下载文档原格式
4.1 广域网协议封装与PPP的PAP认证【项目情境】假设你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,当客户端路由器与ISP进行链路协商时,需要验证身份,以保证链路的安全性。
也是对ISP进行正常的交费与后续合作的重要保证。
要求链路协商时以明文的方式进行传输。
【项目目的】1.掌握广域网链路的多种封装形式。
2.掌握ppp协议的封装与PAP验证配置。
3.掌握PAP配置的测试方法、观察和记录测试结果。
4.了解PAP以明文方式,通过两次握手,完成验证的过程。
【相关设备】路由器两台、V.35线缆一对。
【项目拓扑】【项目任务】1.如上图搭建网络环境,并对两个路由器关闭电源,分别扩展一个同异步高速串口模块(WIC-2T)。
两个路由器之间使用V.35的同步线缆连接,RouterA的S0/1口连接的是DCE端,RouterB的S0/1口连接的是DTE端。
配置RouterA和RouterB的S0/1口地址。
在RouterA的S0/1口上配置同步时钟为64000。
2.在两个路由器的连接专线上封装广域网协议PPP,并查看端口的显示信息,测试两个路由器之间的联连性。
(封装的广域网协议还有:HDLC、X.25、Frame-relay、ATM,双方封装的协议必须相同,否则不通)3.在两个路由器的连接专线上建立PPP协议的PAP认证,RouterA 为被验证方,RouterB为验证方(即密码验证协议,双方通过两次握手,完成验证过程),并测试两个路由器之间的联连性(明文方式进行密码验证,通过PPP的LCP层链路建立成功,两个路由器才可互通)。
先通过show running-config来查看配置。
4.在RouterB上启用debug命令验证配置,需要把S0/1进行一次shutdown再开启,观察和感受链路的建立和认证过程。
5.最后把配置以及ping的结果截图打包,以“学号姓名”为文件名,提交作业。
6.使用锐捷设备(2、3人一组)完成上面的步骤(端口见如下拓扑图)【实验命令】1.在两个路由器的连接专线上封装广域网协议PPPRouterA(config)#interface serial 0/1RouterA(config-if)#encapsulation pppRouterB(config)#interface serial 0/1RouterB(config-if)#encapsulation ppp2.查看封装端口的显示信息RouterA#show interfaces serial 0/13.在两个路由器的连接专线上建立PPP协议的PAP认证RouterA(config)#interface serial 0/1RouterA(config-if)#ppp pap sent-username RouterA password 0 123RouterB(config)#username RouterA password 0 123RouterB(config)#interface serial 0/1RouterB(config-if)#ppp authentication pap4.在RouterB上启用debug命令RouterB#debug ppp authenticationRouterB#debug ppp negotiation5.把RouterB 的S0/1进行一次shutdown再开启,观察和感受链路的建立和认证过程。
实验六 广域网协议封装与验证配置一、实验目的1.理解广域网协议的类型及工作原理。
2.掌握PPP 协议配置方法。
二、实验设备路由器两台,PC 机两台,直连线两条,V35电缆两条。
三、实验步骤1.按图6-1将实验设备连接好。
图6-12.为路由器Router1各接口封装PPP 协议及分配IP 地址。
Router1>enableRouter1#configure terminalRouter1(config)#interface fastethernet 1/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0 Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface serial 1/2Router1(config-if)#encapsulation pppRouter1(config-if)#ip address 192.168.12.1 255.255.255.0 Router1(config-if)#clock rate 64000Router1(config-if)#no shutdownRouter1(config-if)#endRouter1#show ip interface brief !显示路由器接口的配置 Router1#show interface serial 1/23.在路由器Router1上配置静态路由。
