路由器广域网PPP封装配置
1、PPP协议概述
点到点协议(Point-to-point Protocol,PPP)是因特网工程任务组(Internet Engineering Task Force,IETF)推出的点到点类型线路的数据链路层协议。它解决了串行线路网际协议(SLIP)中的问题,并成为正式的因特网标准。
PPP协议是广域网接入链路中广泛使用的一种协议,它把上层(网络层)数据封装成PPP帧通过点到点链路传送。PPP是一套协议,称为PPP协议集,有很多丰富的可选特性,如果网络环境支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协议商、支持多链路捆绑等等。这些丰富的选项增加了PPP协议的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可以使用该协议。因此,PPP协议应用十分广泛。
2、PPP协议链路建立过程
PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样三个部分:链路控制协议LCP;网络控制协议NCP;认证协议。
一个典型PPP协议链路建立分为三个阶段
阶段1:创建PPP链路;阶段2:用户验证;阶段3:调用网络层协议。这样,经过三个阶段之后,一条完整的PPP链路建立起来了。
PPP协议集中的认证协议提供了两种可选的身份认证方法:口令认证协议(Password Authentication Protocol,PAP)和咨询(挑战)握手认证协议(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,可以不使用任何身份认证方法。
3、PPP封装协议的应用环境
PPP封装协议是目前广域网应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。
1)企业环境中异地的互连通常要经过第三方的网络,比如电信、网通、移动等,所以与局域网的配置不同。
2)广域网通常需要付费、带宽比较有限、可靠性相对于局域网要低。 3)家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术发展迅速的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线)接入方式当中,PPP与其他的协议共同派生出了符合看待接入要求的新的协议,如PPPOE(PPP Over Ethernet),PPPOA(PPP Over ATM)。
利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPOE。PPPOE即保护了用户方的以太网资源,又完成了ADSL得接入要求,是目前ADSL接入方式中应用最广泛的技术标准。
同样,在ATM(异步传输模式)网络上运行PPP协议来管理用户认证的方式称为PPPOA。它与PPPOE的原理相同,作用相同,不同的是它是ATM网络上,而PPPOE是在以太网网络上运行,所以要分别使用ATM标准和以太网标准。
PPP封装协议的简单、完整性,使得它得到了广泛的应用,相信在未来的网络技术发展中,它还可以发挥更大的作用。
4、DTE/DEC
串行链路一端连接DTE设备,另一端连接DCE设备,两台DCE设备之间是服务运营商的传输网络。
DTE设备可以是路由器和计算机等。DCE设备通常是一台Modem或CSU/DSU,该设备把来之DTE设备的用户数据转换为WAN链路可以接受的形式,然后传送给对端的DCE设备,对端DCE设备接收到信号后,再把其转换陈DTE识别的比特流。
本节实验主要介绍PPP的身份认证功能。
10.1.1路由器广域网PPP封装PAP验证配置
1、实验背景知识
认证方式之—:口令验证协议(Password Authentication Protocol,PAP) PAP是一种简单的明文验证方式。NAS(网络接入服务器)要求用户提供用户名和口令,PAP以明文方式返回用户信息。显然,这样的验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。
PAP的弱点是用户的用户名和密码是明文发送的,有可能被协议分析软件捕获而导致安全问题。但是,因为认证只在链路建立初期进行,节省了宝贵的链路带宽。
2、实验目的
(1) 掌握路由器广域网PPP封装PAP验证配置 (2)理解DCE和DTE端口连接特点
(3)理解路由器封装匹配 (4) 理解PAP验证过程 4、实验设备与材料清单 (1)Cisco 2503路由器2台 (2)反转线1根 (3)PC机1台 (4) 电源线若干
5、实验拓扑结构图、实物图如图10.1.1图10.1.2所示。
对于同步串行接口,默认的封装格式是HDLC,HDLC是思科路由器的私有实现。可以使用命令Encapsulation PPP将默认的封装HDLC格式改为PPP。
DCE 端口 图10.1.1 实验拓扑结构图
图10.1.2实验实物连接图
DTE端口
当通信双方的某一方封装格式为HDLC,而另一方为PPP时,双方关于封装协议的协商将失败。此时,此链路处于协议性关闭(Protocol down)状态,通信将无法进行。如图10.1.3所示。
Protocol Down
图10.1.3 两端路由器串行接口封装格式不一致
6、实验要求
表10-1 实验配置表 Router-A 接口 S0 DCE 账号 RouterA 7、实验步骤
步骤1:Router-A配置 Router>
IP地址 192.168.1.1 密码 weileiA Router-B 接口 S1 DTE 账号 RouterB IP地址 192.168.1.2 密码 weileiB Router>en !进入模式 Router#config t !进入全局配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Router-A !修改机器名
Router-A(config)#username RouterB password weileiB !设置账号密码 Router-A(config)#int s0 !进入S0端口模式 Router-A(config-if)#ip add 192.168.1.1 255.255.255.0 !配置IP地址 Router-A(config-if)#encapsulation PPP !封装PPP协议 Router-A(config-if)#ppp authentication pap !设置验证方式即PAP Router-A(config-if)#ppp pap sent-username RouterA password weileiA !设置发送给对方验证的账号密码 Router-A(config-if)#clock route 000 ^
% Invalid input detected at '^' marker. !命令书写错误 Router-A(config-if)#clock rate 000 !设置DCE时钟频率 Router-A(config-if)#no shutdown !开启S0端口 Router-a(config-if)#end Router-a#
