PPP的功能及原理

1、第五章 HDLC和PPP一、HDLC 二、PPP的功能及原理 三、ppp的驗(yàn)證 1一、HDLC HDLC（高級(jí)數(shù)據(jù)鏈路控制） HDLC是面向位的，在同步串行數(shù)據(jù)鏈路上進(jìn)行幀封裝的 ISO標(biāo)準(zhǔn) 各字段的含義為： 1、Flag：標(biāo)志位，表示幀的開(kāi)始，為十六進(jìn)制值7F。 2、Address：地址位，12B，用來(lái)在多點(diǎn)的網(wǎng)絡(luò)環(huán)境中對(duì)目的設(shè)備尋址。 3、Control:控制位，表示幀的類(lèi)型，如信息幀，管理幀等。 4、Proprietary：專(zhuān)有位，是Cisco增加的，標(biāo)明是Cisco專(zhuān)有的 HDLC。 5、Data：數(shù)據(jù)位，封裝的數(shù)據(jù)。 6、FCS：幀校驗(yàn)序列。 7、Flag:標(biāo)志位，表示幀的結(jié)束，為十

2、六進(jìn)制值7E。2缺省時(shí)，Cisco路由器的串口時(shí)采用HDLC封裝的 如果串口的封裝不是HDLC，要把封裝改為HDLC，可使用命令“encapsulation hdlc” 實(shí)例1 HCLC的配置。R1 (config) # interface s0/0R1 (config-if) # encapsulation hdlcR2 (config) # interface s0/0R2 (config-if) # encapsulation hdlc3二、PPP的功能及原理1、 PPP概述 PPP協(xié)議是為了解決以前互聯(lián)網(wǎng)所采用的SLIP協(xié)議的缺點(diǎn)而開(kāi)發(fā)的，PPP協(xié)議能夠解決動(dòng)態(tài)分配IP地址的需要，并提

3、供對(duì)上層網(wǎng)絡(luò)層的多種協(xié)議的支持。無(wú)論是同步電路還是異步電路，PPP協(xié)議能夠在路由器之間建立連接 。PPP經(jīng)過(guò)4個(gè)過(guò)程在一個(gè)點(diǎn)到點(diǎn)的鏈路上建立通信連接： (1).鏈路的建立和配置協(xié)調(diào)：通信的發(fā)起方發(fā)送LCP幀來(lái)配置和檢測(cè)數(shù)據(jù)鏈路。 (2).鏈路質(zhì)量檢測(cè)：在鏈路已經(jīng)建立、協(xié)調(diào)之后進(jìn)行，這一階段是可選的。 (3).網(wǎng)絡(luò)層協(xié)議配置協(xié)調(diào)：通信的發(fā)起方發(fā)送NCP幀以選擇并配置網(wǎng)絡(luò)層協(xié)議。 (4).關(guān)閉鏈路：通信鏈路將一直保持到LCP或NCP幀關(guān)閉鏈路或發(fā)生一些外部事件。 4PPP的幀格式：（1） Flag:標(biāo)志位，指示幀的開(kāi)始或結(jié)束，為十六進(jìn)制值7F。（2） Address:地址字段，為十六進(jìn)制值FF，P

4、PP不制定單個(gè)工作站的地址，而是標(biāo)準(zhǔn)的廣播地址。（3） Control:控制字段，為十六進(jìn)制值03。（4） Protocol:用于表示封裝在幀中的數(shù)據(jù)字段的協(xié)議類(lèi)型。（5） Data:數(shù)據(jù)字段，封裝的數(shù)據(jù)。（6） FCS:幀校驗(yàn)字段，進(jìn)行差錯(cuò)控制。5三、ppp的驗(yàn)證 在ppp會(huì)話中驗(yàn)證階段是可選的，如果要驗(yàn)證，那么驗(yàn)證將發(fā)生在第二階段。驗(yàn)證分PAP和CHAP 兩種。1、PAP密碼驗(yàn)證協(xié)議 在PPP鏈路建立完畢后，源端節(jié)點(diǎn)將不停地在鏈路上反復(fù)發(fā)送用戶名和密碼，直到驗(yàn)證通過(guò)，否則連接被終止。在PAP的驗(yàn)證中，密碼在鏈路上是以明文傳輸?shù)?，而且由于遠(yuǎn)端節(jié)點(diǎn)控制驗(yàn)證重試頻率和次數(shù)，因此不能防范再發(fā)生攻擊