Router1# configure terminalRouter1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2 Router1(config)#exitRouter1#show ip route !显示Router1上的静态路由信息4. 为路由器Router2各接口封装PPP 协议及分配IP 地址。
实验八 路由器广域网HDLC封装的配置 一、实验目的1.进一步理解串行接口的功能2.认识串行接口常用的接线种类及其对配置的影响3.熟练掌握串行接口配置的要素4.理解串行接口链路封装协议 PPP的层次5.掌握HDLC封装配置二、应用环境1.企业环境中异地的互连通常要经过第三方的网络,比如网通、电信等等,所以与局域网的配置不同。
2.广域网通常需要付费、带宽比较有限、可靠性相比局域网要低。
三、实验设备及材料1.DCR-1750路由器1台2.DCR-1702路由器1台3.PC机一台4.Console线揽一条5.网线一根6.CR-V35MT一条7.CR-V35FC一条四、实验拓扑图五、实验内容与要求1.先用带外配置对路由器进行初始化,并配置IP地址为:192.168.10.101/24 2.PC机的IP地址为:192.168.10.102/243.在 Router-A中使用 show running-config 命令察看设备串行接口的配置标识并记录4.在 Router-B中使用 show running-config 命令察看设备串行接口的配置标识并记录5.封装 HDLC 协议①.在 Router-A中使用 show interface serial */* 察看当前接口的状态并记录其封装协议类型和 UP/down 状态。
②.在 Router-B中使用 show interface serial */* 察看当前接口的状态并记录其封装协议类型和 UP/down 状态。
③.在 Router-A串行接口的配置模式下,配置时钟频率。
在 Router-A串行接口的配置模式下,配置时钟频率。
在 Router-A串行接口的配置模式下,配置时钟频率。
④.再次查看串行接口状态,直到端口状态稳定为 UP 状态六、实验步骤第一步:路由器恢复出厂默认值图8-1 路由器默认默认值第二步:设置Router-A接口地址及封装HDLC协议并设置时钟频率图8-2 Router-A的接口地址及封装HDLC协议第三步:查看Router-A的接口配置结果图8-3 查看Router-A的接口配置 第四步:设置Router-B接口地址及封装HDLC协议图8-4 Router-B的接口地址及封装HDLC协议 第五步:查看Router-B的接口配置结果图8-5 查看Router-B的接口配置第六步:测试两台路由器串口之间的连通性图8-6 测试连通性七、注意事项和排错1.注意查看接口状态,接口和协议都必须是UP2.CR-V35FC所连接的接口为DCE,CR-V35MT所连接的接口为DTE 3.协议是DOWN,通常是封装不匹配、DCE时钟没有配置4.接口是DOWN,通常是线缆故障5.在实际工作中,DCE设备通常由服务提供商配置,本实验是模拟环境八、共同思考1.如果没有指明封装协议,默认的是什么协议?2.为什么要配置DCE的时钟频率?九、本次实验总结1设置HDLC协议封装的配置(Router-A)Router-A_config#interface serial 1/1Router-A_config_s1/1#encapsulation hdlcRouter-A_config_s1/1#physical-layer speed 640002设置PPP协议封装CHAP验证的配置(Router-B)Router-B_config#interface serial 0/2Router-B_config_s1/1#encapsulation hdlc3. 查看路由器接口状态①、查看快速以太网口Router-A #show interface fastethernet 0/0②、查看串口Router-A # show interface serial 1/14.在路由器上测试串口连通性Router-A #ping 192.168.10.1025.路由器恢复出厂默认值Router#delete 删除所有配置文件Router#reboot重新启动路由器************************************************************注:每次做完实验之后要把路由器恢复出厂默认值。
《计算机网络设备配置与调试》课程标准一、课程性质与任务《计算机网络设备配置与调试》是计算机专业的一门专业主干必修课程。
本课程的主要任务是使学生掌握计算机网络组建的基础知识、综合布线、网络设备、网络安全基础、网络规划设计与管理维护知识等。
根据教学目的和要求,其功能在于让学生能根据网络应用的需求正确完成常见网络的网络规划;能独立根据网络综合布线设计的有关规定正确完成常见网络(家庭网、办公网、企业网、园区网等)设计与组建实施;能根据网络应用的需求正确选择网络软件、硬件设备的选型;学生学完本课程后能达到国家劳动和社会保障部制订的计算机高级网络管理员的要求。
