1PPP协议.pptVIP

Cisco路由器使用PPP协议可获得如下服务： 认证服务。认证服务要求企图建立呼叫联系的双方在进行数据传输前必须要对预先安排的一个密码进行认证，以确保连接是合法的。PPP支持两种认证方式： ——密码验证协议（PAP） ——质询握手验证协议（CHAP） 数据压缩。通过对数据进行压缩，减少必须要通过广域网进行传输的数据量，可以提高传输效率。Cisco路由器支持两种压缩协议：Stacker和Predictor 差错检测。 Cisco IOSTM 11.1以后的版本支持PPP多链路（Multilink）。这可以使配置PPP协议的Cisco路由器具有负载均衡的能力。 PPP会话的建立分为三步： 建立连接阶段：在这个阶段，每个配置有PPP协议的网络设备都会向外发送LCP的数据帧对数据链路进行配置和测试。LCP的帧中包含了可供选择的配置信息字段，允许网络设备对这些信息进行协商，比如最大接收单元、是否进行压缩和进行认证的协议类型等等。如果LCP的帧中不包含可供选择的配置信息字段，则使用默认的值。 认证阶段（可选）：在连接已经建立后，由认证协议决定双方是否通过认证。如果进行认证的话，它发生在进入网络层协议之前。PPP支持两种认证协议：PAP和CHAP。关于这两种协议的详细介绍可以参考RFC 1334。 网络层协议阶段：在此阶段，配置PPP协议的网络设备向外发送NCP数据包以选择和配置一种或多种网络层协议（如IP协议）。一旦所有被选择的网络协议配置完毕，数据就可以进行传输了。 当配置PPP认证后，你可以选择进行PAP认证或CHAP认证。一般来说，CHAP协议是首选的。 PAP协议提供了一种简单的方法（两次握手）以验证远端主机的身份。PAP认证只是发生在建立连接的最初阶段。 在PPP建立连接阶段完成后，远端的主机会反复发送它的PAP用户名和密码给本地，直到认证被确认或连接被终止。 PAP不是一个很好的认证协议。由于它的密码是以明文方式进行传送的，并且密码是固定的，故不能阻止回放（playback）方式的入侵。而且，登录发生的频率和时间是由远端的主机控制的。 CHAP认证用于连接建立的最初阶段，周期性的通过三次握手（three-way handshake）对远端主机进行认证。CHAP 在初始连接建立后，还可以反复进行多次认证。 在PPP建立连接阶段完成后，本地路由器会发送一个“质询“信息给远端的主机。质询的呈现形式是加密密匙，这个加密密匙对每个连接都是唯一的。然后，远端的主机使用这个加密密匙来加密它的用户名和密码，再把它提交给本地路由器。本地路由器收到远端主机的经过加密的用户名和密码后，就用相应的加密密匙对它进行解密，并把它们同自己所配置的有效用户名和密码比较，如果匹配，认证过程就被确认，反之连接立刻中断。 CHAP提供了一种有效的方法防止回放的发生，因为CHAP每次建立连接所用的加密密匙都是不同的。并且可以使用反复质询方式防止攻击的产生。本地路由器或第三方认证服务器（TACACS）可以控制发出质询的频率。 在Cisco路由器上配置PPP认证，步骤如下： 1、在本地路由器上定义远端路由器认证所需的用户名和密码 Router(config)#username name password secret name——远端路由器的名称，注意是大小写敏感的 secret——通讯两端路由器上的密码必须相同 在两个路由器上都要配置这条命令。 注意：为了使本地路由器能够响应远端路由器的质询，远端路由器上配置的username必须和本地路由器的hostname一致。 2、进入端口配置模式，配置相应的端口 3、在相应端口配置PPP封装 Router(config)#encapsulation ppp 4、配置PPP认证 Router(config-if)#ppp authentication {chap | chap ppp | pap chap | pap} 5、如果两种认证协议都使用，指定的第一种认证方法在建立连接时进行协商。如果对方使用的是第二种认证方法或第一种方法被拒绝，第二种认证方式将被自动使用。 6、在Cisco IOS 11.1以后的版本中，如果你使用PAP协议进行认证，必须要激活PAP认证。PAP认证方式默认是disabled的。用以下命令激活PAP： Router(config-if)#ppp pap sent-username username password password 下面这些命令可以简化配置CHAP认证所需