《锐捷RCNA路由与交换技术实战》 课件 项目10 AB园区基于PAP认证的安全互联部署

项目10AB园区基于PAP认证的安全互联部署

项目描述相关知识项目规划设计项目实施项目验证项目拓展目录项目描述项目描述Jan16公司因业务发展建立了分部，租用了专门的线路用于总部与分部的互联。为保障通信线路的数据安全，需在路由器上配置安全认证。项目拓扑如图10-1所示，具体要求如下：（1）公司总部路由器R1使用S2/0接口与分部路由器R2互联。（2）R1的S2/0接口上使用PPP协议并启用PAP认证，用于分部的安全接入。（3）全网通过OSPF协议互联。（4）测试计算机和路由器的IP与接口信息如拓扑所示。项目描述图10-1网络拓扑图相关知识相关知识点对点协议PPP是基于物理链路上传输网络层的报文而设计的，它的校验、认证和连接协商机制有效解决了串行线路网际协议SLIP的无容错控制机制、无授权和协议运行单一的问题。PPP协议的可靠性和安全性较高，且支持各类网络层协议，可以运行在不同类型的接口和链路上。10.2.1PPP的基本概念PPP是Point-to-PointProtocol的简称，也叫做P2P，目前是TCP/IP网络中最重要的点到点数据链路层协议。PPP主要被设计用来在支持全双工的同异步链路上进行点到点之间的数据传输。PPP是一个适用于通过调制解调器、点到点专线、HDLC比特串行线路和其他物理层的多协议帧机制，它支持错误检测、选项商定、头部压缩等机制，在当今的网络中得到普遍的应用。如图10-2所示，PPP主要工作在串行接口和串行链路上，用于在全双工的同异步链路上进行点到点的数据传输，常见的利用MODEM进行拨号上网就是其典型应用。10.2.1PPP的基本概念图10-2PPP在点对点中的应用10.2.1PPP的基本概念PPP在物理上可使用各种不同的传输介质，包括双绞线、光纤及无线传输介质，在数据链路层提供了一套解决链路建立、维护、拆除和上层协议协商、认证等问题的方案；协议支持同步串行连接、异步串行连接、ISDN连接、HSSI连接等连接类型，具有以下特性。●