同时通过本课程的学习,培养学生的综合职业能力、创新精神和良好的职业道德。
二、课程设计思路本课程采用项目教学,使用学做相间、教学互动的教学方法,以保证学生胜任工作。
课程内容由理论教学、实践教学两大部分组成,建议课程总学时为64学时,其中理论教学16学时,实训48学时,理论和实践教学的比例约为1:2。
本课程是以中等职业学校“计算机网络”专业的学生就业为导向,在行业专家的指导下,对计算机网络管理、企业网络集成和技术支持、办公自动化等专门化方向所涵盖的岗位进行任务与职业能力分析,以实际工作任务为引领,以创新能力培养为主线,将课程知识体系整合为18个技能教学模块,在教学过程中注意体现学生设计和动手能力培养的循序渐进性。
三、课时安排64课时四、课程目标、内容、考核标准五、考核标准六、教学实施建议1.教学建议教学方法应采用项目教学,从现形企事业单位实际需求着手进行理实一体化教学,充分利用投影、多媒体、模拟软件等教学手段。
教学上以实施项目目标为考评机制,重组理论与实践教学内容,要避免进入因完全侧重技能而导致学生只会依葫芦画瓢的误区,使用学做相间、教学互动的教学方法,以保证学生胜任工作。
2.考核评价建议由于本课程是以项目式课程进行教学,每个项目都是一个单独的考核测试,应以实施项目目标为评估机制,重组理论与实践教学内容,采取考、评、鉴结合的测试手段、注重过程性考核,以达到强化学生动手能力,培养学生应用能力的目标。
广域网协议配置【实验目的】●掌握PPP协议的基本配置。
●掌握PPP协议验证的配置。
【实验仪器和设备】●交换机2台、路由器2台、标准网线2条、计算机2台RTBPCB【实验内容】在模拟的点到点链路上配置PPP协议、PAP验证和CHAP验证。
【实验原理和步骤】任务一:PPP协议基本配置步骤一:运行超级终端并初始化路由器配置将PC(或终端)的串口通过标准Console电缆与交换机的Console口连接。
电缆的RJ-45头一端连接路由器的Console口;9针RS-232接口一端连接计算机的串行口。
检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。
如果配置不符合要求,请学生在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。
步骤二:依据规划建立两台路由器之间的物理连接将两台路由器的S1/0接口通过V35电缆连接,然后在RTA上执行命令display interfaceserial5/0,根据其输出信息可以看到:Serial5/0 current state: up Line protocol current state: upLink layer protocol is: ppp在RTB上执行同样的命令并查看如上信息,通过如上输出信息可以得知,路由器串口默认的链路层封装协议是ppp。
步骤三:配置路由器广域网接口IP地址在RTA上配置广域网接口S5/0的IP地址。
请补充完整的配置命令:[RTA]interface Serial 5/0[RTA-Serial5/0] ip address 10.1.1.1 30 在RTB上也完成广域网接口IP地址配置。
在RTA的S5/0接口模式下,执行命令display this,可以看到:interface Serial5/0link-protocol pppip address 10.1.1.1 32 ,根据此信息检查并核实配置的正确性。
项目九广域网协议封装与验证编写:daiwell学习目标1. 了解广域网协议PPP的封装的基本知识;2. 懂得PPP PAP和CHAP的工作过程;3. 掌握PPP PAP验证的配置方法;3. 掌握PPP CHAP验证的配置方法。
任务15 广域网协议PPP的封装与安全验证9.1工作任务现公司总公司与分公司联网需要经过两个路由器,路由器之间采用V.35串口连接,为了提高安全性,两个路由器链路协商时需要验证身份。
要求你在广域网协议PPP封装的基础上,分别实现PAP验证和CHAP验证。
9.2相关知识点对点协议(Point to Point Protocol,简称PPP),为在点对点连接上传输多协议数据包提供了一个标准方法,属于数据链路层协议。
PPP 最初设计是为两个对等节点之间的IP流量传输提供一种简单封装协议,在TCP/IP 协议中,它是一种用来同步调制连接的数据链路层协议,替代了原来非标准的数据链路层协议SLIP(Serial Line Internet Protocol,串行线路网际协议),并成为正式的Internet标准。
PPP 协议是在SLIP基础上开发的,解决了动态IP和差错检验问题。
除了TCP/IP协议外,PPP 还可以携带其它协议,包括DECnet 和Novell 的Internet 网包交换(IPX)。
9.2.1 广域网协议封装与局域网协议封装让我们先比较广域网协议与局域网协议链路层封装的区别。
