路由器广域网PPP封装CHAP验证配置

4.1 广域网协议封装与PPP的PAP认证【项目情境】假设你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，以保证链路的安全性。

也是对ISP进行正常的交费与后续合作的重要保证。

要求链路协商时以明文的方式进行传输。

【项目目的】1.掌握广域网链路的多种封装形式。

2.掌握ppp协议的封装与PAP验证配置。

3.掌握PAP配置的测试方法、观察和记录测试结果。

4.了解PAP以明文方式，通过两次握手，完成验证的过程。

【相关设备】路由器两台、V.35线缆一对。

【项目拓扑】【项目任务】1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。

两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。

配置RouterA和RouterB的S0/1口地址。

在RouterA的S0/1口上配置同步时钟为64000。

2.在两个路由器的连接专线上封装广域网协议PPP，并查看端口的显示信息，测试两个路由器之间的联连性。

(封装的广域网协议还有：HDLC、X.25、Frame-relay、ATM，双方封装的协议必须相同，否则不通)3.在两个路由器的连接专线上建立PPP协议的PAP认证，RouterA 为被验证方，RouterB为验证方(即密码验证协议，双方通过两次握手，完成验证过程)，并测试两个路由器之间的联连性(明文方式进行密码验证，通过PPP的LCP层链路建立成功，两个路由器才可互通)。

先通过show running-config来查看配置。

4.在RouterB上启用debug命令验证配置，需要把S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。

6.使用锐捷设备（2、3人一组）完成上面的步骤（端口见如下拓扑图）【实验命令】1.在两个路由器的连接专线上封装广域网协议PPPRouterA(config)#interface serial 0/1RouterA(config-if)#encapsulation pppRouterB(config)#interface serial 0/1RouterB(config-if)#encapsulation ppp2.查看封装端口的显示信息RouterA#show interfaces serial 0/13.在两个路由器的连接专线上建立PPP协议的PAP认证RouterA(config)#interface serial 0/1RouterA(config-if)#ppp pap sent-username RouterA password 0 123RouterB(config)#username RouterA password 0 123RouterB(config)#interface serial 0/1RouterB(config-if)#ppp authentication pap4.在RouterB上启用debug命令RouterB#debug ppp authenticationRouterB#debug ppp negotiation5.把RouterB 的S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

PPP协议的PAP和CHAP认证实验人：实验名称：PPP协议的PAP和CHAP认证实验目的：掌握PPP协议的PAP和CHAP认证的配置方法实验原理：PAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向）CHAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证）自动协商IP地址：在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！头部压缩：在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程：PAP单向认证：⑴用小凡搭建如图实验环境，如图示：⑵在R1的S0/0上，配置IP，如图示：⑶在R2的S0/0上，配置IP，如图示：⑷此时，即可ping通192.168.1.2 如图示：⑸在R1上，配置PPP协议，如图示：⑹在R2上，配置PPP协议，如图示：⑺此时，又可ping通192.168.1.2 如图示：⑻在R1上，配置PAP认证，如图示：⑼在R2上，配置发送PAP认证信息，如图示：⑽此时，又可以ping通192.168.1.2 如图示：PAP双向认证：⒈在R1上，配置PAP认证，如图示：⒉在R2上，配置发送PAP认证信息，如图示：⒊配置完后，即可ping通192.168.1.2，即单向认证，如图示：⒋在R2上，配置PAP认证，如图示：⒌此时，不能ping 通192.168.1.2 如图示：⒍在R1上，配置发送PAP认证信息，此时，可以又ping通192.168.1.2 如图示：CHAP单向认证：Ⅰ在R1上，配置CHAP认证，如图示：Ⅱ在R2上，配置发送CHAP认证信息，如图示：Ⅲ此时，即可ping通192.168.1.2 ，即CHAP 的单向认证成功！如图示：CHAP双向认证：①在R1上，配置CHAP认证，如图示：②在R2上，配置发送CHAP认证信息，如图示：③在R2上，配置CHAP认证，如图示：④此时，不能ping通192.168.1.2 原因为没有在R1上，配置发送CHAP认证信息，如图示：⑤在R1上，配置发送CHAP认证信息，此时，可以ping通192.168.1.2 ，即配置CHAP双向认证成功！如图示：自动协商IP地址：㈠在原有的实验环境下，去掉R2上的S0/0端口的IP地址，如图示：㈡在R1上的S0/0端口下，配置分配的IP地址为192.168.1.100 如图示：㈢在R2上的S0/0 端口上，配置自动协商IP地址，如图示：㈣此时，在R2上，分配到192.168.1.100的IP地址，即实验成功，如图示：头部压缩：①在R1上，开启头部压缩功能，如图示：②在R2上，开启头部压缩功能，如图示：③此时，ping 192.168.1.100 ，使其有数据通过，用命令即可查看到压缩的情况，（命令show compress）如图示：总结：在实验中，CHAP认证的步骤：处理CHAP挑战数据包（1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器）；当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题；PAP 不支持密码的加密，压缩，link绑定，设定最大传输单元等，CHAP 支持以上内容；PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码；在CHAP中，被验证方不明确定义发送主机名来验证时，默认发送该路由器的主机名；配置PAP双向认证时，用户名和密码都可以不一样，但配置CHAP双向认证时，要保证两台路由器的密码一致；。

