pap chap认证FR原理及配置详细讲解.docx
《pap chap认证FR原理及配置详细讲解.docx》由会员分享,可在线阅读,更多相关《pap chap认证FR原理及配置详细讲解.docx(13页珍藏版)》请在冰豆网上搜索。
papchap认证FR原理及配置详细讲解
papchap认证原理及配置详细讲解
2010-05-0710:
12
最近都一直在研究ppp协议和两种认证方式,才发现网上提供的好多的都有错误,而且连书本上同样错,讲的都不详细,今天我就将自已的成果分享出来,供大家学习,如果有什么不懂的地方请留言,我会以最快的速度回复,闲话少说,开始吧。
PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。
并且既可以进行单向认证也可以进行双向认证。
pap是两次握手,认证首先由被认证方发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方。
然后,主认证方接受请求,并在自己的本地用户数据库里查找是否有对应的条目,如果有就接受请求。
如果没有,就拒绝请求。
这种认证方式是不安全的,很容易引起密码的泄露,但是,相对于CHAP认证方式来说,节省了宝贵的链路带宽。
比如说现在的Internet拨号认证接入方式就是PAP认证。
chap是三次握手,认证首先由主认证方发起认证请求,向被认证方发送“挑战”字符串(一些经过摘要算法加工过的随机序列)。
然后,被认证方接到主认证方的认证请求后,将用户名和密码(这个密码是根据“挑战”字符串进行MD5加密的密码)发回给主认证方。
最后,主认证方接收到回应“挑战”字符串后,在自己的本地用户数据库中查找是否有对应的条目,并将用户名对应的密码根据“挑战”字符串进行MD5加密,然后将加密的结果和被认证方发来的加密结果进行比较。
如果两者相同,则认为认证通过,如果不同则认为认证失败
先来讲下pap认证。
1、单向认证
R1只做如下配置(验证服务端)
在配置模式下设定用户名和密码(用户名和密码随意)
R1(config)#usernameapassword123
在端口模式下进行协议的封装和认证方式的指定
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationpap
R2只做如下配置(验证客户端)
在端口模式下进行协议的封装和发送验证信息(对方设置的用户名和密码)
R2(config-if)#encapsulationppp
R2(config-if)#ppppapsent-usernameapassword123
这样就可以完成pap的单向认证
2、双向认证
(其实做完上面的步骤仔细一想,如果两边既是服务端又是客户端口,这样就是双向认证了,不必看下面的也知道该怎么配双向认证了)
R1只做如下配置(既是验证服务端又是客户端)
在配置模式下设定用户名和密码(用户名和密码随意)
R1(config)#usernameapassword123
在端口模式下进行协议的封装、认证方式的指定和发送验证信息(对方设置的用户名和密码)
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationpap
R1(config-if)#ppppapsent-usernamebpassword456
R2只做如下配置(既是验证服务端又是客户端)
在配置模式下设定用户名和密码(用户名和密码随意)
R2(config)#usernamebpassword456
在端口模式下进行协议的封装、认证方式的指定和发送验证信息(对方设置的用户名和密码)
R2(config-if)#encapsulationppp
R2(config-if)#pppauthenticationpap
R2(config-if)#ppppapsent-usernameapassword123
这样即可完成pap的双向认证
再来说说chap认证
1、单向认证
R1只做如下配置(验证服务端)
在配置模式下设定用户名和密码(用户名和密码随意)
R1(config)#usernameapassword123
在端口模式下进行协议的封装和认证方式的指定
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationchap
R2只做如下配置(验证客户端)
在端口模式下进行协议的封装和认证时的用户名和密码指定(记住这里不发送用户名和密码,而是发送一个经过加密密码的一个字符串)
R2(config-if)#encapsulationppp
R2(config-if)#pppchaphostnamea
R2(config-if)#pppchappassword123
这样就可以完成chap的单向认证
2、双向认证
(这里和pap有所有同,请注意)
R1只做如下配置(既是验证服务端又是客户端)
在配置模式下设定用户名和密码(用户名可随意且可以不同但密码一定相同,因为最终核对的是同一个密码加密后散列函数,如果密码都不同,认证肯定失败)
R1(config)#usernameapassword123
在端口模式下进行协议的封装和认证方式的指定
R1(config-if)#encapsulationppp
R1(config-if)#pppauthenticationchap
R1(config-if)#pppchaphostnameb//这里只需指定用户名就可以,因为密码双方都知道
R2只做如下配置(既是验证服务端又是客户端)
在配置模式下设定用户名和密码(同上)
R2(config)#usernamebpassword123
