IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 協(xié)議基礎(chǔ):PPP協(xié)議詳解

協(xié)議基礎(chǔ):PPP協(xié)議詳解

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  PPP協(xié)議是網(wǎng)絡(luò)中最為基礎(chǔ)的協(xié)議之一。PPP協(xié)議詳解就是我們本篇文章的主要內(nèi)容。那么首先還是簡單認(rèn)識一下PPP協(xié)議的基本概念吧。PPP協(xié)議(Point-to-Point Protocol)是一種數(shù)據(jù)鏈路層協(xié)議,它是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路而設(shè)計(jì)的。這種鏈路提供全雙工操作,并按照順序傳遞數(shù)據(jù)包。PPP為基于各種主機(jī)、網(wǎng)橋和路由器的簡單連接提供一種共通的解決方案。

  PPP協(xié)議包括以下三個部分:

  1. 數(shù)據(jù)幀封裝方法。

  2. 鏈路控制協(xié)議LCP(Link Control Protocol):它用于對封裝格式選項(xiàng)的自動協(xié)商,建立和終止連接,探測鏈路錯誤和配置錯誤。

  3. 針對不同網(wǎng)絡(luò)層協(xié)議的一族網(wǎng)絡(luò)控制協(xié)議NCP(Network Control Protocol): PPP協(xié)議規(guī)定了針對每一種網(wǎng)絡(luò)層協(xié)議都有相應(yīng)的網(wǎng)絡(luò)控制協(xié)議,并用它們來管理各個協(xié)議不同的需求。

  PPP協(xié)議詳解

  1. PPP數(shù)據(jù)幀封裝

  PPP協(xié)議為串行鏈路上傳輸?shù)臄?shù)據(jù)報(bào)定義了一種封裝方法,它基于高層數(shù)據(jù)鏈路控制(HDLC)標(biāo)準(zhǔn)。PPP數(shù)據(jù)幀的格式如圖1所示。

PPP數(shù)據(jù)幀的格式

  PPP幀以標(biāo)志字符01111110開始和結(jié)束,地址字段長度為1字節(jié),內(nèi)容為標(biāo)準(zhǔn)廣播地址11111111,控制字段為00000011。協(xié)議字段長度為2個字節(jié),其值代表其后的數(shù)據(jù)字段所屬的網(wǎng)絡(luò)層協(xié)議,如:0x0021代表IP協(xié)議,0xC021代表LCP數(shù)據(jù),0x8021代表NCP數(shù)據(jù)等。數(shù)據(jù)字段包含協(xié)議字段中指定的協(xié)議的數(shù)據(jù)報(bào),長度為0~1500字節(jié)。CRC字段為整個幀的循環(huán)冗余校驗(yàn)碼,用來檢測傳輸中可能出現(xiàn)的數(shù)據(jù)錯誤。

  即使使用所有的幀頭字段,PPP協(xié)議幀也只需要8個字節(jié)就可以形成封裝。如果在低速鏈路上或者帶寬需要付費(fèi)的情況下,PPP協(xié)議允許只使用最基本的字段,將幀頭的開銷壓縮到2或4個字節(jié)的長度,這就是所謂的PPP幀頭壓縮。

  2. PPP回話的四個階段

  既然要對PPP協(xié)議詳解,那么肯定需要對PPP協(xié)議的四個階段進(jìn)行了解了。一次完整的PPP回話過程包括四個階段: 鏈路建立階段、確定鏈路質(zhì)量階段、網(wǎng)絡(luò)層控制協(xié)議階段和鏈路終止階段(如圖2所示)。

PPP回話過程包括四個階段

  (1) 鏈路建立階段:PPP通信雙方用鏈路控制協(xié)議交換配置信息,一旦配置信息交換成功,鏈路即宣告建立。配置信息通常都使用默認(rèn)值,只有不依賴于網(wǎng)絡(luò)控制協(xié)議的配置選項(xiàng)才在此時由鏈路控制協(xié)議配置。值得注意的是,在鏈路建立的過程中,任何非鏈路控制協(xié)議的包都會被沒有任何通告地丟棄。

  (2) 鏈路質(zhì)量確定階段:這個階段在某些文獻(xiàn)中也稱為鏈路認(rèn)證階段。鏈路控制協(xié)議負(fù)責(zé)測試鏈路的質(zhì)量是否能承載網(wǎng)絡(luò)層的協(xié)議。在這個階段中,鏈路質(zhì)量測試是PPP協(xié)議提供的一個可選項(xiàng),也可不執(zhí)行。同時,如果用戶選擇了驗(yàn)證協(xié)議,驗(yàn)證的過程將在這個階段完成。PPP支持兩種驗(yàn)證協(xié)議:密碼驗(yàn)證協(xié)議(PAP)和握手鑒權(quán)協(xié)議(CHAP)。

  (3) 網(wǎng)絡(luò)層控制協(xié)議階段:PPP會話雙方完成上述兩個階段的操作后,開始使用相應(yīng)的網(wǎng)絡(luò)層控制協(xié)議配置網(wǎng)絡(luò)層的協(xié)議,如:IP、IPX等。

