广域网协议封装与验证配置

1、项目九 广域网协议封装与验证编写：daiwell学习目标1. 了解广域网协议PPP 的封装的基本知识；2. 懂得PPP PAP和CHAP 的工作过程；3. 掌握PPP PAP验证的配置方法；3. 掌握PPP CHAP验证的配置方法。任务15 广域网协议PPP 的封装与安全验证9.1工作任务现公司总公司与分公司联网需要经过两个路由器，路由器之间采用V .35串口连接，为了提高安全性，两个路由器链路协商时需要验证身份。要求你在广域网协议PPP 封装的基础上，分别实现PAP 验证和CHAP 验证。9.2相关知识点对点协议（Point to Point Protocol，简称PPP ），为在点对点连接

2、上传输多协议数据包提供了一个标准方法，属于数据链路层协议。PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种简单封装协议，在TCP/IP协议中，它是一种用来同步调制连接的数据链路层协议，替代了原来非标准的数据链路层协议SLIP （Serial Line Internet Protocol，串行线路网际协议），并成为正式的Internet 标准。PPP 协议是在SLIP 基础上开发的，解决了动态IP 和差错检验问题。除了TCP/IP协议外，PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（IPX ）。9.2.1 广域网协议封装与局域网协议

3、封装让我们先比较广域网协议与局域网协议链路层封装的区别。针对数据网络协议的原理上来讲，两者之间的区别很小，但是由于应用的场所和物理链路的不同，造成二者的协议设计理念不同。局域网覆盖范围小，网络链路状态良好，设计时主要是为了保证网络的数据传输的基本功能，由于带宽高，所以封装的字节一般都比较大（例如：以太网数据链路层封装有18个字节，净载荷最大1500字节，物理层封装有20个字节）广域网传输距离远，物理链路状态差，为保证数据正确地传达到对方，减少链路的损耗，协议的封装基本上开销很少，PPP 协议数据链路层封装只有8个字节净载荷最大1500字节，物理层封装只有2个字节）。由于广域网物理链路干扰较多，

4、距离远，所以越早开发的广域网协议越复杂，包含的数据封装的类型越多，例如X.25协议，物理链路多位电缆等。9.2.2 PPP协议的特点PPP 协议包含数据链路控制协议（LCP ）和网络控制协议（NCP ）。LCP 协议提供了通信双方进行参数协商的手段。NCP 协议使PPP 可以支持IP 、IPX 等多种网络层协议及IP 地址的自动分配。PPP 具有以下特点。1. 能够控制数据链路的建立；2. 能够对IP 地址进行分配和使用；3. 允许同时采用多种网络层协议；4. 能够配置和测试数据链路；5. 能够进行错误检测；6. 支持身份验证，PPP 协议支持两种验证方式：PAP 和CHAP 。7. 有协商选

5、项，能够对网络层的地址和数据压缩等进行协商。PPP 支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP 有很多丰富的可选特性，如支持多协议、提供可选的身份验证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP 的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用，因此应用十分广泛。9.2.3 串口通信接口PPP 协议是建立在广域网串口通信协议之上的，串口通信协议规定了数据终端设备（DTE ）和数据通信设备（DCE ）之间的串行二进制数据交换的接口。由于PPP 协议是通过串口通信接口互连的，因此有必要对EIA 接口标准进行介绍，如

6、图9.1所示。 图9.1 常见串口通信接口RS-232协议主要用于近距离内计算机和终端之间的通信。最常用的是RS232C 协议，是以非平衡式传输的标准。接口采用DB25连接器。规定逻辑0的电平是在315V ，逻辑1的电平是+315V。最大传输速率为115k bit/s，此时最远传输距离为10米。RS-449协议主要是为克服RS-232接口标准的通讯距离短和传输速率慢而建立的，它是一种以平衡方式传输的标准，不仅提高了传输速率，而且也解决了地电位差不同而引起的问题。RS-449规定信号电平为-6V-+6V。采用DB37作为接口连接器。传输距离为10米时最大传输速率可达10M bit/s。RS-44

