广域网路由配置PPP协议.ppt

第8章 广域网路由配置,rcna_01,ppp协议原理 ppp协议配置,本节内容,8.3 ppp协议,学习目标,通过本章的学习，希望您能够： 搞清ppp协议基本概念 理解ppp协议认证原理 掌握ppp协议的配置,课程议题,8.4.1 ppp协议概述,ppp（point-to-point protocol） 1. 概念 在点到点链路上传输、封装网络层数据包（ ip 、ipx和appletalk）的数据链路层协议,ppp协议简介,ppp 封装,链路的建立和控制在lcp层完成,ppp协议简介,ppp协议是目前使用最广泛的广域网协议，这是因为它具有以下特性： 能够控制数据链路的建立 能够对ip地址进行分配和使用 支持全双工的同步和异步链路 支持数据链路层的认证 允许同时采用多种网络层协议 有协商选项，能够对网络层的地址和数据压缩等进行协商,ppp协议优点,ppp协议 ppp不仅适用于拨号用户，而且适用于租用的路由器线路 采用ncp协议（如ipcp、ipxcp），支持更多的网络层协议 具有验证协议chap、pap 更好了保证了网络的安全性 支持同步与异步,ppp协议,数据链路层,物理层,网络层,ppp协议组成,lcp：建立、拆除和监控ppp数据链路。 ncp：用来商议使用网络层的参数。不同网络层协议(ip、osi的网络层、decnet、appletalk、 novell ipx/spx)有相应的ncp。 pap和chap(验证协议)：用于在拨号时的认证。,ppp协议组成,ppp是基于标准的，它允许来自不同厂商设备之间的通信.,ppp lcp选项,pap or chap,认证 authentication,pstn/isdn,pstn/isdn,回拨 callback,压缩 compression,多链路捆绑 multilink,data,ppp 采用lcp 建立，保持，测试和终止点点对点链接.,pstn,10.1.1.0/24,tel:801,routera,routerb,11.1.1.0/24,tel:803,e0,e0,s0,s0,modema,modemb,a局域网,b局域网,ppp 应用示例,ppp会话阶段,链路建立link-establishment 认证 (可选) ncp协商,链路建立阶段,ppp发送lcp帧来配置并测试数据链路. lcp帧包含一个配置选项域用来协商例如最大传输单元 (mtu)，压缩，以及链路认证等选项. 如果某一配置选项丢失, 则假定为默认值. 可选参数，如上所述，必须在收到配置确认帧之前确定. 接收到配置确认帧之后，链路建立过程就完成了.,认证阶段 (可选),认证阶段提供密码保护来标识连接的路由器.认证过程发生在两台路由器确定各项参数后，但在ncp协商阶段开始之前.,ncp 协商阶段,ppp 发送ncp包来选择并配置一个或多个网络层协议,例如ip 或 ipx. 如果lcp将链路关闭, 它会告知网络层协议从而使其采取适当的响应. show interfaces命令可以显示出lcp 和 ncp的状态.,路由器a,lcp参数,路由器b,拨号,认证信息,ncp参数,a局域网,b局域网,pstn,ppp 工作原理,ip地址,属二层的认证，网络层协商ip地址之前。 pap（password authencation protocal 口令授权协议）,name password,dials in,验证方 被验证方,ppp 认证-pap,a,b,pap验证特点： 通信开始时验证 两次握手协议 明文方式进行验证 可以同时双向认证,ppp 认证-pap,chap（challenge-handshake authentication protocal 挑战握手认证协议） 通过三次握手周期性地检验对方身份。由验证方发起。,ppp 认证-chap,ppp验证过程,chap身份验证呼叫阶段 cahp身份验证挑战阶段,ppp验证过程,chap身份验证回应阶段,ppp验证过程,chap身份验证回应阶段,ppp验证过程,chap身份验证确认阶段,ppp验证过程,chap身份验证确认阶段（成功）,ppp验证过程,chap身份验证确认阶段（失败）,chap（challenge-handshake authentication protocal 挑战握手认证协议） 通过三次握手周期性地检验对方身份。由验证方发起。,name 加密随机数,dials in,验证方 被验证方,name 随机数,ppp 认证-chap,a,b,chap验证特点： chap为三次握手协议 通信中随时发起验证 只在网络上传输用户名和随机数据（挑战报文），而并不传输口令。 安全性要比pap高，但认证报文耗费带宽。 可以同时双向认证,ppp 认证-chap,课程议题,8.4.2 ppp协议配置,验证方 被验证方,a,b,ppp 协议配置案例,s1/2,s1/2,e1/0,e1/0,192.168.3.0/24,192.168.4.0/24,10.1.1.0/24,ppp的配置,路由器上的配置 ra(config)#interface seriel 1/2 ra(config-if)# encapsulation ppp 注：路由器广域网默认封装方式为hdlc,pap验证的配置,服务端（验证方） ra(config)#username ruijie password 0 123 ra(config)#interface seril 1/2 ra(config-if)# encapsulation ppp ra(config-if)#ppp authentication pap,pap验证的配置,客户端（被验证方） rb(config)#interface seril 1/2 rb(config-if)# encapsulation ppp rb(config-if)#ppp pap sent-username ruijie password 0 123,chap认证配置,服务端（验证方） ra(config)#username rb password 123 ra(config)#interface serial 1/2 ra(config-if)#encapsulation ppp ra(config-if)#ppp authentication chap,chap认证配置,客户端（被验证方） rb(config)#username ra password 123 rb(config)#interface serial 1/2 rb(config-if)#encapsulation ppp rb(config-if)#ppp chap hostname hostnmae 指定ppp chap验证的主机名,ppp案例配置,要求： 通过ppp互通，采用pap认证。 