H3CMSR系列路由器PPPPAP验证ACL功能配置PPPoE (Point-to-Point Protocol over Ethernet) Access Concentrator (AC)功能被广泛应用于许多网络环境，特别是在家庭和小型办公室中。

H3CMSR系列路由器为用户提供了一个强大的ACL (Access Control List)功能，它可以用于过滤和控制经过PPPoE AC的用户流量。

本篇文章将详细介绍如何配置H3CMSR系列路由器的PPPoE AC ACL功能。

ACL是一种用于过滤网络流量的机制，通过它可以实现对终端用户的访问控制。

ACL可以基于不同的条件进行配置，例如源IP地址、目标IP地址、协议类型、端口号等。

在PPPoEAC中，ACL可以用于限制特定用户的访问或阻止恶意用户对网络资源的不当使用。

首先，我们需要登录H3CMSR系列路由器的管理界面。

在浏览器中输入路由器的IP地址，然后输入正确的用户名和密码进行登录。

一旦登录成功，我们需要进入路由器的配置界面并选择“ACL”选项。

在ACL页面上，我们可以看到当前已经配置的ACL规则列表。

要配置新的ACL规则，我们可以点击“添加”按钮。

然后，我们需要提供规则的名称、描述和优先级。

接下来，我们需要配置匹配条件。

在PPPoEACACL中，可以通过源和目标IP地址、协议类型和端口号等条件进行匹配。

例如，我们可以使用源IP地址和目标IP地址来匹配特定用户的流量，或者使用协议类型和端口号来限制特定应用程序的访问。

选择匹配条件后，我们需要选择动作。

ACL可以采取允许或拒绝的动作来处理匹配的流量。

如果选择“允许”动作，则匹配的流量将被允许通过。

如果选择“拒绝”动作，则匹配的流量将被阻止。

设置完成后，点击“应用”按钮保存配置。

此时，我们所配置的ACL 规则将会生效。

另外，H3CMSR系列路由器还提供了高级ACL功能，可以更加精确地控制用户的访问。

附件2：《网络设备配置与管理》课程标准XXXX职业技术学院二〇一五年10月《网络设备配置与管理》课程标准一、课程基本信息课程名称：网络设备配置与管理课程类别：专业核心课程学时学分：108学时，6.5学分适用专业：适用三学制高职计算机网络技术专业二、课程概述《网络设备的配置与管理》是计算机网络技术专业的专业核心课程，让学生能够掌握网络基础知识和常用的网络通信协议，会配置常见的路由器和以太网交换机，并且掌握如何利用这些技术去构建、维护中、小企业网络。

