配置PPP及身份验证
 

 
实验目的：掌握PPP配置方法，理解两种身份验证的工作原理。
 
实验设备：CISCO路由器两台，V.35连线一根。
 
实验内容：
 
1、按上图把两台路由器连接好，设置好主机名。
 
2、设置接口ip 地址。在Ra 上创建一个loopback接口：loopback1,IP:192.168.1.2/24, Ra : s0:192.168.2.1/30,接口描述为”local ppp interface”. Remote :S1:192.168.2.2/30,接口描述为”remote ppp interface”在remote 上创建一个loopback 接口：loopback2,IP:192.168.3.2/24.
 
3、分别在两台路由器上启动rip v2路由协议，取消自动汇总。语法为：router(config)#router rip
 
Router(config-router)#version 2
 
Router(config-router)#no auto-summary
 
通告每个接口。
 
4、分别在Ra的S0接口和remote的S1接口配置PPP封装，并配置ＰＡＰ身份验证。单向验证：ｒｅｍｏｔｅ验证Ｒａ，密码为：ｃｉｓｃｏ。
 
语法为：验证端：
 
router(config)#username name password password//name和password为被验证端的主机名和密码
 
router(config)# interface type number
 
Router(config-if)#encapsulation ppp
 
Router(config-if)#ppp authentication pap
 
被验证端：
 
Router(config)#interface type number
 
Router(config-if)#encapsulation ppp
 
Router(config-if)#ppp pap sent-username name password password//本路由器的主机名和密码
 
5、验证配置。
 
方法为：router#show interface
 
Router#debug ppp authentication
 
6、清除PAP身份验证。配置CHAP身份验证。Ra的密码为：cisco
 
Remote的密码为：cisco.
 
语法为：router(config)#username name password password//对方主机名和密码
 
Router(config)#interface type number
 
Router(config-if)#encapsulation ppp
 
Router(config-if)#ppp authentication chap
 
7、再次验证配置。清除配置，配置双向PAP身份验证。Remote的密码为student。

一、知识背景
 
PPP(Point to Point Protocal,点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
 
PPP协议是一一种点对点串行通信协议，面向字符类型，具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能，还提供成帧、链路控制协议LCP、网络控制协议NCP等3类功能。
 
PPP协议提供两种验证方式，一种是PAP,另一种是CHAP。相对来说，PAP的认证方式安全性没有CHAP高。PAP传输的password 是明文的，而CHAP在传输过程中不传输密码，而是用hash(哈希值取代密码传输。PAP 认证是通过两次握手实现的，而CHAP是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接。
 
二、实验任务
 
通过路由器的配置，实现两路由器的PPP专线连接
 要求：
 
在给定192.168.1.0 的网络上配置
路由器采用静态路由
在两路由器之间实现PPP协议
 
三、实验步骤
 
1.创建实验拓扑
 
 
2、实验主要配置
 
（1）Luan路由器上的配置
 
Router>en
Router#conf t
Router(config)#hostname Luan			//更改路由器名为Luan
Luan(config)#int s0/3/0
Luan(config-if)#descrip link to Heifei			//描述串口s0/3/0连接到Hefei路由器
Luan(config-if)#ip add 192.168.1.65  255.255.255.192	//给串口s0/3/0配置IP地址
Luan(config-if)#encap ppp			//用PPP协议封装串口s0/3/0
Luan(config-if)#ppp authen chap	//设置PPP协议的验证方式为chap
Luan(config-if)#no shut				//打开串口s0/3/0
Luan(config-if)#exit
Luan(config)#username Hefei password 123		//在路由器上创建一组账户
Luan(config)#int f0/0
Luan(config-if)#ip add 192.168.1.1  255.255.255.192	//该f0/0端口配置IP
Luan(config-if)#no shut
Luan(config-if)#exit
Luan(config)#
Luan(config)#ip route 192.168.1.128  255.255.255.192  192.168.1.66	//在路由器上启用静态路由协议
 
