WAN封装协议PPP

01 id random 3640-1
user 766-1
pass pc1
02 id
MD5 hash
hash
766-1
MD5
=?
hash
PPP认证机制（CHAP认证）
● 第六步 访问服务器向拔号者发送认证通过/失败的消息
User dials in 766-1 3640-1 user pass 3640-1 pc1 user 766-1 pass pc1
WAN数据链路层协议之HDLC与PPP
课程目标
● 学完本课程，您应该能够：
掌握HDLC的数据结构与功能特性 掌握PPP的数据结构与功能特性 熟知PPP的协商过程、认证过程以及PPP MUltilink
课程内容
HDLC的基本介绍 PPP的功能特性 PPP的协商过程 PPP的认证机制 PPP多链路绑定
01 id random 3640-1
拔号者处理CHAP挑战数据包;
1,将序列号放入MD5散列生成器;
MD5
2,将随机数放入MD5散列生成器;
hash
3,用访问服务器的认证名比较口令
4，将密码放入MD5散列生成器
PPP认证机制（CHAP认证）
● 第四步 拔号者向访问服务器发送挑战应答
User dials in
Hostname: RouteB Password: 123456
PPP认证机制
● PAP认证配置实例（单向认证）
被认证方 sender
PSTN/ISDN
认证方 receiver
PPP的认证机制
CHAP认证协议
认证过程比较复杂。三次握手机制。 使用密文格式发送认证信息。 由认证方发起认证，有效避免暴力破解。 在链路建立成功后具有再次认证检测机制
IP IPCP
IPX IPXCP
Layer 3 Protocols Many Others
网络层 数据链路层
物理层
PPP
Network Control Protocol 认证和其它选项 Link Control Protocol 同、异步物理媒体
PPP的协商过程
● LCP(链路控制协议)
配置、建立、维护和测试数据链路的连接，有如下协商参数：
Establish OPEN FAIL
Maintain
可以 进行 数据 传输
当收到对端链路检测帧时， 进入Maintain
链路处于DOWN状态，当设备检测到载波或网管配置指示物理层可用时，HDLC发送
一个UP事件，进入Establish阶段。 HDLC启动链路检测定时器、初始化超时计数器，通过链路检测帧（keepalive）的交互 建立连接，当收到对端链路检测帧时，将链路协议UP并进入Maintain阶段，链路始终处于 UP状态、可承载网络层报文。
• ISO标准的HDLC：不包括协议字段，不能区别不同的网络层协议，因 此 只能应用在单一的网络环境中。没有得到实际设备的支持。结构如下： • 厂商私有的HDLC：每个设备厂商在ISO HDLC的基础上加入了协议字段， 可以区别各种网络层协议。在各个厂商的设备上有实现。结构如下：
HDLC的数据结构
1B
8021 c223
NCP帧 CHAP帧
竞争握手认证数据
课程内容
HDLC的基本介绍 PPP的功能特性 PPP的协商过程 PPP的认证机制 PPP多链路绑定
PPP的协商过程
2、PPP协议组件
PPP协议主要包含两个子协议：链路控制协议层（LCP）、网络控制协议层 （NCP）。 PPP协议不仅仅是一个二层协议，它的NCP部分上跨到了OSI参考模型的 三层。因此PPP还具有部分网络层的功能。
1 Maximum-Receive-Unit（最大接收单元） 3 Authentication-Protocol（认证协议） 4 Quality-Protocol（质量协议） 5 Magic-Number（魔术数） 7 Protocol-Field-Compression（协议域压缩） 8 Address-and-Control-Field-Compression（地址和控制域压缩）
选）和网络协商阶段。
检测到载波
链路建立 （establish）
协商结束
身份认证 (authenticate)
认证成功/NONE 网络协议配置 (network)
链路静止 (dead)
链路失败
认证失败
载波停止
链路终止 (terminate)
数据传输完毕
传输打开 (open)
配置完成
课程内容
HDLC的基本介绍 PPP的功能特性 PPP的协商过程 PPP的认证机制 PPP多链路绑定
• 多链路逻辑绑定功能；
• 身份认证功能；
• 压缩功能；
• 回拨的功能；
PPP数据结构
7E
标志
FF
地址
03
控制 协议域 信息域 校验
7E
标志
1B
1B
1B
源自文库
2B
0021 C021 C023
缺省1500B
IP报文 链路控制数据 C021口令认证数据 链路控制数据 网络控制数据
2B
IP帧 LCP帧 PAP帧
R#debug hdlc events
R#debug hdlc packets
打开HDLC链路状态事件调试开关
打开HDLC收发报文调试开关
设备对HDLC的支持
R#debug hdlc events %Interface serial 1/0 : receive one HDLC keepalive packet. %Interface serial 1/0 send one keepalive packet: my_seq = 21, my_seen = 20, your_seen = 16 line protocol is UP, not in loopback state. %Interface serial 1/0 send one keepalive packet: my_seq = 22, my_seen = 20, your_seen = 16 line protocol is UP, not in loopback state. %Interface serial 1/0 send one keepalive packet: my_seq = 23, my_seen = 20, your_seen = 16 line protocol is UP, not in loopback state. my_seq是指本地端发送的报文序号，my_seen是指此前收到的对端路由器对本地 keepalive报文认可的序号，your_seen是指本地对对端认可的序号。 在本例调试信息中，本地的序号my_seq根据keepalive的时间不断的递增，但未 收到对方路由器的Keep alive报文，my_seen始终都是20，本地也没有办法对对方的 序号your_seen的递增认可，说明在通讯的过程中由于某种原因对方路由器的报文无法 到达本地的HDLC协议层，原因可能是对方设备的关机或者是线路传输的原因。
