30-廣域網——PPP協議和安全認證

原創 songly_ 2020-06-30 14:36

1. PPP協議

雖然在廣域網中點對點通信的技術有很多,但是HDLC技術已經很少使用了,目前使用最廣泛的還是PPP協議。ppp協議通過在以太網上提供點到點連接,建立PPP會話,可以讓一個主機接入遠端的因特網,並通過PPP協議對每個接入的主機進行控制,具有更高的安全性。

 

PPP協議早在1994年就成爲了因特網的正式標準,不同廠商的網絡設備都支持PPP協議,可以實現不同廠商的網絡設備點對點通信,PPP協議也是工作在鏈路層,它主要有以下幾個功能:

  1. 點對點數據封裝成幀
  2. 用戶認證
  3. 鏈路捆綁
  4. 數據壓縮

 

2. 封裝成幀

點對點通信中,鏈路層是封裝PPP協議進行通信的。

 

R1設備配置IP地址並開啓PPP協議封裝:

R1#conf t
R1(config)#int s0/0
//開啓PPP協議封裝
R1(config-if)#encapsulation ppp 
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown 
R1(config-if)#exit
R1(config)#

 

 

R2設備配置IP地址並開啓PPP協議封裝:

R2#conf t
R2(config)#int s0/0
//開啓PPP協議封裝
R2(config-if)#encapsulation ppp 
R2(config-if)#no shutdown 
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#exit
R2(config)#exit

 

 

通過wireshark抓取R1和R2設備的PPP協議:

默認情況下,R1和R2每10秒就會發送一個基於LCP協議的PPP協議數據包,通常是一個請求包對應一個響應包,用於維護這條鏈路的通信。也就是說,通過這個基於LCP的PPP協議包也可以來判斷這條鏈路是否出現通信故障。

 

PPP協議主要由LCP協議和NCP協議組成:

  1. LCP協議(Link Control Protocol):鏈路控制協議,用來建立,配置和維護數據鏈路層通信的,實現通信雙方的鏈路協商。
  2. NCP協議(Network Control Protocol):網絡控制協議,NCP協議中的每一個協議支持不同的網絡層協議,例如:IP,IPv6,AppleTalk等,簡單來講就是用於支持不同網絡層協議。

 

3. PPP安全認證

PPP協議通過安全認證協議對每個接入因特網的主機設備進行控制,具有更高的安全性,PPP的安全認證技術主要有以下兩種:

  1. PAP認證
  2. CHAP認證

 

 

3.1 PAP認證

PAP(Password Authentication Protocol,簡稱PAP)協議在PPP鏈路的基礎上利用2次握手的簡單方法進行認證,源節點會在ppp連路上反覆發送用戶名和密碼,直到驗證通過。但是在實際的網絡環境中是不推薦使用PAP進行用戶安全認證的,因爲PAP認證的用戶名和密碼在鏈路上是以明文的形式傳輸,由於是源節點控制驗證的頻率和次數,因此PAP認證不能防範一些重複性的網絡攻擊。

總之PAP認證的特點就是:明文認證,兩次握手,單向認證。

 

 

PAP認證實驗步驟:

1. 首先client和server部署ppp協議,建立ppp鏈路

2. 然後Server設置PAP認證用戶名和密碼,Client進行PAP驗證

3. wireshark抓取PAP認證協議包

 

 

Server配置ip地址並部署ppp協議,以建立ppp鏈路,配置如下:

Server#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Server(config)#int s0/0
Server(config-if)#no shutdown 
Server(config-if)#ip address 12.1.1.2 255.255.255.0
Server(config-if)#encapsulation ppp 
Server(config-if)#

 

 

Client配置如下:
 

Client#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Client(config)#int s0/0
Client(config-if)#no shutdown 
*Mar  1 00:03:06.323: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up12
*Mar  1 00:03:07.327: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
Client(config-if)#ip address 12.1.1.1 255.255.255.0
Client(config-if)#encapsulation ppp 
Client(config-if)#

 

 

Serve設置PAP認證並設置用戶名和密碼,配置如下:

Server(config)#username test password 123456
Server(config)#int s0/0
Server(config-if)#ppp authentication pap
Server(config-if)#
*Mar  1 00:04:51.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
Server(config-if)#

 

 

由於此時Client還沒有向Server進行PAP認證,所以Client和Server是無法通信的:

Client#ping 12.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.1.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

 

 

然後Client向Server進行PAP認證,配置如下:

Client#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Client(config)#int s0/0
//發送認證的用戶名和密碼
Client(config-if)#ppp pap sent-username test pass
Client(config-if)#end
Client#
Client#ping 12.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/32/40 ms
Client#