针对数据网络协议的原理上来讲,两者之间的区别很小,但是由于应用的场所和物理链路的不同,造成二者的协议设计理念不同。
局域网覆盖范围小,网络链路状态良好,设计时主要是为了保证网络的数据传输的基本功能,由于带宽高,所以封装的字节一般都比较大(例如:以太网数据链路层封装有18个字节,净载荷最大1500字节,物理层封装有20个字节)广域网传输距离远,物理链路状态差,为保证数据正确地传达到对方,减少链路的损耗,协议的封装基本上开销很少,PPP协议数据链路层封装只有8个字节净载荷最大1500字节,物理层封装只有2个字节)。
由于广域网物理链路干扰较多,距离远,所以越早开发的广域网协议越复杂,包含的数据封装的类型越多,例如X.25协议,物理链路多位电缆等。
9.2.2 PPP协议的特点PPP协议包含数据链路控制协议(LCP)和网络控制协议(NCP)。
LCP协议提供了通信双方进行参数协商的手段。
NCP协议使PPP可以支持IP、IPX等多种网络层协议及IP地址的自动分配。
PPP具有以下特点。
1.能够控制数据链路的建立;2.能够对IP地址进行分配和使用;3.允许同时采用多种网络层协议;4.能够配置和测试数据链路;5.能够进行错误检测;6.支持身份验证,PPP协议支持两种验证方式:PAP和CHAP。
7.有协商选项,能够对网络层的地址和数据压缩等进行协商。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份验证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用,因此应用十分广泛。
9.2.3 串口通信接口PPP协议是建立在广域网串口通信协议之上的,串口通信协议规定了数据终端设备(DTE)和数据通信设备(DCE)之间的串行二进制数据交换的接口。
由于PPP协议是通过串口通信接口互连的,因此有必要对EIA接口标准进行介绍,如图9.1所示。
图9.1 常见串口通信接口RS-232协议主要用于近距离内计算机和终端之间的通信。
最常用的是RS232C协议,是以非平衡式传输的标准。
接口采用DB25连接器。
规定逻辑0的电平是在-315V,逻辑1的电平是+315V。
最大传输速率为115k bit/s,此时最远传输距离为10米。
RS-449协议主要是为克服RS-232接口标准的通讯距离短和传输速率慢而建立的,它是一种以平衡方式传输的标准,不仅提高了传输速率,而且也解决了地电位差不同而引起的问题。
RS-449规定信号电平为-6V-+6V。
采用DB37作为接口连接器。
传输距离为10米时最大传输速率可达10M bit/s。
RS-449采用两个伴随标准:RS-422A和RS-423A。
EIA-530协议采用了平衡方式传输,与RS-449相似的是它能支持设备的高速率数据传输。
但其插头却是与RS-232一样使用DB25连接器。
由于这种协议的设备不多,本文不多介绍。
V.35协议主要用于路由器,接口线采用平衡绞合多线对电缆,每对平衡线两个端子之间正常工作电压为0.55V。
其接口采用DB34连接器,最大传输速率为2M bit/s。
V.35串口通信接口是最常见的串口通信接口,本任务中采用此接口。
9.2.4 PPP协商工作过程确保路由器双方串行线缆已连接,PPP协议已配置完成,其中DCE接口必须配置Clock rate,并且通讯接口已激活。
DCE DTES3/0S3/0验证方被验证方图9.2 PPP协议工作过程1.被验证方与验证方协商通信时钟频率,协商一致后,即可建立一条物理连接。
线路进入建立状态。
2.被验证方向验证方发送一系列的数据链路控制协议(LCP)分组,封装成多个PPP帧,协商PPP参数。
协商结束后进入鉴别状态。
3.若已配置PAP或CHAP验证,则双方鉴别身份成功后,否则不需要进行验证就可以进入网络状态。
4.网络控制协议(NCP)将数据封装成符合上层协议兼容的数据帧格式,进入数据通信状态。
5.数据传输结束后,NCP释放与网络层的连接,LCP释放数据链路层连接,转到终止状态,最后释放物理层连接。
9.2.5 PAP验证和CHAP验证如果PPP协议双方协商达成一致,也可以不使用任何身份验证方法。
为了提高网络通信的安全性,PPP提供了两种可选的身份验证方法:口令验证协议(Password Authentication Protocol,简称PAP)和质询握手协议(Challenge Handshake Authentication Protocol,简称CHAP)。
1.PAP验证PAP验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手,因此,PAP验证不提供任何防护放音和线路探测。
PAP通过两握手机制,为建立远程节点的验证提供了一个简单的方法。
PAP验证可以在一方进行,即由一方验证另一方身份,也可以进行双向身份验证。
这时,要求被验证的双方都要通过对方的验证程序。
否则,无法建立二者之间的链路。
我们以单方验证为例分析PAP配置过程及诊断方法。
