ppp协议 服务器,详解PPP及PPPoE协议

PPP(Point-to-Point Protocol点到点协议)，一种二层协议，通常部署在专线网和按需电路网上面，PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛

当然，在专线网上我们也可以使用HDLC二层协议，但用的并不多，原因有三：

不支持验证，一层通二层就通

不支持多种上层协议(ip/ipx/appletalk等)，而PPP帧中专门有一个字段用来标示上层协议类型

HDLC协议为厂商私有协议，各个厂商互不兼容，但HDLC是cisco产品的默认广域网封装方式，要使用PPP协议需要encapsulation ppp 命令改变接口封装协议

我们家庭拨号上网就是通过PPP协议在用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入已基本取代拔号接入，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线，Asymmetrical Digital Subscriber Loop)接入方式当中，PPP与其他的协议共同派生出了符合宽带接入要求的新的协议，如PPPoE(PPP over Ethernet)，PPPoA(PPP over ATM)。

利用以太网(Ethernet)资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。

同样，在ATM(异步传输模式，Asynchronous Transfer Mode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同，作用相同；不同的是它是在ATM网络上，而PPPoE是在以太网网络上运行，所以要分别适应ATM标准和以太网标准

好的，下面我们就以点到点专线上的PPP协议和以太网上的PPPoE协议为例，详细介绍它们的工作原理、验证过程及其配置方法

一、 点到点专线上的PPP协议

PPP特性有很多，但主要的特性是具备验证技术，所以在此我们主要是讨论PPP的验证。PPP的验证方式分为两种：PAP和CHAP

PAP( 密码验证协议)：客户端向服务器端发送验证信息，包含用户名和密码。如果用户名和密码与服务器里保存的一致，那就通过验证，否则就不能通过(通过两次握手)。

CHAP(挑战握手验证协议)：CHAP首先是由服务器发起的，它向客户端发送含有random值(随机生成)、id号、用户名和密码的数据，客户端收到数据后提取random、id和用户所对应的密码使用MD5算法进行哈希(hash)得到hash值。然后再把自己保存的用户名连同id和刚得到的hash值一起发送给服务器。服务器再收到数据后也进行以上操作得到hash值，再把算得的hash值与从客户端得到的hash值进行比较：两值相同服务器就发送一个通过的信息；两值不同服务器就发送一个拒绝的信息。可以看出，CHAP在整个验证过程中是不发送密码的，所以是一种安全的认证。

好的，下面我们就以实例来演示PAP和CHAP的配置过程

1、 实验拓朴

2、 配置步骤

首先我们来做个PAP认证1)基本配置：

R1#conf t

R1(config)#int s0

R1(config-if)#ip add 192.168.0.1 255.255.255.252

R1(config-if)#no shutdown

R2#conf t

R2(config)#int s0

R2(config-if)#ip add 192.168.0.2 255.255.255.252

R2(config-if)#no shutdown

配完之后我们发现两边接口一层和二层都up了，因为在cisco串行接口默认封装为HDLC

R1#sh ip int bri

Interface IP-Address OK? Method Status Protocol

FastEthernet0 unassigned YES unset administratively down down Serial0 192.168.0.1 YES manual up up Serial1 unassigned YES unset administratively down down

R1#sh int s0

Serial0 is up, line protocol is up

Hardware is PowerQUICC Serial

Internet address is 192.168.0.1/30

MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

2)封装PPP，并将认证方式设为PAP

R1(config)#int s0

R1(config-if)#encapsulation ppp

这时发现链路down了，因为两边封装协议不一样

R2(config)#int s0

R2(config-if)#encapsulation ppp

这时链路又UP了，因为PPP默认是不作认证的

R1(config)#username jxxh password 123 ‘建立本地数据库

R1(config)#int s0

R1(config-if)#ppp authentication pap ‘指定认证方式为PAP

此时链路又down了，因为R1要求认证

R2(config)#int s0

R2(config-if)#ppp pap sent-username jxxh password 123 ‘指定用于PAP认证的用户名和密码

这时R2会把用户名jxxh和密码 123发给R1做认证，R1对照数据库，匹配成功，因为链路又UP起来，这种认证我们把它称之为单向认证，R1是认证方，R2为被认证方，单向认证一般用于服务器和客户端的网络环境。如果两端是平级关系，可以考虑做双向认证，两边都认证通过，链路才能建立起来。

