7.1、PPP封装和验证.ppt

1、PPP封装和验证,徐欣,教学内容,1、第二层广域网封装协议 2、HDLC的封装格式 3、PPP组成 4、PPP帧结构 5、PPP验证 6、配置,专线 （Leased Line）,电路交换 （Circuit-switched）,PPP, SLIP, HDLC,HDLC, PPP, SLIP,包交换 （Packet-switched）,X.25, Frame Relay, ATM,1、第二层广域网封装协议,Telephone Company,Service Provider,2、HDLC的封装格式,Flag：标志位，表示帧的开始或结束.01111110 Address：地址位，12字节，实际上为全

2、1 Control：控制位，表示帧的类型，如信息帧、管理帧等 Data：数据位，封装的数据 FCS：帧校验序列,HDLC是串行线路的默认封装r2#show interfaces s0/0/0Serial0/0/0 is administratively down, line protocol is down (disabled) Hardware is HD64570 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC,

3、loopback not set, keepalive set (10 sec),以太口的封装格式是ARPA，不能更改。 r2#show interfaces f0/0 FastEthernet0/0 is up, line protocol is up (connected) Hardware is Lance, address is 00d0.ffbe.1501 (bia 00d0.ffbe.1501) Internet address is 172.16.1.2/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 25

4、5/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set,PC1,PC2,R1,R2,F0/0,F0/0,s0/0,s0/0,数据从PC1到达PC2帧到底发生了什么变化？,1、PC1发出以太网帧，帧的源Mac为PC1的Mac，目的Mac为R1的f0/0的Mac； 2、R1查了路由表后，从s0/0发送出去时，帧为HDLC，没有MAC地址的概念； 3、R2查了路由表后，从f0/0发送出去时，帧又为以太网的帧，帧的源Mac 为R2的f0/0的Mac，帧的目的Mac为PC2的Mac。,3、PPP组成,1. HDLC P

5、PP用HDLC作为点到点链路上基本的封装方法. 2.可扩展链路控制协议（ LCP） 建立、配置和测试数据链路的连接，PPP用LCP进行链路的建立与控制。 3.网络控制协议（ NCP） 建立和配置不同的网络层协议，PPP用NCP进行多种协议的封装。,Synchronous or Asynchronous 物理介质（Physical Media）,链路控制协议（Link Control Protocol）,Authentication, other options,网络控制协议（Network Control Protocol）,PPP,Data Link Layer,Physical Layer

6、,Network Layer,IPCP,IPXCP,Many Others,IP,IPX,Layer 3 Protocols,PPP各层元素,PPP比HDLC多的功能,1、支持认证 2、支持多网络层协议 3、支持压缩和加密 4、支持multilink 5、支持callback（回拨）,4、PPP帧结构,标志位：指示帧的开始或结束 地址字段：为16进制值FF，PPP不指定单个工作站的地址，而是标准的广播地址 控制字段：为16进制值03 协议字段：用于表示封装在帧中的数据字段的协议类型 数据字段：封装的数据 FCS：帧校验字段，进行差错控制,5、PPP验证,1、PAP验证,r1,r2,Hostna

7、me: r1 Password: cisco,username r1 password cisco,PAP 2次握手,“r1,cisco”,接受或拒绝,PAP验证特征,1、利用两次握手的简单方法进行身份验证。 2、PPP链路建立后，源节点在链路上反复发送用户名和密码，直到通过。 3、密码明文发送。 4、源节点控制验证频率和次数，因此不能防范重复发送验证的攻击。,CHAP验证,r1,r2,Hostname: r2 Password: cisco,username r1 password cisco,CHAP 3-Way Handshake,询问,响应,接受或拒绝,CHAP验证特征,1、利用三次握

8、手周期性的验证远程节点的身份。 2、CHAP定期执行消息询问。 3、本地路由器或第三方验证服务器控制发送询问信息的频率和时机，使得链路更安全。 4、询问消息和密码经过MD5运算。,6、配置,PPP封装,r1 interface Serial0/0 ip address 202.96.12.1 255.255.255.0 encapsulation ppp clock rate 128000 no shutdown r2 interface Serial0/0 ip address 202.96.12.2 255.255.255.0 encapsulation ppp no shutdown,P

9、AP验证,r1(config-if)#encapsulation ppp /PPP封装 r1(config-if)#ppp pap sent-username r1 password cisco /配置将要发送到中心路由器上被验证的用户名和密码 r2(config)#username r1 password cisco /建立本地验证数据库 r2(config)#int s0/0/0 r2(config-if)#encapsulation ppp /PPP封装 r2(config-if)#ppp authentication pap /配置验证方式为PAP,CHAP验证,r1(config)#

10、username r2 password cisco /配置本地用户和密码数据库 r1(config)#int s0/0/0 r1(config-if)#encapsulation ppp /PPP封装 r1(config-if)#ppp authentication chap /PPP验证方式为CHAP r2(config)#username r1 password cisco /配置本地用户和密码数据库 r2(config)#int s0/0/0 r2(config-if)#encapsulation ppp /PPP封装 r2(config-if)#ppp authentication

11、chap /PPP验证方式为CHAP,调试命令：可以查看CHAP验证的三次握手,r2#debug ppp authentication r1(config-if)#shu r1(config-if)#no shu *Mar 1 00:19:40.307: Se0/0 PPP: Authorization required *Mar 1 00:19:40.315: Se0/0 CHAP: O CHALLENGE id 2 len 23 from r2 *Mar 1 00:19:40.319: Se0/0 CHAP: I CHALLENGE id 3 len 23 from r1 *Mar 1 00:19:40.327: Se0/0 CHAP: Using hostname from unknown source *Mar 1 00:19:40.327: Se0/0 CHAP: Using password from AAA *Mar 1 00:19:40.331: Se0/0 CHAP: O RESPONSE id 3 len 23 from r2 *Mar 1 00:19:40.331: Se0/0 CHAP: I RESPONSE id 2 len