《点对点协议》PPT课件.ppt

《《点对点协议》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《点对点协议》PPT课件.ppt（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、点对点协议点对点协议RCNA_09RCNA_09RCNA_09RCNA_09学习目标 通过本章的学习，希望您能够：通过本章的学习，希望您能够：广域网的概念广域网的概念广域网的概念广域网的概念广域网中的数据链路层协议广域网中的数据链路层协议广域网中的数据链路层协议广域网中的数据链路层协议点对点协议点对点协议点对点协议点对点协议PPPPPPPapPap配置配置配置配置ChapChap配置配置配置配置广域网的概念 广广广广 域域域域 网网网网（Wide Wide Wide Wide Area Area Area Area NetworkNetworkNetworkNetwork，WANWANWANW

2、AN）指指指指一一一一个个个个很很很很大大大大地地地地理理理理范范范范围围围围的的的的由由由由许许许许多多多多局局局局域域域域网网网网组组组组成成成成的的的的网网网网络络络络，比比比比如如如如，一一一一家家家家大大大大型型型型公公公公司司司司在在在在各各各各地地地地的的的的分分分分公公公公司司司司的的的的内内内内部网络互相连结组成一个网络。部网络互相连结组成一个网络。部网络互相连结组成一个网络。部网络互相连结组成一个网络。互联网就是一个巨大的广域网。互联网就是一个巨大的广域网。互联网就是一个巨大的广域网。互联网就是一个巨大的广域网。广域网设备 广域网交换机广域网交换机 接入服务器接入服务器 调

3、制解调器调制解调器 ISDNISDN终端适配器终端适配器 路由器（路由器（RouterRouter）广域网中的数据链路层协议 点到点协议（点到点协议（PPPPPP）高级数据链路控制（高级数据链路控制（HDLCHDLC）协议）协议 帧中继（帧中继（FrameRelayFrameRelay）PPP协议简介 PPPPPPPPPPPP（Point to Point ProtocolPoint to Point ProtocolPoint to Point ProtocolPoint to Point Protocol）协议协议协议协议 是一种在点到点链路上承载网络层数据包的一种链路层协议。是一种在点到

4、点链路上承载网络层数据包的一种链路层协议。是一种在点到点链路上承载网络层数据包的一种链路层协议。是一种在点到点链路上承载网络层数据包的一种链路层协议。由于由于由于由于 它它它它能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛应用。应用。应用。应用。HDLC,PPP专用点到点专用点到点 V.24,V.35,X.21BisEIA/TIA-232/449LAPB,Frame Relay,HDLC,PPP,SDL

5、C网络层网络层物理层物理层数据链路层数据链路层路由器路由器 A A广域网的下三层广域网的下三层网络层网络层物理层物理层数据链路层数据链路层路由器路由器 B BnPPP的运行机制的运行机制nPPP的验证的验证nPPP配置命令配置命令主要内容主要内容:PPP协议协议链路控制协议链路控制协议（LCPLCP）Link Control Protocol Link Control Protocol Link Control Protocol Link Control Protocol，简称，简称，简称，简称LCPLCPLCPLCP。主要用来建立、拆除和监控数据链。主要用来建立、拆除和监控数据链。主要用来建

6、立、拆除和监控数据链。主要用来建立、拆除和监控数据链路。路。路。路。网络控制协议网络控制协议（NCPNCP）Network Control Protocol Network Control Protocol Network Control Protocol Network Control Protocol，简称，简称，简称，简称NCPNCPNCPNCP。主要用来协商在该数据链路上。主要用来协商在该数据链路上。主要用来协商在该数据链路上。主要用来协商在该数据链路上所传输的数据包的格式与类型。所传输的数据包的格式与类型。所传输的数据包的格式与类型。所传输的数据包的格式与类型。验证协议验证协议（PA

7、P PAP 和和CHAPCHAP）用于网络安全方面的验证。用于网络安全方面的验证。用于网络安全方面的验证。用于网络安全方面的验证。PPP PPP 定义了一整套的协议定义了一整套的协议:(EIA/TIA-232,V.24,V.35,ISDN)LCP(连接控制协议连接控制协议)NCP(网络控制协议网络控制协议)OSI21(IP,IPX,AppleTalk)3PPP协议结构PPP运行过程DeadEstablishAuthenticateTerminateNetworkUPOpenedSuccess/NoneFailFailDownClosingPPP运行过程三阶段链路建立阶段（LCP）验证阶段（Au

