网络互联技术与实践第12章：广域网PPP协议封装学案.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 11.2.2 点对点连接（PPP） （6）PPP配置命令 ① 封装PPP协议。 Router(config-if)#encapsulation ppp 要使用PPP封装，必须给路由器配置IP路由选择协议。 ② 设置压缩算法。 Router(config-if)#compress［predictor| stac| MPPC］ Cisco路由器支持stacker、predictor和MPPC压缩。 ③ 链路质量监视。 Router(config-if)#ppp quality percentage 5. PPP协议 11.2.2 点对点连接（PPP） 6. PPP身份验证协议 PPP身份验证协议 密码验证协议（Password Authentication Protocol，PAP） 询问握手验证协议（Challenge Handshake Authentication Protocol，CHAP） 11.2.2 点对点连接（PPP） （1）密码验证协议 如图12.8所示，密码验证协议利用双向握手信号的简单方法建立远端节点的验证。在PPP链路建立阶段完成后，远端节点会通过链路反复传送用户名和密码到路由器直到验证完成确认，否则连接被终止。 远程路由器 R3 中心路由器 用户名：R1 密码：cisco PAP双向握手 图12.8 密码验证协议 接受/拒绝 R1 11.2.2 点对点连接（PPP） （1）密码验证协议 PAP并不是一个功能很强大的验证协议，并且验证过程不是很安全，密码在链路上是以明文传输的，如果在线路上设置一个协议分析仪就能看到用户口令。并且此验证协议不能提供回放（Playback）模仿（通过连接到线路上的捕获数据包一起就可以捕获带有用户名和密码的数据包，然后就可以通过回放这个被捕获的用户名和密码登录到网络上）或重复尝试型攻击的保护。远端节点能控制验证重试的频率和时间。 如果对安全接入控制有较高的要求，就应该采用CHAP验证方式。只有当PAP是远程节点唯一支持的验证方式时，才使用PAP。 11.2.2 点对点连接（PPP） （2）询问握手验证协议 远程路由器 中心路由器 挑战 响应 CHAP三次握手 图12.9 询问握手验证协议 接受/拒绝 R1 R3 11.2.2 点对点连接（PPP） （2）询问握手验证协议 CHAP通过三次握手验证对等体的身份。是一种比PAP更强大的身份验证方法。 CHAP验证过程如图12.9所示。 在PPP链路建立阶段完成后，本地路由器向远程接点发送一个“挑战”信息，远端节点用密码和单向散列函数（典型为MD5）对挑战信息进行计算，会产生一个回应的计算结果值返回给本地路由器。本地路由器将该结果与根据它本身按同样方法计算出来的结果值进行比较来检验回应，如果两个值相互匹配则验证通过，否则连接中断。 11.2.2 点对点连接（PPP） 7.配置PPP身份验证 （1）启用PPP封装，将其作为接口的第2层协议。 router#config terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#interface serial 0/0/0 router(config-if)#encapsulation ppp （2）配置路由器的主机名以标识路由器。要指定主机名，可在全局配置模式下使用命令hostname name。该名称必须与与链路另一端的对等路由器上配置的某个用户名相同。 11.2.2 点对点连接（PPP） 7.配置PPP身份验证 （3）配置用户名和密码以便验证PPP对等体的身份。 在每台路由器使用全局配置命令username name password {0|7} password定义远程路由器的用户名和密码。 其中：Name：是远程路由器的主机名，区分大小写。 Password：在Cisco路由器上，连接双方的密码必须相同。 （4）使用接口配置命令使用身份验证方法 要在接口上指定使用身份验证方法（chap和pap）的顺序，可使用接口配置命令： routera(config-if)#ppp authentication{pap | chap | pap chap |chap pap} （5）排除PPP身份验证配置故障 在特权模式下使用debug ppp authentication命令。 12.3 方案设计 针对客户提出的要求，公司网络工程师计划通过广域网端口s0/