PPP会话建立过程及CHAP验证过程.docVIP

PAGE / NUMPAGES PSTN/ISTN PSTN/ISTN ROUTER-BROUTER-A ROUTER-B ROUTER-A 链路的建立和配置协调阶段 链路的建立和配置协调阶段 网络层契约配置协商阶段可选的验证阶段,选择PAP或者CHAP 网络层契约配置协商阶段 可选的验证阶段,选择PAP或者CHAP 一个完整的ppp会话建立大体需要以下三步： 链路建立阶段：在这个阶段,运行PPP的设备会发送LCP报文来检测链路的可用情况,如果链路可用则会成功建立链路,否则链路建立失败。 验证阶段（可选）：链路成功建立后,根据PPP帧中的验证选项来决定是否验证。如果需要验证,则开始PPP或者CHAP验证,验证成功后开始网络协商阶段。 网络层协商阶段：运行PPP的双方发送NCP报文来选择并配置网络层契约,双方会协商彼此使用的网络层契约（例如是IP或者是IPX）,同时也会选择对应的网络层地址（如IP地址或IPX地址）。如果协商通过则PPP链路建立成功。 PPP会话流程 LCP Opened LCP Opened Authenticate阶段PPP会话流Dead阶段Terminate阶段Network阶段Establish阶段 Authenticate阶段 Dead阶段 Terminate阶段 Network阶段 Establish阶段 验证失败 验证失败 链路建立失败 链路建立失败 验证通过或 验证通过或 无验证 Down关闭 Down 关闭 详细的PPP会话建立流程如下： 当物理层不可用时,PPP链路处于Dead阶段,链路必须从这个阶段开始和结束。 当物理层可用是进入Establish阶段。PPP链路在Establish阶段进行LCP协商,协商的内容包括是否采用链路捆绑、使用哪种验证方式、最大传输单元等。协商成功后LCP进入Opened状态,表示底层链路已经建立。 如果配置了验证,则进入Authenticate阶段,开始CHAP或者PPP验证。 如果验证失败则进入Terminate阶段,拆除链路,LCP状态转为Down；如果验证成功则进入Network阶段,有NCP协商网络层契约参数,此时LCP状态仍为Opened,而NCP状态从Initial转到Request。 NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。通过NCP协商来选择和配置一个网络层契约只有相应的网络层协商成功后,该网络层契约才可以通过这条PPP链路发送报文。 PPP链路讲一直保持通信,直至有明确的LCP或NCP帧来关闭纸条链路,或者发生了某些外部事件（例如线路被切断）。 主验证方被验证方CHAP验证 主验证方 被验证方 主机名+随机报文 主机名+随机报文 Router-BRouter-A Router-B Router-A 主机名+加密后报文 主机名+加密后报文 通过/或拒绝用户列表 通过/或拒绝 用户列表 CHAP验证为三次握手验证,验证过程如下： Challenge：主演正方主动发起验证请求,主验证方向被验证方发送一个随机产生的数值,并同时将本端的用户名发送给被验证方。 Response：被验证方接收到主验证方的验证请求后,检查本地密码。如果本端接口上配置了默认的CHAP密码,则被验证方选用此密码；如果没有配置默认的CHAP密码,则被验证方根据主演正方的用户名在本端的用户表中查找该用户对应密码,并选用找到的密码。随后,被验证方利用MD5算法对报文ID,密码和随机数生成一个摘要,并将此摘要和自己的用户名发回给主验证方。 Acknowledge　or Acknowledge：主验证方用MD5算法对报文ID、本地保存的被验证方密码和原随机数生成一个摘要,并与收到的摘要值进行比较。如果相同则向被验证方发送Acknowledge消息声明验证通过；如果不同则不通过,向被验证方发送Not Acknowledge。 本资料来自H3C 认证系列教程（H3C NE下册） 知识改变命运