L023广域网技术PPP.pptVIP

广域网技术PPP 目的 完成本章的学习后，你将能够: 描绘并区分不同类型的广域网串行通讯 描绘广域网通讯是如何发生的 配置PPP协议的CHAP认证 广域网服务 广域网服务概述 路由器也可作为广域网的中心交换机 广域网服务的几个接口 广域网服务提供商安排用户的参数 广域网术语 用户和服务提供商的接口 DTE/DCE—分界点 路由器采用的广域网服务 WAN 帧结构的汇总 PPP协议 PPP协议概述 PPP 通过网络控制程序（NCP）来传送不同协议族的数据包 PPP 通过LCP控制连接的建立 PPP的分层结构 PPP的数据链路层提供一部分网络层服务 PPP LCP 配置选项 PPP 认证概述 两种PPP 认证协议: PAP and CHAP 选择一种PPP 认证协议 密码用明文发送 登录请求的控制由双方决定 选择一种PPP 认证协议 配置 PPP 认证 CHAP双向认证配置实例： 路由器 A： routerA(config)# username routerB password 12345 routerA(config)# interface serial 0 routerA(config-if)# encapsulation ppp routerA(config-if)# ppp authentication chap routerA(config-if)# ＾z 路由器 B： routerB(config)# username routerA password 12345 routerB(config)# interface serial 1 routerB(config-if)# encapsulation ppp routerB(config-if)# ppp authentication chap routerB(config-if)# ＾z 校验PPP 小结 把广域网媒体相关的地址映射为网络层地址 PPP 的数据链路封装能力可以传送多协议的数据包 PPP会话的建立分为三步： 建立连接阶段：在这个阶段，每个配置有PPP协议的网络设备都会向外发送LCP的数据帧对数据链路进行配置和测试。LCP的帧中包含了可供选择的配置信息字段，允许网络设备对这些信息进行协商，比如最大接收单元、是否进行压缩和进行认证的协议类型等等。如果LCP的帧中不包含可供选择的配置信息字段，则使用默认的值。 认证阶段（可选）：在连接已经建立后，由认证协议决定双方是否通过认证。如果进行认证的话，它发生在进入网络层协议之前。PPP支持两种认证协议：PAP和CHAP。关于这两种协议的详细介绍可以参考RFC 1334。 网络层协议阶段：在此阶段，配置PPP协议的网络设备向外发送NCP数据包以选择和配置一种或多种网络层协议（如IP协议）。一旦所有被选择的网络协议配置完毕，数据就可以进行传输了。 当配置PPP认证后，你可以选择进行PAP认证或CHAP认证。一般来说，CHAP协议是首选的。 PAP协议提供了一种简单的方法（两次握手）以验证远端主机的身份。PAP认证只是发生在建立连接的最初阶段。 在PPP建立连接阶段完成后，远端的主机会反复发送它的PAP用户名和密码给本地，直到认证被确认或连接被终止。 PAP不是一个很好的认证协议。由于它的密码是以明文方式进行传送的，并且密码是固定的，故不能阻止回放（playback）方式的入侵。而且，登录发生的频率和时间是由远端的主机控制的。 CHAP认证用于连接建立的最初阶段，周期性的通过三次握手（three-way handshake）对远端主机进行认证。CHAP 在初始连接建立后，还可以反复进行多次认证。 在PPP建立连接阶段完成后，本地路由器会发送一个“质询“信息给远端的主机。质询的呈现形式是加密密匙，这个加密密匙对每个连接都是唯一的。然后，远端的主机使用这个加密密匙来加密它的用户名和密码，再把它提交给本地路由器。本地路由器收到远端主机的经过加密的用户名和密码后，就用相应的加密密匙对它进行解密，并把它们同自己所配置的有效用户名和密码比较，如果匹配，认证过程就被确认，反之连接立刻中断。 CHAP提供了一种有效的方法防止回放的发生，因为CHAP每次建立连接所用的加密密匙都是不同的。并且可以使用反复质询方式防止攻击的产生。本地路由器或第三方认证服务器（TACACS）可以控制发出质询的频率。 ? 2004, Cisco Systems, Inc. All rights reserved. CCNA 640-801 v4.0—10-* ? 2004, Cisco Systems, Inc.