实验任务7_点到点协议PPP配置实验.docVIP

实验七、点到点协议PPP配置 【相关知识】 1．PPP协议介绍 路由器作为网络层设备，除了提供本地网络的三层连通外，更主要的功能是提供了用户网络的WAN接入。以实验室所使用的锐捷R1762高性能安全模块化路由器为例：该设备除了提供2个用于本地LAN连接的快速以太接口外，还提供了两个用于WAN接入的同步串口（Serial）。Serial接口支持HDLC、PPP和Frame Relay的广域网封装协议，其中，目前使用最广泛的是PPP协议。 PPP（Point-to-Point Protocol，点到点协议）是HDLC的扩展，1994年正式成为因特网的标准协议。PPP协议的应用范围非常广泛， （1）PPP的协议体系 PPP协议可以被看作是HDLC的扩展，其层次结构如图7.1所示： 图7.1 PPP的层次结构 PPP的主要实现功能如下： 采用高级数据链路控制协议HDLC作为点到点的串行链路上封装数据报的基本方法； 采用链路控制协议LCP（Link Control Protocol）用于启动线路、测试、任选功能的协商及关闭连接； 采用网络控制协议NCP（Network Control Protocol）用来建立和配置不同的网络层协议，PPP允许同时采用多种网络层协议，如IP、IPX和DECnet，PPP使用NCP对多种协议进行封装。 关于PPP协议规范详见RFC1661链路的建立和配置协调：通信的发起方发送LCP帧来配置和检测数据链路，主要用于协商选择将要采用的PPP参数，包括身份验证、压缩、回叫、多链路等； 链路质量检测：在链路建立、协调之后，这一阶段是可选的； 网络层协议配置协调：通信的发起方发送NCP帧以选择并配置网络层协议，配置完成后，通信双方可以发送各自的网络层协议数据报； 关闭链路：通信链路将一直保持到LCP或NCP关闭链路，或者是发生一些外部事件（例如空闲时间超长或用户干预） PAP协议简介 为保证安全管理，PPP提供了两种可选的身份认证方法：口令验证协议（PAP，Password Authentication Protocol）和挑战握手协议（CHAP，Challenge Handshake Authentication Protocol）。这里，我们首先介绍口令验证协议PAP。 PAP是一个简单实用的身份验证协议，PAP认证进程只在双方的通信链路建立初始阶段进行。如果认证成功，在通信过程中不再进行认证；如果认证失败，则直接释放链路。 当通信双方都配置PPP协议并且选择PAP身份验证，同时它们之间的链路在物理层激活之后，认证客户端（被验证方）会不断发出身份认证请求，直到认证通过。当认证客户端路由器发送了用户名和口令之后，授权方（验证方）路由器会将收到的用户名和口令与本地数据库中的信息进行比较，如果正确则认证通过，否则认证失败。PAP认证的基本过程如图7.2所示。 图7.2 PAP认证过程 从图7.2中可以看出，PAP认证过程经过两个阶段，习惯上被称为两次握手： 第一阶段为被验证方（远端路由器）发送用户名和口令到验证方； 第二阶段为验证方（中心路由器）对接收的用户名和口令进行验证，并根据结果接收或拒绝链路连接的认证请求。 PAP认证可以在一方进行，即由一方认证另一方的身份，也可以进行双向身份认证。这时将要求通信的双方都要通过对方的认证，否则，无法建立二者之间的链路。 3．配置PPP协议PAP认证的相关命令 （1）配置接口封装协议 路由器的Serial接口默认采用HDLC封装协议，因此，在通信双方选择PPP协议实现链路连接时，应当在双方接口上配置PPP协议，配置接口封装PPP协议的命令为： Router(config-if)# encapsulation ppp （2）配置PPP的PAP被验证方 被验证方发起PPP认证连接，发送用户名和口令，配置命令格式为： Router(config-if)# ppp pap sent-username username password {0|7}password 其中0表示口令为明文，7表示密文，口令类型（0或7）可省略，缺省时表示明文（0）。如果取消被验证方的PAP设置，可以执行： Router(config-if)# no ppp pap sent-username （3）配置PPP的 PAP验证方 PPP的PAP验证方需要执行两步操作： 第一步：设置PPP的 PAP验证方 Router(config-if)# ppp authentication pap 第二步：创建用户数据库记录 Router(config)# username username password {0|7} password 注意：这里的username和password必须与被验证方的pap sent