第4章 广域网接入技术02.PPT

课程主讲人：第第4章章 广域网接入技术广域网接入技术02网络设备与配置网络设备与配置广域网接入技术广域网接入技术第四章第四章PPP协议配置协议配置4.24.2项目目标项目目标v了解了解PPP协议的基本概念协议的基本概念v掌握掌握PPP链路的建立过程链路的建立过程v掌握配置掌握配置PAP和和CHAP认证，并进行对比认证，并进行对比v掌握配置掌握配置IP地址协商地址协商v掌握掌握PPP协议的配置协议的配置v掌握处理配置过程中出现的各种问题掌握处理配置过程中出现的各种问题 项目描述项目描述您是公司的网络管理员，您是公司的网络管理员，公司申请了专线接入服务。为公司申请了专线接入服务。为了保护客户的利益和链路的安了保护客户的利益和链路的安全性，全性，ISP要求进行链路协商时要求进行链路协商时要验证身份，请配置路由器保要验证身份，请配置路由器保证链路建立，实现网络互联。证链路建立，实现网络互联。 项目实施环境项目实施环境v锐捷路由器锐捷路由器2台，电脑若干台。台，电脑若干台。v实验室环境：锐捷路由器实验室环境：锐捷路由器2台，台，V.35连接线连接线一对，电脑若干台。一对，电脑若干台。 项目实施理论基础项目实施理论基础vPPP协议概述协议概述vPPP链路的建立链路的建立vPPP的认证的认证vPPP协议的应用协议的应用vPPP的配置的配置PPP协议概述协议概述vPPP（Point to Point Protocol）协议是在点对）协议是在点对点链路上运行的数据链路层协议点链路上运行的数据链路层协议v用户使用拨号电话线接入用户使用拨号电话线接入Internet时，一般都是时，一般都是使用使用 PPP 协议协议PSTNPPP协议协议PPP协议的产生协议的产生-SLIP协议协议vSLIP协议（协议（Serial Line Internet Protocol）是在串行线路上对是在串行线路上对IP数据报进行封装的简单协议数据报进行封装的简单协议产生于二十世纪八十年代中期产生于二十世纪八十年代中期vSLIP协议的缺点协议的缺点封装格式十分简单，无法进行封装格式十分简单，无法进行IP地址等参数的协商地址等参数的协商只支持只支持IP协议协议不具备校验功能不具备校验功能IP数据报文数据报文+END字符字符=SLIP数据帧数据帧PPP协议的优点协议的优点v支持同步或异步串行链路的传输支持同步或异步串行链路的传输v支持多种网络层协议支持多种网络层协议v支持错误检测支持错误检测v支持网络层的地址协商支持网络层的地址协商v支持用户认证支持用户认证v允许进行数据压缩允许进行数据压缩PPP的组成的组成vPPP主要包括三个部分主要包括三个部分在串行链路上封装上层数据报文的方法在串行链路上封装上层数据报文的方法采用采用LCP（Link-Control Protocol，链路控制协议），链路控制协议）来建立、控制数据链路来建立、控制数据链路采用采用NCP（Network-Control Protocol，网络控制协，网络控制协议）来支持多种网络协议议）来支持多种网络协议物理介质（同物理介质（同/ /异步）异步）LCPNCPPPPIPIPX其它网络协议其它网络协议IPCPIPXCP其它NCP网络层网络层数据链路层数据链路层物理层物理层PPP链路的建立链路的建立vPPP链路的建立共有五个阶段链路的建立共有五个阶段链路不可用链路不可用阶段阶段链路建立链路建立阶段阶段认证阶段认证阶段网络层协议网络层协议阶段阶段链路终止链路终止阶段阶段物理层物理层 UP链路链路UP认证通认证通过或无过或无认证认证认证失败认证失败关闭关闭失败失败PPP帧格式帧格式协议域协议域信息域信息域0 x7E 0 xFF 0 x03帧校验帧校验0 x7E1Byte2Bytes2Bytes1Byte1Byte1Byte地址域：对方的数据链路层地址。地址域：对方的数据链路层地址。因为因为PPP协议是点对点的链路层协议，协议是点对点的链路层协议，所以此字节无意义，用所以此字节无意义，用0 xFF填充填充标志字节：用来标示标志字节：用来标示PPP帧的开始和帧的开始和结束结束PPP帧格式帧格式协议域协议域信息域信息域0 x7E 0 xFF 0 x03帧校验帧校验0 x7E1Byte2Bytes2Bytes1Byte1Byte1Byte控制域：通常用控制域：通常用0 x03填充填充协议域：用来区分协议域：用来区分PPP数据帧中信息域所承载的数据报文的内容数据帧中信息域所承载的数据报文的内容常见取值：常见取值：0 xc021 信息域中承载的是信息域中承载的是LCP协议数据报文协议数据报文0 xc023 信息域中承载的是信息域中承载的是PAP协议的认证报文协议的认证报文0 xc223 信息域中承载的是信息域中承载的是CHAP协议的认证报文协议的认证报文0 x8021 信息域中承载的是信息域中承载的是NCP协议数据报文协议数据报文0 x0021 信息域中承载的是信息域中承载的是IP协议数据报文协议数据报文PPP帧格式帧格式协议域协议域信息域信息域0 x7E 0 xFF 0 x03帧校验帧校验0 x7E1Byte2Bytes2Bytes1Byte1Byte1Byte信息域：根据协议域的内容而定信息域：根据协议域的内容而定 