广域网协议封装与验证配置.docx

广域网协议封装与验证配置.docx

《广域网协议封装与验证配置.docx》由会员分享，可在线阅读，更多相关《广域网协议封装与验证配置.docx（15页珍藏版）》请在冰豆网上搜索。

广域网协议封装与验证配置

项目九广域网协议封装与验证

编写：

daiwell

学习目标

1.了解广域网协议PPP的封装的基本知识；

2.懂得PPPPAP和CHAP的工作过程；

3.掌握PPPPAP验证的配置方法；

3.掌握PPPCHAP验证的配置方法。

任务15广域网协议PPP的封装与安全验证

9.1工作任务

现公司总公司与分公司联网需要经过两个路由器，路由器之间采用V.35串口连接，为了提高安全性，两个路由器链路协商时需要验证身份。

要求你在广域网协议PPP封装的基础上，分别实现PAP验证和CHAP验证。

9.2相关知识

点对点协议（PointtoPointProtocol，简称PPP），为在点对点连接上传输多协议数据包提供了一个标准方法，属于数据链路层协议。

PPP最初设计是为两个对等节点之间的IP流量传输提供一种简单封装协议，在TCP/IP协议中，它是一种用来同步调制连接的数据链路层协议，替代了原来非标准的数据链路层协议SLIP（SerialLineInternetProtocol，串行线路网际协议），并成为正式的Internet标准。

PPP协议是在SLIP基础上开发的，解决了动态IP和差错检验问题。

除了TCP/IP协议外，PPP还可以携带其它协议，包括DECnet和Novell的Internet网包交换（IPX）。

9.2.1广域网协议封装与局域网协议封装

让我们先比较广域网协议与局域网协议链路层封装的区别。

针对数据网络协议的原理上来讲，两者之间的区别很小，但是由于应用的场所和物理链路的不同，造成二者的协议设计理念不同。

局域网覆盖范围小，网络链路状态良好，设计时主要是为了保证网络的数据传输的基本功能，由于带宽高，所以封装的字节一般都比较大（例如：

以太网数据链路层封装有18个字节，净载荷最大1500字节，物理层封装有20个字节）

广域网传输距离远，物理链路状态差，为保证数据正确地传达到对方，减少链路的损耗，协议的封装基本上开销很少，PPP协议数据链路层封装只有8个字节净载荷最大1500字节，物理层封装只有2个字节）。

由于广域网物理链路干扰较多，距离远，所以越早开发的广域网协议越复杂，包含的数据封装的类型越多，例如X.25协议，物理链路多位电缆等。

9.2.2PPP协议的特点

PPP协议包含数据链路控制协议（LCP）和网络控制协议（NCP）。

LCP协议提供了通信双方进行参数协商的手段。

NCP协议使PPP可以支持IP、IPX等多种网络层协议及IP地址的自动分配。

PPP具有以下特点。

1.能够控制数据链路的建立；

2.能够对IP地址进行分配和使用；

3.允许同时采用多种网络层协议；

4.能够配置和测试数据链路；

5.能够进行错误检测；

6.支持身份验证，PPP协议支持两种验证方式：

PAP和CHAP。

7.有协商选项，能够对网络层的地址和数据压缩等进行协商。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份验证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用，因此应用十分广泛。

9.2.3串口通信接口

PPP协议是建立在广域网串口通信协议之上的，串口通信协议规定了数据终端设备（DTE）和数据通信设备（DCE）之间的串行二进制数据交换的接口。

由于PPP协议是通过串口通信接口互连的，因此有必要对EIA接口标准进行介绍，如图9.1所示。

图9.1常见串口通信接口

RS-232协议主要用于近距离内计算机和终端之间的通信。

最常用的是RS232C协议，是以非平衡式传输的标准。

接口采用DB25连接器。

规定逻辑0的电平是在－315V，逻辑1的电平是+315V。

最大传输速率为115kbit/s，此时最远传输距离为10米。

RS-449协议主要是为克服RS-232接口标准的通讯距离短和传输速率慢而建立的，它是一种以平衡方式传输的标准，不仅提高了传输速率，而且也解决了地电位差不同而引起的问题。