7、9采用两个伴随标准：RS-422A 和RS-423A 。EIA-530协议采用了平衡方式传输，与RS-449相似的是它能支持设备的高速率数据传输。但其插头却是与RS-232一样使用DB25连接器。由于这种协议的设备不多，本文不多介绍。V .35协议主要用于路由器，接口线采用平衡绞合多线对电缆，每对平衡线两个端子之间正常工作电压为0.55V 。其接口采用DB34连接器，最大传输速率为2M bit/s。V.35串口通信接口是最常见的串口通信接口，本任务中采用此接口。9.2.4 PPP协商工作过程确保路由器双方串行线缆已连接，PPP 协议已配置完成，其中DCE 接口必须配置Clock rate ，并

8、且通讯接口已激活。 DCES3/0DTE S3/0验证方图9.2 PPP 协议工作过程 被验证方1. 被验证方与验证方协商通信时钟频率，协商一致后，即可建立一条物理连接。线路进入建立状态。2. 被验证方向验证方发送一系列的数据链路控制协议（LCP ）分组，封装成多个PPP帧，协商PPP 参数。协商结束后进入鉴别状态。3. 若已配置PAP 或CHAP 验证，则双方鉴别身份成功后，否则不需要进行验证就可以进入网络状态。4. 网络控制协议（NCP ）将数据封装成符合上层协议兼容的数据帧格式，进入数据通信状态。5. 数据传输结束后，NCP 释放与网络层的连接，LCP 释放数据链路层连接，转到终止状态，

9、最后释放物理层连接。9.2.5 PAP验证和CHAP 验证如果PPP 协议双方协商达成一致，也可以不使用任何身份验证方法。为了提高网络通信的安全性，PPP 提供了两种可选的身份验证方法：口令验证协议（Password Authentication Protocol ，简称PAP ）和质询握手协议（Challenge Handshake Authentication Protocol ，简称CHAP ）。1PAP 验证PAP 验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手，因此，PAP 验 证不提供任何防护放音和线路探测。PAP 通过两握手机制，为建立远程节点的验证提供了一个简单的方

10、法。PAP 验证可以在一方进行，即由一方验证另一方身份，也可以进行双向身份验证。这时，要求被验证的双方都要通过对方的验证程序。否则，无法建立二者之间的链路。我们以单方验证为例分析PAP 配置过程及诊断方法。当双方都封装了PPP 协议且要求进行PAP 身份验证，同时它们之间的链路在物理层已激活后。当被验证方发送了用户名或口令后，验证方会将收到的用户名和口令与本地口令数据库中的口令信息对比，如果正确则身份验证成功，通信双方的链路最终成功建立。 图9.3 PAP 验证工作过程如果被验证方发送了错误的用户名或口令，验证方将继续不断地发送身份验证要求直到收到正确的用户名和口令为止。PAP 的弱点是用户的

11、用户名和密码是明文发送的，很有可能被抓包软件捕获而导致安全问题。验证只在链路建立初期进行，节省了宝贵的链路带宽。如果验证成功，在通信过程中不再进行验证。PAP 不是一种健壮的身份验证协议，身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。2CHAP 验证CHAP 验证证比PAP 验证更安全，因为CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列。同时，身份验证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。与PAP 相同，CHAP 验证可以在一方进

12、行，即由一方验证另一方身份，也可以进行双向身份验证。这时，要求被验证的双方都要通过对方的验证程序，否则，无法建立二者之间的链路。这里我们以单方验证为例介绍CHAP 验证的工作过程。 图9.4 CHAP 验证工作过程a. 当验证双方都封装了PPP 协议且要求进行CHAP 身份验证，同时它们之间的物理层链路已激活，验证方会不停地发送身份验证要求直到身份验证成功。与PAP 不同的是，这时验证方发送的是“挑战”报文。该报文包含了挑战报文类型标识符、挑战报文序列号、用户名，同时验证方也保存了这些信息。b. 被验证方收到“挑战”报文后，将收到的挑战报文类型标识符、挑战报文序列号、用户名、口令（口令可以用刚

