PPP协议
PPP协议:
PPP协议概述:
- PPP协议是一种工作在点到点链路上的协议,工作在数据链路层,属于广域网协议,
- PPP的优势在于可以提供认证功能,易于扩充,并且支持同步异步通信,还可以与其他技术相结合
PPP的报文:
PPP的组成:
- LCP(链路控制协议簇--主要进行物理层和链路层协商)
- CHAP(扩展协议簇--扩展认证协商)
- NCP(网络层控制协议簇--主要进行网络层协商)
PPP的功能:
- 支持多种协议栈:TCP/IP,NetBRUI,NWLINK
- 具备检查错误,纠正错误的功能,支持数据压缩。
- 支持多种身份验证:PAP,CHAP
- 支持动态分配地址
- 可以用在多种物理类型的传输截止上
PPP各阶段描述:
-
阶段 作用 Dead 死亡阶段:Down,无连接,该阶段下,LCP协商处于初始状态 Establish 建立阶段:进行LCP协商,发送Request消息,就进行参数协商,同意该参数就回复ACK,不接受就回复NAK,拒绝协商就回复Reject Authenticate 认证阶段:该阶段是可选的,默认情况下没有,只有配置了验证之后才有,配置验证后,验证成功进入Network阶段,验证失败退回Dead阶段 Network 网络层协议阶段:进行NCP协商,协商网络层协议,NCP协商分为IPCP/MPLSCP,IPCP主要协商双方IP地址,采用推地址,检测地址冲突/地址是否存在, 从而产生32位的主机路由 Terminate 链路终止阶段:PPP可以在任意时间终止链路,LCP通过交互Terminate报文来终止链路,通知无力度啊口 -
LCP协商参数:
-
参数 作用 MRU 最大接收单元 Auth-Protocol 认证协议 魔术字 防环 协议压缩 减少帧中的数据量从而提高效率 工作方式 协商SP/MP 差错检测 用Quality选项来检测链路质量 -
LCP报文:
PPP的工作流程:
-
通信双方建立PPP链路时,先进入到Establish阶段,
-
在Establish阶段,通信双方首先进行LCP协商,协商内容是:PPP的工作方式(SP/MP),MRU,认证方式,协议压缩,魔术字等,LCP协商完成后,进入Opened状态,表明底层链路已经建立,若LCP协商失败,直接退回Dead阶段
-
如果配置了认证,就进入Authenticate阶段,开始进行chap/pap认证。认证成功后进入Network阶段,失败就进入fall状态,进入Terminate阶段,进行链路终止,
-
Network阶段,PPP链路进行NCP协商,协商网络层协议,(IPCP主要协商IP地址)只有相应的网络层协议协商成功了之后,该网络层协议才能通过PPP链路发送报文。
-
NCP协商完成后,PPP链路就建立成功了,将会一直保持通信,当然也可以随时进行终止,物理连接断开,认证失败,超时定时器超时,手动关闭等都会导致链路进入Terminate
-
在Terminate阶段,所有资源都会被释放,退回到Dead阶段,等待重新建立连接
LCP是如何检测环路的:
- 通过魔术字,PPP发的configure-request报文中会产生一个魔术字,收到对端发送过来的request报文后,会检查里面携带的魔术字跟自己本地的是否一样,若不一样,说明是无环的,则发送configure-Ack进行确认,表示魔术字协商成功,若一样,说明是有环路产生的,则发送configure-Nak进行回应,并且携带一个新的魔术字,但是不换是否携带新的魔术字,LCP依旧会发送一个新的configfure-requset报文,携带一个新的魔术字。
PPP认证:
PAP认证:
- 密码认证协议,主要通过两次握手来建立认证,进行简单的明文认证,
- 首先由被认证端向认证端发情认证请求(request),里面包含了自己的用户名和密码
