第 29 讲 广域网接入技术 ----ppp 接入 ,pap/chap 认证
Post on 06-Jan-2016
140 Views
Preview:
DESCRIPTION
TRANSCRIPT
第 29 讲广域网接入技术
----PPP 接入 ,PAP/CHAP 认证主讲:史宝会
本讲教学目标常见的广域网接入技术介绍PPP 协议与 PAP 认证技术PPP 协议与 CHAP 认证技术NAT 协议
广域网技术简介 WAN 可以访问本地网络之外的网络资源。
要访问这些网络资源,一般来说需要向 WAN 服务提供商预订服务。
WAN 服务提供商主要提供以下三种类型的服务:呼叫建立服务或信令服务时分多路复用( Time Division Multiplexing, TD
M )服务X.25 或帧中继服务。
广域网的服务形式
服务提供商服务提供商
WAN 的典型术语
使用路由器的 WAN 服务C i s c o 路由器允许访问三种形式的 WA
N 服务:交换( switched )服务/中继 (relayed) 服
务IBM 的企业数据中心内的( IBM’s Enterpris
e Data Center )计算机相连接的服务通过连接对等设备( peer device )的协议获
得的服务。
WAN 的线缆及布线
广域网连接类型:第一层
专线
电路交换
分组交换
同步串行线路( Synchronous serial)
Telephone
Company
异步串行线路 Asynchronous serial, ISDN Layer 1
Service
Provider
Synchronous serial
典型的广域网封装协议:第二层
专线
包 ( 分组 ) 交换
电路交换
HDLC, PPP, SLIP
X.25, Frame Relay, ATM
Service
Provider
PPP, SLIP, HDLC
Telephone
Company
WAN 物理层
串行线路点到点连接Router connections
EIA/TIA-232 EIA/TIA-449 EIA-530V.35 X.21
CSU/DSU
End user device
Service Provider
DTE
DCE
串行连接的路由器应用
PPP 的作用与应用 PPP 提供了在同步及异步电路基础上路由器到
路由器及主机到网络的链接。 PPP 可为多种协议提供端到端的连接。可以是
IP 、 IPX 和 Apple Talk 。 PPP 可以运行在任何 DTE/DCE 接口上。。 PPP 协议对于传输速率没有任何限制条件, PP
P 协议支持的物理接口包括 EIA/TIA-232-E 接口、 EIA/TIA-422 接口、 EIA/TIA-423 接口及V.35 接口。
PPP 的组成1. HDLC
PPP 用 HDLC 作为点到点链路上基本的封装方法 .
2. LCP( 可扩展的链路控制协议 )建立、配置和测试数据链路的连接和终止方
法LCP 配置需要经过建立链接、选择配置、决定链接
质量、选择网络层协议配置、终止链接四个阶段。3. NCP( 网络控制协议 )
建立和配置不同的网络层协议
PPP 的多协议应用
PPP 用 NCP 进行多种协议的封装
PPP 用 LCP 进行链路的建立与控制
PPP 各层元素
LCP 选项的多种功能特性 功能 协议
验证 明文密码验证 PAP
竞争握手 CHAP
压缩 在源端压缩数据,在目的端解压缩
Stacker or Predictor
错误探测
监视连接上丢掉的数据,避免帧循环
Quality Magic Number
多链路 多个链路间的负载平衡 多链路协议(MP)
PPP协议的主要好处之一是 LCP选项的多种功能,这些功能详见下表。
PPP 会话建立
1. 链路的建立和配置的协商2. 链路质量检测 3. 网络层协议配置协调 4. 链路终止 PPP 的验证方式
PAP :单向验证CHAP :双向验证
PPP 验证协议 --PAP
Remote Router(SantaCruz)
Central-Site Router (HQ)
Hostname: santacruzPassword: boardwalk
username santacruzpassword boardwalk
PAP 二次握手
“santacruz, boardwalk”“santacruz, boardwalk”
Accept/RejectAccept/Reject
密码明文传输对方控制连接请求双向使用相同的 Username 和 Password
PAP 验证的特点 PAP 为远程节点使用二次握手法建立身份标示
提供了一种简单的办法。 PAP 仅在最初建立链路时使用。在 PPP 链路建立阶段结束以后,一个用户名 - 密码对被远程节点重复的发给路由器,直到验证被应答或连接中止。
PAP 不是一个强壮的验证协议。密码是以明文的方式发送的,对于回放和重复的试错法攻击没有防范能力。
PPP 验证协议 --CHAP
Remote Router(SantaCruz)
Central-Site Router (HQ)
Hostname: santacruzPassword: boardwalk
username santacruzpassword boardwalk
CHAP 3 次握手
ChallengeChallenge
ResponseResponse
Accept/RejectAccept/Reject
•密文方式传递密码•有效避免再生攻击和尝试攻击
CHAP 验证的特点CHAP 是一种比 PAP 强壮的验证方法。CHAP 用在一个链路建立的时候,并且
使用三次握手周期性的验证远程节点的身份。
CHAP 在链路初始建立时运行,并且可以在链路建立后的任何时候重复。
启用 PPP 封装和 PAP/CHAP 验证
在端口模式下启动 PPP
配置 PPP 认证
指定你自己路由器的主机名
确认被认证路由器的用户名和密码
选择 PAP 还是 CHAP 作为认证协议
Router(config-if)#encapsulation ppp
Router(config)#hostname name
Router(config)#username name password password
Router(config-if)#ppp authentication{chap | chap pap | pap chap | pap}
CHAP实例分析Left
routerRightrouter
PSTN/ISDN
hostname left username right password sameone ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP
hostname left username right password sameone ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP
hostname rightusername left password sameone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP
hostname rightusername left password sameone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP
注意 : 用户名是对方的 , 密码一定要相同
区分大小写
配置 PAP实例
Leftrouter
Rightrouter
PSTN/ISDN
hostname left ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username left password ci
sco
hostname left ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username left password ci
sco
hostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication pap
hostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication pap
注意 : 用户名是对方的 , 密码一定要相同
区分大小写
作业
1.什么是 PPP? PPP 由哪 3部分组成?2. PPP 的两种认证方法是什么?各有什么特点?
3. PAP采用几次握手? CHAP采用几次握手
top related