5、和重復(fù)的嘗試攻擊。遠(yuǎn)程節(jié)點(diǎn)受到登陸嘗試的頻率和定時(shí)的限制。 6PAP驗(yàn)證的配置 ： (一).配置單向驗(yàn)證路由器B在路由器A上取得驗(yàn)證 1、在路由器A串口采用PPP封裝，用“encapsulaton”命令: RouterA（config-if）# encapsulation ppp 2、在路由器A上，配置PAP驗(yàn)證，使用“ppp authentication pap”命令: RouterA（config-if）# ppp authentication pap 3、在路由器A上為路由器B設(shè)置用戶名和密碼， 使用“username 用戶名 password 密碼”命令: RouterA(config

6、)# username RouterB password 123456 4、在路由器B串口采用PPP封裝，用“encapsulaton”命令: RouterB（config-if）# encapsulation ppp 5、在路由器B上，配置以什么用戶名和密碼在路由器A上登陸， 使用“ppp pap sent-username 用戶名 password 密碼”命令 : RouterB(config -if)# ppp pap sent-username RouterB password 123456 7 (二).配置單向驗(yàn)證路由器A在路由器B上取得驗(yàn)證 1、在路由器B串口采用PPP封裝，用“e

7、ncapsulaton”命令: RouterB（config-if）# encapsulation ppp 2、在路由器B上，配置PAP驗(yàn)證，使用“ppp authentication pap”命令: RouterB（config-if）# ppp authentication pap 3、在路由器B上為路由器A設(shè)置用戶名和密碼， 使用“username 用戶名 password 密碼”命令: RouterB(config)# username RouterA password 654321 4、在路由器A串口采用PPP封裝，用“encapsulaton”命令: RouterA（config-

8、if）# encapsulation ppp 5、在路由器A上，配置以什么用戶名和密碼在路由器B上登陸， 使用“ppp pap sent-username 用戶名 password 密碼”命令 : RouterA(config -if)# ppp pap sent-username RouterA password 654321 8 2、 CHAP詢問(wèn)握手驗(yàn)證協(xié)議 CHAP驗(yàn)證過(guò)程在鏈路建立之后完成，而且在以后的任何時(shí)候都可以再次進(jìn)行。CHAP周期性驗(yàn)證的特性使得鏈路更為安全，并且CHAP不允許連接發(fā)起方在沒(méi)有收到詢問(wèn)消息的情況下進(jìn)行驗(yàn)證嘗試。CHAP每次使用不同的詢問(wèn)消息，每個(gè)消息都是不可預(yù)

9、測(cè)的唯一的值。并且CHAP不直接傳送密碼，只傳送一個(gè)不可預(yù)測(cè)的詢問(wèn)消息，以及該詢問(wèn)消息與密碼經(jīng)過(guò)MD5加密運(yùn)算后的加密值。所以CHAP可以防止再生攻擊，CHAP的安全性比PAP還要高。 9（1） 中心路由器A上為遠(yuǎn)程路由器B設(shè)置用戶名和密碼，使用“username 用戶名 password 密碼”命令，用戶名為遠(yuǎn)程路由器的名稱。 RouterA(congfig) # username RouterB password 111111（2） 中心路由器A上的串口采用PPP封裝，配置CHAP驗(yàn)證。 RouterA(congfig-if) # encapsulation ppp（3）中心路由器A上配置

10、CHAP驗(yàn)證，使用“ppp authentication chap”命令。 RouterA(congfig-if) # ppp authentication chap（4） 在遠(yuǎn)程路由器上的串口采用PPP封裝，用“encapsulation”命令 RouterB(congfig-if) # encapsulation ppp（5） 在遠(yuǎn)程路由器上為中心路由器設(shè)置用戶名和密碼。 RouterB(congfig) # username RouterA password 111111 以上的步驟同樣只是配置了單向驗(yàn)證（路由器B在路由器A上取得驗(yàn)證）。要采用雙向驗(yàn)證，還要增加一個(gè)步驟。（6） 在遠(yuǎn)程路由器上的串口配置CHAP驗(yàn)證，使用“ppp authentication chap”命令 RouterB(congfig-if) # ppp authentication