《计算机网络高级配置》 第九讲 点对点协议PPP.docx

《计算机网络高级配置》 第九讲 点对点协议PPP.docx

《《计算机网络高级配置》 第九讲 点对点协议PPP.docx》由会员分享，可在线阅读，更多相关《《计算机网络高级配置》 第九讲 点对点协议PPP.docx（12页珍藏版）》请在冰豆网上搜索。

《计算机网络高级配置》第九讲点对点协议PPP

2009年12月13日

课题：

第九章点对点协议PPP

教学目的：

1.掌握点对点协议工作原理

2.掌握PAP和CHAP认证过程

3.掌握点对点协议配置方法

教学重点、难点：

1.掌握PAP和CHAP认证过程

2.掌握点对点协议配置方法

教学方法：

案例教学法

教学器材、设备：

计算机、路由器、网线

教案续页第1页

教学步骤、内容

案例一：

点到点专线上的PPP协议

案例二：

以太网上的PPPoE协议

一、广域网接入技术

1.广域网：

距离在几十、几百甚至几千公里范围的网络，将地理上相隔很远的局域网互连起来。

2.广域网接入技术：

解决接入互联网最后一公里问题所采取的技术。

二、PPP概述

1.点对点链路：

提供的是一条预先建立的从客户端经过运营商网络到达远端目标网络的广域网通信路径。

PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。

主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。

▪PPP（Point-to-PointProtocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

▪这种链路提供全双工操作，并按照顺序传递数据包。

▪PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。

▪其物理实现方式有两种：

一种是通过以太网口（这时称之为PPPoE，即PPPoverEthernet），另一种就是利用普通的串行接口。

2.PPP协议组成

PPP协议是目前应用得最广的一种广域网协议，它主要由以下3部分组成：

（1）在串行线路中对上层数据包的封装（HDLC）；

教案续页第2页

教学步骤、内容

（2）用于建立、配置和检测数据链路连接的链路控制协议（LCP）；

（3）用于建立和配置不同网络层协议的网络控制协议（NCP）协议簇。

下面从PPP协议的封装结构和PPP链路协商两个部分对PPP协议进行详细剖析。

PPP协议使用了OSI分层体系结构中的3层

PPPLCP选项

▪身份验证

ØPAP

ØCHAP

▪压缩

▪错误检测

▪多链路

▪PPP回拔

3.PPP帧结构

PPP帧格式和HDLC帧格式相似，主要区别：

PPP是面向字符的，而HDLC是面向位的。

教案续页第3页

教学步骤、内容

4.PPP的工作过程

▪在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：

Ø链路不可用阶段

Ø链路建立阶段

Ø验证阶段

Ø网络层协议阶段

Ø网络终止阶段

三、PAP和CHAP认证

▪PPP支持两种授权协议：

PAP（PasswordAuthenticationProtocol）和CHAP（ChallengeHandAuthenticationProtocol）。

▪密码验证协议（PAP，PasswordAuthenticationProtocol）通过两握手机制，为建立远程节点的验证提供了一个简单的方法。

▪挑战握后验证协议（CHAP，ChallengeHandAuthenticationProtocol）使用三次握手机制来启动一条链路和周期性的验证远程节点。

1.PAP认证

教案续页第4页

教学步骤、内容

ØPAP认证是两次握手，

ØPAP不是一种健壮的身份验证协议。

身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。

2.CHAP认证

▪CHAP为三次握手协议

▪它只在网络上传送用户名而不传送口令

3.PPP验证过程

（1）CHAP身份验证呼叫阶段

（2）CAHP身份验证挑战阶段

教案续页第5页

教学步骤、内容

（3）CHAP身份验证回应阶段

（4）CHAP身份验证回应阶段

（5）CHAP身份验证确认阶段

（6）CHAP身份验证确认阶段（成功）

教案续页第6页

教学步骤、内容

（7）CHAP身份验证确认阶段（失败）

四、配置PPP协议

1.基本配置

Router（config-if）#clockratebps

//配置时钟频率，需要在DCE设备上配置

Router（config-if）#encapsulationencapsulation-type

//配置封装协议。

2.PAP配置

Router（config-if）#usernamename{nopassword|password{password|[0|7]