● ISO HDLC封装 8 8 8 标志 地址 控制
01111110 11111111
可变长 数据
16
CRC
8
bit
帧校验 标志
01111110
● Cisco HDLC封装
8 标志 8 地址 8 16 可变长 数据 16 8 bit 控制 Proprietary
标识多种网络层协议 KEEPALIVE 0x8035 IP 0x0800 IPX 0x8137
username RA password bluefox
PPP认证机制（CHAP认证）
● 第一步 拔号者发起CHAP呼叫
User dials in
766-1 3640-1
ppp authentication CHAP LCP协商CHAP认证方式和MD5算法
PPP认证机制（CHAP认证）
● 第二步 向拔号者发送挑战信息
PPP认证机制（CHAP认证）
单向CHAP认证
Remote user RA
Run PPP
Access server Cisco1
Local user database
Use CHAP
Request for challenge Name: RA Password: bluefox Challenge Response Accept or reject
User dials in 766-1 3640-1
01 id random 3640-1
1,建立挑战数据包;随机数,认证名… 2,将序列号保存在访问服务器中;
3,向呼叫方发送挑战数据包;
PPP认证机制（CHAP认证）
● 第三步拔号者处理挑战消息
User dials in
766-1 3640-1
user pass 3640-1 pc1
766-1 3640-1 user pass 3640-1 pc1
01 id random 3640-1
02 id
MD5
hash
hash
766-1
发送应答包给访问服务器；
PPP认证机制（CHAP认证）
● 第五步 访问服务器检查拔号者发过来的应答数据包
User dials in 766-1 3640-1 user pass 3640-1 pc1
PPP的认证机制
在PPP的众多功能中，用得最多的就是身份认证机制。PPP提供的认证协议有 PAP（密码验证协议）和CHAP（竞争握手验证协议）。
PAP认证协议
认证过程非常简单。二次握手机制。 使用明文格式发送用户名和密码。
发起方为被认证方，可以做无限次的尝试（暴力破解）
只在链路建立的阶段进行认证，一旦链路建立成功将不再 进行认证检测
帧校验 标志
● 控制字段：用来实现HDLC协议的各种控制信息，并标识是否是数据 ● 数据字段：可以是任意的二进制比特串，长度未作限定，其上限由FCS字 段或通讯节点的缓冲容量来决定。
● 应用的接口为：工作在同步模式下的Serial接口和POS接口
HDLC链路操作
Dead UP FAIL
发送UP事件，进入 Establish状态
一、 HDLC的基本介绍
1、HDLC的基本介绍
HDLC（高级数据链路控制协议）是一种面向比特的对于同步串 行数字链路的封装协议规范。只支持点到点链路。协议内部通过 Keepalive报文来检测链路状态。 是数据链路层最基础的一种协议，其他的WAN链路二层协议都是 以该协议为基础发展而来。例如X.25的LAPB，PPP以及ISDN的LAPD 等等。 目前该协议有两个版本：ISO标准的HDLC和厂商私有的HDLC。
身份认证、压缩、多链路绑定等功能均在LCP子层实现。
● NCP(网络控制协议)
建立和配置不同的网络层协议，比如选择IPCP，协商IP、DNS等、协 商IP数据压缩等。IP地址协商在这层实现。
PPP的协商过程
● PPP协商过程 典型的PPP链路协商过程分为三个阶段：链路建立阶段、认证阶段（可
目前在企业网的远程接入环境中用的比较常见。
Remote Router (RouteB)
CHAP 3次握手
Challenge Response
Central-Site Router (RouteA)
Hostname: RouteB Password: 123456
Accept/Reject
Hostname: RouteB Password:123456
课程内容
HDLC的基本介绍 PPP的功能特性 PPP的协商过程 PPP的认证机制 PPP多链路绑定
PPP的基本简介与功能特性
2、PPP的基本简介与功能特性
PPP（点对点协议）是一种以ISO HDLC为基础支持多种上层协议 且各个厂商设备均支持的开放式标准协议。 PPP 协议既支持同步线路，又支持异步线路。 PPP 还支持多种功能特性。 • IP地址自动协商；
目前在PPPOE拨号环境中用的比较常见。
PPP认证机制
PAP认证过程
Remote Router (RouteB)
PAP 二次握手
“RouteB, 123456”
Central-Site Router (RouteA)
Accept/Reject
Hostname: RouteB Password: 123456
设备对HDLC的支持
IOS路由器同步串行接口缺省支持cisco dhlc，RGNOS也支持Cisco HDLC
私有协议。 HDLC封装的相关配置如下： R(config-if)#encapsulation hdlc R(config-if)#keepalive seconds 封装HDLC协议 设置HDLC keepalive的间隔时间 ,默认为10秒