當使用者和接入伺服器之間的pppoe建立之後,就可以在上面建立ppp會話。ppp會話的建立分為三個階段:lcp協商、認證、ipcp協商。
對於ppp終結和ppp續傳,lcp協商階段是相同的。認證和ipcp協商不同。
lcp協商
lcp協商主要完成某些鏈路路特性和認證方式的協商,lcp協商成功後,使用者根據協商的認證方式向接入伺服器發起認證請求,使用者認證的方式採用pap或chap方式
ppp終結時的認證和ip位址分配
pap為兩次握手認證,口令為明文。pap認證過程如下:撥號使用者傳送使用者名稱和口令到接入伺服器,接入伺服器通過radius協議到radius伺服器上去檢視是否有此使用者,口令是否正確,然後傳送相應的響應。
chap為三次握手認證,口令為密文。chap撥號使用者傳送使用者名稱到接入伺服器,接入伺服器傳送一些隨機產生的報文,交給被撥號使用者,撥號使用者用自己的口令用md5演算法進行加密,傳回密文,接入伺服器用從radius伺服器取得的使用者口令及隨機報文用md5演算法加密,比較二者的密文,根據比較結果返回認證成功或失敗的響應。
接入伺服器和radius伺服器之間通過乙個共享金鑰以密文方式通訊。
在認證階段,如果在使用者資料庫中為該使用者名稱配置了ip位址,則radius伺服器將這個ip位址返回給接入伺服器,作為這個使用者上網使用的ip位址。
如果使用者在認證階段還沒有獲得ip位址,就需要在ipcp階段協商ip位址。一般來說,運營商為使用者提供接入服務時,應該有一批ip位址,即ip位址池,使用者上網所需要的ip位址就來自與此,當使用者上網時,從ip位址池分配乙個ip位址,當使用者下網時,這個ip位址歸還到位址池。在運營商開通接入服務時,將ip位址池配置到接入伺服器中,在ipcp階段,接入伺服器從ip位址池分配乙個空閒的ip位址給使用者,作為使用者上網的ip位址。如果已經沒有可用的ip位址,則ipcp協商失敗,關閉ppp連線,在使用者看來,則是撥號失敗,isp暫時不能為他提供接入服務。
ppp續傳時的認證和ip位址分配
lcp協商結束後,如果經radius伺服器檢查這是乙個vpn使用者,則接入伺服器為這個使用者建立到lns的會話,如果沒有隧道還要建立隧道。認證分為兩種情況:一次認證和兩次認證。
一次認證是指只在lac的radius伺服器上認證一次,lns信任lac的radius伺服器。使用者的ip位址可以由lac的radius伺服器指定,也可以由使用者和lns進行ipcp協商獲得。
兩次認證是指使用者需要輸入兩次使用者名稱和口令,乙個是接入internet的許可權驗證,乙個是進入vpn的許可權驗證。認證的時候需要lac的radius伺服器和lns的radius伺服器共同配合。ip位址的可以由lns的radius伺服器指定,也可以由使用者和lns進行ipcp協商獲得。
radius協議擴充套件
為實現對使用者更全面的管理,在radius協議中,至少應該擴充套件以下屬性:使用者的接入頻寬、使用者接入所使用的pvc,如果使用者間希望互相通訊,需要指明對方的使用者名稱或ip位址。客戶端和伺服器端同時支援。
認證02 學習 IP位址
網路層有兩個功能。1.為裝置進行編址。2.為裝置進行路由。這兩個功能都是通過乙個叫做ip協議二實現的。ip協議也就是internet protocol說到ip不能不說一下還有乙個ip位址,這個ip位址就是今天重要了解的東西。ip位址是由32bit組成,是二進位制的,它除了用32bit表示之外還可以用...
IP位址分配機構
網際網路編號分配機構 iana,internet assigned numbers authority 負責分配和規劃ip位址,以及對tcp udp公共服務的埠進行定義。中國直接與internet互聯的網路有四個 chinanet,cernet,cstnet,chinagbn。chinanet 主要...
PPP的PAP認證和CHAP認證配置 Cisco
1 在r1和r2之間的鏈路使用 ppp封裝技術,並使用pap認證方式 2 在r2的r3之間的鏈路使用 ppp封裝技術,並使用chap認證方式 3 每個路由介面都參與 ospf 區域0 的執行,假設程序號為22,使三個計算機都能互相ping通 ppp封裝技術,並使用pap認證方式 ppp pap se...