广域网技术---PPP

什么是广域网

广域网是连接不同地区局域网的网络，覆盖范围从几十公里到几千公里。能连接多个地区、城市和国家的远程网络

局域网和广域网的区别

局域网传输距离短，广域网传输距离长；

局域网设备通常都是交换机，广域网设备大多都是路由器；

局域网属于某一个单位或者组织，广域网服务大多由ISP提供；

广域网与局域网一般仅在物理层和数据链路层采用不同的协议或技术，其他层次基本没有差异；

银行、政府、军队、大型公司的专用网络也属于广域网，且与Internet实现物理隔离；

Internet只是广域网的一种，小企业借用Internet作为广域网连接。

广域网角色

CE（Customer Edge，用户边缘设备） 、PE （Provider Edge，服务提供商边缘设备） 和P（Provider ，服务提供商设备）

CE：用户端连接服务器提供商的边缘设备；

PE：服务提供连接CE的边缘设备；

P：服务提供山

PPP协议（点到点）

PPP协议工作在数据链路层，主要用在支持全双工的同、异步链路上，进行点到点之间的数据传输。由于它能够提供用户认证，易于扩充，并且支持同、异步通信，因而获得广泛应用。

PPP提供安全认证协议簇PAP和CHAP挑战握手协议

优点：PAP的整个认证流程非常简单

缺点：认证只能在链路建立阶段进行，身份和口令是以明文进行传输，安全性低

PPP优点：

1、支持同步传输和异步传输

2、具有良好的扩展性，当需要在以太网链路上承载PPP协议时，可扩展为PPPoE

3、提供了LCP（Link Control Protocol）协议，用于各种链路层参数协商

4、提供了各种NCP（Network Control Protocol），用于网络层参数协商（支持多种网络层协议，例如IP、IPX协议）

5、提供了认证：CHAP 、PAP

6、没有重传机制，网络开销小，速度快

PPP认证流程

PPP链路的建立有三个阶段的协商过程，链路层协商、认证协商（可选）和网络层协商。

链路层协商：通过LCP报文进行链路参数协商，建立链路层连接。

1.双方建立ppp协议(Dead)；

2.进行lcp协商，协商成功进入opened状态没有协商成功则返回第一步dead状态(Establish)

认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证。

3.如果配置了认证，将进入Authenticate阶段。否则直接进入Network阶段

4.建立链路认证。PAP\CHAP，认证成功进入Terminate阶段

网络层协商 ：通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

5.在Network阶段，PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。最常见的NCP协议是IPCP，用来协商IP参数

Dead 链路不可用阶段

Establish 链路建立阶段（链路层协商阶段）--进行LCP协商

Authenticate 验证阶段（可选阶段）-----进行PAP/CHAP认证

Network 网络层协议阶段-----------进行NCP协商

Terminate 网络终止阶段

LCP报文格式

不同Protocol字段对应不同的报文类型

0x0021:IP报文

0x8021:IPCP报文

0xC021:LCP报文

0xC023:PAP报文

0xC223:CHAP报

Configure-Request ：配置请求报文

Configure-Ack ：配置成功报文

Configure-Nak ：配置参数需协商

Configure-Reject ：配置阐述不识别

魔术字

LCP使用魔术字来检测链路环路和其他异常情况。魔术字是随机产生的一个数字，随机机制需要保证两端产生相同魔术字的可能性几乎为0

魔术字用于检测链路环路，如果收到的 LCP 报文中的魔术字和本端产生的魔术字相同，则认为链路有环路；不同则认为链路无环路。

LCP协商过程

发送方：发起配置请求，携带本端参数。Authenticate-Request

接受方：有部分参数不能接受。Authenticate-Nak

发送方：再次发送配置请求，携带协商后的参数。Authenticate-Request

接受方：确认参数合法，同意对方协商。Authenticate-Ack

PAP协议的报文共有三种：

Authenticate-Request（认证请求）

Authenticate-Ack（认证确认）

Authenticate-Nak（认证否认）

PAP认证（口令认证）

优点：PAP的整个认证流程非常简单

缺点：认证只能在链路建立阶段进行，身份和口令是以明文进行传输，安全性低

认证方：要求使用验证身份 Authenticate-Request

被认证方：同意验证身份

认证方：发送用户名密码

被认证方：根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配，验证成功则回复成功，没成功就回复失败 Authenticate-Ack/Authenticate-Nck

CHAP

CHAP为三次握手协议，可以在链路建立和数据通信阶段多次使用，进行认证，同时安全性较高

认证方：认证方主动发起认证请求

被认证方：认证方收到次请求后进行一次加密联通用户名一起发送

认证方：接受到认证后将信息再一次加密运算，运算方式与认证加密方式相同，然后将加密运算的信息进行比较，相同则认证成功，不相同则认证失败。

NCP

NCP（Network Control Protocol，网络控制协议）用于建立、配置网络层协议，进行参数协商。

不同的网络层协议会使用不同的NCP协议。

IP协议使用IPCP（Internet Protocol Control Protocol，IP控制协议）；

Appletalk协议使用Appletalk NCP进行协商；

Novell的 IPX协议使用IPE（Internet Packet Exchange，互连网包交换协议）进行协商。

静态IP地址协商

NCP主要用来建立和配置不同的网络层协议，协商在该数据链路上所传输的数据包的格式与类型。

静态IP地址商过程如下：

每一端都要发送Configure-Request报文，在此报文中包含本地配置的IP地址；

每一端接收到此Configure-Request报文之后，检查其中的IP地址，如果IP地址是一个合法的单播IP地址，而且和本地配置的IP地址不同（没有IP冲突），则认为对端可以使用该地址，回应一个Configure-Ack报文。

动态IP地址协商

1发送配置请求，本地无IP地址。

2. 对端地址不合法，协商IP地址。

3. 重新发送配置请求，携带IP地址。

4. 确认对端地址合法

5. 发送配置请求，携带本端的IP地址。

6. 确认对端地址合法