当协议域为当协议域为LCP协议时，信息域内为协议时，信息域内为LCP协商参数协商参数 当协议域为当协议域为NCP协议时，信息域内为协议时，信息域内为NCP协商参数协商参数 当协议域为当协议域为IP协议时，信息域内为用户数据协议时，信息域内为用户数据LCP协议协议v用来建立、配置、维护、终止一条点对点链路用来建立、配置、维护、终止一条点对点链路vLCP协议协商选项协议协商选项MRU，最大接收单元，最大接收单元认证协议认证协议链路压缩链路压缩多链路捆绑多链路捆绑NCP协议协议v 用来建立、配置不同的网络层协议用来建立、配置不同的网络层协议v包括包括IPCP、IPXCP等协议等协议vIPCP协议协商选项协议协商选项IP地址协商地址协商TCP/IP头压缩头压缩PPP协议由链路层封装方法、协议由链路层封装方法、LCP协议、协议、NCP协协议三部分组成议三部分组成PPP的帧格式的帧格式LCP协议用来负责链路的配置协议用来负责链路的配置NCP协议用来负责网络协议的配置协议用来负责网络协议的配置PPP链路建立的过程链路建立的过程阶段总结阶段总结PPP认证协议认证协议v PPP协议支持用户的认证，是广域网接入使用最协议支持用户的认证，是广域网接入使用最广泛的协议广泛的协议vPPP协议支持两种认证协议协议支持两种认证协议PAP（Password Authentication Protocol，口令认，口令认证协议）证协议）CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议），质询握手认证协议）PAP认证认证vPAP是两次握手认证协议，口令以明文传送，被是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。认证方首先发起认证请求。被认证方被认证方主认证方主认证方用户名和密码用户名和密码(user01/pw01)认证通过认证通过/ /未通过未通过用户名：用户名：user01密密 码：码：pw01username passworduser01 pw01根据用户数据库认证根据用户数据库认证用户名密码是否正确用户名密码是否正确CHAP认证认证41vCHAP是三次握手认证协议，不发送口令，主认是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比证方首先发起认证请求，安全性比PAP高。高。被认证方被认证方主认证方主认证方主认证方用户名，随机数据主认证方用户名，随机数据被认证方用户名，随机报文与被认证方用户名，随机报文与密码加密后的报文密码加密后的报文接受接受/ /拒绝拒绝CHAP认证认证4201 id 随机数据随机数据 3640-1766-13640-1用户名用户名 口令口令3640-1 PWDid 随机数据随机数据 PWDMD5Hash值值v主认证方发送认证请求主认证方发送认证请求表示此报文为表示此报文为认证请求认证请求此次认证的序此次认证的序列号列号主认证方认证主认证方认证用户名用户名被认证方在本地被认证方在本地的数据库中查找的数据库中查找对应的密码对应的密码用户名用户名 口令口令766-1 PWDCHAP认证认证43v被认证方回复认证请求被认证方回复认证请求02 idHash值值766-1766-13640-1此报文为此报文为CHAP认认证响应报文证响应报文被认证方的认证被认证方的认证用户名用户名主认证方在本地数据主认证方在本地数据库中查找被认证方对库中查找被认证方对应的口令应的口令id 随机数据随机数据 PWD随机数据随机数据根据根据id找到先前保存找到先前保存的随机数据的随机数据MD5Hash值值与被认证方计算得与被认证方计算得到的到的Hash值做比较，值做比较，如果一致，则认为如果一致，则认为认证通过。认证通过。与认证请求中的与认证请求中的id相同相同CHAP认证认证44v主认证方确认认证是否通过主认证方确认认证是否通过766-13640-103 id“认证通过认证通过”PPP协议的应用协议的应用 v 目前目前PPP主要应用技术有两种，一种是主要应用技术有两种，一种是PPP OVER ETHERNET也就也就是是PPPOE，而另一种则是，而另一种则是PPP OVER ATM，也叫，也叫PPPOA。v PPPOE:ADSL拨号采用的协议，大部分家庭拨号上网就是通过拨号采用的协议，大部分家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前宽带接入正在用户端和运营商的接入服务器之间建立通信链路。目前宽带接入正在成为取代拨号上网的趋势。利用以太网（在成为取代拨号上网的趋势。利用以太网（Ethernet）资源，在以太）资源，在以太网上运行网上运行PPP来进行用户认证接入的方式称为来进行用户认证接入的方式称为PPPoE。PPPoE即保即保护了用户方的以太网资源，又完成了护了用户方的以太网资源，又完成了ADSL的接入要求，是目前的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。接入方式中应用最广泛的技术标准。