Хорошо

Основы WAN - PPP

443 0 2 0 0

Обзор PPP

PPP - это общий протокол уровня канала передачи данных WAN. Он используется для инкапсуляции данных P2P и передачи по полнодуплексным каналам.

PPP предоставляет протокол аутентификации по паролю (PAP) и протокол проверки подлинности с вызовом (CHAP).

PPP отличается высокой расширяемостью. Например, PPP может быть расширен как протокол точка-точка через Ethernet (PPPoE), когда пакеты PPP необходимо передавать через Ethernet, который используется для согласования параметров канального уровня,например,максимальная единица приема (MRU) и режим аутентификации.

PPP предоставляет различные протоколы управления сетью (NCP),такие как протокол управления IP (IPCP), для согласования параметров сетевого уровня и лучшей поддержки.


PPP


Формат пакета PPP



PPP


Значения полей пакета PPP следующие:

·         Flag field

Поле флага определяет начало и конец физического кадра и всегда равно 01111110 (0x7E).

·         Address field ·          

Поле адреса в кадре PPP представляет широковещательный адрес и имеет фиксированное значение 11111111 (0xFF).

·         Control field

Значение поля Control по умолчанию равно 00000011 (0x03), что указывает на несвязанный кадр. По умолчанию PPP не использует порядковые номера или механизмы подтверждения для обеспечения надежности передачи.

Поля Address и Control идентифицируют пакет PPP, поэтому значение заголовка пакета PPP - FF03.

·         Protocol field

Поле протокола идентифицирует дейтаграмму, инкапсулированную в поле информации пакета данных PPP. Например, если поле протокола - 0xC021, пакет является пакетом LCP. Поле кода в дальнейшем используется для идентификации различных типов пакетов LCP.

·         Information field

Информационное поле содержит дейтаграмму для протокола, указанного в поле Протокол. Максимальная длина информационного поля, включая поле заполнения, равна максимальной единице приема (MRU). MRU по умолчанию составляет 1500 байт и может быть согласован.

В информационном поле заполнять поле необязательно. Если в информационном поле есть поле Padding, две взаимодействующие стороны могут общаться только тогда, когда они могут идентифицировать информацию заполнения и информацию, которая должна быть передана.

·         FCS field

Поле контрольной последовательности кадра (FCS) проверяет правильность передачи пакета PPP.

Некоторые механизмы используются для обеспечения передачи пакетов данных, что увеличивает стоимость и задержку обмена данными на прикладном уровне.

 

LCP- инкапсулированный формат пакета

Когда поле протокола 0xC021, пакет является пакетом LCP, структура информационного поля выглядит следующим образом:

·         Поле идентификатора

Поле идентификатора имеет длину 1 байт. Он используется для сопоставления запросов и ответов.

·         Поле длины

Поле длины указывает общее количество байтов в пакете LCP. Поле «Длина» указывает длину пакета согласования, включая поля «Код», «Идентификатор», «Длина» и «Данные».

·         Поле данных

Поле данных содержит содержимое пакета согласования, включая следующие поля:

§  Поле Тип определяет тип варианта согласования.

§  Поле «Длина» указывает общую длину поля данных, включая тип, длину и данные.

§  Поле данных содержит содержимое опции согласования.

 

Процесс установления связи PPP




PPP


Процесс установления связи PPP выглядит следующим образом:

1.  Два взаимодействующих устройства входят в фазу установления, если одно из них инициирует запрос соединения PPP.

2.   На этапе установления два устройства выполняют согласование LCP для согласования следующих элементов: рабочий режим (SP или MP), MRU (Максимальная единица приема), режим аутентификации и магический номер (SP - сокращение от single-link PPP. а MP - сокращение от MultiLink PPP). Если согласование LCP завершается успешно, LCP становится открытым, что указывает на то, что установлена связь нижнего уровня.

3.   Если аутентификация настроена, два устройства входят в фазу аутентификации и выполняют аутентификацию CHAP или PAP. Если аутентификация не настроена, два устройства переходят в фазу сети.

4.   На этапе аутентификации, если проверка подлинности CHAP или PAP завершается неудачно, устройства переходят в фазу завершения. Ссылка удаляется, и LCP отключается. Если аутентификация CHAP или PAP завершается успешно, устройства переходят в фазу сети, а LCP остается открытым.

5.   На этапе сети два устройства выполняют согласование NCP для выбора и настройки сетевого протокола и согласования параметров сетевого уровня. После того, как два устройства успешно согласовали сетевой протокол, пакеты могут быть отправлены по этому каналу PPP с использованием сетевого протокола.

При согласовании NCP могут использоваться различные протоколы управления, такие как IPCP и протокол управления многопротокольной коммутацией меток (MPLSCP). IPCP в основном согласовывает IP-адреса двух устройств.

