1、大型企业网络配置系列课程详解1 Designed by 小诺大型企业网络配置系列课程详解(六)-PPP 协议的配置与相关概念的理解试验原理:PPP(point topoint)协议是广域网中使用的一种非常广泛的数据链路层协议,可以在点对点链路上封装多种网络数据报文(IP、IPX 和 AppleTalk) ,同时支持面向字符传输的异步串行链路和面向比特传输的同步串行链路,还支持 IP 地址的协商、用户认证功能、错误检测以及进行数据压缩功能,它最主要的目的是用简单的链路在两个节点之间传输数据,从而为各个主机和网络设备提供一种通用的网络互联解决方案。试验目的:1、 通过试验过程了解 PPP 链路的工
2、作过程2、 掌握 PPP 协议的基本配置3、 配置 PAP 和 CHAP 认证,并进行对比4、 配置 IP 地址协商5、 配置 PPP 数据压缩试验网络拓扑:P P P 链 路 连 接 网 路 拓 扑 图D e s i g n e d b y 小 诺试 验 地 点 : 交 大 创 业 园 2 楼 第 二 机 房S 0 / 01 0 . 0 . 0 . 1 / 8P P P 专 线R 2主 认 证 方R 1被 认 证 方S 0 / 01 0 . 0 . 0 . 2 / 8试验步骤:一、根据网络拓扑图配置被认证方(R1 )和主认证方(R2)的各个串行接口(Serial )的IP 地址并在 S0/0
3、 接口上封装 PPP 协议。注意:cisco 路由器默认的接口封装协议是 HDLCHigh Level Data Link Control-高级数据链路控制协议,是 ISO 组织制定的一个标准化规程,它使用与点到点和点到多点的数据链路。而 PPP 协议由 3 个部分组成:协议封装方式将网络层协议封装到串行链路的方法;LCP(链路控制)协议与物理层相邻,主要配置和测试数据通信链路,其中用户认证(PAP 和 CHAP)就工作在 LCP 协议上;NCP(网络控制)协议与网络层相邻,可根据大型企业网络配置系列课程详解2 Designed by 小诺不同的网络层协议,提供不同的网络控制协议(例如:提供给
4、 TCP/IP 网络使用的 IPCP 网络控制协议,同是也是最常用的协议;提供给 IPX 网络使用的 IPXCP 网络控制协议等等)配置完成之后,记得将串行接口 shutdown,然后 no shutdown,PPP 链路就建立起来了。在串行链路上封装完 PPP 协议之后,如果没有配置其它 PPP 参数(认证,IP 地址协商等等),主认证方和被人证方是互通的。通过在 R1 上使用 ping 命令可以 ping 通 R2(如果 ping通返回 5 个感叹号;如果不通,就返回 5 个小数点。 )下面是 PPP 链路的建立和拆除过程,从链路不可用阶段开始 ,当通信双方的两端检测到物理线路激活(通常是
5、检测到链路上有载波信号)时,就会从当前这个阶段进入到下一阶段,链路建立阶段主要进行 LCP 相关协商(协商内容包括工作方式、认证方式、链路压缩等) ,协商完成之后则进入认证阶段,这些都是针对物理层而言的,而整个链路工作在数据链路层,使用的协议为 LCP 协议。认证通过之后,则进入网络协议阶段 ,通过一些网络控制协议对网络层协议进行协商。例如,利用 IPX 对网络层 IP 协议进行协商,协商的内容主要包括双方的 IP 地址等,这个是针对网络层而言的,使用的协议是 NCP 协议。当 PPP 链路出现载波丢失、认证失败或用户认为关闭链路等情况则进行链路终止阶段,PPP 协议通过交换 LCP 的链路终
6、止报文来关闭链路。大型企业网络配置系列课程详解3 Designed by 小诺二、配置 PAP 认证当接口封装为 PPP 协议之后,就可以配置 PPP 认证。其中,PAP 认证就是其中的一种最简单的认证方式,只需要进行两次握手就可以建立起连接。注意:PAP 认证首先由被认证方(R1)发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方(R2) 。然后,主认证方接受请求,并在自己的本地数据库里查找是否有对应的条目,如果有就接受请求。如果没有,就拒绝请求。这种认证方式是不安全的,很容易引起密码的泄露,但是,相对于 CHAP 认证方式来说,更方便于应用。比如说现在的 Internet 拨号认
7、证接入方式就是 PAP 认证。首先配置主认证方,在主认证端添加被认证方的用户名 RouterA 和密码 123456,password参数后面的 0 表示密码是为明文保存的,并在接口上启用 PAP 认证功能。配置完主认证方(R2)之后,使用 ping 命令 ping 被认证方(R1)发现 ping 不通,原因很简单,是因为 R1 还没有在接口模式下配置 PAP 认证所需要的用户名和密码(在被认证端配置的用户名和密码必须与在主认证端配置的用户名和密码相同。相当于一些成绩查询系统,只有当你输入正确的考号和用户名,查询数据库(主认证方)才能显示出你的考试成绩)在被认证端的接口模式配置 PAP 认证所
8、需要的用户名 RouterA 和密码 123456在特权模式下,使用 debug ppp ? 可以查看调试的内容,其中, debug ppp authentication 可以调试 PAP 和 CHAP 认证的建立过程,使用 debug ppp negotiation 可以查看到 IP 地址协商的过程,使用 debug ppp packet 可以检查 ppp 连接的状态和协商过程是否正确 大型企业网络配置系列课程详解4 Designed by 小诺使用 debug ppp authentication 进行调试,首先 shutdown 掉 R1 的 Serial0/0 接口,然后再 no sh
