10/10第一章VLAN技術(shù)附錄一、復(fù)習(xí)答案1.在網(wǎng)絡(luò)中使用VLAN技術(shù)可以帶來哪些好處？答：通過在網(wǎng)絡(luò)中使用VLAN技術(shù)，可以減小廣播域范圍，從而減少廣播流量，并且還能提供一定的故障隔離。2.VLANID的編號范圍是多少？答：VLANID表示的范圍是0~4095，但是用戶在設(shè)備上可以配置的VLAN范圍是1~4094。3.當(dāng)要跨交換機實現(xiàn)VLAN內(nèi)的通信時，應(yīng)如何實現(xiàn)？答：跨交換機實現(xiàn)同VLAN之間的通信時，交換機之間的級聯(lián)接口應(yīng)設(shè)置為Trunk。4.在穿過Trunk和Access接口時，VLAN中的數(shù)據(jù)幀是如何被處理的？答：在穿過Trunk前，除NativeVLAN外的所有的VLAN數(shù)據(jù)幀都需要打上802.1q標(biāo)簽，穿過Trunk時標(biāo)簽保留。在穿過Access接口發(fā)出數(shù)據(jù)前，VLAN數(shù)據(jù)中的802.1q標(biāo)簽會被剝除。5.實現(xiàn)VLAN間通信有哪些方式？答：實現(xiàn)VLAN間通信有三種方式：路由接口、SVI接口和單臂路由。6.通過SVI如何實現(xiàn)VLAN間通信？答：通過SVI方式實現(xiàn)VLAN間路由，需要在三層交換機上為VLAN的SVI接口配置IP位置，并且此位置作為本VLAN中主機的默認(rèn)網(wǎng)關(guān)，主機在發(fā)送數(shù)據(jù)到其他網(wǎng)段時，將數(shù)據(jù)發(fā)送給網(wǎng)關(guān)即三層交換機，再利用三層交換機的路由功能實現(xiàn)路由。7.通過單臂路由方式如何實現(xiàn)VLAN間通信？答：需要在路由器接口上創(chuàng)建以太網(wǎng)子接口，并將子接口封裝802.1q劃分到各VLAN中，最后為子接口配置IP位置作為本VLAN主機的默認(rèn)網(wǎng)關(guān)。8.相比單臂路由方式，通過SVI方式實現(xiàn)VLAN間通信有哪些優(yōu)點？答：通過三層交換機的SVI方式實現(xiàn)VLAN間路由，由于使用SVI邏輯端口所以不受物理端口密度的限制，并且不會造成網(wǎng)絡(luò)瓶頸，實施起來更加靈活方便。9.PrivateVLAN中的屬于同一VLAN的隔離端口是否可以通信？答：不能。10.SuperVLAN的不同SubVLAN的端口是否可以實現(xiàn)二層通信？答：不能第二章生成樹協(xié)議附錄一、復(fù)習(xí)答案1、相對于STP，RSTP中增加了哪些端口角色？答：RSTP中增加了替代端口（AlternatePort）和備份端口（BackupPort）這兩種端口角色。2、RSTP中的替代端口（AlternatePort）作為什么端口的備份端口？答：替換端口是根端口的備份端口。3、RSTP中的備份端口（BackupPort）是作為什么端口的備份端口？答：備份端口是指定端口的備份端口。4、在RSTP中，點對點類型的鏈路和共享式的鏈路的收斂有什么區(qū)別？答：在點對點的的鏈路類型中，雙方交換機端口只需要經(jīng)過一次協(xié)商便可進入轉(zhuǎn)發(fā)狀態(tài)。在共享式鏈路中，則只能經(jīng)過監(jiān)聽狀態(tài)和學(xué)習(xí)狀態(tài)才能進入轉(zhuǎn)發(fā)狀態(tài)。5、在RSTP中，當(dāng)拓?fù)浒l(fā)生變化時，交換機是如何傳遞拓?fù)渥兏秸麄€網(wǎng)絡(luò)的？答：在RSTP中，發(fā)現(xiàn)拓?fù)渥兓慕粨Q機直接向網(wǎng)絡(luò)中泛洪TCBPDU報文。6、如何將一個端口配置為RSTP邊緣端口？