242第十章点对点协议PPP.doc

242第十章点对点协议PPP xx-2-12第1页第十章点对点协议PPPxx-2-12第2页本章课题?10.1广域网接入技术概述?10.2点对点协议PPP?10.3PPP认证配置xx-2-12第3页广域网的概念?广域网?Wide AreaNetworks?WAN?距离远、带宽小、延时大服务供应商xx-2-12第4页专线电路交换分组交换服务供应商服务供应商广域网接入技术?第一层?X.21EIA/TIA-232EIA/TIA-449V.24V.35HSSI G.73EIA-530xx-2-12第5页HDLC,PPP PPP,HDLC X.25,Frame-Relay广域网接入技术?第二层?专线电路交换分组交换服务供应商服务供应商LAPB、Frame Relay、HDLC PPP、SDLC、SMDSxx-2-12第6页点对点协议PPP?PPP是SLIP?Serial LineInterface protocol?的继承者。 通过同步和异步电路实现路由器到路由器和主机到网络?Host-to-Network?的连接。 ?PPP能支持差错检测?支持各种协议?在连接时IP地址可复制?具有身份验证功能?可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑。 PPP协议是目前使用最广泛的广域网协议xx-2-12第7页PPP协议的特点?1?能够控制数据链路的建立。 ?2?能够对IP地址进行分配和使用。 ?3?允许同时采用多种网络层协议。 ?4?能够配置和测试数据链路。 ?5?能够进行错误检测。 ?6?有协商选项?能够对网络层的地址和数据压缩等进行协商。 xx-2-12第8页PPP的功能?1?在串行链路上采用高级数据链路控制?HDLC?作为在点对点的链路上封装数据报的基本方法。 ?2?链路控制协议?Link ControlProtocol?LCP?用于启动线路、测试、任选功能的协商及关闭连接。 ?3?网络控制协议?Network ControlProtocol?NCP?用来建立和配置不同的网络层协议。 PPP协议允许同时采用多种网络层协议?如IP协议、IPX协议和DEC协议。 PPP协议使用NCP对多种协议进行封装。 xx-2-12第9页PPP协议的层次结构网络层IP IPXOTHER IPCPIPXCP BCPNCP数据链路层LCP物理层EIA/TIA- 232、 449、530,V. 21、V.35xx-2-12第10页PPP帧的格式xx-2-12第11页PPP建立连接的过程xx-2-12第12页PPP的认证协议?口令验证协议?PAP?挑战握手协议?CHAP?Client ServerHostname:ruijie Password:123username ruijiepassword123Auth NakAuth Ack?两次握手协议?明文方式进行验证PPP PAP验证Request用户名+密码验证成功验证失败Client ServerHostname:RA Password:123Hostname:RB Password:123Challenge SuessFailure?CHAP为三次握手协议?只在网络上传输用户名?而并不传输口令?安全性要比PAP高?但认证报文浪费带宽RB RAPPP CHAP验证RB+挑战报文Response RA+加密后的密码验证成功验证失败xx-2-12第15页PPP认证配置?PAP和CHAP通常被用在PPP封装的串行线路上提供安全性认证?每个路由器通过名字来识别?可以防止未经授权的访问。 要使用PAP/CHAP必须使用PPP封装。 xx-2-12第16页PPP的配置命令?1?在接口配置模式下封装PPP协议?配置命令如下?Router(config-if)#encapsulation PPP?2?在接口配置模式下配置认证方式?配置命令如下?Router(config-if)#ppp authenticationpap|chap?如果取消配置认证方式则执行如下命令?Router(config-if)#no ppp authentication?两端的路由器必须使用相同的用户认证协议。 xx-2-12第17页PPP的配置命令?在全局配置模式下设置对端拨号的用户名和密码。 Router(config)#username username1password0|7password1?其中?username1是对端路由器的主机名?password1是对端用户名对应的密码。 密码的设定有明文输入和密文输入两种?用0是明文输入?用1?7是密文输入?默认输入方式为明文输入?本书中有凡是涉及密码设定的地方都是这样使用的。 与其他厂家设备互连时?只能采用不加密方式输入。 如果要配置双向验证?还要增加验证方的配置。 xx-2-12第18页PPP的配置命令?4?设置本地路由器名。 Router(config)#hostname hostname1?其中?hostname1是路由器的主机名。 ?5?指定被验证方PPP PAP验证的用户名和密码?在接口模式下的配置命令如下。 Router(config-if)#ppp papsent-username usernamepassword0|7passwordxx-2-12第19页PPP PAP认证配置实例?1?定义接口封装类型。 Ra(config)#interface serial0Ra(config-if)#encapsulation ppp/将封装格式改为PPP?默认为HDLCRb(config)#interface serial0Rb(config-if)#encapsulation ppp/同样将封装格式改为PPPxx-2-12第20页?2?验证方定义本地数据库?即设置对端拨号的用户名和密码?。 Rb(config)#username Rapassword star/在验证方配置被验证方用户名和密码?3?验证方启用PAP认证。 Rb(config-if)#ppp authenticationpap/验证方启用PAP认证?注意在接口模式下xx-2-12第21页?然后只需要在PAP认证客户端即被验证方配置一条命令?即可将用户名和密码发送到验证方。 这个用户名和密码是在Rb上设置的Ra(config)#ppp papsent-username Rapassword0star/将用户名和密码发送到验证方xx-2-12第22页PPP CHAP认证配置实例?同PAP认证一样?CHAP认证配置也要经过3个步骤?即定义接口封装类型、定义本地数据库、启用CHAP认证。 ?值得注意的是?在Ra中应建立一个用户?以对端路由器主机名为用户名?即用户名应为Rb。 同时在Rb中应建立一个用户?以对端路由器主机名作为用户名?即Ra。 所建立的这两个用户的password必须相同。 xx-2-12第23页?Ra的配置?/在接口模式下封装PPP协议Ra(config-if)#encapsulation ppp?/对方路由器主机名?密码和对方一致Ra(config)#username Rbpassword0samesecret?/启用CHAP认证Ra(config-if)#ppp authenticationchapxx-2-12第24页?Rb的配置?/在接口模式下封装PPP协议Rb(config-if)#encapsulation ppp?/对方路由器主机名?密码和对方一致Rb(config)#u