能够控制数据链路的建立。●

能够对IP地址进行分配和使用。●

允许同时采用多种网络层协议。●

能够配置和测试数据链路。●

能够进行错误检测。●

有协商选项，能够对网络层的地址和数据压缩等进行协商。10.2.1PPP的基本概念PPP还包含了若干个附属协议，这些附属协议也称为成员协议PPP的成员协议主要包括链路控制协议（LCP）和网络控制协议（NCP）。（1）LCP链路控制协议(LCP，LinkControlProtocol)主要用于数据链路连接的建立、拆除和监控；LCP主要完成MTU（最大传输单元）、质量协议、验证协议、魔术字、协议域压缩、地址和控制域压缩协商等参数的协商。10.2.1PPP的基本概念（2）NCP网络层控制协议族(NCP，NetworkControlProtocol)主要用于协商在该链路上所传输的数据包的格式与类型，建立和配置不同网络层协议。10.2.2PPP帧格式PPP帧的格式如图5-3所示，关于PPP帧格式中各字段的含义描述如下。图5-3PPP帧格式10.2.2PPP帧格式（1）Flag字段该字段的长度为8bit，标识一个物理帧的起始和结束。PPP帧都是以01010100（0X7E）开始的。（2）Address字段该字段的长度为8bit，字节固定值为10101010（0XFF），该字段并非是一个MAC地址，它表明主从端的状态都为接收状态，可以理解为“所有的接口”。PPP帧是在一条单一的PPP链路上固定地从此接口传输到对端接口，因此PPP帧不像以太帧那样包含了源MAC地址和目的MAC地址这些信息。事实上，PPP接口根本就不需要属于自己的MAC地址，MAC地址对于PPP接口来说毫无意义。10.2.2PPP帧格式（3）Control字段该字段的长度为8bit，取值固定为00000010(0X03)。该字段并没有什么特别的作用，表明为无序号帧。（4）Protocol字段该字段的长度为16bit，是告知在信息字段中使用的是哪类分组，针对LCP、NCP、IP、IPX、AppleTalk及其他协议，定义了相应的代码。例如，当Protocol字段的取值为0xc021时，就表明Information字段是一个LCP报文；当Protocol字段的取值为0x0021时，就表明Information字段是一个IP报文。10.2.3PPP的链路建立过程PPP链路的建立是通过一系列的协商完成的。其中，链路控制协议除了用于建立、拆除和监控PPP数据链路，还主要进行数据链路层特性的协商，如MTU、验证方式等；网络层控制协议主要用于协商在该数据链路上所传输的数据的格式和类型，如IP地址。10.2.3PPP的链路建立过程PPP在建立链路之前要进行一系列的协商过程。PPP大致可以分为如下几个阶段：Dead（链路不可行）阶段、Establish(链路建立)阶段、Authenticate（验证）阶段、Network（网络层协议）阶段、Terminate（链路终止）阶段。如图10-3所示。图10-3PPP链路建立的流程图10.2.4PPP的身份认证PPP包含了通信双方身份验证的安全性协议，即在网络层协商IP地址之前，首先必须通过身份验证。PPP的身份验证有两种方式：CHAP和PAP。PAP（PasswordAuthenticationProtocol）协议是两次握手协议，它通过用户名及口令来进行用户的验证，其过程如下：（1）当开始验证阶段时，被验证方首先将自己的用户名及口令发送到验证方，验证方根据本端的用户数据库（或Radius服务器）察看是否有此用户，口令是否正确。（2）如果正确则发送Ack报文通知对端进入下一阶段协商，否则发送Nak报文通知对端验证失败。10.2.4PPP的身份认证此时，并不直接将链路关闭。只有当验证失败达到一定次数时才关闭链路，来防止因网络误传、网络干扰等因素造成不必要的LCP重新协商的过程。PAP是在网络上以明文的方式传送用户名及口令，所以安全性不高。其报文交互过程如图10-4所示。10.2.4PPP的身份认证图10-4PAP验证过程项目规划设计项目规划设计串行链路默认采用HDLC封装协议，该协议数据报文可透明传输，易于硬件实现。现在配置点对点的串行通信协议，可以通过PAP认证使链路的建立更安全。PAP认证通过用户名和密码进行验证。公司总部路由器R1作为认证方，需在全局模式下添加名为Jan16的用户，密码为123456，并将接口S2/0的认证方式设置为PAP；分部路由器R2为被认证方，需在接口上配置PAP的认证方式，并添加与认证方一致的用户名和密码，即可实现链路的认证接入。配置步骤如下：（1）配置PPP协议。（2）搭建路由器接口。（3）配置PPP的PAP认证。（4）搭建OSPF网络。（5）配置各计算机的IP地址。项目规划设计本项目的IP地址规划、端口规划见表10-1~表10-2。设备接口IP地址网关R1G0/0192.168.10.254/24-R1S2/010.10.10.1/24-R2G0/0192.168.20.254/24-R2S2/010.10.10.2/24-PC1-192.168.10.1/24192.168.10.254PC2-192.168.20.1/24192.168.20.254表10-1IP地址规划项目规划设计本端设备本端接口对端设备对端接口R1G0/0PC1-R1S2/0R2S2/0R2G0/0PC2-R2S2/0R1S2/0表10-2端口规划项目实施任务10-1配置PPP协议任务描述根据项目规划设计在路由器R1、R2上配置PPP协议。任务实施在Serial接口模式下，可以使用【encapsulation{fr|dhlc|lapb|ppp|sdlc|x25}】命令指定接口的链路层协议类型，若指定链路层协议类型为ppp，认证端可以使用【Pppauthentication{pap|chap}】为ppp协议配置认证方式为PAP或CHAP。任务10-1配置PPP协议R1的PPP协议配置命令如下。R2的PPP协议配置命令如下。Ruijie>enable//进入特权模式Ruijie#config//进入全局模式Ruijie(config)#hostnameR1//将路由器名称修改为R1R1(config)#interfaceserial2/0//进入S2/0接口R1(config-if-Serial2/0)#encapsulationPPP//配置接口封装链路层协议为PPPRuijie>enableRuijie#configRuijie(config)#hostnameR2R2(config)#interfaceserial2/0R2(config-if-Serial2/0)#encapsulationPPP任务10-1配置PPP协议任务验证（1）在R1检查链路状态和连通性，配置命令如下。R1(config-if-Serial2/0)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisDOWNHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:noipaddressMTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacknotsetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenQueueingstrategy:FIFOOutputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DTEcable任务10-1配置PPP协议DCD=upDSR=upDTR=upRTS=upCTS=up5minutesinputrate24bits/sec,0packets/sec5minutesoutputrate24bits/sec,0packets/sec89packetsinput,1860bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort105packetsoutput,2102bytes,0underruns,0dropped0outputerrors,0collisions,3interfaceresets任务10-1配置PPP协议（2）在R2检查链路状态和连通性，配置命令如下。R2(config-if-Serial2/0)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisDOWNHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:noipaddressMTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacksetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenQueueingstrategy:FIFOOutputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DCEcable任务10-1配置PPP协议可以看到，现在R1和R2间无法正常通信，链路物理状态正常，但是链路层协议状态不正常。这是因为此时PPP链路上的IP地址未进行配置。DCD=downDSR=upDTR=upRTS=upCTS=up5minutesinputrate25bits/sec,0packets/sec5minutesoutputrate25bits/sec,0packets/sec126packetsinput,2448bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort100packetsoutput,2196bytes,0underruns,0dropped0outputerrors,0collisions,3interfaceresets任务10-2配置路由器接口任务描述根据项目规划设计的IP地址规划表配置路由器的IP地址。任务实施（1）对路由器R1进行配置，配置命令如下。R1(config)#interfaceGigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipadd192.168.10.254255.255.255.0//配置IP地址为192.168.10.254，子网掩码24位R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceserial2/0R1(config-if-Serial2/0)#ipadd10.10.10.1255.255.255.0R1(config-if-Serial2/0)#exit任务10-2配置路由器接口（2）对路由器R2进行配置，配置命令如下。R2(config)#interfaceGigabitEthernet0/0R2(config-if-GigabitEthernet0/0)#Ipadd192.168.20.254255.255.255.0R2(config-if-GigabitEthernet0/0)#exitR2(config)#interfaceserial2/0R2(config-if-Serial2/0)#Ipadd10.10.10.2255.255.255.0R2(config-if-Serial2/0)#exit任务10-2配置路由器接口任务验证在路由器R1上使用【showipinterfacebrief】命令查看链路状态，配置命令如下。R1(config-if-Serial2/0)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)StatusProtocolSerial2/0