答：使用接口命令spanning-treeportfast。7、運行STP和RSTP的網(wǎng)絡(luò)會存在什么樣的問題？答：STP和RSTP均沒在網(wǎng)絡(luò)中考慮VLAN的環(huán)境，因此在網(wǎng)絡(luò)中進行生成樹運算并阻斷鏈路時，可能會導(dǎo)致某些VLAN的通信受阻，并且會導(dǎo)致冗余鏈路空閑，造成帶寬資源浪費。8、相比較STP與RSTP，MSTP最主要的區(qū)別是什么？答：MSTP可以在網(wǎng)絡(luò)中運行多個生成樹。9、在運行MSTP的交換機中，默認(rèn)情況下VLAN屬于哪個實例？答：屬于實力0（instance0）。10、運行MSTP的網(wǎng)絡(luò)中，具有哪些相同特性或配置的交換機會被視為在同一個區(qū)域中？答：配置相同的區(qū)域配置名稱、修正號以及VLAN與生成樹實例的映射關(guān)系。11、在運行MSTP的網(wǎng)絡(luò)中，如何實現(xiàn)負(fù)載分擔(dān)？答：當(dāng)網(wǎng)絡(luò)中有多個VLAN時，將不同的VLAN劃分到不同的instance中，這樣每個instance會自己計算獨立的生成樹，再將不同instance中的根交換機通過優(yōu)先級的配置設(shè)置為不同的交換機，從而使不同的VLAN可以通過不同的鏈路發(fā)送數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的負(fù)載分擔(dān)。第三章虛擬路由器冗余協(xié)議（VRRP）附錄一、復(fù)習(xí)答案1、VRRP運行過程中會經(jīng)歷哪三種狀態(tài)？答：Initialize、Master和Backup。2、VRRP報文的組播位置是多少？協(xié)議號是多少？答：組播位置為224.0.0.18，IP協(xié)議號為112。3、VRRP是如何進行選舉的？答：運行VRRP的路由器通過發(fā)送和接收VRRP通告報文來比較優(yōu)先級，優(yōu)先級大的將成為主路由器，其它路由器都為備份路由器。4、VRRP使用幾個定時器？各定時器的作用是什么？答：VRRP使用兩個時間定時器，通告間隔定時器和主路由器失效間隔定時器。通告間隔定時器用于定義路由器發(fā)送VRRP通告報文的間隔，主路由器失效定時器用于定義備份路由器在認(rèn)為主路由器失效前所等待的時間。5、什么是IP位置擁有者？答：虛擬IP位置與接口IP位置相同的VRRP路由器被稱為IP位置擁有者。6、VRRP使用什么方法實現(xiàn)流量的負(fù)載均衡？答：通過將路由器加入到多個VRRP組中，并且使路由器在不同的組中承擔(dān)不同的角色來實現(xiàn)負(fù)載均衡。7、VRRP接口跟蹤的作用是什么？答：接口跟蹤能夠使VRRP根據(jù)路由器其它接口的狀態(tài)自動調(diào)整該路由器VRRP優(yōu)先級。接口跟蹤能確保當(dāng)主路由器的重要接口不可用時，該路由器不再是主路由器，從而使備份路由器有機會成為新的主路由器。8、判斷正誤：我們可配置的VRRP優(yōu)先級的范圍為0~255。答：錯誤。9、判斷正誤：VRRP虛擬IP位置要與接口位置處于同一個子網(wǎng)中。答：正確。10使用搶占模式的優(yōu)點是什么？答：搶占模式可以使主鏈路恢復(fù)故障后，數(shù)據(jù)仍然通過主鏈路傳輸。第四章路由信息協(xié)議（RIP）附錄一、復(fù)習(xí)答案1．RIPv2消息格式中包含了哪3個新的字段？路由標(biāo)記、子網(wǎng)掩碼、下一跳2．除了上述問題1中的3個字段定義的擴展特性外，RIPv2相比RIPv1還有哪兩個主要的改變？支持手工匯總、支持路由認(rèn)證3．在RIPv2中有幾種匯總方式？其配置命令是什么？自動匯總、手動匯總Router(config-if)#ipsummary-addrssripsummary-addressnetmask4．