一、项目背景 PPP协议特点和配置方式
(一)PPP协议特点
我们先来了解一下PPP协议,PPP协议即点对点协议,为在点对点连接上传输多协议数据包提供了一个标准方法(表4-1)。PPP协议的最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。在 TCP/IP协议集中它是一种用来同步调制连接的数据链路层协议(OSI模式中的第二层),替代了原来非标准的第二层协议,即SLIP。除了IP以外,PPP还可以携带其他协议,包括DECnet和Novell的Internet网包交换(IPX)。
|
8 bits |
16 bits |
24 bits |
40bits |
Variable… |
16-32bits |
|---|---|---|---|---|---|
|
Flag |
Address |
Control |
Protocol |
Information |
FCS |
PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。但是目前PPP协议很少在纯粹的点对点上使用了,那种从A点到B点配置PPP的实际例子基本上不存在了,毕竟PPP协议是众多广域网协议的基础,其他协议都是在它的基础上改进而来的。不过,在多点到点的情况下PPP还是广泛应用的,但并不是单独工作而是借助于其他网络存在。
目前,PPP主要应用技术有两种,一种是PPP over Ethernet,也就是我们常说的PPPoE,而另一种则是PPP over ATM,也叫PPPoA。
PPPOE就是我们常说的ADSL、有线通、FTTB等宽带拨号采用的协议,大部分家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入已经取代了拨号上网。利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE既保护了用户方的以太网资源,又完成了宽带的接入要求,是目前家庭宽带接入方式中应用最广泛的技术标准。
PPPoA则是在ATM网络上运行PPP协议的技术,在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同、作用相同;不同的是它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准(图4-2)。
一般来说,衡量一个网络协议的优劣主要有以下几个指标,包括带宽,时延,网络资源争用以及可视性。那么PPP协议在这四个方面表现如何呢?
带宽通常是稀缺资源,因此必须要节约使用。在所有广域网协议中,PPP的带宽是最低的,比HDLC协议和FRAME RELAY帧中继要慢了不少,更不用说ATM了。时延是广域网固有的问题,PPP协议的时延比较长,当在点对点封装时效果还可以,一旦发展到点到多点则时延问题比较严重。网络资源争用时由于PPP是点到点协议,不存在多线路合用的问题,所以网络资源争用问题出现的概率比较低。协议的可视性主要是帮助网络管理员更深入直观的了解协议工作状态,而PPP协议则不具有可视性管理功能。
(二)PPP协议的验证
PPP协议有两种认证方式:PAP和CHAP。
1.PAP验证
(1)PAP验证特点。
PAP采用两次握手方式,其认证密码在链路上是明文传输的;一旦连接建立后,客户端路由器需要不停地在链路上发送用户名和密码进行认证,因此受到远程服务器端路由器对其进行登录尝试的频率和定时的限制。
PAP验证特点为两次握手协议和明文方式。
首先,客户端给出服务器端的用户名和密码(username R1 password rapass),并将自己的用户名和密码送给服务器端进行验证(ppp pap sent-username R2 password rapass)。其次在服务器端进行验证(用户名和密码),并通告成功或失败。
(2)PAP验证配置。
客户端(被验证方):
RA(config)#interface seril 1/2
RA(config-if)#encapsulation ppp
RA(config-if)#ppp pap sent-username ruijie password 0 123服务端(验证方):
RB(config)#username ruijie password 123
RB(config)#interface seril 1/2
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication pap2.CHAP验证
(1)CHAP验证特点。
CHAP验证特点为三次握手协议。只在网络上传输用户名,而并不传输口令。安全性要比PAP高,但认证报文耗费带宽。
CHAP验证工作过程为首先由服务器端给出对方(客户端)的用户名和挑战密文,客户端同样给出对方(服务器端)的用户名和加密密文,服务器端进行验证,并向客户端通告验证成功或失败。在客户端R2建立用户名与密码,用户名是对方(服务器端R1)的主机名;在服务器端R1,也建立用户名与密码,用户名是对方(客户端R2)的主机名。
(2)CHAP验证配置。
客户端(被验证方):
RA(config)#username RB password 123
RA(config)#interface serial 1/2
RA(config-if)#encapsulation ppp服务端(验证方):
RB(config)#username RA password 123
RB(config)#interface serial 1/2
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication chap特权模式下输入:
Router#show interfaces serial 1/2
Router#debug ppp authentication二、任务实施 网络认证配置与管理
任务目的掌握PAP认证的过程,具备PAP认证的能力。
