收藏
下载资源

实验6 广域网PPP协议.doc

上传人:新** 文档编号:550193601 上传时间:2022-09-19 格式:DOC 页数:11 大小:593.51KB
返回 下载 相关 举报
实验6 广域网PPP协议.doc_第1页
第1页 / 共11页
实验6 广域网PPP协议.doc_第2页
第2页 / 共11页
实验6 广域网PPP协议.doc_第3页
第3页 / 共11页
实验6 广域网PPP协议.doc_第4页
第4页 / 共11页
实验6 广域网PPP协议.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《实验6 广域网PPP协议.doc》由会员分享,可在线阅读,更多相关《实验6 广域网PPP协议.doc(11页珍藏版)》请在金锄头文库上搜索。

1、实验6 广域网PPP协议6.1 实验目的1、理解DCE、DTE 的概念和含义,理解封装匹配2、掌握广域网 PPP封装配置;2、掌握PAP验证配置,理解验证过程;3、掌握CHAP验证配置,理解验证过程。6.2 实验设备1、DCR路由器2台 2、PC 机1 台 3、CR-V35MT 1条4、CR-V35FC 1条5、网线 1根6.3 相关知识 企业环境中异地的互连通常要经过第三方的网络,比如网通、电信等等,其连接通常使用路由器的串口,所以与局域网的配置不同。6.3.1 DTE和DCEDTE是“Data Terminal Equipment(数据终端设备)”的首字母缩略词,指具有一定的数据处理能力和

2、数据收发能力的设备, DTE提供或接收数据,例联接到调制解调器上的计算机就是一种DTE。DCE是“Data Communications Equipment(数据通讯设备)”的首字母缩略词,它在DTE和传输线路之间提供信号变换和编码功能,并负责建立、保持和释放链路的连接,如Modem。DCE设备通常是与DTE对接,因此针脚的分配相反。DTE和DCE的区分实质上只是针对串行端口的,路由器通常通过串行端口连接广域网络。它们之间的区别是DCE一方提供时钟,DTE不提供时钟,但它依靠DCE提供的时钟工作,比如PC机和MODEM之间。数据传输通常是经过DTE-DCE,再经过DCE-DTE的路径。其实对于

3、标准的串行端口,通常从外观就能判断是DTE还是DCE,DTE是针头(俗称公头),DCE是孔头(俗称母头),这样两种接口才能接在一起。做路由器的背靠背实验时两个路由器一个作为DCE,另一个作为DTE,做DCE的需要配置clock rate。ISDN或分时隙的用64000,只有普通拨号串口用56000。如果不能确定哪台路由器拥有这条线缆的DTE端,哪台路由器拥有DCE端,可以利用show interface serial 0来确定。也可以两台路由器都设定时钟,注意时钟速率要一致。6.3.2 PPP协议 点到点协议(Point to Point Protocol,PPP)是IETF(Internet

4、 Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。 PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。 PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛。在PPP的点对点通信中,可以采用PAP或者CHAP身份验证方式(

5、首选CHAP方式)对连接用户进行身份验证,以防非法用户的PPP连接。但这些认证是可选的,而不是必须的。如果需要认证,则发生在网络层协议配置之前,在链路层建立健全完成,并且选择了认证协议后,通信双方就可以被认证了。在认证阶段中,要求链路发起方在认证选项中填写认证信息,以便确认用户得到了网络管理员的许可。在认证过程中,通信双方对等的路由器要彼此交换认证信息。6.3.3 PAP采用PAP(Password Authentication Protocol)进行身份认证过程是两次握手验证过程,口令以明文传送。PAP认证过程如图6-1所示。用文字描述如下:(1)被验证方发送用户名和口令到验证方,示例中是以

6、客户(client)端grfwgz02向服务器(Server)端grfwgz01请求身份验证;(2)验证方grfwgz01根据自己的网络用户配置信息查看是否有此用户己口令是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。(3)如果正确,则会给对端发送ACK(应答确认)报文,通告对端已被允许进入下一阶段协商;否则发送NCK(不确认)报文,通知对方验证失败。但此时并不会直接将链路关闭,客户端还可以继续偿试新的用户密码。只有当验证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传、网络干扰等造成不必要的LCP重新协商过程。图6-1 PAP身份认

7、证的两次握手PAP并不是一个健全的认证协议。它的特点是,在网络上以文明的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。因此它并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护,仅适用于对网络安全要求相对较低的环境。Pap还可以双向认证,就是将两端同时都配置为认证服务器端和认证客户端。6.3.4 CHAR 采取CHAP协议(Challenge Handshake Authentication Protocol)进行身份验证,则需要三次握手验证协议,不直接发送口令,由主验证方首先发起验证请求。CHAP的安全性