當(dāng)RIPv1和RIPv2在一個網(wǎng)絡(luò)中，那么需要配置其兼容性開關(guān)，其配置命令是什么？對于這個開關(guān)，4個設(shè)置是：RIP-1、RIP-2、Both、Noneiprip[send|receive]version[1|2]第五章開放式最短路徑優(yōu)先協(xié)議（OSPF）附錄一、復(fù)習(xí)答案題號12345678答案ABBABACBCABCD第六章路由重分發(fā)與路由控制附錄一、復(fù)習(xí)答案1．什么是重分發(fā)？路由重分發(fā)是指連接到不同路由選擇域的邊界路由器，在不同路由選擇域（自主系統(tǒng)）之間交換和通告路由選擇信息的能力。2．各種路由協(xié)議的默認(rèn)種子度量值是？將路由重分發(fā)到該協(xié)議中默認(rèn)種子度量值RIP無窮大OSPFBGP路由為1，其他路由為20IS-IS0BGPBGP度量值被設(shè)置為IGP度量值3．路由重分發(fā)的原則是什么？1．度量如果向OSFP重分發(fā)RIP路由，RIP的度量是跳數(shù)，而OSPF使用的是代價。在這種情況下，接收重分發(fā)路由的協(xié)議必須能夠?qū)⒆约旱亩攘颗c這些路由了解起來。2．管理距離度量差異性產(chǎn)生了另一個問題，如果路由器正在運行多個路由選擇協(xié)議，并從每個協(xié)議都學(xué)習(xí)到一條到達相同目標(biāo)網(wǎng)絡(luò)的路由，那么應(yīng)該選擇哪一條路由呢？因為每一個路由選擇協(xié)議都使用自己的度量方案定義最優(yōu)路徑，比較不同的度量值，例如代價和跳數(shù)。3．從無類別路由協(xié)議向有類別路由協(xié)議重分發(fā)有類路由選擇協(xié)議不能通告攜帶子網(wǎng)掩碼的路由，路由器所接收到的每一條路由，無外有下面兩種情況之一：路由器有一個或多個接口連接到主網(wǎng)上；路由器沒有接口連接到主網(wǎng)絡(luò)上。4．配置到RIP協(xié)議中的重分發(fā)時，參數(shù)metric-value是什么？路由的度量值(1～6)。沒有配置將使用default-metric命令設(shè)置的metric值。5．什么命令將導(dǎo)致RIP生成一條默認(rèn)路由？default-informationoriginate第七章網(wǎng)絡(luò)安全控制附錄一、復(fù)習(xí)題答案1、通常發(fā)動ARP欺騙攻擊的攻擊者通過偽造什么報文來達到欺騙的目的？答：ARP應(yīng)答報文。2、判斷正誤：如果要成功地啟用ARP檢查功能來防止ARP欺騙攻擊，需要首先啟用端口安全特性。答：正確。3、在配置ARP檢查時，需要配置什么類型的安全位置？答：IP位置類型的安全位置。4、通常攻擊者如何發(fā)動基于DHCP的攻擊？答：通過在網(wǎng)絡(luò)中假設(shè)非法的DHCP服務(wù)器。5、DHCP監(jiān)聽將端口分為哪些狀態(tài)？不同狀態(tài)的端口的操作各是什么？答：Trust狀態(tài)和Untrust狀態(tài)。對于信任端口，DHCP監(jiān)聽特性將允許任何DHCP報文通過；對于非信任端口，DHCP監(jiān)聽特性將只允許DHCPDiscover與DHCPRequest通過，另外一些由DHCP服務(wù)器發(fā)送的報文，例如DHCPOffer報文將被丟棄。6、DHCP監(jiān)聽數(shù)據(jù)庫中都包括什么信息？答：客戶端的IP位置、MAC位置、連接的端口、VLAN號、位置租用期限等信息。7、DAI是一種基于什么特性的安全功能？作用是什么？答：基于DHCPSnooping。用于防止ARP欺騙攻擊。8、ARP檢查與DAI的區(qū)別是什么？