當Client向Server進行PAP認證通過後,Client和Server之間就可以進行點對點通信了。
 

 

 

wireshark抓取Client和Server認證的PAP數據包:

從wireshark中可以看到Client向Server驗證時發送的PAP協議的兩次握手過程,並且在數據包中攜帶的用戶名和密碼是以明文傳輸的(PAP認證是明文傳輸),這對於網絡安全問題越來越突出的情況下,PAP認證是非常不安全的,不推薦使用。

 

3.2 CHAP認證

CHAP(Challenge Handshake Authentication Protocol,簡稱CHAP)協議中文爲詢問握手驗證協議 ,CHAP協議也是基於PPP鏈路的,在建立PPP鏈路後利用3次握手週期性的進行驗證,CHAP協議不允許連接發起方在沒有收到任何詢問消息(hello包)下進行驗證嘗試。CHAP協議每次使用不同的詢問消息,每個消息都是不可預測的唯一的值,並且該詢問消息經過MD5加密運算後的加密值提高了安全性,可以防止一些網絡攻擊,因此CHAP比PAP具有更高的安全性。

 

CHAP認證的特點:

  1. 比PAP認證更加安全
  2. 三次握手
  3. 雙向認證

R1和R2開啓CHAP認證之前,先配置ip地址,部署PPP協議。

 

 

R1開啓CHAP認證,用戶名爲R2,密碼爲cisco,配置如下:

R1(config)#username R2 password cisco
R1(config)#int s0/0
R1(config-if)#ppp authentication chap
R1(config-if)#exit

 

R2開啓CHAP認證,配置如下:

R2(config)#username R1 password cisco
R2(config)#int s0/0
R2(config-if)#ppp authentication chap
R2(config-if)#exit

 

 

Wireshark抓取R1和R2的CHAP認證包:

 

4. 鏈路捆綁

PPP協議裏的鏈路捆綁跟Etherchannel技術中的鏈路捆綁是類似相通的,這裏直接開始PPP鏈路捆綁的配置。

 

 

R1設備設置S0/0口和s0/1口的PPP鏈路捆綁,配置如下:

R1(config)#int s0/0
R1(config-if)#no shutdown 
R1(config-if)#encapsulation ppp
R1(config-if)#ppp multilink 
R1(config-if)#ppp multilink group 1
R1(config-if)#
R1(config)#int s0/1
R1(config-if)#no shutdown 
R1(config-if)#encapsulation ppp
R1(config-if)#
*Mar  1 00:11:25.147: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up   
R1(config-if)#ppp multilink 
R1(config-if)#ppp multilink group 1

將接口放入捆綁組group 1當中,這裏的group用於區分本地多個捆綁組,是本地標識,把s0/0和s0/1接口放入group 1組當中

 

 

 

R2設備設置S0/0口和s0/1口的PPP鏈路捆綁,配置如下:

R2(config)#int s0/0
R2(config-if)#no shutdown 
R2(config-if)#encapsulation ppp
R2(config-if)#ppp multilink 
*Mar  1 00:11:34.491: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, chang                
R2(config-if)#ppp multilink group 1
R2(config-if)#
R2(config)#int s0/1
R2(config-if)#no shutdown 
R2(config-if)#encapsulation ppp
R2(config-if)#ppp multilink 
R2(config-if)#ppp multilink group 1
R2(config-if)#

 

給R1設備的邏輯鏈路捆綁的接口配置IP地址:

R1(config)#int multilink 1       
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#

 

 

給R2設備的邏輯鏈路捆綁的接口配置IP地址:

R2(config)#int multilink 1
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#exit
R2(config)#

 

 

 

查看R1設備的PPP鏈路捆綁狀態:

R1#show interfaces multilink 1
Multilink1 is up, line protocol is up 
  Hardware is multilink group interface
  Internet address is 12.1.1.1/24
//可以看到R1設備的s0/0口和s0/1口捆綁成一條鏈路了
  MTU 1500 bytes, BW 3088 Kbit, DLY 100000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open, multilink Open
  Open: IPCP, CDPCP, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 2 seconds on reset
  Last input 00:00:40, output never, output hang never
  Last clearing of "show interface" counters 00:02:11
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     7 packets input, 676 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     7 packets output, 728 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
R1#

 

 

查看R1設備的邏輯捆綁鏈路接口信息:

R1#show ip interface brief 
Interface                  IP-Address      OK? Method Status                Protocol
Serial0/0                  unassigned      YES TFTP   up                    up      
Serial0/1                  unassigned      YES NVRAM  up                    up      
Serial0/2                  unassigned      YES NVRAM  administratively down down    
Serial0/3                  unassigned      YES NVRAM  administratively down down    
Multilink1                 12.1.1.1        YES manual up                    up      
R1#

 

 

測試R1和R2的網絡連通性:

R1#ping 12.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/65/72 ms
R1#

到此,說明PPP協議鏈路捆綁實驗完成。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

計網課設 C++實現 FTP客戶端 和 服務器端

文章目錄一、FTP課本知識1.1 概述1.2 基本工作原理二、課設要求三、課設完成流程四、一些知識點五、代碼5.1client5.2server六、運行截圖6.1 開始6.2 用user和pass指令登錄6.3 pwd 顯示當前文

Authur_gyc 2020-07-08 11:53:53

爲你揭開 Restful 的面紗

一,前言 其實,我懷疑你並不瞭解 Restful ,不過沒關係,今天,就讓我來爲大家揭開 Restful 的面紗,帶大家看一些深層次的東西吧。 二,什麼是 Restful? Restful 是一種最流行的互聯網架構。在介紹 Res

Geffin 2020-07-08 10:04:51

計算機網絡複習(二)

接上一篇計算機網絡複習(一) HTTP的報文結構 HTTP的請求協議有哪些 HTTP的狀態碼 Session和Cookie的區別 儲存位置:Cookie是客戶端會話技術,數據保存在客戶端,Session是服務器端會話技術,

骑士逸 2020-07-08 08:51:37

IPsec 3 IP安全 P123

aiworenyanzhousuanfa 2020-07-08 06:53:07

無線局域網的安全 web 802.11 802.11i P126

        作爲無線網絡,它在實現加密的時候,跟有線網絡有一些比較特殊的地方,無線網絡在鏈路層的可靠性比較差,容易造成一些數據差錯,甚至一些數據丟失,那麼因此呢,作爲web在設計的時候提出要實現自同步,所謂的自同步,事實上就是對於每

aiworenyanzhousuanfa 2020-07-08 06:52:54

DPDK單生產者入隊單消費者出隊

摘自 深入淺出DPDK

rtoax 2020-07-08 06:34:35

DPDK網絡處理模塊劃分

摘自 深入淺出DPDK

rtoax 2020-07-08 06:34:35

向量封包處理器(VPP)如何運作

目錄 FD.io背後的技術 硬件加速 FD.io背後的技術 FD.io的核心是矢量數據包處理(VPP)。 從2002年開始開發,VPP是當前在運輸產品中運行的生產代碼。它在x86服務器和嵌入式設備上的x86,ARM和Power架構等多種架

rtoax 2020-07-08 06:34:35

The Vector Packet Processor (VPP)的安裝

目錄 How to Install VPP Update the OS Point to the Repository Get the key: Install the Mandatory Packages Install the Opt

rtoax 2020-07-08 06:34:33

【轉】Linux內核報文收發

趙佔旭的博客 Linux內核報文收發-網卡部分 https://zhaozhanxu.com/2016/07/12/Linux/2016-07-12-Linux-Kernel-Pkts_Processing1/ Linux內核報文收發-2

rtoax 2020-07-08 06:34:31

向量封包處理器(VPP)特點

目錄 功能詳細信息: 基於ACL的轉發 安全組的ACL 地址解析協議 鄰接 雙向轉發檢測 位索引顯式複製 粘接 緩衝區元數據更改跟蹤器 對靜態http或https服務器的內置URL支持 警察 分類 數據平面對象 動態主機配置協議 GPRS

rtoax 2020-07-08 06:34:31

DPDK報文收發 run to completion, pipeline

摘自 深入淺出DPDK

rtoax 2020-07-08 06:34:31

DPDK官方中文文檔

DPDK參考文檔[中]: https://dpdk-docs.readthedocs.io/en/latest/linux_gsg/index.html

rtoax 2020-07-08 06:34:31

Setup the FD.io Repository - Centos 7

目錄 Update the OS Package Cloud Repository Install VPP RPMs Starting VPP Uninstall the VPP RPMs Update the OS Before sta

rtoax 2020-07-08 06:34:31

【計算機網絡】第七章:[網絡層]網絡協議(Part2.網絡協議)

CN.StudyLog.Ch7.Network Layer.網絡層 (Part2.網絡層協議)ICMP協議TTL過期差錯報文目標不可到達路由重定向ping命令tracert/pathping命令ARP協議ARP欺騙IGMP協議組播

Chahot 2020-07-08 06:26:58