PPP协议的配置与认证的课程设计.doc

此文档收集于网络，如有侵权，请联系网站删除PPP协议的配置与认证摘 要 本课程设计主要是利用Boson模拟器Netsim搭建一个网络模拟环境，在此环境中建立一个的路由器的拓扑网，并对路由器进行PPP协议配置，待所有的路由器配置好后，利用PAP和CHAP对路由器进行认证，并分别对其进行测试。根据认证和测试结果来分析该PPP协议的配置和认证的正确性。若使用Ping命令后两者是连通的说明该配置和认证是成功的。关键词 BosonNetsim；网络仿真；PPP协议；PAP认证；CHAP认证1 引 言广域网协议指Internet上负责路由器与路由器之间连接的数据链路层协议。而常用的广域网有点对点的协议、高级数据链路控制协议、帧中继交换网、同步数据链路控制（SDLC）协议。点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即 SLIP。除了 IP 以外 PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（IPX）。本课程设计是搭建一个模拟环境，并在路由器上进行PPP配置，用PAP和CHAP对其进行认证和测试。1.1课程设计的背景和目的计算机网络课程设计是计算机网络理论课的辅助环节。PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。 目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。因为PPP协议有简单完整的特点使所以得到了广泛的应用，相信在未来的网络技术发展中，它还可以发挥更大的作用。通过本课程设计我们可以了解更多的广域网路由协议，通过实践可以加深对PPP协议的配置和认证，尤其加深了对PAP和CHAP的工作原理的了解。学会网络构建、日常维护及管理的方法，是学生找我在信息化社会建设过程中所必须的计算机网络组网和建设所需的基本知识与操作技能。1.2 课程设计的内容 （1）、掌握BosonNetsim的基本知识和使用方法，并了解关于一些路由器PPP配置和认证命令的语句。（2）、学习几种常用的广域网路由协议。（3）、掌握PPP协议的工作原理。（4）、利用所学的理论知识搭建网络模拟环境，在路由器上配置PPP协议，PAP认证和CHAP认证，并进行测试。（5）、在老师的指导下，要求独立完成课程设计的全部内容，并按要求编写课程设计学年论文，能正确阐述和分析设计和实验结果。2 设计原理2.1 PPP协议的简介点对点协议（PPP）是TCP/IP网络协议集合中的一个子协议，主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。PPP协议是SLIP协议的替代协议，在功能上没有太大的区别。它是为在同等单元之间数据传输数据包这样的简单链路设计的链路蹭协议。这种链路提供全双工操作，并按照顺序传递数据包。设计的目的主要是用来通过通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方法。PPP链路建立的过程：一个典型的链路建立过程分为三个阶段：创建阶段、认证阶段和网络协商阶段。阶段1：创建PPP链路，LCP负责创建链路。在这个阶段，将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文（Configure Packets）。一旦一个配置成功信息包（Configure-Ack packet）被发送且被接收，就完成了交换，进入了LCP开启状态。阶段2：用户验证，在这个阶段，客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。在这一阶段里，只有链路控制协议、认证协议，和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。 阶段3：调用网络层协议，认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。选定的NCP解决PPP链路之上的高层协议问题，例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。这样，经过三个阶段以后，一条完整的PPP链路就建立起来了。其图如2.1所示。图2.1路由器的链路连接2.2 PAP和CHAP认证（1）口令验证协议（PAP） PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。 PAP基本上使用的与普通的注册程序相同的方法。客户通过发送一个用户名字和一个（选择性加密）密码到服务器，也就是与它的秘密数据相比较的服务器。