PPP原理 PAP认证 CHAP认证

目录

PPP的基本构架

PPP主要由三类协议族组成

PPP应用场景

PPP缺省配置

配置PAP认证

操作步骤

配置认证方

配置被认证方

配置CHAP认证

操作步骤

配置认证方

配置被认证方

认证方没有配置用户名

配置被认证方

---

PPP的基本构架

PPP协议处于TCP/IP协议栈的数据链路层，主要用在支持全双工的同异步链路上，进行点到点之间的数据传输。

图1 PPP在协议栈中的位置

PPP主要由三类协议族组成：

• 链路控制协议族（Link Control Protocol），主要用来建立、拆除和监控PPP数据链路。

• 网络层控制协议族（Network Control Protocol），主要用来协商在该数据链路上所传输的数据包的格式与类型。

• 扩展协议族CHAP（Challenge-Handshake Authentication Protocol）和PAP（Password Authentication Protocol），主要用于网络安全方面的验证。

PPP报文封装的帧格式

PPP报文封装格式如图2所示。

图2 PPP报文格式

各字段的含义如下：

• Flag域

  Flag域标识一个物理帧的起始和结束，该字节为0x7E。

• Address域

  Address域可以唯一标识对端。PPP协议是被运用在点对点的链路上，因此，使用PPP协议互连的两个通信设备无须知道对方的数据链路层地址。按照协议的规定将该字节填充为全1的广播地址，对于PPP协议来说，该字段无实际意义。

• Control域

  该字段默认值为0x03，表明为无序号帧，PPP默认没有采用序列号和确认应答来实现可靠传输。

  Address和Control域一起标识此报文为PPP报文，即PPP报文头为FF03。

• Protocol域

  Protocol域可用来区分PPP数据帧中信息域所承载的数据包类型。

  Protocol域的内容必须依据ISO 3309的地址扩展机制所给出的规定。该机制规定协议域所填充的内容必须为奇数，也就是要求最低有效字节的最低有效位为“1”。

  如果当发送端发送的PPP数据帧的协议域字段不符合上述规定，接收端则会认为此数据帧是不可识别的。接收端向发送端发送一个Protocol-Reject报文，在该报文尾部将填充被拒绝报文的协议号。

PPP应用场景

介绍PPP的应用场景。

路由器作为企业出口网关时，LAN侧连接内网主机，WAN侧连接运营商网络设备，根据WAN侧接口不同，运营商网络设备可能为DSLAM、OLT、无线基站。

PPP主要有以下应用：

• RouterA通过PPP链路与RouterB的WAN侧接口相连，RouterA通过PPP的IPCP协商获取IP地址，与广域网络建立连接。主要运用于企业分支机构和总部间可以通过PPP链路实现园区网间的互联。

  图1 通过PPP链路通信示意图
  

• PPP和其他技术结合，可以提供多种业务。设备支持的业务有PPPoE、PPPoA、PPPoEoA、PPPoFR、PPPoMFR和PPPoISDN。

PPP缺省配置

介绍PPP常见参数的缺省配置。

表1 PPP的缺省配置

参数	缺省值
PPP认证方式	不认证
协商超时时间间隔	3秒
协商轮询时间间隔	10秒

配置PAP认证

背景信息

PAP认证有PAP单向认证与PAP双向认证：

• PAP单向认证是指一端作为认证方，另一端作为被认证方。

• 双向认证是单向认证的简单叠加，即两端都是既作为认证方又作为被认证方。

如图1所示，用户希望RouterA对RouterB进行简单的认证，且对安全的要求不高，只需配置RouterA作为认证方使用PAP方式认证被认证方RouterB。

图1 PAP认证组网图

操作步骤

• 配置认证方

  1. 执行命令system-view，进入系统视图。

  2. 执行命令interface interface-type interface-number，进入指定的接口视图。

  3. 执行命令ppp authentication-mode pap [ [ call-in ] domain domain-name ]，配置PPP认证方式为PAP。

     缺省情况下，PPP协议不进行认证。

     如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。

     PAP认证时，密码会在网络中以明文形式传输，存在安全风险。推荐使用CHAP认证。

  4. 执行命令quit，退回到系统视图。
  5. 配置域及用户。

     这里仅介绍缺省域下AAA本地认证的配置方式，关于RADIUS认证及HWTACACS认证的相关配置请参见《Huawei AR系列接入路由器 配置指南-安全》中的AAA配置。