答：ARP檢查用于靜態(tài)的尋址環(huán)境，DAI用于動態(tài)（DHCP）的尋址環(huán)境。9、DAI中存在哪些端口狀態(tài)？不同狀態(tài)的端口的操作各是什么？答：Trust狀態(tài)和Untrust狀態(tài)。對于信任端口，DAI將不檢查收到的ARP報文；對于非信任端口，DAI檢查收到的所有ARP報文（ARP請求與ARP響應(yīng)），并根據(jù)DHCP監(jiān)聽表項檢查ARP報文的合法性。10、啟用DAI特性需要做什么配置？答：首先要啟用DHCPSnooping特性，然后全局性的啟用DAI后，還需要在特定的VLAN啟用DAI。11、請簡單描述標(biāo)準(zhǔn)IPACL與擴展IPACL的區(qū)別。答：標(biāo)準(zhǔn)IPACL只能對數(shù)據(jù)包的源位置進行檢查。擴展IPACL能夠?qū)?shù)據(jù)包的協(xié)議、源位置、目的位置、源端口和目的端口進行檢查。12、判斷正誤：基于MAC的ACL可以對L2、L3和L4的信息進行檢測。答：錯誤。13、在基于時間的ACL中，我們可以使用哪些類型的時間段？答：絕對時間段、周期時間段和混合時間段。14、請簡單描述在部署標(biāo)準(zhǔn)ACL和擴展ACL時的原則。答：在應(yīng)用標(biāo)準(zhǔn)IPACL時，通常將其放置到盡可能靠近目標(biāo)的位置；應(yīng)用擴展IPACL時，通常將其放置到盡可能靠近源端的位置。第八章AAA和802.1x附錄一、復(fù)習(xí)題答案1.AAA模型包含哪三個模塊？答：認(rèn)證、授權(quán)、計費。2.AAA模型在提供網(wǎng)絡(luò)訪問控制上具有哪些優(yōu)點？答：靈活性、可控性、可擴展性、可靠性、標(biāo)準(zhǔn)化協(xié)議。3.當(dāng)在驗證列表中配置了多個驗證方法，當(dāng)?shù)谝环N驗證方法返回拒絕信息，NAS設(shè)備是否會嘗試下一種方法？答：不會。4.默認(rèn)情況下，RADIUS服務(wù)器標(biāo)準(zhǔn)的認(rèn)證和計費端口號是什么？答：UDP1812和UDP1813。5.RADIUS模型由哪幾部分組成？答：認(rèn)證客戶端、NAS、認(rèn)證服務(wù)器。6.RADIUS采用哪種傳輸層協(xié)議來傳輸信息？答：UDP。7.什么命令可以修改路由器或交換機發(fā)送RADIUS報文使用的源位置？答：ipradiussource-interface命令。8.802.1x是一種基于什么的訪問控制機制？答：基于端口的訪問控制機制。9.802.1x體系結(jié)構(gòu)中都包括哪些組件？答：懇求者系統(tǒng)（SupplicantSystem）、認(rèn)證系統(tǒng)（AuthenticatorSystem）和認(rèn)證服務(wù)器系統(tǒng)（AuthenticationServerSystem）。10.802.1x在各個結(jié)構(gòu)組件之間使用什么協(xié)議進行交互？答：懇求者與認(rèn)證系統(tǒng)之間使用EAPoL幀，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器系統(tǒng)之間使用RADIUS協(xié)議通信。11.請簡單描述EAP中繼模式與EAP終結(jié)模式的區(qū)別。答：EAP中繼模式是IEEE802.1x標(biāo)準(zhǔn)中定義的認(rèn)證模式，交換機將EAP協(xié)議報文封裝到RADIUS報文中通過網(wǎng)絡(luò)發(fā)送到RADIUS服務(wù)器。對于這種模式，需要RADIUS服務(wù)器支持EAP屬性。EAP終結(jié)模式中，交換機將EAP信息終結(jié)，交換機與RADIUS服務(wù)器之間無需交互EAP信息，RADIUS服務(wù)器無需支持EAP屬性。