当前位置: 首页 > article >正文

【华为/华三】PPP

NCP network阶段

用于协商网络层参数,IPCP静态协商IP地址(即互推地址)动态协商叫做获得地址

Q:为什么PPP两端,可以不在一个网段内,也能够通信?

A:因为PPP中的NCP会通过IPCP协商IP地址,即互推地址,并在本地路由表中产生去往对端接口地址的路由表项。

R1-----to------R2 ,R1先发送Request,我R2回复ACK确认,回复的同时 产生如上操作

操作示意图:

认证端收到Request后就进入NCP的open,R2也会把地址推给R1。R1也会做ACK确认,

有关PPP链路,非同网段也可以通信问题 或者

Question

1、PPP链路通信并不是依靠ARP来通信,是通过IPCP 上面说过,NCP阶段会产生互推地址,通过互推地址通信,双方互相通告接口信息,并且在本地产生去往对端接口的/32主机路由

PPP的两端不需要存在同一个网段内。PPP会通过自身NCP的IPCP来产生互推地址。

Q:PPP双方建立完成后,若直连网段不一致。能否互相通信,能的话,会存在几条路由?

A:四条。三条主机/32路由:本地接口地址,本地接口子网广播,对端接口地址主句路由。还有一条本地接口网络号。

H3C里面也是四条,但有所不同:一条本地/32位主机路由,三条对端的:对端的网络号,对端的网络号的主机路由,对端子网广播

[H3C-Serial1/0]display ip routing-table

Destinations : 13       Routes : 13

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
192.168.1.1/32     Direct  0   0           192.168.1.1     Ser1/0
192.168.2.0/24     Direct  0   0           192.168.2.1     Ser1/0
192.168.2.0/32     Direct  0   0           192.168.2.1     Ser1/0
192.168.2.1/32     Direct  0   0           127.0.0.1       InLoop0
192.168.2.255/32   Direct  0   0           192.168.2.1     Ser1/0
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
[H3C-Serial1/0]

PPP链路会产生本地掩码直连路由,并且下一跳自己接口IP。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cH1rT04y-1682930484967)(.\images\PPP_路由生成.png)]

PPP

PAP认证方式:

PAP认证方式为两次交互。即:被验证方向验证方发送:用户密码是XXX。验证方回复 正确/错误。

PAP验证时,直接明文验证账号密码。

CHAP认证方式为三次交互。

CHAP验证时,只是在网络上传输用户名和密码为原始参数一部分的HASH值。而不直接传输用户密码。因此安全性更高。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SSdOp6oB-1682930484967)(.\images\PPP.CHAP_认证过程.png)]

链路建立阶段:

PPP

  • PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。

  • PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。

  • PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。

  • PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。

  • PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控制协议),用于各网络层参数的协商,更好地支持了网络层协议。

状态机

一个典型的PPP链路建立过程分为三个阶段。

  1. 链路建立阶段

    当物理层可用时,PPP首先进行LCP协商,协商内容包括工作方式是SP/MP,验证方式,MRU等。LCP协商通过后,此时LCP状态为Opened,表示链路已经建立。

  2. 认证阶段

    用户认证阶段是可选的。若配置了认证,则可选择PPP/CHAP,认证通过后,进入Network阶段。

  3. Network阶段。

    网络层协议IP IPX MPLS IPV6等,必须通过各自对应的NCP分别进行协商。NCP协商支持IPCP协商。IPCP协商主要包括双方IP地址。当一个NCP处于Opened状态时。该网络层协议IP IPX MPLS等,就可以通过该链路来发送报文了。 至此 PPP链路成功UP建立。

链路建立阶段

即在Establish阶段,该阶段将进行LCP协商,协商参数有:

魔术字

魔术字为一个随机生成的数值,用于进行防环,若PPP接口发生环路时,该魔术字

认证阶段

用户认证阶段是可选的。若配置了认证,则可选择PPP/CHAP,认证通过后,进入Network阶段。

Network阶段

在该阶段我们会进行一个地址互推

IPCP静态协商

IPCP动态协商

面试问答

1、若双方认证方式不匹配(双方一端CHAP,一端PAP)

2、MRU不匹配。 不匹配会发什么?

