第29講廣域網(wǎng)接入技術(shù)PPP入PAPCHAP認(rèn)證

1、第29講廣域網(wǎng)接入技術(shù)-ppp接入,pap/chap認(rèn)證主講：史寶會本講教學(xué)目標(biāo)q常見的廣域網(wǎng)接入技術(shù)介紹qppp協(xié)議與pap認(rèn)證技術(shù)qppp協(xié)議與chap認(rèn)證技術(shù)qnat協(xié)議廣域網(wǎng)技術(shù)簡介qwan可以訪問本地網(wǎng)絡(luò)之外的網(wǎng)絡(luò)資源。要訪問這些網(wǎng)絡(luò)資源，一般來說需要向wan服務(wù)提供商預(yù)訂服務(wù)。q wan服務(wù)提供商主要提供以下三種類型的服務(wù)：呼叫建立服務(wù)或信令服務(wù)時分多路復(fù)用（time division multiplexing, tdm）服務(wù)x.25或幀中繼服務(wù)。 廣域網(wǎng)的服務(wù)形式wan的典型術(shù)語使用路由器的wan 服務(wù)qc i s c o路由器允許訪問三種形式的wan服務(wù)：交換（switched

2、）服務(wù)中繼(relayed) 服務(wù)ibm的企業(yè)數(shù)據(jù)中心內(nèi)的（ibms enterprise data center）計算機相連接的服務(wù)通過連接對等設(shè)備（peer device）的協(xié)議獲得的服務(wù)。wan的線纜及布線廣域網(wǎng)連接類型：第一層q專線 q電路交換 q分組交換 同步串行線路（同步串行線路（synchronous serial）telephonecompany異步串行線路異步串行線路 asynchronous serial, isdn layer 1serviceprovidersynchronous serial典型的廣域網(wǎng)封裝協(xié)議：第二層q專線 q包(分組)交換q電路交換 hdlc, p

3、pp, slipx.25, frame relay, atmserviceproviderppp, slip, hdlctelephonecompanywan物理層串行線路點到點連接串行線路點到點連接router connectionseia/tia-232eia/tia-449eia-530v.35x.21csu/dsuend user deviceservice providerdtedce串行連接的路由器應(yīng)用ppp的作用與應(yīng)用qppp提供了在同步及異步電路基礎(chǔ)上路由器到路由器及主機到網(wǎng)絡(luò)的鏈接。 qppp可為多種協(xié)議提供端到端的連接?？梢允莍p、ipx和apple talk。qppp可以

4、運行在任何dte/dce接口上。qppp協(xié)議對于傳輸速率沒有任何限制條件，ppp協(xié)議支持的物理接口包括eia/tia-232-e接口、eia/tia-422接口、eia/tia-423接口及v.35接口。ppp的組成q1. hdlc ppp用hdlc作為點到點鏈路上基本的封裝方法.q2. lcp(可擴(kuò)展的鏈路控制協(xié)議)建立、配置和測試數(shù)據(jù)鏈路的連接和終止方法lcp配置需要經(jīng)過建立鏈接、選擇配置、決定鏈接質(zhì)量、選擇網(wǎng)絡(luò)層協(xié)議配置、終止鏈接四個階段。q3. ncp(網(wǎng)絡(luò)控制協(xié)議) 建立和配置不同的網(wǎng)絡(luò)層協(xié)議ppp的多協(xié)議應(yīng)用ppp用用ncp進(jìn)行多種協(xié)議的封裝進(jìn)行多種協(xié)議的封裝ppp用用lcp進(jìn)行鏈

5、路的建立與控制進(jìn)行鏈路的建立與控制ppp各層元素lcp選項的多種功能特性特性功能功能協(xié)議協(xié)議驗證明文密碼驗證pap競爭握手chap壓縮在源端壓縮數(shù)據(jù)，在目的端解壓縮stacker or predictor錯誤探測監(jiān)視連接上丟掉的數(shù)據(jù)，避免幀循環(huán)quality magic number多鏈路多個鏈路間的負(fù)載平衡多鏈路協(xié)議（mp）ppp協(xié)議的主要好處之一是lcp選項的多種功能，這些功能詳見下表。ppp會話建立q1. 鏈路的建立和配置的協(xié)商q2.鏈路質(zhì)量檢測 q3.網(wǎng)絡(luò)層協(xié)議配置協(xié)調(diào) q4.鏈路終止 qppp的驗證方式pap：單向驗證chap：雙向驗證ppp驗證協(xié)議-papremote router

6、(santacruz)central-site router (hq)hostname: santacruzpassword: boardwalk username santacruzpassword boardwalk pap 二次握手二次握手“santacruz, boardwalk”accept/rejectq密碼明文傳輸q對方控制連接請求q雙向使用相同的username和passwordpap驗證的特點qpap為遠(yuǎn)程節(jié)點使用二次握手法建立身份標(biāo)示提供了一種簡單的辦法。pap僅在最初建立鏈路時使用。在ppp鏈路建立階段結(jié)束以后，一個用戶名-密碼對被遠(yuǎn)程節(jié)點重復(fù)的發(fā)給路由器，直到驗證被應(yīng)答

7、或連接中止。qpap不是一個強壯的驗證協(xié)議。密碼是以明文的方式發(fā)送的，對于回放和重復(fù)的試錯法攻擊沒有防范能力。ppp驗證協(xié)議-chapremote router(santacruz)central-site router (hq)hostname: santacruzpassword: boardwalk username santacruzpassword boardwalk chap 3次握手次握手challengeresponseaccept/reject密文方式傳遞密碼密文方式傳遞密碼有效避免再生攻擊和嘗試攻擊有效避免再生攻擊和嘗試攻擊chap驗證的特點qchap是一種比pap強壯的驗

8、證方法。qchap用在一個鏈路建立的時候，并且使用三次握手周期性的驗證遠(yuǎn)程節(jié)點的身份。qchap在鏈路初始建立時運行，并且可以在鏈路建立后的任何時候重復(fù)。啟用ppp封裝和pap/chap驗證q在端口模式下啟動在端口模式下啟動pppq配置ppp認(rèn)證指定你自己路由器的主機名指定你自己路由器的主機名確認(rèn)被認(rèn)證路由器的用戶名和密碼確認(rèn)被認(rèn)證路由器的用戶名和密碼選擇選擇pap還是還是chap作為認(rèn)證協(xié)議作為認(rèn)證協(xié)議router(config-if)#encapsulation ppprouter(config)#hostname namerouter(config)#username name pass

9、word passwordrouter(config-if)#ppp authenticationchap | chap pap | pap chap | papchap實例分析leftrouterrightrouterpstn/isdnqhostname leftqusername right password sameoneq!qint serial 0/0q ip address 10.0.1.1 255.255.255.0q encapsulation pppq ppp authentication chaphostname rightusername left password sa

10、meone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication chap注意注意:用戶名是對方的用戶名是對方的,密碼一定要相同密碼一定要相同區(qū)分大小寫區(qū)分大小寫配置pap實例leftrouterrightrouterpstn/isdnqhostname leftq!qint serial 0/0q ip address 10.0.1.1 255.255.255.0q encapsulation pppqppp pap sent-username left password ciscohostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255