PPP协议封装、认证配置

合集下载

4.1广域网协议封装与PPP的PAP认证

4.1 广域网协议封装与PPP的PAP认证【项目情境】假设你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，以保证链路的安全性。

也是对ISP进行正常的交费与后续合作的重要保证。

要求链路协商时以明文的方式进行传输。

【项目目的】1.掌握广域网链路的多种封装形式。

2.掌握ppp协议的封装与PAP验证配置。

3.掌握PAP配置的测试方法、观察和记录测试结果。

4.了解PAP以明文方式，通过两次握手，完成验证的过程。

【相关设备】路由器两台、V.35线缆一对。

【项目拓扑】【项目任务】1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。

两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。

配置RouterA和RouterB的S0/1口地址。

在RouterA的S0/1口上配置同步时钟为64000。

2.在两个路由器的连接专线上封装广域网协议PPP，并查看端口的显示信息，测试两个路由器之间的联连性。

(封装的广域网协议还有：HDLC、X.25、Frame-relay、ATM，双方封装的协议必须相同，否则不通)3.在两个路由器的连接专线上建立PPP协议的PAP认证，RouterA 为被验证方，RouterB为验证方(即密码验证协议，双方通过两次握手，完成验证过程)，并测试两个路由器之间的联连性(明文方式进行密码验证，通过PPP的LCP层链路建立成功，两个路由器才可互通)。

先通过show running-config来查看配置。

4.在RouterB上启用debug命令验证配置，需要把S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。

6.使用锐捷设备（2、3人一组）完成上面的步骤（端口见如下拓扑图）【实验命令】1.在两个路由器的连接专线上封装广域网协议PPPRouterA(config)#interface serial 0/1RouterA(config-if)#encapsulation pppRouterB(config)#interface serial 0/1RouterB(config-if)#encapsulation ppp2.查看封装端口的显示信息RouterA#show interfaces serial 0/13.在两个路由器的连接专线上建立PPP协议的PAP认证RouterA(config)#interface serial 0/1RouterA(config-if)#ppp pap sent-username RouterA password 0 123RouterB(config)#username RouterA password 0 123RouterB(config)#interface serial 0/1RouterB(config-if)#ppp authentication pap4.在RouterB上启用debug命令RouterB#debug ppp authenticationRouterB#debug ppp negotiation5.把RouterB 的S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

PPP协议的PAP和CHAP认证

PPP协议的PAP和CHAP认证实验人：实验名称：PPP协议的PAP和CHAP认证实验目的：掌握PPP协议的PAP和CHAP认证的配置方法实验原理：PAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向）CHAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证）自动协商IP地址：在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！头部压缩：在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程：PAP单向认证：⑴用小凡搭建如图实验环境，如图示：⑵在R1的S0/0上，配置IP，如图示：⑶在R2的S0/0上，配置IP，如图示：⑷此时，即可ping通192.168.1.2 如图示：⑸在R1上，配置PPP协议，如图示：⑹在R2上，配置PPP协议，如图示：⑺此时，又可ping通192.168.1.2 如图示：⑻在R1上，配置PAP认证，如图示：⑼在R2上，配置发送PAP认证信息，如图示：⑽此时，又可以ping通192.168.1.2 如图示：PAP双向认证：⒈在R1上，配置PAP认证，如图示：⒉在R2上，配置发送PAP认证信息，如图示：⒊配置完后，即可ping通192.168.1.2，即单向认证，如图示：⒋在R2上，配置PAP认证，如图示：⒌此时，不能ping 通192.168.1.2 如图示：⒍在R1上，配置发送PAP认证信息，此时，可以又ping通192.168.1.2 如图示：CHAP单向认证：Ⅰ在R1上，配置CHAP认证，如图示：Ⅱ在R2上，配置发送CHAP认证信息，如图示：Ⅲ此时，即可ping通192.168.1.2 ，即CHAP 的单向认证成功！如图示：CHAP双向认证：①在R1上，配置CHAP认证，如图示：②在R2上，配置发送CHAP认证信息，如图示：③在R2上，配置CHAP认证，如图示：④此时，不能ping通192.168.1.2 原因为没有在R1上，配置发送CHAP认证信息，如图示：⑤在R1上，配置发送CHAP认证信息，此时，可以ping通192.168.1.2 ，即配置CHAP双向认证成功！如图示：自动协商IP地址：㈠在原有的实验环境下，去掉R2上的S0/0端口的IP地址，如图示：㈡在R1上的S0/0端口下，配置分配的IP地址为192.168.1.100 如图示：㈢在R2上的S0/0 端口上，配置自动协商IP地址，如图示：㈣此时，在R2上，分配到192.168.1.100的IP地址，即实验成功，如图示：头部压缩：①在R1上，开启头部压缩功能，如图示：②在R2上，开启头部压缩功能，如图示：③此时，ping 192.168.1.100 ，使其有数据通过，用命令即可查看到压缩的情况，（命令show compress）如图示：总结：在实验中，CHAP认证的步骤：处理CHAP挑战数据包（1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器）；当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题；PAP 不支持密码的加密，压缩，link绑定，设定最大传输单元等，CHAP 支持以上内容；PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码；在CHAP中，被验证方不明确定义发送主机名来验证时，默认发送该路由器的主机名；配置PAP双向认证时，用户名和密码都可以不一样，但配置CHAP双向认证时，要保证两台路由器的密码一致；。

