《点对点协议.ppt》由会员分享,可在线阅读,更多相关《点对点协议.ppt(26页珍藏版)》请在三一文库上搜索。
1、点对点协议,RCNA_09,学习目标,通过本章的学习,希望您能够: 广域网的概念 广域网中的数据链路层协议 点对点协议PPP Pap配置 Chap配置,广域网的概念,广域网(Wide Area Network,WAN)指一个很大地理范围的由许多局域网组成的网络,比如,一家大型公司在各地的分公司的内部网络互相连结组成一个网络。 互联网就是一个巨大的广域网。,广域网设备,广域网交换机 接入服务器 调制解调器 ISDN终端适配器 路由器(Router),广域网中的数据链路层协议,点到点协议(PPP) 高级数据链路控制(HDLC)协议 帧中继(Frame Relay),PPP协议简介,PPP(Poin
2、t to Point Protocol)协议 是一种在点到点链路上承载网络层数据包的一种链路层协议。 由于 它能够提供用户验证、易于扩充,并且支持同异步通信,因而获得广泛应用。,HDLC,PPP,专用点到点,PPP 的运行机制 PPP 的验证 PPP配置命令,主要内容:,PPP协议,链路控制协议(LCP) Link Control Protocol,简称LCP。主要用来建立、拆除和监控数据链路。 网络控制协议(NCP) Network Control Protocol,简称NCP。主要用来协商在该数据链路上所传输的数据包的格式与类型。 验证协议(PAP 和CHAP) 用于网络安全方面的验证。,
3、PPP 定义了一整套的协议:,(EIA/TIA-232, V.24, V.35, ISDN),LCP(连接控制协议),NCP(网络控制协议),OSI,2,1,(IP, IPX, AppleTalk),3,PPP协议结构,PPP运行过程,Dead,Establish,Authenticate,Terminate,Network,UP,Opened,Success/None,Fail,Fail,Down,Closing,PPP运行过程三阶段 链路建立阶段(LCP) 验证阶段(Authenticate) 网络控制协商阶段(NCP),PPP 的运行机制,(1) 在开始建立PPP 链路时,先进入到Est
4、ablish 阶段。 进行LCP 协商,协商内容包括工作方式(是SP还是MP)、验证方式和最大接收单元MRU(Maximum-Receive-Unit)等。 (2) LCP 在协商成功后进入Opened 状态,表示底层链路已经建立。 (3) 如果配置了验证(远端验证本地或者本地验证远端)则进入Authenticate 阶段,开始CHAP 或PAP 验证。 (4) 如果验证失败进入Terminate 阶段,拆除链路,LCP 状态转为Down;如果验证成功就进入Network 协商阶段(NCP),此时LCP 状态仍为Opened。两端的NCP根据网络层的不同协议互相交换网络层特定的分组。(PPP协
5、议两端的网络层可以运行不同的网络层协议) (5) PPP 链路将一直保持通信,直至有明确的LCP 或NCP 帧关闭这条链路,或发生了某些外部事件(例如,用户的干预)。,PPP 的验证,(1) PAP 验证 PAP 验证为两次握手验证,PAP 验证的过程如下: 被验证方发送用户名和口令到验证方; 验证方根据本端用户表查看是否有此用户以及口令 是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。,主验证方,RouterA,RouterB,PAP 验证,S0/0,S0/0,被验证方,1 username+password,2,B/S,PPP 的验证,(2)
6、CHAP 验证 CHAP 验证为三次握手验证,CHAP 验证过程如下: 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;,被验证方接到验证方的验证请求后,被验证方根据此报文中验证方的用户名查找用户口令字,如找到用户表中与验证方用户名相同的用户,就利用报文ID、此用户的密钥(口令字)和MD5 算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response); 如果被验证方没有在本端用户表中找到匹配的用户名,则检查本端接口上是否配置了ppp chap password 命令,如果配置了该命令则被验
7、证方利用报文ID、此用户的密钥(口令字)和MD5 算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response)。,验证方接收到该报文后,根据此报文中被验证方的用户名,在自己的本地用户数据库(local-user)中查找被验证方用户名对应的被验证方口令字,利用该口令和MD5 算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。,Client,Server,Hostname: wz Password: hyper123,username wz password hyper123,Request(us
8、ername,password),Auth Nak,PAP验证 特点,Auth Ack,两次握手协议 明文方式进行验证,Client,Server,Hostname: wz1 Password: hyper123,username wz2 password hyper123,Challenge,Response,Success,CHAP验证 特点,Failure,CHAP为三次握手协议 只在网络上传输用户名,而并不传输口令 安全性要比PAP高,但认证报文浪费带宽,第一步 定义接口封装类型: Router(config-if)#encapsulation ppp 第二步 定义本地数据库: Rou