10.10.10.1/24

noaddress

up

upSerial3/0

noaddress

noaddress

down

downGigabitEthernet0/0

192.168.10.254/24

noaddress

up

upGigabitEthernet0/1

noaddress

noaddress

down

downVLAN1

noaddress

noaddress

up

down任务10-2配置路由器接口在路由器R2上使用【showipinterfacebrief】命令查看链路状态，配置命令如下。可以看到，S2/0接口的Status和Protocol均为up，表示R1与R2间的链路层协议状态正常。R2(config-if-Serial2/0)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)

Status

ProtocolSerial2/0

10.10.10.2/24

noaddress

up

upGigabitEthernet0/0

192.168.20.254/24

noaddress

up

upGigabitEthernet0/1

noaddress

noaddress

down

downVLAN1

noaddress

noaddress

up

down任务10-3配置PPP的PAP认证任务描述根据项目规划设计在路由器R1、R2上配置PPP的PAP验证.任务实施在Serial接口模式下，若指定链路层协议类型为ppp，认证端配置使用【pppauthentication{PAP|CHAP}】认证方式为PAP，则被认证端需要使用【ppppapsent-usernamenamepassword0password】为ppp协议配置认证用户名及密码。任务10-3配置PPP的PAP认证R1认证端配置命令如下。R2作为被认证端，在S2/0接口下配置以PPP方式验证时本地发送的PAP用户名和密码。R1(config)#interfaceserial2/0R1(config-if-Serial2/0)#pppauthenticationPAP//认证端配置认证方式为PAPR1(config-if-Serial2/0)#exitR1(config)#usernameJan16password123456//创建用户名和密码R2(config)#interfaceserial2/0R2(config-if-Serial2/0)#ppppapsent-usernameJan16password0123456//配置本地设备被对端设备采用PAP方式认证时发送的用户名和密文密码任务10-3配置PPP的PAP认证任务验证（1）在R1上使用【showinterfaceserial2/0】命令查看接口PPP认证信息，配置命令如下，R1(config)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisUPHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:10.10.10.1/24MTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacknotsetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenOpen:ipcpQueueingstrategy:FIFO

