《數(shù)據(jù)網(wǎng)組建與維護(hù)》課件-6.1任務(wù)1 分公司互聯(lián)中的PPP認(rèn)證

廣域網(wǎng)概述數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：戰(zhàn)美玲CONTENTS目錄1廣域網(wǎng)技術(shù)概述2PPP協(xié)議原理廣域網(wǎng)技術(shù)概述廣域網(wǎng)（WideAreaNetwork）簡(jiǎn)稱WAN，是指跨越很大地域范圍的數(shù)據(jù)通信網(wǎng)絡(luò)。廣域網(wǎng)是連接不同地區(qū)局域網(wǎng)的網(wǎng)絡(luò)，通常所覆蓋的范圍從幾十公里到幾千公里。廣域網(wǎng)技術(shù)概述初期廣域網(wǎng)常用的物理層標(biāo)準(zhǔn)和數(shù)據(jù)鏈路層標(biāo)準(zhǔn)。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層PPP HDLC FrameRelay ATMRS-232 V.24 V.35 G.703IEEE802.3/4/5/11IP ICMP ARPTCP UDPHTTP FTPTelnet DNS SNMP廣域網(wǎng)技術(shù)概述廣域網(wǎng)絡(luò)設(shè)備基本角色有三種：CE（CustomerEdge，用戶邊緣設(shè)備）、PE（ProviderEdge，服務(wù)提供商邊緣設(shè)備）和P（Provider，服務(wù)提供商設(shè)備）。CECEPEPEPEPE分公司1分公司2PCECE總部分公司3服務(wù)提供商廣域網(wǎng)技術(shù)概述廣域網(wǎng)絡(luò)設(shè)備基本角色有三種：CE（CustomerEdge，用戶邊緣設(shè)備）、PE（ProviderEdge，服務(wù)提供商邊緣設(shè)備）和P（Provider，服務(wù)提供商設(shè)備）。CECEPEPEPEPE分公司1分公司2PCECE總部分公司3服務(wù)提供商PPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRATMPPP協(xié)議原理PPP是Point-to-PointProtocol的簡(jiǎn)稱，也叫做P2P，目前是TCP/IP網(wǎng)絡(luò)中最重要的點(diǎn)到點(diǎn)數(shù)據(jù)鏈路層協(xié)議，典型應(yīng)用如下圖：ISP已從因特網(wǎng)管理機(jī)構(gòu)申請(qǐng)到一批IP地址PPP協(xié)議PPP協(xié)議PPP協(xié)議因特網(wǎng)因特網(wǎng)用戶...PPPoEPPPoEPPPoEPPP協(xié)議原理從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度看點(diǎn)對(duì)點(diǎn)協(xié)議PPP的組成：物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層一個(gè)鏈路控制協(xié)議LCP一個(gè)網(wǎng)絡(luò)層PDU封裝到串行鏈路的方法一套網(wǎng)絡(luò)控制協(xié)議NCP面向字節(jié)的異步鏈路面向比特的同步鏈路Apple公司的AppleTalkNovellNetWare網(wǎng)絡(luò)操作系統(tǒng)中的IPXTCP/IP中的IPPPPPPP協(xié)議原理PPP的幀格式：1B≤最大傳送單元MTU=1500B長度1B1B2B2B1B幀尾部幀首部幀的數(shù)據(jù)載荷標(biāo)志F地址A控制C協(xié)議P幀檢驗(yàn)序列FCS標(biāo)志F封裝上層的協(xié)議數(shù)據(jù)單元PDU標(biāo)志（Flag）字段：PPP幀的定界符，取值為0x7E。地址（Address）字段：取值為0xFF，預(yù)留（目前沒有什么作用）。控制（Control）字段：取值為0x03，預(yù)留（目前沒有什么作用）。協(xié)議（Protocol）字段：其值用來指明幀的數(shù)據(jù)載荷應(yīng)向上交付給哪個(gè)協(xié)議處理。7EFF03C223FCS7ECHAP報(bào)文7EFF03C021FCS7ELCP分組7EFF038021FCS7ENCP分組幀檢驗(yàn)序列（FrameCheckSequence，F(xiàn)CS）字段：其值是使用循環(huán)冗余校驗(yàn)CRC計(jì)算出的檢錯(cuò)碼。PPP協(xié)議原理PPP的工作狀態(tài)：Dead（鏈路不可行）階段、Establish(鏈路建立)階段、Authenticate（驗(yàn)證）階段、Network（網(wǎng)絡(luò)層協(xié)議）階段、Terminate（鏈路終止）階段。成功？DeadEstablishAuthenticateNetworkTerminate需要認(rèn)證？通過認(rèn)證？Yes（opened）NoYesNoSuccessFailDownClosing鏈路層協(xié)商認(rèn)證協(xié)商網(wǎng)絡(luò)層協(xié)商123內(nèi)容小結(jié)廣域網(wǎng)技術(shù)概述01PPP協(xié)議原理及應(yīng)用02PPP認(rèn)證數(shù)據(jù)網(wǎng)組建與維護(hù)CONTENTS目錄1PAP認(rèn)證原理2CHAP認(rèn)證原理3PAP認(rèn)證配置命令4CHAP認(rèn)證配置命令PPP認(rèn)證模式-PAP鏈路協(xié)商成功后，進(jìn)行認(rèn)證協(xié)商（此過程可選）。認(rèn)證協(xié)商有兩種模式，PAP和CHAP。PAP認(rèn)證雙方有兩次握手。協(xié)商報(bào)文以明文的形式在鏈路上傳輸。認(rèn)證方

