第29讲 广域网接入技术 ----PPP接入,PAP/CHAP认证 主讲：史宝会

本讲教学目标 常见的广域网接入技术介绍 PPP协议与PAP认证技术 PPP协议与CHAP认证技术 NAT协议

广域网技术简介 WAN可以访问本地网络之外的网络资源。 WAN服务提供商主要提供以下三种类型的服务： 呼叫建立服务或信令服务 时分多路复用（Time Division Multiplexing, TDM）服务 X.25或帧中继服务。

广域网的服务形式

WAN的典型术语

使用路由器的WAN 服务 C i s c o路由器允许访问三种形式的WAN服务： 交换（switched）服务／中继(relayed) 服务 IBM的企业数据中心内的（IBM’s Enterprise Data Center）计算机相连接的服务 通过连接对等设备（peer device）的协议获得的服务。

WAN的线缆及布线

广域网连接类型：第一层 专线 电路交换 分组交换 同步串行线路（Synchronous serial） Telephone Company 异步串行线路 Asynchronous serial, ISDN Layer 1 Service Provider Synchronous serial

典型的广域网封装协议：第二层 专线 包(分组)交换 电路交换 HDLC, PPP, SLIP X.25, Frame Relay, ATM Service Provider PPP, SLIP, HDLC Telephone Company

WAN物理层

串行线路点到点连接 Router connections DTE DCE EIA/TIA-232 EIA/TIA-449 EIA-530 V.35 X.21 CSU/ DSU End user device Service Provider DTE DCE

串行连接的路由器应用

PPP的作用与应用 PPP提供了在同步及异步电路基础上路由器到路由器及主机到网络的链接。 PPP可为多种协议提供端到端的连接。可以是IP、IPX和Apple Talk。 PPP可以运行在任何DTE/DCE接口上。。 PPP协议对于传输速率没有任何限制条件，PPP协议支持的物理接口包括EIA/TIA-232-E接口、EIA/TIA-422接口、EIA/TIA-423接口及V.35接口。

PPP的组成 1. HDLC 2. LCP(可扩展的链路控制协议) 3. NCP(网络控制协议) 建立、配置和测试数据链路的连接和终止方法 LCP配置需要经过建立链接、选择配置、决定链接质量、选择网络层协议配置、终止链接四个阶段。 3. NCP(网络控制协议) 建立和配置不同的网络层协议

PPP的多协议应用 PPP用NCP进行多种协议的封装 PPP用LCP进行链路的建立与控制

PPP各层元素

LCP选项的多种功能 特性 功能 协议 验证 明文密码验证 PAP 竞争握手 CHAP 压缩 在源端压缩数据，在目的端解压缩 Stacker or Predictor 错误探测 监视连接上丢掉的数据， 避免帧循环 Quality Magic Number 多链路 多个链路间的负载平衡 多链路协议（MP） PPP协议的主要好处之一是LCP选项的多种功能，这些功能详见下表。

PPP会话建立 1. 链路的建立和配置的协商 2.链路质量检测 3.网络层协议配置协调 4.链路终止 PPP的验证方式 PAP：单向验证 CHAP：双向验证

Central-Site Router (HQ) “santacruz, boardwalk” PPP验证协议--PAP Remote Router (SantaCruz) Central-Site Router (HQ) Hostname: santacruz Password: boardwalk username santacruz password boardwalk PAP 二次握手 “santacruz, boardwalk” Accept/Reject 密码明文传输 对方控制连接请求 双向使用相同的Username和Password

PAP验证的特点 PAP为远程节点使用二次握手法建立身份标示提供了一种简单的办法。PAP仅在最初建立链路时使用。在PPP链路建立阶段结束以后，一个用户名-密码对被远程节点重复的发给路由器，直到验证被应答或连接中止。 PAP不是一个强壮的验证协议。密码是以明文的方式发送的，对于回放和重复的试错法攻击没有防范能力。

Central-Site Router (HQ) PPP验证协议--CHAP Remote Router (SantaCruz) Central-Site Router (HQ) Hostname: santacruz Password: boardwalk username santacruz password boardwalk CHAP 3次握手 Challenge Response Accept/Reject 密文方式传递密码 有效避免再生攻击和尝试攻击

CHAP验证的特点 CHAP是一种比PAP强壮的验证方法。 CHAP用在一个链路建立的时候，并且使用三次握手周期性的验证远程节点的身份。

Router(config-if)#ppp authentication 启用PPP封装和PAP/CHAP验证 在端口模式下启动PPP 配置PPP认证 指定你自己路由器的主机名 确认被认证路由器的用户名和密码 选择PAP还是CHAP作为认证协议 Router(config-if)#encapsulation ppp Router(config)#hostname name Router(config)#username name password password Router(config-if)#ppp authentication {chap | chap pap | pap chap | pap}

CHAP实例分析 注意:用户名是对方的,密码一定要相同 区分大小写 Left router Right router PSTN/ISDN hostname left username right password sameone ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP hostname right username left password sameone ! int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP 注意:用户名是对方的,密码一定要相同 区分大小写

配置PAP实例 注意:用户名是对方的,密码一定要相同 区分大小写 Left router Right router PSTN/ISDN hostname left ! int serial 0/0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username left password cisco hostname right username left password cisco ! int serial 0/0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication pap 注意:用户名是对方的,密码一定要相同 区分大小写

作业 1．什么是PPP？PPP由哪3部分组成？ 2．PPP的两种认证方法是什么？各有什么特点？ 3．PAP采用几次握手？CHAP采用几次握手