8、thenticate）网络控制协商阶段（NCP）PPP 的运行机制(1)(1)在开始建立在开始建立在开始建立在开始建立PPPPPP链路时，先进入到链路时，先进入到链路时，先进入到链路时，先进入到EstablishEstablish阶段阶段。进行进行进行进行LCPLCP协商，协商内容包括工作方式（是协商，协商内容包括工作方式（是协商，协商内容包括工作方式（是协商，协商内容包括工作方式（是SPSP还是还是还是还是MPMP）、验证方式和最大接）、验证方式和最大接）、验证方式和最大接）、验证方式和最大接收单元收单元收单元收单元MRUMRU（Maximum-Receive-UnitMaximum-Rec

9、eive-Unit）等。）等。）等。）等。(2)LCP(2)LCP在协商成功后进入在协商成功后进入在协商成功后进入在协商成功后进入OpenedOpened状态状态，表示底层链路已经建立。，表示底层链路已经建立。，表示底层链路已经建立。，表示底层链路已经建立。(3)(3)如果配置了验证（远端验证本地或者本地验证远端）则进入如果配置了验证（远端验证本地或者本地验证远端）则进入如果配置了验证（远端验证本地或者本地验证远端）则进入如果配置了验证（远端验证本地或者本地验证远端）则进入AuthenticateAuthenticate阶段阶段，开始，开始，开始，开始CHAPCHAP或或或或PAPPAP验证。

10、验证。验证。验证。(4)(4)如果验证失败进入如果验证失败进入如果验证失败进入如果验证失败进入TerminateTerminate阶段阶段，拆除链路，拆除链路，拆除链路，拆除链路，LCPLCP状态转为状态转为DownDown；如果；如果；如果；如果验证成功就进入验证成功就进入验证成功就进入验证成功就进入NetworkNetwork协商阶段协商阶段（NCPNCP），此时），此时），此时），此时LCPLCP状态仍为状态仍为OpenedOpened。两。两。两。两端的端的端的端的NCPNCP根据网络层的不同协议互相交换网络层特定的分组。（根据网络层的不同协议互相交换网络层特定的分组。（根据网络层的不

11、同协议互相交换网络层特定的分组。（根据网络层的不同协议互相交换网络层特定的分组。（PPPPPP协议两端协议两端协议两端协议两端的网络层可以运行不同的网络层协议）的网络层可以运行不同的网络层协议）的网络层可以运行不同的网络层协议）的网络层可以运行不同的网络层协议）(5)PPP(5)PPP链路将一直保持通信，直至有明确的链路将一直保持通信，直至有明确的链路将一直保持通信，直至有明确的链路将一直保持通信，直至有明确的LCPLCP或或或或NCPNCP帧关闭这条链路，帧关闭这条链路，帧关闭这条链路，帧关闭这条链路，或发生了某些外部事件（例如，用户的干预）。或发生了某些外部事件（例如，用户的干预）。或发生

12、了某些外部事件（例如，用户的干预）。或发生了某些外部事件（例如，用户的干预）。PPP 的验证(1)PAP(1)PAP 验证验证 PAP PAP PAP PAP 验证为两次握手验证，验证为两次握手验证，验证为两次握手验证，验证为两次握手验证，PAP PAP PAP PAP 验证的过程如下：验证的过程如下：验证的过程如下：验证的过程如下：被验证方发送用户名和口令到验证方；被验证方发送用户名和口令到验证方；验证方根据本端用户表查看是否有此用户以及口令验证方根据本端用户表查看是否有此用户以及口令 是否正确，然后返是否正确，然后返回不同的响应（回不同的响应（Acknowledge or Not Ackn

13、owledgeAcknowledge or Not Acknowledge）。）。主验证方主验证方RouterA RouterB PAP验证验证S0/0S0/0被验证方被验证方1username+password2B/SPPP 的验证(2)CHAP(2)CHAP(2)CHAP(2)CHAP 验证验证验证验证 CHAP CHAP CHAP CHAP 验证为三次握手验证，验证为三次握手验证，验证为三次握手验证，验证为三次握手验证，CHAP CHAP CHAP CHAP 验证过程如下：验证过程如下：验证过程如下：验证过程如下：验证方主动发起验证请求，验证方向被验证方发送一些随机产生的验证方主动发起验

