《点到点协议PPP配置实验.doc》由会员分享,可在线阅读,更多相关《点到点协议PPP配置实验.doc(14页珍藏版)》请在金锄头文库上搜索。
1、中北大学网络工程系专业实验室实验七、点到点协议PPP配置【相关知识】1PPP协议介绍路由器作为网络层设备,除了提供本地网络的三层连通外,更主要的功能是提供了用户网络的WAN接入。以实验室所使用的锐捷R1762高性能安全模块化路由器为例:该设备除了提供2个用于本地LAN连接的快速以太接口外,还提供了两个用于WAN接入的同步串口(Serial)。Serial接口支持HDLC、PPP和Frame Relay的广域网封装协议,其中,目前使用最广泛的是PPP协议。PPP(Point-to-Point Protocol,点到点协议)是HDLC的扩展,1994年正式成为因特网的标准协议。PPP协议的应用范围
2、非常广泛, (1)PPP的协议体系PPP协议可以被看作是HDLC的扩展,其层次结构如图7.1所示:图7.1 PPP的层次结构PPP的主要实现功能如下: 采用高级数据链路控制协议HDLC作为点到点的串行链路上封装数据报的基本方法; 采用链路控制协议LCP(Link Control Protocol)用于启动线路、测试、任选功能的协商及关闭连接; 采用网络控制协议NCP(Network Control Protocol)用来建立和配置不同的网络层协议,PPP允许同时采用多种网络层协议,如IP、IPX和DECnet,PPP使用NCP对多种协议进行封装。(2)PPP会话建立的过程PPP提供了建立、配置
3、、维护和终止点到点连接的方法。从开始发起呼叫到最终通信完成后释放链路,PPP的工作过程分为以下4个阶段:(关于PPP协议规范详见RFC1661) 链路的建立和配置协调:通信的发起方发送LCP帧来配置和检测数据链路,主要用于协商选择将要采用的PPP参数,包括身份验证、压缩、回叫、多链路等; 链路质量检测:在链路建立、协调之后,这一阶段是可选的; 网络层协议配置协调:通信的发起方发送NCP帧以选择并配置网络层协议,配置完成后,通信双方可以发送各自的网络层协议数据报; 关闭链路:通信链路将一直保持到LCP或NCP关闭链路,或者是发生一些外部事件(例如空闲时间超长或用户干预)2PAP协议简介为保证安全
4、管理,PPP提供了两种可选的身份认证方法:口令验证协议(PAP,Password Authentication Protocol)和挑战握手协议(CHAP,Challenge Handshake Authentication Protocol)。这里,我们首先介绍口令验证协议PAP。PAP是一个简单实用的身份验证协议,PAP认证进程只在双方的通信链路建立初始阶段进行。如果认证成功,在通信过程中不再进行认证;如果认证失败,则直接释放链路。当通信双方都配置PPP协议并且选择PAP身份验证,同时它们之间的链路在物理层激活之后,认证客户端(被验证方)会不断发出身份认证请求,直到认证通过。当认证客户端路
5、由器发送了用户名和口令之后,授权方(验证方)路由器会将收到的用户名和口令与本地数据库中的信息进行比较,如果正确则认证通过,否则认证失败。PAP认证的基本过程如图7.2所示。图7.2 PAP认证过程从图7.2中可以看出,PAP认证过程经过两个阶段,习惯上被称为两次握手:第一阶段为被验证方(远端路由器)发送用户名和口令到验证方;第二阶段为验证方(中心路由器)对接收的用户名和口令进行验证,并根据结果接收或拒绝链路连接的认证请求。PAP认证可以在一方进行,即由一方认证另一方的身份,也可以进行双向身份认证。这时将要求通信的双方都要通过对方的认证,否则,无法建立二者之间的链路。3配置PPP协议PAP认证的
6、相关命令(1)配置接口封装协议路由器的Serial接口默认采用HDLC封装协议,因此,在通信双方选择PPP协议实现链路连接时,应当在双方接口上配置PPP协议,配置接口封装PPP协议的命令为:Router(config-if)# encapsulation ppp(2)配置PPP的PAP被验证方被验证方发起PPP认证连接,发送用户名和口令,配置命令格式为:Router(config-if)# ppp pap sent-username username password 0|7password 其中0表示口令为明文,7表示密文,口令类型(0或7)可省略,缺省时表示明文(0)。如果取消被验证方的P
7、AP设置,可以执行:Router(config-if)# no ppp pap sent-username (3)配置PPP的 PAP验证方PPP的PAP验证方需要执行两步操作:第一步:设置PPP的 PAP验证方Router(config-if)# ppp authentication pap第二步:创建用户数据库记录Router(config)# username username password 0|7 password注意:这里的username和password必须与被验证方的pap sent-username命令中的username和password保持一致,同样,0|7口令类型项
8、也可以省略。(4)调试和检测命令 show interface serial!查看接口配置参数 debug ppp!打开PPP协商调试开关show interface命令在前面的内容中已经做过介绍,通过该命令可以查看接口的配置状态,当查看的是封装了PPP的serial接口时可以查看PPP协商参数;debug ppp命令的格式为:debug ppp authentication | error | negotiation | packet其中:authentication调试PPP认证,error调试PPP协商错误,negotiation调试PPP协商过程,packet调试PPP协商报文。如果没
