廣域網(wǎng)協(xié)議-PPP技術(shù)介紹-D

1、技術(shù)介紹 廣域網(wǎng)協(xié)議目 錄i目 錄 HYPERLINK l _bookmark0 PPP、MP HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 PPP簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 PAP驗證 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 CHAP驗證 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 PPP運行過程 HYPERLINK l _bookmark2 3 HYPERLIN

2、K l _bookmark2 MP簡介 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 實現(xiàn)方式 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 協(xié)商過程 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 MP作用 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark4 PPPoE HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 PPPoE簡介 HYPERLINK l

3、 _bookmark4 5 HYPERLINK l _bookmark5 PPPoE Server HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 PPPoE Client HYPERLINK l _bookmark5 6技術(shù)介紹 廣域網(wǎng)協(xié)議PPP、MP PAGE 6PPP、MPPPP 簡介PPP（Point to Point Protocol）協(xié)議是在點到點鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議，由于它能夠提供用戶驗證、易于擴充，并且支持同/異步通信，因而獲得廣泛應用。PPP 定義了一整套的協(xié)議，包括鏈路控制協(xié)議（LCP）、網(wǎng)絡(luò)層控制協(xié)議（NC

4、P） 和驗證協(xié)議（PAP 和 CHAP）。鏈路控制協(xié)議（Link Control Protocol，LCP）：主要用來建立、拆除和監(jiān)控數(shù)據(jù)鏈路。網(wǎng)絡(luò)控制協(xié)議（Network Control Protocol，NCP）：主要用來協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。用于網(wǎng)絡(luò)安全方面的驗證協(xié)議族 PAP 和 CHAP。PAP 驗證PAP（Password Authentication Protocol）驗證為兩次握手驗證，密碼為明文，PAP驗證的過程如下：被驗證方發(fā)送用戶名和密碼到驗證方；驗證方根據(jù)本端用戶表查看是否有此用戶以及密碼是否正確，然后返回不同的響應（Acknowledge or

5、 Not Acknowledge）。圖1 PAP 驗證示意圖PAP 不是一種安全的驗證協(xié)議。當驗證時，口令以明文方式在鏈路上發(fā)送，并且由于完成 PPP 鏈路建立后，被驗證方會不停地在鏈路上反復發(fā)送用戶名和口令，直到身份驗證過程結(jié)束，所以不能防止攻擊。CHAP 驗證CHAP（Challenge-Handshake Authentication Protocol）驗證為三次握手驗證，密碼為密文（密鑰）。CHAP 單向驗證是指一端作為驗證方，另一端作為被驗證方。雙向驗證是單向驗證的簡單疊加，即兩端都是既作為驗證方又作為被驗證方。在實際應用中一般只采用單向驗證。CHAP 驗證過程如下：驗證方主動發(fā)起驗

6、證請求，驗證方向被驗證方發(fā)送一些隨機產(chǎn)生的報文（Challenge），并同時將本端的用戶名附帶上一起發(fā)送給被驗證方；被驗證方接到驗證方的驗證請求后，檢查本端接口上是否配置了缺省的 CHAP 密碼，如果配置了則被驗證方利用報文 ID、該缺省密碼和 MD5 算法對該隨機報文進行加密，將生成的密文和自己的用戶名發(fā)回驗證方（Response）；如果被驗證方檢查發(fā)現(xiàn)本端接口上沒有配置缺省的 CHAP 密碼，則被驗證方根據(jù)此報文中驗證方的用戶名在本端的用戶表查找該用戶對應的密碼，如果在用戶表找到了與驗證方用戶名相同的用戶，便利用報文 ID、此用戶的密鑰（密碼） 和 MD5 算法對該隨機報文進行加密，將生成