第九章網(wǎng)絡(luò)出口設(shè)計附錄一、復(fù)習(xí)題答案1.NAT技術(shù)主要用于解決什么問題？它提供了一種在多個未節(jié)網(wǎng)絡(luò)中使用相同的似私有IP位置空間，從而減少所需公有IP位置數(shù)量的解決方案。NAT讓網(wǎng)絡(luò)管理員能夠在組織內(nèi)部使用私有IP位置空間，同時使用全球惟一的公有位置通過連接到Internet進行通信。對于不同的內(nèi)部用戶組，可以使用不同的公有位置池，這使用得管理互聯(lián)性更為容易。對于大多數(shù)需要連接到Internet的公司來說，都必須實現(xiàn)NAT，ISP為成百上千的用戶提供Internet接入服務(wù)，但通常只被分配極少數(shù)量的IP位置，因此ISP使用NAT將數(shù)百個內(nèi)部位置映射到分配給公司的幾個公網(wǎng)位置。NAT技術(shù)讓使用非公共IP位置的私有IP網(wǎng)絡(luò)能夠連接到公共網(wǎng)絡(luò)2.在NAT中將位置分為哪些類型？術(shù)語定義內(nèi)部本地IP位置分配給內(nèi)部網(wǎng)絡(luò)中的主機的IP位置，通常這種位置來自RFC1918指定的私有位置空間。內(nèi)部全局IP位置內(nèi)部全局IP位置，對外代表一個或多個內(nèi)部本地IP位置，通常這種位置來自全局惟一的位置空間，通常是ISP提供的。外部全局IP位置外部網(wǎng)絡(luò)中的主機的IP位置，通常來自全局可路由的位置空間。外部本地IP位置在內(nèi)部網(wǎng)絡(luò)中看到的外部主機的IP位置，通常來自RFC1918定義的私有位置空間。3.如果某網(wǎng)絡(luò)只能申請到少量公網(wǎng)IP，為了讓內(nèi)部大量主機能夠訪問公網(wǎng)，應(yīng)使用哪種NAT技術(shù)？超載（Overloading）NAT：4.當(dāng)內(nèi)部網(wǎng)絡(luò)存在需要對外提供服務(wù)的主機時，為了使外部網(wǎng)絡(luò)能夠訪問到該主機，應(yīng)使用哪種NAT技術(shù)？靜態(tài)NAT5.NAT技術(shù)是否能支持UDP連接的負(fù)載分擔(dān)？不支持6.判斷正誤：內(nèi)部主機能看到的外部主機的位置是屬于哪類位置？外部本地IP位置7.策略路由可以根據(jù)報文的哪些信息對報文進行路由？源位置、目的位置、協(xié)議類型、報文長度等元素第十章遠(yuǎn)程接入技術(shù)附錄一、復(fù)習(xí)題答案1、廣域網(wǎng)和局域網(wǎng)本質(zhì)的區(qū)別是什么？廣域網(wǎng)：覆蓋范圍廣，可達數(shù)千甚至數(shù)萬千米，數(shù)據(jù)傳輸速率較低，通常為幾千位每秒至幾兆位每秒，使用多種傳輸介質(zhì)，例如有線網(wǎng)絡(luò)有光纖、雙絞線、同軸電纜等，無線網(wǎng)絡(luò)有微波、衛(wèi)星、紅外線、激光等，數(shù)據(jù)傳輸延時大，如衛(wèi)星通信的延時可達幾秒，數(shù)據(jù)傳輸質(zhì)量不高，如誤碼率提高，廣域網(wǎng)管理、維護困難。局域網(wǎng)：覆蓋范圍有限，有較高的通信帶寬，數(shù)據(jù)傳輸率高，數(shù)據(jù)傳輸可靠，誤碼率低，通常采用同軸電纜或雙絞線作為傳輸介質(zhì)，拓?fù)浣Y(jié)構(gòu)簡單簡潔，網(wǎng)絡(luò)的控制一般為分布式，網(wǎng)絡(luò)同常規(guī)單一組織所擁有和使用。2、廣域網(wǎng)鏈路分為電路交換和分組交換，什么是電路交換？什么是分組交換？電路交換是廣域網(wǎng)所使用的一種交換方式?？梢酝ㄟ^運營商網(wǎng)絡(luò)為每一次會話過程建立，維持和終止一條專用的物理電路。