10_PPP_FR

第十节课网络方案的实施－广域网协议封装与验证本讲内容提要PPP协议的封装与验证HDLC协议的封装帧中继协议的封装PPP协议的封装与验证PPP协议简介PPP的身份认证协议PPP配置基本命令PPP实验HDLC协议的封装HDLC协议简介HDLC配置基本命令FR协议的封装帧中继的基本概念帧中继配置基本命令FR实验PPP协议简介PPP（PointtoPoint）即点对点协议，是为同等单元之间传输数据包而设计的数据链路层协议。PPP支持如下连接类型：同步串行连接异步串行连接ISDN连接HSSI连接由于PPP协议具有协议简单、动态IP地址、可对传输数据进行压缩和入网用户的认证等优点，因而成为广域网使用非常广泛的协议之一。PPP主要用于家庭拨号上网、ADSL上网、LAN间点对点连接等PPP,HDLC,SLIP专线电路交换（Circuit-switched）PPP,SLIP,HDLCTelephoneCompany点对点协议PPP(Point-to-PointProtocol)由IETF（Internet工程任务组）开发包含一个用来识别网络层协议的2字节字段，支持IP/IPX连接建立时检查质量支持PAP/CHAP身份认证3个组成部分HDLC(组帧)LCP(链路建立和控制)NCP(上层多协议封装)PPP协议简介PPP用NCP进行多种协议的封装PPP用LCP进行链路的建立与控制PPP用PAP/CHAP进行身份验证PPP封装TCP/IPNovellIPXAppleTalkPPP协议的NCP层支持多协议封装链路的建立和控制在LCP层完成PPP信息帧格式标志（flag）：值为“7E”（01111110）地址（address）：值恒为“FF”（11111111），表示网中所有的站都接收该帧控制（control）：值为“03”（00000011，表示信息帧）协议（protocol）：长度为2字节，它标识出网络层协议数据域的类型。常用的网络层协议的类型主要有：0021H—TCP/IP0023H—OSI0027H—DEC数据字段：要传的数据，开头可为网络层的报头。长度可变。校验字段：2字节标志字段(7E)地址字段(FF)控制字段(03)信息字段帧校验字段(FCS)标志字段(7E)协议字段(C021)可选的验证阶段：验证发生在网络层协议配置阶段之前，在链路建立完毕并且已选择了验证协议之后，通信双方就可被验证了。在验证阶段要求链路的发起方在验证选项中填写验证信息，以便确认用户得到了网络管理员能够发起通信的许可。PPP验证可选择使用两种协议：密码验证协议(PasswordAuthenticationProtocol,PAP)询问握手验证协议(ChallengeHandshakeAuthenticationProtocol,CHAP)PAP或CHAP验证是一个双向的过程。在该过程中，被验证方（如主叫用户）向验证方（如接入服务器）不断发送一个身份识别／密码对，直到该验证通过或者连接被拆除。当拨号用户输入PPP命令时，系统会根据事先的配置选择验证方式。如果没有配置验证，PPP进程会立刻被启动。否则系统会进入下一个步骤。系统选定将要使用的验证方式，并进行以下两项工作之一：检查本地数据库（用户名和密码），以检查用户所给出的用户名和密码是否与本地数据库的相匹配（PAP或CHAP方式）；或向安全服务器发送一个验证请求。系统检查从安全服务器和本地服务器返回的验证响应。如果得到的是一个肯定的答复，接入方将启动PPP进程；反之，接入方会拒绝用户的接入请求。PPP的身份认证协议决定验证方式引入PPP协商开始PPP拆除连接安全服务器PPP验证步骤检查本地数据库询问安全服务器数据库不进行验证通过通过失败本地服务器PAP/CHAP身份认证过程PAP密码验证协议PAP是两次握手验证协议，口令以明文传送，被验证方首先发起验证请求。通过链路反复传送用户名和密码到路由器直到验证完成确认，否则连接被终止。由于PAP只进行一次性验证，使得PAP无法抵御黑客的重放攻击被验证方主验证方主机名＋密码通过/拒绝PAP2-WayHandshakeHostname:santacruzPassword:boardwalkusernamesantacruzpasswordboardwalk“santacruz,boardwalk”PAP:PasswordAuthenticationProtocolCHAP询问握手验证协议CHAP是三次握手验证协议，不发送口令，主验证方首先发起验证请求，并可周期性地检验远端节点的身份。该过程在初始链路建立时便完成，并且在链路完成建立后随时可重复执行。CHAP具有周期性验证的特性，安全性比PAP高，可抗重放攻击被验证方主验证方散列后的应答通过/拒绝随机的挑战本地主机名＝对方用户名，密码两边一定要相同CHAP:ChallengeHandshakeAuthenticationProtocolCHAP3-WayHandshakeHostname:santacruzPassword:boardwalkusernamesantacruzpasswordboardwalkCisco路由器支持stacker、predictor和MPPC压缩Cisco路由器默认封装HDLCPPP是Internet上的标准串行线路封装协议Router(config-if)#encapsulationpppPPP协议配置基本命令将接口所在串行线路封装PPP协议(端口子模式)设置压缩算法Router(config-if)#compress{predictor|stac|MPPC}PAP验证配置配置PPPPAP被验证方(端口子模式)Router(config-if)#ppppapsent-usernameusernamepassword{0|7}passwordRouter(config-if)#noppppapsent-username