任务十六--十八(PPP-FR-DHCP)+综合训练题.docVIP

任务十六： PPP 一、实验目的 1、理解HDLC 和 PPP 封装 2、掌握在路由器串口配置HDLC 和 PPP 封装 3、掌握PPP的两种验证方式：PAP和CHAP的配置 二、实验设备及环境 详见拓扑图 三、知识点说明 1、HDLC （高级数据链路控制） HDLC是面向位的，在同步串行数据链路上进行帧封装的ISO标准 ，缺省时，Cisco路由器的串口时采用HDLC封装的 如果串口的封装不是HDLC，要把封装改为HDLC，可使用命令“encapsulation hdlc” 2、PPP概述 PPP协议是为了解决以前互联网所采用的SLIP协议的缺点而开发的，PPP协议能够解决动态分配IP地址的需要，并提供对上层网络层的多种协议的支持。无论是同步电路还是异步电路，PPP协议能够在路由器之间建立连接 。 PPP经过4个过程在一个点到点的链路上建立通信连接： ①链路的建立和配置协调：通信的发起方发送LCP帧来配置和检测数据链路。 ②链路质量检测：在链路已经建立、协调之后进行，这一阶段是可选的。 ③网络层协议配置协调：通信的发起方发送NCP 帧以选择并配置网络层协议 ④关闭链路：通信链路将一直保持到LCP或NCP帧关闭链路或发生一些外部事件。 3、ppp的验证 在ppp会话中验证阶段是可选的，如果要验证，那么验证将发生在第二阶段。验证分PAP和CHAP 两种。 4、PAP——密码验证协议 在PPP链路建立完毕后，源端节点将不停地在链路上反复发送用户名和密码，直到验证通过，否则连接被终止。在PAP的验证中，密码在链路上是以明文传输的，而且由于远端节点控制验证重试频率和次数，因此不能防范再发生攻击和重复的尝试攻击。远程节点受到登陆尝试的频率和定时的限制。 PAP验证配置举例：配置单向验证——路由器B在路由器A上取得验证 ① 在路由器A串口采用PPP封装，用“encapsulaton”命令: RouterA（config-if）# encapsulation ppp ② 在路由器A上，配置PAP验证，使用“ppp authentication pap”命令: RouterA（config-if）# ppp authentication pap ③ 在路由器A上为路由器B设置用户名和密码，使用“username 用户名 password 密码”命令: 《用户名随意》 RouterA(config)# username RouterB password 123456 ④ 在路由器B串口采用PPP封装，用“encapsulaton”命令: RouterB（config-if）# encapsulation ppp ⑤ 在路由器B上，配置以什么用户名和密码在路由器A上登陆，使用“ppp pap sent-username 用户名 password 密码”命令 : RouterB(config -if)# ppp pap sent-username RouterB password 123456 5、CHAP——询问握手验证协议 CHAP验证过程在链路建立之后完成，而且在以后的任何时候都可以再次进行。CHAP周期性验证的特性使得链路更为安全，并且CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。CHAP每次使用不同的询问消息，每个消息都是不可预测的唯一的值。并且CHAP不直接传送密码，只传送一个不可预测的询问消息，以及该询问消息与密码经过MD5加密运算后的加密值。所以CHAP可以防止再生攻击，CHAP的安全性比PAP还要高。 CHAP验证配置举例：配置单向验证——路由器B在路由器A上取得验证 ① 中心路由器A上为远程路由器B设置用户名和密码，使用“username 用户名 password 密码”命令，用户名为对端路由器的名称，密码要一致。 RouterA(congfig) # username RouterB password 111111 ② 中心路由器A上的串口采用PPP封装，配置CHAP验证。 RouterA(congfig-if) # encapsulation ppp ③ 中心路由器A上配置CHAP验证，使用“ppp authentication chap”命令。 RouterA(congfig-if) # ppp authentication chap ④ 在远程路由器上的串口采用PPP封装，用“encapsulation”命令 RouterB(congfig-if