任务10-3配置PPP的PAP认证Outputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DTEcableDCD=upDSR=upDTR=upRTS=upCTS=up5minutesinputrate77bits/sec,0packets/sec5minutesoutputrate78bits/sec,0packets/sec561packetsinput,9189bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort577packetsoutput,10540bytes,0underruns,0dropped0outputerrors,0collisions,46interfaceresets任务10-3配置PPP的PAP认证（2）在R2上使用【showinterfaceserial2/0】命令查看接口PPP认证信息，配置命令如下，R2(config)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisUPHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:10.10.10.2/24MTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacksetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenOpen:ipcpQueueingstrategy:FIFO任务10-3配置PPP的PAP认证可以看到，Serial2/0isUP,lineprotocolisUP，EncapsulationprotocolisPPP,loopbackset，表示PPP协商成功。Outputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DCEcableDCD=downDSR=upDTR=upRTS=upCTS=up5minutesinputrate105bits/sec,0packets/sec5minutesoutputrate87bits/sec,0packets/sec555packetsinput,10748bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort539packetsoutput,8397bytes,0underruns,0dropped0outputerrors,0collisions,7interfaceresetsR2(config)#exit任务10-4搭建OSPF网络任务描述根据项目规划设计在各台路由器上配置OSPF协议。任务实施（1）在R1上配置OSPF路由，配置命令如下。R1(config)#routerospf1//创建进程号为1的OSPF进程，进入OSPF区域0R1(config-router)#network192.168.10.00.0.0.255area0//宣告网段192.168.10.0/24R1(config-router)#network10.10.10.00.0.0.255area0R1(config-router)#exitR1(config)#interfaceserial2/0R1(config-if-Serial2/0)#ipospfnetworkpoint-to-pointR1(config-if-Serial2/0)#exit任务10-4搭建OSPF网络（2）在R2上配置OSPF路由，配置命令如下。R2(config)#routerospf1R2(config-router)#network192.168.20.00.0.0.255area0R2(config-router)#network10.10.10.00.0.0.255area0R2(config-router)#exitR2(config)#interfaceserial2/0R2(config-if-Serial2/0)#ipospfnetworkpoint-to-pointR2(config-if-Serial2/0)#exit任务10-4搭建OSPF网络任务验证（1）在R1上使用【showipospfneighbor】命令查看OSPF的配置，配置命令如下。可以看到，R1在S2/0（10.10.10.1）接口上与R2建立邻居。R1(config)#showipospfneighborOSPFprocess1,1Neighbors,1isFull:NeighborIDPriStateBFDStateDeadTimeAddressInterface192.168.20.2541Full/--00:00:3710.10.10.2Serial2/0任务10-4搭建OSPF网络（2）在R2上使用【showipospfneighbor】命令查看OSPF的配置，配置命令如下。可以看到，R2在S2/0（10.10.10.2）接口上与R1建立邻居。R2(config)#showipospfneighborOSPFprocess1,1Neighbors,1isFull:NeighborIDPriStateBFDStateDeadTimeAddressInterface192.168.10.2541Full/--00:00:3910.10.10.1Serial2/0任务10-5配置各计算机的IP地址任务描述根据项目IP地址规划表给各台计算机配置IP地址。任务实施PC1的IP地址配置结果如图10-9所示，同理PC2的IP地址配置如图10-10所示。任务10-5配置各计算机的IP地址图10-9PC1IP地址配置图10-10PC2IP地址配置任务10-5配置各计算机的IP地址任务验证在PC1上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到PC1上已经配置了IP地址。C:\Users\Administrator>ipconfig//显示本机IP地址配置的信息本地连接:连接特定的DNS后缀.......:IPv4地址............:192.168.10.1(首选)子网掩码............:255.255.255.0默认网关.............:192.168.10.254项目验证项目验证使用PC1计算机PingPC2计算机，配置命令如下。结果显示PC1通过路由器R1和R2的转发实现与PC