試驗原理:
PPP(point topoint)協議是廣域網中使用的一種非常廣泛的數據鏈路層協議,可以在點對點鏈路上封裝多種網絡數據報文(IP、IPX和AppleTalk),同時支持面向字符傳輸的異步串行鏈路和麪向比特傳輸的同步串行鏈路,還支持IP地址的協商、用戶認證功能、錯誤檢測以及進行數據壓縮功能,它最主要的目的是用簡單的鏈路在兩個節點之間傳輸數據,從而爲各個主機和網絡設備提供一種通用的網絡互聯解決方案。
試驗目的:
1、 通過試驗過程瞭解PPP鏈路的工作過程
2、 掌握PPP協議的基本配置
3、 配置PAP和CHAP認證,並進行對比
4、 配置IP地址協商
5、 配置PPP數據壓縮
試驗網絡拓撲:
試驗步驟:
一、根據網絡拓撲圖配置被認證方(R1)和主認證方(R2)的各個串行接口(Serial)的IP地址並在S0/0接口上封裝PPP協議。
注意:cisco路由器默認的接口封裝協議是HDLC—High Level Data Link Control--高級數據鏈路控制協議,是ISO組織制定的一個標準化規程,它使用與點到點和點到多點的數據鏈路。而PPP協議由3個部分組成:協議封裝方式—將網絡層協議封裝到串行鏈路的方法;LCP(鏈路控制)協議—與物理層相鄰,主要配置和測試數據通信鏈路,其中用戶認證(PAP和CHAP)就工作在LCP協議上;NCP(網絡控制)協議—與網絡層相鄰,可根據不同的網絡層協議,提供不同的網絡控制協議(例如:提供給TCP/IP網絡使用的IPCP網絡控制協議,同是也是最常用的協議;提供給IPX網絡使用的IPXCP網絡控制協議等等)
配置完成之後,記得將串行接口shutdown,然後no shutdown,PPP鏈路就建立起來了。
在串行鏈路上封裝完PPP協議之後,如果沒有配置其它PPP參數(認證,IP地址協商等等),主認證方和被人證方是互通的。通過在R1上使用ping命令可以ping通R2(如果ping通返回5個感嘆號;如果不通,就返回5個小數點。)
下面是PPP鏈路的建立和拆除過程,從鏈路不可用階段開始,當通信雙方的兩端檢測到物理線路激活(通常是檢測到鏈路上有載波信號)時,就會從當前這個階段進入到下一階段,鏈路建立階段主要進行LCP相關協商(協商內容包括工作方式、認證方式、鏈路壓縮等),協商完成之後則進入認證階段,這些都是針對物理層而言的,而整個鏈路工作在數據鏈路層,使用的協議爲LCP協議。認證通過之後,則進入網絡協議階段,通過一些網絡控制協議對網絡層協議進行協商。例如,利用IPX對網絡層IP協議進行協商,協商的內容主要包括雙方的IP地址等,這個是針對網絡層而言的,使用的協議是NCP協議。當PPP鏈路出現載波丟失、認證失敗或用戶認爲關閉鏈路等情況則進行鏈路終止階段,PPP協議通過交換LCP的鏈路終止報文來關閉鏈路。
二、配置PAP認證
當接口封裝爲PPP協議之後,就可以配置PPP認證。其中,PAP認證就是其中的一種最簡單的認證方式,只需要進行兩次握手就可以建立起連接。
注意:PAP認證首先由被認證方(R1)發起認證請求,將自己的用戶名和密碼以明文的方式發送給主認證方(R2)。然後,主認證方接受請求,並在自己的本地數據庫裏查找是否有對應的條目,如果有就接受請求。如果沒有,就拒絕請求。這種認證方式是不安全的,很容易引起密碼的泄露,但是,相對於CHAP認證方式來說,更方便於應用。比如說現在的Internet撥號認證接入方式就是PAP認證。
首先配置主認證方,在主認證端添加被認證方的用戶名RouterA和密碼123456,password參數後面的0表示密碼是爲明文保存的,並在接口上啓用PAP認證功能。
配置完主認證方(R2)之後,使用ping命令ping被認證方(R1)發現ping不通,原因很簡單,是因爲R1還沒有在接口模式下配置PAP認證所需要的用戶名和密碼(在被認證端配置的用戶名和密碼必須與在主認證端配置的用戶名和密碼相同。相當於一些成績查詢系統,只有當你輸入正確的考號和用戶名,查詢數據庫(主認證方)才能顯示出你的考試成績)
在被認證端的接口模式配置PAP認證所需要的用戶名RouterA和密碼123456
在特權模式下,使用debug ppp ? 可以查看調試的內容,其中,debug ppp authentication 可以調試PAP和CHAP認證的建立過程,使用debug ppp negotiation可以查看到IP地址協商的過程,使用debug ppp packet可以檢查ppp連接的狀態和協商過程是否正確……
使用debug ppp authentication進行調試,首先shutdown掉R1的Serial0/0接口,然後再no shutdown,便可以看到主認證方(R2)PAP認證的整個過程。
三、配置CHAP高級認證
