PPP协议及验证机制.docx

PPP合同及验证机制PPP合同(POint-to-POintProtc)CO1)是一种数据链路层合同,它是为在同等单元之间传播数据包这样的简朴链路而设计的。这种链路提供全双工操作,并按照顺序传递数据包。PPP为基于多种主机、网桥和路由器的简朴连接提供一种共通的解决方案。小PPP合同涉及如下三个部分：S.数据帧封装措施。2总.链路控制合同1CP(1ikCotrO1PrOtOCe)I):它用于对封装格式选项的自动协商,建立和终结连接，探测链路错误和配备错误。3.针对不同网络层合同的一族网络控制合同NCP(NetworkC0troIProtocoI):PPP合同规定了针对每一种网络层合同均有相应的网络控制合同，并用它们来管理各个合同不同的需求。会PPP合同简介41.PPP数据帧封装总PPP合同为串行链路上传播的数据报定义了一种封装措施,它基于高层数据链路控制(HD1C)原则。PPP数据帧的格式如图1所7Jo标刘7E匕尸FF控制03陟议散械(<1500字节)CRC标上7EAPPP帧以标志字符01111110开始和结束，地址字段长度为1字节，内容为原则广播地址11111111,控制字段为00Oooo11。合同字段长度为2个字节,其值代表其后的数据字段所属的网络层合同,如：OxO021代表IP合同，OXCO21代表1CP数据,0x8021代表NCP数据等。数据字段涉及合同字段中指定的合同的数据报，长度为01500字节。CRC字段为整个帧时循环冗余校验码，用来检测传播中也许浮现的数据错误。A虽然使用所有的帧头字段,PPP合同帧也只需要8个字节就可以形成封装。如果在低速链路上或者带宽需要付费的状况下,P叩合同容许只使用最基本的字段,将帧头的开销压缩到2或4个字节的长度,这就是所谓的PPP帧头压缩。24.PPP回话的四个阶段一次完整的PPP回话过程涉及四个阶段：链路建立阶段、拟定链路质量阶段、网络层控制合同阶段和链路终结阶段(如图2所示)。.FAI1IFAi1I"""DOWNICtOSING一”一Hit<-s-HmikJ1'-4(1)链路建立阶段：PPP通信双方用链路控制合同互换配备信息,一旦配备信息互换成功，链路即宣布建立。配备信息一般都使用默认值,只有不依赖于网络控制合同的配备选项才在此时由链路控制合同配备。值得注意的是,在链路建立的过程中，任何非链路控制合同的包都会被没有任何告示地丢弃。A(2)链路质量拟定阶段:这个阶段在某些文献中也称为链路认证阶段。链路控制合同负责测试链路的质量与否能承载网络层的合同。在这个阶段中，链路质量测试是PPP合同提供的一种可选项,也可不执行。同步，如果顾客选择了验证合同，验证的过程将在这个阶段完毕。pPP支持两种验证合同:密码验证合同(PAP)和握手鉴权合同(CHAP)。A4(3)网络层控制合同阶段:PPP会话双方完毕上述两个阶段的操作后,开始使用相应的网络层控制合同配备网络层的合同,如：IP、IPX等。(4)链路终结阶段：链路控制合同用互换链路终结包的措施终结链路。引起链路终结的因素诸多:载波丢失、认证失败、链路质量失败、空闲周期定期器期满或管理员关闭链路等。3 .PPP合同中的验证机制验证过程在PPP合同中为可选项。在连接建立后进行连接者身份验证时目的是为了避免有人在未经授权的状况下成功连接，从而导致泄密。PPP合同支持两种验证合同：A(1)口令验证合同(PAP):口令验证合同的原理是由发起连接时一端反复向认证端发送顾客名/口令对,直到认证端响应以验证确认信息或者回绝信息。A(2)握手鉴权合同(CHAP)：CHAP用三次握手的措施周期性地检核对端的节点。其原理是:认证端向对端发送“挑战”信息，对端接到“挑战”信息后用指定的算法计算出应答信息然后发送给认证端,认证端比较应答信息与否对的从而判断验证的过程与否成功。如果使用CHAP合同，认证端在连接的过程中每隔一段时间就会发出一种新的“挑战”信息,以确认对端连接与否通过授权。4 这两种验证机制共同的特点就是简朴,比较适合于在低速率链路中应用。但简朴的合同一般均有其他方面的局限性，最突出的便是安全性较差。一方面,口令验证合同的顾客名/口令以明文传送，很容易被窃取;另一方面，如果一次验证没有通过，PAP并不能制止对端不断地发送验证信息,因此容易遭到强制袭击。A挑战握手合同的长处在于密钥不在网络中传送,不会被窃听。由于使用三次握手的措施，发起连接的一方如果没有收到“挑战信息”就不能进行验证,因此在某种限度上挑战握手合同不容易被强制袭击。但是，CHAP中的密钥必须以明文形式存在,不容许被加密,安全性无法得到保障。密钥的保管和分发也是CHAP的一种难点，在大型网络中一般需要专门的服务器来管理密钥。PPP的配备APPP合同在诸多领域中均有广泛的应用，典型的是远程Internet的连接，其中使用较多的是路由器与路由器互联（如图3所示）。I狼人.传说图3路由器与路由器的互联总A两个路由器之间有两条链路，分别运营PPP合同，其中一条链路使用CHAP认证，另一条采用PAP认证。1 .路由器PPP封装配备在端口模式下：aA(config-if)#encpsu1ationppp/在路由器A的SO、S1端口分别启动PPP合同。B(cofig-if)#encaps1ationppp在路由器B的SO、S1端口分别启动PPP合同。a2 .配备PPP认证使用的顾客名和密码A(cofig)#usernameBPQSSWodcisco为路由器B设立一种顾客名和口令。aB(cofig)#usernmeApasswordcisco为路由器A设立一种顾客名和口令。