實驗12 路由器廣域網(wǎng)PPP封裝PAP驗證配置

1、實驗十二、路由器廣域網(wǎng)PPP封裝PAP驗證配置一、實驗?zāi)康亩?、?yīng)用環(huán)境基于安全的考慮,需要路由器雙方經(jīng)過驗證后才能建立連接三、實驗設(shè)備1.DCR-1751 兩臺2.CR-V35MT 一條3.CR-V35FC 一條四、實驗拓撲 五、實驗要求Router-A Router-B接口IP地址接口IP地址S1/1DTE 192.168.1.2 DCE 192.168.1.1 S1/0帳號密碼帳號密碼RouterBdigitalchinaB digitalchinaARouterA六、實驗步驟第一步Router-A的配置Router>enable !進入特權(quán)模式Router #config !進入全

2、局配置模式Router-A !修改機器名Router _config#hostnameRouter-A_config#username RouterB password digitallchinaB !設(shè)置帳號密碼Router-A_config#interface s1/1 !進入接口模式Router-A_config_s1/0#ip address 192.168.1.1 255.255.255.0 !配置IP地址PPP !封裝PPP協(xié)議Router-A_config_s1/1#encapsulationpap !設(shè)置驗證方式authenticationRouter-A_config_s1/

3、0#pppRouter-A_config_s1/0#ppp pap sent-username RouterA digitalchinaA!設(shè)置發(fā)送給對方驗證的帳號密碼Router-A_config_s1/0#physical-layer speed 64000 !配置DCE時鐘頻率shutdownRouter-A_config_s1/0#noRouter-A_config_s1/0#Z !按ctrl + z進入特權(quán)模式第二步:查看配置s1/1 !查看接口狀態(tài)interfaceRouter-A#showSerial1/0 is up, line protocol is down!對端沒有配置,

4、所以協(xié)議是DOWN Mode=Sync DCE Speed=64000 !查看DCEDTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UPInterface address is 192.168.1.1/24!查看IP地址MTU 1500 bytes, BW 64 kbit, DLY 2000 usecEncapsulation prototol PPP, link check interval is 10 sec !查看封裝協(xié)議Octets Received0, Octets Sent 0Frames Received 0, Frames Sent 0, Link-chec

5、k Frames Received0Link-check Frames Sent 89, LoopBack times 0Frames Discarded 0, Unknown Protocols Frames Received 0, Sent failuile 0Link-check Timeout 0, Queue Error 0, Link Error 0,60 second input rate 0 bits/sec, 0 packets/sec!60 second output rate 0 bits/sec, 0 packets/sec!0 packets input, 0 byt

6、es, 8 unused_rx, 0 no buffer0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort8 packets output, 192 bytes, 0 unused_tx, 0 underrunserror:0 clock, 0 gracePowerQUICC SCC specific errors:0 recv allocb mblk fail 0 recv no buffer0 transmitter queue full 0 transmitter hwqueue_full第三步:Router-B的配

7、置Router>enable !進入特權(quán)模式Router #config !進入全局配置模式Router-B !修改機器名Router _config#hostnameRouter-B_config#username RouterA password digitalchinaA !設(shè)置帳號密碼Router-B_config#interface s1/0 !進入接口模式Router-B_config_s1/0#ip address 192.168.1.2 255.255.255.0 !配置IP地址Router-B_config_s1/1#encapsulationPPP !封裝PPP協(xié)議p

8、ap !設(shè)置驗證方式Router-A_config_s1/0#pppauthenticationRouter-A_config_s1/0#ppp pap sent-username RouterB digitalchinaB!設(shè)置發(fā)送給對方驗證的帳號密碼shutdownRouter-B_config_s1/0#noRouter-B_config_s1/0#Z !按ctrl + z進入特權(quán)模式第四步:查看配置s1/0 !查看接口狀態(tài)interfaceRouter-A#showSerial1/0 is up, line protocol is up!接口和協(xié)議都是upMode=Sync DTE!查

9、看DTEDTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UPInterface address is 192.168.1.2/24!查看IP地址MTU 1500 bytes, BW 64 kbit, DLY 2000 usecEncapsulation prototol PPP, link check interval is 10 sec !查看封裝協(xié)議Octets Received0, Octets Sent 0Frames Received 0, Frames Sent 0, Link-check Frames Received0Link-check Frames Se

