PPP所提供的LCP功能全面���,適用于大多數(shù)環(huán)境�。主要用于建立和控制連接,可以簡(jiǎn)單來說LCP工作在2.5層����。
NCP(網(wǎng)絡(luò)控制協(xié)議)
為了建立點(diǎn)到點(diǎn)的鏈路通信,PPP必須先發(fā)送LCP包來建立鏈路�����,當(dāng)鏈路創(chuàng)建成功后��,PPP必須發(fā)送NCP包以便選擇使用一個(gè)或多個(gè)網(wǎng)絡(luò)層協(xié)議���,一旦網(wǎng)絡(luò)層協(xié)議選定并協(xié)商之后�����,來自相應(yīng)網(wǎng)絡(luò)層上的數(shù)據(jù)就能在鏈路由發(fā)送了�。所以NCP負(fù)責(zé)解決物理連接上運(yùn)行什么網(wǎng)絡(luò)協(xié)議���,以及解決上層網(wǎng)絡(luò)協(xié)議發(fā)生的問題���。
下面咱們來看一下PPP會(huì)話建立的過程:
PPP 會(huì)話的建立
1 鏈路建立
2 驗(yàn)證階段
3 網(wǎng)路層協(xié)議連接
PPP的鏈路狀態(tài)如圖所示:一個(gè)典型的鏈路建立過程分為三個(gè)階段;創(chuàng)建階段�,驗(yàn)證階段�����,和網(wǎng)絡(luò)協(xié)商階段��。
階段1:創(chuàng)建PPP鏈路:
LCP負(fù)責(zé)創(chuàng)建鏈路��。在這個(gè)時(shí)候�����,將對(duì)基本的通訊方式進(jìn)行選擇�。鏈路兩端設(shè)備通過LCP向?qū)Ψ桨l(fā)送配置信息報(bào)文。一旦一個(gè)配置成功信息包被發(fā)送縣域被接收����,就完成了,進(jìn)入了LCP開啟狀態(tài)��。
應(yīng)當(dāng)注意��,在鏈路創(chuàng)建階段���,只是對(duì)驗(yàn)證協(xié)議進(jìn)行選擇���,用戶驗(yàn)證的過程將在第2階段完成。
階段2:用戶驗(yàn)證
在這個(gè)階段���,客戶端會(huì)將自己的身份發(fā)送給遠(yuǎn)端的接入服務(wù)器�。該階段使用一種安全驗(yàn)證方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶接管與客戶端的連接���。在認(rèn)證完成之前�����,禁止從驗(yàn)證階段進(jìn)行到網(wǎng)絡(luò)協(xié)商階段(網(wǎng)絡(luò)層協(xié)議階段)���,如果驗(yàn)證失敗,則過程終止��。
在這一階段里��,只有鏈路控制協(xié)議����、驗(yàn)證協(xié)議���、鏈路質(zhì)量監(jiān)視的數(shù)據(jù)包是允許的,其他的數(shù)據(jù)包必須靜靜的丟棄��。在這里可以選擇使用的兩個(gè)認(rèn)證協(xié)議就是口令驗(yàn)證協(xié)議PAP和挑戰(zhàn)握手驗(yàn)證協(xié)議(CHAP)�。
階段3:網(wǎng)絡(luò)協(xié)商階段(調(diào)用網(wǎng)絡(luò)層協(xié)議)
驗(yàn)證階段完成之后,PPP將調(diào)用鏈路創(chuàng)建階段選擇的各種網(wǎng)絡(luò)控制協(xié)議(NCP)�����,選定的NCP解決PPP鏈路之上的高層協(xié)議問題��。
這樣�����,經(jīng)過三個(gè)階段之后��,一條完整的PPP鏈路就建立起來了�。
下面就開始重點(diǎn)介紹PPP的驗(yàn)證協(xié)議:
PPP定義了兩種驗(yàn)證協(xié)議:
密碼驗(yàn)證協(xié)議(the Password Authentication Protocol)和挑戰(zhàn)握手驗(yàn)證協(xié)議(the Challenge-Handshake Authentication Protocol)也就是說在鏈路建立成功后,在進(jìn)入網(wǎng)絡(luò)層協(xié)議階段之前��,PPP必須要提供一個(gè)可選擇的驗(yàn)證階段����。默認(rèn)的���,身份驗(yàn)證不是強(qiáng)制的。如果希望進(jìn)行鏈路的身份驗(yàn)證�����,則實(shí)驗(yàn)者必須在建立階段指明身份驗(yàn)證協(xié)議配置選項(xiàng)���。那么到底PAP與CHAP有什么區(qū)別,我們的首選應(yīng)該是什么協(xié)議?
