第29講廣域網(wǎng)接入技術(shù)PPP入PAPCHAP認(rèn)證

1、第29講廣域網(wǎng)接入技術(shù)-ppp接入,pap/chap認(rèn)證主講：史寶會(huì)本講教學(xué)目標(biāo)q常見的廣域網(wǎng)接入技術(shù)介紹qppp協(xié)議與pap認(rèn)證技術(shù)qppp協(xié)議與chap認(rèn)證技術(shù)qnat協(xié)議廣域網(wǎng)技術(shù)簡介qwan可以訪問本地網(wǎng)絡(luò)之外的網(wǎng)絡(luò)資源。要訪問這些網(wǎng)絡(luò)資源，一般來說需要向wan服務(wù)提供商預(yù)訂服務(wù)。q wan服務(wù)提供商主要提供以下三種類型的服務(wù)：呼叫建立服務(wù)或信令服務(wù)時(shí)分多路復(fù)用（time division multiplexing, tdm）服務(wù)x.25或幀中繼服務(wù)。 廣域網(wǎng)的服務(wù)形式wan的典型術(shù)語使用路由器的wan 服務(wù)qc i s c o路由器允許訪問三種形式的wan服務(wù)：交換（switched

2、）服務(wù)中繼(relayed) 服務(wù)ibm的企業(yè)數(shù)據(jù)中心內(nèi)的（ibms enterprise data center）計(jì)算機(jī)相連接的服務(wù)通過連接對(duì)等設(shè)備（peer device）的協(xié)議獲得的服務(wù)。wan的線纜及布線廣域網(wǎng)連接類型：第一層q專線 q電路交換 q分組交換 同步串行線路（同步串行線路（synchronous serial）telephonecompany異步串行線路異步串行線路 asynchronous serial, isdn layer 1serviceprovidersynchronous serial典型的廣域網(wǎng)封裝協(xié)議：第二層q專線 q包(分組)交換q電路交換 hdlc, p

3、pp, slipx.25, frame relay, atmserviceproviderppp, slip, hdlctelephonecompanywan物理層串行線路點(diǎn)到點(diǎn)連接串行線路點(diǎn)到點(diǎn)連接router connectionseia/tia-232eia/tia-449eia-530v.35x.21csu/dsuend user deviceservice providerdtedce串行連接的路由器應(yīng)用ppp的作用與應(yīng)用qppp提供了在同步及異步電路基礎(chǔ)上路由器到路由器及主機(jī)到網(wǎng)絡(luò)的鏈接。 qppp可為多種協(xié)議提供端到端的連接?？梢允莍p、ipx和apple talk。qppp可以

4、運(yùn)行在任何dte/dce接口上。qppp協(xié)議對(duì)于傳輸速率沒有任何限制條件，ppp協(xié)議支持的物理接口包括eia/tia-232-e接口、eia/tia-422接口、eia/tia-423接口及v.35接口。ppp的組成q1. hdlc ppp用hdlc作為點(diǎn)到點(diǎn)鏈路上基本的封裝方法.q2. lcp(可擴(kuò)展的鏈路控制協(xié)議)建立、配置和測試數(shù)據(jù)鏈路的連接和終止方法lcp配置需要經(jīng)過建立鏈接、選擇配置、決定鏈接質(zhì)量、選擇網(wǎng)絡(luò)層協(xié)議配置、終止鏈接四個(gè)階段。q3. ncp(網(wǎng)絡(luò)控制協(xié)議) 建立和配置不同的網(wǎng)絡(luò)層協(xié)議ppp的多協(xié)議應(yīng)用ppp用用ncp進(jìn)行多種協(xié)議的封裝進(jìn)行多種協(xié)議的封裝ppp用用lcp進(jìn)行鏈

