环境:Windows XP 、Packet Tracert5.3
目的:认识HDLC,掌握如何配置PPP和认证
说明:
HDLC 是点到点串行线路上(同步电路)的帧封装格式,其帧格式和以太网帧格式有很大的差别,HDLC 帧没有源MAC 地址和目的 MAC 地址。 Cisco 公司对 HDLC 进行了专有化,Cisco的 HDLC 封装和标准的 HDLC 不兼容。如果链路的两端都是 Cisco 设备,使用 HDLC 封装没有问题,但如果 Cisco 设备与非 Cisco 设备进行连接,应使用 PPP 协议。HDLC 不能提供验证,缺少了对链路的安全保护。默认时,Cisco 路由器的串口是采用 Cisco HDLC 封装的。如果串口的封装不是 HDLC,要把封装改为 HDLC 使用命令“encapsulation hdlc”,默认时设备采用HDLC封装。
PPP(点到点协议)支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能,同时,不论是异步拨号线路还是路由器之间的同步链路均可使用,因此应用十分广泛。PPP支持两种身份认证CHAP(质询握手协) 和PAP(口令验证协议)。CHAP认证比PAP认证更安全。因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
PAP和 CHAP认证可以在一方进行,即由一方认证另一方身份,也可以进行双向身份认证。如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。CHAP认证过程中,口令是大小写敏感的。CHAP建立本地口令数据库时应注意username应该是对端路由器的名称,而口令应该和CHAP认证服务器口令数据库中的口令相同。
步骤:
用Packet Tracert创建拓扑如下:
说明:
(1) R1与R2进行双向pap双向认证
(2) R2与R3进行chap单向认证
(3) R2与R4进行pap与chap两种认证。
配置R1:
Router>en
Router#conf t
Router(config)#host R1
R1(config)#int s0/0
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp pap sent-username R1 password kkfloat
R1(config-if)#no sh
配置R2:
Router>en
Router#conf t
Router(config)#host R2
R2(config)#username R1 password kkfloat
R2(config)#username R3 password kkfloat
R2(config)#int s0/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config)#exit
R2(config)#int s0/1
R2(config-if)#ip add 192.168.23.1 255.255.255.0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#no sh
配置R3:
Router>en
Router#conf t
Router(config)#host R3
R3(config)#username R2 password kkfloat
R3(config)#username R4 password kkfloat
R3(config)#int s0/0
R3(config-if)#ip add 192.168.23.2 255.255.255.0
R3(config-if)#clock rate 64000
R3(config-if)#encapsulation ppp
R3(config-if)#ppp authentication chap
R3(config-if)#no sh
R3(config)#int s0/1
R3(config-if)#ip add 192.168.34.1 255.255.255.0
R3(config-if)#clock rate 64000
R3(config-if)#encapsulation ppp
R3(config-if)#ppp authentication pap chap
R3(config-if)#no sh
配置R4:
Router>en
Router#conf t
R4(config)#username R3 password kkfloat
R4(config)#int s0/0
R4(config-if)#ip add 192.168.34.2 255.255.255.0
R4(config-if)#encapsulation ppp
R4(config-if)#ppp authentication pap chap
R4(config-if)#no sh
1、在R2上输入debug ppp authentication然后关闭R1上的s0/0端口再开启,观察情况:
2、在R3上输入debug ppp authentication ,然后关闭R2上的s0/1端口再开启,观察情况:
3、在R4上输入debug ppp authentication ,然后关闭R3上的s0/1端口再开启,观察情况:
实验完成.