10_PPP_FR教案分析.ppt

第十节课 网络方案的实施－广域网协议封装与验证 本讲内容提要 PPP协议的封装与验证 HDLC协议的封装 帧中继协议的封装 PPP 协议简介 PPP（Point to Point）即点对点协议，是为同等单元之间传输数据包而设计的数据链路层协议。 PPP支持如下连接类型： 同步串行连接 异步串行连接 ISDN连接 HSSI连接 由于PPP协议具有协议简单、动态IP地址、可对传输数据进行压缩和入网用户的认证等优点，因而成为广域网使用非常广泛的协议之一。 PPP主要用于家庭拨号上网、ADSL上网、LAN间点对点连接等 PPP 协议简介 点对点协议PPP (Point-to-Point Protocol) 由IETF（ Internet工程任务组）开发 包含一个用来识别网络层协议的2字节字段，支持IP/IPX 连接建立时检查质量 支持PAP/CHAP身份认证 3个组成部分 HDLC(组帧) LCP(链路建立和控制) NCP(上层多协议封装) PPP用NCP进行多种协议的封装 PPP用LCP进行链路的建立与控制 PPP用PAP/CHAP进行身份验证 PPP 信息帧格式 标志（flag）： 值为“7E” 地址（address）：值恒为“FF”， 表示网中所有的站都接收该帧 控制（control）： 值为“03”表示信息帧） 协议（protocol）：长度为2字节，它标识出网络层协议数据域的类型。 常用的网络层协议的类型主要有： 0021H—TCP/IP 0023H—OSI 0027H—DEC 数据字段：要传的数据，开头可为网络层的报头。长度可变。 校验字段：2字节 PPP 的身份认证协议 可选的验证阶段：验证发生在网络层协议配置阶段之前，在链路建立完毕并且已选择了验证协议之后，通信双方就可被验证了。 在验证阶段要求链路的发起方在验证选项中填写验证信息，以便确认用户得到了网络管理员能够发起通信的许可。 PPP验证可选择使用两种协议： 密码验证协议(Password Authentication Protocol, PAP) 询问握手验证协议 (Challenge Handshake Authentication Protocol, CHAP) PAP或CHAP验证是一个双向的过程。在该过程中，被验证方（如主叫用户）向验证方（如接入服务器）不断发送一个身份识别／密码对，直到该验证通过或者连接被拆除。 当拨号用户输入PPP命令时，系统会根据事先的配置选择验证方式。如果没有配置验证，PPP进程会立刻被启动。否则系统会进入下一个步骤。 系统选定将要使用的验证方式，并进行以下两项工作之一：检查本地数据库（用户名和密码），以检查用户所给出的用户名和密码是否与本地数据库的相匹配（PAP或CHAP方式）；或向安全服务器发送一个验证请求。 系统检查从安全服务器和本地服务器返回的验证响应。如果得到的是一个肯定的答复，接入方将启动PPP进程；反之，接入方会拒绝用户的接入请求。 PAP/CHAP身份认证过程 PAP 密码验证协议 PAP是两次握手验证协议，口令以明文传送，被验证方首先发起验证请求。通过链路反复传送用户名和密码到路由器直到验证完成确认，否则连接被终止。 由于PAP只进行一次性验证，使得PAP无法抵御黑客的重放攻击 CHAP 询问握手验证协议 CHAP是三次握手验证协议，不发送口令，主验证方首先发起验证请求，并可周期性地检验远端节点的身份。该过程在初始链路建立时便完成，并且在链路完成建立后随时可重复执行。 CHAP具有周期性验证的特性，安全性比PAP高，可抗重放攻击 PPP 协议配置基本命令 Cisco路由器支持stacker、predictor和MPPC压缩 Cisco路由器默认封装HDLC PPP是Internet上的标准串行线路封装协议 PAP 验证配置 CHAP 验证配置 CHAP认证协商由验证方发起，被验证方只发送自己的用户名和口令 默认情况下，被验证方发送自己的主机名作为PPP用户名。 CHAP验证方事先在其用户数据库中设置好各个用户名和相应的密码 CHAP验证方的用户数据库中的用户名即是对方路由器的PPP主机名 PPP协议封装实验 实验目的 （1）通过实验能够掌握配置路由器PPP协议封装及验证方法 实验设备 （1）Cisco2811路由器（2台）