10_PPP_FR

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

主验证方
Hostname: santacruz Password: boardwalk
username santacruz password boardwalk


PAP是两次握手验证协议,口令以明文传送,被验证方首先发起 验证请求。通过链路反复传送用户名和密码到路由器直到验证完 成确认,否则连接被终止。 由于PAP只进行一次性验证,使得PAP无法抵御黑客的重放攻击
CHAP 验证配置

配置PPP CHAP被验证方 (端口子模式)
Router(config-if)#ppp chap hostname hostname Router(config-if)#ppp chap password {0|7} password

配置PPP CHAP验证方 (全局模式)
Router(config-if)#ppp authentication {chap | chap pap | pap chap | pap} Router(config-if)#exit Router(config)#username username password {0|7} password
PPP协议封装实验
实验目的 (1)通过实验能够掌握配置路由器PPP协议封装及验证方法 实验设备 (1)Cisco2811路由器(2台);PC机4台; (2)双绞线(若干根);反转电缆两根。 实验拓扑图
192.168.1.0/24
RTA 总公司 PC1
192.168.10.0/24
RTB
192.168.2.0/24
PPP 协议配置基本命令

将接口所在串行线路封装PPP协议(端口子模式)
Router(config-if)#encapsulation ppp

设置压缩算法
Router(config-if)#compress {predictor | stac | MPPC}

Cisco路由器支持stacker、predictor和MPPC压缩 Cisco路由器默认封装HDLC PPP是Internet上的标准串行线路封装协议
PPP, SLIP, HDLC 电路交换 (Circuit-switched)
Telephone Company
PPP 协议简介

点对点协议PPP (Point-to-Point Protocol)

由IETF( Internet工程任务组)开发 包含一个用来识别网络层协议的2字节字段,支持IP/IPX 连接建立时检查质量 支持PAP/CHAP身份认证 3个组成部分
PPP协议封装实验
设备/端口 PC1 PC2 路由器A IP地址 192.168.1.2 192.168.2.2 S0/0/0 192.168.10.1 F0/0 192.168.1.1 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 网关 192.168.1.1 192.168.2.1
PPP 的身份认证协议



可选的验证阶段:验证发生在网络层协议配置阶段之前,在链路建立完毕 并且已选择了验证协议之后,通信双方就可被验证了。 在验证阶段要求链路的发起方在验证选项中填写验证信息,以便确认用户 得到了网络管理员能够发起通信的许可。 PPP验证可选择使用两种协议:

密码验证协议(Password Authentication Protocol, PAP) 询问握手验证协议 (Challenge Handshake Authentication Protocol, CHAP)
PPP 协议简介


PPP(Point to Point)即点对点协议,是为同等单元之间传输 数据包而设计的数据链路层协议。 PPP支持如下连接类型:

同步串行连接 异步串行连接 ISDN连接 HSSI连接
PPP, HDLC, SLIP 专线


由于PPP协议具有协议简单、动态IP地址、可对传输数据进行 压缩和入网用户的认证等优点,因而成为广域网使用非常广泛 的协议之一。 PPP主要用于家庭拨号上网、ADSL上网、LAN间点对点连接等

CHAP认证协商由验证方发起,被验证方只发送自己的用户名和口令 默认情况下,被验证方发送自己的主机名作为PPP用户名。 CHAP验证方事先在其用户数据库中设置好各个用户名和相应的密码 CHAP验证方的用户数据库中的用户名即是对方路由器的PPP主机名



PPP协议的封装与验证 PPP协议简介 PPP的身份认证协议 PPP配置基本命令 PPP实验 HDLC协议的封装 HDLC协议简介 HDLC配置基本命令 FR协议的封装 帧中继的基本概念 帧中继配置基本命令 FR实验
PPP协议封装实验
3. 配置路由器A的f0/0端口的IP地址 Rta(config)#interface fastethernet0/0 Rta(config-if)# ip address 192.168.1.1 255.255.255.0 Rta(config-if)#no shutdown Rta(config-if)#end 4. 配置路由器A的s0/0/0端口的IP地址并封装PPP协议 Rta(config)#interface serial0/0/0 Rta(config-if)# ip address 192.168.10.1 255.255.255.0 Rta(config-if)# encapsulation ppp Rta(config-if)#clock rate 64000 Rta(config-if)#no shutdown Rta(config-if)#end Rta#wr 或 Rta#copy run start
PAP/CHAP身份认证过程
本地服 务器 引入 PPP协商 决定 验证 方式
检查本 地数据 库 失败
通过 拆除 连接 通过 开始 PPP
不进行 验证
安全 服务 器
询问安 全服务 器数据 库
PPP验证步骤
PAP 密码验证协议
被验证方
PAP 2-Way Handshake
主机名+密码 “santacruz, boardwalk” 通过 / 拒绝
路由器B
S0/0/0 192.168.10.2
F0/0
192.168.2.1
255.255.255.0
实验用IP地址方案
PPP协议封装实验
步骤3:配置各计算机的IP地址 按照表中所列配置各计算机的IP地址。 步骤4:配置路由器A 在PC1计算机上通过超级终端登录到路由器A上进行配置。 1. 更改路由器A的名称为Rta Router#config terminal Router(config)#hostname Rta Rta(config)# 2. 配置路由器的远程登录和特权模式口令 Rta(config)#line vty 0 4 Rta(config-line)#login Rta(config-line)#password ciscovty Rta(config-line)#exit Rta(config)#enable password ciscoen 或 Rta(config)#enable secret ciscoen
PAP 验证配置

