5
PPP中的认证协议
6
一. PAP为两次握手协议，它通过用户名及口令来对用户 进行验证。
PAP验证过程如下：
当两端链路可相互传输数据时，被验证方发送本端的用户名及 口令到验证方，验证方根据本端的用户表（或radius服务器）查 看是否有此用户，口令是否正确。如正确则会给对端发送ACK 报文，通告对端已被允许进入下一阶段协商；
9
CHAP验证为加密验证，过程如下：
Client
challenge f f 03 c2 23 01 (id) (len) (challenge)
response f f 03 c2 23 02 (id) (len) (md5)
code success f f 03 c0 23 03 (id) (len) msg
code failure f f 03 c0 23 04 (id) (len) msg
CHAP验证过程
Serv er
10
Part 2：PPPOE协议
11
PPPOE • RFC2516 • 实现PPP帧在以太网上的适配
12
PPPOE的封装格式
IP PPP PPPOE Ethernet
以太网上的PPPOE协议栈
PPP过程阶段
初始化过程保持原来状态直至PPP过程开始建立。当PPP 过程开始被建立，主机和接入服务器必须把资源分配给PPP 协议的虚拟接口。
14
以太网帧结构
01234567890123456 Destination_ADDR （6 octets） Source_ADDR （6 octets） Ether_TYPE （2 octets）
payload
Ether header
Checksum
Destination_ADDR域包括单播以太网目的地址或以太网广播地址（0xffffffff） 。在初始化包中，值是单播或广播地址。Source_ADDR域必须包含源设备的 以太网MAC地址。Ether_TYPE被定义为0x8863（初始化阶段）或0x8864 （PPP过程阶段）。
PPPOE业务原理及配置
1
Part 1：点到点协议（PPP）
2
概念：
点对点协议(PPP)提供了在点对点链路上传输多种协议数据包的一种 标准方法。 PPP主要由三部分组成： 1。 一种封装多种协议数据包的方法； 2。一个链路控制协议（LCP）,用于建立，配置，测试数据链路的连接； 3。一系列的网络控制协议(NCPs)，用于配置和建立不同的网络层协议。
否则发送NAK报文，通告对端验证失败。此时，并不会直接将 链路关闭。只有当验证不过次数达到一定值（缺省为4）时，才 会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新 协商过程（每次拨号拨通后，主动方会送四次 username/password给校验方。如果不通就此次检验失败，并 在下次拨通后retry）
IP PPP PPPOE Ethernet 1483 AAL5 SAR ATM
AAL5上的PPPOE协议栈
13
协议概述 PPPOE有两个明显阶段:
初始化阶段
当一个主机想开始PPPOE进程的时候，它必须先识别对 端的以太网 MAC地址，建立PPPOE的SESSION_ID 。PPP协议 定义端到端之间的关系是客户机-服务器的关系。在初始化 过程中，主机（客户机）发现接入集中器（服务器）。根据 网络拓扑，主机可以和一个以上的接入服务器进行通讯。初 始化过程允许主机与所有的接入服务器通信，并从中选一。 当主机和接入服务器都有了它们要用来在以太网上建立点对 点连接的信息时，初始化完成。
15
PPPOE的以太网payload域定义如图
01234567890123456789012345678901
VER TYPE CODE
SESSION_ID
LENGTH
payload
VER和TYPE域是4位，在这PPPOE说明的版本都必须被设为0x1。 CODE域是8位。SESSION_ID域是16位，被给定的PPP进程所固定。 实际上，SESSION_ID和Source_ADDR，Destination_ADDR域一起定义一个 PPP进程。 LENGTH域为16位，它的值指示PPPOE的payload域长度，它不包括以太网或 PPPOE头的长度在内。
。 PAP的特点:
是在网络上以明文的方式传递用户名及口令，如在传输过程中 被截获，便有可能对网络安全造成极大的威胁。因此，它适用 于对网络安全要求相对较低的环境。
7
PAP验证为明文验证，过程如下：
Client
author req f f 03 c0 23 01 (id) (len) username password
CHAP的验证过程为：
首先由验证方向被验证方发送一些随机产生的报文，并同时 将本端的主机名附带上一起发送给被验证方。被验证方接到 对端对本端的验证请求(Challenge)时，便根据此报文中验证 方的主机名和本端的用户表查找用户口令字，如找到用户表 中与验证方主机名相同的用户，便利用报文ID、此用户的密 钥用Md5算法生成应答（Response），随后将应答和自己的 主机名送回。验证方接到此应答后，用报文ID、本方保留的 口令字（密钥）和随机报文用Md5算法得出结果，与被验证 方应答比较，根据比较结果返回相应的结果（ACK or NAK）。
3
链路控制协议（LCP): 主要用于建立，维护，拆除两个PPP LCP实体之间的物
理路径。在建起链路之后，LCP还提供对链路的测试，检测链 路是否正常。
网络层控制协议(NCP): 主要用于协商在该数据链路上所传输的数据包的格式 与类型
4
PPP协议的特点： 1.PPP协议是数据链路层协议；
2.支持点到点的连接 3.物理层可以是同步电路或异步电路（如framerelay必须为同步电路）； 4.具有各种NCP协议，如IPCP, IPXCP更好地支持了网络层协议； 5.具有验证协议CHAP,PAP，更好了保证了网络的安全性。
auth ack f f 03 c0 23 02 (id) (len) msg
auth nak f f 03 c0 23 03 (id) (len) msg
PAP
Serv er
8
二. CHAP为三次握手协议。
它的特点是，只在网络上传输用户名，而并不传输用户口令， 因此它的安全性要比PAP高。