13、收到的“挑战”报文中的用户名找出对应的口令），用MD5计算出哈希值做应答。c. 验证方收到应答报文后，根据保存的信息，用同样的方法，将挑战报文类型标识符、挑战报文序列号、用户名、口令（验证双方的口令是相同的）用MD5计算出哈希值，并与刚收到的应答报文中哈希值比较，如果值相等，则表示验证成功。否则，连接终止，经过一段随机间隔时间，再发送一个新的“挑战”报文给被验证方。9.2.6 PPP的封装与验证配置命令的格式1配置PPP 封装在端口模式下启动PPP 封装协议，验证双方都要配置此协议。Router(config-if#encapsulation ppp2. 配置PAP 验证验证方建立本地口令数据

14、库，name 为用户名，0|7标注加密类型，0表示不加密，7表示简单加密，password 表示口令。Router(config-if#username name password 0|7 password验证双方在接口上启用PAP 验证Router(config-if#ppp authentication pap配置被验证方将用户名和口令发送给验证方，要求与验证方的用户名和口令一致。 Router(config-if#ppp pap sent-username username password 0|7 password3. 配置CHAP 验证验证双方必须指定路由器的主机名Router(co

15、nfig#hostname name验证双方必须建立本地口令数据库，name 填写验证对方的主机名，而不是自己的主机名，验证双方的口令必须相同。Router(config-if#username name password 0|7 password验证双方在接口上启用CHAP 验证Router(config-if#ppp authentication chap4测试命令Router#show interface serial ! 检查二层协议封装，显示LCP 和NCP 状态 Router#debug ppp packets ! 观察PPP 通信过程中的报文信息 Router#debug ppp

16、 negotiation ! 查看PPP 通信过程中协商信息Router#degub ppp authentication ! 查看PPP 通信过程中验证信息9.3 任务实施任务目标1、掌握广域网PPP 协议封装的配置方法；2、掌握PAP 验证的配置方法；3、掌握CHAP 验证的配置方法；网络拓扑RG-RSR20系列路由器（两台）、V .35线缆（1条） DCES3/0DTE S3/0Ra Rb图9.5广域网协议PPP 的封装与安全验证配置拓扑图将Router1和Router1主机名改为Ra 和Rb ；Ra 的S3/0的IP 地址为192.168.1.1/24；Rb 的S3/0的IP 地址为1

17、92.168.1.2/24；在PAP 验证的配置时，用户名和口令分别为top 和sxvtc ；在PAP 验证的配置时，用户名按命令要求，口令为sxvtc 。子任务：PPP PAP验证的配置实施步骤步骤1 基本配置。1、路由器RaRouter #config tRouter(config#hostname RaRa(config#int serial 3/0Ra(config-if#ip address 192.168.1.1 255.255.255.0Ra(config-if#clock rate 64000Ra(config-if#no shut2、路由器RbRouter #config t

18、Router(config#hostname RbRb(config#int serial 3/0Rb(config-if#ip address 192.168.1.2 255.255.255.0Rb(config-if#no shut验证测试： (以Ra 为例Ra#show interface serial 3/0Index(dec:1 (hex:1Serial 3/0 is UP , line protocol is UPHardware is SIC-1HS HDLC CONTROLLER SerialInterface address is: 192.168.1.1/24MTU 150

19、0 bytes, BW 2000 KbitEncapsulation protocol is HDLC, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1Queueing strategy: FIFOOutput queue 0/40, 0 drops;Input queue 0/75, 0 drops1 carrier transitionsV35 DCE cableDCD=up DSR=up DTR=up RTS=up CTS=up5 minute

20、s input rate 14 bits/sec, 0 packets/sec5 minutes output rate 17 bits/sec, 0 packets/sec34 packets input, 748 bytes, 0 no buffer, 0 droppedReceived 34 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort35 packets output, 770 bytes, 0 underruns , 0 dropped0 output errors, 0

21、 collisions, 1 interface resets步骤2 配置PPP PAP验证。1、被验证方Ra 的配置Ra(config#int serial 3/0Ra(config-if#encapsulation ppp ! 接口下封装PPP 协议Ra(config-if#ppp pap sent-username top password 0 sxvtc! PAP验证的用户名、密码2、验证方Rb 的配置Rb(config#username top password 0 sxvtc ! 需要15级权限! 验证方配置被验证方用户名、密码Rb(config#int serial 3/0Rb(

