【华为/华三】PPP
NCP network阶段
用于协商网络层参数,IPCP静态协商IP地址(即互推地址)动态协商叫做获得地址
Q:为什么PPP两端,可以不在一个网段内,也能够通信?
A:因为PPP中的NCP会通过IPCP协商IP地址,即互推地址,并在本地路由表中产生去往对端接口地址的路由表项。
R1-----to------R2 ,R1先发送Request,我R2回复ACK确认,回复的同时 产生如上操作
操作示意图:
认证端收到Request后就进入NCP的open,R2也会把地址推给R1。R1也会做ACK确认,
有关PPP链路,非同网段也可以通信问题 或者
Question
1、PPP链路通信并不是依靠ARP来通信,是通过IPCP 上面说过,NCP阶段会产生互推地址,通过互推地址通信,双方互相通告接口信息,并且在本地产生去往对端接口的/32主机路由
PPP的两端不需要存在同一个网段内。PPP会通过自身NCP的IPCP来产生互推地址。
Q:PPP双方建立完成后,若直连网段不一致。能否互相通信,能的话,会存在几条路由?
A:四条。三条主机/32路由:本地接口地址,本地接口子网广播,对端接口地址主句路由。还有一条本地接口网络号。
H3C里面也是四条,但有所不同:一条本地/32位主机路由,三条对端的:对端的网络号,对端的网络号的主机路由,对端子网广播
[H3C-Serial1/0]display ip routing-table
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
192.168.1.1/32 Direct 0 0 192.168.1.1 Ser1/0
192.168.2.0/24 Direct 0 0 192.168.2.1 Ser1/0
192.168.2.0/32 Direct 0 0 192.168.2.1 Ser1/0
192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.2.255/32 Direct 0 0 192.168.2.1 Ser1/0
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
[H3C-Serial1/0]
PPP链路会产生本地掩码直连路由,并且下一跳自己接口IP。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cH1rT04y-1682930484967)(.\images\PPP_路由生成.png)]
PPP
PAP认证方式:
PAP认证方式为两次交互。即:被验证方向验证方发送:用户密码是XXX。验证方回复 正确/错误。
PAP验证时,直接明文验证账号密码。
CHAP认证方式为三次交互。
CHAP验证时,只是在网络上传输用户名和密码为原始参数一部分的HASH值。而不直接传输用户密码。因此安全性更高。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SSdOp6oB-1682930484967)(.\images\PPP.CHAP_认证过程.png)]
链路建立阶段:
PPP
-
PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
-
PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
-
PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
-
PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。
-
PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控制协议),用于各网络层参数的协商,更好地支持了网络层协议。
状态机
一个典型的PPP链路建立过程分为三个阶段。
-
链路建立阶段
当物理层可用时,PPP首先进行LCP协商,协商内容包括工作方式是SP/MP,验证方式,MRU等。LCP协商通过后,此时LCP状态为Opened,表示链路已经建立。
-
认证阶段
用户认证阶段是可选的。若配置了认证,则可选择PPP/CHAP,认证通过后,进入Network阶段。
-
Network阶段。
网络层协议IP IPX MPLS IPV6等,必须通过各自对应的NCP分别进行协商。NCP协商支持IPCP协商。IPCP协商主要包括双方IP地址。当一个NCP处于Opened状态时。该网络层协议IP IPX MPLS等,就可以通过该链路来发送报文了。 至此 PPP链路成功UP建立。
链路建立阶段
即在Establish阶段,该阶段将进行LCP协商,协商参数有:
魔术字
魔术字为一个随机生成的数值,用于进行防环,若PPP接口发生环路时,该魔术字
认证阶段
用户认证阶段是可选的。若配置了认证,则可选择PPP/CHAP,认证通过后,进入Network阶段。
Network阶段
在该阶段我们会进行一个地址互推
IPCP静态协商
IPCP动态协商
面试问答
1、若双方认证方式不匹配(双方一端CHAP,一端PAP)
2、MRU不匹配。 不匹配会发什么?
PPPOE
\1. PPP链路建立过程
。在Dead阶段,开始建立链路
*。*在Establish阶段,进行LCP协商。协商内容有工作方式是SP还是MP、 最大接收单元MRU、验证方式、魔术字。LCP 协商成功后进入Opened状态,表示底层链路已经建立。
。如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。如果没有配置 验证,就直接进入Network阶段。
。对于Authenticate(验证)阶段,如果验证失败,进入Terminate阶段,拆除链路,LCP状态转 为Down。如果验证成功,进入NCP协商阶段,此时LCP状态仍为Opened,而NCP 状态从 Initial(不活跃) 转到 Starting(活跃) o
。在Network阶段,PPP链路进行NCP协商。NCP协商支持IPCP(IP Control Protocol), MPLSCP(MPLS Control Protocol)等协商。IPCP 协商主要包括双方的 IP 地 址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后, 该网络层协议才可以通过这条PPP链路发送报文。(主要是协商IP地址)
。PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些 外部事件,例如用户干预。
。在Terminate(终止)阶段,如果所有的资源都被释放掉,通信双方将回到Dead阶段。
LCP如何检测环路
用魔术字来检测环路随机产生一个数字,如果收到的LCP报文中的魔术字
和本地产生的魔术字相同,就认为有环路。
\2. PAP和****CHAP验证工作原理,CHAP为什么比PAP安全
。PAP认证为两次握手认证,口令为明文,PAP验证的过程如下:
被验证方发送用户名和密码给验证方
验证方查看是否正确,以明文传输有很大的安全隐患
。CHAP认证为三次握手验证,口令为密文,CHAP验证的过程如下:
主验证方发送一个挑战数据包给被验证方,里面包含 报文id、随机数和用户名
被验证方根据对端的用户名选择一个合适的口令,将报文ID、随机数和口令放入到MD5 散列生成器中通过计算得到一个hash值。被验证方向主验证方发送一个挑战应答 报文。里面包**含序列号、**hash值,用户名。
-验证方根据对端用户名来选择合适的口令。将报文ID、随机数和口令放入到 MD5散列生成器中通过计算得到一个hash值。根据计算出来的hash值和收到的hash值,做对比一样,就说明通过验证只有认证成功才能进入阶段3的 协商。CHAP认证的特点是只在网络上传输用户名,而不是传输口令,因此它的安 全性要比PAP高。
华为配置
认证方:
[Huawei]aaa 进入aaa模式
[Huawei-aaa]local-user actorw password cipher huawei 创建用户
[Huawei-aaa]local-user actorw service-type ppp 设置用户类型为ppp
[Huawei-aaa]int s4/0/0进入端口
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap设置加密方式为pap
[Huawei-Serial4/0/0]ppp pap local-user actorw password cipher huawei 绑定账号和密码
[Huawei-Serial4/0/0]ip address ppp-negotiate 开启IP协商
被认证方:
[Huawei]int s4/0/0
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap
[Huawei-Serial4/0/0] remote address 12.1.1.1 给对端ip地址
[Huawei-Serial4/0/0]ppp pap local-user actorw password cipher huawei
[Huawei-Serial4/0/0] ip address 12.2.2.2 255.255.255.0 自身ip地址
华三配置
认证方:
[H3C]local-user H3C class network
New local user added.
[H3C-luser-network-H3C]password simple admin
[H3C-luser-network-H3C]service-type ppp
[H3C-luser-network-H3C]qui
[H3C]int s1/0
[H3C-Serial1/0]dis this
#
interface Serial1/0
ppp authentication-mode chap
ip address 192.168.2.2 255.255.255.0
#
return
[H3C-Serial1/0]