第十二课：PPP协议

网络互联与实现计算机网络技术教研室王宏群PPP协议Page3/34内容回顾广域网的连接类型都有哪些常用的广域网封装协议有什么列举五种广域网连接的接口类型Page4/34本章目标能够在点对点链路上配置PPP协议了解PPP协议的基本概念掌握PPP链路的建立过程掌握PAP和CHAP认证了解多链路PPP掌握PPP协议的配置Page5/34PPP的认证本章结构PPP协议PPP协议概述多链路PPPPPP的配置PAP认证CHAP认证PPP协议的产生PPP帧格式PPP链路的建立PPP的组成Page6/34PPP协议概述PPP（PointtoPointProtocol）协议是在点对点链路上运行的数据链路层协议用户使用拨号电话线接入Internet时，一般都是使用PPP协议PSTNPPP协议Page7/34PPP协议的产生-SLIP协议SLIP协议（SerialLineInternetProtocol）是在串行线路上对IP数据报进行封装的简单协议产生于二十世纪八十年代中期SLIP协议的缺点封装格式十分简单，无法进行IP地址等参数的协商只支持IP协议不具备校验功能IP数据报文+END字符=SLIP数据帧Page8/34PPP协议的发展历程1989年，PPP协议被提出1994年，经过多年的修订，PPP协议正式已成为Internet的标准之一由RFC1661定义，还包括RFC1662、RFC1663等一系列协议Page9/34PPP协议的优点支持同步或异步串行链路的传输支持多种网络层协议支持错误检测支持网络层的地址协商支持用户认证允许进行数据压缩Page10/34PPP的组成PPP主要包括三个部分在串行链路上封装上层数据报文的方法采用LCP（Link-ControlProtocol，链路控制协议）来建立、控制数据链路采用NCP（Network-ControlProtocol，网络控制协议）来支持多种网络协议物理介质（同/异步）LCPNCPPPPIPIPX其它网络协议IPCPIPXCP其它NCP网络层数据链路层物理层Page11/34PPP链路的建立PPP链路的建立共有五个阶段链路不可用阶段链路建立阶段认证阶段网络层协议阶段链路终止阶段物理层UP链路UP认证通过或无认证认证失败关闭失败Page12/34PPP帧格式协议域信息域0x7E0xFF0x03帧校验0x7E1Byte2Bytes2Bytes1Byte1Byte1Byte信息域：根据协议域的内容而定当协议域为LCP协议时，信息域内为LCP协商参数当协议域为NCP协议时，信息域内为NCP协商参数当协议域为IP协议时，信息域内为用户数据地址域：对方的数据链路层地址。因为PPP协议是点对点的链路层协议，所以此字节无意义，用0xFF填充标志字节：用来标示PPP帧的开始和结束控制域：通常用0x03填充协议域：用来区分PPP数据帧中信息域所承载的数据报文的内容常见取值：0xc021信息域中承载的是LCP协议数据报文0xc023信息域中承载的是PAP协议的认证报文0xc223信息域中承载的是CHAP协议的认证报文0x8021信息域中承载的是NCP协议数据报文0x0021信息域中承载的是IP协议数据报文Page13/34LCP协议用来建立、配置、维护、终止一条点对点链路LCP协议协商选项MRU，最大接收单元认证协议链路压缩多链路捆绑Page14/34NCP协议用来建立、配置不同的网络层协议包括IPCP、IPXCP等协议IPCP协议协商选项IP地址协商TCP/IP头压缩Page15/34PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成PPP的帧格式LCP协议用来负责链路的配置NCP协议用来负责网络协议的配置PPP链路建立的过程阶段总结Page16/34PPP认证协议PPP协议支持用户的认证，是广域网接入使用最广泛的协议PPP协议支持两种认证协议PAP（PasswordAuthenticationProtocol，口令认证协议）CHAP（ChallengeHandshakeAuthenticationProtocol，质询握手认证协议）Page17/34PAP认证PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。被认证方主认证方用户名和密码(user01/pw01)认证通过/未通过用户名：user01密码：pw01usernamepassworduser01pw01根据用户数据库认证用户名密码是否正确Page18/34CHAP认证4－1CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。被认证方主认证方Page19/34CHAP认证4－201id随机数据3640-1766-13640-1用户名口令3640-1PWDid随机数据PWDMD5Hash值主认证方发送认证请求表示此报文为认证请求此次认证的序列号主认证方认证用户名被认证方在本地的数据库中查找对应的密码Page20/34用户名口令766-1PWDCHAP认证4－3被认证方回复认证请求02idHash值766-1766-13640-1此报文为CHAP认证响应报文与认证请求中的id相同被认证方的认证用户名主认证方在本地数据库中查找被认证方对应的口令id随机数据PWD随机数据根据id找到先前保存的随机数据MD5Hash值与被认证方计算得到的Hash值做比较，如果一致，则认为认证通过。