  (4) 鏈路終止階段:鏈路控制協(xié)議用交換鏈路終止包的方法終止鏈路。引起鏈路終止的原因很多:載波丟失、認(rèn)證失敗、鏈路質(zhì)量失敗、空閑周期定時器期滿或管理員關(guān)閉鏈路等。

  3. PPP協(xié)議中的驗(yàn)證機(jī)制

  驗(yàn)證過程在PPP協(xié)議中為可選項(xiàng)。在連接建立后進(jìn)行連接者身份驗(yàn)證的目的是為了防止有人在未經(jīng)授權(quán)的情況下成功連接,從而導(dǎo)致泄密。PPP協(xié)議支持兩種驗(yàn)證協(xié)議:

  (1) 口令驗(yàn)證協(xié)議(PAP): 口令驗(yàn)證協(xié)議的原理是由發(fā)起連接的一端反復(fù)向認(rèn)證端發(fā)送用戶名/口令對,直到認(rèn)證端響應(yīng)以驗(yàn)證確認(rèn)信息或者拒絕信息。

  (2) 握手鑒權(quán)協(xié)議(CHAP):CHAP用三次握手的方法周期性地檢驗(yàn)對端的節(jié)點(diǎn)。其原理是:認(rèn)證端向?qū)Χ税l(fā)送"挑戰(zhàn)"信息,對端接到"挑戰(zhàn)"信息后用指定的算法計(jì)算出應(yīng)答信息然后發(fā)送給認(rèn)證端,認(rèn)證端比較應(yīng)答信息是否正確從而判斷驗(yàn)證的過程是否成功。如果使用CHAP協(xié)議,認(rèn)證端在連接的過程中每隔一段時間就會發(fā)出一個新的"挑戰(zhàn)"信息,以確認(rèn)對端連接是否經(jīng)過授權(quán)。

  這兩種驗(yàn)證機(jī)制共同的特點(diǎn)就是簡單,比較適合于在低速率鏈路中應(yīng)用。但簡單的協(xié)議通常都有其他方面的不足,最突出的便是安全性較差。一方面,口令驗(yàn)證協(xié)議的用戶名/口令以明文傳送,很容易被竊取;另一方面,如果一次驗(yàn)證沒有通過,PAP并不能阻止對端不斷地發(fā)送驗(yàn)證信息,因此容易遭到強(qiáng)制攻擊。

  挑戰(zhàn)握手協(xié)議的優(yōu)點(diǎn)在于密鑰不在網(wǎng)絡(luò)中傳送,不會被竊聽。由于使用三次握手的方法,發(fā)起連接的一方如果沒有收到"挑戰(zhàn)信息"就不能進(jìn)行驗(yàn)證,因此在某種程度上挑戰(zhàn)握手協(xié)議不容易被強(qiáng)制攻擊。但是,CHAP中的密鑰必須以明文形式存在,不允許被加密,安全性無法得到保障。密鑰的保管和分發(fā)也是CHAP的一個難點(diǎn),在大型網(wǎng)絡(luò)中通常需要專門的服務(wù)器來管理密鑰。

  PPP的配置

  PPP協(xié)議詳解中當(dāng)然也包括了配置內(nèi)容,PPP協(xié)議在很多領(lǐng)域中都有廣泛的應(yīng)用,典型的是遠(yuǎn)程Internet的連接,其中使用較多的是路由器與路由器互聯(lián)。

  兩個路由器之間有兩條鏈路,分別運(yùn)行PPP協(xié)議,其中一條鏈路使用CHAP認(rèn)證,另一條采用PAP認(rèn)證。

  1.路由器PPP封裝配置

  在端口模式下:

  A(config-if)# encapsulation ppp //在路由器A的S0、S1端口分別啟動PPP協(xié)議。

  B(config-if)# encapsulation ppp //在路由器B的S0、S1端口分別啟動PPP協(xié)議。

  2.配置PPP認(rèn)證使用的用戶名和密碼

  A(config)#username B password cisco //為路由器B設(shè)置一個用戶名和口令。

  B(config)#username A password cisco //為路由器A設(shè)置一個用戶名和口令。

  3. 配置PAP認(rèn)證

  在路由器A、B的S1端口上:

  A(config-if)#ppp authentication pap

  B(config-if)#ppp authentication pap

  需要說明的是,在Cisco IOS 11.1或更高的版本中,如果路由器發(fā)送(或響應(yīng))PAP消息(或請求),則必須在指定接口上使用PAP協(xié)議。

  單向認(rèn)證:比如A向B發(fā)出認(rèn)證請求,那么只在A上配置即可,B不用額外配置。

  A(config-if)#ppp pap sent-username B password cisco

  雙向認(rèn)證:A和B雙方要互相認(rèn)證,那么A、B都要配置。

  A(config-if)#ppp pap sent-username B password cisco

  B(config-if)#ppp pap sent-username A password cisco

  4. 配置CHAP認(rèn)證

  在路由器A、B的S0端口上:

  A(config-if)#ppp authentication chap

  B(config-if)#ppp authentication?chap

關(guān)鍵詞標(biāo)簽:PPP協(xié)議

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量