《计算机网络高级配置》 第九讲 点对点协议PPP.docx

1、计算机网络高级配置 第九讲 点对点协议PPP2009年12月13日课题： 第九章 点对点协议PPP教学目的： 1.掌握点对点协议工作原理2.掌握PAP和CHAP认证过程3.掌握点对点协议配置方法教学重点、难点： 1.掌握PAP和CHAP认证过程2.掌握点对点协议配置方法教学方法：案例教学法教学器材、设备： 计算机、路由器、网线教 案 续 页 第 1 页教 学 步 骤、内 容案例一：点到点专线上的PPP协议 案例二：以太网上的PPPoE协议 一、广域网接入技术1.广域网：距离在几十、几百甚至几千公里范围的网络，将地理上相隔很远的局域网互连起来。2.广域网接入技术：解决接入互联网最后一公里问题所采

2、取的技术。二、PPP概述1.点对点链路：提供的是一条预先建立的从客户端经过运营商网络到达远端目标网络的广域网通信路径。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。 PPP（Point-to-Point Protocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 这种链路提供全双工操作，并按照顺序传递数据包。 PPP 提供了一种在点对点的链路上封装多协议数据报（ IP 、IPX和AppleTalk）的标准方法。 其物理实现方式有两种

3、：一种是通过以太网口（这时称之为PPPoE，即PPP over Ethernet），另一种就是利用普通的串行接口。 2.PPP协议组成PPP协议是目前应用得最广的一种广域网协议，它主要由以下3部分组成：（1）在串行线路中对上层数据包的封装（HDLC）；教 案 续 页 第 2 页教 学 步 骤、内 容（2）用于建立、配置和检测数据链路连接的链路控制协议(LCP) ；（3）用于建立和配置不同网络层协议的网络控制协议(NCP) 协议簇。下面从PPP协议的封装结构和PPP链路协商两个部分对PPP协议进行详细剖析。 PPP协议使用了OSI分层体系结构中的3层PPP LCP选项 身份验证 PAP CHAP

4、 压缩 错误检测 多链路 PPP回拔3.PPP帧结构PPP帧格式和HDLC帧格式相似，主要区别：PPP是面向字符的，而HDLC是面向位的。教 案 续 页 第 3 页教 学 步 骤、内 容4.PPP的工作过程 在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段： 链路不可用阶段 链路建立阶段 验证阶段 网络层协议阶段 网络终止阶段三、PAP和CHAP认证 PPP支持两种授权协议：PAP（Password Authentication Protocol）和CHAP（Challenge Hand Authentication Protocol）。 密码验证协议（PAP，Password

5、Authentication Protocol）通过两握手机制，为建立远程节点的验证提供了一个简单的方法。 挑战握后验证协议（CHAP，Challenge Hand Authentication Protocol）使用三次握手机制来启动一条链路和周期性的验证远程节点。1.PAP认证教 案 续 页 第 4 页教 学 步 骤、内 容 PAP认证是两次握手， PAP不是一种健壮的身份验证协议。身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。2.CHAP认证 CHAP为三次握手协议 它只在网络上传送用户名而不传送口令3.PPP验证过程（

6、1）CHAP身份验证呼叫阶段（2）CAHP身份验证挑战阶段教 案 续 页 第 5 页教 学 步 骤、内 容（3）CHAP身份验证回应阶段（4）CHAP身份验证回应阶段（5）CHAP身份验证确认阶段（6）CHAP身份验证确认阶段（成功）教 案 续 页 第 6 页教 学 步 骤、内 容（7）CHAP身份验证确认阶段（失败）四、配置PPP协议1.基本配置Router(config-if)# clock rate bps/配置时钟频率，需要在DCE设备上配置Router(config-if)# encapsulation encapsulation-type/配置封装协议。2.PAP配置Router(

7、config-if)# username name nopassword | password password | 0|7 /服务器端，建立本地口令数据库Router(config-if)# ppp authentication chap|pap|chap pap|pap chap callin 教 案 续 页 第 7 页教 学 步 骤、内 容/服务器端，要求进行PAP认证Router(config-if)# ppp pap sent-username username password encryption-type password /客户端将用户名和口令发送到对端3.配置CHAP认证R

8、outer(config-if)# username name nopassword | password password | 0|7 /服务器端和客户端，建立本地口令数据库Router(config-if)# ppp authentication chap|pap|chap pap|pap chap callin /服务器端，要求进行CHAP认证4.故障排除Router#show interface serialRouter#debug ppp packetsRouter#degub ppp authentication案例一配置示例：1) 基本配置：R1#conf terR1(confi

9、g)#int serial 2/0R1(config-if)#ip add 192.168.0.1 255.255.255.252R1(config-if)#no shutdownR2#conf terR2(config)#int serial 2/0 R2(config-if)#ip add 192.168.0.2 255.255.255.252R2(config-if)#no shutdownR1#sh int serial 2/0查看接口协议为默认的HDLC2)封装PPPR1(config)#int serial 2/0R1(config-if)#encapsulation ppp这时发

10、现链路down了，因为两边封装协议不一样R2(config)#int serial 2/0 R2(config-if)#encapsulation ppp这时链路又UP了，因为PPP默认是不作认证的R1(config)#username jxxh password 123/建立本地数据库R1(config)#int serial 2/0 R1(config-if)#ppp authentication pap /指定认证方式为PAP此时链路又down了，因为R1要求认证R2(config)#int serial 2/0 R2(config-if)#ppp pap sent-username j

11、xxh password 123 /指定用于PAP认证的用户名和密码这时R2会把用户名jxxh和密码123发给R1做认证，R1对照数据库，匹配成功，因为链路又UP起来，这种认证我们把它称之为单向认证，R1是认证方，R2为被认证方，单向认证一般用于服务器和客户端的网络环境。如果两端是平级关系，可以考虑做双向认证，两边都认证通过，链路才能建立起来。R2(config)#username xhjx password 456/建立本地数据库R2(config)#int serial 2/0 R2(config-if)#ppp authentication pap/指定认证方式为PAPR1(config

12、)#int serial 2/0 R1(config-if)#ppp pap sent-username xhjx password 456 /指定用于PAP认证的用户名和密码在PAP配置过程中，两边的密码可以不同，但本地发送的用户名和密码一定要在对方数据库中能够找到，否则将验证不通过。另外，在本例中是采用本地数据库做认证，我们也可以采用AAA服务器作认证。6)CHAP配置过程R1(config)#username R2 password 123R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2(conf

13、ig)#username R1 password 123R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chap在上面的配置中，双方默认都是用真实用户名去和别人验证，我们也可以通过PPP CHAP hostname命令任意指定用户名，但一定要和对端数据库的用户名相同，另外，两边数据库的密码要相同。在此，我们也可以做单向认证：R1(config)#username jxxh password 123R1(config-if)#encapsulation pppR1(config-if)#ppp authenticat

14、ion chapR2(config-if)#encapsulation pppR2(config-if)#ppp chap hostname jxxh/指定用于chap验证的用户名R2(config-if)#ppp chap password 123/指定用于chap验证的密码五、总结1.高级数据链路控制（HDLC）协议是基于的一种数据链路层协议，在1979年，国际标准化组织（ISO）使HDLC标准化，它作为一种标准的面向比特的数据链路层协议用来封装同步串行数据链路中的数据。2.PPP是一个面向连接但不可靠的面向字节的连接，使用无编号帧。3.PPP支持两种授权协议：PAP（Password Authentication Protocol）和CHAP（Challenge Hand Authentication Protocol）。它的优点在于简单、具备用户验证能力、可以解决IP分配等。