LCP概念
?
對于PPP協議,可以講解的內容非常多。這個協議的應用也非常的廣泛。那么這里我們就重點講解一下LCP的內容。首先我們需要來哦接一下ppp協議的具體架構。
?一、概述
?1、是一個二層協議,和HDLC、RARP地位一樣
?2、PPP架構:
?(1)支持多種上層協議如IP、IPX、AppleTalk
?(2)自身包含兩個協議:網絡控制協議NCP和鏈路控制協議LCP。LCP用于和底層進行協商,然后進行鏈路層的認證。接下來進行NCP的協商,建立和配置網絡層協議如IP地址等,用于和三層進行協商將上層數據包封裝進PPP里面。兩個協議的協商都是雙向的。鏈路拆除時先拆除NCP,再拆除LCP。
?3、LCP
?LCP鏈路控制協議(Link Control Protocol)賦予PPP以多功能性,考慮到包格式、包大小和認證的協商。它還使PPP具有確定何時線路為失敗、何時正常運行的功能。 LCP用于配置和測試數據鏈路,工作方式如下:
?第1步 鏈路建立階段―――首先打開連接,然后確定相關通信參數(包括MTU、compress type、及鏈路認證類型。鏈路設置完后確認幀,然后是可選的鏈路質量確認階段,LCP確定鏈路質量
?第2步 可選(必要)的認證階段―――兩種認證方式:質詢應答握手認證協議(CHAP)和密碼認證協議(PAP)。PPP本身不需要認證,cisco路由器異步線路需要認證,建議使用CHAP認證方式。
?第3步 網絡層協議階段―――LCP引導NCP激活和配置網絡層協議。這一階段結束后即可傳輸數據包。
?第4步 鏈路終止階段―――LCP指導NCP關閉layer 3。
?二、HDLC和PPP幀格式的比較
?1、HDLC幀格式:Flag-address-control-data(payload)-FCS-Flag
?Flag:前后各一個字節
?Address:一個字節。點到點連接,沒有任何意義,值為全1,可以看作是二層的廣播地址
?控制信息:一或兩個字節
?負載:1500字節
?FCS:四個字節
?2、PPP幀格式:Flag-Address-Control-Protocol-LCP-FCS-Flag
?Flag:前后各一個字節,8個比特,值為01111110,標識幀為PPP的幀.前后各一個標識幀的開始和結束。
?Address:一個字節。點到點連接,沒有任何意義,值為全1
?控制信息:一個字節,值為11000000,意為沒有順序、流量控制、錯誤控制。
?Flag/address/控制信息都是固定不變的。
?協議字段:有一個參數C021表示LCP,C023表示要進行認證并且認證類型為PAP,0223表示要應用認證并且認證類型為CHAP,C025表示鏈路質量報告LQR
?與HDLC不同的是多了2個字節的協議字段。協議字段不同,后面的信息字段類型就不同。如:
?0x0021——信息字段是IP數據報
?0xC021——信息字段是鏈路控制數據LCP
?0x8021——信息字段是網絡控制數據NCP
?0xC023——信息字段是安全性認證PAP
?0xC025——信息字段是LQR
?0xC223——信息字段是安全性認證CHAP
?三、基本配置
?1、R2(config-if)#encapsulation ppp
?2、peer neighbor-route
?(1)R2(config-if)#no peer neighbor-route 干掉路由表里出現的對端接口地址的32位主機路由,在兩端地址在同一網段時適用
?(2)默認情況下peer neighbor-route是打開的,路由表里會出現對端接口地址的32位主機路由,所以PPP兩端的地址可以是不同網段的地址,而且可以保證數據連通性,這在點到點連接的情況下很常用。
?注:點到點連接下可以配置成/31位的IP地址。這種配置地址的方法和借用地址的方法在點到點鏈路上比較常用。
?四、PPP LCP 選項
?1、認證Authentication
?2、回撥Callback:多用在ISDN
?3、壓縮Compression
?4、多鏈路捆綁Mutilink:增加帶寬增加冗余性增加B信道
?五、PPP Authentication
?1、條件:LCP子層協商成功
?2、設備角色:主認證方與被認證方,可以同時成為主認證方和被認證方,即可作雙向認證
?3、PAP認證:簡單明文
?4、CHAP認證:
?(1)被認證方(遠程用戶)向認證方發起一個認證請求
?(2)認證方向被認證方返回一個挑戰,格式為01-id-random-主認證方數據庫里面的用戶名
?01代表challenge;
?id是challenge的序列號;
?random是隨機產生的一個隨機數
?(3)被認證方拿到用戶名之后在本地數據庫或是3A服務器里面查找對應的密碼,然后將這個密碼和上面的挑戰ID和random隨機數一起作Hash,再向主認證方返回一個響應包,格式為02-id-hash-被認證方本地數據庫里面的用戶名(和發過來的一樣)
?02代表CHAP的響應數據包
?id:copied from chalenge packet主認證方剛發過來的那個ID
?hash值:密碼加挑戰ID加挑戰隨機數作hash
?用戶名:本地數據庫用戶名
?(4)主認證方收到挑戰響應包之后查找第一次發出的挑戰信息,同時查找響應包里的用戶名在數據庫里對應的密碼,將得到的密碼和挑戰ID隨機數一起作Hash,得到的值與被認證方發送過來的hash值作比較,如相同,則認證成功否則認證失敗。
?在這個認證過程中,在網絡中傳輸的是挑戰ID、隨機數與密碼的hash值,并不是密碼本身,這保證了密碼的安全性。同時認證的兩端輸入的數據都是挑戰ID、隨機數與密碼,因而得到的hash值也一樣,保證了認證的有效性。這時注意:兩邊都必須有用戶名,且不需要相同,但數據庫中的密碼必須相同。
