PPP協議的配置與相關概念

時間 2020-09-12

標籤 ppp 協議配置相關概念简体版

原文原文鏈接

試驗原理：算法

PPP（point topoint）協議是廣域網中使用的一種很是普遍的數據鏈路層協議，能夠在點對點鏈路上封裝多種網絡數據報文（IP、IPX和AppleTalk），同時支持面向字符傳輸的異步串行鏈路和麪向比特傳輸的同步串行鏈路，還支持IP地址的協商、用戶認證功能、錯誤檢測以及進行數據壓縮功能，它最主要的目的是用簡單的鏈路在兩個節點之間傳輸數據，從而爲各個主機和網絡設備提供一種通用的網絡互聯解決方案。

試驗目的：

一、經過試驗過程瞭解PPP鏈路的工做過程

二、掌握PPP協議的基本配置

三、配置PAP和CHAP認證，並進行對比

四、配置IP地址協商

五、配置PPP數據壓縮

試驗網絡拓撲：

試驗步驟：

1、根據網絡拓撲圖配置被認證方（R1）和主認證方（R2）的各個串行接口（Serial）的IP地址並在S0/0接口上封裝PPP協議。

注意：cisco路由器默認的接口封裝協議是HDLC—High Level Data Link Control--高級數據鏈路控制協議，是ISO組織制定的一個標準化規程，它使用與點到點和點到多點的數據鏈路。而PPP協議由3個部分組成：協議封裝方式—將網絡層協議封裝到串行鏈路的方法；LCP（鏈路控制）協議—與物理層相鄰，主要配置和測試數據通訊鏈路，其中用戶認證（PAP和CHAP）就工做在LCP協議上；NCP（網絡控制）協議—與網絡層相鄰，可根據不一樣的網絡層協議，提供不一樣的網絡控制協議（例如：提供給TCP/IP網絡使用的IPCP網絡控制協議，同是也是最經常使用的協議；提供給IPX網絡使用的IPXCP網絡控制協議等等）

配置完成以後，記得將串行接口shutdown，而後no shutdown，PPP鏈路就創建起來了。

在串行鏈路上封裝完PPP協議以後，若是沒有配置其它PPP參數（認證，IP地址協商等等），主認證方和被人證方是互通的。經過在R1上使用ping命令能夠ping通R2（若是ping通返回5個感嘆號；若是不通，就返回5個小數點。）

下面是PPP鏈路的創建和拆除過程，從鏈路不可用階段開始，當通訊雙方的兩端檢測到物理線路激活（一般是檢測到鏈路上有載波信號）時，就會從當前這個階段進入到下一階段，鏈路創建階段主要進行LCP相關協商（協商內容包括工做方式、認證方式、鏈路壓縮等），協商完成以後則進入認證階段，這些都是針對物理層而言的，而整個鏈路工做在數據鏈路層，使用的協議爲LCP協議。認證經過以後，則進入網絡協議階段，經過一些網絡控制協議對網絡層協議進行協商。例如，利用IPX對網絡層IP協議進行協商，協商的內容主要包括雙方的IP地址等，這個是針對網絡層而言的，使用的協議是NCP協議。當PPP鏈路出現載波丟失、認證失敗或用戶認爲關閉鏈路等狀況則進行鏈路終止階段，PPP協議經過交換LCP的鏈路終止報文來關閉鏈路。

2、配置PAP認證

當接口封裝爲PPP協議以後，就能夠配置PPP認證。其中，PAP認證就是其中的一種最簡單的認證方式，只須要進行兩次握手就能夠創建起鏈接。

注意：PAP認證首先由被認證方（R1）發起認證請求，將本身的用戶名和密碼以明文的方式發送給主認證方（R2）。而後，主認證方接受請求，並在本身的本地數據庫裏查找是否有對應的條目，若是有就接受請求。若是沒有，就拒絕請求。這種認證方式是不安全的，很容易引發密碼的泄露，可是，相對於CHAP認證方式來講，更方便於應用。好比說如今的Internet撥號認證接入方式就是PAP認證。

首先配置主認證方，在主認證端添加被認證方的用戶名RouterA和密碼123456，password參數後面的0表示密碼是爲明文保存的，並在接口上啓用PAP認證功能。

配置完主認證方（R2）以後，使用ping命令ping被認證方（R1）發現ping不通，緣由很簡單，是由於R1尚未在接口模式下配置PAP認證所須要的用戶名和密碼（在被認證端配置的用戶名和密碼必須與在主認證端配置的用戶名和密碼相同。至關於一些成績查詢系統，只有當你輸入正確的考號和用戶名，查詢數據庫（主認證方）才能顯示出你的考試成績）

