NCP network阶段

用于协商网络层参数，IPCP静态协商IP地址（即互推地址）动态协商叫做获得地址

Q：为什么PPP两端，可以不在一个网段内，也能够通信？

A：因为PPP中的NCP会通过IPCP协商IP地址，即互推地址，并在本地路由表中产生去往对端接口地址的路由表项。

R1-----to------R2 ，R1先发送Request，我R2回复ACK确认，回复的同时 产生如上操作

操作示意图：

认证端收到Request后就进入NCP的open，R2也会把地址推给R1。R1也会做ACK确认，

有关PPP链路，非同网段也可以通信问题 或者

Question

1、PPP链路通信并不是依靠ARP来通信，是通过IPCP 上面说过，NCP阶段会产生互推地址，通过互推地址通信，双方互相通告接口信息，并且在本地产生去往对端接口的/32主机路由

PPP的两端不需要存在同一个网段内。PPP会通过自身NCP的IPCP来产生互推地址。

Q：PPP双方建立完成后，若直连网段不一致。能否互相通信，能的话，会存在几条路由？

A：四条。三条主机/32路由：本地接口地址，本地接口子网广播，对端接口地址主句路由。还有一条本地接口网络号。

H3C里面也是四条，但有所不同：一条本地/32位主机路由，三条对端的：对端的网络号，对端的网络号的主机路由，对端子网广播

[H3C-Serial1/0]display ip routing-table

Destinations : 13       Routes : 13

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
192.168.1.1/32     Direct  0   0           192.168.1.1     Ser1/0
192.168.2.0/24     Direct  0   0           192.168.2.1     Ser1/0
192.168.2.0/32     Direct  0   0           192.168.2.1     Ser1/0
192.168.2.1/32     Direct  0   0           127.0.0.1       InLoop0
192.168.2.255/32   Direct  0   0           192.168.2.1     Ser1/0
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
[H3C-Serial1/0]

PPP链路会产生本地掩码直连路由，并且下一跳自己接口IP。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cH1rT04y-1682930484967)(.\images\PPP_路由生成.png)]

PPP

PAP认证方式：

PAP认证方式为两次交互。即：被验证方向验证方发送：用户密码是XXX。验证方回复 正确/错误。

PAP验证时，直接明文验证账号密码。

CHAP认证方式为三次交互。

CHAP验证时，只是在网络上传输用户名和密码为原始参数一部分的HASH值。而不直接传输用户密码。因此安全性更高。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SSdOp6oB-1682930484967)(.\images\PPP.CHAP_认证过程.png)]

链路建立阶段：

PPP

• PPP（Point-to-Point Protocol，点到点协议）是一种常见的广域网数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。

• PPP提供了安全认证协议族PAP（Password Authentication Protocol，密码验证协议）和CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）。

• PPP协议具有良好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。

• PPP协议提供LCP（Link Control Protocol，链路控制协议），用于各种链路层参数的协商，例如最大接收单元，认证模式等。

• PPP协议提供各种NCP（Network Control Protocol，网络控制协议），如IPCP（IP Control Protocol ，IP控制协议），用于各网络层参数的协商，更好地支持了网络层协议。

状态机

一个典型的PPP链路建立过程分为三个阶段。

1. 链路建立阶段

   当物理层可用时，PPP首先进行LCP协商，协商内容包括工作方式是SP/MP，验证方式，MRU等。LCP协商通过后，此时LCP状态为Opened，表示链路已经建立。

2. 认证阶段

   用户认证阶段是可选的。若配置了认证，则可选择PPP/CHAP，认证通过后，进入Network阶段。

3. Network阶段。

   网络层协议IP IPX MPLS IPV6等，必须通过各自对应的NCP分别进行协商。NCP协商支持IPCP协商。IPCP协商主要包括双方IP地址。当一个NCP处于Opened状态时。该网络层协议IP IPX MPLS等，就可以通过该链路来发送报文了。 至此 PPP链路成功UP建立。