R2(config)#username xhjx password 456 ‘建立本地数据库

R2(config)#int s0

R2(config-if)#ppp authentication pap ‘指定认证方式为PAP

R1(config)#int s0

R1(config-if)#ppp pap sent-username xhjx password 456 ‘指定用于PAP认证的用户名和密码

在PAP配置过程中，两边的密码可以不同，但本地发送的用户名和密码一定要在对方数据库中能够找到，否则将验证不通过。另外，在本例中是采用本地数据库做认证，我们也可以采用AAA服务器作认证，方便管理大型数据库，并且提高数据库的安全性，关于AAA服务器认证可参见前期文章《详解cisco ACS AAA认证》，在此就不赘述。

接下来我们来做个CHAP认证，拓朴图如上，我们先来分析一下它的验证过程

1)R1拨入到R2上

2)R2对R1发出一个挑战数据包

具体内容包括: 01+id+random+R2并且将id和random保存在自己的路由器中,为后面反hash验证做准备

此处：

01所在字段是类型字段,01表示这是一个挑战.

id字段表示这次挑战的序列号

random为挑战方随机产生的数字.

R2为hostname定义的名称,用于对方根据该名称查找对应的password

3)R1收到了R2发给它的挑战信息时

首先它会根据对方主机名R2查找数据库(可以是本地的或者TACACS+或RADIUS)来得对应的密码，然后将密码,id,random这3者做MD5得到一个hash值我们暂定为hash1

4)R1发送挑战回应数据包给R2

具体内容包括:02+id+hash1+R1

此处：

02不用多说了同01为一个类型字段

id同R2挑战包里id一样

hash1同红色标记部分

R1当然为hostname所定义的名字

5)R2收到回应挑战包

首先它会根据R1这个主机名查找数据库(可以是本地的或者TACACS+或RADIUS)来得对应的密码,然后将这个密码和发出挑战包时候保存的那个id和random值做MD5得到一个hash,我们暂定为hash2，比较hash1和hash2,如果一样则验证通过否则失败。这是单向认证，如果是双向认证则重复前面的过程

6)配置过程

R1(config)#username R2 password 123

R1(config-if)#encapsulation ppp

R1(config-if)#ppp authentication chap

R2(config)#username R1 password 123

R2(config-if)#encapsulation ppp

R2(config-if)#ppp authentication chap

在上面的配置中，双方默认都是用真实用户名去和别人验证，我们也可以通过PPP CHAP hostname命令任意指定用户名，但一定要和对端数据库的用户名相同，另外，两边数据库的密码要相同。在此，我们也可以做单向认证：

R1(config)#username jxxh password 123

R1(config-if)#encapsulation ppp

R1(config-if)#ppp authentication chap

R2(config-if)#encapsulation ppp

R2(config-if)#ppp chap hostname jxxh ‘指定用于chap验证的用户名

R2(config-if)#ppp chap password 123 ‘指定用于chap验证的密码

二、 以太网上的PPPoE协议

1、 实验柘朴

2、 配置步骤

PPPoE表示在以太网上架构PPP协议，我们家庭ADSL用户拔号一般采用该种方式，在国内PPP验证方式一般为PAP，在本例中将演示PC机直接拔号和通过路由器拔号两种操作

1) server端配置server#conf t

Enter configuration commands, one per line. End with CNTL/Z.