配置PPPPAP验证方(全局模式)Router(config-if)#pppauthentication{chap|chappap|papchap|pap}Router(config-if)#exitRouter(config)#usernameusernamepassword{0|7}passwordCHAP验证配置配置PPPCHAP被验证方(端口子模式)Router(config-if)#pppchaphostnamehostnameRouter(config-if)#pppchappassword{0|7}password配置PPPCHAP验证方(全局模式)Router(config-if)#pppauthentication{chap|chappap|papchap|pap}Router(config-if)#exitRouter(config)#usernameusernamepassword{0|7}passwordCHAP认证协商由验证方发起，被验证方只发送自己的用户名和口令默认情况下，被验证方发送自己的主机名作为PPP用户名。CHAP验证方事先在其用户数据库中设置好各个用户名和相应的密码CHAP验证方的用户数据库中的用户名即是对方路由器的PPP主机名PPP协议的封装与验证PPP协议简介PPP的身份认证协议PPP配置基本命令PPP实验HDLC协议的封装HDLC协议简介HDLC配置基本命令FR协议的封装帧中继的基本概念帧中继配置基本命令FR实验PPP协议封装实验实验目的（1）通过实验能够掌握配置路由器PPP协议封装及验证方法实验设备（1）Cisco2811路由器（2台）；PC机4台；（2）双绞线（若干根）；反转电缆两根。实验拓扑图PPP协议封装实验拓扑RTAS0/0/010.1DCERTB192.168.10.0/24PC2S0/0/010.2DTE分公司总公司F0/01.1F0/02.1192.168.2.0/24192.168.1.0/24PC1Cisco2811Cisco2811实验过程步骤1：硬件连接。在路由器和计算机断电的状态下，按照拓扑图所示连接PPP协议封装实验（1）通过反转线将路由器A的Console口和计算机PC1的COM连接起来；（2）通过反转线将路由器B的Console口和计算机PC2的COM连接起来；（3）通过V.35线将两端路由器的S0/0/0端口连接起来；（4）通过交叉线将PC1的网卡RJ-45端口与路由器A的f0/0连接起来；（5）通过交叉线将PC2的网卡RJ-45端口与路由器B的f0/0连接起来；步骤2：地址规划。设计本实验中的PC机和路由器各端口的IP地址、子网掩码、网关地址等。设备/端口IP地址子网掩码网关PC1192.168.1.2255.255.255.0192.168.1.1PC2192.168.2.2255.255.255.0192.168.2.1路由器AS0/0/0192.168.10.1255.255.255.0F0/0192.168.1.1255.255.255.0路由器BS0/0/0192.168.10.2255.255.255.0F0/0192.168.2.1255.255.255.0实验用IP地址方案PPP协议封装实验步骤3：配置各计算机的IP地址按照表中所列配置各计算机的IP地址。步骤4：配置路由器A在PC1计算机上通过超级终端登录到路由器A上进行配置。1.更改路由器A的名称为RtaRouter#configterminalRouter(config)#hostnameRtaRta(config)#2.配置路由器的远程登录和特权模式口令Rta(config)#linevty04Rta(config-line)#loginRta(config-line)#passwordciscovtyRta(config-line)#exitRta(config)#enablepasswordciscoen或Rta(config)#enablesecretciscoenPPP协议封装实验3.配置路由器A的f0/0端口的IP地址Rta(config)#interfacefastethernet0/0Rta(config-if)#ipaddress192.168.1.1255.255.255.0Rta(config-if)#noshutdownRta(config-if)#end4.配置路由器A的s0/0/0端口的IP地址并封装PPP协议Rta(config)#interfaceserial0/0/0Rta(config-if)#ipaddress192.168.10.1255.255.255.0Rta(config-if)#encapsulationpppRta(config-if)#clockrate64000Rta(config-if)#noshutdownRta(config-if)#endRta#wr或Rta#copyrunstartPPP协议封装实验5．查看此时路由器A的S0/0/0端口状态Rta#showipinterfacebriefInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/0192.168.1.1YESmanualupupSerial0/0/0192.168.10.1YESmanualdowndown6.配置静态路由Rta(config)#iproute192.168.2.0255.255.255.0192.168.10.2或Rta(config)#iproute192.168.2.0255.255.255.0s0/0/0Rta(config)#exitRta#wr或Rta#copyrunstartRta#showiproutePPP协议封装实验步骤5：配置路由器B在PC2计算机上通过超级