1、PPP的认证的认证PPP协议协议PPP协议概述协议概述多链路多链路PPPPPP的配置的配置PAP认证认证CHAP认证认证PPP协议的产生协议的产生PPP帧格式帧格式PPP链路的建立链路的建立PPP的组成的组成IPIP数据报文数据报文+ENDEND字符字符=SLIPSLIP数据帧数据帧PSTNPPP协议协议物理介质(同物理介质(同/异步)异步)LCPLCPNCPNCPPPPPPPIPIPIPXIPX其它网络协议其它网络协议IPCPIPXCP其它其它NCPNCP网络层网络层数据链路层数据链路层物理层物理层链路不可用链路不可用阶段阶段链路建立链路建立阶段阶段认证阶段认证阶段网络层协议网络层协议阶段阶
2、段链路终止链路终止阶段阶段物理物理层层 UP链路链路UP认证认证通过通过或无或无认证认证认证失败认证失败关闭关闭失败失败协议域协议域信息域信息域0 x7E 0 xFF 0 x03帧校验帧校验0 x7E1Byte2Bytes2Bytes1Byte1Byte1Byte信息域:根据协议域的内容而定信息域:根据协议域的内容而定 当协议域为当协议域为LCP协议时,信息域内为协议时,信息域内为LCP协商参数协商参数 当协议域为当协议域为NCP协议时,信息域内为协议时,信息域内为NCP协商参数协商参数 当协议域为当协议域为IP协议时,信息域内为用户数据协议时,信息域内为用户数据地址域:对方的数据链路层地址。
3、地址域:对方的数据链路层地址。因为因为PPP协议是点对点的链路层协议,协议是点对点的链路层协议,所以此字节无意义,用所以此字节无意义,用0 xFF填充填充标志字节:用来标示标志字节:用来标示PPP帧的开始和帧的开始和结束结束控制域:通常用控制域:通常用0 x03填充填充协议域:用来区分协议域:用来区分PPP数据帧中信息域所承载的数据报文的内容数据帧中信息域所承载的数据报文的内容常见取值:常见取值:0 xc021 信息字段是链路控制数据信息字段是链路控制数据LCPLCP 0 xc023 信息字段是安全性认证信息字段是安全性认证PAPPAP 0 xc223 信息字段是安全性认证信息字段是安全性认证
4、CHAPCHAP 0 x8021 信息字段是网络控制数据信息字段是网络控制数据NCPNCP 0 x0021 信息字段是信息字段是IPIP数据报数据报 被认证方被认证方主认证方主认证方用户名和密码用户名和密码(user01/pw01)认证通过认证通过/未通过未通过用户名:用户名:user01密密 码:码:pw01username passworduser01 pw01根据用户数据库认证根据用户数据库认证用户名密码是否正确用户名密码是否正确被认证方被认证方主认证方主认证方主认证方用户名,随机数据主认证方用户名,随机数据被认证方用户名,随机报文与被认证方用户名,随机报文与密码加密后的报文密码加密后的
5、报文接受接受/拒绝拒绝766-13640-1用户名用户名 口令口令3640-1 PWDMD5Hash值值表示此报文为表示此报文为认证请求认证请求此次认证的序此次认证的序列号列号主认证方认证主认证方认证用户名用户名被认证方在本地被认证方在本地的数据库中查找的数据库中查找对应的密码对应的密码用户名用户名 口令口令766-1 PWD766-13640-1此报文为此报文为CHAP认认证响应报文证响应报文与认证请求中的与认证请求中的id相同相同被认证方的认证被认证方的认证用户名用户名主认证方在本地数据主认证方在本地数据库中查找被认证方对库中查找被认证方对应的口令应的口令随机数据随机数据根据根据id找到先
6、前保存找到先前保存的随机数据的随机数据MD5Hash值值与被认证方计算得与被认证方计算得到的到的Hash值做比较,值做比较,如果一致,则认为如果一致,则认为认证通过。认证通过。766-13640-10表示密码为明文保存表示密码为明文保存主认证方和被认证方主认证方和被认证方配置的用户名和密码配置的用户名和密码必须一致必须一致如果不配置此命令,默认使用路由器的主机名如果不配置此命令,默认使用路由器的主机名作为主认证方的用户名作为主认证方的用户名如果不配置此命令,默认使用路由器的主机名如果不配置此命令,默认使用路由器的主机名作为被认证方的用户名作为被认证方的用户名当没有配置认证的用户名和密码时,可以
7、使用当没有配置认证的用户名和密码时,可以使用此命令配置默认的密码此命令配置默认的密码配置此命令后,原先在接口上配置此命令后,原先在接口上配置的配置的IP地址将被删除地址将被删除需要在需要在PPP链路的两端均配置才能生效链路的两端均配置才能生效当路由器负载过大时,最好不要启用当路由器负载过大时,最好不要启用PPP压缩压缩需要在需要在PPP链路的两端均配置才能生效链路的两端均配置才能生效在高速线路上最好不要启用此功能在高速线路上最好不要启用此功能RouterA#config terminalRouterA(config)#interface serial 0/0RouterA(config-if)
8、#ip address 192.168.1.2 255.255.255.252RouterA(config-if)#encapsulation pppRouterA(config-if)#ppp pap sent-username benet password 0 bestRouterA(config-if)#no shutdownRouterB#config terminal RouterB(config)#username benet password 0 bestRouterB(config)#interface serial 0/0RouterB(config-if)#ip addre
9、ss 192.168.1.1 255.255.255.252RouterB(config-if)#clock rate 2000000RouterB(config-if)#encapsulation pppRouterB(config-if)#ppp authentication papRouterB(config-if)#no shutdownAB物理层物理层UP,数据链,数据链路层路层UP此接口的此接口的IP地址由地址由IPCP协议协议协商决定协商决定此接口链路层封装协此接口链路层封装协议为议为PPPLCP、IPCP、CDPCP协协议状态都为议状态都为open链路不可用阶段链路不可用阶段链路建立阶段链路建立阶段认证阶段认证阶段网络协议阶段网络协议阶段PPP的认证的认证PPP协议协议PPP协议概述协议概述多链路多链路PPPPPP的配置的配置PAP认证认证CHAP认证认证PPP协议的产生协议的产生PPP帧格式帧格式PPP链路的建立链路的建立PPP的组成的组成数据报文的封装方法数据报文的封装方法LCP协议协议NCP协议协议两次握手两次握手口令明文传输口令明文传输被认证方发起请求被认证方发起请求三次握手三次握手口令不在网络上传输口令不在网络上传输主认证方发起请求主认证方发起请求办事处办事处公司总部公司总部192.168.1.2/30192.168.1.1/30PPP专线专线