14、证请求，验证方向被验证方发送一些随机产生的验证方主动发起验证请求，验证方向被验证方发送一些随机产生的验证方主动发起验证请求，验证方向被验证方发送一些随机产生的报文报文报文报文（ChallengeChallengeChallengeChallenge），并同时将本端的），并同时将本端的），并同时将本端的），并同时将本端的用户名用户名用户名用户名附带上一起发送给被验证方；附带上一起发送给被验证方；附带上一起发送给被验证方；附带上一起发送给被验证方；被验证方接到验证方的验证请求后，被验证方根据此报文中验证方的用户名查找用户口被验证方接到验证方的验证请求后，被验证方根据此报文中验证方的用户名查找用户口

15、被验证方接到验证方的验证请求后，被验证方根据此报文中验证方的用户名查找用户口被验证方接到验证方的验证请求后，被验证方根据此报文中验证方的用户名查找用户口令字，如找到用户表中与验证方用户名相同的用户，就利用报文令字，如找到用户表中与验证方用户名相同的用户，就利用报文令字，如找到用户表中与验证方用户名相同的用户，就利用报文令字，如找到用户表中与验证方用户名相同的用户，就利用报文IDID、此用户的密钥（口、此用户的密钥（口、此用户的密钥（口、此用户的密钥（口令字）和令字）和令字）和令字）和MD5MD5算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方算法对该随机报文进行加密，将生成的密文

16、和自己的用户名发回验证方算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方（ResponseResponse）；）；）；）；如果被验证方没有在本端用户表中找到匹配的用户名，则检查本端接口上是否配置了如果被验证方没有在本端用户表中找到匹配的用户名，则检查本端接口上是否配置了如果被验证方没有在本端用户表中找到匹配的用户名，则检查本端接口上是否配置了如果被验证方没有在本端用户表中找到匹配的用户名，则检查本端接口上是否配置了pppchappasswordpppchappassword命令，如果配置了该命令则被验证方利用报文命令，

17、如果配置了该命令则被验证方利用报文命令，如果配置了该命令则被验证方利用报文命令，如果配置了该命令则被验证方利用报文IDID、此用户的密钥、此用户的密钥、此用户的密钥、此用户的密钥（口令字）和（口令字）和（口令字）和（口令字）和MD5MD5算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方（方（方（方（ResponseResponse）。）。）。）。验证方接收到该报文后，根据此报文中被验证方的用户名，在自己

18、的本地验证方接收到该报文后，根据此报文中被验证方的用户名，在自己的本地验证方接收到该报文后，根据此报文中被验证方的用户名，在自己的本地验证方接收到该报文后，根据此报文中被验证方的用户名，在自己的本地用户数据库（用户数据库（用户数据库（用户数据库（local-userlocal-user）中查找被验证方用户名对应的被验证方口令字，）中查找被验证方用户名对应的被验证方口令字，）中查找被验证方用户名对应的被验证方口令字，）中查找被验证方用户名对应的被验证方口令字，利用该口令和利用该口令和利用该口令和利用该口令和MD5MD5算法对原随机报文加密，比较二者的密文，根据比较算法对原随机报文加密，比较二者的

19、密文，根据比较算法对原随机报文加密，比较二者的密文，根据比较算法对原随机报文加密，比较二者的密文，根据比较结果返回不同的响应（结果返回不同的响应（结果返回不同的响应（结果返回不同的响应（AcknowledgeorNotAcknowledgeAcknowledgeorNotAcknowledge）。）。）。）。ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Request(username,password)AuthNakPAP验证特点AuthAck两次握手协议明文方式进行验证ClientServerHostna

20、me:wz1Password:hyper123usernamewz2passwordhyper123ChallengeResponseSuccessCHAP验证特点FailureCHAP为三次握手协议只在网络上传输用户名，而并不传输口令安全性要比PAP高，但认证报文浪费带宽第一步第一步定义接口封装类型定义接口封装类型:Router(config-if)#encapsulation ppp第二步第二步定义本地数据库定义本地数据库:Router(config)#username username password passwordPPP认证配置第三步第三步定义定义PAP认证认证:Router(co

21、nfig-if)#ppp authentication papRouter(config-if)#ppp pap sent-username username password password定义定义CHAP认证认证:Router(config-if)#ppp authentication chapRouter(config-if)#ppp chap hostname usernameRouter(config-if)#ppp chap password passwordPPP认证配置扩展：H3C配置命令 封装封装PPPPPPlink-protocolppplink-protocolppp

