课程编码PPPPPPoE及Radius协议.ppt
《课程编码PPPPPPoE及Radius协议.ppt》由会员分享,可在线阅读,更多相关《课程编码PPPPPPoE及Radius协议.ppt(116页珍藏版)》请在冰点文库上搜索。
课程编码PPP/PPPoE及Radius协议,ISSUE2.0,Page2,本课程主要介绍PPP/PPPoE协议及Radius协议。
前言,Page3,参考资料,/(教材)/(教材)/,Page4,学习完此课程,您将会:
了解SLIP协议的基本原理掌握PPP协议的基本原理掌握LCP协议和NCP协议数据报文的交换过程掌握PPPOE协议的基本原理掌握Radius协议的基本概念掌握Radius协议的工作过程掌握Radius包各个字段的含义,目标,Page5,第1章SLIP协议第2章PPP协议第3章PPPOE协议第4章Radius协议,内容介绍,Page6,IP数据报文,+,END字符,=,SLIP数据帧,定义:
SLIP是在串行线路上对IP数据报进行封装的简单协议。
SLIP协议的定义,SLIP数据帧格式:
Page7,IP,IPX,AppleTalk,路由器A,路由器B,SLIP链路,IP,IPX,AppleTalk,SLIP协议的缺点
(一),Page8,01010101111100011100,Noise,Hello,01010101000100011100,Heolo,1,2,3,有误,重传,4,路由器A,路由器B,SLIP协议的缺点
(二),Page9,路由器A,路由器B,192.168.0.1/24,192.168.0.2/24,SLIP链路,路由器B的互连IP是多少?
打个电话问问,我的地址是192.168.0.2/24,那你的地址是多少?
还要通过这么原始的方式来获知对方的IP地址,SLIP协议的缺点(三),Page10,小结,SLIP是一种仅能在点对点的链路上封装IP数据报的协议,SLIP的帧格式为,IP数据报,c0,SLIP不支持IP地址的协商,Page11,第1章SLIP协议第2章PPP协议第3章PPPOE协议第4章Radius协议,内容介绍,Page12,PPP协议的定义:
PPP协议提供了一种标准的方式在点对点的链路上传输多种网络层协议的数据报。
PPP协议与协议栈的对应关系,PPP协议,PPP协议简介,Page13,支持点到点的连接,不同于X.25、framerelay等数据链路层协议,具有CHAP、PAP验证协议,更好的保证了网络的安全性。
PPP的物理层既支持数据为8位和无奇偶校验的异步模式,还支持面向比特位的同步链接,如framerelay必须为同步电路。
PPP有针对不同网络层的网络控制协议,如大家熟知的IPCP,IPXCP。
同样类似于SLIP协议,它也允许双方协商是否对报文首部进行压缩。
PPP协议的特点,Page14,PPP协议的三组件,多协议数据报的封装方式PPP协议的链路控制协议LCPPPP协议的网络控制协议NCP,Page15,校验,标志,标志,地址,信息域,控制,协议域,1B,1B,2B,缺省1500B,7E,FF,03,1B,2B,1B,7E,PPP的数据帧格式,Page16,校验,IP数据报文,0x0021,校验,LCP数据报文,0xC021,校验,NCP数据报文,0x8021,协议域长度为2个字节,主要用来指明信息域中使用的协议类型。
该域的结构与ISO3309地址域扩展机制一致。
PPP数据帧所承载的几种常见的报文,Page17,LCP报文,可选,由配置决定,PPP状态转移图,Page18,信息域,协议域,标识域,代码域,长度域,数据,长度域,类型域,数据,PPP封装格式,LCP数据报文的封装格式,LCP数据报文中配置参数选项的封装格式,0xC021,LCP协议数据报文的格式,Page19,链路配置报文用来建立和配置一条链路,主要包括Configure-Request、Configure-Ack、Configure-Nak和Configure-Reject报文链路终止报文用来终止一条链路,主要包括Terminate-Request和Terminate-Reply报文链路维护报文用来管理和调试链路,主要包括Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply和Discard-Request报文,LCP协议数据报文的分类,Page20,0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x08,0x09,0x0A,0x0B,0x0C,Configure-Request,Configure-Ack,Configure-Nak,Configure-Reject,Terminate-Request,Terminate-Reply,Code-Reject,Protocol-Reject,Echo-Request,Echo-Reply,Discard-Request,Reserved,LCP协议数据报文的种类,Page21,链路配置报文举例,7EFF03C021010100170206000A00000506000B42CB070208020D03067E,7EFF03C021020100170206000A00000506000B42CB070208020D03067E,假设点对点通信的一端发送了一个Config-Request报文,报文内容如下:
从报文中可以看出这个配置请求报文包括5个配置参数选项。
当对端正确接收到了该报文后,应该回应一个Config-Ack报文,报文内容如下:
该报文中唯一修改的内容就是代码域(02表示是Config-Ack报文),标识域与原报文中的一样。
Page22,0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x08,Maximum-Recive-Unit,Async-Control-Character-Map,Authentication-Protocol,Quality-Protocol,Magic-Number,Address-And-Control-Field-Compression,Reserved,Protocol-Field-Compression,配置参数选项的种类,Page23,链路配置报文举例,7EFF03C021010100170206000A00000506000B42CB070208020D03067E,7EFF03C021020100170206000A00000506000B42CB070208020D03067E,假设点对点通信的一端发送了一个Config-Request报文,报文内容如下:
从报文中可以看出这个配置请求报文包括5个配置参数选项。
当对端正确接收到了该报文后,应该回应一个Config-Ack报文,报文内容如下:
该报文中唯一修改的内容就是代码域(02表示是Config-Ack报文),标识域与原报文中的一样。
Page24,链路配置报文
(一),Page25,链路配置报文举例,假设点对点通信的一端发送了一个Config-Request报文,报文内容如下:
7EFF03C021010100170206000A00000506000B42CB070208020D03067E该数据报文中有下划线的配置参数选项的内容为对端不认可的。
当对端正确接收到了该报文后,发现类型域为0x02的配置参数选项可识别,但该配置参数选项数据域的内容不认可,应发送一个Config-Nak报文且该报文中将携带希望的配置参数选项内容,报文内容如下:
7EFF03C0210301000A0206000E00007E该报文中返回的值已经被更改,且当发端收到该报文后会重新发送一个Config-Request报文,报文内容如下:
7EFF03C021010400170206000E00000506000B42CB070208020D03067E仔细观察是不是新的配置请求报文与老的配置请求的报文ID不一样。
Page26,二次交互
(1),1,2,Config-Request,Config-Nak,路由器A,路由器B,3,4,Config-Request,Config-Ack,链路配置报文
(二),Page27,链路配置报文举例,7EFF03C021010100170206000A00000506000B42CB070208020D03067E,假设点对点通信的一端发送了一个Config-Request报文,报文内容如下:
下划线所表示的配置参数选项为对端不可识别的。
当对端正确接收到了该报文后,发现类型域为0x02的配置参数选项不识别,应该回应一个Config-Reject报文,报文内容如下:
7EFF03C0210401000A0206000A00007E该报文如果被原发送端接收后,又会重新发送一个Config-Request报文,报文内容如下:
7EFF03C021010400110506000B42CB070208020D03067E这时我们能看到,类型域为02的配置选项在下一次的请求报文中被删除了。
Page28,二次交互
(2),1,2,Config-Request,Config-Reject,路由器A,路由器B,3,4,Config-Request,Config-Ack,链路配置报文(三),Page29,多次交互,1,2,Config-Request,Config-Reject,路由器A,路由器B,3,4,Config-Request,Config-Nak,5,6,Config-Request,Config-Ack,链路配置报文(四),Page30,链路终止报文,Terminate-Request,Terminate-Reply,Page31,PPP封装,Config-RequestID=1M=1,Config-RequestID=1M=1,PPP封装,Config-NakID=4M=2,Config-NakID=4M=2,PPP封装,Config-RequestID=2M=2,Config-RequestID=2M=2,魔术字(MagicNumber),Page32,用户名/密码,接收/拒绝,PPP封装,路由器A,路由器B,被验证方,验证方,问题1:
如图所示,路由器B作为验证方,而路由器A则作为被验证方,那么如何分别配置两个路由器?