     1. 执行命令aaa，进入AAA视图。

     2. 执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。

        您可以在《AR 路由器缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

     3. 执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

• 配置被认证方

  1. 执行命令system-view，进入系统视图。

  2. 执行命令interface interface-type interface-number，进入指定的接口视图。

  3. 执行命令ppp pap local-user username password { cipher | simple } password，配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。

     配置的用户名和密码要和认证方配置的用户名和密码一致。

     缺省情况下，对端采用PAP认证时，本地设备发送的用户名和口令均为空。

     选择simple选项时，密码将以明文形式保存在配置文件中，存在安全风险。建议使用cipher选项，将密码加密保存。

后续处理

当您完成配置PAP认证后，必须在接口视图下依次执行命令shutdown和undo shutdown或restart重启接口，PAP认证才能生效。

配置CHAP认证

背景信息

CHAP认证有CHAP单向认证与CHAP双向认证：

• CHAP单向认证是指一端作为认证方，另一端作为被认证方。

• 双向认证是单向认证的简单叠加，即两端都是既作为认证方又作为被认证方。

CHAP认证过程分为两种情况：认证方配置了用户名和认证方没有配置用户名。推荐使用认证方配置用户名的方式，这样可以对认证方的用户名进行确认。

如图1所示，用户希望RouterA对RouterB进行可靠的认证，且对安全的要求较高，只需配置RouterA作为认证方使用CHAP方式认证被认证方RouterB。

图1 CHAP认证组网图

操作步骤

• 认证方配置用户名

  • 配置认证方

    1. 执行命令system-view，进入系统视图。

    2. 执行命令interface interface-type interface-number，进入指定的接口视图。

    3. 执行命令ppp authentication-mode chap [ [ call-in ] domain domain-name ]，配置PPP认证方式为CHAP。

       PAP认证时，密码会在网络中以明文形式传输，存在安全风险。推荐使用CHAP认证。

       缺省情况下，PPP协议不进行认证。

       如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。

    4. 执行命令ppp chap user username，配置采用CHAP认证时认证方的用户名。

       在被认证方上为认证方配置的本地用户的用户名必须跟此处配置的一致。

    5. 执行命令quit，退回到系统视图。
    6. 配置域及用户。

       这里仅介绍缺省域下AAA本地认证的配置方式，关于RADIUS认证及HWTACACS认证的相关配置请参见《Huawei AR系列接入路由器 配置指南-安全》中的AAA配置。

       1. 执行命令aaa，进入AAA视图。

       2. 执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。

          您可以在《AR 路由器缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

          配置的密码要和被认证方配置的认证密码一致。

       3. 执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

  • 配置被认证方

    1. 执行命令system-view，进入系统视图。

    2. 执行命令interface interface-type interface-number，进入指定的接口视图。

    3. 执行命令ppp chap user username，配置CHAP认证的用户名。

       在认证方上为被认证方配置的本地用户的用户名必须跟此处配置的一致。

    4. 执行命令quit，退回到系统视图。
    5. 执行命令aaa，进入AAA视图。

    6. 执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。

       您可以在《AR 路由器缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

       配置的密码要和认证方配置的认证密码一致。

    7. 执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

• 认证方没有配置用户名

  • 配置认证方

    1. 执行命令system-view，进入系统视图。

    2. 执行命令interface interface-type interface-number，进入指定的接口视图。

    3. 执行命令ppp authentication-mode chap [ [ call-in ] domain domain-name ]，配置PPP认证方式为CHAP。

       缺省情况下，PPP协议不进行认证。

       如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。

    4. 执行命令quit，退回到系统视图。
    5. 配置域及用户。

       这里仅介绍缺省域下AAA本地认证的配置方式，关于RADIUS认证及HWTACACS认证的相关配置请参见《Huawei AR系列接入路由器 配置指南-安全》中的AAA配置。

       1. 执行命令aaa，进入AAA视图。

       2. 执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。

          您可以在《AR 路由器缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

          配置的用户名和密码要和被认证方配置的认证用户名和密码一致。

       3. 执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

  • 配置被认证方

    1. 执行命令system-view，进入系统视图。

    2. 执行命令interface interface-type interface-number，进入指定的接口视图。

    3. 执行命令ppp chap user username，配置CHAP认证的用户名。

    4. 执行命令ppp chap password { cipher | simple } password，配置CHAP认证的密码。

       选择simple选项时，密码将以明文形式保存在配置文件中，存在安全风险。建议使用cipher选项，将密码加密保存。

后续处理

当您完成配置CHAP认证后，必须在接口视图下依次执行shutdown和undo shutdown或restart重启接口，CHAP认证才能生效。