三、本课程与其他课程关系来源于专业教学标准，具有针对性四、工作任务和课程目标（一）工作任务及职业能力表1 工作任务与职业能力分析表（二）课程目标五、整体教学设计用列表形式，明确本课程设计了８个学习项目，每个项目又分解成若干个工作任务。

该课程整体教学设计如表3所示。

表3 《网络设备的配置与管理》整体教学设计六、教学内容与要求用列表形式以每个学习项目为单元独立进行描述。

各项目单元描述分别见表4、表5……（以课程具体的项目数为准）。

表4 项目1教学内容与要求表6 项目3教学内容与要求表8 项目5教学内容与要求七、考核与评价考核方式突出能力本位。

侧重于学习态度、作业完成情况、综合应用所学课程知识的能力，注重学生综合职业素质的培养。

表X 整体考核权重分布情况（注：各课程可根据实际情况增加或考核项目）表Y 各项目考核权重分布情况八、教学实施条件1.教学团队教学团队是由校企双方组成的师资团队，熟悉行业动态，能胜任相关企业工作，也能胜任院校实践教学要求，教师团队即能参与多媒体项目制作，又能教书育人；其中校内专任教师均持有毕业证、职业资格证、继续教育和教师资格证书，兼职教师持有毕业证、职业资格证书或企业认证证书。

教学团队作用：（1）为了更好的了解行业需求和发展，每学期均聘请企业专家或技术人员到学校进行专业讲座；（2）根据课程的专业层次，职业素质课程与专业基础课程以专任教师为主，专业课程、综合实训、顶岗实习和毕业设计以企业教师优先；（3）根据课程内容属性，知识教学为主的课程以专任教师优先，新设课程以学校专任教师为主，集中实践以企业兼职教师优先；（4）经常组织专业教师参加更多的培训，提高自身的专业能力和职业素质2.实训条件（1）本课程现主要使用信息楼306网络安全实训室及3－204 H3C网络实训室。

ppp的chap认证完全配置CHAP认证命令：cisco(config)#interface s0/0cisco(config-if)#encapsulation pppcisco(config-if)#ppp authentication chap(该命令只用于认证的服务器端，如做双向认证，则双方都要配置该命令) ==============================================================================================CHAP单向认证：（R1为服务器端，R2为客户端）R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2配置：R2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs=============================================================================================CHAP双向认证：(这里双方的用户名和密码不一样，以示区别双向认证。

也可以设置一样的用户名和密码)R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname jlzzR1(config-if)#ppp chap password adminjlzzR2配置：R2(config)#username jlzz password adminjlzzR2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs说明：在CHAP认证中，也可以在双方设置认证的用户名为对方设备的hostname，并设置相同的密码。

实训名称：PPP之PAP认证的配置一、实训原理1、点对点协议(PPP)二、实训目的1、掌握PPP协议与PAP的基本配置三、实训内容对于同步串行接口，我们采用PPP协议和PAP认证，安全可靠。

四、实训步骤：1、R1路由器配置2、R2路由器配置3、PC机IP地址拓扑图具体步骤：1、R1路由器EnConfInt f0/0Ip add 192.168.1.1 255.255.255.0No shutInt s0/0/0Ip add 12.1.1.1 255.255.255.0encapsulation ppp //封装PPP协议ppp authentication pap //启用PAP认证ppp pap sent-username R2 password 123 //发送R2上配置的用户名和密码exitusername R1 password 123 //配置本地用户名和密码，用于R2发送ip route 192.168.2.0 255.255.255.0 12.1.1.22、R2路由器EnConfInt f0/0Ip add 192.168.2.1 255.255.255.0No shutInt s0/0/0Ip add 12.1.1.2 255.255.255.0clock rate 9600encapsulation ppp //封装PPP协议ppp authentication pap //启用PAP认证ppp pap sent-username R1 password 123 //发送R1上配置的用户名和密码exitusername R2 password 123 //配置本地用户名和密码，用于R1发送ip route 192.168.1.0 255.255.255.0 12.1.1.13、给PC机配置IP地址PC0:192.168.1.2/24,192.168.1.1PC1:192.168.2.2/24,192.168.2.1 五、实训结果PC0 ping PC1,可以ping通。