8、比PAP高。CHAP身份验证的三次握手流程如图6-2所示。文字描述如下(同样以客户端grfwgz02向服务器端grfwgz01发送认证请求为例进行介绍):(1)当客户端要求与验证服务器连接时,并不是像PAP验证方式那样直接由客户端输入密码,而首先由验证方grfwgz01向被验证方grfwgz02发送一个作为身份认证请求的随机产生的报文,并同时将自己的主机名附带上一起发送给被验证方;(2)被验证方得到验证方的验证请求(Challenge)后,便根据此报文中验证方的主机名和自己的用户表查找对应用户帐户口令。如找到用户表中与验证方主机名相同的用户帐户,便利用接受到的随机报文和该用户的密匙,以Md5算

9、法生成应答(Response),随后将应答和自己的主机名发送给验证服务器;(3)验证方接到此应答后,再利用对方的用户名在自己的用户表中查找自己系统中保留的口令字,找到后再用自己的保留口令字(密匙)和随机报文,以Md5算生成结果,与被验证方应答比较。验证成功验证服务器会发送一条ACK报文(Success),否则会发送一条NAK报文(Failure)。图6-2 CHAP身份认证的三次握手CHAP身份认证的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。CHAP认证方式使用不同的询问消息,每个消息都是不可能预测的唯一值,这样就可以防范再生攻击。不断询问可以被限制在一次攻击

10、中的时间内,本地路由器可以控制询问的频率和时间。6.4 实验内容6.4.1 网络拓扑 实验的网络拓扑结构如果图6-3所示。图6-3 网络拓扑结构6.4.2 实验要求1、路由器接口IP地址配置参数表6-1 配置表 Router-A Router-B 接口类型 IP 地址接口 类型 IP 地址S0/2 DCE 192.168.1.1 S0/2 DTE 192.168.1.2 F0/0 192.168.2.1帐号:RouterA密码:NetworkLabA帐号:RouterB密码:NetworkLabB2、配置正确后,两台路由器可互相PING通;3、配置PC机,分别PING两台路由器的不同端口。6.

11、5 实验步骤6.5.1 配置路由器广域网端口的PPP封装(1)配置路由器A:RouterenableRouter#configRouter_config#hostname Router-ARouter-A_config#interface s0/2Router-A_config_s0/2#ip address 192.168.1.1 255.255.255.0Router-A_config_s0/2#physical-layer speed 64000Router-A_config_s0/2#encapsulation pppRouter-A_config_s0/2#no shutdownRo

12、uter-A_config_s0/2#interface f0/0Router-A_config_f0/0#ip address 192.168.2.1 255.255.255.0Router-A_config_f0/0#no shutdownRouter-A_config_f0/0#exitRouter-A_config#exitRouter-A#(2)用show interface命令查看路由器A的s0/2接口的配置情况:Router-A#show interface s0/2如下图所示:从图中可以看到,Router-A已封装了PPP协议,但由于对端路由器(Router-B)还没有配置,所

13、以协议是down状态。(3)配置路由器B:RouterenableRouter#configRouter_config#hostname Router-BRouter-B_config#interface s0/2Router-B_config_s0/2#ip address 192.168.1.2 255.255.255.0Router-B_config_s0/2#encapsulation pppRouter-B_config_s0/2#no shutdownRouter-B_config_s0/2#exitRouter-B_config#exitRouter-B#(4)这时再查看路由器A

14、的s0/2接口状态,显示如下图所示:可以看到,s0/2接口已经变成up状态了。同时路由器B的s0/2接口也会变为up状态。(5)在Router-A上使用ping命令测试能否连接到Router-B,如下图所示:上图显示,路由器A已经可以正确连接到路由器B了。6.5.2 PPP 封装PAP 在上述实验的基础上,配置PAP验证,步骤如下:(1)在路由器A上,设置用于对端路由器(Router-B)进行PAP验证的用户名和密码:Router-AenableRouter-A#configRouter-A_config#username RouterB password NetworkLabB/配置aaa的

15、ppp认证方法表(此处使用本地用户信息进行认证)Router-A_config#aaa authentication ppp default local Router-A_config#interface s0/2Router-A_config_s0/2#ppp authentication papRouter-A_config_s0/2#ppp pap sent-username RouterA password NetworkLabARouter-A_config_s0/2#exitRouter-A_config#exitRouter-A#(2)使用show interface s0/2命令查看路由器A的s0/2接口状态,如下图所示:由于对端路由器(Router-B)还没有配置PAP验证,所以协议为down状态。此时从路由器A上ping不通路由器B,如下图所示:(3)在路由器B上,设置用于对端路由器(Router-A)进行PAP验证的用户名和密码:Router-BenableRouter-B#configRouter-B_config#username RouterA

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号