背景描述你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户路由器与ISP进行链路协商时要验证身份,配置路由器保证链路建立,并考虑其安全性。
实现功能PPP协议位于OSI七层模型的数据链路层,PPP协议按照功能划分为两个子层:LCP、NCP。LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCP主要负责和上层的协议进行协商,为网络层协议提供服务。
PPP的认证功能是指在建立PPP链路的过程中进行密码的验证,验证通过建立连接,验证不通过拆除链路。
PPP协议支持两种认证方式PAP和CHAP。PAP(Password Authentication Protocol,密码验证协议)是指验证双方通过两次握手完成验证过程,它是一种用于试图登录到点对点协议服务器上的用户进行身份验证的方法。由验证方主动发出验证请求,包含了验证的用户和密码,由验证方验证后做出回复,通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。
实现功能在链路协商时保证安全验证,链路协商时用户名、密码以明文的方式传输。
任务设备R1700(两台)、V.35线缆(1条)。
任务拓扑
任务步骤1基本配置。
Ra(config)#interface serial 1/2
Ra(config-if)#ip address 1.1.1.1 255.255.255.0
Ra(config-if)#no shutdown
Rb(config)#interface serial 1/2
Rb(config-if)ip address 1.1.1.2 255.255.255.0
Rb(config-if)#clock rate 64000
Rb(config-if)#no shutdown验证测试:(以Ra为例)。
Ra#show interface serial 1/22配置PPP PAP认证。
Ra(config)#interface serial 1/2
Ra(config-if)#encapsulation ppp !接口下封装PPP协议。
Ra(config-if)#ppp pap sent-username ra password 0 star !PAP用户名.密码。
Rb(config)#username ra password 0 star
Rb(config-if)#encapsulation ppp
Rb(config-if)#ppp authentication pap !ppp启用pap认证方式。验证测试:
Ra#debug ppp authentication !观察PAP验证过程。(1)在DCE端要配置时钟。
(2)Rb(config)#username ra password 0 star其中username后面的参数是对方的主机名。
(3)在接口下封装PPP。
(4)debug ppp authentication 在路由器物理层UP,链路尚未建立的情况下打开才有信息输出,本任务的实质是链路层协商建立的安全性,该信息出现在链路协商的过程中。
任务目的掌握CHAP认证的过程,具备CHAP认证的能力。
背景描述你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户端路由器与ISP进行链路协商时要验证身份,配置路由器保证链路建立并考虑基安全性。
技术原理PPP协议位于OSI七层模型的数据链路层,PPP协议按照功能划分为两个子层:LCP、NCP。LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCP主要负责和上层的协议进行协商,为网络层协议提供服务。
PPP的认证功能是指在建立PPP链路的过程中进行密码的验证,验证通过建立连接,验证不通过拆除链路。
CHAP(Challenge Handshake Authentication Protocol,挑战式握手验证协议)是指验证双方通过三次握手完成验证过程,比PAP安全。由验证方主动发出挑战报文,由被验证方应答,在整个验证过程中,链路上传递的信息都进行了加密处理。
实现功能在链路协商时保证安全验证,链路协商时密码以密文的方式传输,更安全。
任务设备R1700(两台)、V.35线缆(1条)。
任务拓扑
任务步骤1基本配置。
Ra(config)#interface serial 1/2
Ra(config-if)#ip address 1.1.1.1 255.255.255.0
Ra(config-if)#no shutdown
Rb(config)#interface serial 1/2
Rb(config-if)#ip address 1.1.1.2 255.255.255.0
Rb(config-if)#clock rate 64000
Rb(config-if)#no shutdown验证测试:
Ra#show interface serial 1/22配置PPP CHAP认证。
Ra(config)#username rb password 0 star !以对方的主机名作为用户名,密码和对方的路由器一致
Ra(config)#interface serial 1/2
Ra(config-if)#encapsulation ppp
Ra(config-if)#ppp authentication chap !ppp启用chap方式验证
Rb(config)#username ra password 0 star !以对方的主机名作为用户名,密码和对方的路由器一致
Rb(config)#interface serial 1/2
Rb(config-if)#encapsulation ppp验证测试:
Ra#debug ppp authentication !观察chap验证过程(1)在DCE端要配置时钟。
(2)ra(config)#username rb(对方的主机名) password 0 star。
(3)在接口下封装PPP。