我們先來看PAP:
密碼驗(yàn)證協(xié)議提供了一種簡(jiǎn)單的方法���,可以使對(duì)端使用2次握手建立身份驗(yàn)證�。這個(gè)方法僅僅在鏈路初始化時(shí)使用��。
PAP不是一個(gè)健壯的身份驗(yàn)證方法�。密碼在電路上是明文發(fā)送的,并且對(duì)回送或者重復(fù)驗(yàn)證和錯(cuò)誤攻擊沒有保護(hù)措施��。對(duì)端控制著嘗試的頻率和時(shí)間�。什么意思?我們來看一個(gè)圖:
遠(yuǎn)程路由器如果希望在中心路由器上得到身份驗(yàn)證只需要將它的用戶名如dufei,以及它們公有的密碼如DUfei2008���,通過網(wǎng)絡(luò)傳到中心路由器��,中心路由器對(duì)用戶名和密碼進(jìn)行驗(yàn)證��,如果通過就OK!說明此用戶是合法用戶�,否則驗(yàn)證失敗。也就是遠(yuǎn)程路由器提出驗(yàn)證請(qǐng)求�����,中心路由器進(jìn)行驗(yàn)證將結(jié)果是允許還是拒絕發(fā)給對(duì)方����,這是這么簡(jiǎn)單的兩次握手就可以完成。需要注意的是遠(yuǎn)程路由器的hostname在中心路由器上就是username���。
但有一個(gè)弊端就是密碼是以明文方式在網(wǎng)絡(luò)上傳輸?shù)?���,那么如果有黑客希望?duì)網(wǎng)絡(luò)進(jìn)行入侵�,他只需要先來監(jiān)聽,抓到明文密碼后就可以冒充遠(yuǎn)程用戶來請(qǐng)求身份驗(yàn)證��。并且到底驗(yàn)證多少次�����,什么時(shí)候驗(yàn)證完成都掌握在他的手里。中心路由器只能被動(dòng)的給出驗(yàn)證的結(jié)果����。
“杜氏總結(jié)”:因此我們可以總結(jié)出PAP的特點(diǎn):兩次握手;明文傳輸;反復(fù)驗(yàn)證。
CHAP:
下面咱們來介紹一下CHAP:
CHAP是一種比PAP更強(qiáng)的驗(yàn)證方式����,因?yàn)檫@種驗(yàn)證方法中所使用的用戶的真實(shí)口令從不在網(wǎng)絡(luò)上傳輸。因此兩次握手已經(jīng)不能滿足它的要求�����,它使用的是三次握手來驗(yàn)證對(duì)端的身份���。如圖:
分析:這個(gè)圖其實(shí)不是一個(gè)很完整的圖,沒有開頭的建立連接階段����。比較完整的圖大家可以參考下圖這個(gè):
詳細(xì)分析:
大家一看這個(gè)圖可能會(huì)感覺到有點(diǎn)小復(fù)雜,為什么要這么復(fù)雜呢���,主要就是因?yàn)镃HAP安全了����,它不允許密碼出現(xiàn)在網(wǎng)絡(luò)上,但又能實(shí)現(xiàn)身份驗(yàn)證怎么辦呢?我們一步步分析:
當(dāng)遠(yuǎn)程路由器dufei來連接訪問服務(wù)路由器Cisco時(shí)�,必須經(jīng)過這么幾個(gè)過程:
第一個(gè)階段也就是鏈路創(chuàng)建成功以后,雙方都運(yùn)行PPP����,并使用CHAP驗(yàn)證方法,此時(shí)遠(yuǎn)程路由器就發(fā)出一個(gè)請(qǐng)求挑戰(zhàn)的信息:意思也就是說我想向請(qǐng)求連接����,你來詢問我吧!來判斷我是不是合法用戶,能不能連接到你的路由器;那么此時(shí)訪問路由器開始發(fā)出挑戰(zhàn)了���,也就是開始詢問了���,它是怎么詢問的呢,它向?qū)Ψ桨l(fā)出一個(gè)數(shù)據(jù)包�,數(shù)據(jù)包的大體格式:
那么對(duì)方收到后,也就是遠(yuǎn)程路由器收到后����,會(huì)從自己的配置表中找出對(duì)方用戶名所對(duì)應(yīng)的密碼,將此密碼和隨機(jī)數(shù)以及ID都都經(jīng)過MD5得到一個(gè)散列值:如圖所示:
然后遠(yuǎn)程路由器又做了一件事:它也給對(duì)方發(fā)了一個(gè)數(shù)據(jù)包����,格式如圖所示:
那么中心路由器收到這個(gè)數(shù)據(jù)包后����,也做了幾乎同樣的事情:從自己的數(shù)據(jù)庫(kù)中查對(duì)方的用戶名所對(duì)應(yīng)的密碼�、隨機(jī)數(shù)以及ID,此時(shí)大家就發(fā)現(xiàn)了這個(gè)密碼肯定需要一樣���,上次所使用的隨機(jī)數(shù)以及ID也經(jīng)過一個(gè)MD5求出一個(gè)散列值�����,如果和遠(yuǎn)程路由器發(fā)過來的一樣��,那么就說明對(duì)方是個(gè)合法用戶�����,對(duì)我所提出的問題做出一個(gè)正確的回答;否則是非法用戶。這就是CHAP的驗(yàn)證過程��。
下面咱們通過兩個(gè)實(shí)驗(yàn)來結(jié)束PPP的學(xué)習(xí):
Lab1:PPP的PAP驗(yàn)證
實(shí)驗(yàn)?zāi)康模簝膳_(tái)路由器中����,讓其中的一臺(tái)能ping通另一臺(tái)并且通過PAP驗(yàn)證使用其能相互傳遞信息。
