第 29 讲广域网接入技术

----PPP 接入 ,PAP/CHAP 认证主讲：史宝会

本讲教学目标常见的广域网接入技术介绍PPP 协议与 PAP 认证技术PPP 协议与 CHAP 认证技术NAT 协议

广域网技术简介 WAN 可以访问本地网络之外的网络资源。

要访问这些网络资源，一般来说需要向 WAN 服务提供商预订服务。

WAN 服务提供商主要提供以下三种类型的服务：呼叫建立服务或信令服务时分多路复用（ Time Division Multiplexing, TD

M ）服务X.25 或帧中继服务。

广域网的服务形式

服务提供商服务提供商

WAN 的典型术语

使用路由器的 WAN 服务C i s c o 路由器允许访问三种形式的 WA

N 服务：交换（ switched ）服务／中继 (relayed) 服

务IBM 的企业数据中心内的（ IBM’s Enterpris

e Data Center ）计算机相连接的服务通过连接对等设备（ peer device ）的协议获

得的服务。

WAN 的线缆及布线

广域网连接类型：第一层

专线

电路交换

分组交换

同步串行线路（ Synchronous serial）

Telephone

Company

异步串行线路 Asynchronous serial, ISDN Layer 1

Service

Provider

Synchronous serial

典型的广域网封装协议：第二层

专线

包 ( 分组 ) 交换

电路交换

HDLC, PPP, SLIP

X.25, Frame Relay, ATM

Service

Provider

PPP, SLIP, HDLC

Telephone

Company

WAN 物理层

串行线路点到点连接Router connections

EIA/TIA-232 EIA/TIA-449 EIA-530V.35 X.21

CSU/DSU

End user device

Service Provider

DTE

DCE

串行连接的路由器应用

PPP 的作用与应用 PPP 提供了在同步及异步电路基础上路由器到

路由器及主机到网络的链接。 PPP 可为多种协议提供端到端的连接。可以是

IP 、 IPX 和 Apple Talk 。 PPP 可以运行在任何 DTE/DCE 接口上。。 PPP 协议对于传输速率没有任何限制条件， PP

P 协议支持的物理接口包括 EIA/TIA-232-E 接口、 EIA/TIA-422 接口、 EIA/TIA-423 接口及V.35 接口。

PPP 的组成1. HDLC

PPP 用 HDLC 作为点到点链路上基本的封装方法 .

2. LCP( 可扩展的链路控制协议 )建立、配置和测试数据链路的连接和终止方

法LCP 配置需要经过建立链接、选择配置、决定链接

质量、选择网络层协议配置、终止链接四个阶段。3. NCP( 网络控制协议 )

建立和配置不同的网络层协议

PPP 的多协议应用

PPP 用 NCP 进行多种协议的封装

PPP 用 LCP 进行链路的建立与控制

PPP 各层元素

LCP 选项的多种功能特性 功能 协议

验证 明文密码验证 PAP

竞争握手 CHAP

压缩 在源端压缩数据，在目的端解压缩

Stacker or Predictor

错误探测

监视连接上丢掉的数据，避免帧循环

Quality Magic Number

多链路 多个链路间的负载平衡 多链路协议（MP）

PPP协议的主要好处之一是 LCP选项的多种功能，这些功能详见下表。

PPP 会话建立

1. 链路的建立和配置的协商2. 链路质量检测 3. 网络层协议配置协调 4. 链路终止 PPP 的验证方式

PAP ：单向验证CHAP ：双向验证

PPP 验证协议 --PAP

Remote Router(SantaCruz)

Central-Site Router (HQ)

Hostname: santacruzPassword: boardwalk

username santacruzpassword boardwalk

PAP 二次握手

“santacruz, boardwalk”“santacruz, boardwalk”

Accept/RejectAccept/Reject

密码明文传输对方控制连接请求双向使用相同的 Username 和 Password

PAP 验证的特点 PAP 为远程节点使用二次握手法建立身份标示

提供了一种简单的办法。 PAP 仅在最初建立链路时使用。在 PPP 链路建立阶段结束以后，一个用户名 - 密码对被远程节点重复的发给路由器，直到验证被应答或连接中止。

PAP 不是一个强壮的验证协议。密码是以明文的方式发送的，对于回放和重复的试错法攻击没有防范能力。

PPP 验证协议 --CHAP

Remote Router(SantaCruz)

Central-Site Router (HQ)

Hostname: santacruzPassword: boardwalk

username santacruzpassword boardwalk

CHAP 3 次握手

ChallengeChallenge

ResponseResponse

Accept/RejectAccept/Reject

•密文方式传递密码•有效避免再生攻击和尝试攻击

CHAP 验证的特点CHAP 是一种比 PAP 强壮的验证方法。CHAP 用在一个链路建立的时候，并且

使用三次握手周期性的验证远程节点的身份。

CHAP 在链路初始建立时运行，并且可以在链路建立后的任何时候重复。

启用 PPP 封装和 PAP/CHAP 验证

在端口模式下启动 PPP

配置 PPP 认证

指定你自己路由器的主机名

确认被认证路由器的用户名和密码

选择 PAP 还是 CHAP 作为认证协议

Router(config-if)#encapsulation ppp

Router(config)#hostname name

Router(config)#username name password password

Router(config-if)#ppp authentication{chap | chap pap | pap chap | pap}

CHAP实例分析Left

routerRightrouter

PSTN/ISDN

hostname left username right password sameone ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP

hostname left username right password sameone ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP

hostname rightusername left password sameone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP

hostname rightusername left password sameone!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP

注意 : 用户名是对方的 , 密码一定要相同

区分大小写

配置 PAP实例

Leftrouter

Rightrouter

PSTN/ISDN

hostname left ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username left password ci

sco

hostname left ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username left password ci

sco

hostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication pap

hostname rightusername left password cisco!int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication pap

注意 : 用户名是对方的 , 密码一定要相同

区分大小写

作业

1．什么是 PPP？ PPP 由哪 3部分组成？2． PPP 的两种认证方法是什么？各有什么特点？

3． PAP采用几次握手？ CHAP采用几次握手