实验6 广域网PP协议.doc

实验6 广域网PPP协议 6.1 实验目的 1、理解DCE、DTE 的概念和含义，理解封装匹配 2、掌握广域网 PPP封装配置； 2、掌握PAP验证配置，理解验证过程； 3、掌握CHAP验证配置，理解验证过程。 6.2 实验设备 1、DCR路由器2台 2、PC 机1 台 3、CR-V35MT 1条 4、CR-V35FC 1条 5、网线 1根 6.3 相关知识 企业环境中异地的互连通常要经过第三方的网络，比如网通、电信等等，其连接通常使用路由器的串口，所以与局域网的配置不同。 6.3.1 DTE和DCE DTE是“Data Terminal Equipment(数据终端设备)”的首字母缩略词，指具有一定的数据处理能力和数据收发能力的设备， DTE提供或接收数据，例联接到调制解调器上的计算机就是一种DTE。 DCE是“Data Communications Equipment（数据通讯设备）”的首字母缩略词,它在DTE和传输线路之间提供信号变换和编码功能，并负责建立、保持和释放链路的连接，如Modem。DCE设备通常是与DTE对接，因此针脚的分配相反。 DTE和DCE的区分实质上只是针对串行端口的，路由器通常通过串行端口连接广域网络。它们之间的区别是DCE一方提供时钟，DTE不提供时钟，但它依靠DCE提供的时钟工作，比如PC机和MODEM之间。数据传输通常是经过DTE-DCE,再经过DCE-DTE的路径。其实对于标准的串行端口，通常从外观就能判断是DTE还是DCE，DTE是针头（俗称公头），DCE是孔头（俗称母头），这样两种接口才能接在一起。 做路由器的背靠背实验时两个路由器一个作为DCE，另一个作为DTE，做DCE的需要配置clock rate。ISDN或分时隙的用64000，只有普通拨号串口用56000。如果不能确定哪台路由器拥有这条线缆的DTE端，哪台路由器拥有DCE端，可以利用show interface serial 0来确定。也可以两台路由器都设定时钟，注意时钟速率要一致。 6.3.2 PPP协议 点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题，并成为正式的因特网标准。 　　PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。 PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。 在PPP的点对点通信中，可以采用PAP或者CHAP身份验证方式（首选CHAP方式）对连接用户进行身份验证，以防非法用户的PPP连接。但这些认证是可选的，而不是必须的。如果需要认证，则发生在网络层协议配置之前，在链路层建立健全完成，并且选择了认证协议后，通信双方就可以被认证了。在认证阶段中，要求链路发起方在认证选项中填写认证信息，以便确认用户得到了网络管理员的许可。在认证过程中，通信双方对等的路由器要彼此交换认证信息。 6.3.3 PAP 采用PAP（Password Authentication Protocol）进行身份认证过程是两次握手验证过程，口令以明文传送。PAP认证过程如图6-1所示。用文字描述如下： （1）被验证方发送用户名和口令到验证方，示例中是以客户（client）端grfwgz02向服务器（Server）端grfwgz01请求身份验证； （2）验证方grfwgz01根据自己的网络用户配置信息查看是否有此用户己口令是否正确，然后返回不同的响应（Acknowledge or Not Acknowledge）。 （3）如果正确，则会给对端发送ACK（应答确认）报文，通告对端已被允许进入下一阶段协商；否则发送NCK（不确认）报文，通知对方验证失败。但此时并不会直接将链路关闭，客户端还可以继续偿试新的用户密码。只有当验证不通过次数达到一定值（缺省为4）时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。 图6-1? PAP身份认证的两次握手 PAP并不是一个健全的认证协议。它的特点是，在网络上以文明的方式传递用户名及口令，如在传输过程中被截获，便有可能对网络安全造成极大的威胁。因此它并不是一种强有效的认证方法，其密码以文本格式在电路上进行发送，对于窃听、重放或重复尝试和错误攻击没有任何保护，仅适用于对网络安全要求相对较低的环境。 Pap还可