?(5)主認證方向被認證方返回一個認證成功的消息,格式為03-id-"welcome in"
?相關文檔:understanding ppp chap
?(6)配置舉例
單向認證舉例:
R1為主認證方,R2為被認證方
R1(config)#int s1/1
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config)#username R2 password cisco 這個用于chap認證中第二三步之間的處理過程,注意必須是password,secret通不過
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ppp chap hostname R2???? 這條命令如果不打的話默認是主機名,是第二步中向主認證方發送的用戶名
R2(config-if)#ppp chap password cisco 被認證方本地數據庫的密碼,如果沒有在全局建立用戶名和密碼那么將會查找接口下的這個默認密碼
雙向認證簡單:
R1(config)#int s1/1
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config)#username R2 password cisco
R1(config-if)#no sh
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config)#username R1 password cisco
R2(config-if)#no sh
注意接口下的默認ppp chap password 只能用于challenge的回復
可以同時進行chap和pap的認證
R1(config-if)#ppp authentication pap chap?? 注意這并不是在pap認證失敗再進行chap的認證而是對方不和我進行pap認證那么嘗試用chap進行認證。
六、壓縮
PPP協議運行在速率十分有限的點到點串行鏈路上。為了提高數據發送效率,可以采用對數據進行壓縮后再傳送的方法,我們將其稱為鏈路壓縮。
LCP支持以下一些鏈路壓縮方法:Stac、Predictor、MPPC以及TCP頭部壓縮。不同的方法對CPU及內存的需求并不相同。有些需要更多的內存(內存密集型),有些則需要占用更多的CPU時間(CPU密集型)。壓縮原理和效果也不相同。
A. Stac:Stac壓縮算法基于Lempel-Ziv理論,它通過查找、替換傳送內容中的重復字符串的方法達到壓縮數據的目的。使用Stac壓縮算法可以選擇由各種硬件(適配器、模塊)壓縮或者由軟件進行壓縮,還可以選擇壓縮的比率。Stac壓縮算法需要占用較多的CPU時間。
B. MPPC:MPPC是微軟的壓縮算法實現,它也是基于Lempel-Ziv理論,也需要占用較多的CPU時間。
C. Predictor:Predictor—預測算法通過檢查數據的壓縮狀態(是否已被壓縮過)來決定是否進行壓縮。因為,對數據的二次壓縮一般不會有更大的壓縮率。相反,有時經過二次壓縮的數據反而比一次壓縮后的數據更大。Predictor算法需要占用更多的內存。
D. TCP頭部壓縮:TCP頭部壓縮基于Van Jacobson算法,該算法通過刪除TCP頭部一些不必要的字節來實現數據壓縮的目的。
R1(config-if)#compress {predictor | stac | mppc} predictor是內存密集型的算法,后兩者是CPU密集型的算法
R1(config)#inter async 2
R1(config-if)#ip tcp header-compression
七、多鏈路捆綁
LCP的多鏈路捆綁(MP)選項通過將通信兩端之間的多條通信鏈路捆綁成一條虛擬的鏈路而達到擴充鏈路可用帶寬的目的。
LCP的多鏈路捆綁可以在多種類型的物理接口上實現,包括異步串行接口、同步串行接口、ISDN基本速率接口BRI、ISDN主速率接口PRI。??? LCP的多鏈路捆綁也支持不同的上層協議封裝類型,如X.25、ISDN、幀中繼等。
配置:(多個物理接口下)
ppp multilink
multilink-group 2?? 不需要配置地址
再起虛接口
interface Multilink 2
ip add ...
ppp multilink
multilink-group 2
no peer neighbor-route
no cdp enable
八、回撥
是指當通信一方撥號到另一方后,由另一方斷開撥號連接并進行反向的撥號。
這對于從甲地到乙地的電話費大于從乙地到甲地的電話費的情形。這時,可以由甲方首先發起到乙方的呼叫連接,當乙方收到甲方的呼叫請求后,斷開乙方的呼叫。然后,從乙方發起到甲方的回叫。甲方應答后,雙方的通信鏈路就建立起來了。
回叫還有更安全的優點。因為乙方在回叫之前可以驗證對方是否是合法用戶,或者可以用口令數據庫的方法或者可以用檢驗對方電話號碼的方法。
九、NCP
NCP網絡控制協議(Network Control Protocol)實際上是一套協議。每個子協議都是為處理各自網絡層協議所需的錯綜復雜的配置而設計的。 當LCP將鏈路建立好了以后,PPP要開始根據不同用戶的需要,配置上層協議所需的環境。PPP使用網絡控制協議NCP(Network Control Protocol,NCP)來為上層提供服務接口。針對上層不同的協議類型,會使用不同的NCP組件。如對于IP提供IPCP接口,對于IPX提供IPXCP接口,對于APPLETALK提供ATCP接口等。同時對于IP網絡,提供IP地址,子網掩碼和默認網關等地址的配置。
總結
- 上一篇: fping的使用方法
- 下一篇: ADSL参数BITSWAP作用