大型企业网络配置系列课程详解六.docx
- 文档编号:9948310
- 上传时间:2023-05-22
- 格式:DOCX
- 页数:10
- 大小:487.46KB
大型企业网络配置系列课程详解六.docx
《大型企业网络配置系列课程详解六.docx》由会员分享,可在线阅读,更多相关《大型企业网络配置系列课程详解六.docx(10页珍藏版)》请在冰点文库上搜索。
大型企业网络配置系列课程详解六
大型企业网络配置系列课程详解(六)
--PPP协议的配置与相关概念的明白得
实验原理:
PPP(pointtopoint)协议是广域网中利用的一种超级普遍的数据链路层协议,能够在点对点链路上封装多种网络数据报文(IP、IPX和AppleTalk),同时支持面向字符传输的异步串行链路和面向比特传输的同步串行链路,还支持IP地址的协商、用户认证功能、错误检测和进行数据紧缩功能,它最要紧的目的是用简单的链路在两个节点之间传输数据,从而为各个主机和网络设备提供一种通用的网络互联解决方案。
实验目的:
一、 通过实验进程了解PPP链路的工作进程
二、 把握PPP协议的大体配置
3、 配置PAP和CHAP认证,并进行对照
4、 配置IP地址协商
五、 配置PPP数据紧缩
实验网络拓扑:
实验步骤:
一、依照网络拓扑图配置被认证方(R1)和主认证方(R2)的各个串行接口(Serial)的IP地址并在S0/0接口上封装PPP协议。
注意:
cisco路由器默许的接口封装协议是HDLC—HighLevelDataLinkControl--高级数据链路操纵协议,是ISO组织制定的一个标准化规程,它利用与点到点和点到多点的数据链路。
而PPP协议由3个部份组成:
协议封装方式—将网络层协议封装到串行链路的方式;LCP(链路操纵)协议—与物理层相邻,要紧配置和测试数据通信链路,其顶用户认证(PAP和CHAP)就工作在LCP协议上;NCP(网络操纵)协议—与网络层相邻,可依照不同的网络层协议,提供不同的网络操纵协议(例如:
提供给TCP/IP网络利用的IPCP网络操纵协议,同是也是最经常使用的协议;提供给IPX网络利用的IPXCP网络操纵协议等等)
配置完成以后,记得将串行接口shutdown,然后noshutdown,PPP链路就成立起来了。
在串行链路上封装完PPP协议以后,若是没有配置其它PPP参数(认证,IP地址协商等等),主认证方和被人证方是互通的。
通过在R1上利用ping命令能够ping通R2(若是ping通返回5个感叹号;若是不通,就返回5个小数点。
)
下面是PPP链路的成立和拆除进程,从链路不可历时期开始,当通信两边的两头检测到物理线路激活(一般是检测到链路上有载波信号)时,就会从当前那个时期进入到下一时期,链路成立时期要紧进行LCP相关协商(协商内容包括工作方式、认证方式、链路紧缩等),协商完成以后那么进入认证时期,这些都是针对物理层而言的,而整个链路工作在数据链路层,利用的协议为LCP协议。
认证通过以后,那么进入网络协议时期,通过一些网络操纵协议对网络层协议进行协商。
例如,利用IPX对网络层IP协议进行协商,协商的内容要紧包括两边的IP地址等,那个是针对网络层而言的,利用的协议是NCP协议。
当PPP链路显现载波丢失、认证失败或用户以为关闭链路等情形那么进行链路终止时期,PPP协议通过互换LCP的链路终止报文来关闭链路。
二、配置PAP认证
当接口封装为PPP协议以后,就能够够配置PPP认证。
其中,PAP认证确实是其中的一种最简单的认证方式,只需要进行两次握手就能够够成立起连接。
注意:
PAP认证第一由被认证方(R1)发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方(R2)。
然后,主认证方同意请求,并在自己的本地数据库里查找是不是有对应的条款,若是有就同意请求。
若是没有,就拒绝请求。
这种认证方式是不平安的,很容易引发密码的泄露,可是,相关于CHAP认证方式来讲,更方便于应用。
比如说此刻的Internet拨号认证接入方式确实是PAP认证。
第一配置主认证方,在主认证端添加被认证方的用户名RouterA和密码123456,password参数后面的0表示密码是为明文保留的,并在接口上启用PAP认证功能。
配置完主认证方(R2)以后,利用ping命令ping被认证方(R1)发觉ping不通,缘故很简单,是因为R1尚未在接口模式下配置PAP认证所需要的用户名和密码(在被认证端配置的用户名和密码必需与在主认证端配置的用户名和密码相同。
相当于一些成绩查询系统,只有当你输入正确的考号和用户名,查询数据库(主认证方)才能显示出你的考试成绩)
在被认证端的接口模式配置PAP认证所需要的用户名RouterA和密码123456
在特权模式下,利用debugppp?
