大型企业网络配置系列课程详解(六)--PPP链路的配置与相关概念的理解.docVIP

大型企业网络配置系列课程详解（六） --PPP链路的配置与相关概念的理解 ? 试验步骤： 一、根据网络拓扑图配置被认证方（R1）和主认证方（R2）的各个串行接口（Serial）的IP地址并在S0/0接口上封装PPP协议。 注意：cisco路由器默认的接口封装协议是HDLC—High Level Data Link Control--高级数据链路控制协议，是ISO组织制定的一个标准化规程，它使用与点到点和点到多点的数据链路。而PPP协议由3个部分组成：协议封装方式—将网络层协议封装到串行链路的方法；LCP（链路控制）协议—与物理层相邻，主要配置和测试数据通信链路，其中用户认证（PAP和CHAP）就工作在LCP协议上；NCP（网络控制）协议—与网络层相邻，可根据不同的网络层协议，提供不同的网络控制协议（例如：提供给TCP/IP网络使用的IPCP网络控制协议，同是也是最常用的协议；提供给IPX网络使用的IPXCP网络控制协议等等） 配置完成之后，记得将串行接口shutdown，然后no shutdown，PPP链路就建立起来了。 ??在串行链路上封装完PPP协议之后，如果没有配置其它PPP参数（认证，IP地址协商等等），主认证方和被人证方是互通的。通过在R1上使用ping命令可以ping通R2（如果ping通返回5个感叹号；如果不通，就返回5个小数点。） ? 下面是PPP链路的建立和拆除过程，从链路不可用阶段开始，当通信双方的两端检测到物理线路激活（通常是检测到链路上有载波信号）时，就会从当前这个阶段进入到下一阶段，链路建立阶段主要进行LCP相关协商（协商内容包括工作方式、认证方式、链路压缩等），协商完成之后则进入认证阶段，这些都是针对物理层而言的，而整个链路工作在数据链路层，使用的协议为LCP协议。认证通过之后，则进入网络协议阶段，通过一些网络控制协议对网络层协议进行协商。例如，利用IPX对网络层IP协议进行协商，协商的内容主要包括双方的IP地址等，这个是针对网络层而言的，使用的协议是NCP协议。当PPP链路出现载波丢失、认证失败或用户认为关闭链路等情况则进行链路终止阶段，PPP协议通过交换LCP的链路终止报文来关闭链路。 ? 二、配置PAP认证 当接口封装为PPP协议之后，就可以配置PPP认证。其中，PAP认证就是其中的一种最简单的认证方式，只需要进行两次握手就可以建立起连接。 注意：PAP认证首先由被认证方（R1）发起认证请求，将自己的用户名和密码以明文的方式发送给主认证方（R2）。然后，主认证方接受请求，并在自己的本地数据库里查找是否有对应的条目，如果有就接受请求。如果没有，就拒绝请求。这种认证方式是不安全的，很容易引起密码的泄露，但是，相对于CHAP认证方式来说，更方便于应用。比如说现在的Internet拨号认证接入方式就是PAP认证。 首先配置主认证方，在主认证端添加被认证方的用户名RouterA和密码123456，password参数后面的0表示密码是为明文保存的，并在接口上启用PAP认证功能。 ? 配置完主认证方（R2）之后，使用ping命令ping被认证方（R1）发现ping不通，原因很简单，是因为R1还没有在接口模式下配置PAP认证所需要的用户名和密码（在被认证端配置的用户名和密码必须与在主认证端配置的用户名和密码相同。相当于一些成绩查询系统，只有当你输入正确的考号和用户名，查询数据库（主认证方）才能显示出你的考试成绩） ? 在被认证端的接口模式配置PAP认证所需要的用户名RouterA和密码123456 ? 在特权模式下，使用debug ppp ? 可以查看调试的内容，其中，debug ppp authentication 可以调试PAP和CHAP认证的建立过程，使用debug ppp negotiation可以查看到IP地址协商的过程，使用debug ppp packet可以检查ppp连接的状态和协商过程是否正确…… ? 使用debug ppp authentication进行调试，首先shutdown掉R1的Serial0/0接口，然后再no shutdown，便可以看到主认证方（R2）PAP认证的整个过程。 ? 三、配置CHAP高级认证 CHAP是Challenge Hand Authentication Protocol（质询握手认证协议）的简称，CHAP为3次握手认证协议，它只在网络上传送用户名而不传送口令，因此安全性被PAP要高。 CHAP的认证过程首先由主认证方（R2）发起认证请求。第一次握手：主认证方向被认证方发送一些随机产生的报文（Challenge），并同时将本端的用户名附带上一起发送给被认证方。第二次握手：被认证方接到主认证方的认证请求后，被认证方根据此报文中主认证方的用户名查找用户密码