AA3.配备PAP认证A在路由器A、B的S1端口上：aA(cofig-if)pppaUthenticationPQPAB(config-if)#pppauthenticationpapA需要阐明的是，在CiSCoQS11.1或更高的版本中，如果路由器发送(或响应)PAP消息(或祈求),则必须在指定接口上使用PAP合同。A4单向认证：例如A向B发出认证祈求，那么只在A上配备即可,B不用额外配备。4AA(cofig-if)#PPPPaPsent-userameBpasswordCiSCe)A双向认证:A和B双方要互相认证,那么A、B都要配备。AaA(cofig-if)#ppppapset-serameBpasswordciscoB(config-if)#ppppapsent-sernameApsswordCiSCoA4.配备CHAP认证A在路由器A、B的So端口上：A4A(config-if)#pppauthenticationchQPAB(config-if)#pppauthenticationchap基于PT5的PPP认证配备实验拓扑图一、实战配备CHAP配备R1的CHAP:ARoter(cofig)#hostnmeR1R1(config)#usermeR3psswordciscoR1(cofig)its0/R1(cofig-if)#c1ockrate6400OR1(cofig-if)#ipaddr.1255.255.255.252aR1(cofig-if)#noshutR1(config-if)#intf00R1(config-if)#ipaddr192.168.1.1255.255.255.OaR1(config-if)#noshtR1(cofig)#routerOSPf1aR1(config-router)#network192.168.1.10.0.0.255areaOR1(config-router)#network10.1.1.00.0.0.3areaOR1(config)#intsO/OR1(config-if)#ecapsuIationPPPAR1(cofig-if)#pppauthenticatiochap配备R3的CHAP:Router(config)#hostameR34R3(config)#usermeR1passWordciscoR3(config)#usernameR2passwordciscoR3(cofig)#intsO/OR3(cofig-if)#ipaddr.2255.255.255.252R3(cofig-if)#noShUtaR3(cofig-if)#intsO/UR3(cofig-if)#ipaddr10.1.2.1255.255.255.252R3(config-if)#noShUtAR3(config)#routerospfUR3(config-router)#network10.1.1.00.0.0.3are0R3(config-router)#network10.1.2.00.0.0.3areaOAR3(config)#ints0/0R3(config-if)#encapsuIationpppR3(config-if)#pppautheticationchapR3(config)#ints0/1R3(cofig-if)#ecapsuIatiopppR3(config-if)#pppauthenticatiochap配备R2的CHAP：Router(config)#hostnameR2aR2(config)#usernameR3passwordCiSCOAR2(config)#intsO/OR2(config-if)#c1ockrate64OOOR2(config-if)#ipaddr.2255.255.255.252aR2(cofig-if)#noshutR2(config-if)#intfO/OR2(config-if)#ipaddr192.168.2.1255.255.255.0aR2(config-if)#noshutR2(config)#routerospfUR2(cofig-router)#network192.168.2.1O.O.0.255areaOAR2(config-router)network10.1.2.00.0.0.3areOR2(cofig)#ints0/OaR2(config-if)#encapsu1atiopppAR2(cofig-if)#pppautheticatiochap二、实战配备PAP清除掉刚刚的CHAP配备或者使用Router(Config-if)#noencapsuIatioPPP将HD1C封装合同还原。配备R1的PAP:R1(Config-if)#noencapsu1atioPPPARouter(config)hostameR1R1(config)#usernameR3passwordciscoR1(config)#ints00R1(cofig-if)#ecaps1ationPPpAR1(config-if)#pppautheticatiopapR1(cofig-if)#ppppapset-sernmeR1passwordcisco配备R3的PAP:Router(config)#hostnameR3R3(cofig)#usernameR1passwordciscoR3(cofig)#usernameR2passwordCiSCOAR3(config)#intsO/0R3(cofig-if)#en