Page21/34CHAP认证4－4主认证方确认认证是否通过766-13640-103id“认证通过”Page22/34多链路PPPMLP（MultiLinkPPP）可以将多条PPP链路捆绑起来对于MLP链路两端的设备，就好像只有一条PPP连接，只需配置一个IP地址优点增加带宽负载分担降低时延Page23/34配置PPP协议进入串口配置模式Router(config)#interfaceserial0/0配置接口的链路层协议为PPPRouter(config-if)#encapsulationppp配置接口的IP地址Router(config-if)#ipaddressip_addrip_maskPage24/34配置PAP认证-主认证方配置认证用户名和密码Router(config)#usernameuser_namepassword0pass_word启用PAP认证Router(config-if)#pppauthenticationpap0表示密码为明文保存Page25/34配置PAP认证-被认证方配置认证用户名和密码Router(config-if)#ppppapsent-usernameuser_namepassword0pass_word主认证方和被认证方配置的用户名和密码必须一致Page26/34配置CHAP认证-主认证方配置认证用户名和密码Router(config)#usernameuser_namepassword0pass_word启用CHAP认证Router(config-if)#pppauthenticationchap配置认证用的用户名Router(config-if)#pppchaphostnameuser_name如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名Page27/34配置CHAP认证-被认证方配置认证用户名和密码Router(config)#usernameuser_namepassword0pass_word配置认证用的用户名Router(config-if)#pppchaphostnameuser_name配置认证用的密码Router(config-if)#pppchappassword0pass_word如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码Page28/34配置IP地址协商服务器端Router(config-if)#peerdefaultipaddressip_addr客户端Router(config-if)#ipaddressnegotiated配置此命令后，原先在接口上配置的IP地址将被删除Page29/34配置PPP压缩启用PPP压缩Router(config-if)#compress{predictor|stac}启用TCP/IP头压缩Router(config-if)#iptcpheader-compression需要在PPP链路的两端均配置才能生效当路由器负载过大时，最好不要启用PPP压缩需要在PPP链路的两端均配置才能生效在高速线路上最好不要启用此功能Page30/34PPP配置实例办事处公司总部192.168.1.2/30192.168.1.1/30PPP专线办事处公司总部192.168.1.2/30192.168.1.1/30PPP专线办事处办事处公司总部公司总部192.168.1.2/30192.168.1.1/30PPP专线RouterA#configterminalRouterA(config)#interfaceserial0/0RouterA(config-if)#ipaddress192.168.1.2255.255.255.252RouterA(config-if)#encapsulationpppRouterA(config-if)#ppppapsent-usernamebenetpassword0bestRouterA(config-if)#noshutdownRouterB#configterminalRouterB(config)#usernamebenetpassword0bestRouterB(config)#interfaceserial0/0RouterB(config-if)#ipaddress192.168.1.1255.255.255.252RouterB(config-if)#clockrate2000000RouterB(config-if)#encapsulationpppRouterB(config-if)#pppauthenticationpapRouterB(config-if)#noshutdownABPage31/34PPP的调试和排错3-1showinterface命令Router#showinterfaceserial0/1Serial0/1isup,lineprotocolisupHardwareisPowerQUICCSerialInternetaddresswillbenegotiatedusingIPCPMTU1500bytes,BW1544Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationPPP,loopbacknotsetLCPOpenOpen:IPCP,CDPCP物理层UP，数据链路层UP此接口的IP地址由IPCP协议协商决定此接口链路层封装协议为PPPLCP、IPCP、CDPCP协议状态都为openPage32/34PPP的调试和排错3-2debugppppacket命令*Mar100:21:36.216:Se0/1PPP:Outboundcdppacketdropped,lineprotocolnotup*Mar100:21:38.211:%LINK-3-UPDOWN:InterfaceSerial0/1,changedstatetoup*Mar100:21:38.211:Se0/1LCP:OCONFREQ[Closed]id33len10*Mar100:21:38.211:Se0/1LCP:MagicNumber0x13D78FE3(0x050613D78FE3)*Mar100:21:40.202:Se0/1LCP:TIME