5、路的建立與控制進(jìn)行鏈路的建立與控制ppp各層元素lcp選項(xiàng)的多種功能特性特性功能功能協(xié)議協(xié)議驗(yàn)證明文密碼驗(yàn)證pap競爭握手chap壓縮在源端壓縮數(shù)據(jù)，在目的端解壓縮stacker or predictor錯(cuò)誤探測監(jiān)視連接上丟掉的數(shù)據(jù)，避免幀循環(huán)quality magic number多鏈路多個(gè)鏈路間的負(fù)載平衡多鏈路協(xié)議（mp）ppp協(xié)議的主要好處之一是lcp選項(xiàng)的多種功能，這些功能詳見下表。ppp會(huì)話建立q1. 鏈路的建立和配置的協(xié)商q2.鏈路質(zhì)量檢測 q3.網(wǎng)絡(luò)層協(xié)議配置協(xié)調(diào) q4.鏈路終止 qppp的驗(yàn)證方式pap：單向驗(yàn)證chap：雙向驗(yàn)證ppp驗(yàn)證協(xié)議-papremote router

6、(santacruz)central-site router (hq)hostname: santacruzpassword: boardwalk username santacruzpassword boardwalk pap 二次握手二次握手“santacruz, boardwalk”accept/rejectq密碼明文傳輸q對(duì)方控制連接請(qǐng)求q雙向使用相同的username和passwordpap驗(yàn)證的特點(diǎn)qpap為遠(yuǎn)程節(jié)點(diǎn)使用二次握手法建立身份標(biāo)示提供了一種簡單的辦法。pap僅在最初建立鏈路時(shí)使用。在ppp鏈路建立階段結(jié)束以后，一個(gè)用戶名-密碼對(duì)被遠(yuǎn)程節(jié)點(diǎn)重復(fù)的發(fā)給路由器，直到驗(yàn)證被應(yīng)答

7、或連接中止。qpap不是一個(gè)強(qiáng)壯的驗(yàn)證協(xié)議。密碼是以明文的方式發(fā)送的，對(duì)于回放和重復(fù)的試錯(cuò)法攻擊沒有防范能力。ppp驗(yàn)證協(xié)議-chapremote router(santacruz)central-site router (hq)hostname: santacruzpassword: boardwalk username santacruzpassword boardwalk chap 3次握手次握手challengeresponseaccept/reject密文方式傳遞密碼密文方式傳遞密碼有效避免再生攻擊和嘗試攻擊有效避免再生攻擊和嘗試攻擊chap驗(yàn)證的特點(diǎn)qchap是一種比pap強(qiáng)壯的驗(yàn)

8、證方法。qchap用在一個(gè)鏈路建立的時(shí)候，并且使用三次握手周期性的驗(yàn)證遠(yuǎn)程節(jié)點(diǎn)的身份。qchap在鏈路初始建立時(shí)運(yùn)行，并且可以在鏈路建立后的任何時(shí)候重復(fù)。啟用ppp封裝和pap/chap驗(yàn)證q在端口模式下啟動(dòng)在端口模式下啟動(dòng)pppq配置ppp認(rèn)證指定你自己路由器的主機(jī)名指定你自己路由器的主機(jī)名確認(rèn)被認(rèn)證路由器的用戶名和密碼確認(rèn)被認(rèn)證路由器的用戶名和密碼選擇選擇pap還是還是chap作為認(rèn)證協(xié)議作為認(rèn)證協(xié)議router(config-if)#encapsulation ppprouter(config)#hostname namerouter(config)#username name pass

9、word passwordrouter(config-if)#ppp authenticationchap | chap pap | pap chap | papchap實(shí)例分析leftrouterrightrouterpstn/isdnqhostname leftqusername right password sameoneq!qint serial 0/0q ip address 10.0.1.1 255.255.255.0q encapsulation pppq ppp authentication chaphostname rightusername left password sa

10、meone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication chap注意注意:用戶名是對(duì)方的用戶名是對(duì)方的,密碼一定要相同密碼一定要相同區(qū)分大小寫區(qū)分大小寫配置pap實(shí)例leftrouterrightrouterpstn/isdnqhostname leftq!qint serial 0/0q ip address 10.0.1.1 255.255.255.0q encapsulation pppqppp pap sent-username left password ciscohostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255