6.   После успешного согласования NCP пакеты могут быть отправлены по каналу PPP. Если соединение PPP прерывается во время работы PPP, два устройства входят в фазу завершения, физический канал отключается, аутентификация PPP не выполняется или таймер согласования истекает.

7.   На этапе завершения два устройства входят в фазу бездействия после освобождения всех ресурсов. Два устройства остаются в мертвой фазе до тех пор, пока между ними не будет установлено новое PPP-соединение.

Ниже описаны этапы согласования PPP.

 

Мертвая фаза

Физический уровень недоступен во время мертвой фазы. Соединение PPP начинается и заканчивается на этом этапе.

Когда два взаимодействующих устройства обнаруживают, что физический канал между ними активирован (например, сигналы несущей обнаруживаются на физическом канале), PPP переходит в фазу установления из мертвой фазы.

После разрыва связи PPP переходит в мертвую фазу.

 

Этап создания

На этапе установления два устройства выполняют согласование LCP для согласования следующих элементов: рабочий режим (SP или MP), MRU, режим аутентификации и магический номер. После завершения согласования LCP PPP переходит в следующую фазу.

На этапе создания статус LCP изменяется следующим образом:

·       Когда канал недоступен (в мертвой фазе), LCP находится в начальном или стартовом состоянии. Обнаружив, что ссылка доступна, физический уровень отправляет событие Up на уровень связи. После получения события Up уровень связи изменяет статус LCP на Request-Sent. Затем устройства на обоих концах отправляют пакеты Configure-Request для настройки канала передачи данных.

·       Если одноранговая сторона идентифицирует и принимает все параметры в пакете, одноранговая сторона возвращает пакет Configure-Ack на локальную сторону, указывая, что согласование прошло успешно.



PPP


·       Если параметры LCP не совпадают во время обмена пакетами LCP, получатель отвечает пакетом Configure-Nak, чтобы проинструктировать одноранговую сторону изменить параметры и выполнить повторное согласование.


PPP


·       Если параметры LCP не могут быть идентифицированы во время обмена пакетами LCP, получатель отвечает пакетом Configure-Reject, чтобы указать одноранговому концу удалить неидентифицируемые параметры и повторно согласовать с одноранговым концом.



PPP


Этап аутентификации

Этап аутентификации является необязательным. По умолчанию PPP не выполняет проверку подлинности во время установления связи PPP. Если требуется аутентификация, протокол аутентификации должен быть указан на этапе установки.

PPP обеспечивает два режима аутентификации по паролю: аутентификацию по протоколу PAP и аутентификацию по протоколу CHAP.


Процесс аутентификации PAP

PAP - это протокол аутентификации с двусторонним рукопожатием, который передает пароли в виде обычного текста.


PAP


·       Аутентифицированное устройство отправляет локальное имя пользователя и пароль аутентифицирующему устройству.

·       Устройство аутентификации проверяет, находится ли полученное имя пользователя в локальной таблице пользователей.

§  Если полученное имя пользователя находится в таблице локальных пользователей, устройство аутентификации проверяет правильность полученного пароля. Если да, то аутентификация проходит успешно. В противном случае аутентификация не удалась.

§  Если полученное имя пользователя отсутствует в локальной таблице пользователей, аутентификация не выполняется.

 

Процесс аутентификации CHAP

CHAP - это протокол аутентификации с трехсторонним рукопожатием. Пакеты согласования шифруются перед передачей, поэтому он более безопасен, чем PAP.


CHAP


Процесс выглядит следующим образом:

Аутентификатор инициирует запрос аутентификации и отправляет одноранговому узлу пакет Challenge. Пакет Challenge содержит случайное число и идентификатор,

·         После получения пакета Challenge одноранговый узел выполняет расчет шифрования по формуле MD5 {ID + случайное число + пароль}. Формула означает, что аутентификатор объединяет идентификатор, случайное число и пароль в символьную строку и выполняет операцию MD5 над символьной строкой, чтобы получить 16-байтовый дайджест. Затем одноранговый узел инкапсулирует дайджест и имя пользователя CHAP, настроенное на интерфейсе, в пакет ответа и отправляет пакет ответа аутентификатору.

После получения пакета ответа аутентификатор локально выполняет поиск пароля, соответствующего имени пользователя в пакете ответа. После получения пароля аутентификатор шифрует пароль, используя ту же формулу, что и одноранговый узел. Затем аутентификатор сравнивает дайджест, полученный посредством шифрования, с дайджестом в ответном пакете. Если они совпадают, аутентификация проходит успешно. Если они разные, аутентификация не выполняется.

 

Сравнение процессов аутентификации CHAP и PAP

·       При аутентификации PAP пароли отправляются по ссылкам в виде обычного текста. После того, как соединение PPP установлено, аутентифицированное устройство повторно отправляет имя пользователя и пароль, пока аутентификация не завершится. Этот режим не может гарантировать высокий уровень безопасности, поэтому он используется в сетях, которые не требуют высокого уровня безопасности.