PPP协议讲解

IP数据报文 + END字符 =
SLIP数据帧
PPP协议概述
• PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议
• 用户使用拨号电话线接入Internet时，一般都是使用 PPP 协议
PSTN
PPP协议
PPP协议的发展历程
• 1989年，PPP 协议被提出 • 1994年，经过多年的修订，PPP协议正式已成为
3640-1
3640-1 PWD
id 随机数据 PWD MD5 Hash值
CHAP认证4－ 3
• 被认证方回复认证请求
此报与文认为证CH请A求P认中的id被认证方的认证
证响应报相文同
用户名
与被认证方计算得到的Hash值做比较，如果一致，则认为认
证通7过66。-1
02 id Hash值 766-1
3640-1
主认证方在本地数据
MD5 id 随库机中数查据找P被W认D 证方对
Hash值
应的口令
用户名口令 766-1 PWD
根据id找到先前保存的随机数据
随机数据
CHAP认证4－4
• 主认证方确认认证是否通过
766-1
03 id “认证通过”
3640-1
多链路PPP
• MLP（MultiLink PPP）可以将多条PPP链路捆绑起来
• CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。
被认证方
主认证方
CHAP认证4－2
• 主认证方发送认证请求
表示此此次报认文证为的认序列主认证方认证用
证请求号
户名

什么是ppp协议

什么是ppp协议PPP协议全称为Point-to-Point Protocol，是一种用于在计算机网络中进行数据传输的通信协议。

它通常用于在个人计算机和网络服务器之间建立直接连接，以便进行数据传输和通信。

PPP协议是一种数据链路层协议，它提供了一种在两个节点之间进行数据封装和传输的标准方法。

PPP协议最初是由美国国家标准局（NIST）开发的，它在互联网工程任务组（IETF）的RFC 1661和RFC 1662中定义。

PPP协议的设计旨在提供一种简单、灵活和可靠的数据链路层协议，以便在不同类型的物理介质上进行数据传输。

PPP协议的主要特点包括连接建立、认证、数据传输和连接终止。

在建立连接时，PPP协议使用LCP（链路控制协议）来进行协商和配置，以确保通信双方能够正常进行数据传输。

在认证阶段，PPP协议支持多种认证方式，包括PAP（密码验证协议）和CHAP（挑战握手认证协议），以确保通信双方的身份合法。

在数据传输阶段，PPP协议使用NCP（网络控制协议）来协商和配置网络层协议，例如IP 协议和IPX协议，以便进行数据传输。

在连接终止阶段，PPP协议使用LCP来终止连接并释放资源。

PPP协议可以在多种物理介质上进行数据传输，包括串行线路、电话线路、光纤和无线网络。

它可以适应不同的网络环境和网络需求，因此被广泛应用于各种网络场景中。

PPP协议还支持多种网络层协议，例如IPv4和IPv6，使其可以在不同类型的网络中进行数据传输。

除了传统的PPP协议外，还衍生出了一些变种协议，例如PPPoE（PPP over Ethernet）和PPPoA（PPP over ATM），它们在以太网和ATM网络中使用PPP协议进行数据传输。