当双方都封装了PPP协议且要求进行PAP身份验证,同时它们之间的链路在物理层已激活后。
当被验证方发送了用户名或口令后,验证方会将收到的用户名和口令与本地口令数据库中的口令信息对比,如果正确则身份验证成功,通信双方的链路最终成功建立。
被验证方验证方Sent-username=top Password=sxvtcUsername=topPassword=sxvtc 图9.3 PAP验证工作过程如果被验证方发送了错误的用户名或口令,验证方将继续不断地发送身份验证要求直到收到正确的用户名和口令为止。
PAP的弱点是用户的用户名和密码是明文发送的,很有可能被抓包软件捕获而导致安全问题。
验证只在链路建立初期进行,节省了宝贵的链路带宽。
如果验证成功,在通信过程中不再进行验证。
PAP不是一种健壮的身份验证协议,身份验证时在链路上以明文发送,而且由于验证重试的频率和次数由远程节点来控制,因此不能防止回放攻击和重复的尝试攻击。
2.CHAP验证CHAP验证证比PAP验证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列。
同时,身份验证可以随时进行,包括在双方正常通信过程中。
因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
与PAP 相同,CHAP验证可以在一方进行,即由一方验证另一方身份,也可以进行双向身份验证。
这时,要求被验证的双方都要通过对方的验证程序,否则,无法建立二者之间的链路。
这里我们以单方验证为例介绍CHAP验证的工作过程。
被验证方验证方图9.4 CHAP验证工作过程a. 当验证双方都封装了PPP协议且要求进行CHAP身份验证,同时它们之间的物理层链路已激活,验证方会不停地发送身份验证要求直到身份验证成功。
与PAP不同的是,这时验证方发送的是“挑战”报文。
该报文包含了挑战报文类型标识符、挑战报文序列号、用户名,同时验证方也保存了这些信息。
b. 被验证方收到“挑战”报文后,将收到的挑战报文类型标识符、挑战报文序列号、用户名、口令(口令可以用刚收到的“挑战”报文中的用户名找出对应的口令),用MD5计算出哈希值做应答。
c. 验证方收到应答报文后,根据保存的信息,用同样的方法,将挑战报文类型标识符、挑战报文序列号、用户名、口令(验证双方的口令是相同的)用MD5计算出哈希值,并与刚收到的应答报文中哈希值比较,如果值相等,则表示验证成功。
否则,连接终止,经过一段随机间隔时间,再发送一个新的“挑战”报文给被验证方。
9.2.6 PPP的封装与验证配置命令的格式1.配置PPP封装在端口模式下启动PPP封装协议,验证双方都要配置此协议。
Router(config-if)#encapsulation ppp2. 配置PAP验证验证方建立本地口令数据库,name为用户名,0|7标注加密类型,0表示不加密,7表示简单加密,password表示口令。
Router(config-if)#username name password [0|7] password验证双方在接口上启用PAP验证Router(config-if)#ppp authentication pap配置被验证方将用户名和口令发送给验证方,要求与验证方的用户名和口令一致。
Router(config-if)#ppp pap sent-username username password [0|7] password3. 配置CHAP验证验证双方必须指定路由器的主机名Router(config)#hostname name验证双方必须建立本地口令数据库,name填写验证对方的主机名,而不是自己的主机名,验证双方的口令必须相同。
Router(config-if)#username name password [0|7] password验证双方在接口上启用CHAP验证Router(config-if)#ppp authentication chap4.测试命令Router#show interface serial !检查二层协议封装,显示LCP和NCP状态Router#debug ppp packets !观察PPP通信过程中的报文信息Router#debug ppp negotiation !查看PPP通信过程中协商信息Router#degub ppp authentication ! 查看PPP通信过程中验证信息9.3 任务实施任务目标1、掌握广域网PPP协议封装的配置方法;2、掌握PAP验证的配置方法;3、掌握CHAP验证的配置方法;网络拓扑RG-RSR20系列路由器(两台)、V.35线缆(1条)DCE DTES3/0S3/0Ra Rb图9.5广域网协议PPP的封装与安全验证配置拓扑图将Router1和Router1主机名改为Ra和Rb;Ra的S3/0的IP地址为192.168.1.1/24;Rb的S3/0的IP地址为192.168.1.2/24;在PAP验证的配置时,用户名和口令分别为top和sxvtc;在PAP验证的配置时,用户名按命令要求,口令为sxvtc。
