飞琼君·WebOS

=== 信不信由你 ===

【29-30】PPP协议和PAP、CHAP认证实施

发布于 2020-04-02 | 分类于 华为认证预习 | 5分钟 | 974字数 | 浏览量
  1. HDLC,高级数据链路控制,是面向比特的链路层协议,即二层协议,帧结构:信息帧、监控帧、无编号帧
# 在华为设备上默认封装了PPP协议(2层)
# 启用hdlc,需要在网线连接的两个接口上都做
int s1/0/0 
dis th
link-protocol hdlc 
# 串行接口通过PPP协议进行通信,一端IP为100.100.100.100/24,另一端IP为12.1.1.2/24
int s1/0/0 #AR2
ip addr 100.100.100.100 24
int s1/0/0 #AR1
ip addr 12.1.1.2 24
ping 100.100.100.100
  1. PPP,点到点链路层协议,不需要arp解析,主要用于全双工的同异步链路上进行点到点的数据传输。
    不需要mac地址封装,只需要把报文发到该链路上,与双方IP是否在同一个网段无关。
    PPP工作后就会在本设备得到一条对端的32位主机路由。
    2.1 PPP的两大基本组件
    LCP(链路控制协议):用来建立、拆除和监控PPP数据链路
    NCP(网络层控制协议):用于对不同的网络层协议进行连接建立和参数协商
    2.2 PPP链路建立过程
    PPP链路建立过程
    2.3 LCP报文
  • Configure-Request(配置请求):链路层协商过程中发送的第一个报文,该报文表明点对点双方开始进行链路层参数的协商。
  • Configure-Ack(配置响应):收到对端发来的Configure-Request报文,如果参数取值完全接受,则以此报文响应。
  • Configure-Nak(配置不响应):收到对端发来的Configure-Request报文,如果参数取值不被本端认可,则发送此报文并且携带本端可接受的配置参数。
  • Configure-Reject(配置拒绝):收到对端发来的Configure-Request报文,如果本端不能识别对端发送的Configure-Request中的某些参数,则发送此报文并且携带那些本端不能认别的配置参数。
    2.4 LCP协商参数
  • 最大接收单元MRU,PPP数据帧中Information字段和Padding字段的总长度,默认1500字节
  • 认证协议,认证对端使用的认证协议,默认不认证
  • 魔术字,魔术字为一个随机产生的数字,用于检测ppp链路环路,如果收到的LCP报文中的魔术字和本端产生的魔术字相同,则认为链路有环路,默认启用
    2.5 认证方式
  • PAP:密码认证协议,明文,常用
  • CHAP:挑战握手认证协,比PAP优秀,可防止DDOS攻击,不发送密码,而是发送MD5值,3次握手协议(认证方向被认证方发起挑战报文-->被认证方发送响应报文-->成功或者失败PPP接入)
  • MS-CHAP:思科和微软共同开发的挑战握手认证协
  • PPP的认证还可以借助AAA(授权、认证、统计)
# 通过AAA来认证PPP
aaa
local-user test password cipher huawei
local-user test service-type ppp

# 通过PAP来认证PPP
# >>>>认证方AR2
aaa   
local-user test password cipher huawei
local-user test service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode pap
ip address 12.1.1.2 24
shutdown 
undo shutdown
# >>>>被认证方AR1
int s1/0/0
link-protocol ppp
ppp pap local-user test password cipher huawei
ip address 100.100.100.100 24
# 查看是否得到对端地址的32位主机路由
dis ip routing-table protocol direct
ping 12.1.1.2

# 通过CHAP来认证PPP
# >>>>认证方AR2
aaa   
local-user test2 password cipher huawei123
local-user test2 service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 12.1.1.2 24
shutdown 
undo shutdown
# >>>>被认证方AR1
int s1/0/0 
link-protocol ppp
ppp chap user test2
ppp chap password cipher huawei123
ip address 100.100.100.100 24
q
q
debugging ppp chap all
# 查看是否得到对端地址的32位主机路由
dis ip routing-table protocol direct
ping 12.1.1.2
下面几节课都会用到的路由拓扑
# 华为认证预习
【31】PPPoE理论和基本实施 上一篇
【27】交换机生成树的实施 下一篇
0%