《数据网组建与维护》课件-6.1任务1 分公司互联中的PPP认证

广域网概述数据网组建与维护主讲教师：战美玲CONTENTS目录1广域网技术概述2PPP协议原理广域网技术概述广域网（WideAreaNetwork）简称WAN，是指跨越很大地域范围的数据通信网络。广域网是连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。广域网技术概述初期广域网常用的物理层标准和数据链路层标准。应用层传输层网络层数据链路层物理层PPP HDLC FrameRelay ATMRS-232 V.24 V.35 G.703IEEE802.3/4/5/11IP ICMP ARPTCP UDPHTTP FTPTelnet DNS SNMP广域网技术概述广域网络设备基本角色有三种：CE（CustomerEdge，用户边缘设备）、PE（ProviderEdge，服务提供商边缘设备）和P（Provider，服务提供商设备）。CECEPEPEPEPE分公司1分公司2PCECE总部分公司3服务提供商广域网技术概述广域网络设备基本角色有三种：CE（CustomerEdge，用户边缘设备）、PE（ProviderEdge，服务提供商边缘设备）和P（Provider，服务提供商设备）。CECEPEPEPEPE分公司1分公司2PCECE总部分公司3服务提供商PPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRATMPPP协议原理PPP是Point-to-PointProtocol的简称，也叫做P2P，目前是TCP/IP网络中最重要的点到点数据链路层协议，典型应用如下图：ISP已从因特网管理机构申请到一批IP地址PPP协议PPP协议PPP协议因特网因特网用户...PPPoEPPPoEPPPoEPPP协议原理从网络体系结构的角度看点对点协议PPP的组成：物理层数据链路层网络层一个链路控制协议LCP一个网络层PDU封装到串行链路的方法一套网络控制协议NCP面向字节的异步链路面向比特的同步链路Apple公司的AppleTalkNovellNetWare网络操作系统中的IPXTCP/IP中的IPPPPPPP协议原理PPP的帧格式：1B≤最大传送单元MTU=1500B长度1B1B2B2B1B帧尾部帧首部帧的数据载荷标志F地址A控制C协议P帧检验序列FCS标志F封装上层的协议数据单元PDU标志（Flag）字段：PPP帧的定界符，取值为0x7E。地址（Address）字段：取值为0xFF，预留（目前没有什么作用）。控制（Control）字段：取值为0x03，预留（目前没有什么作用）。协议（Protocol）字段：其值用来指明帧的数据载荷应向上交付给哪个协议处理。7EFF03C223FCS7ECHAP报文7EFF03C021FCS7ELCP分组7EFF038021FCS7ENCP分组帧检验序列（FrameCheckSequence，FCS）字段：其值是使用循环冗余校验CRC计算出的检错码。PPP协议原理PPP的工作状态：Dead（链路不可行）阶段、Establish(链路建立)阶段、Authenticate（验证）阶段、Network（网络层协议）阶段、Terminate（链路终止）阶段。成功？DeadEstablishAuthenticateNetworkTerminate需要认证？通过认证？Yes（opened）NoYesNoSuccessFailDownClosing链路层协商认证协商网络层协商123内容小结广域网技术概述01PPP协议原理及应用02PPP认证数据网组建与维护CONTENTS目录1PAP认证原理2CHAP认证原理3PAP认证配置命令4CHAP认证配置命令PPP认证模式-PAP链路协商成功后，进行认证协商（此过程可选）。认证协商有两种模式，PAP和CHAP。PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。认证方

被认证方R1R2PPP/30/30S1/0/0S1/0/0数据库用户名密码hciaHuawei123LCP链路协商成功底层链路建立，确定认证方式为PAPS1/0/0接口上配置用于认证的用户名和密码Authenticate-Request用户名=hcia;密码=Huawei123PPP帧Protocol=PAPAuthenticate-AckPPP帧Protocol=PAP122.数据库匹配成功。1.被认证方发起认证。PPP认证模式-CHAPCHAP认证双方有三次握手。协商报文被加密后再在链路上传输。它只在网络上传用户名而不传口令，因此安全性比PAP高。认证方