RS-449规定信号电平为-6V-+6V。

采用DB37作为接口连接器。

传输距离为10米时最大传输速率可达10Mbit/s。

RS-449采用两个伴随标准：

RS-422A和RS-423A。

EIA-530协议采用了平衡方式传输，与RS-449相似的是它能支持设备的高速率数据传输。

但其插头却是与RS-232一样使用DB25连接器。

由于这种协议的设备不多，本文不多介绍。

V.35协议主要用于路由器，接口线采用平衡绞合多线对电缆，每对平衡线两个端子之间正常工作电压为0.55V。

其接口采用DB34连接器，最大传输速率为2Mbit/s。

V.35串口通信接口是最常见的串口通信接口，本任务中采用此接口。

9.2.4PPP协商工作过程

确保路由器双方串行线缆已连接，PPP协议已配置完成，其中DCE接口必须配置Clockrate，并且通讯接口已激活。

图9.2PPP协议工作过程

1.被验证方与验证方协商通信时钟频率，协商一致后，即可建立一条物理连接。

线路进入建立状态。

2.被验证方向验证方发送一系列的数据链路控制协议（LCP）分组，封装成多个PPP帧，协商PPP参数。

协商结束后进入鉴别状态。

3.若已配置PAP或CHAP验证，则双方鉴别身份成功后，否则不需要进行验证就可以进入网络状态。

4.网络控制协议（NCP）将数据封装成符合上层协议兼容的数据帧格式，进入数据通信状态。

5.数据传输结束后，NCP释放与网络层的连接，LCP释放数据链路层连接，转到终止状态，最后释放物理层连接。

9.2.5PAP验证和CHAP验证

如果PPP协议双方协商达成一致，也可以不使用任何身份验证方法。

为了提高网络通信的安全性，PPP提供了两种可选的身份验证方法：

口令验证协议（PasswordAuthenticationProtocol，简称PAP）和质询握手协议（ChallengeHandshakeAuthenticationProtocol，简称CHAP）。

1．PAP验证

PAP验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手，因此，PAP验证不提供任何防护放音和线路探测。

PAP通过两握手机制，为建立远程节点的验证提供了一个简单的方法。

PAP验证可以在一方进行，即由一方验证另一方身份，也可以进行双向身份验证。

这时，要求被验证的双方都要通过对方的验证程序。

否则，无法建立二者之间的链路。

我们以单方验证为例分析PAP配置过程及诊断方法。

当双方都封装了PPP协议且要求进行PAP身份验证，同时它们之间的链路在物理层已激活后。

当被验证方发送了用户名或口令后，验证方会将收到的用户名和口令与本地口令数据库中的口令信息对比，如果正确则身份验证成功，通信双方的链路最终成功建立。

图9.3PAP验证工作过程

如果被验证方发送了错误的用户名或口令，验证方将继续不断地发送身份验证要求直到收到正确的用户名和口令为止。

PAP的弱点是用户的用户名和密码是明文发送的，很有可能被抓包软件捕获而导致安全问题。

验证只在链路建立初期进行，节省了宝贵的链路带宽。

如果验证成功，在通信过程中不再进行验证。

PAP不是一种健壮的身份验证协议，身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。

2．CHAP验证

CHAP验证证比PAP验证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列。

同时，身份验证可以随时进行，包括在双方正常通信过程中。

因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

与PAP相同，CHAP验证可以在一方进行，即由一方验证另一方身份，也可以进行双向身份验证。

这时，要求被验证的双方都要通过对方的验证程序，否则，无法建立二者之间的链路。

这里我们以单方验证为例介绍CHAP验证的工作过程。

图9.4CHAP验证工作过程

a.当验证双方都封装了PPP协议且要求进行CHAP身份验证，同时它们之间的物理层链路已激活，验证方会不停地发送身份验证要求直到身份验证成功。

与PAP不同的是，这时验证方发送的是“挑战”报文。

该报文包含了挑战报文类型标识符、挑战报文序列号、用户名，同时验证方也保存了这些信息。

b.被验证方收到“挑战”报文后，将收到的挑战报文类型标识符、挑战报文序列号、用户名、口令（口令可以用刚收到的“挑战”报文中的用户名找出对应的口令），用MD5计算出哈希值做应答。

c.验证方收到应答报文后，根据保存的信息，用同样的方法，将挑战报文类型标识符、挑战报文序列号、用户名、口令（验证双方的口令是相同的）用MD5计算出哈希值，并与刚收到的应答报文中哈希值比较，如果值相等，则表示验证成功。

