端向中心发起呼叫 收到呼叫后，中心向远端发起挑战消息。挑战消息包含以下字段： 01——挑战数据包类型标识符 ID——序列号 Random——随机数 用户名——挑战方的认证用户名 3．远端给中心的回应数据包，包含以下字段 02——CHAP回应数据包类型标识符 ID——序列号，从挑战数据包中复制而来 Hash——由随机数、ID、密码通过MD5加密而来 4.中心收到回应后，把查找收到的用户名所对应的密码、随机数、ID以MD5加密所得到的Hash值和收到的Hash值对比 5.如果相同则发送包含以下字段的数据包： 03——CHAP认证成功消息类型的标识符 ID——序列号，直接从回应数据包中复制而来 Welcome in——某种简单的文本消息，为了让用户可读（不同的厂家可能不一致） 6.如果不同，则发送包含以下字段的数据包： 04——CHAP认证识别消息类型标识符 ID——序列号，从回应数据包中copy而来 Authentication failure——类似的文本信息，让用户可读的信息 注意只是对认证加密,并不对链路成功建立后的通讯内容加密. * Challenge报文结构 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Value-Size | Value ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-