PPP協議是一種點到點鏈路層協議,主要用於在全雙工的同異步鏈路上進行點到點的數據傳輸。
PPP組件:鏈路控制協議(LCP):用來建立、拆除和監控PPP數據鏈路
網絡層控制協議(NCP):用於對不同的網絡層協議進行連接建立和參數協商
LCP的報文類型及字段含義如下圖
LCP和參數協商字段及含義如下圖所示:
PPP認證默認分爲兩種一種是PAP,PAP爲明文認證,安全性較低,由被認證方先發起認證。另一種是CHAP,CHAP爲密文認證,三次握手認證,安全性高,由認證方先發起認證
PAP的認證過程如圖所示:
CHAP的認證過程如下:
CHAP認證時由認證方先發送挑戰報文給被認證方,挑戰報文包含隨機數,挑戰ID。被認證方收到後,根據接口下的用戶名和密碼加上挑戰報文進行hash,算出hash值,然後發送Response報文給認證方,Response報文包含hash值,挑戰ID和用戶名。認證方收到Response報文後,根據用戶名查找aaa數據庫,得出密碼,再根據原先的挑戰ID、隨機數和密碼來進行hash運算,如果得出的hash值和被認證方發過來的hash值一樣的話,則回覆Success報文,否則回覆Failure報文
PAP的認證命令如下:
(1)認證方:
aaa 進入aaa認證模式
local-user huawei password cipher huawei 設置數據庫存放的用戶名級相對應的密碼
local-user huawei service-type ppp 設置該用戶名所用的服務類型
interface s1/0/1 進入接口
link-protocol ppp 設置接口鏈路模式
ppp authentication-mode pap 設置ppp的認證模式
(2)被認證方:
interface s1/0/1 進入接口
link-protocol ppp 設置接口鏈路模式
ppp pap local-user huawei password cipher huawei 設置接口發送的用戶名和密碼
CHAP認證命令如下:(1)認證方:aaa 進入aaa認證模式local-user huawei password cipher huawei 設置數據庫存放的用戶名級相對應的密碼local-user huawei service-type ppp 設置該用戶名所用的服務類型interface s1/0/1 進入接口link-protocol ppp 設置接口鏈路模式ppp authentication-mode CHAP 設置ppp的認證模式(2)被認證方:interface s1/0/1 進入接口link-protocol ppp 設置接口鏈路模式ppp chap local-user huawei 設置接口發送的用戶名ppp chap password cipher huawei 設置接口發送的密碼