这些变种协议在宽带接入网络中得到了广泛的应用，为用户提供了高速、稳定的网络连接。

总的来说，PPP协议作为一种通用的数据链路层协议，具有灵活、可靠的特点，适用于各种网络环境和网络需求。

它为计算机网络中的数据传输提供了一种标准化的方法，为网络通信提供了基础支持，是计算机网络中不可或缺的重要组成部分。

项目13：广域网ppp协议封装

应用场景
该技术广泛应用于企业网络、ISP网络以及移动通信网络等领域。在这些场景中，需要建立跨越较大地理范围的点对点连接，以实现数据的可靠传输。
优势与挑战
广域网PPP协议封装技术的优势在于其可靠性、灵活性和可扩展性。然而，它也面临着一些挑战，例如需要处理复杂的网络拓扑和流量控制问题，以及需要管理大量的PPP 连接。
优化协议性能
通过改进协议算法和数据结构，提高PPP协议封装的性能。
自动化配置和管理
利用自动化工具和智能技术，简化PPP协议封装的配置和管理过程。
未来发展
融合新技术
将PPP协议封装与新技术相结合，如SDN、NFV和云计算，实现更加智能和高效的网络通信。
增强安全防护能力
持续改进和完善PPP协议封装的安全机制，提高网络的整体安全防护能力。
满足物联网需求
针对物联网设备的多样性和复杂性，优化PPP协议封装，满足物联网通信的需求。
降低成本和提高效率
通过技术创新和规模效应，降低PPP协议封装的成本，同时提高网络通信的效率和可靠性。
05
总结与展望
总结
01 02 03
技术特点
广域网PPP协议封装技术是一种用于在广域网（WAN）上建立点对点（PPP）连接的技术。它通过封装PPP协议数据包，可以在不同类型的物理媒体上实现PPP连接，从而提供了一种可靠的、面向连接的数据传输服务。
兼容性问题
不同厂商和型号的设备可能存在兼容性问题，影响PPP协议的正常封装。
维护困难
由于网络环境和设备差异较大，PPP 协议封装的配置和维护工作较为复杂。
解决方案
采用加密和认证机制
通过加密算法和认证机制来确保数据传输的安全性。

H3C路由器ppp协议配置

一、实验原理、目的和要求概念：PPP（Point_to_Point Protocol）协议是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证，且易于扩充、支持同/异步物理链路，因厕而获得广泛的应用；FR（帧中继技术）是数据链路层简化的方法转发和交换数据单元的快速分组交换技术，帧中继采用虚电路技术，能充分利用网络资源，具有知吐量高、延时短、适合突发性业务等特点。

目的：通过教学要求学生掌握ppp（点对点链路）和FR（帧中继）概念、学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。

要求：学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。

二、重点和难点重点：正确理解ppp（点对点链路）和FR（帧中继）概念、学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。

难点：封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。

三、网络拓扑图四、远程登录网络设备的流程图五、配置步骤（一）配置各 PC 的 IP 地址首先按照上图连接各实验设备，然后配置计算机名称 IP 地址子网掩码PC1 193.1.1.2 255.255.255.0PC2 193.1.3.2 255.255.255.0（二）配置路由器端口的 IP 地址配置路由器Route_A IP 地址子网掩码Ethernet 0/0 193.1.1.1 255.255.255.0Serial 1/0 192.1.2.254 255.255.255.0配置路由器Route_BEthernet 0/0 193.1.3.1 255.255.255.0Serial 1/0 192.1.2.1 255.255.255.0（三）配置参考（一）PPP 验证配置1、配置端口 IP 地址（1）配置路由器Route_A< H3C> 启动进入状态，用户视图<H3C>system-view 进入系统视图[H3C]sysname Route_A 修改交换机名称Route_A[Route_A]interface Ethernet 0/0进入以太网 0/0 端口视图[Route_A-Ethernet0/0]ip add 193.1.1.1 255.255.255.0 配置 IP 地址为 193.1.1.1，子网掩码为 255.255.255.0[Route_A-Ethernet0/0]quit 返回系统视图[Route_A]interface Serial 1/0设置进入串口 1/0 视图[Route_A-Serial1/0]ip add 192.1.2.254 255.255.255.0 配置 IP 地址为 192.1.2.254，子网掩码为 255.255.255.0[Route_A-Serial1/0]quit 返回系统视图[Route_A]ip route-static 193.1.3.0 255.255.255.0 192.1.2.1 设置静态路由：193.1.3.0 255.255.255.0 ，下一跳为：192.1.2.1 （2）配置路由器Route_B< H3C> 启动进入状态，用户视图<H3C>system-view 进入系统视图[H3C]sysname Route_B 修改交换机名称Route_A[Route_B]interface Ethernet 0/0进入以太网 0/0 端口视图[Route_B-Ethernet0/0]ip add 193.1.3.1 255.255.255.0配置 IP 地址为 193.1.3.1，子网掩码为 255.255.255.0[Route_B-Ethernet0/0]quit 返回系统视图[Route_B]interface Serial 1/0设置进入串口 1/0 视图[Route_B-Serial1/0]ip add 192.1.2.1 255.255.255.0 配置 IP 地址为 192.1.2.1，子网掩码为 255.255.255.0[Route_B-Serial1/0]quit 返回系统视图[Route_A]ip route-static 193.1.1.0 255.255.255.0 192.1.2.254 设置静态路由：193.1.1.0 255.255.255.0 ，下一跳为：192.1.2.254 2、封装 PPP（1）配置路由器Route_A[Route_A]interface Serial 1/0设置进入串口 1/0 视图[Route_A-Serial1/0]link_protocol ppp 配置点对点链路协议 PPP （2）配置路由器Route_B[Route_B]interface Serial 1/0[Route_B]interface Serial 1/0 设置进入串口 1/0 视图[Route_B-Serial1/0]link_protocol ppp 配置点对点链路协议 PPP 3、启用单边验证 PAP 协议在PAP驻中，被驻方必须用主验证方设置的用户名和密码进行验证。

