【文章內容簡介】 會進行相應的動作，也就是開始發(fā)送ConfigRequest報文來配置數據鏈路。l 無論哪一端接收到了ConfigAck報文時，LCP的狀態(tài)機又要發(fā)生改變，從當前狀態(tài)改變?yōu)閛pened狀態(tài)。進入Opened狀態(tài)后收到ConfigAck報文的一方則完成了當前階段，應該向下一個階段躍遷。同理可知，另一端也是一樣的，但須注意的是在鏈路配置階段雙方的鏈路配置操作過程是相互獨立的。如果在該階段收到了非LCP數據報文，則會將這些報文丟棄。驗證階段（Authenticate）多數情況下的鏈路兩端設備是需要經過認證后才進入到網絡層協(xié)議階段。PPP鏈路缺省情況下，不進行驗證。如果要求驗證，在鏈路建立階段必須指定驗證協(xié)議。PPP驗證有兩種用途：l 主要是用于主機和路由器之間，通過PPP網絡服務器交換電路或撥號接入連接的鏈路。l 偶爾也用于專用線路。PPP提供兩種驗證方式。l PAP：Password Authentication Protocol，密碼驗證協(xié)議l CHAP：ChallengeHandshake Authentication Protocol，挑戰(zhàn)握手協(xié)議驗證方式的選擇是依據在鏈路建立階段雙方進行協(xié)商的結果。然而，鏈路質量的檢測也會在這個階段同時發(fā)生，但協(xié)議規(guī)定不會讓鏈路質量的檢測無限制的延遲驗證過程。在這個階段僅支持鏈路控制協(xié)議、驗證協(xié)議和質量檢測數據報文，其它的數據報文都會被丟棄。如果在這個階段再次收到了ConfigRequest報文，則又會返回到鏈路建立階段。網絡層協(xié)議階段（Network）一旦PPP完成了前面幾個階段，每種網絡層協(xié)議（IP、IPX和AppleTalk）會通過各自相應的網絡控制協(xié)議進行配置，每個NCP協(xié)議可在任何時間打開和關閉。當一個NCP的狀態(tài)機變成Opened狀態(tài)時，則PPP就可以開始在鏈路上承載網絡層的數據包報文了。如果在個階段收到了ConfigRequest報文，則又會返回到鏈路建立階段。 網絡終止階段（Terminate）PPP能在任何時候終止鏈路。當載波丟失、認證失敗、鏈路質量檢測失敗和管理員人為關閉鏈路等情況均會導致鏈路終止。鏈路建立階段可能通過交換LCP的鏈路終止報文來關閉鏈路，當鏈路關閉時，鏈路層會通知網絡層做相應的操作，而且也會通過物理層強制關斷鏈路。對于NCP協(xié)議，它是不能也沒有必要去關閉PPP鏈路的。 PPP的PAP驗證協(xié)議PAP驗證協(xié)議為兩次握手驗證，口令為明文。驗證過程僅在鏈路初始建立階段進行。當鏈路建立階段結束后，用戶名和密碼將由被驗證方重復地在鏈路上發(fā)送給驗證方，直到驗證被通過或者鏈路連接終止。當必須使用明文密碼在遠端主機上模擬登錄的時候，這種驗證方式是最合適的。PAP驗證的過程如下圖所示。l 被驗證方發(fā)送本端用戶名和口令到驗證方。l 驗證方根據本地用戶表查看是否有被驗證方的用戶名以及口令是否正確，然后返回不同的響應（接受或拒絕）。PAP不是一種安全的驗證協(xié)議。當驗證時，口令以明文方式在鏈路上發(fā)送，并且由于完成PPP鏈路建立后，被驗證方會不停地在鏈路上反復發(fā)送用戶名和口令，直到身份驗證過程結束，所以不能防止攻擊。協(xié)商PAP驗證協(xié)議的配置參數選項幀格式如下圖所示。各字段的含義如下表所示。字段長度（字節(jié)）含義Type1當值是0x03時表示是驗證協(xié)議。常用的協(xié)商類型值請參見常用協(xié)商類型值。Length1此時固定值是4，表示這個配置參數選項幀格式總長度是4個字節(jié)。AuthenticationProtocol2當值是0xC023表示是PAP協(xié)議。常用的協(xié)議代碼請參見常見的協(xié)議代碼。在驗證協(xié)議中，Data字段的內容就是AuthenticationProtocol的內容。一個PAP數據報是封裝在協(xié)議域為C023的PPP數據鏈路層幀的信息域中的。PAP數據報的幀格式如下圖所示。各字段的含義如下表所示。字段長度（字節(jié)）含義Code1標識PAP數據報的類型。l 1表示是AuthenticateRequest報文l 2表示是AuthenticateAck報文l 3表示是AuthenticateNak報文Identifier1標識請求報文和應答報文的匹配。Length2表示包括Code、Identifier、Length和Data域在內的PAP報文長度。