PAP认证(两次握手),Page33,回应,接收/拒绝,PPP封装,路由器A,路由器B,挑战,被验证方,验证方,问题2:
如图所示,路由器B作为验证方,而路由器A则作为被验证方,那么如何分别配置两个路由器?
CHAP认证(三次握手),Page34,IPCP,IPXCP,AppleTalk,NCP协议的分类,Page35,点对点通信设备均设置了IP地址,我知道了,我的IP地址是192.168.0.1,路由器B,路由器A,192.168.0.1,192.168.0.2,我知道了,我的IP地址是192.168.0.2,IPCP静态地址协商,Page36,点对点通信的一方设置了IP地址,而另一方则通过从对端获取IP地址,这个地址不合法,用192.168.0.1这个地址吧,我的IP地址是0.0.0.0,路由器B,路由器A,192.168.0.2,我知道了,我的IP地址是192.168.0.2,我的IP地址是192.168.0.1,我知道了,IPCP动态地址协商,Page37,小结
(一),PPP协议的三组件包括PPP协议的封装方式、LCP协议和NCP协议PPP协议是数据链路层协议,它的数据帧封装格式非常类似于HDLCPPP协议可通过协议域来区分数据域中净载荷的数据类型PPP协议通过LCP协议完成数据链路的配置和测试PPP协议通过NCP协议完成点对点通信设备之间网络层通信所需参数的配置,Page38,小结
(二),魔术字可以在链路配置阶段被协商,数据报文可借助魔术字来检PPP链路是否存在环路PAP(密码认证协议)认证是二次握手,它是直接在网络上传送明文的用户名和密码,因此这种协议安全性不高CHAP(挑战性握手认证协议)认证是三次握手,它只在网络上传送验证方和被验证方的主机名,而并不传送密码,因此相比之处CHAP比PAP更安全PPP协议缺省的MRU是1500,而对于通信的双方可根据实际需要对MRU进行协商,Page39,小结(三),PPP协议的状态转移图包括链路不可用阶段、链路建立阶段、认证阶段、网络层协议阶段和链路终止阶段LCP协议依据报文的功能可分为链路配置报文、链路终止报文和链路维护报文LCP协议的链路配置报文主要是用来协商一些可选的配置参数选项LCP协议的链路终止报文主要是用来终止一条PPP链路LCP协议的链路维护报文主要是用来测试和调试PPP链路NCP协议主要负责网络层配置参数选项的协商,它包括静态协商和动态协商,Page40,第1章SLIP协议第2章PPP协议第3章PPPOE协议第4章Radius协议,内容介绍,Page41,PPP协议要求进行通信的双方之间是点到点的关系,不适于广播型的以太网和另外一些多点访问型的网络,于是就产生了PPPOE协议(Point-to-PointProtocolOverEthernet)。
它不仅为使用桥接以太网接入的用户提供了一种宽带接入手段,同时还能提供方便的接入控制和计费。
每个接入用户均建立一个独一无二PPP的会话,因此会话建立之前必需知道远端访问集中设备的MAC地址,PPPOE协议可通过发现协议来获取到。
PPPOE协议概述,Page42,PPPOE协议分为发现阶段和ppp会话阶段。
当主机希望开始一个PPPOE会话时,它首先要执行一个发现过程来识别对方的MAC地址,然后建立一个唯一的PPPOE会话ID。
PPPOE使用一个发现协议来解决这个问题,它是基于客户/服务器模型的。
由于以太网的广播特性,在这个过程中主机(客户)能发现所有的访问集中器(服务器),并选择其中一个,根据所获信息在两者之间建立点对点的连接。
当一个PPP会话被建立起来之后,就完成了PPPOE的整个发现阶段。
发现阶段,Page43,PPPOE的会话阶段开始后,主机和访问集中器之间就依据PPP协议传送PPP数据,进行PPP的各项协商和数据传输。
在这一阶段传输的数据包中必须包含在发现阶段确定的会话标识并保持不变。