10、nt 89, LoopBack times 0Frames Discarded 0, Unknown Protocols Frames Received 0, Sent failuile 0Link-check Timeout 0, Queue Error 0, Link Error 0,60 second input rate 0 bits/sec, 0 packets/sec!60 second output rate 0 bits/sec, 0 packets/sec!0 packets input, 0 bytes, 8 unused_rx, 0 no buffer0 input er

11、rors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort8 packets output, 192 bytes, 0 unused_tx, 0 underrunserror:0 clock, 0 gracePowerQUICC SCC specific errors:0 recv allocb mblk fail 0 recv no buffer0 transmitter queue full 0 transmitter hwqueue_full第五步:測試連通性PING 192.168.1.2 (192.168.1.2: 56 data byte

12、s!- 192.168.1.2 ping statistics -5 packets transmitted, 5 packets received, 0% packet lossround-trip min/avg/max = 20/22/30 ms七、注意事項和排錯1.帳號密碼一定要交叉對應(yīng),發(fā)送的帳號密碼要和對方帳號數(shù)據(jù)庫中的帳號密碼對應(yīng)八、配置序列Router-A的序列Building configuration.Current configuration:!service timestamps log dateservice timestamps debug dateno servi

13、ce password-encryption!hostname Router-A!username routerb password 0 digitalb !interface FastEthernet0/0no ip directed-broadcast!interface Ethernet2/0no ip addressno ip directed-broadcastduplex half!interface Serial1/0no ip addressno ip directed-broadcastphysical-layer speed 64000!interface Serial1/

14、1no ip directed-broadcastencapsulation pppppp pap sent-username routera digitala physical-layer speed 64000!interface Async0/0no ip addressno ip directed-broadcast!九、共同思考1.在什么環(huán)境下需要配置驗證方式?2.PAP驗證是否非常安全?十、課后練習本實驗是雙向驗證,嘗試做單向驗證的配置十一、相關(guān)命令詳解ppp authentication使用接口配置命令ppp authentication指定接口上使用CHAP或PAP協(xié)議的次序,

15、使用no ppp authentication 取消認證。ppp authentication chap|ms-chap|paplist-name|defaultcallinno ppp authentication參數(shù)參數(shù)參數(shù)說明chap 在串行接口上激活CHAPpap 在串行接口上激活PAPms-chap 在串行接口上激活MS-CHAPlist-name (可選的與AAA/TACACS+一起使用,指定執(zhí)行認證時使用的TACACS+方法列表名。如果沒有指定列表名,系統(tǒng)將使用缺省列表。使用命令aaa authentication ppp創(chuàng)建列表。default(可選的與AAA/TACACS+一

16、起使用。使用命令aaa authentication ppp 創(chuàng)建缺省缺省列表。callin (可選的指定僅對收到的呼叫(calls進行認證。進行PPP認證時,chap、ms-chap和 pap三者必選其一,或者三者任意組合。缺省不進行PPP認證。命令模式接口配置態(tài)使用說明 一旦你激活了 CHAP、MS-CHAP 和 PAP 認證中的一個、兩個或者全部激活，本地路由器在允許 遠端設(shè)備傳送數(shù)據(jù)之前，要求對其身份進行驗證。 (1 PAP 認證要求遠端設(shè)備發(fā)送一個名字/口令對， 來檢驗在本地用戶數(shù)據(jù)庫或 者遠程 TACACS/TACACS數(shù)據(jù)庫中是否有一個匹配項。 (2 CHAP 認證發(fā)送一個 challenge 給遠端設(shè)備， 遠端設(shè)備必須使用公有密鑰對 challenge 進行加密并把加密結(jié)果和自身名字以 response 報文的形式返回給 本地路由器。本地路由器使用遠端設(shè)備名字在本地用戶數(shù)據(jù)庫或者遠程 TACACS/TACACS數(shù)據(jù)庫中查找到相應(yīng)的密鑰，用它對最初 challenge 進行加密，并驗證該加密結(jié)果是否與遠端設(shè)備返回的結(jié)果相同。 你可能以任何次序激活 PAP、MS-CHAP 和 CHAP。如果兩種方法都被激活了，那么使用第 一個方法在鏈路協(xié)商階段提出請求。 如果遠端建議使用第二種方法或者簡單地拒絕了第一種 方法，將使用第二種方法。一些遠端設(shè)備僅僅支持 CHAP 或僅