PPP协议的配置介绍
ppp协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。
支持认证、错误检测、错误恢复。
ppp组件:
NCP–网络控制协议:用于对不同的网络层协议进行连接建立和参数协商,用于和网络层打交道。
LCP–链路控制协议:用来建立、拆除和监控ppp数据链路,用于和链路层打交道。
和hdlc一样,双方通信是不需要mac地址的,和以太网的数据链路层通信是不一样的。
认证模式:pap和chap,两个都支持单向和双向认证。
pap:密码认证协议,以明文的方式直接发送密码,二次握手机制,发起方为被认证方。一旦链路认证成功将不在认证。
被认证方需要发送用户名和密码给认证方,然后认证方查看密码是否正确,正确之后链路才能建立起来,由于是二次握手,容易被暴力破解。
chap:挑战/质询握手认证协议,以MD5来隐藏密码,三次握手机制,由认证方发起认证,建立成功后具有再次认证机制。可以防止暴力破解。其实chap在验证的过程中是不发送密码的,发送的是密码和随机数生成的哈希值。
建立过程:
Dead阶段----Establish阶段—Authenticate阶段(可选)—network阶段(NCP阶段)
任何阶段失败之后都会进入LCP Down(terminate)。
注意:两端的链路建立起来之后,将端口重启验证才能生效。
网络拓扑:两台设备通过串口直连。
配置:chap认证
chap 单向认证
验证方:
aaa 进入aaa视图,为被验证方输入用户名和密码
local-user zhao password cipher 123.com
local-user zhao service-type ppp
interface serial 4/0/0
ppp chap authentication-mode chap 在接口开启认证,验证模式为chap
被验证方:
interface serial 4/0/1
ppp chap user zhao 输入用户名
ppp chap password 123.com 输入密码
这样验证方就会查看对端输入的用户名和密码和自己创建的是否一致,如果不一致,链路建立失败,一致,链路建立成功。
这是单向认证,也可以进行双向认证,双方相互验证。
chap双向认证
在单向认证的基础上,被验证方也添加一个用户,并在接口上开启认证。
被验证方:
aaa 此时在被验证方添加一个用户名和密码
local-user longhui password cipher 456.com
local-user longhui service-type ppp
interface serial 4/0/1
ppp chap authentication-mode chap 在接口开启认证
验证方: 那么原来的验证方,就需要在接口输入对方创建的用户名和密码。
interface serial 4/0/0
ppp chap user longhui
ppp chap password 456.com
只有两者输入的用户名和密码都正确链路才能建立成功。
注意:验证的用户名和密码可以一样,也可以不一样,只要对端输入本端创建的用户名和密码即可。但是如果两端的密码是一样的,那么验证的时候可以不输入密码。
pap认证配置:
同样的拓扑中
验证方:
aaa
local-user admin password cipher huawei
local-user admin service-type ppp 创建ppp认证用户
interface serial 4/0/0
ppp authentication-mode pap 设置验证类型为pap
被验证方:
interface serial 4/0/0
ppp pap local-user admin password cipher huawei pap认证输入用户名和密码可以一次性输入
pap认证用于是明文传输,所以抓包是可以看到对方输入的明文信息的。
pap也可以做双向认证,原理和chap双向认证一样,两端都要创建用户名和密码。
除了验证之外,ppp也是支持链路聚合的,就是将多条ppp链路捆绑成一跳链路,来增加带宽和负载均衡,与以太网的链路捆绑效果是一样的。(貌似没有动态聚合和静态聚合这么个说法)
拓扑结构:两条链路进行互连。
配置
inter Mp-group 0/0/0 创建一个ppp的聚合口
ip address 1.1.1.1 30 添加IP地址
interface Serial4/0/1 将接口加入到聚合口,不能在聚合口里面加,需要进到具体的物理口添加
ppp mp Mp-group 0/0/0
interface Serial4/0/0
ppp mp Mp-group 0/0/0
对端同样如此。(过程略)
如果需要配置验证的话,验证方式不是在聚合口上配置的,需要进入物理口配置。两个接口都需要配置。
查看聚合口状态,这样就算是聚合好了。
关于ppp的地址协商
由于ppp是支持地址协商的,所以两端的地址可以不在一个网段内,因为ppp是点到点,所以一端会认为到达另一端只有一个地址,就是他们协商的地址。
另外,一端的地址也可以是对端给分配的地址
interface Serial4/0/0
link-protocol ppp
remote address 1.1.1.2 为对方分配IP地址(协商)
ip address 1.1.1.1 255.255.255.0 自己接口的地址
interface Serial4/0/1
link-protocol ppp
ip address ppp-negotiate 地址和对方进行协商获得
这样一端可以不用配置地址,地址由对端分配。
ppp的地址也可以是和其他接口共用一个地址,可以节约地址资源
interface LoopBack 0 创建一个回环口地址
ip address 3.3.3.3 32
interface serial 4/0/0
ip address unnumbered interface LoopBack 0 在串口上进行调用
查看两个口都用的是3.3.3.3的地址
和对端进行互ping也是可以的