正常情况下,会话阶段的结束是由PPP协议控制完成的,但在PPPOE中定义了一个PADT包用来结束会话,主机或者访问集中器可以在PPP会话开始后的任何时候通过发送这个数据包来结束会话。
会话阶段,Page44,以太网的帧格式,Page45,目的地址,源地址,(6字节),(6字节),帧类型域,=1500字节,净载荷,帧校验,(4字节),以太网帧格式,(2字节),以太网广播地址,PPPOE发现阶段,PPPOE会话阶段,以太网单播地址,主机以太网地址,主机以太网地址,0x8863,0x8864,数据区,数据区,数据帧校验,数据帧校验,PPPOE发现阶段以太网帧格式,PPPOE会话阶段以太网帧格式,PPPOE的帧格式
(一),Page46,版本,类型,代码,会话ID,长度,净载荷,4,4,8,16,16,发现阶段承载一些标记,会话阶段承载PPP数据报文,PPPOE的帧格式
(二),Page47,TAG,标记类型,16,标记长度,16,标记值,0x0000,0x0102,0x0104,0x0110,0x0101,0x0103,0x0105,0x0201,End-of-list,AC-Name,AC-Cookie,Relay-Session-ID,Service-Name,Service-Name-Error,Host-Uniq,Verdor-Specific,0x0202,0x0203,AC-System-Error,Generic-Error,PPPOE的帧格式(三),Page48,PADI(PPPOE发现初始报文)PADO(PPPOE发现提供报文)PADR(PPPOE发现请求报文)PADS(PPPOE发现会话确认报文)PADT(PPPOE发现终止报文),09,a7,07,65,19,PPPOE发现阶段数据报文分类,Page49,以太网,1,2,3,目标地址为广播地址0xffffffff,源地址为主机的以太网地址。
ETHER_TYPE值为0x8863,码值为0x09,SESSION-ID为0x0000。
TAG_TYPE:
有且仅有一个Service-Name表明主机请求的服务。
任何数量的其他TAG_TYPE。
PADI报文长度不能超过1484个字节,为Relay-Session-IdTAG留空间。
PADI报文,Page50,以太网,1,2,3,目标地址为主机以太网地址。
源地址为接入集中器的以太网地址。
ETHER_TYPE值为0x8863,码值为0x07,SESSION-ID为0x0000,TAG_TYPE:
必须有一个含有接入集中器名字的AC-NameTAG,必须有一个与收到的PADI相同的Service-NameTAG和任意数量的其他Service-NameTAG表明集中器可以提供的服务。
PADO报文,Page51,以太网,1,2,3,目标地址为接入集中器的以太网地址,源地址为主机的以太网地址。
ETHER_TYPE值为0x8863,码值为0x19,SESSION-ID为0x0000,TAG_TYPE:
必须有一个类型为Service-Name的TAG向集中器指明请求的服务,可以有任意数量的其他TAG。
PADR报文,Page52,以太网,1,2,3,目标地址为主机的以太网地址,源地址为接入集中器的以太网地址。
ETHER_TYPE值为0x8863,码值为0x65,SESSION-ID为集中器指定的唯一的标识一个PPPOE会话的值,TAG_TYPE:
包含一个类型为Service-Name的TAG,表明集中器提供给这个会话的服务,可以包含任意数量的其他TAG。
PADS报文,Page53,这个数据包可以在会话建立起来之后的任何时间由主机或集中器发出。
目的地址为单一的以太网地址。
ETHER_TYPE值为0x8863,码值为0xa7,SESSION-ID为要终止的会话的SESSION-ID。
不要求有TAG。
PADT报文,Page54,PPP净载荷,目的地址,目的地址,源地址,源地址,帧类型=0x8864,版本=0x1,类型=0x1,代码=0x00,会话ID=0x1234,长度=0x?