被認(rèn)證方R1R2PPP/30/30S1/0/0S1/0/0數(shù)據(jù)庫用戶名密碼hciaHuawei123LCP鏈路協(xié)商成功底層鏈路建立，確定認(rèn)證方式為PAPS1/0/0接口上配置用于認(rèn)證的用戶名和密碼Authenticate-Request用戶名=hcia;密碼=Huawei123PPP幀Protocol=PAPAuthenticate-AckPPP幀Protocol=PAP122.數(shù)據(jù)庫匹配成功。1.被認(rèn)證方發(fā)起認(rèn)證。PPP認(rèn)證模式-CHAPCHAP認(rèn)證雙方有三次握手。協(xié)商報(bào)文被加密后再在鏈路上傳輸。它只在網(wǎng)絡(luò)上傳用戶名而不傳口令，因此安全性比PAP高。認(rèn)證方

被認(rèn)證方R1R2PPP/30/30S1/0/0S1/0/0數(shù)據(jù)庫用戶名密碼hciaHuawei123S1/0/0接口上配置用于認(rèn)證的用戶名和密碼LCP鏈路協(xié)商成功底層鏈路建立，確定認(rèn)證方式為CHAPCode=1（Challenge）ID=1；Name=“”；RandomPPP幀Protocol=CHAPCode=2（Response）ID=1；Name=“hcia”；MD5結(jié)果PPP幀Protocol=CHAPCode=3（Success）ID=1；Message=“Welcome”PPP幀Protocol=CHAPID=1HASHMD5結(jié)果RandomHuawei123接口配置密碼1231.認(rèn)證方發(fā)起挑戰(zhàn)，攜帶隨機(jī)數(shù)。2.被認(rèn)證方本地計(jì)算并回復(fù)MD5。3.認(rèn)證方本地計(jì)算，并驗(yàn)證。PAP認(rèn)證配置命令配置驗(yàn)證方以PAP方式認(rèn)證對(duì)端[Huawei-Serial0/0/0]pppauthentication-modepap配置驗(yàn)證方以PAP方式認(rèn)證對(duì)端，首先需要通過AAA將被驗(yàn)證方的用戶名和密碼加入本地用戶列表，然后選擇認(rèn)證模式。配置被驗(yàn)證方以PAP方式被對(duì)端認(rèn)證[Huawei-Serial0/0/0]ppp

pap

local-user

user-name

password{cipher|simple

}password配置本地被對(duì)端以PAP方式驗(yàn)證時(shí)，本地發(fā)送PAP用戶名和口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

pppCHAP認(rèn)證配置命令配置驗(yàn)證方以CHAP方式認(rèn)證對(duì)端[Huawei-Serial0/0/0]pppauthentication-mode

chap

2.配置被驗(yàn)證方以CHAP方式被對(duì)端認(rèn)證[Huawei-Serial0/0/0]pppchapuseruser-name配置本地用戶名，配置本地被對(duì)端以CHAP方式驗(yàn)證時(shí)的口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