//服务器端，建立本地口令数据库

Router（config-if）#pppauthentication{chap|pap|chappap|papchap}[callin]

教案续页第7页

教学步骤、内容

//服务器端，要求进行PAP认证

Router（config-if）#ppppapsent-usernameusername[passwordencryption-typepassword]

//客户端将用户名和口令发送到对端

3.配置CHAP认证

Router（config-if）#usernamename{nopassword|password{password|[0|7]

//服务器端和客户端，建立本地口令数据库

Router（config-if）#pppauthentication{chap|pap|chappap|papchap}[callin]

//服务器端，要求进行CHAP认证

4.故障排除

Router#showinterfaceserial

Router#debugppppackets

Router#degubpppauthentication

案例一配置示例：

1）基本配置：

R1#confter

R1（config）#intserial2/0

R1（config-if）#ipadd192.168.0.1255.255.255.252

R1（config-if）#noshutdown

R2#confter

R2（config）#intserial2/0

R2（config-if）#ipadd192.168.0.2255.255.255.252

R2（config-if）#noshutdown

R1#shintserial2/0

查看接口协议为默认的HDLC

2）封装PPP

R1（config）#intserial2/0

R1（config-if）#encapsulationppp

这时发现链路down了，因为两边封装协议不一样

R2（config）#intserial2/0

R2（config-if）#encapsulationppp

这时链路又UP了，因为PPP默认是不作认证的

R1（config）#usernamejxxhpassword123 //建立本地数据库

R1（config）#intserial2/0

R1（config-if）#pppauthenticationpap //指定认证方式为PAP

此时链路又down了，因为R1要求认证

R2（config）#intserial2/0

R2（config-if）#ppppapsent-usernamejxxhpassword123 //指定用于PAP认证的用户名和密码

这时R2会把用户名jxxh和密码 123发给R1做认证，R1对照数据库，匹配成功，因为链路又UP起来，这种认证我们把它称之为单向认证，R1是认证方，R2为被认证方，单向认证一般用于服务器和客户端的网络环境。

如果两端是平级关系，可以考虑做双向认证，两边都认证通过，链路才能建立起来。

R2（config）#usernamexhjxpassword456 //建立本地数据库

R2（config）#intserial2/0

R2（config-if）#pppauthenticationpap  //指定认证方式为PAP

R1（config）#intserial2/0

R1（config-if）#ppppapsent-usernamexhjxpassword456 

//指定用于PAP认证的用户名和密码

在PAP配置过程中，两边的密码可以不同，但本地发送的用户名和密码一定要在对方数据库中能够找到，否则将验证不通过。

另外，在本例中是采用本地数据库做认证，我们也可以采用AAA服务器作认证。

6）CHAP配置过程

R1（config）#usernameR2password123

R1（config-if）#encapsulationppp

R1（config-if）#pppauthenticationchap

R2（config）#usernameR1password123

R2（config-if）#encapsulationppp

R2（config-if）#pppauthenticationchap

在上面的配置中，双方默认都是用真实用户名去和别人验证，我们也可以通过PPPCHAPhostname命令任意指定用户名，但一定要和对端数据库的用户名相同，另外，两边数据库的密码要相同。

在此，我们也可以做单向认证：

R1（config）#usernamejxxhpassword123

R1（config-if）#encapsulationppp

R1（config-if）#pppauthenticationchap

R2（config-if）#encapsulationppp

R2（config-if）#pppchaphostnamejxxh  //指定用于chap验证的用户名

R2（config-if）#pppchappassword123  //指定用于chap验证的密码

五、总结

1.高级数据链路控制（HDLC）协议是基于的一种数据链路层协议，在1979年，国际标准化组织（ISO）使HDLC标准化，它作为一种标准的面向比特的数据链路层协议用来封装同步串行数据链路中的数据。

2.PPP是一个面向连接但不可靠的面向字节的连接，使用无编号帧。

3.PPP支持两种授权协议：

PAP（PasswordAuthenticationProtocol）和CHAP（ChallengeHandAuthenticationProtocol）。

它的优点在于简单、具备用户验证能力、可以解决IP分配等。