22、设置验证类型设置验证类型pppauthentication-modepap|chappppauthentication-modepap|chap 设置用户名、口令、服务类型设置用户名、口令、服务类型H3Clocal-userH3Clocal-userhuaweihuaweiH3C-luser-huaweipasswordsimpleH3C-luser-huaweipasswordsimple1234512345H3C-luser-huaweiservice-typeH3C-luser-huaweiservice-typeppppppPPP配置举例一PAP单向验证主验证方主验证方被验证方被验证方

23、RouterB RouterA PAP验证验证S3/0/0S3/0/0local-userrta/创建用来验证的本地帐号创建用来验证的本地帐号/passwordsimple123/设置帐号密码设置帐号密码/service-typeppp/设置服务类型为设置服务类型为ppp/interfaceSerial3/0/0link-protocolppppppauthentication-modepap/要求对要求对对端进行对端进行PPP验证验证/interfaceSerial3/0/0link-protocolpppppppaplocal-userrtapasswordsimple123/发送给对端的

24、用户名及密码发送给对端的用户名及密码/【需求】【需求】RouterBRouterB需要对RouterARouterA送过来的帐号口令进行PAP验证，验证通过后line protocol才会up。RouterARouterA不需要对RouterBRouterB进行验证。【验证】【验证】通过查看通过查看dispints3/0/0dispints3/0/0信息，接口物理层和链路层的状态都是信息，接口物理层和链路层的状态都是upup状态，并且状态，并且PPPPPP的的LCPLCP和和IPCPIPCP都是都是openedopened状态，说明链路的状态，说明链路的PPPPPP协商已经成功，并且都可以互相

25、协商已经成功，并且都可以互相pingping通对方的通对方的IPIP地地址址 Serial3/0/0currentstate:UPSerial3/0/0currentstate:UP Lineprotocolcurrentstate:UPLineprotocolcurrentstate:UP Description:Serial3/0/0InterfaceDescription:Serial3/0/0Interface TheMaximumTransmitUnitis1500,Holdtimeris10(sec)TheMaximumTransmitUnitis1500,Holdtimeris1

26、0(sec)LinklayerprotocolisPPPLinklayerprotocolisPPP LCPopened,LCPopened,IPCPopened,OSICPopenedIPCPopened,OSICPopened Outputqueue:(Urgentqueuing:Size/Length/Discards)0/50/0Outputqueue:(Urgentqueuing:Size/Length/Discards)0/50/0 InterfaceisV35InterfaceisV35 121packetsinput,2304bytes121packetsinput,2304b

27、ytes 126packetsoutput,2618bytes126packetsoutput,2618bytes【提示】【提示】1 1、建议在双方的路由器的可以互相建议在双方的路由器的可以互相pingping通后，再配置认证功能，便于问题定位。通后，再配置认证功能，便于问题定位。2 2、“pppauthentication-modepap”pppauthentication-modepap”是要求对对端进行是要求对对端进行PPPPPP验证验证PPP典型配置举例二CHAP双向验证双向验证RouterARouterBCHAP验证验证S2/0/0S2/0/0local-userrtb/创建用来验证

28、的本地创建用来验证的本地帐号帐号/passwordsimplehello/设置帐号密码设置帐号密码/service-typeppp/设置服务类型为设置服务类型为ppp/interfaceSerial2/0/0link-protocolppppppauthentication-modechap/要求要求对对端进行对对端进行PPP验证验证/pppchapuserrta/Chap认证帐认证帐号号/local-userrta/创建用来验证的本地创建用来验证的本地帐号帐号/passwordsimplehello/设置帐号密码设置帐号密码/service-typeppp/设置服务类型为设置服务类型为ppp

29、/interfaceSerial2/0/0link-protocolppppppauthentication-modechap/要求对要求对对端进行对端进行PPP验证验证/pppchapuserrtb/Chap认证帐认证帐号号/主验证方主验证方被验证方被验证方CHAP双向验证【需求】【需求】RouterB需要对RouterA送过来的帐号口令进行CHAP验证，验证通过后lineprotocol才会up。RouterA需要对RouterB送过来的帐号口令进行CHAP验证，验证通过后lineprotocol才会up。Router#show interfaces serial PPP认证的调试Router#debug ppp authentication课程回顾广域网的概念广域网的概念广域网的概念广域网的概念广域网中的数据链路层协议广域网中的数据链路层协议广域网中的数据链路层协议广域网中的数据链路层协议点对点协议点对点协议点对点协议点对点协议PPPPPPPapPap配置配置配置配置ChapChap配置配置配置配置