LCP协商过程-参数不匹配
- 在LCP报文交互中出现LCP参数不匹配时,接收方回复Configure-Nak响应告知对端修改参数然后重新协商。
LCP协商过程-参数不识别
- 在LCP报文交互中出现LCP参数不识别时,接收方回复Configure-Reject响应告知对端删除不识别的参数然后重新协商。
PPP认证协商
PAP认证
- PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。
CHAP认证
- CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。
NCP协商
静态协商
- 静态IP地址协商需要手动在链路两端配置IP地址。
- 会将对方的ip地址加入到自己的直连路由中。会生成一条以对方ip为目的,掩码为32位的直连路由。
动态协商
- 动态IP地址协商支持PPP链路一端为对端配置IP地址。
- R1向R2发送一个Configure-Request报文,此报文中会包含一个IP地址0.0.0.0,表示向对端请求IP地址;
- R2收到上述Configure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址10.1.1.1;
- R1收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址10.1.1.1;
- R2收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文;
- 同时,R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2,R1认为此地址合法,回应Configure-Ack报文。
[R1-Serial1/0/0]dis this [V200R003C00] # interface Serial1/0/0 link-protocol ppp ppp authentication-mode chap remote address 2.2.2.2 ip address 1.1.1.1 255.255.255.0 # return -------------------------------------------------------------- [R2-Serial1/0/0]dis this [V200R003C00] # interface Serial1/0/0 link-protocol ppp ppp chap user dalong ppp chap password cipher %$%$WvxFAP5iB,5:|THTuu[-,.M3%$%$ ip address ppp-negotiate # return
- 可以用来模拟运营商的工作原理,运营商创建了aaa用户名密码,家里的光猫去连接上运营商设备之后,运营商就可以给光猫分配地址。
PPPOE
- PPPoE(PPP over Ethernet,以太网承载PPP协议)是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
- PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、计费等功能。
PPPOE的会话过程
- PPPoE的会话建立有三个阶段,PPPoE发现阶段、PPPoE会话阶段和PPPoE终结阶段。
PPPOE的报文
PPPOE的发现
- PPPoE协议发现有四个步骤:客户端发送请求、服务端响应请求、客户端确认响应和建立会话。
- PADI用来发现PPPoE服务器,以广播的形式。
- PADO用来回复客户端我是服务器,以单播的形式。
- PADR用来请求PPPoE服务器,你来当我的服务器,单播。
- PADS回复客户端我当服务器,并给你一个SESSION ID号。
- 客户端向session id号,服务器才知道他是谁。
PPPOE的会话阶段
- PPPoE会话阶段会进行PPP协商,分为LCP协商、认证协商、NCP协商三个阶段。
PPPOE的关闭连接
- 当PPPoE客户端希望关闭连接时,会向PPPoE服务器端发送一个PADT报文,用于关闭连接。
- 同样,如果PPPoE服务器端希望关闭连接时,也会向PPPoE客户端发送一个PADT报文。
PPPOE的配置
服务器端: 作为运营商,需要给客户端分配宽带账号密码,并且使用ppp协议 aaa local-user dalong password cipher dalong local-user zhang service-type ppp 输入宽带账号和密码之后,服 务器需要给光猫分配一个地址,地址是在地址池里面拿出的。 ip pool pppoe network 202.100.1.0 mask 255.255.255.0 gateway-list 202.100.1.1 创建拨号模板(如果一个接口一个接口的配置,那么需要配置很多的接口,所以创建模板批量应用到很多接口) interface virtual-template1 ppp authentication-mode chap ip add 202.100.1.1 24 remote address pool pppoe 将拨号模板绑定到接口 int g0/0/0 pppoe-server bind virutal-template 1 运营商到此完毕 客户端: dialer-rule 配置拨号访问组 dialer-rule 1 ip permit 指定允许所有的IPv4报文通过 ----------------------------------- int dialer 1 创建拨号口 dialer user 123 现实中不需要这一步 dialer bundle 1 ppp chap user dalong ppp chap password cipher dalong ip add ppp-ne 远端获取地址 ----------------------------------- interface g0/0/0 pppoe-clinet dial-bundl 1 关联到物理接口 向外指定默认路由 ip route-static 0.0.0.0 0 dialer 1 做NAT地址转换 int dialer 1 nat outbound 2000
![[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(二) --- 安全联盟SA](https://ucc.alicdn.com/pic/developer-ecology/092e80429e7749019bbbc92ab35f0a30.png?x-oss-process=image/resize,h_160,m_lfit)