这个技术容易被窃听者攻击，他们可能会通过在连续线上的偷听来获得密码，从而重复细碎的事情和错误的任务。（2）挑战-握手验证协议（CHAP） CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP 协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证 者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发 送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remote client impersonation）进行攻击。3 设计步骤3.1绘制实验拓扑图首先，利用BosonNetworkDesigner绘制网络拓扑图。在绘图的过程中，先选择型号为2620的路由器，点击型号为2620的路由器将其直接拖进到要绘制的地方，在弹出的页面中选择相应的参数。然后将两个路由器连接起来，在弹出的页面中选择点对点的类型而对于DCE端可以任意选择其结果如图3.1所示。图3.1选择的DEC的端口图3.2网络拓扑图这样网络拓扑图就画好了，完整的拓扑图如图3.2所示。3.2 路由器的配置将画好的网络拓扑图保存并装入Boson NetSim中开始对所有的路由器参数进行配置。在出现的界面中点击工具栏中的这个按钮，再选择路由器r1就可以对其进行相应的参数配置了。特别要注意的是因为两台路由器要进行验证所以在配置的过程中一定要设置时钟频率且应该相同。配置好的路由器1如图3.3所示。图3.3路由器r1的配置从图中可以看出要对路由器进行配置首先要进入全局配置模式，然后给路由器命名为r1再进行下面的命令语句。其中路由器r1配的IP地址和子网掩码分别为192.168.1.1和255.255.255.0，设置的时钟频率为64000。再对路由器r2进行配置，因为两个路由器一样故配置也基本相同。只是给r2陪IP地址应该与r1的不同，这便于后面的测试。配好后的路由器如图3.4所示。路由器r2的IP地址和子网掩码分别为192.168.1.2和255.255.255.0。图3.4路由器r2的配置3.3 PPP的配置与测试 选择路由器r1并对其进行PPP配置，进行PPP配置的命令为encapsulation ppp。配置好的路由器r1如图3.5所示：图3.5路由器r1的PPP配置选择路由器r2并对其进行配置，其配置方法与路由器r1的相同。配置好的路由器如图3.6所示：图3.6路由器r2的PPP配置将所有的路由器都进行PPP配置好后，就可以在r1路由器上测试r2并观察PPP的测试结果。测试的结果图如3.7所示。从图中我们可以得到当ping路由器r2的IP地址192.168.1.2时，发送端发的数据包为5，而接收的也为5个说明两台路由器已经是连通的，也就是说两台路由器的配置是成功的，故可以在两台路由器上进行认证。图3.7两台路由器的测试结果3.4 CHAP的验证和测试在对r1进行CHAP配置时，必需要建立数据库，否则无法实现使用PAP实现PPP的验证，建立数据库的命令为username r2 password 123。对PPP使用CHAP进行测试的命令为ppp authentication chap。配置好后的路由器r1如图3.8所示。图3.8路由器r1的CHAP配置由于两个路由器的基本配置原理一样，故在对路由器r2进行配置时，其步骤与r1的配置步骤相同，只要在相应的位置将路由器r1改成r2就可以了。配置好后的路由器r2如图3.9所示。图3.9路由器r2的CHAP配置所有的路由器都配置好后就可以在路由器r1上对路由器r2上进行CHAP测试,其测试的结果如图3.10所示。从图中可以得到路由器r1的IP地址为192.168.1.1，串口0是开启的，而其他的串口则是处于关闭状态。而且在传输的过程中没有数据包的损失即数据包的传输速率是百分之百。从图中还可以的到得到传输的时间为2秒。round-trip的最小时间、平均时间及最大时间分别为1、2、4毫秒。也就是说对PPP使用CHAP的配置的验证结果是成功的。图3.10 CHAP的验证结果3.4 PAP的验证和测试 PAP的验证命令与CHAP的验证命令是一样的，故在对PPP协议用PAP方式进行验证时，其所有的步骤都跟CHAP验证方式是一样的，只是在相应的地方对其进行修改，只是在对PPP进行验证的方式改成PAP。其后的所有命令都与CHAP的命令一样。配置好的路由器r1和路由器r2的PAP认证分别如图3.11和3.12所示。图3.11路由器r1的PAP配置图3.11路由器r2的PAP配置所有的配置完成后就可以在路由器r1上对r2的IP地址进行测试了，在进行测试时使用的命令语句为ping命令以及查看其路由。测试后的结果如图3.13所示。