超出此長度的報文將被認為是填充字節(jié)并被丟棄。Data0或多個字節(jié)Data域的幀由Code域來決定。l Authenticate_Request報文驗證請求報文用于表示PAP驗證的開始。鏈路的被驗證方在驗證階段必須傳輸code值為0x01的PAP驗證報文。驗證報文必須被重復發(fā)送，直到收到了有效的回復報文，或計數器的值已滿，此時應該終止鏈路連接。驗證方只能等待被驗證方發(fā)送驗證請求報文。當收到驗證請求報文后，必須根據實際情況回復不同的應答報文。驗證請求報文的幀格式如下圖所示。各字段的解釋如下表所示。字段長度（字節(jié)）含義Code10x01表示驗證請求報文。具體的code值含義請參見Error! Reference source not found.。Identifier1標識請求報文和應答報文的匹配。對于每個請求報文的應答報文，該域都必須不同。Length2表示該報文的總長度。PeerID Length1標識PeerID域的長度。PeerID0或多個標識被驗證方的名字。Password Length1標識Password域的長度。Password0或多個標識被驗證的密碼。l AuthenticateAck和AuthenticateNak報文幀格式如果在驗證請求報文中的用戶名和密碼都能被驗證方驗證通過，驗證方必須返回Code值是2的AuthenticateAck報文，表示驗證通過。如果驗證請求報文中用戶名或密碼有一項沒有通過驗證，驗證方必須返回Code值是3的AuthenticateNak報文，表示驗證失敗。AuthenticateAck和AuthenticateNak報文的幀格式如下圖所示。各字段的含義如下表所示。字段長度（字節(jié)）含義Code10x02表示AuthenticateAck報文，0x03表示AuthenticateNak報文。具體的code值含義請參見Error! Reference source not found.。Identifier1標識請求報文和應答報文的匹配。該域的值必須和引起該應答報文的AuthenticateRequest報文一樣。Length2表示該報文的總長度。Message Length1標識Message域的長度。Message0或多個由報文的內容決定。 PPP的CHAP驗證協(xié)議CHAP（Challenge Handshake Authentication Protocol）驗證協(xié)議為三次握手驗證協(xié)議。它只在網絡上傳輸用戶名，而并不傳輸用戶密碼，因此安全性要比PAP高。CHAP協(xié)議是在鏈路建立的開始就完成的。在鏈路建立完成后的任何時間都可以重復發(fā)送進行再驗證。當鏈路建立階段完成后，驗證方發(fā)送一個“challenge”報文給被驗證方。被驗證方經過一次哈希算法后，給驗證方返回一個值。驗證方把自己經過哈希算法生成的值和被驗證方返回的值進行比較。如果兩者匹配，那么驗證通過。否則驗證不通過，連接應該被終止。CHAP的驗證過程如下圖所示。CHAP單向驗證是指一端作為驗證方，另一端作為被驗證方。雙向驗證是單向驗證的簡單疊加，即兩端都是既作為驗證方又作為被驗證方。在實際應用中一般只采用單向驗證。CHAP單向驗證過程分為兩種情況：驗證方配置了用戶名和驗證方沒有配置用戶名。推薦使用驗證方配置用戶名的方式，這樣可以對驗證方的用戶名進行確認。l 驗證方配置了用戶名的驗證過程? 驗證方把隨機產生的“質詢（Challenge）”報文和本端主機名一起發(fā)送給被驗證方。? 被驗證方收到報文后，根據驗證方的用戶名在本地用戶列表中查找本地口令。根據查找到的口令和質詢報文，通過MD5算法進行計算得出一個數值，并將計算得出的數值和自己的主機名發(fā)回驗證方（Response）。? 驗證方收到Response后，根據其中攜帶的被驗證方主機名，在本端用戶表中查找被驗證方口令字，找到匹配項后，利用質詢報文和被驗證方口令字，通過MD5算法進行計算得出一個數值，根據此數值與收到的Response的結果進行比較，然后返回不同的響應（接受或拒絕）。l 驗證方沒有配置用戶名驗證方沒有配置用戶名時，驗證方只把“質詢”報文發(fā)送到被驗證方。被驗證方直接根據本地接口設置的口令和質詢報文通過MD5算法計算得出一個數值，并將計算得出的數值和自己的主機名發(fā)回驗證方。其他過程和驗證方配置了用戶名時相同。協(xié)商CHAP協(xié)議的配置參數選項幀格式如下圖所示。各字段含義如下表所示。字段長度（字節(jié)）含義Type10x03表示是驗證協(xié)議報文。