PPPOE

\1. PPP链路建立过程

。在Dead阶段,开始建立链路

*。*在Establish阶段,进行LCP协商。协商内容有工作方式是SP还是MP、 最大接收单元MRU、验证方式、魔术字。LCP 协商成功后进入Opened状态,表示底层链路已经建立。

。如果配置了验证,将进入Authenticate阶段,开始CHAP或PAP验证。如果没有配置 验证,就直接进入Network阶段。

。对于Authenticate(验证)阶段,如果验证失败,进入Terminate阶段,拆除链路,LCP状态转 为Down。如果验证成功,进入NCP协商阶段,此时LCP状态仍为Opened,而NCP 状态从 Initial(不活跃) 转到 Starting(活跃) o

。在Network阶段,PPP链路进行NCP协商。NCP协商支持IPCP(IP Control Protocol), MPLSCP(MPLS Control Protocol)等协商。IPCP 协商主要包括双方的 IP 地 址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后, 该网络层协议才可以通过这条PPP链路发送报文。(主要是协商IP地址)

。PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些 外部事件,例如用户干预。

。在Terminate(终止)阶段,如果所有的资源都被释放掉,通信双方将回到Dead阶段。

LCP如何检测环路

用魔术字来检测环路随机产生一个数字,如果收到的LCP报文中的魔术字

和本地产生的魔术字相同,就认为有环路。

\2. PAP和****CHAP验证工作原理,CHAP为什么比PAP安全

。PAP认证为两次握手认证,口令为明文,PAP验证的过程如下:

被验证方发送用户名和密码给验证方

验证方查看是否正确,以明文传输有很大的安全隐患

。CHAP认证为三次握手验证,口令为密文,CHAP验证的过程如下:

主验证方发送一个挑战数据包给被验证方,里面包含 报文id、随机数和用户名

被验证方根据对端的用户名选择一个合适的口令,将报文ID、随机数和口令放入到MD5 散列生成器中通过计算得到一个hash值。被验证方向主验证方发送一个挑战应答 报文。里面包**含序列号、**hash值,用户名

-验证方根据对端用户名来选择合适的口令。将报文ID、随机数和口令放入到 MD5散列生成器中通过计算得到一个hash值。根据计算出来的hash值和收到的hash值,做对比一样,就说明通过验证只有认证成功才能进入阶段3的 协商。CHAP认证的特点是只在网络上传输用户名,而不是传输口令,因此它的安 全性要比PAP高。

华为配置

认证方:

[Huawei]aaa 进入aaa模式
[Huawei-aaa]local-user actorw password cipher huawei 创建用户
[Huawei-aaa]local-user actorw service-type ppp 设置用户类型为ppp
[Huawei-aaa]int s4/0/0进入端口 
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap设置加密方式为pap
[Huawei-Serial4/0/0]ppp pap local-user actorw password  cipher huawei 绑定账号和密码
[Huawei-Serial4/0/0]ip address ppp-negotiate  开启IP协商

被认证方:

[Huawei]int s4/0/0
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap 
[Huawei-Serial4/0/0] remote address 12.1.1.1 给对端ip地址
[Huawei-Serial4/0/0]ppp pap local-user actorw password  cipher huawei 
[Huawei-Serial4/0/0] ip address 12.2.2.2 255.255.255.0 自身ip地址

华三配置

认证方:

[H3C]local-user H3C class network 
New local user added.
[H3C-luser-network-H3C]password simple admin
[H3C-luser-network-H3C]service-type ppp
[H3C-luser-network-H3C]qui
[H3C]int s1/0
[H3C-Serial1/0]dis this
#
interface Serial1/0
 ppp authentication-mode chap 
 ip address 192.168.2.2 255.255.255.0
#
return
[H3C-Serial1/0]

http://www.kler.cn/a/16692.html

相关文章:

  • 执行flink sql连接clickhouse库
  • 844.比较含退格的字符串
  • 结构体是否包含特定类型的成员变量
  • 【MySQL】MySQL函数之JSON_EXTRACT
  • pySpark乱码
  • 使用jmeter查询项目数据库信息,保存至本地txt或excel文件1108
  • springbean 并发安全
  • Vue3中如何实现数字翻牌效果?
  • Redis-哈希
  • 互联网摸鱼日报(2023-04-29)
  • Docker基本管理
  • 少儿编程scratch
  • 7-1 设计一个学生类和它的一个子类——本科生类(interface接口)
  • PyTorch机器学习与深度学习技术方法
  • 微信小程序定义模板
  • 基于松鼠算法的极限学习机(ELM)回归预测-附代码
  • MySQL调优笔记——慢SQL优化记录(1)
  • 【热门框架】Maven分模块开发是什么意思?怎样操作?
  • 【Python百日进阶-Web开发-Feffery】Day613- 趣味Dash_13:PDF转换中心的项目优化
  • 马云任东京大学特聘客座教授,研究方向为可持续农业和粮食生产
  • 【Java笔试强训 22】
  • 后端要一次性返回我10万条数据
  • Linux内核面试知识总结
  • 网络计算模式复习(二)
  • 机器学习:基于朴素贝叶斯(Naive Bayes)的分类预测
  • 认识JSP