PPP协议简介

 

PPP(Point-to-Point Protocol)协议是在SLIP的基础上发展起来的,由于SLIP只支持异步传输方式,无协商过程,它逐渐被PPP协议所替代.PPP协议作为一种提供在点到点链路上封装,传输网络层数据包的数据链路层协议,处于OSI参考模型的第二层,主要被发计用来支持全双工的同异步链路上进行点到点之间的传输.

PPP由于能够提供验证,易扩充,支持同异步而获得较广泛的应用.

PPP协议的特点:

PPP协议是数据链路层协议

支持点到点的连接(不同于X.25,Frame Relay等数据链路层协议);

物理层可以是同步电路或异步电路(如Frame Relay 等数据链路层协议)

具有各种NCP协议,如IPCP,IPXCP更好的支持了网络层协议;

具有验证协议PAP/CHAP,更好的保证了网络的安全性.

ppp的组成部分

 PPP主要由两类协议组成:链路控制协议族(LCP)和网络控制协议族(NCP)

链路控制协议主要用于建立,拆除和监控PPP数据链路,网络层控制协议族主要用于协商在该数据链路上所传输的数据包的格式与类型。同时，PPP还提供了用于网络安全方面的验证协议族（PAP和CHAP）。

链路控制协议（LCP）：建立，配置，测试PPP数据链路连接；

网络控制协议族（NCPS）：协商在该链路上所传输的数据包的格式与类型，建立，配置不同网络层协议；PPP扩展协议族：提供对PPP功能的进一步支持。

PPP协议栈

ppp是一个分层结构。在底层，它能使用同步媒介（如ISDNH或同步DDN专线），也能使用异步媒介（如基于Modem拨号的PSTN网络）。

在数据链路层，PPP在链路层建立方面提供了丰富的服务，这些服务以LCP协商选项的形式提供。

在上层，PPP通过NCPs提供对多种网络层协议的支持。PPP对于每一种网络层协议都有一种封装格式来区别它们的报文。

 

PPP协商过程分为几个阶段:Dead阶段,Establish阶段,Authenticate阶段,Network阶段和Termintate阶段,在不同的阶段进行不同协议的协商.只有前面的协商出现结果后,才能转到下一个阶段,进行下一个协议的协商.

1)当物理层不可用时,PPP链路处于dead阶段,链路必须从这个阶段开始和结束.当物理层可用时,PPP在建立链路之前首先进行LCP协商,协商内容包括工作方式是SP还是MP,验证方式和最大传输单元等.

2)LCP协商过后就进入Establish阶段,此时LCP状态为Opened,表示链路已经建立.

3)如果培植了验证(远端验证本地或者本地验证远端)就进入Authenticate阶段,开始CHAP或PAP验证.

4)如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request.

5)NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址.通过NCP协商来选择和配置一个网络层协议.当选中的网络层协议配置成功后,该网络层协议就可以通过这条链路发送报文了.

6)PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件.(例如,用户的干预).

  PAP，CHAP验证

PAP验证为两次握手验证,口令为明文,PAP验证的过程如下:

被验证方发送用户名和口令到验证方;验证方根据用户配置查看是否有此用户以及口令是否正确,然后返回不同的响应(Acknowledge Or Not Acknowledge).

如正确则会给对端发送ACK报文,通告对端已被允许进入下一阶段协商;否则发送NAK报文,通告对端验证失败.此时,并不会直接将链路关闭.只有当验证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传,网络干扰等造成不必要的LCP重新协商过程.

PAP的特点是在网络上一明文的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁.因此,它适用于对网络安全要求相对教低的环境.

 

 CHAP验证为三次握手验证,口令为密文(密钥),CHAP验证过程如下:

验证方向被验证方发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方；

 被验证方接到对端对本端的验证 请求(Challenge)时，便根据此报文中验证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用接收到的随机报文、此用户的密钥用Md5算法生成应答(

Response)，随后将应答和自己的主机名送回；

验证方接到此应答后，利用对端的用户名在本端的用户表中查找本方保留的口令字，用本方保留的口令字(密钥)和随机报文用Md5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果(ACK or NAK)。

它的特点是只在网络上传输用户名，而并不传输用户口令，因此它的安全性要比PAP高。