7、的密文和被驗證方自己的用戶名發(fā)回驗證方（Response）；驗證方用自己保存的被驗證方密碼和 MD5 算法對原隨機報文加密，比較二者的密文，根據(jù)比較結(jié)果返回不同的響應（Acknowledge or Not Acknowledge）。圖2 CHAP 驗證示意圖PPP 運行過程PPP 運行過程（參見下圖）如下：在開始建立 PPP 鏈路時，先進入到 Establish 階段。在 Establish 階段 PPP 鏈路進行 LCP 協(xié)商，協(xié)商內(nèi)容包括工作方式（是 SP 還是 MP）、驗證方式和最大傳輸單元等。LCP 協(xié)商成功后進入 Opened 狀態(tài)， 表示底層鏈路已經(jīng)建立。如果配置了驗證（遠端驗證本

8、地或者本地驗證遠端）則進入 Authenticate 階段， 開始 CHAP 或 PAP 驗證。如果驗證失敗進入 Terminate 階段，拆除鏈路，LCP 狀態(tài)轉(zhuǎn)為 Down；如果驗證成功就進入 Network 協(xié)商階段（NCP），此時 LCP 狀態(tài)仍為 Opened，而IPCP 狀態(tài)從Initial 轉(zhuǎn)到 Request。NCP 協(xié)商支持 IPCP 協(xié)商，IPCP 協(xié)商主要包括雙方的 IP 地址。通過 NCP 協(xié)商來選擇和配置一個網(wǎng)絡(luò)層協(xié)議。只有相應的網(wǎng)絡(luò)層協(xié)議協(xié)商成功后，該網(wǎng)絡(luò)層協(xié)議才可以通過這條 PPP 鏈路發(fā)送報文。PPP 鏈路將一直保持通信，直至有明確的 LCP 或 NCP 幀關(guān)閉

9、這條鏈路，或發(fā)生了某些外部事件（例如用戶的干預）。圖3 PPP 運行流程圖有關(guān) PPP 的詳細說明，請參考 RFC1661。MP 簡介為了增加帶寬，可以將多個 PPP 鏈路捆綁使用，稱為 MultiLink PPP，簡稱 MP。MP 會將報文分片（小于最小分片包長時不分片）后，從 MP 鏈路下的多個 PPP 通道發(fā)送到 PPP 對端，對端將這些分片組裝起來遞給網(wǎng)絡(luò)層。實現(xiàn)方式MP 的配置主要有兩種方式，一種是通過虛擬模板接口（Virtual-Template，VT）， VT 是用于配置一個虛擬訪問接口（Virtual Access，VA）的模板，將多個 PPP 鏈路捆綁成 MP 之后，需要創(chuàng)建

10、一個 VA 與對端交換數(shù)據(jù)。此時，系統(tǒng)將選擇一個 VT， 以便動態(tài)地創(chuàng)建一個 VA；一種是利用 MP-group 接口。這兩種配置方式的區(qū)別主要是：虛擬模板接口方式可以與驗證相結(jié)合，可以根據(jù)對端的用戶名找到指定的虛擬模板接口，從而利用模板上的配置，創(chuàng)建相應的捆綁（Bundle，系統(tǒng)中用 VT 通道來表示），以對應一條 MP 鏈路。由一個虛擬模板接口還可以派生出若干個捆綁，每個捆綁對應一條 MP 鏈路。那么這樣一來，從網(wǎng)絡(luò)層看來，這若干條 MP 鏈路會形成一個點對多點的網(wǎng)絡(luò)拓撲。從這個意義上講，虛擬模板接口比 MP-group 接口更加靈活。為區(qū)分虛擬模板接口派生出的多個捆綁，需要指定捆綁方式，

11、系統(tǒng)在虛擬模板接口視圖下提供了命令 ppp mp binding-mode 來指定綁定方式，綁定方式有authentication、both、descriptor 三種，缺省是 both。authentication 是根據(jù)驗證用戶名捆綁，descriptor 是根據(jù)終端描述符捆綁（LCP 協(xié)商時，會協(xié)商出這個選項值），both 是要同時參考這兩個值捆綁。MP-group 接口與虛擬模板接口相比則單純許多，它是 MP 的專用接口，不能支持其他應用，也不能利用對端的用戶名來指定捆綁，同時也不能派生多個捆綁。但正因為它的簡單，導致了它的快速高效、配置簡單、容易理解。協(xié)商過程MP 的協(xié)商包括 LCP