PPP协议

串行与并行：
一、串行通信中数据按位传输，即一次传输一位；二、并行传输中数据按字节传输，即一次传输8位三、并行速度快，但造价高，内部的多根线缆同步较困
难，相互之间易产生干扰，在远距离通信中多用串行通信，计算机内部大多使用并行通信。四、使用串行通信的接口是串行接口，使用并行通信的接口是并行接口。
03、04号报文格式如下：
03
ID
接受信息
04
ID
拒绝信息
CHAP帧格式
标志字段（8位）
7E
地址字段（8位）
FF
控制字段（8位）
03
协议字段信息字段校验字段标志字段（16位） (长度可变) （16位）（8位）
C223
FCS
7E
代码(1B) 标识符(1B) 长度(2B)
（01-04）
同步和异步串行通信
串行通信由分为同步传输和异步传输一、同步传输：同步传输是以数据块为传输单位，每个数据块的头部和尾部都要附加一个特殊的字符或比特序列，标记一个数据块的开始与结束。所谓同步传输是指数据块与数据块之间的时间间隔是固定的，必须严格规定它们的时间关系。同步传输中，发送方发出数据后等接收方发回响应以后才发下一个数据包。路由器的串口属于快速的同步接口，所以需要在DCE端配置时钟进行信号同步。
不是一个强壮的验证法。
（1）PAP过程中密码在链路上直接传输，极易被捕获造成泄密。
（2）无法防止重复攻击和试错法攻击。被验证者控制验证的频率和次数，验证通过后，不再需要验证，使打开的连接不能抵御恶意攻击。
2、CHAP（质询握手验证协议）
（1）CHAP由IETF RFC 1994定义并克服了很多PAP的缺点。

实训名称：PPP之PAP认证的配置

实训名称：PPP之PAP认证的配置一、实训原理1、点对点协议(PPP)二、实训目的1、掌握PPP协议与PAP的基本配置三、实训内容对于同步串行接口，我们采用PPP协议和PAP认证，安全可靠。

四、实训步骤：1、R1路由器配置2、R2路由器配置3、PC机IP地址拓扑图具体步骤：1、R1路由器EnConfInt f0/0Ip add 192.168.1.1 255.255.255.0No shutInt s0/0/0Ip add 12.1.1.1 255.255.255.0encapsulation ppp //封装PPP协议ppp authentication pap //启用PAP认证ppp pap sent-username R2 password 123 //发送R2上配置的用户名和密码exitusername R1 password 123 //配置本地用户名和密码，用于R2发送ip route 192.168.2.0 255.255.255.0 12.1.1.22、R2路由器EnConfInt f0/0Ip add 192.168.2.1 255.255.255.0No shutInt s0/0/0Ip add 12.1.1.2 255.255.255.0clock rate 9600encapsulation ppp //封装PPP协议ppp authentication pap //启用PAP认证ppp pap sent-username R1 password 123 //发送R1上配置的用户名和密码exitusername R2 password 123 //配置本地用户名和密码，用于R1发送ip route 192.168.1.0 255.255.255.0 12.1.1.13、给PC机配置IP地址PC0:192.168.1.2/24,192.168.1.1PC1:192.168.2.2/24,192.168.2.1 五、实训结果PC0 ping PC1,可以ping通。

神州数码路由器广域网PPP封装CHAP验证配置

Router-B_config_s1/0#^Z
！按 ctrl + z 进入特权模式
第四步：查看配置
Router-A#show interface s1/0 Serial1/0 is up, line protocol is up
！查看接口状态！接口和协议都是 up
Mode=Sync DTE
！查看 DTE
ip address 192.168.2.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet2/0 no ip address no ip directed-broadcast duplex half ! interface Serial1/0 no ip address no ip directed-broadcast physical-layer speed 64000 ! interface Serial1/1 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast encapsulation ppp ppp chap hostname routerA physical-layer speed 64000 ! interface Async0/0 no ip address no ip directed-broadcast ! !
！进入特权模式！进入全局配置模式！修改机器名！设置帐号密码
Router-A_config#interface s1/1 Router-A_config_s1/0#ip address 192.168.1.1 255.255.255.0 Router-A_config_s1/1#encapsulation PPP Router-A_config_s1/0#ppp authentication chap Router-A_config_s1/0#ppp chap hostname RouterA Router-A_config_s1/0#physical-layer speed 64000 Router-A_config_s1/0#no shutdown Router-A_config_s1/0#^Z