電路交換也可以提供數(shù)據(jù)報和數(shù)據(jù)流兩種傳送方式。電路交換的實例：公共交換電話網(wǎng)（PSTN）、ISDN基本速接口、（BRIISDN）ISDN基群速率接口（PRIISDN）分組是指包含用戶數(shù)據(jù)和協(xié)議頭（包括位置和管理信息）的塊，每個分組通過網(wǎng)絡(luò)交換機或路由器被傳送到正確目的地。一個信息可能被細(xì)分為多個分組，每個分組獨立進行傳輸，并能遵循不同的路由到達最終的目的地。分組交換包含兩種基本途徑：虛擬電路分組交換：在兩個終端節(jié)點會話期間，為傳送所有分組信息，需在中間節(jié)點間建立路由，即我們所知的初始安裝階段。在每個中間節(jié)點中，需要在表中注冊一個實體，表示連接中需要的路由已經(jīng)建立。數(shù)據(jù)報交換：該途徑采用一種不同的、更動態(tài)的模式?jīng)Q定網(wǎng)絡(luò)鏈路中的路由。將每個分組看作一個實體，每個分組頭部包含關(guān)于分組目的地的全部信息。中間節(jié)點通過檢查分組頭部，決定能發(fā)送分組到達目的地的節(jié)點。3、綜合業(yè)務(wù)數(shù)字網(wǎng)（IntegratedServicesDigitalNetwork，ISDN）是一個數(shù)字電話網(wǎng)絡(luò)國際標(biāo)準(zhǔn)，是一種典型的電路交換網(wǎng)絡(luò)系統(tǒng)。請闡述ISDN的特性及工作原理。綜合業(yè)務(wù)數(shù)字網(wǎng)：即ISDN（IntegratedServiceDigitalNetwork），也是一種撥號連接方式。低速接口為128kbps（高速可達2M），它使用ISDN線路或通過電信局在普通電話線上加裝ISDN業(yè)務(wù)。ISDN將本地環(huán)路轉(zhuǎn)化為TDM數(shù)字連接，該連接有用來傳輸語音或數(shù)據(jù)的64kbit/s承載信道和一條用來進行呼叫建立和其他用途的信令信道，承載信道和信令信道也就是B信道和D信道。ISDN支持兩種接口：基本速率接口和主要速率接口?；舅俾式涌?BRI)的數(shù)據(jù)傳輸速率為144Kbps。BRI接口由三個信道構(gòu)成：兩個64Kbps的B信道用于傳輸數(shù)據(jù)、語音和圖形，一個16Kbps的D信道用于傳輸通信信令、包交換和信用卡驗證。在ISDN中，D信道的主要功能是建立呼叫和撤消呼叫，開始和終止一次通信會話。BRI主要用于LAN到LAN的連接、視頻會議、到ISP的Internet連接和對遠(yuǎn)程計算機和家庭辦公室的高速連接。因為許多傳統(tǒng)的LAN具有的數(shù)據(jù)速率為1~16Mbps，ISD不太適合于某些網(wǎng)絡(luò)應(yīng)用，例如大文件傳輸和圖形應(yīng)用，除非將信道捆綁到一起。例如，一個BRI線路的兩個64Kbps的信道可以形成一個128Kbps的連接，再加上D信道便可以得到144Kbps的傳輸速率。另外一個例子是將三個BRI線路的6個64Kpbs信道捆綁到一起形成一個384Kbps的傳輸信道，BRIISDN一般用于家庭和小型企業(yè)。4、PPP的主要特征是什么？PPP（Point-to-PointProtocol點到點協(xié)議）是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設(shè)計的鏈路層協(xié)議。PPP提供了一種在點對點的鏈路上封裝多協(xié)議數(shù)據(jù)報（IP、IPX和AppleTalk）的標(biāo)準(zhǔn)方法。