路由器廣域網(wǎng)PPP封裝PAP驗證配置

1、路由器廣域網(wǎng)PPP封裝PAP驗證配置一、實驗目的1. 掌握PAP驗證配置2. 理解驗證過程二、應用環(huán)境基于安全的考慮，需要路由器雙方經(jīng)過驗證后才能建立連接三、實驗設備1. DCR-1702 兩臺2. CR-V35MT 一條3. CR-V35FC 一條四、實驗拓撲五、實驗要求Router-A Router-B接口 IP地址 接口 IP地址S1/1 DCE 192.168.1.1 S1/0 DTE 192.168.1.2帳號 密碼 帳號 密碼RouterA digitalchinaA RouterB digitalchinaB六、實驗步驟第一步 Router-A的配置Router>enabl

2、e ！進入特權(quán)模式Router #config ！進入全局配置模式Router _config#hostname Router-A ！修改機器名Router-A_config#username RouterB password digitallchinaB ！設置帳號密碼Router-A_config#interface s1/1 ！進入接口模式Router-A_config_s1/1#ip address 192.168.1.1 255.255.255.0 ！配置IP地址Router-A_config_s1/1#encapsulation PPP ！封裝PPP協(xié)議Router-A_confi

3、g_s1/1#ppp authentication pap ！設置驗證方式Router-A_config_s1/1#ppp pap sent-username RouterA digitalchinaA！設置發(fā)送給對方驗證的帳號密碼Router-A_config_s1/1#physical-layer speed 64000 ！配置DCE時鐘頻率Router-A_config_s1/1#no shutdown Router-A_config_s1/1#Z ！按ctrl + z進入特權(quán)模式第二步：查看配置Router-A#show interface s1/1 ！查看接口狀態(tài)Serial1/1

4、is up, line protocol is down ！對端沒有配置，所以協(xié)議是DOWNMode=Sync DCE Speed=64000 ！查看DCEDTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UPInterface address is 192.168.1.1/24 ！查看IP地址MTU 1500 bytes, BW 64 kbit, DLY 2000 usecEncapsulation prototol PPP, link check interval is 10 sec ！查看封裝協(xié)議Octets Received0, Octets Sent 0Frames

5、 Received 0, Frames Sent 0, Link-check Frames Received0Link-check Frames Sent 89, LoopBack times 0Frames Discarded 0, Unknown Protocols Frames Received 0, Sent failuile 0Link-check Timeout 0, Queue Error 0, Link Error 0, 60 second input rate 0 bits/sec, 0 packets/sec!60 second output rate 0 bits/sec

6、, 0 packets/sec!0 packets input, 0 bytes, 8 unused_rx, 0 no buffer0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort8 packets output, 192 bytes, 0 unused_tx, 0 underrunserror: 0 clock, 0 gracePowerQUICC SCC specific errors:0 recv allocb mblk fail 0 recv no buffer0 transmitter queue full 0

7、 transmitter hwqueue_full第三步：Router-B的配置Router>enable ！進入特權(quán)模式Router #config ！進入全局配置模式Router _config#hostname Router-B ！修改機器名Router-B_config#username RouterA password digitalchinaA !設置帳號密碼Router-B_config#interface s1/0 ！進入接口模式Router-B_config_s1/0#ip address 192.168.1.2 255.255.255.0 ！配置IP地址Router-

8、B_config_s1/0#encapsulation PPP ！封裝PPP協(xié)議Router-A_config_s1/0#ppp authentication pap ！設置驗證方式Router-A_config_s1/0#ppp pap sent-username RouterB digitalchinaB！設置發(fā)送給對方驗證的帳號密碼Router-B_config_s1/0#no shutdown Router-B_config_s1/0#Z ！按ctrl + z進入特權(quán)模式第四步：查看配置Router-A#show interface s1/0 ！查看接口狀態(tài)Serial1/0 is u

9、p, line protocol is up ！接口和協(xié)議都是upMode=Sync DTE ！查看DTEDTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UPInterface address is 192.168.1.2/24 ！查看IP地址MTU 1500 bytes, BW 64 kbit, DLY 2000 usecEncapsulation prototol PPP, link check interval is 10 sec ！查看封裝協(xié)議Octets Received0, Octets Sent 0Frames Received 0, Frames Sent

