关于LCP协商

版权声明 ：转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://tianyunxing.blogbus.com/logs/61114327.html

PPP协议在进行LCP协商的时候，双方是互相发送configure-request，然后向对方回应configure-ack，也可以只有一 方发送，另一方回应。

PAP验证过程： 两次握手协议，当两端链路可以相互传输数据时，被验证方发送本端的用户名以及口令到验证方，验证方根据本端的用户表（或 者radius服务器）查看是否正确，如果正确发送ACK报文给对方，否则发送NAK报文。验证失败也并不会直接关闭链路，而是只有验证次数达到一定值时 才关闭链路。 CHAP验证过程： 三次握手协议，只在网络中传输用户名而不传输用户口令。首先验证方向被验证方发送随机产生的 报文，并同时将本端主机名附带上一起发给被验证方，被验证方接到报文后，则根据报文中验证方的主机名和本端的用户表查找用户口令字。找到，则利用报文 id，此用户的密钥用MD5算法生成应答，随后将应答和自己的主机名送回验证方接到此应答后用报文ID 本方保留的口令字密钥和随机报文用Md5算法得出结果与被验证方应答比较根据比较结果返回相应的结果。 PAP与CHAP最大的不同点 是： PAP是首先由被验证方将自己的用户名及密码送给验证方而CHAP验证是首先由验证方发起验证过程的主要区别为PAP为明文传送密码而在 CHAP验证过程中密码是不在线传送的。 MP多链路捆绑 MP为PPP功能扩展协议，只有两个链路的 Discriminator和验证方式用户完全相符时才能对两个链路进行捆绑，这就意味着只有当验证完成后才能真正完成MP的协商过程，MP不会导致链路 的拆除， 如果配置了MP 两个链路不符合MP条件则会建立一条新的MP通道，这同时也表明允许MP为单链路。MP的捆绑是完全依照用户进行的，只有相同用户才能进行捆绑，如一端配 置了MP 另一端不支持或未配MP 则建立起来的链路为非MP链路。 PPP协议简介 PPP 协议，其全称为（Point-To-Point Protocol）点到点协议，它作为一种提供在点到点链路上传输封装网络层数据包的数据链路层协议，处于TCP/IP协议栈的第二层，主要被设计用来在 支持全双工的同异步链路上进行点到点之间的数据传输。 PPP主要由三类协议组成，链路控制协议族（LCP）网络层控制协议族（NCP）和PPP扩 展协议族，其中链路控制协议主要用于建立拆除和监控PPP数据链路，网络层控制协议族主要用于协商在该数据链路上所传输的数据包的格式与类型，PPP扩展 协议族主要用于提供对PPP功能的进一步支持，同时 PPP还提供了用于网络安全方面的验证协议族（PAP和CHAP）。 PPP 协议的特点         PPP协议与其他链路层协议不同 既支持同步链路又支持异步链路，而如X25 framerelay等数据链路层协议只对同步链路提供支持；         具有各种NCP协议 如IPCP, IPXCP更好地支持了网络层协议；         具有验证协议CHAP PAP 更好了保证了网络的安全性；         易扩充； PPP的协商过程 PPP在建立链路之前要进行一系列的协商过程，过程如下：PPP首先 进行LCP协商，协商内容包括：MTU(最大传输单元)、魔术字(magic number)、验证方式、异步字符映射等选项(详见RFC1661) LCP协商成功后，进入Establish(链路建立)阶段，如配置了CHAP或PAP验证，便进入CHAP或PAP验证阶段，验证通过后才会进入网络阶 段协商(NCP)，如IPCPIPXCP、BCP的协商，任何阶段的协商失败都将导致链路的拆除，魔术字，主要用于检测链路自环，PPP靠发送Echo Request、Echo Reply报文来检测自环和维护链路状态，如连续发现有超过最大自环允许数目Echo Request报文中魔术字与上次发送魔术字相同，则判定网络发生自环现象，如链路发生自环，则就需采取相应措施对链路复位 另外，LCP发送config request时也可以检测自环，LCP发现自环后，在发送一定数目的报文后也会复位链路，如果PPP发送的Echo Request 报文产生丢失，则在连续丢失最大允许丢失的个数之后，将链路复位，以免过多的无效数据传输，异步字符映射用于同异步转换。

PAP的验证过程 PAP为两次握手协议，它通过用户名及口令来对用户进行验证。PAP验证过程如下：当 两端链路可相互传输数据时，被验证方发送本端的用户名及口令到验证方，验证方根据本端的用户表或radius服务器，查看是否有此用户，口令是否正确，如 正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商，否则发送NAK报文，通告对端验证失败，此时并不会直接将链路关闭，只有当验证不过次 数达到一定值时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。PAP的特点是在网络上以明文的方式传递用户名及口令，如在传 输过程中被截获便有可能对网络安全造成极大的威胁。因此，它适用于对网络安全要求相对较低的环境。 CHAP的验证过程 CHAP 为三次握手协议，它的特点是：只在网络上传输用户名，而并不传输用户口令，因此，它的安全性要比PAP高。CHAP的验证过程为：首先由验证方向被验证方 发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方，被验证方接到对端对本端的验证请求(Challenge)时，便根据此报文中验 证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用报文ID，此用户的密钥用Md5算法生成应 答，Response 随后将应答和自己的主机名送回，验证方接到此应答后，用报文ID、本方保留的口令字（密钥）和随机报文用Md5算法得出结果，与被验证方应答比较，根据比 较结果返回相应的结果。 比较 PAP是首先由被验证方将自己的用户名及密码送给验证方，而CHAP验证是首先由验证方发起验证过程的，主要区别为PAP为明文传送密码，而在 CHAP验证过程中，密码是不在线传送的。 所以，这 就是我们在用协议分析软件捕获数据包时看不到密码的原因所在，是由于验证方式采用了CHAP验证，密码不是在线明文传输。 http://www.bbfish.net/vpn/vpn_7551.html