22、config-if# encapsulation pppRb(config-if#ppp authentication pap ! PPP启用PAP 验证方式验证测试：Ra#debug ppp authentication ! 观察PAP 验证过程%LINK CHANGED: Interface serial 3/0, changed state to down%LINE PROTOCOL CHANGE: Interface serial 3/0, changed state to DOWNPPP: ppp_clear_author(, protocol %LINK CHANGED: Inte

23、rface serial 3/0,hanged state to upPPP: serial 3/0 PAP ACK receivedPPP: serial 3/0 Passed PAP authentication with remotePPP: serial 3/0 lcp authentication OK!PPP: ppp_clear_author(, protocol = TYPE_IPCP= TYPE_LCP%LINE PROTOCOL CHANGE: Interface serial 3/0, changed state to UP.步骤3 测试：Ra#ping 192.168.

24、1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >!Success rate is 100 percent (5/5, round-trip min/avg/max = 30/30/30 ms【注意事项】1、在DCE 端要配置时钟；2、必须在接口模式下配置PPP 封装协议；3、注意口令的大小写是区分的；4、debug ppp authentication 在路由器物理层up ，链路尚未建立的情况下打开才有信息输出，本实验的实质是链路层协商建

25、立的安全性，该信息出现在链路协商的过程中；5、身份验证也可以双向进行，即互相验证。配置方法同单向验证类似，只不过需要将通信双方同时配置成为验证服务器和验证客户端。子任务：PPP CHAP验证的配置实施步骤步骤1 基本配置。1、路由器RaRouter #config tRouter(config#hostname RaRa(config#int serial 3/0Ra(config-if#ip address 192.168.1.1 255.255.255.0Ra(config-if#clock rate 64000Ra(config-if#no shut2、路由器RbRouter #conf

26、ig tRouter(config#hostname RbRb(config#int serial 3/0Rb(config-if#ip address 192.168.1.2 255.255.255.0Rb(config-if#no shut验证测试： (以Ra 为例Ra#show interface serial 3/0Index(dec:1 (hex:1Serial 3/0 is UP , line protocol is UPHardware is SIC-1HS HDLC CONTROLLER SerialInterface address is: 192.168.1.1/24MTU

27、 1500 bytes, BW 2000 KbitEncapsulation protocol is HDLC, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1Queueing strategy: FIFOOutput queue 0/40, 0 drops;Input queue 0/75, 0 drops1 carrier transitionsV35 DCE cableDCD=up DSR=up DTR=up RTS=up CTS=up5 mi

28、nutes input rate 14 bits/sec, 0 packets/sec5 minutes output rate 17 bits/sec, 0 packets/sec34 packets input, 748 bytes, 0 no buffer, 0 droppedReceived 34 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort35 packets output, 770 bytes, 0 underruns , 0 dropped0 output error

29、s, 0 collisions, 1 interface resets步骤2 配置PPP CHAP验证1、被验证方Ra 的配置Ra#config tRa(config#username Rb password 0 top! 以对方的主机名作为用户名, 密码和对方的路由器一致，需要在15级下实现 Ra(config#interface serial 3/0Ra(config-if#encapsulation pppRa(config-if#ppp authentication chap ! PPP启用CHAP 方式验证2、验证方Rb 的配置Rb#config tRb(config#usernam

30、e Ra password 0 top! 以对方的主机名作为用户名, 密码和对方的路由器一致，需要在15级下实现 Rb(config#interface serial 3/0Rb(config-if# encapsulation pppRb(config-if#ppp authentication chap ! PPP启用CHAP 方式验证验证测试：Ra#debug ppp authentication ! 观察CHAP 验证过程 %LINK CHANGED: Interface serial 3/0, changed state to down%LINE PROTOCOL CHANGE: Interface serial 3/0, changed state to DOWN PPP: ppp_clear_author(, protocol = TYPE_LCP%LINK CHANGED: Interface serial 3/0, changed state to upPPP: serial 3/0 Send CHAP challenge id=29 to remote host