PPP协议详解

2010-11-17
第18页
PPP PAP认证配置实例
• （1）定义接口封装类型。
– Ra(config)#interface serial 0 – Ra(config-if)# encapsulation ppp
封装格式改为PPP，默认为HDLC //将
– Rb(config)#interface serial 0 – Rb(config-if)#encapsulation ppp
2010-11-17
第26页
2010-11-17 第8页
PPP协议的层次结构
IP 网络层 数据链路层 物理层 IPCP IPX IPXCP NCP LCP EIA/TIA-232、449、530, V.21、V.35 OTHER BCP
2010-11-17
第9页
PPP帧的格式
2010-11-17
第10页
PPP建立连接的过程
两次握手协议 明文方式进行验证
PPP CHAP验证
Client Challenge RB+挑战报文 RB+挑战报文 Response RA+加密后的密码 RA+加密后的密码 Success 验证成功 Server
RA
Hostname: RA Password: 123
RB
Failure 验证失败
Hostname: RB Password: 123
2010-11-17
第15页
PPP的配置命令
• （1）在接口配置模式下封装PPP协议，配置命令如下：
– Router(config-if)#encapsulation PPP
• （2）在接口配置模式下配置认证方式，配置命令如下：
– Router(config-if)# ppp authentication {pap | chap }
第十章点对点协议PPP
2010-11-17
第1页
本章课题
• 10.1 广域网接入技术概述 • 10.2 点对点协议PPP • 10.3 PPP认证配置
2010-11-17
第2页
广域网的概念
服务供应商
• 广域网（Wide Area Networks，WAN）
–距离远、带宽小、延时大
2010-11-17 第3页
– Ra(config-if)#ppp authentication chap
2010-11-17 第23页
• Rb的配置 • //在接口模式下封装PPP协议
– Rb(config-if)#encapsulation ppp
• //对方路由器主机名，密码和对方一致
– Rb(config)#username Ra password 0 samesecret
CHAP为三次握手协议 CHAP为三次握手协议 只在网络上传输用户名，而并不传输口令 安全性要比PAP高，但认证报文浪费带宽 安全性要比PAP高，但认证报文浪费带宽
PPP认证配置
• PAP和CHAP通常被用在PPP封装的串行线 路上提供安全性认证，每个路由器通过名 字来识别，可以防止未经授权的访问。要 使用PAP/CHAP必须使用PPP封装。
专线
广域网接入技术（第一层）
电路交换
服务供应商
分组交换
服务供应商
X.21 EIA/TIA-232 EIA/TIA-449 EIA/TIAEIA/TIAV.24 V.35 HSSI G.73 EIA-530 EIA2010-11-17 第4页
广域网接入技术（第二层）
专线
HDLC, PPP PPP, HDLC
2010-11-17
Leabharlann Baidu
第20页
• 然后只需要在PAP认证客户端即被验证方 配置一条命令，即可将用户名和密码发送 到验证方。这个用户名和密码是在Rb上设 置的
– Ra(config)#ppp pap sent-username Ra password 0 star //将用户名和密码发送到验 证方
2010-11-17
电路交换
服务供应商
X.25, Frame-Relay Frame-
分组交换
服务供应商
LAPB、 LAPB、Frame Relay、HDLC Relay、 PPP、SDLC、 PPP、SDLC、SMDS
2010-11-17 第5页
点对点协议PPP
• PPP是SLIP（Serial Line Interface protocol）的 继承者。通过同步和异步电路实现路由器到路由 器和主机到网络（Host-to-Network）的连接。 • PPP能支持差错检测，支持各种协议，在连接时 IP地址可复制，具有身份验证功能，可以以各种 方式压缩数据、支持动态地址协商、支持多链路 捆绑。PPP协议是目前使用最广泛的广域网协议
2010-11-17
第22页
• Ra的配置 • //在接口模式下封装PPP协议
– Ra(config-if)#encapsulation ppp
• //对方路由器主机名，密码和对方一致
– Ra(config)#username Rb password 0 samesecret
• //启用CHAP认证
2010-11-17
第17页
PPP的配置命令
• （4）设置本地路由器名。
– Router(config)#hostname hostname1
• 其中，hostname1是路由器的主机名。 • （5）指定被验证方PPP PAP验证的用户名和密码，在接 口模式下的配置命令如下。
– Router(config-if)#ppp pap sent-username username password {0|7} password
• 其中，username1是对端路由器的主机名，password1是 对端用户名对应的密码。密码的设定有明文输入和密文输 入两种，用0是明文输入，用1～7是密文输入，默认输入 方式为明文输入，本书中有凡是涉及密码设定的地方都是 这样使用的。与其他厂家设备互连时，只能采用不加密方 式输入。如果要配置双向验证，还要增加验证方的配置。
PPP的功能
• （1）在串行链路上采用高级数据链路控制 （HDLC）作为在点对点的链路上封装数据报的 基本方法。 • （2）链路控制协议（Link Control Protocol， LCP）用于启动线路、测试、任选功能的协商及 关闭连接。 • （3）网络控制协议（Network Control Protocol， NCP）用来建立和配置不同的网络层协议。PPP 协议允许同时采用多种网络层协议，如IP协议、 IPX协议和DECnet协议。PPP协议使用NCP对多 种协议进行封装。
样将封装格式改为PPP
//同
2010-11-17
第19页
• （2）验证方定义本地数据库（即设置对端拨号的用户名 和密码）。
– Rb(config)#username Ra password star 方用户名和密码 //在验证方配置被验证
• （3）验证方启用PAP认证。
– Rb(config-if)#ppp authentication pap 注意在接口模式下 //验证方启用PAP认证，
• 如果取消配置认证方式则执行如下命令：
– Router(config-if)# no ppp authentication
• 两端的路由器必须使用相同的用户认证协议。
2010-11-17
第16页
PPP的配置命令
• 在全局配置模式下设置对端拨号的用户名和密码。
– Router(config)#username username1 password {0|7} password1
2010-11-17
第6页
PPP协议的特点
• • • • • • （1）能够控制数据链路的建立。 （2）能够对IP地址进行分配和使用。 （3）允许同时采用多种网络层协议。 （4）能够配置和测试数据链路。 （5）能够进行错误检测。 （6）有协商选项，能够对网络层的地址和 数据压缩等进行协商。
第7页
2010-11-17
• //启用CHAP认证
– Rb(config-if)#ppp authentication chap
2010-11-17 第24页
PPP认证的调试
Router#show interfaces serial 0 Router#debug Router#debug ppp authentication
第21页
PPP CHAP认证配置实例
• 同PAP认证一样，CHAP认证配置也要经过3个步 骤，即定义接口封装类型、定义本地数据库、启 用CHAP认证。 • 值得注意的是，在Ra中应建立一个用户，以对端 Ra 路由器主机名为用户名，即用户名应为Rb。同时 在Rb中应建立一个用户，以对端路由器主机名作 为用户名，即Ra。所建立的这两个用户的 password必须相同 。
2010-11-17
第11页
PPP的认证协议
• 口令验证协议（PAP） • 挑战握手协议（CHAP）
2010-11-17
第12页
PPP PAP验证
Client
Request 用户名+ 用户名+密码
Server
Auth Ack 验证成功 Auth Nak 验证失败
Hostname: ruijie Password: 123 username ruijie password 123