图3.13 PAP的测试结果从上图中可以得到两个路由器是直接通过接口零相连的，发送的数据包与收到的数据包是相同的，也就是说在传输的过程中没有损失，也可以从图中得到和CHAP相同的数据即验证的结果相同。也就是说PAP的测试是成功的，该设计也是成功的。4出现的问题和解决方法在这次的设计中出现了一些问题，主要的问题有：路由器的配置问题和进行配置的一些相关命令。刚拿到课程设计的题目时我觉得这个题目还比较的简单，因为在上课的时候就做过类似的实验。但是真正实施起来时发现并不是我想的那么简单。首先是路由器的选择问题，因为要本着够用的原则所以在这个问题上一定要慎重，其次就是端口的问题，因为在配置路由器的过程中要用到端口故其选择的时候一定要记牢以方便后面的配置问题。这些问题都能通过翻阅相关的资料能够解决。最麻烦的事情是路由器的配置问题，开始时，要对进行PPP协议封装的命令有所了解，了解其到底是个什么样的协议，熟悉其配置和验证的有关知识。当所有的预备知识都完成后就可以对其进行配置和认证。但在配置的过程中对两台路由器进行验证时，总是失败的，后来发现原来没有对路由器进行设置时钟频率，而且在配置一台路由器的时钟频率情况下也不能将两台路由器ping通。只有当两台路由器都有时钟频率时ping的结果才是正确的。最后，在对路由器进行PPP配置和认证时，要注意一些细节问题，因为命令稍不注意就会写错，如果写错命令就会出现错误提示这不便于截图，故在配置的过程中应该要细心确保每一个语句的正确性以免要重头开始对路由器进行配置。5结束语为期两周的计算机网络课程设计已经结束了，但在这次设计中我学到了许多的东西。通过这次的设计，不仅加深了我对课本基础理论知识的理解，而且增强了我的实践能力，同时更加认识到理论知识和实践结合的重要性。首先，更加深入理解了计算机网络的一些协议，包括PPP协议、高级数据链路控制协议、帧中继交换网、同步数据链路控制（SDLC）协议等；其次，更加深刻的认识了PPP协议的配置和认证；再次，较大地提高了综合运用专业基础知识及软件设计能力。在这次课程设计的过程中，遇到了不少困难。首先是路由器的配置，因为路由器的配置使用的PPP故要对PPP协议的命令有深一层的认识，虽然知道配置的一些命令但是在具体的配置过程中还是无法实现两台路由器的连通这让我看到了自己将理论和实践融合起来的实践能力还不够，希望在今后的学习中能够有更多的动手机会，这样才能增加自己思考问题的能力和实践能力，对以后的学习和工作都有很到的帮助。虽然在这次课程设计中遇到很多的困难，但在老师和同学的帮助下都一一解决了，而且通过讨论问题与同学之间的交流时间增加了，这有助于同学之间的感情更进一步。这次设计不仅让我学会如何独立完成一项工作，而且提高了解决问题的能力，为以后的课程设计打下良好的基础。在此向帮助我的王老师及热心同学表示忠心的感谢！希望今后还能参加更多的课程设计，以锻炼自己在各个方面的能力，尤其是综合运用专业基础知识和实践结合的能力。设计的过程中虽然有许多的辛酸，但是得到的收获也是不少的。参考文献1谢希仁.计算机网络.第五版.北京: 电子工业出版社,2008年2张浩军.计算机实训教程.第二版.北京:高等教育出版社2008年3雷震甲.网络工程教程.第二版.北京 :清华大学出版社,2005年4周明天. TCP/IP网络原理与技术.第三版.北京: 清华大学出版社,1993年5熊桂喜.计算机网络.第一版.北京: 清华大学出版社,2005年附录：路由器r1参数的配置：RouterenableRouter#conf ter /进入全局模式配置Router(config)#hostname r1 /给路由器命名r1(config)#ena se c1 /设置特权模式密码为c1r1(config)#line vty 0 4 /配置远程登陆端口r1(config-line)#pass c2 /配置远程登陆密码r1(config-line)#int se 0 /进入端口配置r1(config-if)#ip address 192.168.1.1 255.255.255.0 /设置端口的ip地址和子网掩码r1(config-if)#clock rate 64000 /配置时钟频率r1(config-if)#no shut /打开端口r1(config-if)#end 路由器r2参数的配置：RouterenableRouter#conf terRouter(config)#hostname r2r1(config)#ena se c1r1(config)#line vty 0 4r1(config-line)#pass c2r1(config-line)#int se 0r1(config-if)#ip address 192.168.1.2 255.255.255.0r1(config-if)#clock rate 64000r1(config-if)#no shutr1(config-if)#end路由器r1