否则，连接终止，经过一段随机间隔时间，再发送一个新的“挑战”报文给被验证方。

9.2.6PPP的封装与验证配置命令的格式

1．配置PPP封装

在端口模式下启动PPP封装协议，验证双方都要配置此协议。

Router（config-if）#encapsulationppp

2.配置PAP验证

验证方建立本地口令数据库，name为用户名，0|7标注加密类型，0表示不加密，7表示简单加密，password表示口令。

Router（config-if）#usernamenamepassword[0|7]password

验证双方在接口上启用PAP验证

Router（config-if）#pppauthenticationpap

配置被验证方将用户名和口令发送给验证方，要求与验证方的用户名和口令一致。

Router（config-if）#ppppapsent-usernameusernamepassword[0|7]password

3.配置CHAP验证

验证双方必须指定路由器的主机名

Router（config）#hostnamename

验证双方必须建立本地口令数据库，name填写验证对方的主机名，而不是自己的主机名，验证双方的口令必须相同。

Router（config-if）#usernamenamepassword[0|7]password

验证双方在接口上启用CHAP验证

Router（config-if）#pppauthenticationchap

4．测试命令

Router#showinterfaceserial!

检查二层协议封装，显示LCP和NCP状态

Router#debugppppackets!

观察PPP通信过程中的报文信息

Router#debugpppnegotiation!

查看PPP通信过程中协商信息

Router#degubpppauthentication!

查看PPP通信过程中验证信息

9.3任务实施

任务目标

1、掌握广域网PPP协议封装的配置方法；

2、掌握PAP验证的配置方法；

3、掌握CHAP验证的配置方法；

网络拓扑

RG-RSR20系列路由器（两台）、V.35线缆（1条）

图9.5广域网协议PPP的封装与安全验证配置拓扑图

将Router1和Router1主机名改为Ra和Rb；

Ra的S3/0的IP地址为192.168.1.1/24；

Rb的S3/0的IP地址为192.168.1.2/24；

在PAP验证的配置时，用户名和口令分别为top和sxvtc；

在PAP验证的配置时，用户名按命令要求，口令为sxvtc。

子任务：

PPPPAP验证的配置

实施步骤

步骤1基本配置。

1、路由器Ra

Router#configt

Router（config）#hostnameRa

Ra（config）#intserial3/0

Ra（config-if）#ipaddress192.168.1.1255.255.255.0

Ra（config-if）#clockrate64000

Ra（config-if）#noshut

2、路由器Rb

Router#configt

Router（config）#hostnameRb

Rb（config）#intserial3/0

Rb（config-if）#ipaddress192.168.1.2255.255.255.0

Rb（config-if）#noshut

验证测试：

（以Ra为例）

Ra#showinterfaceserial3/0

Index（dec）:

1（hex）:

1

Serial3/0isUP,lineprotocolisUP

HardwareisSIC-1HSHDLCCONTROLLERSerial

Interfaceaddressis:

192.168.1.1/24

MTU1500bytes,BW2000Kbit

EncapsulationprotocolisHDLC,loopbacknotset

Keepaliveintervalis10sec,set

Carrierdelayis2sec

RXloadis1,Txloadis1

Queueingstrategy:

FIFO

Outputqueue0/40,0drops;

Inputqueue0/75,0drops

1carriertransitions

V35DCEcable

DCD=upDSR=upDTR=upRTS=upCTS=up

5minutesinputrate14bits/sec,0packets/sec

5minutesoutputrate17bits/sec,0packets/sec

34packetsinput,748bytes,0nobuffer,0dropped

Received34broadcasts,0runts,0giants

0inputerrors,0CRC,0frame,0overrun,0abort

35packetsoutput,770bytes,0underruns,0dropped

0outputerrors,0collisions,1interfaceresets

步骤2配置PPPPAP验证。

1、被验证方Ra的配置

Ra（config）#intserial3/0

Ra（config-if）#encapsulationppp!

接口下封装PPP协议

Ra（config-if）#ppppapsent-usernametoppassword0sxvtc

!

PAP验证的用户名、密码

2、验证方Rb的配置

Rb（config）#usernametoppassword0sxvtc!

需要15级权限

!

验证方配置被验证方用户名、密码

Rb（config）#intserial3/0

Rb（config-if）#encapsulationppp

Rb（config-if）#pppauthenticationpap!

PPP启用PAP验证方式

验证测试：

Ra#debugpppauthentication!

观察PAP验证过程

%LINKCHANGED:

Interfaceserial3/0,changedstatetodown

%LINEPROTOCOLCHANGE:

Interfaceserial3/0,changedstatetoDOWN

PPP:

ppp_clear_author（）,protocol%LINKCHANGED:

Interfaceserial3/0,

hangedstatetoup

PPP:

serial3/0PAPACKreceived

PPP:

serial3/0PassedPAPauthenticationwithremote

PPP:

serial3/0lcpauthenticationOK!