被认证方R1R2PPP/30/30S1/0/0S1/0/0数据库用户名密码hciaHuawei123S1/0/0接口上配置用于认证的用户名和密码LCP链路协商成功底层链路建立，确定认证方式为CHAPCode=1（Challenge）ID=1；Name=“”；RandomPPP帧Protocol=CHAPCode=2（Response）ID=1；Name=“hcia”；MD5结果PPP帧Protocol=CHAPCode=3（Success）ID=1；Message=“Welcome”PPP帧Protocol=CHAPID=1HASHMD5结果RandomHuawei123接口配置密码1231.认证方发起挑战，携带随机数。2.被认证方本地计算并回复MD5。3.认证方本地计算，并验证。PAP认证配置命令配置验证方以PAP方式认证对端[Huawei-Serial0/0/0]pppauthentication-modepap配置验证方以PAP方式认证对端，首先需要通过AAA将被验证方的用户名和密码加入本地用户列表，然后选择认证模式。配置被验证方以PAP方式被对端认证[Huawei-Serial0/0/0]ppp

pap

local-user

user-name

password{cipher|simple

}password配置本地被对端以PAP方式验证时，本地发送PAP用户名和口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

pppCHAP认证配置命令配置验证方以CHAP方式认证对端[Huawei-Serial0/0/0]pppauthentication-mode

chap

2.配置被验证方以CHAP方式被对端认证[Huawei-Serial0/0/0]pppchapuseruser-name配置本地用户名，配置本地被对端以CHAP方式验证时的口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

ppp[Huawei-Serial0/0/0]pppchappassword{cipher|simple}password内容小结PAP认证原理01CHAP认证原理02PAP认证配置命令03CHAP认证配置命令04基于PAP认证的公司与分部安全互联数据网组建与维护主讲教师：战美玲CONTENTS目录1项目背景2项目规划3项目实施4项目验证项目背景某公司因业务发展，建立了分公司，租用了专门的线路用于总部与分公司的连联。为保障通信线路的数据安全，需在路由器上配置安全认证。项目拓扑如图所示，具体要求如下：公司总部路由器R1使用S1/0/0接口与分公司路由器R2互联；

R1的S1/0/0接口上使用PPP协议并启用PAP认证，用于分公司的安全接入；

全网通过OSPF协议互联。公司总部路由器分公司路由器S1/0/0S1/0/0项目规划串行链路默认采用PPP封装协议，可以通过PAP认证使链路的建立更安全。公司总部路由器R1作为认证方，用户名为network，密码为123456公司路由器R2为被认证方。公司总部路由器分公司路由器S1/0/0S1/0/0项目实施项目配置步骤如下：（1）配置各计算机的IP地址（2）配置路由器接口（3）搭建OSPF网络（4）配置PPP的PAP认证（5）对端配置PAP验证项目验证项目验证方法如下：（1）查看链路状态R2使用displayipinterfacebrief命令查看的链路层协议状态（2）测试各计算机的互通性

使用PC1计算机PingPC2计算机内容小结为保障总部与分公司之间的链路建立更安全，在路由器上配置PAP认证，实现了总部与分公司通信线路的数据安全。公司总部路由器分公司路由器S1/0/0S1/0/0基于CHAP认证的公司与分部安全互联数据网组建与维护主讲教师：战美玲CONTENTS目录1项目背景2项目规划3项目实施4项目验证项目背景某公司因业务发展，建立了分公司，租用了专门的线路用于总部与分公司的连联。为保障通信线路的数据安全，需在路由器上配置安全认证。项目拓扑如图所示，具体要求如下：公司总部路由器R1使用S1/0/0接口与分公司路由器R2互联；

R1的S1/0/0接口上使用PPP协议并启用CHAP认证，用于分公司的安全接入；

全网通过OSPF协议互联。公司总部路由器分公司路由器S1/0/0S1/0/0项目规划串行链路默认采用PPP封装协议，可以通过CHAP认证使链路的建立更安全。公司总部路由器R1作为认证方，用户名为network，密码为123456公司路由器R2为被认证方。公司总部路由器分公司路由器S1/0/0S1/0/0项目实施项目配置步骤如下：（1）配置各计算机的IP地址（2）配置路由器接口（3）搭建OSPF网络（4）R1配置PPP的CHAP认证（5）对端R2配置CHAP验证项目验证项目验证方法如下：（1）查看链路状态R2使用displayipi