（2）Hefei路由器上的配置
 
Router>en
Router#conf t
Router(config)#host Hefei			//更改路由器名为Hefei	
Hefei(config)#int s0/3/0
Hefei(config-if)#descrip link to Luan		//描述串口s0/3/0连接到Hefei路由器
Hefei(config-if)#ip add 192.168.1.66 255.255.255.192		//给串口s0/3/0配置IP地址
Hefei(config-if)#encap ppp		//用PPP协议封装串口s0/3/0
Heifei(config-if)#ppp authen chap	//设置PPP协议的验证方式为chap
Hefei(config-if)#no shut			//打开串口s0/3/0
Hefei(config-if)#clock rate 64000		//配置串口s0/3/0的时钟频率
Hefei(config-if)#exit
Hefei(config)#user Luan pass 123		//在路由器上创建一组账户
Hefei(config)#int f0/0
Hefei(config-if)#ip add 192.168.1.129 255.255.255.192	//该f0/0端口配置IP
Hefei(config-if)#no shut
Hefei(config-if)#exit
//在路由器上启用静态路由协议
Hefei(config)#ip route 192.168.1.0 255.255.255.192 192.168.1.65	
				
 
（3）给终端PC配置IP地址
 
PC
IP地址
子网掩码
默认网关
PC0
192.168.1.2
255.255.255.192
192.168.1.1
PC1
192.168.1.3
255.255.255.192
192.168.1.1
PC2
192.168.1.130
255.255.255.192
192.168.1.129
PC3
192.168.1.131
255.255.255.192
192.168.1.129
3、结果验证
 
 
4、 实验总结
 
通过本次实验，理解了PPP协议的工作原理，学会了子网划分方法，再次熟悉了静态路由的配置，并且，掌握了PPP协议的配置方法。

拓扑图：
 
 
1.pap认证/静态配置ip
 R1 配置：
 添加用户
 [R1]aaa
 [R1-aaa]local-user huawei password cipher huawei123
 [R1-aaa]local-user huawei service-type ppp
 接口配置ppp协议
 [R1]int s4/0/0
 [R1-Serial4/0/0]link-protocol ppp
 [R1-Serial4/0/0]ppp authentication-mode pap
 [R1-Serial4/0/0]ip add 10.0.0.1 30
 
R2配置：
 [Huawei]int s4/0/0
 [R2]link-protocol ppp
 [Huawei-Serial4/0/0]ppp pap local-user huawei password cipher huawei123
 [Huawei-Serial4/0/0]ip add 10.0.0.2 30
 
2.chap认证方式/动态获取ip
 R1配置：
 [R1]aaa
 [R1-aaa]local-user huawei password cipher huawei123
 [R1-aaa]local-user huawei service-type ppp
 
[R1]int s4/0/0
 [R1-Serial4/0/0]link-protocol ppp
 [R1-Serial4/0/0]ppp authentication-mode chap
 [R1-Serial4/0/0]ip add 10.0.0.1 30
 [R1-Serial4/0/0]remote add 10.0.0.2
 
R2配置：
 [R2]int s4/0/0
 [R2]link-protocol ppp
 [R2-Serial4/0/0]ppp chap user huawei
 [R2-Serial4/0/0]ppp chap password cipher huawei123
 [R2-Serial4/0/0]ip add ppp-negotiate

 
 

  

   PPP协议
  
 
  

   PPP协议概述
  
 
  

   为了解决在同一条串行链路上同时传输多种网络协议的问题，3P协议被提出。
  
 
  

   3P协议提供了一种在点对点链路上封装多种网络数据报文的标准方法。
  
 
  

   相对于以前的广域网协议的优点
  
 
  

   （1）支持面向字符传输的异步串行链路和面向比特传输的同步串行链路。
  
 
  

   （2）支持多种网络层协议，允许在一条链路上同时传输多种网络层协议报文。
  
 
  

   （3）支持在链路的建立过程中进行参数的协商
  
 
  

   （4）支持错误检测，用户认证，允许数据压缩
  
 
  

   3P协议工作原理
  
 
  

   有三部分组成：协议封装方式、LCP协议、NCP协议
  
 
  

   协议封装方式:提供一种将网络层协议封装到串行链路的方法。
  
 
  

   3P链路的工作过程
  
 
  

   （1）链路不可用阶段：物理不可用阶段，3P都从这个阶段开始和结束。
  
 
  

   （2）链路建立阶段： 3P进行LCP相关协商，链路建立成功后，如果配置了3P认证，则会进入认证阶段，没有配置，则会直接进入网络层协议阶段。
  
 
  

   （3）认证阶段：3P进行用户认证工作
  
 
  

   （4）网络层协议阶段：每种网络层协议会通过各自相应的网络控制协议进行配置，只有相应的网络层协议协商成功后，该网络层协议才可以通过这条3P链路发送报文。
  
 
  

   （5）链路终止阶段：3P能在任何时候终止链路。
  
 
  

   LCP协议：主要负责在2层工作
  
 
  

   负责数据链路的建立、配置、维护、测试和终止。
  
 
  