實(shí)驗(yàn)設(shè)備:兩臺(tái)Cisco系列路由器
拓?fù)鋱D:
Router1上的配置:
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RA
RA(config)#username dufei password dufei
RA(config)#interface s2/0
RA(config-if)#ip address 192.168.0.1 255.255.255.0
RA(config-if)#encapsulation ppp
RA(config-if)#ppp authentication pap
RA(config-if)#clock rate 64000
RA(config-if)#no shutdown
Router2上的配置:
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RB
RB(config)#interface s2/0
RB(config-if)#ip address 192.168.0.2 255.255.255.0
RB(config-if)#no shutdown
此時(shí)我們?cè)赗B路由器上嘗試ping RA
這是因?yàn)橹黩?yàn)證方開啟PAP驗(yàn)證,但被驗(yàn)證方并沒有發(fā)出驗(yàn)證信息���,因?yàn)轵?yàn)證不通過所以通訊失敗!
那么我們?cè)赗B上也來開啟PAP驗(yàn)證��。
RB(config-if)#encapsulation ppp
RB(config-if)#ppp pap sent-username dufei password dufei
然后再來測(cè)試:
OK�����,實(shí)驗(yàn)成功!
總結(jié):
主驗(yàn)證方主要就三個(gè)命令:
1 username dufei password dufei 建立對(duì)端驗(yàn)證數(shù)據(jù)庫(kù)包括用戶名和密碼��。
2 encapsulation ppp 接口封裝成PPP
3 ppp authentication pap 開啟PAP驗(yàn)證��。
被驗(yàn)證方主要就兩個(gè)命令:
1 encapsulation ppp 接口封裝成PPP
2 ppp pap sent-username dufei password dufei 發(fā)送驗(yàn)證信息
Lab2:PPP的CHAP驗(yàn)證
實(shí)驗(yàn)?zāi)康模簝膳_(tái)路由器���,讓其中一臺(tái)能ping通另一臺(tái)并且通過CHAP驗(yàn)證使期能相互傳遞信息。
實(shí)驗(yàn)設(shè)備:兩臺(tái)Cisco系列路由器
拓?fù)鋱D:
Router1的配置:
RA>enable
RA#conf t
RA(config)#username dufei password dufei
RA(config)#interface s2/0
RA(config-if)#ip address 192.168.0.1 255.255.255.0
RA(config-if)#clock rate 64000
RA(config-if)#no shutdown
Router2不再進(jìn)行初始化配置�,網(wǎng)絡(luò)現(xiàn)在已經(jīng)暢通,如圖所示:
現(xiàn)在我們準(zhǔn)備來開啟CHAP驗(yàn)證:
Rouer1上的配置:
RA(config)#username beijing password 123 建立對(duì)端驗(yàn)證數(shù)據(jù)庫(kù)包括用戶名和密碼
RA(config)#interface s2/0 進(jìn)入相應(yīng)椄口
RA(config-if)#encapsulation ppp 封裝成PPP
RA(config-if)#PPP authentication chap 開啟CHAP驗(yàn)證
RA(config-if)#ppp chap hostname shanghai 建立本端驗(yàn)證用戶
RA(config-if)#no shutdown 開啟接口
Router2上的配置:
RB(config)#username shanghai password 123 建立對(duì)端的用戶名及密碼
RB(config)#interface s2/0
RB(config-if)#encapsulation ppp
RB(config-if)#ppp chap hostname beijing
RB(config-if)#no shutdown
測(cè)試:
實(shí)驗(yàn)成功!
我們可以利用show interface s2/0���,顯示驗(yàn)證信息����,如圖所示:
關(guān)于PPP協(xié)議的講解就到這兒了�,希望對(duì)你有幫助!好了��,休息����,休息一會(huì)!
