中小企业网络管理：PPP协议案例

【路由器之家】-中小企业网络管理：PPP协议案例，下面就是【路由器网】小编整理的路由器设置教程。

　　【IT168技术】HDLC现在已经不是我们学习的重点了，它只允许点到点的连接，没有什么验证机制，而且如果对方Cisco设备，就只能使用FR或者PPP。所以本文主要介绍PPP协议的相关知识。

　　PPP：用在链建立过程中检查链质量，并提供PAP和CHAP验证。

　　它是在SLIP基础上发展来的。Slip的全称是SerialLineInternetProtocol中文释义串行线网际协议。

　　该协议是Windows远程访问的一种旧工业标准，主要在Unix远程访问服务器中使用。因为SLIP协议是面向低速串行线的，可以用于专用线，也可以用于拨号线，Modem的传输速率在1200bps到19200bps。以后大家也不可能再用到Slip了，所以我们在此只讨论它的替换协议PPP。

　　点到点协议PPP，为在点对点连接上传输多协议数据包提供了一个标准方法。PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。在TCP-IP协议集中它是一种用来同步连接的数据链层协议，替代了原来的Slip。除了IP以外PPP还可以携带其它协议，包括IPX，AppleTalk等。

　　PPP主要是两类协议组成：链控制协议LCP和网络层控制协议NCP

　　路由器初始密码LCP(链控制协议)：

　　PPP所提供的LCP功能全面，适用于大多数。主要用于建立和控制连接，可以简单来说LCP工作在2.5层。

　　NCP(网络控制协议)

　　为了建立点到点的链通信，PPP必须先发送LCP包来建立链，当链创建成功后，PPP必须发送NCP包以便选择使用一个或多个网络层协议，一旦网络层协议选定并协商之后，来自相应网络层上的数据就能在链由发送了。所以NCP负责解决物理连接上运行什么网络协议，以及解决上层网络协议发生的问题。

　　下面咱们来看一下PPP会话建立的过程：

　　PPP会话的建立

　　1链建立

　　2验证阶段

　　3网层协议连接

　　PPP的链状态如图所示：一个典型的链建立过程分为三个阶段;创建阶段，验证阶段，和网络协商阶段。

　　阶段1：创建PPP链：

　　LCP负责创建链。在这个时候，将对基本的通讯方式进行选择。链两端设备通过LCP向对方发送配置信息报文。一旦一个配置成功信息包被发送县域被接收，就完成了，进入了LCP状态。

　　应当注意，在链创建阶段，只是对验证协议进行选择，用户验证的过程将在第2阶段完成。

　　阶段2：用户验证

　　在这个阶段，客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前，从验证阶段进行到网络协商阶段(网络层协议阶段)，如果验证失败，则过程终止。

　　在这一阶段里，只有链控制协议、验证协议、链质量的数据包是允许的，其他的数据包必须静静的丢弃。在这里可以选择使用的两个认证协议就是口令验证协议PAP和挑战握手验证协议(CHAP)。

　　阶段3：网络协商阶段(调用网络层协议)

　　验证阶段完成之后，PPP将调用链创建阶段选择的各种网络控制协议(NCP)，选定的NCP解决PPP链之上的高层协议问题。

　　这样，经过三个阶段之后，一条完整的PPP链就建立起来了。

　　下面就开始重点介绍PPP的验证协议：

　　PPP定义了两种验证协议：

　　密码验证协议(thePasswordAuthenticationProtocol)和挑战握手验证协议(theChallenge-HandshakeAuthenticationProtocol)也就是说在链建立成功后，在进入网络层协议阶段之前，PPP必须要提供一个可选择的验证阶段。默认的，身份验证不是强制的。如果希望进行链的身份验证，则实验者必须在建立阶段指明身份验证协议配置选项。那么到底PAP与CHAP有什么区别，我们的首选应该是什么协议?

　　我们先来看PAP：

　　密码验证协议提供了一种简单的方法，可以使对端使用2次握手建立身份验证。这个方法仅仅在链初始化时使用。

　　PAP不是一个健壮的身份验证方法。密码在电上是发送的，并且对回送或者重复验证和错误没有措施。对端控制着尝试的频率和时间。什么意思?我们来看一个图：

　　远程由器如果希望在中心由器上得到身份验证只需要将它的用户名如dufei，以及它们公有的密码如DUfei2008，通过网络传到中心由器，中心由器对用户名和密码进行验证，如果通过就OK!说明此用户是用户，否则验证失败。也就是远程由器提出验证请求，中心由器进行验证将结果是允许还是发给对方，这是这么简单的两次握手就可以完成。需要注意的是远程由器的hostname在中心由器上就是username。

　　但有一个弊端就是密码是以方式在网络上传输的，那么如果有黑客希望对网络进行入侵，他只需要先来，密码后就可以冒充远程用户来请求身份验证。并且到底验证多少次，什么时候验证完成都掌握在他的手里。中心由器只能被动的给出验证的结果。

　　“杜氏总结”：因此我们可以总结出PAP的特点：两次握手;传输;反复验证。

　　CHAP：

　　下面咱们来介绍一下CHAP：

　　CHAP是一种比PAP更强的验证方式，因为这种验证方法中所使用的用户的真实口令从不在网络上传输。因此两次握手已经不能满足它的要求，它使用的是三次握手来验证对端的身份。如图：

　　详细分析：

　　大家一看这个图可能会感觉到有点小复杂，为什么要这么复杂呢，主要就是因为CHAP安全了，它不允许密码出现在网络上，但又能实现身份验证怎么办呢?我们一步步分析：

　　当远程由器dufei来连接访问服务由器Cisco时，必须经过这么几个过程：

　　第一个阶段也就是链创建成功以后，双方都运行PPP，并使用CHAP验证方法，此时远程由器就发出一个请求挑战的信息：意思也就是说我想向请求连接，你来询问我吧!来判断我是不是用户，能不能连接到你的由器;那么此时访问由器开始发出挑战了，也就是开始询问了，它是怎么询问的呢，它向对方发出一个数据包，数据包的大体格式：