·       CHAP - это протокол аутентификации с трехсторонним рукопожатием. При аутентификации CHAP аутентифицированное устройство отправляет аутентифицирующему устройству только имя пользователя. По сравнению с PAP, протокол CHAP отличается более высокой безопасностью, поскольку пароли не передаются. В сетях, требующих высокой безопасности, аутентификация CHAP используется для установления соединения PPP.

 

Этап сети

На этапе сети выполняется согласование NCP для выбора и настройки сетевого протокола и согласования параметров сетевого уровня. Например, IPCP - это обычно используемый NCP. После того, как NCP переходит в открытое состояние, данные сетевого уровня могут передаваться по каналу PPP.

IPCP подразделяется на статическое и динамическое согласование IP-адреса.


Согласование статического IP-адреса

Согласование статического IP-адреса требует ручной настройки IP-адресов на обоих концах ссылки.



PPP


Процесс согласования статического IP-адреса выглядит следующим образом:

·         Каждый конец отправляет пакет Configure-Request, содержащий локально настроенный IP-  адрес.

·         После получения пакета от однорангового узла локальный конец проверяет IP-адрес в пакете. Если IP-адрес является допустимым одноадресным IP-адресом и отличается от локально настроенного IP-адреса (без конфликта IP-адресов), локальный конец считает, что одноранговый конец может использовать этот адрес, и отвечает пакетом Configure-Ack.

 

Согласование динамического IP-адреса

В динамическое согласование IP-адреса , один конец канала PPP может назначить IP-адрес другому концу.



PPP


Процесс согласования динамического IP-адреса выглядит следующим образом:

·      R1 отправляет пакет Configure-Request на R2. Пакет содержит IP-адрес 0.0.0.0, что означает, что R1 запрашивает IP-адрес у R2.

·      После получения пакета Configure-Request R2 считает IP-адрес 0.0.0.0 недействительным и отвечает пакетом Configure-Nak, содержащим новый IP-адрес 10.1.1.1.

·      После получения пакета Configure-Nak R1 обновляет свой локальный IP-адрес и повторно отправляет пакет Configure-Request, содержащий новый IP-адрес 10.1.1.1.

·      После получения пакета Configure-Request R2 считает IP-адрес, содержащийся в пакете, действительным и возвращает пакет Configure-Ack.

·      R2 также отправляет пакет Configure-Request на R1, чтобы запросить использование IP-адреса 10.1.1.2. R1 считает IP-адрес действительным и отвечает пакетом Configure-Ack.

 

Этап Завершения

PPP может прервать связь в любое время. Связь может быть прервана администратором вручную или прервана из - за потери оператора связи, сбоя аутентификации или других причин.

 

Конфигурация PPP

Основные конфигурации PPP

1. Инкапсулируйте интерфейс с помощью PPP.

[Huawei-Serial0/0/0] link-protocol ppp// В представлении интерфейса измените протокол инкапсуляции интерфейса на PPP. Протокол инкапсуляции по умолчанию для последовательных интерфейсов устройств Huawei - PPP.

2. Настройте время ожидания согласования.

[Huawei-Serial0/0/0] ppp timer negotiate seconds // Во время согласования LCP локальный конец отправляет пакет согласования LCP равноправному концу. Если локальный конец не получает ответный пакет от однорангового конца в течение указанного периода тайм-аута согласования, локальный конец повторно отправляет пакет согласования LCP.

 

Настройка аутентификации PAP

1. Настройте аутентификатор для аутентификации однорангового узла в режиме PAP.

[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password

[Huawei-aaa] local-user user-name service-type ppp

[Huawei-Serial0/0/0] ppp authentication-mode pap

 // Перед настройкой аутентификатора для аутентификации однорангового узла в режиме PAP добавьте имя пользователя и пароль однорангового узла в список локальных пользователей в представлении AAA. Затем выберите режим аутентификации PAP.

2. Настройте одноранговый узел для аутентификации аутентификатором в режиме PAP.

[Huawei-Serial0/0/0] ppp pap local-user user-name password { cipher | simple } password // Эта команда настраивает одноранговый узел на отправку своего имени пользователя и пароля аутентификатору.

 

Настройка аутентификации CHAP

1. Настройте аутентификатор для аутентификации однорангового узла в режиме CHAP.

[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password

[Huawei-aaa] local-user user-name service-type ppp

[Huawei-Serial0/0/0] ppp authentication-mode chap

 2. Настройте одноранговый узел для аутентификации аутентификатором в режиме CHAP.

[Huawei-Serial0/0/0] ppp chap user user-name

[Huawei-Serial0/0/0] ppp chap password { cipher | simple } password

 // Эта команда настраивает локальное имя пользователя и пароль для аутентификации CHAP.

 

Пример настройки аутентификации CHAP


CHAP


  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.