什么是PPP?PPP的认证方式又有哪些?

什么是PPP?PPP的认证方式又有哪些?

安装部署Zabbix监控系统

点到点链路层协议PPP(PPPoE) 主要用于在全双工的同异步链路上举行点到点的数据传输,PPP是一款公有尺度协议,兼容性好。

PPP协议的特点:

1、PPP支持在全双工的同异步链路上举行点到点的数据传输。

2、PPP具有很好的扩展性;PPPoE就是承载在以太网链路上的PPP协议。

3、PPP支持地址信息的自动协商;LCP协议用于种种链路层参数的协商;NCP协议用于各网络层参数的协商,更好地支持了网络层协议(peer neighbor-route)。

4、PPP支持PAP、CHAP认证(可以基于接口的密码认证;也可以基于内陆数据库AAA认证,提供认证、授权和审计),更好的保证了网络的安全性。

5、PPP支持将多根链路举行捆绑(Multilink);支持对所有类型的报文/报头举行压缩;无重传机制,网络开销小,速度快。

 

PPP协议的组成:协议伞

什么是PPP?PPP的认证方式又有哪些?

 

步骤一:链路控制协议LCP;用来确立、拆除和监控PPP数据链路

步骤二:认证协议;PAP(密码认证协议)和CHAP(挑战握手认证协议);用于链路认证,支持单向认证和双向认证。

步骤三:网络层控制协议NCP(协议伞);用于对差其余网络层协议举行毗邻确立和参数协商;协议包罗了IPV4CP(IPCP)、IPV6CP、IPXCP等。

PPP链路的确立历程:

什么是PPP?PPP的认证方式又有哪些?

 

1、Dead阶段也称为物理层不可用阶段。当通讯双方的两头检测到物理线路激活时,就会从Dead阶段迁移至Establish阶段,即链路确立阶段。

2、Establish阶段,PPP链路会举行LCP参数协商。协商内容包罗最大吸收单元MRU、认证方式、魔术字(Magic Number)等选项。LCP参数协商乐成后会进入Opened状态,示意底层链路已经确立。

3、多数情况下,链路两头的装备是需要经由认证阶段(Authenticate)后才能够进入到网络层协议协商阶段。PPP链路在缺省情况下是不要求举行认证的。若是要求认证,则在链路确立阶段必须指定认证协议。认证方式是在链路确立阶段双方举行协商的。若是在这个阶段再次收到了Configure-Request报文,则又会返回到链路确立阶段。

4、Network阶段,PPP链路举行NCP协商。通过NCP协商来选择和设置一个网络层协议并举行网络层参数协商。只有响应的网络层协议协商乐成后,网络层协议才可以通过这条PPP链路发送报文。若是在这个阶段收到了Configure-Request报文,也会返回到链路确立阶段。

5、NCP协商乐成后,PPP链路将保持通讯状态。PPP运行历程中,可以随时中止毗邻,例如物理链路断开、认证失败、超时定时器时间、管理员通过设置关闭毗邻等动作都可能导致链路进入Terminate阶段。

6、在Terminate阶段,若是所有的资源都被释放,通讯双方将回到Dead阶段,直到通讯双方重新确立PPP毗邻。

PPP协议的帧花样:

什么是PPP?PPP的认证方式又有哪些?

 

1、Flag字段标识一个物理帧的起始和竣事,为二进制序列01111110(0X7E)。

2、address字段,固定为11111111 (0XFF),是一个广播地址。

3、control字段默以为00000011(0X03),解释为无序号帧。

4、protocol字段用来说明PPP所封装的协议报文类型,0XC021代表LCP报文,0XC023代表PAP报文,0XC223代表CHAP报文,0X0021代表IPV4报文。

5、FCS字段是个16位的校验和,用于检查PPP数据帧的完整性。

 

Information字段包罗协议字段中指定协议的数据包。数据字段的默认最大长度(不包罗协议字段)称为最大吸收单元MRU(Maximum Receive Unit),MRU的缺省值为1500字节。若是协议字段被设为0XC021,则说明通讯双方正通过LCP报文举行PPP链路的协商和确立:

1、Code字段主要是用来标识LCP数据报文的类型。设置信息报文(Configure Packets: 0x01),设置乐成信息报文(Configure-Ack: 0X02),终止请求报文(Terminate-Request:0X05)。

2、Identifier字段示意用来匹配请求和响应报文。

3、length字段示意LCP的报文长度

 

Data字段为数据载荷,包罗了多个TLV为可选项字段,包罗类型、长度和数值

 

Ping命令的7个基础用法,掌握了秒变大神

LCP报文类型和事情历程:

什么是PPP?PPP的认证方式又有哪些?