v PPPOA:ATM网络上运行网络上运行PPP协议的技术，在协议的技术，在ATM（异步传输模式，（异步传输模式，Asynchronous Transfer Mode）网络上运行）网络上运行PPP协议来管理用户认协议来管理用户认证的方式称为证的方式称为PPPoA。它与。它与PPPoE的原理相同，作用相同；不同的的原理相同，作用相同；不同的是它是在是它是在ATM网络上，而网络上，而PPPoE是在以太网网络上运行，所以要分是在以太网网络上运行，所以要分别适应别适应ATM标准和以太网标准。标准和以太网标准。配置配置PPP协议协议v 进入串口配置模式进入串口配置模式Router(config)# interface serial 0/0v配置接口的链路层协议为配置接口的链路层协议为PPPRouter(config-if)# encapsulation pppv配置接口的配置接口的IP地址地址Router(config-if)# ip address ip_addr ip_mask配置配置PAP认证认证-主认证方主认证方v配置认证用户名和密码配置认证用户名和密码Router(config)# username user_name password 0 pass_wordv启用启用PAP认证认证Router(config-if)# ppp authentication pap0表示密码为明文保存表示密码为明文保存配置配置PAP认证认证-被认证方被认证方v配置认证用户名和密码配置认证用户名和密码Router(config-if)# ppp pap sent-username user_name password 0 pass_word主认证方和被认证方主认证方和被认证方配置的用户名和密码配置的用户名和密码必须一致必须一致配置配置CHAP认证认证-主认证方主认证方v配置认证用户名和密码配置认证用户名和密码Router(config)# username user_name password 0 pass_wordv启用启用CHAP认证认证Router(config-if)# ppp authentication chapv配置认证用的用户名配置认证用的用户名Router(config-if)# ppp chap hostname user_name如果不配置此命令，默认使用路由器的主机名如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名作为主认证方的用户名配置配置CHAP认证认证-被认证方被认证方v配置认证用户名和密码配置认证用户名和密码Router(config)# username user_name password 0 pass_wordv配置认证用的用户名配置认证用的用户名Router(config-if)# ppp chap hostname user_namev配置认证用的密码配置认证用的密码Router(config-if)# ppp chap password 0 pass_word如果不配置此命令，默认使用路由器的主机名如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名作为被认证方的用户名当没有配置认证的用户名和密码时，可以使用当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码此命令配置默认的密码配置配置IP地址协商地址协商v服务器端服务器端Router(config-if)# peer default ip address ip_addrv客户端客户端Router(config-if)# ip address negotiated配置此命令后，原先在接口上配置此命令后，原先在接口上配置的配置的IP地址将被删除地址将被删除PPP配置实例配置实例RouterA# config terminalRouterA(config)# interface serial 0/0RouterA(config-if)# encapsulation pppRouterA(config-if)# ppp pap sent-username star password 0 rujieRouterA(config-if)# no shutdownRouterB# config terminal RouterB(config)# username star password 0 rujieRouterB(config)# interface serial 0/0RouterB(config-if)# clock rate 2000000RouterB(config-if)# encapsulation pppRouterB(config-if)# ppp authentication papRouterB(config-if)# no shutdownABPPP的调试和排错的调试和排错3-1vshow interface命令命令Router#show interface serial 