server(config)#vpdn enable  ‘启用VPDN

server(config)#vpdn-group 1 ‘配置VPDN组

server(config-vpdn)#accept-dialin ‘设置VPDN为接受拔入

server(config-vpdn-acc-in)#protocol pppoe ‘设置VPDN据承载的应用协议

server(config-vpdn-acc-in)#virtual-template 1 ‘设置VPDN接受拔入时使用的模板号

server(config-vpdn)#pppoe limit per-mac 2 ‘设置PPPoe客户端同一MAC地址的最大连接数

server(config-vpdn)#pppoe limit max-sessions 300 ‘设置PPPoe最大的连接数

server(config)#user jxxh password 123 ‘建立本地数据库

server(config)#int f0

server(config-if)#no ip add

server(config-if)#pppoe enable ‘启用PPPoe服务器

server(config-if)#no shutdown

server(config)#int virtual-template 1 ‘创建虚模板

server(config-if)#ip add 200.200.200.1 255.255.255.0 server(config-if)#peer default ip address pool jxxhpool ‘设置客户端默认从地址池获取地址

server(config-if)#ppp authentication pap ‘启用PAP认证

server(config-if)#ex

server(config)#ip local pool jxxhpool 200.200.200.2 200.200.200.254 ‘创建本地地址池

server#

2) PC端设置

右击网络邻居?属性?创建一个新的连接，根据提示创建一个PPPoE连接

通过上图，我们可以看到该PC已经连接上server，并且获得了IP地址，我们可以测试下一下和服务器是否相通：

再测试下能否ping通server后面的网络，我们可以先在server上创建一个回环地址来表示后面的网络，

server(config)#int loopback 1

server(config-if)#ip add 100.100.100.1 255.255.255.0

3) Client端配置

client#conf t

client(config)#int f0

client(config-if)#no ip add

client(config-if)#pppoe enable  ‘启用PPPoe

client(config-if)#pppoe-client dial-pool-number 1 ‘配置PPPoe客户端，并将F0接口放入拔号集1中

client(config-if)#no shutdown

client(config-if)#ex

client(config)#int dialer 0 ‘设置拔号接口

client(config-if)#ip add negotiated  ‘从服务器协商获得地址

client(config-if)#encapsulation ppp ‘封装为PPP

client(config-if)#dialer pool 1 ‘配置拔号池

client(config-if)#dialer-group 1 ‘引用触发列表

client(config-if)#ppp pap sent-username jxxh password 123 ‘发送PAP认证用户名和密码

client(config-if)#ex

client(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 ‘设置默认路由

client(config)#dialer-list 1 protocol ip permit ‘设置触发拔号的数据类型

4) 验证

在client查看接口，可以看出dialer0已经UP，并且获得地址：client#sh ip int bri

Interface IP-Address OK? Method Status Protocol

FastEthernet0 unassigned YES manual up up Virtual-Access1 unassigned YES unset up up Dialer0 200.200.200.3 YES IPCP up up

测试网络是否相通：

client#ping 200.200.200.1 ‘ping服务器

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/57/132 ms

client#ping 200.200.200.2 ‘ping其他客户端

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.2, timeout is 2 seconds:

!!!!!

client#ping 100.100.100.1 ‘ping服务器后面的网段

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/39/80 ms

查看pppoe会话：

client#sh pppoe session all

Total PPPoE sessions 1

PPPoE Session Information

session id: 2

local MAC address: d001.0ccc.0000, remote MAC address: d002.0ccc.0000

virtual access interface: Vi1, outgoing interface: Fa0

101 packets sent, 101 received

2913 bytes sent, 2921 received

server#show pppoe session all

Total PPPoE sessions 2

PPPoE Session Information

session id: 2

local MAC address: d002.0ccc.0000, remote MAC address: d001.0ccc.0000

virtual access interface: Vi1.2, outgoing interface: Fa0

128 packets sent, 127 received

3497 bytes sent, 3469 received

session id: 1

local MAC address: d002.0ccc.0000, remote MAC address: 0011.0940.7fd7

virtual access interface: Vi1.1, outgoing interface: Fa0

115 packets sent, 173 received

3228 bytes sent, 7613 received

好的，关于PPP和PPPoE相关知识我们就介绍到这，希望各位阅读者继续关注3++网络技术