项目13：广域网PPP协议封装.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） 5. PPP协议 （5）PPP配置选项 对PPP进行配置，使之支持各种功能，包括： 使用PAP或CHAP验证身份； 使用Stacker或Predictor进行压缩； 合并两个或多个通道以增加WAN带宽的多链路。 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） 5. PPP协议 （6）PPP配置命令 ① 封装PPP协议。 Router(config-if)#encapsulation ppp 要使用PPP封装，必须给路由器配置IP路由选择协议。 ② 设置压缩算法。 Router(config-if)#compress［predictor| stac| MPPC］ Cisco路由器支持stacker、predictor和MPPC压缩。 ③ 链路质量监视。 Router(config-if)#ppp quality percentage 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） 6. PPP身份验证协议 PPP身份验证协议 密码验证协议（Password Authentication Protocol，PAP） 询问握手验证协议（Challenge Handshake Authentication Protocol，CHAP） 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） （1）密码验证协议 如图13.8所示，密码验证协议利用双向握手信号的简单方法建立远端节点的验证。在PPP链路建立阶段完成后，远端节点会通过链路反复传送用户名和密码到路由器直到验证完成确认，否则连接被终止。 远程路由器 R3 中心路由器 用户名：R1 密码：cisco PAP双向握手 图13.8 密码验证协议 接受/拒绝 R1 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） （1）密码验证协议 PAP并不是一个功能很强大的验证协议，并且验证过程不是很安全，密码在链路上是以明文传输的，如果在线路上设置一个协议分析仪就能看到用户口令。并且此验证协议不能提供回放（Playback）模仿（通过连接到线路上的捕获数据包一起就可以捕获带有用户名和密码的数据包，然后就可以通过回放这个被捕获的用户名和密码登录到网络上）或重复尝试型攻击的保护。远端节点能控制验证重试的频率和时间。 如果对安全接入控制有较高的要求，就应该采用CHAP验证方式。只有当PAP是远程节点唯一支持的验证方式时，才使用PAP。 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） （2）询问握手验证协议 远程路由器 中心路由器 挑战 响应 CHAP三次握手 图13.9 询问握手验证协议 接受/拒绝 R1 R3 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） （2）询问握手验证协议 CHAP通过三次握手验证对等体的身份。是一种比PAP更强大的身份验证方法。 CHAP验证过程如图13.9所示。 在PPP链路建立阶段完成后，本地路由器向远程接点发送一个“挑战”信息，远端节点用密码和单向散列函数（典型为MD5）对挑战信息进行计算，会产生一个回应的计算结果值返回给本地路由器。本地路由器将该结果与根据它本身按同样方法计算出来的结果值进行比较来检验回应，如果两个值相互匹配则验证通过，否则连接中断。 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） 7.配置PPP身份验证 （1）启用PPP封装，将其作为接口的第2层协议。 router#config terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#interface serial 0/0/0 router(config-if)#encapsulation ppp （2）配置路由器的主机名以标识路由器。要指定主机名，可在全局配置模式下使用命令hostname name。该名称必须与与链路另一端的对等路由器上配置的某个用户名相同。 1.2 相关知识 项目13：广域网PPP协议封装 11.2.2 点对点连接（PPP） 7.配置PPP身份验证 （3）配置用户名和密码以便验证PPP对等体的身份。 在每台