0/1Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCPMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP物理层物理层UP，数据链，数据链路层路层UP此接口的此接口的IP地址由地址由IPCP协议协议协商决定协商决定此接口链路层封装协此接口链路层封装协议为议为PPPLCP、IPCP、CDPCP协协议状态都为议状态都为openPPP的调试和排错的调试和排错3-2vdebug ppp packet命令命令*Mar 1 00:21:36.216: Se0/1 PPP: Outbound cdp packet dropped, line protocol not up*Mar 1 00:21:38.211: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:21:38.211: Se0/1 LCP: O CONFREQ Closed id 33 len 10*Mar 1 00:21:38.211: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3)*Mar 1 00:21:40.202: Se0/1 LCP: TIMEout: State REQsent*Mar 1 00:21:40.202: Se0/1 LCP: O CONFREQ REQsent id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3)*Mar 1 00:21:40.202: Se0/1 PPP: I pkt type 0 xC021, datagramsize 14*Mar 1 00:21:40.202: Se0/1 LCP: I CONFACK REQsent id 34 len 10*Mar 1 00:21:40.202: Se0/1 LCP: MagicNumber 0 x13D78FE3 (0 x050613D78FE3)*Mar 1 00:21:40.226: Se0/1 PPP: I pkt type 0 xC021, datagramsize 18*Mar 1 00:21:40.226: Se0/1 LCP: I CONFREQ ACKrcvd id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023)*Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0)*Mar 1 00:21:40.226: Se0/1 LCP: O CONFACK ACKrcvd id 50 len 14*Mar 1 00:21:40.226: Se0/1 LCP: AuthProto PAP (0 x0304C023)*Mar 1 00:21:40.226: Se0/1 LCP: MagicNumber 0 x13940FF0 (0 x050613940FF0)链路不可用阶段链路不可用阶段链路建立阶段链路建立阶段PPP的调试和排错的调试和排错3-3vdebug ppp packet命令命令*Mar 1 00:21:40.230: Se0/1 PAP: O AUTH-REQ id 10 len 15 from benet*Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 xC023, datagramsize 9*Mar 1 00:21:40.234: Se0/1 PAP: I AUTH-ACK id 10 len 5*Mar 1 00:21:40.234: Se0/1 PPP: I pkt type 0 x8021, datagramsize 14*Mar 1 00:21:40.238: Se0/1 IPCP: I CONFREQ Closed id 1 len 10*Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.2 (0 x0306C0A80102)*Mar 1 00:21:40.238: Se0/1 IPCP: O CONFREQ Closed id 2 len 10*Mar 1 00:21:40.238: Se0/1 IPCP: Address 192.168.1.1 (0 x0306C0A80101)*Mar 1 00:21:40.242: Se0/1 IPCP: O CONFACK REQsent id 1 len 10*Mar 1 00:21:40.242: Se0/1 IPCP: Address 192.168.1.2 (0 x0306C0A80102)*Mar 1 00:21:40.242: Se0/1 PPP: I pkt type 0 x8021, datagramsize 14*Mar 1 00:21:40.246: Se0/1 IPCP: I CONFACK ACKsent id 2 len 10*Mar 1 00:21:40.246: Se0/1 IPCP: Address 192.168.1.1 (0 x0306C0A80101)*Mar 1 00:21:41.240: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up认证阶段认证阶段网络协议阶段网络协议阶段网络拓扑结构图（实验室）网络拓扑结构图（实验室） 项目实施和步骤项目实施和步骤1按照网络拓扑结构图连接路由器。