链路建立阶段

即在Establish阶段，该阶段将进行LCP协商，协商参数有：

魔术字

魔术字为一个随机生成的数值，用于进行防环，若PPP接口发生环路时，该魔术字

认证阶段

用户认证阶段是可选的。若配置了认证，则可选择PPP/CHAP，认证通过后，进入Network阶段。

Network阶段

在该阶段我们会进行一个地址互推

IPCP静态协商

IPCP动态协商

面试问答

1、若双方认证方式不匹配（双方一端CHAP，一端PAP）

2、MRU不匹配。 不匹配会发什么？

PPPOE

\1. PPP链路建立过程

。在Dead阶段，开始建立链路

*。*在Establish阶段，进行LCP协商。协商内容有工作方式是SP还是MP、 最大接收单元MRU、验证方式、魔术字。LCP 协商成功后进入Opened状态，表示底层链路已经建立。

。如果配置了验证，将进入Authenticate阶段，开始CHAP或PAP验证。如果没有配置 验证，就直接进入Network阶段。

。对于Authenticate（验证）阶段，如果验证失败，进入Terminate阶段，拆除链路，LCP状态转 为Down。如果验证成功，进入NCP协商阶段，此时LCP状态仍为Opened,而NCP 状态从 Initial（不活跃） 转到 Starting（活跃） o

。在Network阶段，PPP链路进行NCP协商。NCP协商支持IPCP(IP Control Protocol), MPLSCP(MPLS Control Protocol)等协商。IPCP 协商主要包括双方的 IP 地 址。通过NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后， 该网络层协议才可以通过这条PPP链路发送报文。（主要是协商IP地址）

。PPP链路将一直保持通信，直至有明确的LCP或NCP帧关闭这条链路，或发生了某些 外部事件，例如用户干预。

。在Terminate（终止）阶段，如果所有的资源都被释放掉，通信双方将回到Dead阶段。

LCP如何检测环路

用魔术字来检测环路随机产生一个数字，如果收到的LCP报文中的魔术字

和本地产生的魔术字相同，就认为有环路。

\2. PAP和****CHAP验证工作原理，CHAP为什么比PAP安全

。PAP认证为两次握手认证，口令为明文，PAP验证的过程如下：

被验证方发送用户名和密码给验证方

验证方查看是否正确，以明文传输有很大的安全隐患

。CHAP认证为三次握手验证，口令为密文，CHAP验证的过程如下：

主验证方发送一个挑战数据包给被验证方，里面包含 报文id、随机数和用户名

被验证方根据对端的用户名选择一个合适的口令，将报文ID、随机数和口令放入到MD5 散列生成器中通过计算得到一个hash值。被验证方向主验证方发送一个挑战应答 报文。里面包**含序列号、**hash值，用户名。

-验证方根据对端用户名来选择合适的口令。将报文ID、随机数和口令放入到 MD5散列生成器中通过计算得到一个hash值。根据计算出来的hash值和收到的hash值，做对比一样，就说明通过验证只有认证成功才能进入阶段3的 协商。CHAP认证的特点是只在网络上传输用户名，而不是传输口令，因此它的安 全性要比PAP高。

华为配置

认证方：

[Huawei]aaa 进入aaa模式
[Huawei-aaa]local-user actorw password cipher huawei 创建用户
[Huawei-aaa]local-user actorw service-type ppp 设置用户类型为ppp
[Huawei-aaa]int s4/0/0进入端口 
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap设置加密方式为pap
[Huawei-Serial4/0/0]ppp pap local-user actorw password  cipher huawei 绑定账号和密码
[Huawei-Serial4/0/0]ip address ppp-negotiate  开启IP协商

被认证方：

[Huawei]int s4/0/0
[Huawei-Serial4/0/0]link-protocol ppp
[Huawei-Serial4/0/0]ppp authentication-mode pap 
[Huawei-Serial4/0/0] remote address 12.1.1.1 给对端ip地址
[Huawei-Serial4/0/0]ppp pap local-user actorw password  cipher huawei 
[Huawei-Serial4/0/0] ip address 12.2.2.2 255.255.255.0 自身ip地址

华三配置

认证方：

[H3C]local-user H3C class network 
New local user added.
[H3C-luser-network-H3C]password simple admin
[H3C-luser-network-H3C]service-type ppp
[H3C-luser-network-H3C]qui
[H3C]int s1/0
[H3C-Serial1/0]dis this
#
interface Serial1/0
 ppp authentication-mode chap 
 ip address 192.168.2.2 255.255.255.0
#
return
[H3C-Serial1/0]