具體值含義請參見常用協(xié)商類型值。Length1此時固定是5，表示該報文的總長度是5個字節(jié)。AuthenticationProtocol2當值是0xC223時表示是CHAP驗證協(xié)議。具體值的含義請參見Error! Reference source not found.。Algorithm1表示使用的一次哈希方法。l 0～4：不用，保留l 5：MD5算法l CHAP數據報的幀格式確切來講，CHAP報文是封裝在PPP數據鏈路層的Information域的。在Information域中protocol域的值固定是0xC223，表示CHAP驗證協(xié)議。CHAP協(xié)議數據報格式如下圖所示。各字段含義如下表所示。字段長度（字節(jié)）含義Code1表示CHAP數據報文的類型。l 1表示Challenge報文l 2表示Response報文l 3表示Success報文l 4表示Failure報文Identifier1表示挑戰(zhàn)報文、應答報文等之間的對應。Length2表示包括Code、Identifier、Length和Data域在內的CHAP數據報文的長度。超出該長度值的字節(jié)應該被認為是數據鏈路層的填充字節(jié)，在接收時應該被忽略。Data0或多個幀格式由Code域值決定。l Challenge報文和Response報文Challenge報文用來發(fā)起CHAP驗證。驗證方必須發(fā)送一個Code域值是1的CHAP數據報文，來表示是Challenge報文。其他附加挑戰(zhàn)報文必須在收到有效的回應報文或計數器滿后才可以發(fā)送。挑戰(zhàn)報文也可以在網絡層協(xié)議階段發(fā)送，以確認連接是否完整。在驗證階段和網絡層協(xié)議階段，被驗證方要等待驗證方發(fā)送Challenge報文。只要接收到Challenge報文，被驗證方必須返回一個Code域值是2的CHAP報文，表示是回應報文。只要接收到回應報文，驗證方就會把自己計算的值和返回值進行比較。根據比較的結果，驗證方返回不同的回應報文。挑戰(zhàn)和回應報文的幀格式如下圖所示。各字段的含義如下表所示。字段長度（字節(jié)）含義Code1l 1表示是Challenge報文l 2表示是回應報文Identifier1它標識挑戰(zhàn)報文和回應報文的對應關系。Length2表示該報文的總長度。Valuesize1表示Value域的長度。Value1或多個挑戰(zhàn)報文中此域是一些字節(jié)流?；貞獔笪闹写擞蚴翘魬?zhàn)報文字節(jié)流經過一次哈希算法后得到的值。Name1或多個該域的大小由Length域決定。l Success報文和Failure報文如果驗證方接收到的值和自己計算的值相同，驗證方必須要返回一個Code域值是3的CHAP報文，表示驗證通過。如果驗證方接收到的值和自己計算出的值不同，驗證方必須返回一個Code域值是4的CHAP報文，表示驗證失敗。并且應該終止鏈路連接。驗證通過或驗證失敗時的報文格式如下圖所示。各字段的含義如下表所示。字段長度（字節(jié)）含義Code1l 3表示驗證通過l 4表示驗證失敗Identifier1表示回應報文和該響應報文的對應關系。Length2表示該報文的總長度。Message0或多個該域的長度由Length域的值決定。 PPP的報文壓縮PPP鏈路層協(xié)議上的對IP、UDP、RTP和TCP報文頭的壓縮，壓縮方式有如下三種：l Stac壓縮：需要協(xié)商CCP，是對IP整個報文的壓縮。l TCP/IP報文頭壓縮：需要IPCP協(xié)商，只壓縮報文頭的部分。l PPP頭壓縮：只壓縮PPP報文頭部分。VJ TCP頭壓縮是一種壓縮算法，英文全稱是Van Jacobson TCP Header Compression。這種壓縮算法能夠將TCP/IP包頭的大小減小到近3個字節(jié)，從而提高低速線路的效率。VJ TCP頭壓縮的詳細說明請參見RFC1144。第四章 PPPoE PPPoE簡介 PPPoE的引入當客戶接入到服務器時，客戶希望接入的成本低，而且希望在接入時不要或者很少改變配置。以太網無疑是最好的組網方式。服務提供商想通過同一個接入服務器連接到遠程站點上的多個主機，同時要求服務器能提供與使用PPP撥號上網類似的訪問控制功能和支付功能。PPP（PointtoPoint）協(xié)議提供在點到點鏈路上傳送多協(xié)議數據報的標準方法。PPP應用雖然很廣泛，但是不能用于以太網，因此提出了PPPoE技術。PPPoE是對PPP的擴展，它可以使PPP協(xié)議應用于以太網。PPP