在端口模式下进行协议的封装和认证时的用户名和密码指定(记住这里不发送用户名和密码,而是发送一个经过加密密码的一个字符串,也可以解释为什么这里没有sent-username命令)
R2(config-if)#encapsulationppp
R2(config-if)#pppauthenticationchap
R2(config-if)#pppchaphostnamea//同上
这样即可完成chap的双向认证
----------------完----------------------
Frame-Relay配置与相关概念的理解
2010年07月06日星期二16:
00
实验原理:
Frame-Relay(帧中继)简称FR,是国际电信联盟通信标准化组(ITU-T)和美国国家标准化协会(ANSI)制定的一种标准,它定义在公共数据网络(PDN)上发送数据的过程。
它是一种面向连接的数据链路技术,为提高高性能和高效率数据传输进行了技术简化。
由于帧中继没有X.25中使用的窗口流控和重传策略,没有与复杂的纠错相关的开销,因此,帧中继对于需要高吞吐率的应用是非常适宜的。
FR可以在典型速率56Kbit/s到2Mbit/s范围内(更高的速率也可以使用)的多种不同的物理层设备的服务中使用。
提供FR服务的网络既可以是服务于公众的传输网络,也可以使服务于单个企业的私有设备的网络。
FR支持永久虚链路PVC和交换虚链路SVC。
PVC是帧中继虚链路中最普遍的类型,是永久建立的连接,它一般用于DTE设备之间通过FR网络有频繁、持续的数据传输的情况。
SVC是暂时的连接,它一般用于DTE设备之间通过帧中继网络仅有不定时的数据传输的情况。
每一个SVC连接都需要有呼叫建立和拆除过程。
CiscoIOS11.2以上版本支持帧中继SVC。
在实施SVC之前首先要搞清楚:
你的网络运营商是否支持SVC,因为很多运营商仅支持PVC。
对帧中继提供商而言,SVC有几个优点,比如更容易管理帧中继云图,使用它的带宽。
但因为SVC的价格比PVC要高,其协议标准既然相当新,大多数FR网络提供商仍使用PVC,本实验也只配置PVC。
实验目的:
1、了解帧中继的工作原理
2、模拟帧中继网络实现帧中继Point-to-Point通信
3、模拟帧中继网络实现帧中继Multipoint通信
实验网络拓扑:
实验步骤:
一、配置模拟帧中继网络(实际由网络服务商提供,不单单只是一台帧中继交换机,而是由多台帧中继交换机互联构成的,不需要配置)
用一台路由器R2模拟帧中继交换机(三层设备模拟二层设备,只提供物理层和数据链路层的功能)。
命令的具体解释:
1、Frame-relayswitching开启路由器模拟交换机功能
2、Noipaddress不进行IP地址的配置
3、Encapsulationframe-relay[ietf]封装类型为frame-relay(为了配置帧中继接口,必须选择在每一端封装数据流量的封装类型。
有两种可能的帧中继封装:
Cisco封装和IETF封装。
缺省情况下,一个接口使用Cisco帧中继封装方法。
该方法在Cisco中优先选用,但如果路由器在帧中继网络中与另一个厂商的网络设备相连,则不应该使用这种方法。
4、Clockreate64000设置本端的端口速率是64000Kbps/s(设置端口速率只需要在DCE端设置,而DTE端跟随就可以了)
5、Frame-relaylmi-typecisco定义模拟帧中继交换机所使用的LMI类型为Cisco(缺省的LMI类型就是Cisco类型,如果使用CiscoIOS11.1版本或它以前的版本,必须使用手工定义帧中继交换机所使用的LMI类型,命令格式如下:
Router(config-if)#frame-relaylmi-type{ansi|Cisco|q933i}
当使用CiscoIOS11.2及以上版本时,LMI类型可以被自动感知,所以不需要进行任何配置。
如果指定LMI类型,自动感知则不起作用。
6、frame-relayintf-typedce设置本端接口的intf类型为DCE端。
7、frame-relayroute100interfaceserial0/1200设置S0/0端的其中的一个DLCI号为100,并与S0/1端口设置的DLCI号200关联(这样,就可以让两个接口之间通过DLCI互通)
8、frame-relayroute300interfaceserial0/1400设置S0/0端的其中的一个DLCI号为300,并与S0/2端口设置的DLCI号400关联
R2的Serial0/0接口的具体配置:
R2的Serial0/1接口的具体配置:
R2的Serial0/2接口的具体配置:
二、配置point-to-point帧中继通信
点到点:
在一个子接口上建立一条到远端路由器上某个物理接口或某个子接口的PVC连接。
在这种情况下,一条PVC连接两端的接口在同一个子网中,并且每个(子)接口都有一个DLCI号码。
在这种环境中,广播不是什么问题,因为路由器的连接是点到点的,如同一条专线一样。
1、配置物理接口去使用帧中继子接口
子接口是对一个物理接口的逻辑划分。
在水平分割路由环境中,在一个子接口上接收到的路由更新可以向其他子接口发送。
在子接口配置中,每条虚电路都可以被配置成点到点连接,使子接口像一条专线一样操作。
使用子接口的一个主要原因是为了使距离矢量路由协议能在水平分割的路由环境中正确地运作。
在某个子接口上所收到的路由更新广播数据包可以被转发到其他子接口上去。
在一个物理接口上配置子接口,必须用帧中继封装配置接口(Cisco或IETF)。
同时,必须删除在物理接口上配置的任何IP地址,因为每个子接口都有自己的IP地址。
如果物理接口有一个地址,数据帧就不会被子接口接收。
命令解释:
1、interfaceserial0/1进入总接口S0/1
2、Encapsulationfr
升级会员 