10、0, Link-check Frames Received0Link-check Frames Sent 89, LoopBack times 0Frames Discarded 0, Unknown Protocols Frames Received 0, Sent failuile 0Link-check Timeout 0, Queue Error 0, Link Error 0, 60 second input rate 0 bits/sec, 0 packets/sec!60 second output rate 0 bits/sec, 0 packets/sec!0 packets

11、 input, 0 bytes, 8 unused_rx, 0 no buffer0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort8 packets output, 192 bytes, 0 unused_tx, 0 underrunserror: 0 clock, 0 gracePowerQUICC SCC specific errors:0 recv allocb mblk fail 0 recv no buffer0 transmitter queue full 0 transmitter hwqueue_full

12、第五步：測試連通性Router-A#ping 192.168.1.2PING 192.168.1.2 (192.168.1.2: 56 data bytes!- 192.168.1.2 ping statistics -5 packets transmitted, 5 packets received, 0% packet lossround-trip min/avg/max = 20/22/30 ms七、注意事項和排錯1. 帳號密碼一定要交叉對應，發(fā)送的帳號密碼要和對方帳號數(shù)據(jù)庫中的帳號密碼對應2. 不要忘記配置DCE的時鐘頻率八、配置序列Router-A的序列Building config

13、uration.Current configuration:!version 1.3.2Eservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname Router-A!username routerb password 0 digitalb!interface FastEthernet0/0ip address 192.168.2.1 255.255.255.0no ip directed-broadcast!interface Ethernet2/0no ip

14、addressno ip directed-broadcastduplex half!interface Serial1/0no ip addressno ip directed-broadcastphysical-layer speed 64000!interface Serial1/1ip address 192.168.1.1 255.255.255.0no ip directed-broadcastencapsulation pppppp pap sent-username routera digitalaphysical-layer speed 64000!interface Asy

15、nc0/0no ip addressno ip directed-broadcast!九、共同思考1. 在什么環(huán)境下需要配置驗證方式？2. PAP驗證是否非常安全？十、課后練習本實驗是雙向驗證，嘗試做單向驗證的配置十一、相關命令詳解ppp authentication 使用接口配置命令ppp authentication指定接口上使用CHAP或PAP協(xié)議的次序，使用no ppp authentication 取消認證。 ppp authentication chap|ms-chap|paplist-name|defaultcallin no ppp authentication 參數(shù)參數(shù)參數(shù)說

16、明chap在串行接口上激活CHAPpap在串行接口上激活PAPms-chap 在串行接口上激活MS-CHAPlist-name（可選的）與AAA/TACACS+一起使用，指定執(zhí)行認證時使用的TACACS方法列表名。如果沒有指定列表名，系統(tǒng)將使用缺省列表。使用命令aaa authentication ppp創(chuàng)建列表。default（可選的）與AAA/TACACS+一起使用。使用命令aaa authentication ppp 創(chuàng)建缺省缺省列表。callin（可選的）指定僅對收到的呼叫（calls）進行認證。進行PPP認證時，chap、ms-chap和 pap三者必選其一，或者三者任意組

17、合。缺省不進行PPP認證。 命令模式接口配置態(tài) 使用說明一旦你激活了CHAP、MS-CHAP和PAP認證中的一個、兩個或者全部激活，本地路由器在允許遠端設備傳送數(shù)據(jù)之前，要求對其身份進行驗證。 (1 PAP認證要求遠端設備發(fā)送一個名字/口令對，來檢驗在本地用戶數(shù)據(jù)庫或者遠程TACACS/TACACS數(shù)據(jù)庫中是否有一個匹配項。(2 CHAP認證發(fā)送一個challenge給遠端設備，遠端設備必須使用公有密鑰對challenge進行加密并把加密結(jié)果和自身名字以response報文的形式返回給本地路由器。本地路由器使用遠端設備名字在本地用戶數(shù)據(jù)庫或者遠程TACACS/TACACS數(shù)據(jù)庫中查找到相應的密鑰，用它對最初challenge進行加密，并驗證該加密結(jié)果是否與遠端設備返回的結(jié)果相同。你可能以任何次序激活PAP、MS-CHAP和CHAP。如果兩種方法都被激活了，那么使用第一個方法在鏈路協(xié)商階段提出請求。如果遠端建議使用第二種方法或者簡單地拒絕了第一種方法，