ppp[Huawei-Serial0/0/0]pppchappassword{cipher|simple}password內(nèi)容小結(jié)PAP認(rèn)證原理01CHAP認(rèn)證原理02PAP認(rèn)證配置命令03CHAP認(rèn)證配置命令04基于PAP認(rèn)證的公司與分部安全互聯(lián)數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：戰(zhàn)美玲CONTENTS目錄1項(xiàng)目背景2項(xiàng)目規(guī)劃3項(xiàng)目實(shí)施4項(xiàng)目驗(yàn)證項(xiàng)目背景某公司因業(yè)務(wù)發(fā)展，建立了分公司，租用了專門的線路用于總部與分公司的連聯(lián)。為保障通信線路的數(shù)據(jù)安全，需在路由器上配置安全認(rèn)證。項(xiàng)目拓?fù)淙鐖D所示，具體要求如下：公司總部路由器R1使用S1/0/0接口與分公司路由器R2互聯(lián)；

R1的S1/0/0接口上使用PPP協(xié)議并啟用PAP認(rèn)證，用于分公司的安全接入；

全網(wǎng)通過OSPF協(xié)議互聯(lián)。公司總部路由器分公司路由器S1/0/0S1/0/0項(xiàng)目規(guī)劃串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過PAP認(rèn)證使鏈路的建立更安全。公司總部路由器R1作為認(rèn)證方，用戶名為network，密碼為123456公司路由器R2為被認(rèn)證方。公司總部路由器分公司路由器S1/0/0S1/0/0項(xiàng)目實(shí)施項(xiàng)目配置步驟如下：（1）配置各計(jì)算機(jī)的IP地址（2）配置路由器接口（3）搭建OSPF網(wǎng)絡(luò)（4）配置PPP的PAP認(rèn)證（5）對(duì)端配置PAP驗(yàn)證項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證方法如下：（1）查看鏈路狀態(tài)R2使用displayipinterfacebrief命令查看的鏈路層協(xié)議狀態(tài)（2）測(cè)試各計(jì)算機(jī)的互通性

使用PC1計(jì)算機(jī)PingPC2計(jì)算機(jī)內(nèi)容小結(jié)為保障總部與分公司之間的鏈路建立更安全，在路由器上配置PAP認(rèn)證，實(shí)現(xiàn)了總部與分公司通信線路的數(shù)據(jù)安全。公司總部路由器分公司路由器S1/0/0S1/0/0基于CHAP認(rèn)證的公司與分部安全互聯(lián)數(shù)據(jù)網(wǎng)組建與維護(hù)主講教師：戰(zhàn)美玲CONTENTS目錄1項(xiàng)目背景2項(xiàng)目規(guī)劃3項(xiàng)目實(shí)施4項(xiàng)目驗(yàn)證項(xiàng)目背景某公司因業(yè)務(wù)發(fā)展，建立了分公司，租用了專門的線路用于總部與分公司的連聯(lián)。為保障通信線路的數(shù)據(jù)安全，需在路由器上配置安全認(rèn)證。項(xiàng)目拓?fù)淙鐖D所示，具體要求如下：公司總部路由器R1使用S1/0/0接口與分公司路由器R2互聯(lián)；

R1的S1/0/0接口上使用PPP協(xié)議并啟用CHAP認(rèn)證，用于分公司的安全接入；

全網(wǎng)通過OSPF協(xié)議互聯(lián)。公司總部路由器分公司路由器S1/0/0S1/0/0項(xiàng)目規(guī)劃串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過CHAP認(rèn)證使鏈路的建立更安全。公司總部路由器R1作為認(rèn)證方，用戶名為network，密碼為123456公司路由器R2為被認(rèn)證方。公司總部路由器分公司路由器S1/0/0S1/0/0項(xiàng)目實(shí)施項(xiàng)目配置步驟如下：（1）配置各計(jì)算機(jī)的IP地址（2）配置路由器接口（3）搭建OSPF網(wǎng)絡(luò)（4）R1配置PPP的CHAP認(rèn)證（5）對(duì)端R2配置CHAP驗(yàn)證項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證方法如下：（1）查看鏈路狀態(tài)R2使用displayipi