12、 協(xié)商和 NCP 協(xié)商兩個過程：LCP 協(xié)商：兩端首先進行 LCP 協(xié)商，除了協(xié)商一般的 LCP 參數(shù)外，還要驗證對端接口是否也工作在 MP 方式下。如果兩端工作方式不同，LCP 協(xié)商不成功。NCP 協(xié)商：在 LCP 協(xié)商成功后，根據(jù) MP-group 接口或指定虛擬接口模板的各項 NCP 參數(shù)（如 IP 地址等）進行 NCP 協(xié)商，物理接口配置的 NCP 參數(shù)不起作用。NCP 協(xié)商通過后，即可建立 MP 鏈路。MP 作用MP 的作用主要有：增加帶寬，結(jié)合 DCC（Dial Control Center，撥號控制中心）可以做到動態(tài)增加或減小帶寬負載分擔備份利用分片降低時延MP 能在任何支持 P

13、PP 封裝的接口下工作，如串口、ISDN 的 BRI/PRI 接口等，也包括 PPPoX（PPPoE、PPPoA、PPPoFR 等）這類虛擬接口，建議用戶盡可能將同一類的接口捆綁使用，不要將不同類的接口捆綁使用。PPPoEPPPoE 簡介PPPoE 是 Point-to-Point Protocol over Ethernet 的簡稱，它可以通過一個遠端接入設(shè)備為以太網(wǎng)上的主機提供因特網(wǎng)接入服務，并對接入的每個主機實現(xiàn)控制、計費功能。由于很好地結(jié)合了以太網(wǎng)的經(jīng)濟性及 PPP 良好的可擴展性與管理控制功能， PPPoE 在包括小區(qū)組網(wǎng)建設(shè)等一系列應用中被廣泛采用。PPPoE 協(xié)議采用 Clien

14、t/Server 方式，它將 PPP 報文封裝在以太網(wǎng)幀之內(nèi)，在以太網(wǎng)上提供點對點的連接。PPPoE 有兩個階段：Discovery 階段和 PPP Session 階段，具體如下：Discovery 階段當一個主機想開始 PPPoE 進程的時候，它必須先識別接入端的以太網(wǎng) MAC 地址， 建立 PPPoE 的 SESSION ID。這就是Discovery 階段的目的。PPP Session 階段當 PPPoE 進入 Session 階段后 PPP 報文就可以作為 PPPoE 幀的凈荷封裝在以太網(wǎng)幀發(fā)到對端，SESSION ID 必須是Discovery 階段確定的 ID，MAC 地址必須是

15、對端的 MAC 地址，PPP 報文從 Protocol ID 開始。在 Session 階段，主機或服務器任何一方都可發(fā) PADT（PPPoE Active Discovery Terminate）報文通知對方結(jié)束本Session。關(guān)于 PPPoE 的詳細介紹，可以參考 RFC2516。PPPoE Server設(shè)備提供了 PPPoE Server 的功能，支持動態(tài)分配 IP 地址，提供本地認證、RADIUS/TACACS+等多種認證方式，配合訪問包過濾防火墻及狀態(tài)防火墻，可以對內(nèi)部網(wǎng)絡(luò)提供安全保障，適用于校園、智能小區(qū)等通過以太網(wǎng)接入 Internet 的組網(wǎng)應用。這種組網(wǎng)方式需要在用戶 Host 上安裝 PPPoE 客戶端撥號軟件。PPPoE ClientPPPoE 在 ADSL 寬帶接入中被廣泛使用。通常情況下，一臺主機如果要通過 ADSL 接入Internet，必須在主機上安裝PPPoE 客戶端撥號軟件。設(shè)備實現(xiàn)了PPPoE Client功能（即 PPPoE 的客戶端撥號功能），用戶可以不用在 Host 上安裝 PPPoE 客戶端軟件即可接