CHAP是Challenge Hand Authentication Protocol(質詢握手認證協議)的簡稱,CHAP爲3次握手認證協議,它只在網絡上傳送用戶名而不傳送口令,因此安全性被PAP要高。
CHAP的認證過程首先由主認證方(R2)發起認證請求。第一次握手:主認證方向被認證方發送一些隨機產生的報文(Challenge),並同時將本端的用戶名附帶上一起發送給被認證方。第二次握手:被認證方接到主認證方的認證請求後,被認證方根據此報文中主認證方的用戶名查找用戶密碼。如果在用戶表中找到與主認證方相同的用戶名,就說明可以接受對方的認證。然後利用報文ID、用戶表中主認證方用戶名對應的密碼以及MD5算法對該隨機報文進行加密,將生成的密文和自己的用戶名發回給主認證方。第三次握手:主認證方接收到該報文後,根據此報文中被認證方的用戶名,在自己的本地用戶數據庫中查找被認證方用戶名對應的被認證方密碼,利用報文ID、改密碼和MD5算法對原隨機報文進行加密,然後將加密的結果和被認證方發來的加密結果進行比較。如果兩者相同,則認爲認證通過,如果不同則認爲認證失敗。
主認證端CHAP配置:
和PAP認證一樣,配置CHAP認證時也需要在主認證端添加被認證用戶的用戶名:RouterA和密碼:123456。並在接口上啓用CHAP認證功能,最後一句的意思是配置自己的用戶名(默認情況下,路由器會使用自己的主機名(使用hostname命令配置的名稱)作爲用戶名發送給對端。
被認證端CHAP配置:
被認證端在進行CHAP認證時,需要根據主認證端發送過來的用戶名(RouterBB)來查找相應的密碼來對隨機報文進行加密。
下面的命令中,配置的用戶名username應該爲主認證端的用戶名,代表被認證端接受主認證端相應的用戶的認證;配置的密碼password應該爲被認證端自己的密碼,此密碼和在主認證端配置的密碼必須相同。也可以使用ppp chap password 0 123456命令,此命令等同於suername RouterBB password 0 123456。使用此命令,被認證端在收到主認證端的認證請求後,將不判斷請求中的用戶名,而是直接使用此命令配置的密碼來進行加密。
最後一條語句的意思是配置被認證端的用戶名爲RouterAA(區別於前面的RouterA)。
使用debug ppp authentication進行調試,首先shutdown掉R1的Serial0/0接口,然後再no shutdown,便可以看到主認證方(R2)CHAP認證的整個過程。
三、配置IP地址協商
PPP支持IP地址協商,整個過程建立在PPP的NCP階段,當用戶撥號上網時,通常由服務器爲客戶端分配一個動態IP地址。使用IP地址動態協商,有利於爲撥號用戶靈活分配IP地址。同時在PPP鏈路斷開後,此IP地址還可以分配給其餘用戶使用,從而達到了節約IP地址的目的。如果不配置IP地址協商,雙方只需要告訴對方自己的IP地址就可以了。
服務器端配置(主認證端R2):分配給對方一個10.0.0.10的IP地址
客戶端配置(被認證端R1):配置本端IP地址由對端分配,注意要使用shutdown斷掉PPP鏈路,然後再使用no shutdown再激活PPP鏈路,否則客戶端(R1)得不到分配的IP地址。
配置完此條命令後,原先在接口上配置的IP地址將會被刪除。當PPP連接建立後,就會由對端分配一個IP地址10.0.0.10給R1的serial 0/0接口。(注意:如果PPP連接被斷開,分配到的IP地址將會被刪除,接口又回到沒有IP地址的狀態。
使用show ip interface brief可以查看客戶端(R1)的所有端口的狀態,可以看到Serial0/0接口的IP地址爲10.0.0.10,Methed爲IPCP(可以看出,網絡層使用的對應協議爲TCP/IP)。
四、配置PPP壓縮
配置Stac壓縮
在接口上啓用Predictor壓縮需要消耗大量的路由器內存。如果路由器本身的內存比較小,請不要啓用Predictor壓縮
在接口上啓用Stac壓縮會佔用很大部分的CPU資源來進行壓縮的運算。如果路由器本身的負載就比較重(超過40%),請不要啓用Stac壓縮。
配置TCP頭壓縮
當在接口上啓用了TCP頭壓縮之後,接口上快速轉發功能將會被自動關閉。如果在某些快速線路上啓用了TCP頭壓縮,將會造成路由器負載加重。因此TCP頭壓縮只適合低速鏈路上使用。
四、使用show interface serial 0/0命令可以查看到端口的配置信息。
1、Serial0/0 is up, line protocol is up 表示物理接口已經UP,數據鏈路層接口已經UP。
2、Encapsulation PPP,LCP Open表示接口封裝的協議爲PPP,狀態爲Open,協議正常工作。
使用debug ppp packet命令調試整個ppp鏈路的建立過程(其中配置了PPP認證(CHAP)功能,配置了IP地址協商)