PPP:

ppp_clear_author（）,protocol=TYPE_IPCP=TYPE_LCP

%LINEPROTOCOLCHANGE:

Interfaceserial3/0,changedstatetoUP.

步骤3测试：

Ra#ping192.168.1.2

Sending5,100-byteICMPEchoesto192.168.1.2,timeoutis2seconds:

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=30/30/30ms

【注意事项】

1、在DCE端要配置时钟；

2、必须在接口模式下配置PPP封装协议；

3、注意口令的大小写是区分的；

4、debugpppauthentication在路由器物理层up，链路尚未建立的情况下打开才有信息输出，本实验的实质是链路层协商建立的安全性，该信息出现在链路协商的过程中；

5、身份验证也可以双向进行，即互相验证。

配置方法同单向验证类似，只不过需要将通信双方同时配置成为验证服务器和验证客户端。

子任务：

PPPCHAP验证的配置

实施步骤

步骤1基本配置。

1、路由器Ra

Router#configt

Router（config）#hostnameRa

Ra（config）#intserial3/0

Ra（config-if）#ipaddress192.168.1.1255.255.255.0

Ra（config-if）#clockrate64000

Ra（config-if）#noshut

2、路由器Rb

Router#configt

Router（config）#hostnameRb

Rb（config）#intserial3/0

Rb（config-if）#ipaddress192.168.1.2255.255.255.0

Rb（config-if）#noshut

验证测试：

（以Ra为例）

Ra#showinterfaceserial3/0

Index（dec）:

1（hex）:

1

Serial3/0isUP,lineprotocolisUP

HardwareisSIC-1HSHDLCCONTROLLERSerial

Interfaceaddressis:

192.168.1.1/24

MTU1500bytes,BW2000Kbit

EncapsulationprotocolisHDLC,loopbacknotset

Keepaliveintervalis10sec,set

Carrierdelayis2sec

RXloadis1,Txloadis1

Queueingstrategy:

FIFO

Outputqueue0/40,0drops;

Inputqueue0/75,0drops

1carriertransitions

V35DCEcable

DCD=upDSR=upDTR=upRTS=upCTS=up

5minutesinputrate14bits/sec,0packets/sec

5minutesoutputrate17bits/sec,0packets/sec

34packetsinput,748bytes,0nobuffer,0dropped

Received34broadcasts,0runts,0giants

0inputerrors,0CRC,0frame,0overrun,0abort

35packetsoutput,770bytes,0underruns,0dropped

0outputerrors,0collisions,1interfaceresets

步骤2配置PPPCHAP验证｡

1、被验证方Ra的配置

Ra#configt

Ra（config）#usernameRbpassword0top

!

以对方的主机名作为用户名,密码和对方的路由器一致，需要在15级下实现

Ra（config）#interfaceserial3/0

Ra（config-if）#encapsulationppp

Ra（config-if）#pppauthenticationchap!

PPP启用CHAP方式验证

2、验证方Rb的配置

Rb#configt

Rb（config）#usernameRapassword0top

!

以对方的主机名作为用户名,密码和对方的路由器一致，需要在15级下实现

Rb（config）#interfaceserial3/0

Rb（config-if）#encapsulationppp

Rb（config-if）#pppauthenticationchap!

PPP启用CHAP方式验证

验证测试：

Ra#debugpppauthentication!

观察CHAP验证过程

%LINKCHANGED:

Interfaceserial3/0,changedstatetodown

%LINEPROTOCOLCHANGE:

Interfaceserial3/0,changedstatetoDOWN

PPP:

ppp_clear_author（）,protocol=TYPE_LCP

%LINKCHANGED:

Interfaceserial3/0,changedstatetoup

PPP:

serial3/0SendCHAPchallengeid=29toremotehost

PPP:

serial3/0authenticationeventenqueue,messagetype=

RECV_CHAP_RESPONSE]

PPP:

disposeauthenticationmessage[RECV_CHAP_RESPONSE]

PPP:

serial3/0CHAPresponseid=29,receivedfromRb

PPP:

serial3/0SendCHAPsuccessid=29toremote

PPP:

serial3/0remoterouterpassedCHAPauthentication.

PPP:

serial3/0lcpauthenticationOK!

PPP:

ppp_clear_author（）,protocol=TYPE_IPCP

%LINEP