   LCP有一些协商选项：MRU（最大接收单元）
  
 
  

   魔术字：用来帮助检测链路是否存在环路。认证方式：PAP和CHAP
  
 
  

   链路压缩：对3P帧进行压缩，从而缩小帧长度，提高链路数据的吞吐量。
  
 
  

   多链路捆绑：支持多个3P链路捆绑，从而增加带宽。
  
 
  

   NCP协议：主要负责在网络层工作，主要有IPCP（IP控制协议）和IPXCP（IPX控制协议）
  
 
  

   IPCP主要负责协商IP网络层协议通信所需配置参数的选项。
  
 
  

   IP地址协商分为静态协商和动态协商
  
 
  

   静态协商：不进行协商，只对IP地址进行确认
  
 
  

   动态协商：一端不配置IP地址，而由另外一方在IPCP协商的过程中分配一个IP地址。
  
 
  

   PAP认证：密码认证协议，两次握手认证协议
  
 
  

   被认证方发送认证请求，发送用户名和密码到主认证方。
  
 
  

   主认证方根据本端用户表查看是否有此用户以及口令是否正确，然后返回认证通过或不通过。
  
 
  

   CHAP认证：质询握手认证协议
  
 
  

   在PAP认证中，被认证方采用明文的方式直接将密码和用户名发送给主认证方，不安全，CHAP为3次握手认证协议，它只在网络上传送用户名而不传送口令。
  
 
  

   CHAP认证过程：主认证方主动发送认证请求，主认证方向被认证方发送一些随机产生的报文，并同时将本端的用户名附带上一起发送给被认证方。
  
 
  

   被认证方接到主认证方的认证请求后，被认证方根据此报文中主认证方的用户名查找用户密码，如果找到就可以接受。
  
 
  

   主认证方接收到被认证方返回的报文后，根据此报文中被认证方的用户名在自己的本地用户数据库中查找被认证方用户名对应的被认证方CHAP认证密码。
  
 
  

   多链路3P
  
 
  

   将多个3P链路捆绑起来，形成一条带宽更大的3P链路。
  
 
  

   通常应用在用户原有的3P链路带宽不够，然后又申请了一条3P链路的情况下。
  
 
  

   增加带宽、负载分担、利用分片降低时延。
  
 
  

   配置PPP链路实验
  
 
  

   实验拓扑：
  
 
  

   
  
 
  

   
  
 
  

   还是老样子，在等待路由器启动的时候先配置两个PC的IP
  
 
  

   
  
 
  

   配置两台路由器的名字，端口的IP，并且NO SHUT端口
  
 
  

   
  
 
  

   
  
 
  

   在两台路由器上配置静态路由，由于是广域网，所以它们的下一跳地址都指向自己的端口
  
 
  

   
  
 
  

   
  
 
  

   查看路由器的路由表信息
  
 
  

   
  
 
  

   
  
 
  

   把R1作为主认证端，并且在主认证端添加被认证用户的用户名benet和密码benet，然后在端口上封装PPP协议，并启用PAP认证功能
  
 
  

   
  
 
  

   把R2作为被认证端，在端口上配置PAP认证所需要的用户名和密码，此处的用户名和密码必须与主认证端配置的用户名和密码相同。
  
 
  

   
  
 
  

   查看两台路由器的端口信息
  
 
  

   
  
 
  

   
  
 
  

   在两台PC上验证结果
  
 
  

   
  
 
  

   CHAP认证
  
 
  

   连接状况还是跟上面的一样，IP配置都一样，只是认证方式不同
  
 
  

   还是把R1作为主认证端，在主认证端添加被认证端的用户名r2和密码123，并将端口封装为PPP，启用CHAP认证
  
 
  

   
  
 
  

   把R2作为被认证端，进行下面的配置，用户名为R1的用户名，密码为被认证端自己的密码。
  
 
  

   
  
 
  

   接下来配置IP地址协商，首先建立一个DHCP池，并且宣告它的网段
  
 
  

   
  
 
  

   把r1作为服务器端，在上面配置分配给对端的IP地址
  
 
  

   
  
 
  

   把r2作为客户端，配置本端IP地址由对端分配，然后查看端口的状态，会发现并没有学习到DHCP分配的IP。
  
 
  

   
  
 
  

   把两台路由器上的S端口都shut，然后再no shut
  
 
  

   
  
 
  

   
  
 
  

   完成后再查看端口状态，发现已经学到IP 地址
  
 
  

   
  
 
  

   实验结束
  
 
 
 
转载于:https://blog.51cto.com/thethe/149246