 

1、Configure-Request设置请求报文:链路层协商历程中发送的第一个报文,该报文解释点对点双方最先举行链路层参数的协商。可以协商的内容如下:

---最大吸收单元MRU,示意PPP数据帧中信息字段和填充字段的总长度;默认值为1500字节。

---认证协议,PAP协媾和CHAP协议,一条PPP链路的两头可以使用差其余认证协议认证对端,然则被认证方必须支持认证方要求使用的认证协议并准确设置用户名和密码等认证信息。

---魔术字,用来检测链路环路和其它异常情况;魔术字为随机发生的一个数字,随机机制需要保证两头发生相同魔术字的可能性险些为0。

---质量协议,用来做QOS,设置数据转发的优先级。

---MP多链路参数,用于做多根链路的捆绑。

---报头/报文压缩,是否需要做报文、报头压缩。

2、Configure-Ack设置响应报文:收到对端发来的Configure-Request报文,若是参数取值完全接受,则以此报文响应。

3、Configure-Nak设置不响应报文:收到对端发来的Configure-Request报文,若是参数取值不被本端认可,则发送此报文而且携带本端可接受的设置参数。

4、Configure-Reject设置拒绝报文:收到对端发来的Configure-Request报文,若是本端不能识别对端发送的Configure-Request中的某些参数,则发送此报文而且携带那些本端不能认其余设置参数。

什么是PPP?PPP的认证方式又有哪些?

 

PPP认证模式一:PAP认证

什么是PPP?PPP的认证方式又有哪些?

 

PAP认证协议被称为密码认证/两次握手认证协议,当LCP协商完成后,认证方要求被认证方使用PAP举行认证;被认证方将设置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方;认证方收到被认证方发送的用户名和密码信息之后,凭据内陆设置的用户名和密码数据库检查用户名和密码信息是否匹配,若是匹配,则返回Authenticate-Ack报文,示意认证乐成。否则返回Authenticate-Nak报文,认证失败;认证历程由被认证方自动提议。

 

PPP认证模式二:CHAP认证

什么是PPP?PPP的认证方式又有哪些?

 

 

CHAP认证被称为挑战握手认证协议/三次握手认证协议;为了匹配请求报文和回应报文,报文中含有Identifier字段,一次认证历程所使用的报文均使用相同的Identifier信息(报文ID)。

当LCP协商完成后,认证方会发送一个Challenge报文给被认证方,Challenge报文中含有Identifier信息(报文ID)和一个随机发生的Challenge字符串(可防止重放攻击),此Identifier即为后续报文所使用的Identifier。思科装备中,challenge报文中用户名是一定添加的,若是接口设置了用户名就发送,没有设置就使用主机名发送;当被认证方收到此Challenge报文之后,举行一次加密运算,运算公式为MD5{ Identifier+密码+Challenge },意思是将Identifier、密码和Challenge三部门连成一个字符串,然后对此字符串做MD5运算,获得一个16字节长的摘要信息,然后将此摘要信息和端口上设置的CHAP用户名一起封装在Response报文中发回认证方。

认证方吸收到被认证方发送的Response报文之后,根据其中的用户名在内陆查找响应的密码信息,获得密码信息之后,举行一次加密运算,运算方式和被认证方的加密运算方式相同,然后将加密运算获得的摘要信息和Response报文中封装的摘要信息做对照,相同则认证乐成,不相同则认证失败;使用CHAP认证方式时,被认证方的密码是被加密后才举行传输的,这样就极大的提高了安全性。

 

思科装备上CHAP认证规则:

1、 若是被认证方收到的challenge报文中一定包罗用户名,被认证方必须出示接口所设置的用户名和密码,被认证方会凭据用户名在内陆AAA认证数据库内里找有没有对应的用户名、密码条目;AAA认证数据库里密码出示优先级高于被认证方接口的设置密码,会使用AAA认证数据库里用户名和密码举行认证。

 

NCP:网络控制协议,用于对两头装备IP地址信息举行确认(以IPV4CP为例)。

什么是PPP?PPP的认证方式又有哪些?

 

1. 每一端都要发送Configure-Request报文,在此报文中包罗内陆设置的IP地址;

2. 每一端吸收到此Configure-Request报文之后,检查其中的IP地址,若是IP地址是一个正当的单播IP地址,而且和内陆设置的IP地址差别(没有IP冲突),则以为对端可以使用该地址,回应一个Configure-Ack报文。

什么是PPP?PPP的认证方式又有哪些?

 

1、RTA向RTB发送一个Configure-Request报文,此报文中会包罗一个IP地址0.0.0.0,示意向对端请求IP地址;

2、RTB收到上述Configure-Request报文后,以为其中包罗的地址(0.0.0.0)不正当,使用Configure-Nak回应一个新的IP地址10.1.1.1;

3、RTA收到此Configure-Nak报文之后,更新内陆IP地址,并重新发送一个Configure-Request报文,包罗新的IP地址10.1.1.1;

4、RTB收到Configure-Request报文后,以为其中包罗的IP地址为正当地址,回应一个Configure-Ack报文;RTB也要向RTA发送Configure-Request报文请求使用地址10.1.1.2,RTA以为此地址正当,回应Configure-Ack报文。

linux抓包工具tcpdup,对抓包结果作数据分析

分享到 :
相关推荐

发表评论

登录... 后才能评论