0. 课件来源
1. PPP 基础
PPP = Point-to-Point Protocol,点到点协议。用于广域网串口链路、拨号接入等场景,核心能力:建立链路、认证、协商网络层参数。
1.1 组成结构
- LCP(Link Control Protocol):管链路本身
- NCP(Network Control Protocol):管上层网络协议
LCP 链路控制
建立链路 · 协商参数 · 检测状态 · 终止链路
Echo Request/Reply · Terminate-Request/Ack
Echo Request/Reply · Terminate-Request/Ack
NCP 网络控制
IPv4 → IPCP · IPv6 → IPv6CP
协商地址、DNS、MTU 等网络层参数
协商地址、DNS、MTU 等网络层参数
1.2 工作阶段
LCP 建立→认证(可选)→NCP 协商→数据传输
口诀:PPP = LCP → 认证 → NCP → 传数据
2. LCP 协商
2.1 协商报文
| 报文 | 含义 | 考试区分 |
|---|---|---|
Configure-Request | 提出参数请求 | — |
Configure-Ack | 完全接受 | — |
Configure-Nak | 不接受当前值,给出推荐值 | 还能谈 |
Configure-Reject | 不接受该选项 | 别再发 |
2.2 协商参数
| 参数 | 说明 |
|---|---|
| MRU | 本端可接收的最大报文大小 |
| Magic Number | 检测链路回环的识别参数 |
| Authentication Protocol | 协商使用 PAP 还是 CHAP |
2.3 PPP 与以太网差异
| 对比项 | 以太网 | PPP |
|---|---|---|
| 地址解析 | ARP 查询 MAC | 点到点天然两端,无需 ARP |
| 广播域 | 存在广播 | 无广播 |
| 地址掩码 | 常用 /30 | 点到点可用 /31(更省地址) |
| 适用场景 | 局域网 | 广域网点到点链路 |
3. PPP 认证
3.1 PAP(2-way)
明文传输用户名密码,对端用本地 AAA 核对。交互 2 次:Request → Ack/Nak。
text
# 服务端
interface s1/0/0
ppp authentication pap
aaa
local-user hw password cipher 123
local-user hw service-type ppp
# 客户端
interface s1/0/1
ppp pap local-user hw password cipher 1233.2 CHAP(3-way)
挑战应答机制,不传输密码本身,传输 MD5 哈希结果。交互 3 次:Challenge → Response → Success/Failure。
text
# 认证端
interface s1/0/0
ppp authentication-mode chap
aaa
local-user hw password cipher 123
local-user hw service-type ppp
# 对端
interface s1/0/1
ppp chap user hw
ppp chap password cipher 123易错点:chap user 必须与对端 AAA 用户名匹配;双方哈希计算用的密码必须一致。
3.3 PAP vs CHAP 对比
PAP
交互:2-way
传输:明文用户名+密码
安全性:低
机制:直接校验密码
传输:明文用户名+密码
安全性:低
机制:直接校验密码
CHAP
交互:3-way
传输:MD5 哈希(不泄露密码)
安全性:高
机制:Challenge-Response 证明"你知道密码"
传输:MD5 哈希(不泄露密码)
安全性:高
机制:Challenge-Response 证明"你知道密码"
4. NCP 与 IPCP
4.1 静态协商
双方各自提出地址,互相 Ack,生成直连主机路由(/32)。
text
# 双方接口配好地址后
IPCP config-request → config-ack
# 自动生成:
direct 202.100.23.2/32
direct 202.100.33.3/324.2 动态协商(对端分配)
客户端不配具体地址,由服务端通过 IPCP 分配。
text
# 客户端
interface s1/0/1
ip address ppp-negotiate # 地址由 PPP 协商获取
# 服务端
interface s1/0/0
remote address 1.2.3.4 # 分配给对端的地址典型协商过程(考试常考):
1. 客户端 Request 地址
0.0.0.02. 服务端 Nak,建议正确地址
3. 客户端按建议地址重新 Request
4. 服务端 Ack,协商完成
4.3 IPCP 协商 DNS
text
# 服务端下发 DNS
ppp ipcp dns 8.8.8.8 8.8.4.4
# 客户端请求 DNS
ppp ipcp dns-request5. PPPoE
5.1 本质
在以太网上运行 PPP,把认证、地址协商能力带入以太网接入场景。用户侧通过以太网接入,运营侧通过 BAS 集中处理 PPPoE 会话。
5.2 发现阶段(4 步必背)
PADI→PADO→PADR→PADS→Session-ID
| 报文 | 方向 | 含义 |
|---|---|---|
| PADI | 客户端 → 广播 | Discovery Initiation |
| PADO | 服务端 → 客户端 | Discovery Offer |
| PADR | 客户端 → 服务端 | Discovery Request |
| PADS | 服务端 → 客户端 | Session-confirmation |
发现阶段结束后进入 PPP 会话阶段:LCP → 认证 → NCP/IPCP → 数据。
5.3 配置思路
text
# 客户端
interface Dialer 1
ip address ppp-negotiate
ppp pap local-user hw password cipher 123
dialer user hw
dialer-bundle 1
#
interface g0/0/0
pppoe-client dial-bundle-number 1
# 服务端
interface virtual-template 1
ip address 4.3.2.1 24
remote address 1.2.3.4
ppp authentication-mode pap
#
aaa
local-user hw password cipher 123
#
interface g0/0/0
pppoe-server bind virtual-template 1关键理解:以太接口跑 PPPoE 发现报文;Dialer / Virtual-Template 才真正承载 PPP 逻辑。
6. 易混淆点与考前速记
| 对比项 | 结论 |
|---|---|
| LCP vs IPCP | LCP 先协商链路参数;IPCP 后协商 IPv4 地址和 DNS |
| PAP vs CHAP | PAP 2-way 明文;CHAP 3-way 挑战应答 |
| Nak vs Reject | Nak = 改值再谈;Reject = 不要发这个选项 |
| PPP vs PPPoE | PPP 是协议本体;PPPoE 是把 PPP 放到以太网中运行 |
考前速记 8 条:
PPP = LCP → 认证 → NCP → 传数据LCP管链路,IPCP管 IPv4 地址和 DNSPAP 2-way,CHAP 3-wayCHAP不直接传密码,传挑战应答结果ip address ppp-negotiate= 地址由 PPP 协商获取ppp ipcp dns-request= 通过 IPCP 请求 DNSPPPoE先发现,再进入 PPP 会话PADI / PADO / PADR / PADS必背