- 认证端收到之后,会检查报文中携带用户名和密码是否跟自己本地数据库中一致,若一致,则认证通过,若不一致,发送ACK,若不一致,则认证失败,就回复NAK,若自己根本就是识别不了request报文,则发送resis
CHAP认证:
- 挑战握手认证。主要通过三次握手机制来建立认证,进行复杂的密文认证
- 首先由认证端主动向被认证段发起挑战。发送challenge报文,里面包含用户名,ID,随机值。
- 被认证端收到后,会根据报文字段中用户名,在自己本地查找相对应的密码,然后将密码联合报文中的ID,随机值,进行MD5计算出一个hash值,然后回复一个Response,里面包含,用户名,ID,和hash值,
- 认证端收到之后,会根据报文中的用户名,在自己本地查找相对应的密码,然后将密码联合先前发送,报文中的ID,随机值,依旧进行MD5计算出一个hash值,将这个hash值与报文中携带的hash值进行比较,若一致,那么就说明,认证通过,发送Success,若不一致,说明认证失败,发送Failure
- ID的作用是起到一个标识的作用,在一组chap认证里面,ID的值是永远不变的,起到一个标识一组chap认证的作用。
- CHAP认证的优点:我们发现CHAP认证在交互报文时,报文中是不携带密码的,不想pap认证,直接携带用户名和明文密码,那么中间人通过抓包就可以直接看出你的用户名和密码。而CHAP认证是携带的hash值,且每次认证因为随机数的不同,所算出的hash值也不同,大大的提高了安全性,
PPP MP简介:
-
MP 多链路PPP,将多个PPP链路捆绑在一起,可以实现增加链路的带宽和增强冗余性,
-
在进行LCP的协商,会协商PPP的工作模式,验证对端是否处于MP的工作模式,
-
可以通过虚模板接口来实现链路捆绑,也可以通过MP-Group实现捆绑,
-
MP跟链路捆绑技术有异曲同工之妙,他也会有一个虚模板接口,相当于一个逻辑接口,
-
捆绑之后,会根据捆绑的虚拟接口进行NCP协商,协商通过后,即可建立MP的链路,
-
采用虚模板接口(VT)进行 MP:
- 将多条PPP链路直接捆绑到VT上实现 MP 配置简单,安全性低
- 将用户名绑定到VT上,根据对端用户名拉查找有对应的VT,配置复杂,安全性高
-
采用MP-Group实现 MP:
- MP-Group接口是MP的专用接口,不能支持其他应用,将多条PPP链路加入MP-Group实现MP,这种方法快速高效,配置简单,容易理解。
-
ppp autu 主认证方
-
LCP协商通过之后才进行认证
-
request。双方都要发送
-
被认证方只会发送魔术字和MRU,
-
认证方
-
ID号是一致的,用于标明这是一组CHAP认证,用去区分不同chap认证
-
NCP
-
802.3的帧
-
type值大于1500是以太帧
-
type
-
其他路由器也会收到LSP,就不用请求了
-
ISIS防环:
-
L1路由的水平分割
-
L2路由泄露到l1路由器时,会添加一个up,down置位,然后up/down置位的路由不会传递回l2
-
l1-2收到l2路由器,会将l2路由c
会发送
- IPXCP
- MPLSCP --mpls协议
-
BGP建立因素:
-
as号
-
179端口不可达
-
版本
-
认证
-
EBGP环回口建立邻居没有修改多跳。
-
路由不可达
-
IBGP指定更新源
-
open报文,里面的as号和
-
up data路由携带:
-
公认
-
距离矢量,和链路
-
距离矢量是距离对端,不考虑链路开销
-
链路状态,全程走高速。
-
OSPF基于TLV
-
DR/BDR额外监听0.6
-
ppp的认证能力和计费能力。然后还可以进行NCP协商的时候分配地址。
-
电话线传输模拟信号。
-
MTU不包含帧头,MTU在二层描述的是帧的载荷部分。
-
vlan间通信
-
三层通信:
-
单臂路由
-
vlan if
-
super-vlan
-
二层通信:
-
端口全trunk
-
端口全hybrid
-
mux-vlan
-
计时器超时是为了触发一个操作。