9、有指定特定调试选项,则默认打开PPP认证协商调试选项。4CHAP介绍CHAP(Challenge Handshake Authentication Protocol,挑战握手协议)比PAP认证要安全得多,因为CHAP不在线路上发送明文密码,而是发送经过散列算法加密后的摘要信息,其中包括由验证方产生的随机序列,也被称为“挑战字符串”;同时,CHAP的身份认证可以随时进行,包括在双方正常通信的过程中。因此,非法用户即使截获并成功破译了一次密码,此密码也将在一段时间内失效。CHAP对系统要求很高,因为需要多次进行身份质询、响应,这需要耗费较多的处理器资源,因此CHAP多用于对安全要求很高的场合。图7
10、.3 CHAP认证过程图7.3描述了CHAP的认证过程,可以看出CHAP认证包含三个阶段,通常称为三次握手:阶段1:当被验证方(远端路由器)向验证方(中心路由器)发送用户名做请求连接后,验证方向被验证方发送一串随机字符(“挑战”阶段);阶段2:被验证方利用MD5算法对口令和接收到的随机字符串进行加密产生密文,并将密文发送给验证方(“回应”阶段);阶段3:验证方利用同样的方式对随机字符串和用户数据库中的记录进行加密,并将产生的密文与接收的密文进行比较,然后根据比较结果接受或拒绝连接请求。5配置PPP协议CHAP认证的相关命令(1)配置接口封装协议路由器的Serial接口默认采用HDLC封装协议,
11、因此,在通信双方选择PPP协议实现链路连接时,应当在双方接口上配置PPP协议,命令为:Router(config-if)# encapsulation ppp(2)配置PPP的CHAP被验证方配置PPP的CHAP被验证方的命令有两条:ppp chap hostname用于指定CHAP认证时使用的主机名,ppp chap password用于指定CHAP认证的公共口令。 ppp chap hostname命令的格式为:Router(config-if)# ppp chap hostname hostnameRouter(config-if)# no ppp chap hostname 其中,ho
12、stname是在CHAP认证中发送的主机名称,该命令的no形式用于恢复缺省使用的主机名。缺省情况时,在任何CHAP认证中,均使用路由器的名称。 ppp chap password命令的格式为:Router(config-if)# ppp chap password encryption-type secret 其中encryption-type表示密码报文的加密类型,secret为CHAP认证的公共口令,该命令的no形式用于取消CHAP认证的公共口令。随着网络规模的扩大,为了进行CHAP认证,必须为每台参与认证的路由器配置用户名/密码对,配置修改量会很大,如果使用ppp chap hostna
13、me和ppp chap password定义CHAP认证的公共主机别名和口令,则验证路由器只需要配置一个公共用户名/密码对即可,从而避免繁琐的验证数据库配置。(3)配置PPP的 CHAP验证方 设置PPP的 CHAP验证方Router(config-if)# ppp authentication chap 创建用户数据库记录Router(config)# username username password password使用的命令与PPP的PAP验证方相同,这里不复赘言。(4)调试和检测命令 show interface serial!查看接口配置参数 debug ppp!打开PPP协商调
14、试开关6CHAP身份验证过程我们已经了解了CHAP的身份验证是由验证方发起,完成挑战、回应、确认三次握手,下面介绍一下这三个阶段的具体执行过程:(1)挑战:由验证方向被验证方发出质询,具体过程如图7.4所示:图7.4 CHAP身份验证过程1:挑战阶段 远端设备Remote向Certer发起连接呼叫,呼叫进入接口已经配置了CHAP验证; LCP协商使用CHAP和MD5; Certer需要向呼叫者发出一个CHAP挑战消息,该分组由以下内容组成: 01:质询分组类型标识符 id:标识该挑战分组的序列号 Random:随机数 Certer:质询方的认证名(可用ppp chap hostname命令指定
15、,缺省为设备名) 其中的id号和随机数由Center保存,被叫路由器会维护一个已发出的挑战消息的列表。(2)回应:由被验证方向验证方发出的质询作出响应,具体过程如图7.5所示:图7.5 CHAP身份验证过程2:回应阶段 远端设备Remote接收挑战消息后执行如下处理:将序列号id、随机数放入MD5哈希生成器,根据质询者的认证名查询密码,将匹配Center的Password一并放入MD5哈希生成器产生MD5数值。注意:如果没有质询者认证名的匹配记录,将使用缺省的认证口令(由ppp chap password命令指定); Remote根据处理结果向质询方Center发出回应,回应分组由以下部分组成: 02:CHAP回应分组的类型标识符 id:序列号,复制自挑战分组 hash:由id、随机数和认证口令经MD5处理的密文结果 Remote:本设备的认证名,认证方用来查找验证时所需的记录(3)确认:验证方接收被验证方回应后,比对用户数据库,根据结果决定接受或拒绝连接,具体过程如图7.6所示:图7.6 CHAP身份验证过程3:确认阶段 验证方Center接收回应消息后执行如下操作:用序列号id找出之前的挑
