CCNA十四点对点PPP协议PAP认证.doc

实验十五点对点PPP协议PAP认证一、实验目的和要求 了解点对点协议（PPP）的工作原理 掌握PPP 协议两种认证方式的特点和区别 掌握PPP 协议的配置以及PAP 认证协议的配置二、实验设备模拟软件：Cisco PacketTracer53_setup_no_tutorials设备：路由器2 台，串口线一根三、实验内容在两台路由器上配置PAP 或CHAP 验证协议，在链路协商时保证安全验证。链路协商时密码以密文的方式传输，更安全。具体包括PAP 单向认证和PAP 双向认证，以及CHAP 单向或双向认证。四、实验拓扑1、PAP单向认证2、PAP双向认证五、背景描述你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP 进行链路协商时要验证身份，配置路由器保证链路的建立，并考虑其安全性。六、相关知识1、PPP 协议点到点协议（point to point protocol，PPP）是IETF（internet engineering task force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了slip 中的问题，并成为正式的因特网标准。PPP 支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP 有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP 的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。PPP 提供了两种可选的身份认证方法：口令验证协议PAP（password authentication protocol，PAP）和质询握手协议（challenge handshake authentication protocol，chap）。如果双方协商达成一致，也可以不使用任何身份认证方法。2、PAP 验证原理PAP 是一个简单的、实用的身份验证协议。如图3 所示。PAP 认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。PAP 的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但是，因为认证只在链路建立初期进行，节省了宝贵的链路带宽。3、PAP 认证过程在上图1 中，当认证客户端（被认证一端）路由器发送了用户名或口令后，认证服务器会将收到的用户名或口令和本地口令数据库中的相应信息对比，如果正确则身份认证成功，通信双方的链路最终成功建立。如果被认证一端路由器发送了错误的用户名或口令，认证服务器将继续不断发送身份认证要求指导收到正确的用户名和口令为止。七、实验步骤步骤1. 基本配置（包括IP地址配置，服务端时钟配置）RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostRouter(config)#hostname r1r1(config)#int se 2/0r1(config-if)#ip addr1(config-if)#ip address 192.168.12.1 255.255.255.0r1(config-if)#no shur1(config-if)#no shutdownRouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostRouter(config)#hostname r2r2(config)#int se 2/0r2(config-if)#ip add 192.168.12.2 255.255.255.0r2(config-if)#clock rate 128000r2(config-if)#no shutr2(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial2/0, changed state to upr2(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upr2(config-if)#exitr2(config)#exit%SYS-5-CONFIG_I: Configured from console by consoler2#ping 192.168.12.1测试r2#ping 192.168.12.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms步骤二、Pap用户端设置r1(config)#int se 2/0r1(config-if)#encapsulation ppp/封装ppp协议r1(config-if)#ppp pap sent-username r1 password 123456/被验证方在PPP 验证阶段，发送自己的用户名和密码到主验证方。r1(config-if)#no shutdownPap服务器端r2#config tEnter configuration commands, one per line. End with CNTL/Z.r2(config)#username r1 password 123456/将Client 端的用户名和密码写入Server 端的r2(config)#int se 2/0r2(config-if)#encapsulation ppp%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to downr2(config-if)#ppp autr2(config-if)#ppp authentication papr2(config-if)#no shutdown测试：1、ping 192.168.12.2 2、r1#show int se 2/0Serial2/0 is up, line protocol is up (connected)3、#debug ppp authentication #int se