按照网络拓扑结构图连接路由器。2路由器基本设置。路由器基本设置。 基本配置基本配置Router(config)#hostname RaRa(config)# interface serial 1/2Ra(config-if)#no shutdownRouter(config)#hostname RbRb(config)# interface serial 1/2Rb(config-if)#clock rate 64000Rb(config-if)#no shutdown 验证测试：验证测试： Ra#show interface serial 1/2Rb#show interface serial 1/2项目实施和步骤项目实施和步骤3配置配置PPP认证认证 配置配置PPP（PAP）认证）认证被验证方的配置被验证方的配置:Ra(config)# interface serial 1/2Ra(config-if)# encapsulation ppp ! 接口下封装接口下封装PPP协议协议Ra(config-if)#ppp pap sent-username Ra password 0 star ! PAP认证的用户名、密码认证的用户名、密码验证方的配置验证方的配置:Rb(config)#username Ra password 0 star ! 验证方配验证方配置被验证方用户名、密码置被验证方用户名、密码Rb(config-if)# encapsulation pppRb(config-if)#ppp authentication pap ! PPP启用启用PAP认证方式认证方式项目实施和步骤项目实施和步骤3配置配置PPP认证认证 配置配置PPP （CHAP） 认证认证Ra(config)#username Rb password 0 star ! 以对方的主以对方的主机名作为用户名机名作为用户名,密码和对方的路由器一致密码和对方的路由器一致Ra(config)#interface serial 1/2Ra(config-if)#encapsulation pppRa(config-if)#ppp authentication chap ! PPP启用启用CHAP方式验证方式验证Rb(config)#username Ra password 0 star ! 以对方的主以对方的主机名作为用户名机名作为用户名,密码和对方的路由器一致密码和对方的路由器一致Rb(config)#interface serial 1/2Rb(config-if)# encapsulation ppp项目实施和步骤项目实施和步骤4验证测试。验证测试。 PAP验证验证Ra#debug ppp authentication ! 观察观察PAP验证过程验证过程【注意事项注意事项】 在在DCE端要配置时钟；端要配置时钟； Rb(config)#username Ra password 0 star username后面的后面的参数是对方的主机名；参数是对方的主机名； 在接口下封装在接口下封装ppp； debug ppp authentication 在路由器物理层在路由器物理层up，链路尚未建立，链路尚未建立的情况下打开才有信息输出，本实验的实质是链路层协商建立的的情况下打开才有信息输出，本实验的实质是链路层协商建立的安全性，该信息出现在链路协商的过程中。安全性，该信息出现在链路协商的过程中。 项目实施和步骤项目实施和步骤4验证测试。验证测试。 CHAP验证验证 Ra#debug ppp authentication ! 观察观察CHAP验证过程验证过程【注意事项注意事项】 在在DCE端要配置时钟；端要配置时钟； Ra(config)#username Rb password 0 star !username后面的后面的参数是对方的主机名；参数是对方的主机名； Rb(config)#username Ra password 0 star !username后面的后面的参数是对方的主机名；参数是对方的主机名； 在接口下封装在接口下封装ppp； debug ppp authentication 在路由器物理层在路由器物理层up，链路尚未建立，链路尚未建立的情况下打开才有信息输出，本实验的实质是链路层协商建立的的情况下打开才有信息输出，本实验的实质是链路层协商建立的安全性，该信息出现在链路协商的过程中。安全性，该信息出现在链路协商的过程中。项目拓展项目拓展v企业向电信申请了一条企业向电信申请了一条ADSL专线，为企业员工专线，为企业员工提供提供INTERNET访问服务。您作为公司的网管管访问服务。您作为公司的网管管理员，如何去配置企业路由器去实现企业要求。理员，如何去配置企业路由器去实现企业要求。谢谢大家！谢谢大家！