9、ter(config)#username username password password,PPP认证配置,第三步 定义PAP认证: Router(config-if)#ppp authentication pap Router(config-if)#ppp pap sent-username username password password 定义CHAP认证: Router(config-if)#ppp authentication chap Router(config-if)#ppp chap hostname username Router(config-if)#ppp chap
10、 password password,PPP认证配置,扩展:H3C配置命令,封装PPP link-protocol ppp 设置验证类型 ppp authentication-mode pap|chap 设置用户名、口令、服务类型 H3Clocal-user huawei H3C-luser-huaweipassword simple 12345 H3C-luser-huaweiservice-type ppp,PPP配置举例一 PAP单向验证,主验证方,被验证方,RouterB,RouterA,PAP 验证,S3/0/0,S3/0/0,local-user rta/创建用来验证的本地帐号/
11、password simple 123 /设置帐号密码/ service-type ppp /设置服务类型为ppp/ interface Serial3/0/0 link-protocol ppp ppp authentication-mode pap /要求对对端进行PPP验证/,interface Serial3/0/0 link-protocol ppp ppp pap local-user rta password simple 123 /发送给对端的用户名及密码/,【需求】RouterB需要对RouterA送过来的帐号口令进行PAP验证, 验证通过后line protocol才会up
12、。 RouterA不需要对RouterB进行验证。,【验证】 通过查看disp int s 3/0/0信息,接口物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且都可以互相ping通对方的IP地址 Serial3/0/0 current state :UP Line protocol current state :UP Description : Serial3/0/0 Interface The Maximum Transmit Unit is 1500, Hold timer is 10(sec) Internet Add
13、ress is 10.1.1.1/24 Link layer protocol is PPP LCP opened, IPCP opened, OSICP opened Output queue : (Urgent queuing : Size/Length/Discards) 0/50/0 Interface is V35 121 packets input, 2304 bytes 126 packets output, 2618 bytes 【提示】 1、 建议在双方的路由器的可以互相ping通后,再配置认证功能,便于问题定位。 2、 “ppp authentication-mode pa
14、p”是要求对对端进行PPP验证,PPP典型配置举例二 CHAP双向验证,RouterA,RouterB,CHAP 验证,S2/0/0,S2/0/0,local-user rtb /创建用来验证的本地帐号/ password simple hello /设置帐号密码/ service-type ppp /设置服务类型为ppp/ interface Serial2/0/0 link-protocol ppp ppp authentication-mode chap /要求对对端进行PPP验证/ ppp chap user rta /Chap认证帐号/,local-user rta /创建用来验证的
15、本地帐号/ password simple hello /设置帐号密码/ service-type ppp /设置服务类型为ppp/ interface Serial2/0/0 link-protocol ppp ppp authentication-mode chap /要求对对端进行PPP验证/ ppp chap user rtb /Chap认证帐号/,主验证方,被验证方,CHAP双向验证,【需求】 RouterB需要对RouterA送过来的帐号口令进行CHAP验证,验证通过后line protocol才会up。 RouterA需要对RouterB送过来的帐号口令进行CHAP验证,验证通过后line protocol才会up。,Router#show interfaces serial ,PPP认证的调试,Router#debug ppp authentication,课程回顾,广域网的概念 广域网中的数据链路层协议 点对点协议PPP Pap配置 Chap配置,Q&A,
链接地址:https://www.31doc.com/p-3116748.html