能够查看调试的内容,其中,debugpppauthentication能够调试PAP和CHAP认证的成立进程,利用debugpppnegotiation能够查看到IP地址协商的进程,利用debugppppacket能够检查ppp连接的状态和协商进程是不是正确……
利用debugpppauthentication进行调试,第一shutdown掉R1的Serial0/0接口,然后再noshutdown,即能够看到主认证方(R2)PAP认证的整个进程。
三、配置CHAP高级认证
CHAP是ChallengeHandAuthenticationProtocol(质询握手认证协议)的简称,CHAP为3次握手认证协议,它只在网络上传送用户名而不传送口令,因此平安性比PAP要高。
CHAP的认证进程第一由主认证方(R2)发起认证请求。
第一次握手:
主认证方向被认证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一路发送给被认证方。
第二次握手:
被认证方接到主认证方的认证请求后,被认证方依照此报文中主认证方的用户名查找用户密码。
若是在用户表中找到与主认证方相同的用户名,就说明能够同意对方的认证。
然后利用报文ID、用户表中主认证方用户名对应的密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发还给主认证方。
第三次握手:
主认证方接收到该报文后,依照此报文中被认证方的用户名,在自己的本地用户数据库中查找被认证方用户名对应的被认证方密码,利用报文ID、该密码和MD5算法对原随机报文进行加密,然后将加密的结果和被认证方发来的加密结果进行比较。
若是二者相同,那么以为认证通过,若是不同那么以为认证失败。
主认证端CHAP配置:
和PAP认证一样,配置CHAP认证时也需要在主认证端添加被认证用户的用户名:
RouterA和密码:
123456。
并在接口上启用CHAP认证功能,最后一句的意思是配置自己的用户名(默许情形下,路由器会利用自己的主机名(利用hostname命令配置的名称)作为用户名发送给对端。
被认证端CHAP配置:
被认证端在进行CHAP认证时,需要依照主认证端发送过来的用户名(RouterBB)来查找相应的密码来对随机报文进行加密。
下面的命令中,配置的用户名username应该为主认证端的用户名,代表被认证端同意主认证端相应的用户的认证;配置的密码password应该为被认证端自己的密码,此密码和在主认证端配置的密码必需相同。
也能够利用pppchappassword0123456命令,此命令等同于usernameRouterBBpassword0123456。
利用此命令,被认证端在收到主认证端的认证请求后,将不判定请求中的用户名,而是直接利用此命令配置的密码来进行加密。
最后一条语句的意思是配置被认证端的用户名为RouterAA(区别于前面的RouterA)。
利用debugpppauthentication进行调试,第一shutdown掉R1的Serial0/0接口,然后再noshutdown,即能够看到主认证方(R2)CHAP认证的整个进程。
三、配置IP地址协商
PPP支持IP地址协商,整个进程成立在PPP的NCP时期,当用户拨号上网时,通常由效劳器为客户端分派一个动态IP地址。
利用IP地址动态协商,有利于为拨号用户灵活分派IP地址。
同时在PPP链路断开后,此IP地址还能够分派给其余用户利用,从而达到了节约IP地址的目的。
若是不配置IP地址协商,两边只需要告知对方自己的IP地址就能够够了。
效劳器端配置(主认证端R2):
分派给对方一个10.0.0.10的IP地址
客户端配置(被认证端R1):
配置本端IP地址由对端分派,注意要利用shutdown断掉PPP链路,然后再利用noshutdown再激活PPP链路,不然客户端(R1)得不到分派的IP地址。
配置完此条命令后,原先在接口上配置的IP地址将会被删除。
当PPP连接成立后,就会由对端分派一个IP地址10.0.0.10给R1的serial0/0接口。
(注意:
若是PPP连接被断开,分派到的IP地址将会被删除,接口又回到没有IP地址的状态。
利用showipinterfacebrief能够查看客户端(R1)的所有端口的状态,能够看到Serial0/0接口的IP地址为10.0.0.10,Methed为IPCP(能够看出,网络层利用的对应协议为TCP/IP)。
四、配置PPP紧缩
配置Stac紧缩
在接口上启用Predictor紧缩需要消耗大量的路由器内存。
若是路由器本身的内存比较小,请不要启用Predictor紧缩
在接口上启用Stac紧缩会占用专门大部份的CPU资源来进行紧缩的运算。
若是路由器本身的负载就比较重(超过40%),请不要启用Stac紧缩。
配置TCP头紧缩
当在接口上启用了TCP头紧缩以后,接口上快速转发功能将会被自动关闭。
若是在某些快速线路上启用了TCP头紧缩,将会造成路由器负载加重。
因此TCP头紧缩只适合低速链路上利用。
四、利用showinterfaceserial0/0命令能够查看到端口的配置信息。
一、Serial0/0isup,lineprotocolisup表示物理接口已经UP,数据链路层接口已经UP。
二、EncapsulationPPP,LCPOpen表示接口封装的协议为PPP,状态为Open,协议正常工作。
利用debugppppacket命令调试整个ppp链路的成立进程(其中配置了PPP认证(CHAP)功能,配置了IP地址协商)
【小諾網路技術】
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型企业 网络 配置 系列 课程 详解
![提示](https://static.bingdoc.com/images/bang_tan.gif)