PPP0学习理解.docVIP

PPPOE学习理解 概述 PPPOE就是在以太网上的PPP，是PPP的扩展，它提供了一种在广播式的网络中多台主机连接到无端的访问集中器上的一种标准，因此在了解PPPOE之前我们必须先了解PPP协议。 PPP协议的基本概念 PPP协议（Point-to-Point Protocol）由SLIP协议（Serial Line Internet Protocol）发展而来。SLIP是一种在点对点的串行链路上封装IP数据报的简单协议，它仅支持一种网络层协议（IP协议）同一时刻在串行链路上发送，SLIP不是Internet的标准协议。 PPP由于自身的诸多的优点已成为目前被广泛使用的数据链路层协议，PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。它不仅能支持IP地址的动态分配和管理，同步（面向位的同步数据块的传送）或异步（起始位+数据位+奇偶校验位+停止位）物理层的传输，网络层协议的复用，链路的配置、质量检测和纠错，而且还支持多种配置参数选项的协商。 PPP协议的组成 LCP协议（Link Control Protocol） NCP协议（Network Control Protocol） PPP的扩展协议（如Multilink Protocol）————应用较少 认证协议——————可选 注意 PPP的扩展协议主要着眼于PPP包的压缩和网络带宽的节省PPP扩展协议——MP（Multilink Protocol）协议MP协议通过软件来实现对不同速率的多链路进行捆绑，可以灵活的调整点对点系统之间的多条物理链路，为整个系统提供一条虚拟链路。MP的捆绑是依照用户进行的，当链路的Discriminator、验证方式和用户完全相同时，才能进行捆绑，MP的协商在认证完成之后进行，MP不会导致链路拆除。 PPP的认证不作为PPP协议的一个主要部分，PPP协议在默认情况下不进行认证配置参数选项的协商，它只作为一个可选的参数，当点对点线路的两端需要进行认证时才进行配置。但在实际应用中PPP的认证过程是不可忽略的，例如我们使用计算机上网时，需要通过PPP协议与NAS设备互连，在整个协议的协商过程中，我们需要输入用户名和密码，它包括以下两种认证方式。 口令证议（PAP） PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。 挑战-握手验证协议（CHAP） CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challenge string）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第三方冒充远程客户（remote client impersonation）进行攻击。 PPP会话过程 概述 数据通信设备的两端如果希望通过PPP协议建立点对点的通信，无论哪一端的设备都需发送LCP数据报文来配置链路和测试链路。一旦LCP的配置参数选项协商完后，通信的双方就会根据LCP配置请求报文中所协商的认证配置参数选项来决定链路两端设备所采用的认证方式。协议缺省情况下双方是不进行认证的，而直接进入到NCP配置参数选项的协商，直至所经历的几个配置过程全部完成后，点对点的双方就可以开始通过已建立好的链路进行网络层数据报文的传送了，整个链路就处于可用状态。 只有当任何一端收到LCP或NCP的链路关闭报文时（一般而言协议是不要求NCP有关闭链路的能力的，因此通常情况下关闭链路的数据报文是在LCP协商阶段或应用程序会话阶段发出的）；物理层无法检测到载波时或管理人员对该链路进行关闭操作时，将会断开该条链路，从而终止PPP会话。以下为PPP协议