PPP协议——精选推荐

PPP协议PPP协议以太⽹协议⽤在局域⽹中，⼀般使⽤以太⽹⼝进⾏互联；⼴域⽹中经常会使⽤串⾏链路来提供远距离的数据传输，⾼级数据链路控制HDLC（High-Level Data Link Control）和点对点协议PPP（Point to Point Protocol）是两种典型的串⼝封装协议。

HDLC(High-level Data Link Control)，⾼级数据链路控制，简称HDLC，是⼀种⾯向⽐特的链路层协议，现在⼏乎不⽤。

PPP协议是⼀种点到点(⼀根链路两端只有两个接⼝)链路层协议，主要⽤于在全双⼯的同异步链路上进⾏点到点的数据传输。

今天我们主要就讲下PPP协议。

正⽂1：串⼝和以太⽹⼝的区别串⼝（serial）：⼀般⽤于⼴域⽹，它可以做为PPP,帧中继等⽹络类型的连接端⼝，⽤于远距离数据传输。

以太⽹⼝（Ethernet）：⼀般⽤于局域⽹，它可以作为以太⽹的连接端⼝，⽤于短距离数据传输。

2：什么是PPPPPP协议是⼀种点到点链路层协议，主要⽤于在全双⼯的同异步链路上进⾏点到点的数据传输。

什么是同步、异步呢？这是⼀种传输⽅式。

数据传输⽅式（data transmission mode）数据传输⽅式（data transmission mode），是数据在信道上传送所采取的⽅式。

若按数据传输的顺序可以分为并⾏传输和串⾏传输；若按数据传输的同步⽅式可分为同步传输和异步传输；若按数据传输的流向和时间关系可以分为单⼯、半双⼯和全双⼯数据传输串⾏链路中定义了两种数据传输⽅式：异步和同步。

异步传输：是以字节为单位来传输数据，并且需要采⽤额外的起始位和停⽌位来标记每个字节的开始和结束。

起始位为⼆进制值0，停⽌位为⼆进制值1。

在这种传输⽅式下，开始和停⽌位占据发送数据的相当⼤的⽐例，每个字节的发送都需要额外的开销。

同步传输：是以帧为单位来传输数据，在通信时需要使⽤时钟来同步本端和对端的设备通信。

DCE即数据通信设备，它提供了⼀个⽤于同步DCE设备和DTE设备之间数据传输的时钟信号。

PPP实验指导书

PPP实验实验8-1 PPP实验学习目标•了解PPP协议原理。

•了解CHAP认证过程•配置PPP及CHAP认证原理1. PPP 是串行线路上（同步电路或者异步电路）的一种帧封装格式，但是PPP 可以提供对多种网络层协议的支持。

PPP 支持认证、多链路捆绑等功能。

PPP 经过4 个过程在一个点到点的链路上建立通信连接：•链路的建立和配置协调：通信的发起方发送LCP 帧来配置和检测数据链路•认证：对链路建立时对端身份进行验证，这一阶段是可选的。

•网络层协议配置协调：通信的发起方发送NCP 帧以选择并配置网络层协议•关闭链路：通信链路将一直保持到LCP 或NCP 帧关闭链路或发生一些外部事件2. PPP 认证：PAP 和CHAP（1）PAP——密码验证协议PAP（Password Authentication Protocol）利用2 次握手的简单方法进行认证。

在PPP 链路建立完毕后，源节点不停地在链路上反复发送用户名和密码，直到验证通过。

PAP的验证中，密码在链路上是以明文传输的，而且由于是源节点控制验证重试频率和次数，因此PAP 不能防范再生攻击和重复的尝试攻击。

（2）CHAP——询问握手验证协议CHAP(Challenge Handshake Authentication Protocol)利用3 次握手周期地验证源端节点的身份。

CHAP 验证过程在链路建立之后进行，而且在以后的任何时候都可以再次进行。

这使得链路更为安全；CHAP 不允许连接发起方在没有收到询问消息的情况下进行验证尝试。

CHAP 每次使用不同的询问消息，每个消息都是不可预测的唯一的值，CHAP 不直接传送密码，只传送一个不可预测的询问消息，以及该询问消息与密码经过MD5 加密运算后的加密值。