PPP协议ID=0xC021,PPPOE协议数据包中承载PPP的LCP报文,一旦PPPOE会话建立起来之后,主机与接入器之间就开始依据PPP协议传送PPP数据,所有的以太网帧都是单一地址的。
此时,ETHER_TYPE值为0x8864,码值为0x00,SESSION-ID在整个会话过程中保持不变。
PPPOE有效负载域里包含一个PPP数据包。
会话阶段的PPPOE数据报文格式,Page55,NetXRay抓包结果分析1,Page56,NetXRay抓包结果分析2,Page57,NetXRay抓包结果分析3,Page58,NetXRay抓包结果分析4,Page59,NetXRay抓包结果分析5,Page60,NetXRay抓包结果分析6,Page61,NetXRay抓包结果分析7,Page62,小结,PPPOE协议包括PPPOE的发现阶段和PPPOE的会话阶段PPPOE的数据报文是被承载在以太网的数据域中进行传送的PPPOE的发现阶段会遇到PADI、PADO、PADR和PADS这四种报文PPPOE中的PADT报文是用来终止一条会话的PPPOE在发现阶段时,以太网协议域的值为0x8863PPPOE在会话阶段时,以太网协议域的值为0x8864,小结,Page63,第1章SLIP协议第2章PPP协议第3章PPPOE协议第4章Radius协议,内容介绍,Page64,第4章Radius协议4.1概述4.2RADIUS协议相关概念4.3标准RADIUS协议4.4NAS设备与Radiuserver对接实例,内容介绍,Page65,概述,Page66,第4章Radius协议4.1概述4.2RADIUS协议相关概念4.3标准RADIUS协议4.4NAS设备与Radiuserver对接实例,内容介绍,Page67,Radius的作用,Radius:
RemoteAuthenticationDialInUserService客户端负责将认证等信息按照协议的格式通过UDP包送到服务器,同时对服务器返回的信息解释处理。
认证端口号:
1645/1812计费端口号:
1646/1813,Page68,Client/Server结构,RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个RADIUS客户(NAS)。
RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保存这些信息,而是通过RADUIS协议对这些信息进行访问。
这些信息的集中统一的保存,使得管理更加方便,而且更加安全。
RADIUS服务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。
用户的漫游通常就是通过RADIUS代理实现的。
Page69,NASRadius认证计费过程,Page70,MD5算法,MD5是一个算法,它的输入是一段内存中的数值,输出是一个16字节的摘要,它的运算是单向的,即从输出推算不出输入。
不好意思,我只会把您的手表变成兔子,变不回去了,MD5,Page71,网络安全,包加密16字节的验证字(authenticator)用于对包进行签名,口令加密MD5算法对口令进行加密,Page72,口令的加密,称共享密钥(key)为Key;16字节的认证请求验证字(Authenticator)为Auth;将口令(Password)分割成16字节一段(最后一段不足16字节时用0补齐),为p1、p2等;加密后的口令块为c
(1)、c
(2)等。
下面运算中b1、b2为中间值:
b1=MD5(Key+Auth)c
(1)=p1xorb1b2=MD5(Key+c
(1)c
(2)=p2xorb2bi=MD5(Key+c(i-1)c(i)=pixorbi那么加密后的口令为c
(1)+c
(2)+.+c(i)。
Page73,包的签名与加密,包的签名与加密:
包的签名指的是RADIUS包中16字节的Authenticator,我们称其为“验证字”。
认证请求包RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字节随机数,这个随机数将用于口令的加密。
Page74,包的签名与加密,认证响应包ResponseAuth=MD5(Code+ID+Length+Authenticator+Attributes+Key)。
记费请求包RequestAcct=MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。
记费响应包ResponseAcct=MD5(Code+ID+Length+RequestAcct+Attributes+Key)。
Page75,本地
升级会员 