hcip笔记小结

LCP建立

1、MRU值：在PPP数据帧中所允许携带的最大数据单元，单位字节，默认1500
2、认证方式：根据第二阶段认证来判断，若存在认证，则需要协商认证方式；若不存在认证，则不需要
协商。
3、魔术字：用来检测链路中是否存在环路，是由本地设备随机生成的字符串（设备序列号、硬件地址）

协商过程

认证阶段

PPP的认证，一般是通过AAA管理框架来完成的

认证是双向的，但是也可以做单向，但是一般不建议。

两种认证方式：PAP、CHAP

PAP

密码认证协议----是一种明文的认证方式

配置方法认证方

创建用户信息

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei password cipher

123456

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei service-type ppp

配置认证方式

[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode pap

被认证方

[r2-Serial4/0/0]ppp pap local-user huawei password cipher 123456

PPP会话的建立是一次性会话方式，当第一次链路建立完成后，后续修改认证方式不会影响链路的通

讯。

CHAP认证

挑战握手协议-----该认证不再是传递明文信息，而是采用对比摘要值的方式进行认证。

认证过程

认证方先发送一个挑战报文，里面包含的是认证方的用户名和一个随机值。

被认证方接收到后，需要根据该用户名的信息在本地进行查找，找到其对应的密码，然

后将密码和随机值一起进行HASH运算，得出摘要值。

然后被认证方将自己的用户名和该摘要值发送给认证方

认证方通过接受到的用户名找到对应密码，再将密码与自己本地产生的随机值，进行

HASH运算，若所得到的摘要值与认证方发送的摘要值相同，则代表通过认证。

认证配置

认证方

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip password cipher 666666

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip service-type ppp

[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode chap

被认证方

[r2-Serial4/0/0]ppp chap user ccip

[r2-Serial4/0/0]ppp chap password cipher 666666

一条PPP链路的两端可以使用不同的认证协议认证对端，但是被认证方必须支持认证方要求使用的认

证协议并正确配置用户名和密码等信息。

网络层协议协商阶段---NCP协商

通过NCP协议来对网络层参数进行协商。----IPCP协议

协商内容

IP报文的压缩方式

IP地址---检测该IP地址是否为可用IP地址，且不于自己的IP地址冲突

协商过程

静态地址协商

一旦认可了对方的IP地址，则将会自动学习到达该IP地址的主机路由。----在PPP网络中，通

讯双方的IP地址可以不同。

动态地址协商

配置命令

配置方

[r2-Serial4/0/0]remote address 1.1.1.1

获取方

[r1-Serial4/0/0]ip address ppp-negotiate

AAA

定义---认证、授权和计费的简称，是网络安全的一种管理机制，提供了认证、授权和计费三种安全功

能。安全功能

认证---用于验证用户是否可以获取网络访问权限

授权---授予用户可以使用的服务类型

计费---记录用户使用网络资源的情况

AAA域

每一个用户都属于一个域，一个域是由属于同一个域的用户构成的集合群体。

域下信息

一个域统一管理AAA方案、服务器模板和授权。

AAA方案----分为认证方案、授权方案和计费方案，用来定义认证、授权和计费的方式方法

服务器模板---用来配置认证、授权或计费使用的服务器。

授权信息分为两类

本地授权（域下授权信息）：用户从域下获取的授权信息

服务器授权：用户从域下和服务器同时获取的授权信息

若域下授权信息与服务器授权信息冲突，则遵照服务器授权信息执行

若不冲突，则两者同时执行

用户所属域

用户属于哪一个域----根据NAS设备来判断。

NAS设备存储了一个区域内部所有的用户信息，以及其对应的域信息。

当用户名中携带了域名信息，则NAS设备会根据域名将其归属到对应域下，并回复该域下所配置的AAA

方案、服务器模板、域下授权信息。如果用户名没有携带域名信息，则会将其归属到默认域中。

默认域中自带默认的认证方案、授权方案和计费方案。

AAA方案

认证方案

认证方案用来定义用户认证时所使用的的认证方法以及每种认证方法的生效顺序。
认证方案必须应用到域。

设备支持的认证方式