所以CHAP 可以防止再生攻击，CHAP 的安全性比PAP 要高。

拓扑图图1拓扑操作步骤将《OSPF实验》中保存的拓扑打开，总校区中出口路由器R1和分校区B的路由器R3之间通过串行链路连接，运行PPP协议，为了提高安全性要求进行chap 认证。

ppp协议

2013-8-27
第2页
PPP链路工作过程
检测到载波建立对方协商一些选项鉴别鉴别成功静止载波停止终止通信结束打开 NCP配置网络
当用户拨号接入ISP（Internet服务提供者）时，与路由器连接的调制解调器对拨号做出应答，并建立一条物理连接。这时PC机向路由器发送一系列的LCP分组（封装成多个PPP帧）。这些分组及响应选择了将要使用的一些PPP参数，接着进行网络层协商，NCP 给新接入的PC机分配一个临时的IP地址，这样PC机就成为Internet上一个客户机了。当用户通信完毕时，NCP释放网络层连接，收回原来分配出去的IP地址。接着LCP释放数据链路层连接，最后释放的是物理层的连接。
2013-8-27
第3页
PPP协议验证
pap验证
两次握手，用户名和口令是明码传输，不安全；不停发送，直到对方给出应答。简单。
chap验证三次握手，周期验证，加密传输，安全。
2013-8-27
第4页
2.3.3 PPPoE协议
PPPoE的实质是以太网和拨号网络之间的一个中继协议，它继承了以太网的快速和PPP拨号的简捷、用户验证和IP分配等优势。 PPPoE协议可以把数据帧报文按照PPP的格式定义封装，例如，数据链路控制协议报文、网络层控制协议报文、认证报文等。这种功能需要在两个对等的端到端网络之间建立一种点到点的传输。而不是像以太网络或其他多点访问网络中定义的点到多点的传输。
2.3.2 PPP协议
PPP（Peer-Peer Protocol，点对点协议）支持在各种物理类型的点到点串行线路上，传输上层协议报文
PPP协议组成：将IP数据包封装到串行链路。PPP既支持异步链路（无奇偶校验的8比特数据），也支持面向比特的同步链路。建立、配置和测试数据链路的链路控制协议LCP（Link Control Protocol）。通信双方可协商一些选项。在RFC 1661 文档中定义了11种类型的LCP分组。 1 byte 1-2 bytes 1 byte 2 bytes 1-1500 byte 2 bytes 1 byte 网络控制协议NCP（Network Control Protocol），支持不同的网络层协议，如IP、OSI的网络层、DECnet、AppleTalk 等。 Flag Address field Control field protocol Information FCS Flag

计算机网络应用 PPP协议封装

计算机网络应用 PPP 协议封装在Internet 接入方式中，用户通过拨号与ISP 建立一条物理连接，在此通常使用PPP 或HDLC 协议封装而建立会话，从而使得用户可以接入Internet 。

PPP 封装较HDLC 封装由更多的功能，是目前广泛流行的一种方法。

PPP 协议封装可以用于不同厂商的设备间，且它支持多网络层协议、支持认证、支持多链路捆绑、支持回拨和压缩等。

在PPP 协议封装中，比较重要的是对其认证方式的配置。

该认证方式包括PAP 认证和CHAP 认证。

1．PAP 认证PAP 认证为两次握手协议，在认证过程中，首先由被认证方发起认证请求到主认证方，该请求包括用户名和密码。

然后，主认证方根据对比本端用户表，检查是否存在此用户名和密码，若存在，则返回认证通过信息；反之，则返回认证拒绝信息，其过程如图3-43所示。

被认证方主认证方用户名+密码通过/拒绝图3-43 PAP 认证过程PAP 认证适用于对网络安全要求不高的场合，因为在其认证过程中用户名和密码以明文方式传输，存在被截获的威胁。

2．CHAP 认证CHAP 认证为三次握手协议，在认证过程中，首先由主认证方向被认证方发起认证请求，该请求包括主认证方的用户名和一些随机产生的报文；之后，被认证方根据对比本端用户表检查是否有此用户名和对应的密码，如果有则将该密码使用MD5算法对其进行随机报文加密，生成密文，并将自己的用户名和密文发送给主认证方；最后，主认证方根据本端用户表检查是否有此用户名和对用秘密，若有，则使用对应密码和MD5算法对原随机报文进行加密，生成密文并对照被认证方发送的密文，如果相同，则通过认证；否则，拒绝认证。