username ：ruijie password：123,路由器a配置(认证方),ra(config)#interface fa1/0 ra(config-if)#ip address 192.168.1.1 255.255.255.0 ra(config)#interface seril 1/2 ra(config-if)#ip address 10.1.1.1 255.255.255.0 ra(config-if)# encapsulation ppp ra(config-if)#ppp authentication pap ra(config)#username ruijie password 0 123 ra(config)#ip route 192.168.2.0 255.255.255.0 10.1.1.2,路由器b配置(被证方),ra(config)#interface fa1/0 ra(config-if)#ip address 192.168.2.1 255.255.255.0 ra(config)#interface seril 1/2 ra(config-if)#ip address 10.1.1.2 255.255.255.0 ra(config-if)# encapsulation ppp rb(config-if)#ppp pap sent-username ruijie password 0 123 ra(config)#ip route 192.168.2.0 255.255.255.0 10.1.1.2,cisco配置pap,cisco配置chap,ppp认证的调试,特权模式下输入： router#show interfaces serial 1/2 router#debug ppp authentication,核实ppp配置,router#show interface s0 serial0 is up, line protocol is up hardware is hd64570 internet address is 10.140.1.2/24 mtu 1500 bytes, bw 1544 kbit, dly 20000 usec, rely 255/255, load 1/255 encapsulation ppp, loopback not set, keepalive set (10 sec) lcp open open: ipcp, cdpcp last input 00:00:05, output 00:00:05, output hang never last clearing of “show interface“ counters never queueing strategy: fifo output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 38021 packets input, 5656100 bytes, 0 no buffer received 23488 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 crc, 0 frame, 0 overrun, 0 ignored, 0 abort 38097 packets output, 2135697 bytes, 0 underruns 0 output errors, 0 collisions, 6045 interface resets 0 output buffer failures, 0 output buffers swapped out 482 carrier transitions dcd=up dsr=up dtr=up rts=up cts=up,核实ppp配置,4d20h: %link-3-updown: interface serial0, changed state to up 4d20h: se0 ppp: treating connection as a dedicated line 4d20h: se0 ppp: phase is authenticating, by both 4d20h: se0 chap: o challenge id 2 len 28 from ”left“ 4d20h: se0 chap: i challenge id 3 len 28 from ”right“ 4d20h: se0 chap: o response id 3 len 28 from ”left“ 4d20h: se0 chap: i response id 2 len 28 from ”right“ 4d20h: se0 chap: o success id 2 len 4 4d20h: se0 chap: i success id 3 len 4 4d20h: dialer protocol up for se0 4d20h: %lineproto-5-updown: line protocol on