在被認證端的接口模式配置PAP認證所須要的用戶名RouterA和密碼123456

在特權模式下，使用debug ppp ? 能夠查看調試的內容，其中，debug ppp authentication 能夠調試PAP和CHAP認證的創建過程，使用debug ppp negotiation能夠查看到IP地址協商的過程，使用debug ppp packet能夠檢查ppp鏈接的狀態和協商過程是否正確……

使用debug ppp authentication進行調試，首先shutdown掉R1的Serial0/0接口，而後再no shutdown，即可以看到主認證方（R2）PAP認證的整個過程。

3、配置CHAP高級認證

CHAP是Challenge Hand Authentication Protocol（質詢握手認證協議）的簡稱，CHAP爲3次握手認證協議，它只在網絡上傳送用戶名而不傳送口令，所以安全性被PAP要高。

CHAP的認證過程首先由主認證方（R2）發起認證請求。第一次握手：主認證方向被認證方發送一些隨機產生的報文（Challenge），並同時將本端的用戶名附帶上一塊兒發送給被認證方。第二次握手：被認證方接到主認證方的認證請求後，被認證方根據此報文中主認證方的用戶名查找用戶密碼。若是在用戶表中找到與主認證方相同的用戶名，就說明能夠接受對方的認證。而後利用報文ID、用戶表中主認證方用戶名對應的密碼以及MD5算法對該隨機報文進行加密，將生成的密文和本身的用戶名發回給主認證方。第三次握手：主認證方接收到該報文後，根據此報文中被認證方的用戶名，在本身的本地用戶數據庫中查找被認證方用戶名對應的被認證方密碼，利用報文ID、改密碼和MD5算法對原隨機報文進行加密，而後將加密的結果和被認證方發來的加密結果進行比較。若是二者相同，則認爲認證經過，若是不一樣則認爲認證失敗。

主認證端CHAP配置：

和PAP認證同樣，配置CHAP認證時也須要在主認證端添加被認證用戶的用戶名：RouterA和密碼：123456。並在接口上啓用CHAP認證功能，最後一句的意思是配置本身的用戶名（默認狀況下，路由器會使用本身的主機名（使用hostname命令配置的名稱）做爲用戶名發送給對端。

被認證端CHAP配置：

被認證端在進行CHAP認證時，須要根據主認證端發送過來的用戶名（RouterBB）來查找相應的密碼來對隨機報文進行加密。

下面的命令中，配置的用戶名username應該爲主認證端的用戶名，表明被認證端接受主認證端相應的用戶的認證；配置的密碼password應該爲被認證端本身的密碼，此密碼和在主認證端配置的密碼必須相同。也可使用ppp chap password 0 123456命令，此命令等同於suername RouterBB password 0 123456。使用此命令，被認證端在收到主認證端的認證請求後，將不判斷請求中的用戶名，而是直接使用此命令配置的密碼來進行加密。

最後一條語句的意思是配置被認證端的用戶名爲RouterAA（區別於前面的RouterA）。

使用debug ppp authentication進行調試，首先shutdown掉R1的Serial0/0接口，而後再no shutdown，即可以看到主認證方（R2）CHAP認證的整個過程。

3、配置IP地址協商

PPP支持IP地址協商，整個過程創建在PPP的NCP階段，當用戶撥號上網時，一般由服務器爲客戶端分配一個動態IP地址。使用IP地址動態協商，有利於爲撥號用戶靈活分配IP地址。同時在PPP鏈路斷開後，此IP地址還能夠分配給其他用戶使用，從而達到了節約IP地址的目的。若是不配置IP地址協商，雙方只須要告訴對方本身的IP地址就能夠了。

服務器端配置（主認證端R2）：分配給對方一個10.0.0.10的IP地址

客戶端配置（被認證端R1）：配置本端IP地址由對端分配，注意要使用shutdown斷掉PPP鏈路，而後再使用no shutdown再激活PPP鏈路，不然客戶端（R1）得不到分配的IP地址。

配置完此條命令後，原先在接口上配置的IP地址將會被刪除。當PPP鏈接創建後，就會由對端分配一個IP地址10.0.0.10給R1的serial 0/0接口。（注意：若是PPP鏈接被斷開，分配到的IP地址將會被刪除，接口又回到沒有IP地址的狀態。