其过程如图3-44所示。

被认证方图3-44 CHAP 认证过程CHAP 认证安全性要高于PAP 认证方式，因为它只在网络上传送用户名，而不传输密码。

配置PPP封装和认证

配置PPP封装和认证1 实验目标✓学会配置广域网封装。

✓配置PPP封装和认证。

2 试验要求✓配置Router2和Router3广域网接口使用PPP封装✓并配置PPP封装的认证✓验证广域网配置。

2.1试验拓扑3 实验过程：3.1在RouterA上Router>enRouter#config tRouter(config)#hostRouter(config) #hostname routerA 更改路由器名称RouterA(config)#username RouterB password todd username必须是对方路由器的名字RouterA(config)#interface serial 2/0RouterA(config-if)#encapsulation ?frame-relay Frame Relay networkshdlc Serial HDLC synchronousppp Point-to-Point protocolRouterA(config-if)#encapsulation ppp 使用PPP封装RouterA(config-if)#ppp authentication ?chap Challenge Handshake Authentication Protocol <CHAP>pap Password Authentication Protocol <PAP>RouterA(config-if)#ppp authentication chap 身份验证方法RouterA(config-if)#ip address 172.16.1.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no sh3.2在RouterB上Router>enRouter#config tRouter(config)#hostname RouterB 更改路由的名字RouterB(config)#username RouterA password todd username必须是对方路由器的名字RouterB(config)#interface serial 3/0RouterB(config-if)#encapsulation pppRouterB(config-if)#ppp authentication chapRouterB(config-if)#ip address 172.16.1.2 255.255.255.0RouterB(config-if)#no shRouterB(config-if)#4 查看4.1在RouterA上RouterA#show interfaces serial 2/0Serial2/0 is up, line protocol is up (connected)Hardware is HD64570Internet address is 172.16.1.1/24MTU 1500 bytes, BW 128 Kbit, DL Y 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec)LCP Open 链路控制协议Open状态Open: IPCP, CDPCP 网络控制协议IP CDP协议Last input never, output never, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0 (size/max/drops); Total output drops: 0Queueing strategy: weighted fairOutput queue: 0/1000/64/0 (size/max total/threshold/drops)Conversations 0/0/256 (active/max active/max total)Reserved Conversations 0/0 (allocated/max allocated)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 output buffer failures, 0 output buffers swapped out0 carrier transitionsDCD=up DSR=up DTR=up RTS=up CTS=up。

PPP协议配置简介

实验七ppp协议配置一、实验目的1、掌握PP助、议的配置；2、掌握PAP和CHA协议配置；二、实验设备Quidway S3928以太网交换机1台Quidway S3026以太网交换机1台Quidway S2116以太网交换机1台Quidway AR28-12路由器2台Quidway AR28-31 路由器1 台计算机3台，网线若干根，V.35DTE DC电缆线3对三、实验原理及内容：（一）PAPE置为了模拟实际环境，我们在实验中采用背靠背直接相连来模拟广域网连接。

下面是简单实验的模拟实验环境，共2台路由器（其中R助AR28-31）, 1台交换机，2台PC1、路由器各接口IP地址设置如下:2、PC机的IP为了保证配置不受影响，请在实验之前清除路由器的所有配置后重新启动3、配置主机地址，参考下面的命令配置PAPt、议：<ra>sys[ra]sysname RA[RA]interface e0/1[RA-Ethernet0/1]ip addr 202.0.0.1 24 [RA-Ethernet0/1]interface s0/0[RA-Serial0/0]ip addr 192.0.0.1 24[RA-Serial0/0][RA-Serial0/0]ppp authentication-mode pap [RA-Serial0/0]q[RA]local-user routerb [RA-luser-routerb]password simple hello[RA-luser-routerb]service-type ppp[RA-luser-routerb]quit[RA]save[RA]rip[RA-rip]network 202.0.0.0[RA-rip]network 192.0.0.0[RA-rip]q[RA]<Quidway><Quidway>sys[Quidway]sysname RB[RB]INTERFACE E0/1[RB-Ethernet0/1]ip addr 202.0.1.1 24 [RB-Ethernet0/1]interface s0/0[RB-Serial0/0]ip addr 192.0.0.2 24[RB-Serial0/0][RB-Serial0/0]ppp pap local-user routerb password simple hello[RB-Serial0/0]q[RB]rip[RB-rip]network 202.0.1.0[RB-rip]network 192.0.0.04、PC与PC互相能够ping通。

