广域网协议封装与验证配置 [2].docVIP

项目九 广域网协议封装与验证 编写：daiwell 学习目标 1. 了解广域网协议PPP的封装的基本知识； 2. 懂得PPP PAP和CHAP的工作过程； 3. 掌握PPP PAP验证的配置方法； 3. 掌握PPP CHAP验证的配置方法。 任务15 广域网协议PPP的封装与安全验证 9.1工作任务 现公司总公司与分公司联网需要经过两个路由器，路由器之间采用V.35串口连接，为了提高安全性，两个路由器链路协商时要验证身份。PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份验证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用因此应用十分广泛。 图9.2 PPP协议工作过程 被验证方与验证方协商通信时钟频率，协商一致后，即可建立一条物理连接。线路进入建立状态。 被验证方向验证方发送一系列的数据链路控制协议（LCP）分组，封装成多个PPP帧，协商PPP参数。协商结束后进入鉴别状态。 若已配置PAP或CHAP验证，则双方鉴别身份成功后，否则不需要进行验证就可以进入网络状态。 网络控制协议（NCP）将数据封装成符合上层协议兼容的数据格式 数NCP释放与网络层的连接，LCP释放数据链路层连接，转到终止状态，最后释放物理层连接。 9.2.5 PAP验证和CHAP验证 如果PPP协议双方协商达成一致，也可以不使用任何身份验证方法。为了提高网络通信的安全性，PPP提供了两种可选的身份验证方法：口令验证协议（Password Authentication Protocol，简称PAP）和质询握手协议（Challenge Handshake Authentication Protocol，简称CHAP）。 1．PAP验证 PAP验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手，因此，PAP验 证不提供任何防护放音和线路探测。PAP通过两握手机制，为建立远程节点的验证提供了一个简单的方法。PAP验证可以在一方进行，即由一方验证另一方身份，也可以进行双向身份验证。这时，要求被验证的双方都要通过对方的验证程序。否则，无法建立二者之间的链路。我们以单方验证为例分析PAP配置过程及诊断方法。 当双方都封装了PPP协议且要求进行PAP身份验证，同时它们之间的链路在物理层已激活后。当被验证方发送了用户名或口令后，验证方会将收到的用户名和口令与本地口令数据库中的口令信息对比，如果正确则身份验证成功，通信双方的链路最终成功建立。 图9.3 PAP验证工作过程 如果被验证方发送了错误的用户名或口令，验证方将继续不断地发送身份验证要求直到收到正确的用户名和口令为止。 PAP的弱点是用户的用户名和密码是明文发送的，很有可能被抓包软件捕获而导致安全问题。验证只在链路建立初期进行，节省了宝贵的链路带宽。如果验证成功，在通信过程中不再进行验证。PAP不是一种健壮的身份验证协议，身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。 2．CHAP验证 CHAP验证证比PAP验证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列。同时，身份验证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。与PAP相同，CHAP验证可以在一方进行，即由一方验证另一方身份，也可以进行双向身份验证。这时，要求被验证的双方都要通过对方的验证程序，否则，无法建立二者之间的链路。这里我们以单方验证为例介绍CHAP验证的工作过程。 图9.4 CHAP验证工作过程 a. 当验证双方都封装了PPP协议且要求进行CHAP身份验证，同时它们之间的物理层链路已激活，验证方会不停地发送身份验证要求直到身份验证成功。PAP不同的是，这时发送的是 在端口模式下启动PPP封装协议，验证双方都要配置此协议。 Router(config-if)#encapsulation ppp 2. 配置PAP验证 验证方建立本地口令数据库，name为用户名，0|7标注加密类型，0表示不加密，7表示简单加密，password表示口令。 Router(config-if)#username name password [0|7] password 验证双方在接口上启用PAP验证 Router(config-if)#ppp authentication pap 配置被验证方将用户名和口令发送给验证方，要求与验证方的用户名和口令一致。 Router(config-if)#ppp pap sent-