配置PPP PAP被验证方 (端口子模式)
Router(config-if)#ppp pap sent-username username password {0|7} password
Router(config-if)#no ppp pap sent-username

配置PPP PAP验证方 (全局模式)

HDLC(组帧) LCP(链路建立和控制) NCP(上层多协议封装)
PPP 协议 的NCP 层支持 多协议封装
TCP/IP Novell IPX AppleTalk
PPP 封装
链路的建立和控制 在LCP层完成

PPP用NCP进行多种协议的封装 PPP用LCP进行链路的建立与控制 PPP用PAP/CHAP进行身份验证

PAP或CHAP验证是一个双向的过程。在该过程中,被验证方(如主叫用 户)向验证方(如接入服务器)不断发送一个身份识别/密码对,直到该 验证通过或者连接被拆除。



当拨号用户输入PPP命令时,系统会根据事先的配置选择验证方式。如果没有 配置验证,PPP进程会立刻被启动。否则系统会进入下一个步骤。 系统选定将要使用的验证方式,并进行以下两项工作之一:检查本地数据库( 用户名和密码),以检查用户所给出的用户名和密码是否与本地数据库的相匹 配(PAP或CHAP方式);或向安全服务器发送一个验证请求。 系统检查从安全服务器和本地服务器返回的验证响应。如果得到的是一个肯定 的答复,接入方将启动PPP进程;反之,接入方会拒绝用户的接入请求。
PAP : Password Authentication Protocol
CHAP 询问握手验证协议
被验证方
CHAP 3-Way Handshake
随机的挑战 散列后的应答 通过 / 拒绝
主验证方
Hostname: santacruz Password: boardwalk
本地主机名=对方用户名,密码两边一定要相同
PPP 信息帧格式
标志字段 地址字段 控制字段 协议字段 (7E) (FF) (03) (C021)

信息字段
帧校验字段 标志字段 (FCS) (7E)



标志(flag): 值为“7E”(01111110) 地址(address):值恒为“FF”(11111111), 表示网中所有的站都接收该帧 控制(control): 值为“03”(00000011,表示信息帧) 协议(protocol):长度为2字节,它标识出网络层协议数据域的类型。 常用的网络层协议的类型主要有: 0021H—TCP/IP 0023H—OSI 0027H—DEC 数据字段:要传的数据,开头可为网络层的报头。长度可变。 校验字段:2字节

username santacruz password boardwalk

CHAP是三次握手验证协议,不发送口令,主验证方首先发起验证请 求,并可周期性地检验远端节点的身份。该过程在初始链路建立时 便完成,并且在链路完成建立后随时可重复执行。 CHAP具有周期性验证的特性,安全性比PAP高,可抗重放攻击 CHAP :Challenge Handshake Authentication Protocol
第十节课
Baidu Nhomakorabea
网络方案的实施 -广域网协议封 装与验证
本讲内容提要

PPP协议的封装与验证 HDLC协议的封装 帧中继协议的封装



PPP协议的封装与验证 PPP协议简介 PPP的身份认证协议 PPP配置基本命令 PPP实验 HDLC协议的封装 HDLC协议简介 HDLC配置基本命令 FR协议的封装 帧中继的基本概念 帧中继配置基本命令 FR实验
Router(config-if)#ppp authentication {chap | chap pap | pap chap | pap} Router(config-if)#exit Router(config)#username username password {0|7} password
分公司
S0/0/0 S0/0/0 F0/0 F0/0 10.1 10.2 2.1 1.1 DCE DTE Cisco2811 Cisco2811
PC2
PPP协议封装实验拓扑
PPP协议封装实验
实验过程
步骤1:硬件连接。在路由器和计算机断电的状态下,按照拓扑图所示连接
(1)通过反转线将路由器A的Console口和计算机PC1的COM连接起来; (2)通过反转线将路由器B的Console口和计算机PC2的COM连接起来; (3)通过V.35线将两端路由器的S0/0/0端口连接起来; (4)通过交叉线将PC1的网卡RJ-45端口与路由器A的f0/0连接起来; (5)通过交叉线将PC2的网卡RJ-45端口与路由器B的f0/0连接起来; 步骤2:地址规划。设计本实验中的PC机和路由器各端口的IP地址、子网 掩码、网关地址等。
相关文档
最新文档