广域网PPP协议封装

广域网PPP 协议封装某公司下属有多个分公司,并且总公司与分公司分别设在不同的城市,为了顺利开展公司业务,要求总公司与分公司之间的网络通过路由器相连,保持网络连通.现在要在路由器上做适当配置,实现公司网内部主机相互能信.F0/0:192.168.1.1 F0/0:192.168.2.1S2/0:192.168.12.2S2/0:192.168.12.1 192.168.2.0/24第一个路由器:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s2/0 (进入串口)Router(config-if)#encapsulation ppp (给端口定义PPP协议, encapsulation[inˌkæpsjuˈleiʃən])Router(config-if)#ip add 192.168.12.1 255.255.255.0Router(config-if)#clock rate 64000(由于端口为DCE,要配置时钟,此处配置时钟频率为64000)Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2(配置静态路由)Router(config)#exit第二个路由器:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip add 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s2/0(进入串口)Router(config-if)#encapsulation ppp(给端口定义PPP协议)Router(config-if)#ip add 192.168.12.2 255.255.255.0Router(config-if)#clock rate 64000(由于端口为DCE,要配置时钟,此处配置时钟频率为64000)Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1(配置静态路由)Router(config)#exitPPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。

网络设备安装与调试-任务1 PPP(HDLC)协议封装

Байду номын сангаас
4．高级数据链路控制协议(HDLC)
高级数据链路控制(High-Level Data Link Control， HDLC)，是一个在同步网上传输数据、面向比特的数据链路层协议。它是由国际标准化组织(ISO)根据IBM 公司的SDLC(Synchronous Data Link Control)协议扩展开发而成的。
由于Cisco HDLC和ISO HDLC的帧结构不同，所以两者互不兼容。在具体组网时，如果链路的两端都是Cisco设备，则可采用Cisco HDLC协议，其效率比PPP协议高得多；但如果Cisco设备与非Cisco设备连接，则不能采用HDLC协议，而应采用PPP协议。
5．点对点协议(PPP)
➢ ③ 花费。花费除了初期的设备投资、设备安装、调试费用之外，还有每月都产生的线路租用费。线路租用费可能是包月形式的固定月租费，也可能是一定的月租费加上浮动的流量费用或者时间费用等。常有的连接类型主要有4类：专用线路、电路交换线路、包交换线路和信元交换线路。
3．广域网封装类型
➢ ① 高级数据链路控制协议(High-Level Data Link Control， HDLC)：该协议是点对点专用链路和电路交换连接的默认封装类型。HDLC是一种面向比特的同步数据链路层协议，它典型地用于路由器设备之间的通信。
➢ ③ 串行线路网际协议(Serial Line Internet Protocol， SLIP):它使用TCP/IP的点到点串行连接的标准协议。SLIP有很多方面已经被PPP替代了。
3．广域网封装类型
➢ ④ X.25/平衡链路访问过程(Link Access Procedure Balanced，LAPB):这是一个ITU-T标准，它定义了怎样连接维护公用数据网络上远程终端访问和计算机通信的DTE 和DCE。

路由器广域网PPP封装协议无验证的配置

实验五路由器广域网PPP封装协议无验证的配置一、实验目的1．进一步理解串行接口的功能2．认识串行接口常用的接线种类及其对配置的影响3．熟练掌握串行接口配置的要素4．理解串行接口链路封装协议PPP的层次5．理解PPP封装的验证方法，并能够根据debug信息的提示进行错误纠正6．掌握广域网HDLC 封装配置，理解DCE、DTE，理解封装匹配二、应用环境1．企业环境中异地的互连通常要经过第三方的网络，比如网通、电信等等，所以与局域网的配置不同。

2．广域网通常需要付费、带宽比较有限、可靠性相比局域网要低。

三、实验设备及材料1．DCR-1750 路由器1 台2．DCR-1702 路由器1 台3．PC 机一台4．Console 线揽一条5．网线一根6．CR-V35MT 一条7．CR-V35FC 一条四、实验拓扑图五、实验内容与要求1．先用带外配置对路由器进行初始化，并配置IP地址为：192.168.10.101/24 2．PC机的IP地址为：192.168.10.102/243．在Router-A中使用show running-config命令察看设备串行接口的配置标识并记录4．在Router-B中使用show running-config命令察看设备串行接口的配置标识并记录5．封装PPP协议无验证①．在Router-A 中使用show interface serial */* 察看当前接口的状态并记录其封装协议类型和UP/down 状态。

②．在Router-B 中使用show interface serial */* 察看当前接口的状态并记录其封装协议类型和UP/down 状态。

③．在Router-A 串行接口的配置模式下，配置时钟频率并改变封装类型为ppp 封装。

④．在Router-B 串行接口配置模式下，改变封装类型为ppp 封装。

⑤．在Router-A 中使用show interface serial */* 察看当前接口的状态并记录其封装协议类型和UP/down 状态。