PPP:point to point protocol
它是一个数据连接协议,它可以用在异步串行(拨号)或者同步串行(ISDN)媒介和使用LCP(Link control protocol) 建立和维护数据连接。
基本PPP的目的是传输 层-3 数据包通过一个数据连接层点对点连接,
PPP包括四处主要的组成部分
EIA/TIA-232-C 一个物理层串行通信的国际标准
HDLC 一个串行通信的封装数据方法
LCP 一个建立,配置,维护和终止点对点连接的方法
NCP 一个建立,配置不同网络层协议的方法,PPP允许同时使用多重网络层协议,
至关重要的是明白PPP协议堆栈是只指定在物理和数据连接层,NCP是允许多重网络层协议使用封装协议
通过PPP数据连接进行通信。
Link control protocol(LCP)configuration options
LCP 提供PPP封装不同选择包括
authentication: 这个选择告诉连路的呼叫方发送可以识别用户的信息,PAP和CHAP
compression:压缩它增加PPP连接的吞吐量,PPP在收到的后解压数据帧。cisco使用堆
栈和预测器压缩方法
error detection: PPP 使用quality and magic编号选择来确保一个可靠,loop-free数据连接
multilink: 从IOS版本11.1开始,cisco的PPP支持多重连接,这种PPP的装载分离两或者更多的平行电路,这就叫bundle.
PPP session establishment
PPP可以使用鉴定,路由器通信一定要提供信息以便识别该连接是一个有效的通信连接,当PPP开始连接,连接通过3个session establishment 阶段
link-establishment phase: 连路建立阶段,被每一个PPP设备发送的LCP 数据包配置和测试它们之间的连接,LCP 数据包包括一个配置选择段,这个段允许每一个设备可以看得到数据的尺寸,压缩和鉴定。如果没有配置选择段的话,缺省配置会被使用。
authentication:鉴定阶段,如果已配置好的,任意一个CHAP或者PAP可以被使用到鉴定一个连接,鉴定发生在network-layer 协议被阅读之前。
network-layer protocol phase: PPP 使用网络控制协议TCP,允许多重network-layer protocol可以被封装和发送通过一个PPP数据连接。
PPP authentication methods
password authentication protocol(PAP)
在两种方法中PAP是较少安全性,密码发送通过clear text,PAP只用在初始连接建立,当PPP连接初次建立,远程节点传回给传送路由器的用户名字和密码直到鉴定承认。
challenge authentication protocol(CHAP)
CHAP被使用在初始连接启动和在连接的周期性核对,确定路由器仍然与相同的主机保持通信。
在PPP结束它的初始阶段,本地路由器发送一个challenge请求到远程设备,远程设备发送一个one-way hash功能(MD5)的估价值,本地路由器检查这个hash value确定匹配,如果value不能匹配,连接马上中断。
configuring PPP on Cisco Routers
配置PPP封装在一个接口,配置它是一个直接转递处理
Router#config t
Router(config)#int s0
Router(config-if)#encapsulation ppp
Router(config-if)#^Z
PPP封装必须使在双方的serial接口都要启动
configuring PPP authentication
在配置完支持PPP封装后,你可以配置双方使用PPP鉴定,你要先设置主机名如果它还没有被设置过,然后,设置用户名和密码给正连接你的远程路由器。
Router# config t
Router(config)#hostname routera
Routera(config)#username aaa password 000
当使用hostname命令时,记得用户名username是连接到你的远程路由器,它是分大小写
敏感的。
所以在双方路由器的密码必须要一样,这个密码可以用show run 看到。
你也可以在设置之前用service password-config加密,
然后你可以选择鉴定类型CHAP,APA
Router(config-if)# ppp authentication chap
Router(config-if)# ppp authentication pap
Router(config)#^Z
如果两个方法都输入后,用第一个方法在连接谈判期间,如果第一个失败,第二个将被使用。
verity PPP authentication: debug ppp authentication
用下面的
Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255