PPP和PPPoE原理与配置

广域网络设备角色介绍

CE：用户站点边界设备
PE：运营商边界设备
P  ：运营商骨干设备

PPP协议概述：

PPP认证模式：

PAP（明文认证），被认证发主动发起认证
CHAP（密文认证），认证发主动发起认证

        PAP认证模式：

1.认证方配置

[R1]int Serial 1/0/0
[R1-Serial1/0/0]ppp authentication-mode pap    //指定认证模式

2.在aaa模式下创建被认证方的用户名和密码

[R1-Serial1/0/0]aaa
[AR1-aaa]local-user abc password cipher Huawei@123
[AR1-aaa]local-user abc service-type ppp

3.被认证方发起用户名和密码认证

[AR2]interface Serial 1/0/0	
[AR2-Serial1/0/0]local-user abc password cipher Huawei@123

        CHAP认证模式：

1.认证方配置

[R1]int Serial 1/0/0
[R1-Serial1/0/0]ppp authentication-mode chap    //指定认证模式

2.在aaa模式下创建被认证方的用户名和密码

        1.不设置用户名

[R1-Serial1/0/0]aaa
[AR1-aaa]local-user abc password cipher Huawei@123
[AR1-aaa]local-user abc service-type ppp

        2.设置用户名 

[AR1-Serial1/0/0]ppp chap user 123    //认证方可选配置
[AR1]aaa	
[AR1-aaa]local-user abc password cipher Huawei@123
[AR1-aaa]local-user abc service-type ppp

3.被认证方验证用户名和密码

        1.不设置用户名的验证方式

[R2]int s1/0/0
[R2-Serial1/0/0]ppp chap user abc
[R2-Serial1/0/0]ppp chap password cipher Huawei@123

        2.设置用户名的验证方式

[AR2]interface Serial 1/0/0
[AR2-Serial1/0/0]ppp chap user abc
[AR2]aaa	
[AR2-aaa]local-user 123 password cipher Huawei@123
[AR2-aaa]local-user 123 service-type ppp

                被认证方用接口的用户名去对应认证方aaa域中的用户名、密码，认证方用接口下的用户名来验证被认证方aaa域中的密码，如果双方验证后密码是对应的，则通过认证。

chap认证原理：
  认证方首先发送一个 challenge（挑战）报文
    报文内携带：挑战随机数 + 报文ID + 可选的接口用户名

  被认证方收到挑战报文后，根据参数进行查找
    如果挑战报文中没有携带用户名，则被认证方直接使用接口的密码
    如果挑战报文中携带了用户名，  则被认证方会查找用户名对应的密码
      将密码 + 报文ID + 挑战随机数  进行MD5计算，得到HASH值1
   被认证方回复一个respond报文
    报文内携带 HASH值1 + 报文ID + 接口用户名

  认证方收到respond报文后，根据参数进行查找
    根据用户名查找对应的密码
    将密码 + 报文ID + 挑战随机数  进行MD5计算，得到HASH值2
   再将HASH值1 和 HASH值2 进行对比
    如果值相同，则认为认证通过回复success
    如果值不同，则认为认证失败回复failed

NCP协商：
PPP认证协商后，双方进入NCP协商阶段，协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例，它分为静态IP地址协商和动态IP地址协商。

什么是PPPoE：

• PPPoE（PPP over Ethernet，以太网承载PPP协议）是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
• PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。

PPPoE发现阶段：

1.  PPPoE客户端在本地以太网中广播一个PADI报文，此PADI报文中包含了客户端需要的服务信息。
   1. PADI报文的目的MAC地址是一个广播地址，Code字段为0x09，Session ID字段为0x0000。
   2. 所有PPPoE服务器端收到PADI报文之后，会将报文中所请求的服务与自己能够提供的服务进行比较。
2. 如果服务器端可以提供客户端请求的服务，就会回复一个PADO报文。
   1. PADO报文的目的地址是发送PADI报文的客户端MAC地址，Code字段为0x07，Session ID字段为0x0000。
3. 客户端可能会收到多个PADO报文，此时将选择最先收到的PADO报文对应的PPPoE服务器端，并发送一个PADR报文给这个服务器端。
   1. PADR报文的目的地址是选中的服务器端的MAC地址，Code字段为0x19，Session ID字段为0x0000。
4. PPPoE服务器端收到PADR报文后，会生成一个唯一的Session ID来标识和PPPoE客户端的会话，并发送PADS报文。
   1. PADS报文的目的地址是PPPoE客户端的MAC地址，Code字段为0x65，Session ID字段是PPPoE服务器端为本PPPoE会话产生的Session ID。

*会话建立成功后，PPPoE客户端和服务器端进入PPPoE会话阶段。

PPPoE配置：