它具有以下特性：能夠控制數(shù)據(jù)鏈路的建立；能夠?qū)P位置進行分配和使用；允許同時采用多種網(wǎng)絡(luò)層協(xié)議；能夠配置和測試數(shù)據(jù)鏈路；能夠進行錯誤檢測；支持身份驗證；有協(xié)商選項，能夠?qū)W(wǎng)絡(luò)層的位置和數(shù)據(jù)壓縮等進行協(xié)商。5、簡述PPP認(rèn)證的過程？當(dāng)對端收到該配置請求報文后，如果支持配置參數(shù)選項中的認(rèn)證方式，則回應(yīng)一個確認(rèn)報文；否則回應(yīng)一個Config-Nak（配置否認(rèn)）報文，并附帶上自希望雙方采用的認(rèn)證方式。當(dāng)對方接收到Config-Ack（配置確認(rèn)）報文后就可以開始進行認(rèn)證了，而如果收到得是Config-Nak（配置否認(rèn)）報文，則根據(jù)自身是否支持Config-Nak報文中的認(rèn)證方式來回應(yīng)對方，如果支持則回應(yīng)一個新的Config-Request（配置請求）（并攜帶上Config-Nak報文中所希望使用的認(rèn)證協(xié)議），否則將回應(yīng)一個Config-Reject報文，那么雙方就無法通過認(rèn)證，從而不可能建立起PPP鏈路。身份驗證時需要檢索本地數(shù)據(jù)庫或安全服務(wù)器，以檢查用戶所提供的用戶名和密碼是否匹配CHAP或PAP驗證方式中指定的信息。如果是PAP驗證方式，在PPP鏈路建立后，被驗證方重復(fù)向驗證方發(fā)送用戶名和密碼，直到驗證通過或鏈路終止。如果是CHAP驗證方式，在PPP鏈路建立后，驗證方發(fā)送一個挑戰(zhàn)消息到被驗證方。遠(yuǎn)程節(jié)點使用一個數(shù)值來回應(yīng)挑戰(zhàn)。這個數(shù)值是由單向哈希函數(shù)（MD5）基于密碼和挑戰(zhàn)消息計算得出的。Client路由器向Server路由器發(fā)起連接呼叫，LCP協(xié)商選項中使用CHAP和MD5。Server路由器向Client路由器發(fā)送挑戰(zhàn)報文。報文包含：挑戰(zhàn)分組類型標(biāo)識符（01）、標(biāo)識該挑戰(zhàn)分組的序列號（ID）、隨機數(shù)、挑戰(zhàn)方的認(rèn)證名，該挑戰(zhàn)分組的ID和隨機數(shù)由Server路由器保存保存。挑戰(zhàn)報文發(fā)送到client路由器，Server路由器會維護一個已發(fā)出的挑戰(zhàn)消息的列表.Client路由器收到挑戰(zhàn)報文后，將序列號放入MD5哈希生成器，將隨機數(shù)放入MD5哈希生成器，查找本地數(shù)據(jù)庫，找到與Server匹配的密碼條目，將口令放入MD5哈希生成器。這個結(jié)果就是一個單向MD5哈希數(shù)值，這個值將會被放到CHAP回應(yīng)中，發(fā)回挑戰(zhàn)驗證方。發(fā)回驗證方的回應(yīng)報文包含：CHAP回應(yīng)分級類型標(biāo)識符（02）、序列號（ID），直接從挑戰(zhàn)報文復(fù)制過來、MD5哈希生成器的輸出結(jié)果（hash）、本設(shè)備的認(rèn)證名，這是為挑戰(zhàn)方的需要，挑戰(zhàn)方用這個認(rèn)證名查找核對驗證時所需的用戶名和密碼。當(dāng)server路由器收到回應(yīng)報文后，用序列號找出原始的挑戰(zhàn)分組，把序列號放入MD5哈希生成器，把原始挑戰(zhàn)報文中的隨機數(shù)放入MD5哈希生成器，使用client路由器的認(rèn)證名從本地數(shù)據(jù)庫或遠(yuǎn)程認(rèn)證接入用戶服務(wù)（RADIUS）服務(wù)器查找口令，將口令放入MD5哈希生成器，將回應(yīng)報文中收到的哈希值與自己所計算出來的哈希值相比較，如果自己計算出的結(jié)果與所收到的MD5哈希值是一致的，那么CHAP驗證就成功了。驗證成功后，發(fā)送一個CHAP