PPP协议详解.ppt
《PPP协议详解.ppt》由会员分享,可在线阅读,更多相关《PPP协议详解.ppt(31页珍藏版)》请在冰豆网上搜索。
点对点协议PPP2022/11/3第1页广域网接入技术概述点对点协议PPPPPP认证配置2022/11/3第2页本章课题广域网(WideAreaNetworks,WAN)距离远、带宽小、延时大2022/11/3第3页广域网的概念服务供应商服务供应商服务供应商服务供应商广域网接入技术(第一层)2022/11/3第4页专线专线电路交换电路交换分组交换分组交换服务供应商服务供应商服务供应商服务供应商服务供应商服务供应商服务供应商服务供应商X.21EIA/TIA-232EIA/TIA-449X.21EIA/TIA-232EIA/TIA-449V.24V.35HSSIG.73EIA-530V.24V.35HSSIG.73EIA-530广域网接入技术(第二层)2022/11/3第5页HDLC,PPPHDLC,PPPPPP,HDLCPPP,HDLCX.25,Frame-RelayX.25,Frame-Relay专线专线电路交换电路交换分组交换分组交换服务供应商服务供应商服务供应商服务供应商LAPBLAPBLAPBLAPB、FrameRelayFrameRelayFrameRelayFrameRelay、HDLCHDLCHDLCHDLCPPPPPPPPPPPP、SDLCSDLCSDLCSDLC、SMDSSMDSSMDSSMDSPPP是SLIP(SerialLineInterfaceprotocol)的继承者。
通过同步和异步电路实现路由器到路由器和主机到网络(Host-to-Network)的连接。
PPP能支持差错检测,支持各种协议,在连接时IP地址可复制,具有身份验证功能,可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑。
PPP协议是目前使用最广泛的广域网协议2022/11/3第6页点对点协议PPP
(1)能够控制数据链路的建立。
(2)能够对IP地址进行分配和使用。
(3)允许同时采用多种网络层协议。
(4)能够配置和测试数据链路。
(5)能够进行错误检测。
(6)有协商选项,能够对网络层的地址和数据压缩等进行协商。
2022/11/3第7页PPP协议的特点
(1)在串行链路上采用高级数据链路控制(HDLC)作为在点对点的链路上封装数据报的基本方法。
(2)链路控制协议(LinkControlProtocol,LCP)用于启动线路、测试、任选功能的协商及关闭连接。
(3)网络控制协议(NetworkControlProtocol,NCP)用来建立和配置不同的网络层协议。
PPP协议允许同时采用多种网络层协议,如IP协议、IPX协议和DECnet协议。
PPP协议使用NCP对多种协议进行封装。
2022/11/3第8页PPP的功能2022/11/3第9页PPP协议的层次结构网络层IPIPXOTHERIPCPIPXCPBCPNCP数据链路层LCP物理层EIA/TIA-232、449、530,V.21、V.352022/11/3第10页PPP帧的格式2022/11/3第11页PPP建立连接的过程口令验证协议(PAP)挑战握手协议(CHAP)PAP全称为:
PasswordAuthenticationProtocol(口令认证协议),是PPP中的基本认证协议。
PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。
CHAP全称为:
ChallengeHandshakeAuthenticationProtocol(挑战握手认证协议),主要就是针对PPP的,除了在拨号开始时使用外,还可以在连接建立后的任何时刻使用。
2022/11/3第12页PPP的认证协议ClientServerHostname:
ruijiePassword:
123usernameruijiepassword123AuthNakAuthNakAuthAckAuthAck两次握手协议两次握手协议明文方式进行验证明文方式进行验证PPPPAP验证RequestRequest用户名用户名用户名用户名+密码密码密码密码验证成功验证成功验证成功验证成功验证失败验证失败验证失败验证失败ClientServerHostname:
RAPassword:
123Hostname:
RBPassword:
123ChallengeSuccessFailureCHAPCHAP为三次握手协议为三次握手协议只在网络上传输用户名,而并不传输口令只在网络上传输用户名,而并不传输口令安全性要比安全性要比PAPPAP高,但认证报文浪费带宽高,但认证报文浪费带宽RBRAPPPCHAP验证RB+RB+挑战报文挑战报文挑战报文挑战报文ResponseResponseRA+RA+加密后的密码加密后的密码加密后的密码加密后的密码验证成功验证成功验证成功验证成功验证失败验证失败验证失败验证失败2022/11/3第15页Ppp认证实验有四方式:
1、使用PAP单向认证;2、使用PAP双向认证;3、CHAP单向认证;4、CHAP双向认证。
ciscopackettracer环境下做环境下做ppp实验实验拓扑:
建立如下的网络拓扑结构建立如下的网络拓扑结构配置路由器的基本配置路由器的基本参数参数(ping测试)测试)Ip、速率、速率在路由器中配置在路由器中配置PPP协议协议(两次(两次ping测试)测试)封装协议封装协议(encapsulationppp)在路由器中配置在路由器中配置PPP协议协议的的单向单向PAP认证认证(两次(两次ping测试)测试)用户名和密码创建、启用用户名和密码创建、启用PAP认证认证使用PAP单向认证2022/11/3第16页建立如下的网络拓扑结构建立如下的网络拓扑结构配置路由器的基本配置路由器的基本参数参数(ping测试)测试)Ip、速率、速率在路由器中配置在路由器中配置PPP协议协议(两次(两次ping测试)测试)封装协议封装协议(encapsulationppp)在路由器中配置在路由器中配置PPP协议协议的的双向双向PAP认证认证(ping测测试)试)用户名和密码创建、启用用户名和密码创建、启用PAP认证认证使用PAP双向认证2022/11/3第17页建立如下的网络拓扑结构建立如下的网络拓扑结构配置路由器的基本配置路由器的基本参数参数(ping测试)测试)Ip、速率、速率在路由器中配置在路由器中配置PPP协议协议(两次(两次ping测试)测试)封装协议封装协议(encapsulationppp)在路由器中配置在路由器中配置PPP协议协议的的单向单向CHAP认证认证(ping测测试)试)用户名和密码创建、启用用户名和密码创建、启用CHAP认证认证使用CHAP单向认证2022/11/3第18页CHAP验证时要求握手验证方式,安全性较高,采用密文传送用户名。
主验方和被验方两边都有数据库。
要求双方的用户名互为对方的主机名,即本端的用户名等于对端的主机名,且口令相同。
建立如下的网络拓扑结构建立如下的网络拓扑结构配置路由器的基本配置路由器的基本参数参数(ping测试)测试)Ip、速率、速率在路由器中配置在路由器中配置PPP协议协议(两次(两次ping测试)测试)封装协议封装协议(encapsulationppp)在路由器中配置在路由器中配置PPP协议协议的的双向双向CHAP认证认证(ping测测试)试)用户名和密码创建、启用用户名和密码创建、启用CHAP认证认证使用CHAP双向认证2022/11/3第19页PAP和CHAP通常被用在PPP封装的串行线路上提供安全性认证,每个路由器通过名字来识别,可以防止未经授权的访问。
要使用PAP/CHAP必须使用PPP封装。
2022/11/3第20页PPP认证配置
(1)在接口配置模式下封装PPP协议,配置命令如下:
Router(config-if)#encapsulationPPP
(2)在接口配置模式下配置认证方式,配置命令如下:
Router(config-if)#pppauthenticationpap|chap如果取消配置认证方式则执行如下命令:
Router(config-if)#nopppauthentication两端的路由器必须使用相同的用户认证协议。
2022/11/3第21页PPP的配置命令在全局配置模式下设置对端拨号的用户名和密码。
Router(config)#usernameusername1password0|7password1其中,username1是对端路由器的主机名,password1是对端用户名对应的密码。
密码的设定有明文输入和密文输入两种,用0是明文输入,用17是密文输入,默认输入方式为明文输入,本书中有凡是涉及密码设定的地方都是这样使用的。
与其他厂家设备互连时,只能采用不加密方式输入。
如果要配置双向验证,还要增加验证方的配置。
2022/11/3第22页PPP的配置命令(4)设置本地路由器名。
Router(config)#hostnamehostname1其中,hostname1是路由器的主机名。
(5)指定被验证方PPPPAP验证的用户名和密码,在接口模式下的配置命令如下。
Router(config-if)#ppppapsent-usernameusernamepassword0|7password2022/11/3第23页PPP的配置命令
(1)定义接口封装类型。
Ra(config)#interfaceserial0Ra(config-if)#encapsulationppp/将封装格式改为PPP,默认为HDLCRb(config)#interfaceserial0Rb(config-if)#encapsulationppp/同样将封装格式改为PPP2022/11/3第24页PPPPAP认证配置实例
(2)验证方定义本地数据库(即设置对端拨号的用户名和密码)。
Rb(config)#usernameRapasswordstar/在验证方配置被验证方用户名和密码(3)验证方启用PAP认证。
Rb(config-if)#pppauthenticationpap/验证方启用PAP认证,注意在接口模式下2022/11/3第25页然后只需要在PAP认证客户端即被验证方配置一条命令,即可将用户名和密码发送到验证方。
这个用户名和密码是在Rb上设置的Ra(config)#ppppapsent-usernameRapassword0star/将用户名和密码发送到验证方2022/11/3第26页同PAP认证一样,CHAP认证配置也要经过3个步骤,即定义接口封装类型、定义本地数据库、启用CHAP认证。
值得注意的是,在Ra中应建立一个用户,以对端路由器主机名为用户名,即用户名应为Rb。
同时在Rb中应建立一个用户,以对端路由器主机名作为用户名,即Ra。
所建立的这两个用户的password必须相同。
2022/11/3第27页PPPCHAP认证配置实例Ra的配置/在接口模式下封装PPP协议Ra(config-if)#encapsulationppp/对方路由器主机名,密码和对方一致Ra(config)#usernameRbpassword0samesecret/启用CHAP认证Ra(config-if)#pppauthenticationchap2022/11/3第28页Rb的配置/在接口模式下封装PPP协议Rb(config-if)#encapsulationppp/对方路由器主机名,密码和对方一致Rb(config)#usernameRapassword0samesecret/启用CHAP认证Rb(config-if)#pppauthenticationchap2022/11/3第29页Router#showinterfacesRouter#showinterfacesserialserial00RouterRouterRouter#debugpppauthentication#debugpppauthentication#debugpppauthenticationPPP认证的调试
升级会员 