00:05:12: %LINK-3-UPDOWN: Interface Serial0, changed state to up 00:05:12: %SYS-5-CONFIG_I: Configured from console by console 00:05:13: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up
实验注意事项:
Cisco命令检查器,发现命令输入有误,会有提示符“% Invalid input detected at '^' marker”,命令错误是从‘^'地方开始。
解决方案:一般来说,出现这样的错误是你的命令敲错所造成的,而且 ‘^'标示了错误,换句话说在这个符号之前是没有错的,你从‘^'之后开始找原因;还可以用‘?’来查看命令后面可以跟的参数。
步骤2:查看Router-A配置,如图10.1.4所示
!查看端口状
!端口和协议都UP为正常,如均为down,则表示端口和协议没有配置成功
!查看IP地址
!查看封装协议为PPP
图 10.1.4 查看路由器Router-A配置
步骤3:Router-B的配置 Router> Router>en Router#config t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Router-B
Router-B(config)#username RouterA password weileiA Router-B(config)#int s1
Router-B(config-if)#ip add 192.168.1.2 255.255.255.0 Router-B(config-if)#encapsulation PPP Router-B(config-if)#PPP authentication pap
Router-B(config-if)#PPP pap sent-username RouterB password weileiB Router-B(config-if)#no shutdown
Router-B(config-if)#exit Router-B(config)#
01:10:15: %LINK-3-UPDOWN: Interface Serial1, changed state to up Router-B(config)#end Router-B#
01:10:23: %SYS-5-CONFIG_I: Configured from console by console 步骤4:查看Router-B配置,如图10.1.5所示
!查看端口状态
!端口和协议都UP为正常,如均为down,则表示端口和协议没有配置成!查看IP地址
!查看封装协议为PPP
图10.1.5查看路由器Router-B配置
步骤5:测试连通性,如图10.1.6所示
!表示成功率为100%,否则,测试失败
图10.1.6测试连通性
8、实验总结
1)账号和密码一定要交叉对应,发送的账号和密码要喝对方账号数据库中的账号密码相对应。
2)不要忘记配置DCE端口的时钟频率。
3)注意查看端口状态时,端口和协议都必须是UP状态,一般情况,协议是DOWN状态时,通常是封装类型不匹配或者DCE端口时钟没有配置;端口是DOWN状态时,通常是线缆故障。
4)在实际工程中,DCE设备通常由服务提供商配置,是不需要在DCE端口配置时钟的,但在实验室中,一般需要配置时钟。
路由器广域网PPP封装CHAP验证配置
1、实验背景知识
认证方式之二:咨询(挑战)握手认证协议(Challenge-Handshake Authentication Protocol,CHAP)
相对于PPP封装PAP验证方式来说,CHAP一种加密的PPP封装验证方式,能够避免建立连接时传送用户的真实密码。NAS向远处用户发送一个挑战口令,其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令,会话ID及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存在客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第三方冒出远程客户进行攻击。
2、实验目的
(1)掌握路由器广域网PPP封装CHAP验证配置 (2)理解DCE和DTE端口连接特点 (3)理解CHAP验证过程 (4) 理解路由器封装匹配
3、实验拓扑图、实验实物图如图10.1.7,图10.1.10所示
图10.1.7 实验拓扑结构图
DCE端口
DTE端口
图10.1.10实验实物连接图
4、实验要求
表10-2 实验配置表 Router-A 接口 S0 DCE 账号 RouterA
5、实验步骤
IP地址 192.168.1.1 密码 weileiB Router-B 接口 S1 DTE 账号 RouterB IP地址 192.168.1.2 密码 weileiB 步骤1: Router-A配置,如图10.1.9所示
!封装PPP协议 !设置验证方式
!设置发送给对方验证的账号
图10.1.9 Router-A配置
步骤2:查看配置,如图10.1.10所示
图10.1.10 查看路由器配置
步骤3:测试连通性,如图10.1.11所示
图10.1.11 测试连通性命令
步骤4: Router-B配置,如图10.1.12所示
图10.1.12 Router-B配置
步骤5:查看配置,如图10.1.13所示
图10.1.13 查看路由器配置
步骤4:测试连通性,如图10.1.14所示
图10.1.14 测试连通性
6、实验调试
使用“debug ppp authentication”命令可以查看PPP认证过程。如图10.1.15所示为认证成功的例子。如果认证不失败,会有错误提示或者警告,原因有可能是密码错误等。
!打开认证调试
!由于CHAP认证是在链
路建立之后进行一次,把S0端口关闭重新打开以便观察认证过程
图10.1.15 实验调试命令
7、实验总结
(1)双方密码一定要一致,如本实验中Router-A与Router-B密码要都为weileiB,发送的账号要和对方账号数据库中的账号对应。
(2)DCE端的时钟频率一定要记得配置。
(3)有些配置命令,如果操作熟练,可以简写。如本实验中把“encapsulation”命令简写为“encap”,把“authentication”命令简写为“auth”等等,有些路由器中auth简写时有authentication和authorization两条命令。
(4)在配置验证时也可以选择同时使用PAP和CHAP,如: R(config-if)#ppp authentication chap pap 或 R(config-if)#ppp authentication pap chap
如果同时使用两种验证方式,那么在链路协商阶段将先用第一种验证方式验证。如果对方建议使用第二种验证方式或者只是简单拒绝使用第一种方式,那么将采用第二种方式。
8、课后思考题
1)CHAP和PAP这两种验证有什么不同? 2)CHAP验证是否就一定非常安全呢?
3)尝试在两个路由器中配置不同的密码,观察是否还能建立正常的连接?