CCNA十四点对点PPP协议PAP认证

实验十五点对点PPP协议PAP认证一、实验目的和要求•了解点对点协议（PPP）的工作原理•掌握PPP协议两种认证方式的特点和区别•掌握PPP协议的配置以及PAP认证协议的配置二、实验设备模拟软件：CiscoPacketTracer53_setup_no_tutorials设备：路由器2台，串口线一根三、实验内容在两台路由器上配置PAP或CHAP验证协议，在链路协商时保证安全验证。链路协商时密码以密文的方式传输，更安全。具体包括PAP单向认证和PAP双向认证，以及CHAP单向或双向认证。四、实验拓扑1、PAP单向认证2、PAP双向认证五、背景描述你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP进行链路协商时要验证身份，配置路由器保证链路的建立，并考虑其安全性。六、相关知识1、PPP协议点到点协议（pointtopointprotocol，PPP）是IETF（internetengineeringtaskforce，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了slip中的问题，并成为正式的因特网标准。PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。PPP提供了两种可选的身份认证方法：口令验证协议PAP（passwordauthenticationprotocol，PAP）和质询握手协议（challengehandshakeauthenticationprotocol，chap）。如果双方协商达成一致，也可以不使用任何身份认证方法。2、PAP验证原理PAP是一个简单的、实用的身份验证协议。如图3所示。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。PAP的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但是，因为认证只在链路建立初期进行，节省了宝贵的链路带宽。3、PAP认证过程在上图1中，当认证客户端（被认证一端）路由器发送了用户名或口令后，认证服务器会将收到的用户名或口令和本地口令数据库中的相应信息对比，如果正确则身份认证成功，通信双方的链路最终成功建立。如果被认证一端路由器发送了错误的用户名或口令，认证服务器将继续不断发送身份认证要求指导收到正确的用户名和口令为止。七、实验步骤步骤1.基本配置（包括IP地址配置，服务端时钟配置）RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostRouter(config)#hostnamer1r1(config)#intse2/0r1(config-if)#ipaddr1(config-if)#ipaddress192.168.12.1255.255.255.0r1(config-if)#noshur1(config-if)#noshutdownRouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostRouter(config)#hostnamer2r2(config)#intse2/0r2(config-if)#ipadd192.168.12.2255.255.255.0r2(config-if)#clockrate128000r2(config-if)#noshutr2(config-if)#noshutdown%LINK-5-CHANGED:InterfaceSerial2/0,changedstatetoupr2(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial2/0,changedstatetoupr2(config-if)#exitr2(config)#exit%SYS-5-CONFIG_I:Configuredfromconsolebyconsoler2#ping192.168.12.1测试r2#ping192.168.12.1Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.12.1,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=31/31/32ms步骤二、Pap用户端设置r1(config)#intse2/0r1(config-if)#encapsulationppp//封装ppp协议r1(config-if)#ppppapsent-usernamer1password123456////被验证方在PPP验证阶段，发送自己的用户名和密码到主验证方。r1(config-if)#noshutdownPap服务器端r2#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.r2(config)#usernamer1password123456//将Client端的用户名和密码写入Server端的r2(config)#intse2/0r2(config-if)#encapsulationppp%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial2/0,changedstatetodownr2(config-if)#pppautr2(config-if)#pppauthenticationpapr2(config-if)#noshutdown测试：1、ping192.168.12.22、r1#showintse2/0Serial2/0isup,lineprotocolisup(connected)3、#debugpppauthentication#intse2/0#shutdown#noshutdown八、补充说明1、PAP对口令大小写敏感。2、链路两端必须封装相同的协议。3、注意PAP配置是验证方和被验证方第配置不同之处。4、注意PAP和CHAP中验证方和被验证方用户名和密码的区别与联系。5、要深刻理解配置过程中协议状态转变原因。