通过独臂路由实现Vlan之间互访（实验成功）一、实验目的1、理解路由器以太网端口的特殊连网方式。

2、进一步理解IEEE802.1q封装过程。

二、应用环境：路由器以太网端口直连多个二层交换机，并划分多个VLAN，为了实现内外网的互相通信。

三、实验设备1、1702路由器一台或2631路由器一台。

2、DCS二层交换机一台3、直通双绞线3条四、实验拓扑五、实验要求1、交换机划分为VLAN10和VLAN20，端口1-8和9-16分别属于VLAN10和VLAN20，24口为trunk端口。

2、路由器f0/0与交换机24口连接，打封装。

六、实验步骤：1、交换机配置：Switch(conifg)#vlan 10Switch(conifg-Vlan10)#switchport interface Ethernet 0/0/1-8Switch(conifg)#vlan 20Switch(conifg-Vlan20)#switchport interface Ethernet 0/0/9-16Switch(conifg)#interface ehternet 0/0/24Switch(conifg-ethernet0/0/24)#switchport mode trunk2、DCR2631 配置Router_config#interface f0/0.1Router_config_f0/0.1#encapsulation dot1q 100Router_config_f0/0.1#ip address 192.168.100.1Router_config#interface f0/0.2Router_config_f0/0.1#encapsulation dot1q 200Router_config_f0/0.1#ip address 192.168.200.1七、注意事项和排错1、f0/0已作为二层链路通道存大，不是三层接口。

PPP协议配置和PAP认证配置通过对PPP协议的了解，我们也进入到了配置阶段。

那么我们知道，PPP协议:(point to point protocol)点队点协议的前身是SLIP,PPP协议提供了一种在点对点链路上封状多种网络数据报文的标准方法。

现在我们重点讲解一下PPP 协议配置和PAP认证配置的内容。

PPP相对SLIP的协议的优点：1、支持同步、异步串行链路；2、支持多种网络协议；3、支持各种连接参数的协商；4、支持错误检测；5、支持用户认证；6、允许进行数据的压缩。

PPP协议的组成：1、协议封装方式2、LCP3、NCPPPP运行过程：1、链接不可用阶段2、链路建立阶段3、认证阶段4、网络层协议阶段5、链路终止阶段LCP协议协商：MRU 最大数据单元/Magic Number魔术字/人证方式/链路压缩NCP协议协商：IP地址；TCP/IP头压缩认证方式：PAP/CHAPPPP协议的配置：封装PPP：Router(config)#inter serial 2/0Router(config-if)#encapsulation pppDCE端设置时钟频率：Router(config-if)#clock rate 64000接口IP配置：Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownPAP认证配置：PAP认证配置，主认证端：Router(config-if)#exit Router(config)#username derekpassword 0 123 Router(config)#inter s2/0Router(config-if)#pppauthentication %SYS-5-CONFIG_I: Configured from console by consolePAP认证配置，被认证端：Router(config-if)#ppp pap sent-username derek password 0 123PAP认证配置完成，测试：Router#ping 192.168.10.2 Router#debug ppp packet查看端口：Router#show interfaces s 2/0 Serial2/0 is up, line protocol is up (connected) Hardware is HD64570 Internet address is 192.168.10.2/24 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0(size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)【责任编辑：佟媛微TEL：（010）68476606】原文：PPP协议配置和PAP认证配置返回网络频道首页。