9、utdown,便可以看到主认证方(R2)PAP 认证的整个过程。三、配置 CHAP 高级认证CHAP 是 Challenge Hand Authentication Protocol(质询握手认证协议)的简称,CHAP 为 3次握手认证协议,它只在网络上传送用户名而不传送口令,因此安全性被 PAP 要高。CHAP 的认证过程首先由主认证方(R2 )发起认证请求。第一次握手:主认证方向被认证方发送一些随机产生的报文(Challenge) ,并同时将本端的用户名附带上一起发送给被认证方。第二次握手:被认证方接到主认证方的认证请求后,被认证方根据此报文中主认证方的用户名查找用户密码。如果在用户表中找
10、到与主认证方相同的用户名,就说明可以接受对方的认证。然后利用报文 ID、用户表中主认证方用户名对应的密码以及 MD5 算法对该随机报文进行加密,将生成的密文和自己的用户名发回给主认证方。第三次握手:主认证方接收到该报文后,根据此报文中被认证方的用户名,在自己的本地用户数据库中查找被认证方用户名对应的被认证方密码,利用报文 ID、改密码和 MD5 算法对原随机报文进行加密,然后将加密的结果和被认证方发来的加密结果进行比较。如果两者相同,则认为认证通过,如果不同则认为认证失败。主认证端 CHAP 配置:和 PAP 认证一样,配置 CHAP 认证时也需要在主认证端添加被认证用户的用户名:Router
11、A 和密码:123456。并在接口上启用 CHAP 认证功能,最后一句的意思是配置自己的用户名(默认情况下,路由器会使用自己的主机名(使用 hostname 命令配置的名称)作为用户名发送给对端。被认证端 CHAP 配置:被认证端在进行 CHAP 认证时,需要根据主认证端发送过来的用户名(RouterBB )来查找大型企业网络配置系列课程详解5 Designed by 小诺相应的密码来对随机报文进行加密。下面的命令中,配置的用户名 username 应该为主认证端的用户名,代表被认证端接受主认证端相应的用户的认证;配置的密码 password 应该为被认证端自己的密码,此密码和在主认证端配置的
12、密码必须相同。也可以使用 ppp chap password 0 123456 命令,此命令等同于suername RouterBB password 0 123456。使用此命令,被认证端在收到主认证端的认证请求后,将不判断请求中的用户名,而是直接使用此命令配置的密码来进行加密。最后一条语句的意思是配置被认证端的用户名为 RouterAA(区别于前面的 RouterA) 。使用 debug ppp authentication 进行调试,首先 shutdown 掉 R1 的 Serial0/0 接口,然后再 no shutdown,便可以看到主认证方(R2)CHAP 认证的整个过程。三、配置
13、 IP 地址协商PPP 支持 IP 地址协商,整个过程建立在 PPP 的 NCP 阶段,当用户拨号上网时,通常由服务器为客户端分配一个动态 IP 地址。使用 IP 地址动态协商,有利于为拨号用户灵活分配IP 地址。同时在 PPP 链路断开后,此 IP 地址还可以分配给其余用户使用,从而达到了节约 IP 地址的目的。如果不配置 IP 地址协商,双方只需要告诉对方自己的 IP 地址就可以了。服务器端配置(主认证端 R2):分配给对方一个 10.0.0.10 的 IP 地址大型企业网络配置系列课程详解6 Designed by 小诺客户端配置(被认证端 R1): 配置本端 IP 地址由对端分配,注意
14、要使用 shutdown 断掉PPP 链路,然后再使用 no shutdown 再激活 PPP 链路,否则客户端(R1)得不到分配的 IP地址。配置完此条命令后,原先在接口上配置的 IP 地址将会被删除。当 PPP 连接建立后,就会由对端分配一个 IP 地址 10.0.0.10 给 R1 的 serial 0/0 接口。 (注意:如果 PPP 连接被断开,分配到的 IP 地址将会被删除,接口又回到没有 IP 地址的状态。使用 show ip interface brief 可以查看客户端(R1)的所有端口的状态,可以看到 Serial0/0接口的 IP 地址为 10.0.0.10,Methed
15、 为 IPCP(可以看出,网络层使用的对应协议为TCP/IP) 。四、配置 PPP 压缩配置 Stac 压缩在接口上启用 Predictor 压缩需要消耗大量的路由器内存。如果路由器本身的内存比较小,请不要启用 Predictor 压缩在接口上启用 Stac 压缩会占用很大部分的 CPU 资源来进行压缩的运算。如果路由器本身的负载就比较重(超过 40%) ,请不要启用 Stac 压缩。配置 TCP 头压缩当在接口上启用了 TCP 头压缩之后,接口上快速转发功能将会被自动关闭。如果在某些快速线路上启用了 TCP 头压缩,将会造成路由器负载加重。因此 TCP 头压缩只适合低速链路上使用。四、使用 show interface serial 0/0 命令可以查看到端口的配置信息。1、Serial0/0 is up, line protocol is up 表示物理接口已经 UP,数据链路层接口已经 UP。2、Encapsulation PPP,LCP Open 表示接口封装的协议为 PPP,状态为 Open,协议正常工作。大型企业网络配置系列课程详解7 Designed by 小诺使用 debug ppp packet 命令调试整个 ppp 链路的建立过程(其中配置了 PPP 认证(CHAP)功能,配置了 IP 地址协商)
