Module5廣域網(wǎng)技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)5.1

CHAP和PAP認(rèn)證廣域網(wǎng)概述PPP基本概念PPP報(bào)文格式PPP協(xié)商階段PPP鏈路建立過(guò)程PPP鏈路認(rèn)證PPP認(rèn)證配置流程PPP認(rèn)證協(xié)議配置命令廣域網(wǎng)通常覆蓋很大的地理范圍，提供遠(yuǎn)距離數(shù)據(jù)通信的網(wǎng)絡(luò)。PPP（Point-to-PointProtocol，點(diǎn)到點(diǎn)協(xié)議）是一種常見(jiàn)的廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議，主要用于在全雙工的鏈路上進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸封裝。PPP因支持多種網(wǎng)絡(luò)層協(xié)議，無(wú)重傳機(jī)制、支持多種驗(yàn)證方式等特點(diǎn)得到了廣泛應(yīng)用。本次任務(wù)介紹PPP協(xié)議的工作原理及CHAP、PAP認(rèn)證配置方法。任務(wù)背景準(zhǔn)備知識(shí)廣域網(wǎng)通常使用因特網(wǎng)服務(wù)提供商提供的設(shè)備作為信息傳輸平臺(tái)，對(duì)網(wǎng)絡(luò)通信的要求較高。常見(jiàn)的廣域網(wǎng)通信協(xié)議包括點(diǎn)到點(diǎn)協(xié)議（PPP）、高級(jí)數(shù)據(jù)鏈路控制協(xié)議（HDLC）等。不同的鏈路可以使用不同的數(shù)據(jù)鏈路層協(xié)議，每種數(shù)據(jù)鏈路層協(xié)議都定義了相應(yīng)的數(shù)據(jù)鏈路層封裝的幀格式，數(shù)據(jù)包經(jīng)過(guò)不同的鏈路，就要封裝成對(duì)應(yīng)的幀。廣域網(wǎng)協(xié)議對(duì)應(yīng)OSI的三層模型1.廣域網(wǎng)概述2.PPP基本概念PPP是TCP/IP網(wǎng)絡(luò)中最重要的點(diǎn)到點(diǎn)數(shù)據(jù)鏈路層協(xié)議，主要用于在全雙工的同/異步鏈路上進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸。PPP主要由三類協(xié)議族組成：鏈路控制協(xié)議族LCP（LinkControlProtocol），主要用來(lái)建立、拆除和監(jiān)控PPP數(shù)據(jù)鏈路。網(wǎng)絡(luò)層控制協(xié)議族NCP（NetworkControlProtocol），用來(lái)協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。擴(kuò)展協(xié)議族CHAP（Challenge-HandshakeAuthenticationProtocol）和PAP（PasswordAuthenticationProtocol），主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證。PPP協(xié)議相對(duì)與其它鏈路層協(xié)議有如下優(yōu)點(diǎn)：PPP既支持同步鏈路又支持異步鏈路，而X.25、幀中繼等數(shù)據(jù)鏈路層協(xié)議僅支持同步鏈路，SLIP僅支持異步鏈路。PPP協(xié)議具有良好的擴(kuò)展性，如在以太網(wǎng)鏈路承載PPP協(xié)議時(shí)，可擴(kuò)展為PPPoE。支持鏈路層、網(wǎng)絡(luò)層參數(shù)的協(xié)商。支持認(rèn)證功能，提升網(wǎng)絡(luò)的安全性。無(wú)重傳機(jī)制，網(wǎng)絡(luò)開(kāi)銷小，速度快。3.PPP報(bào)文格式PPP報(bào)文封裝格式PPP幀各字段含義字段名稱含義Flag標(biāo)識(shí)一個(gè)物理幀的起始和結(jié)束，該字節(jié)為0x7EAddress值為全1的廣播地址，對(duì)于PPP協(xié)議來(lái)說(shuō)，該字段無(wú)實(shí)際意義Control該字段默認(rèn)值為0x03，表明為無(wú)序號(hào)幀Protocol用來(lái)區(qū)分PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)包類型，如0021表示為IP數(shù)據(jù)包，C021表示為L(zhǎng)CP報(bào)文、C023表示為PAP報(bào)文、C223表示為CHAP報(bào)文InformationPPP幀的載荷數(shù)據(jù)，包含協(xié)議字段中指定協(xié)議的數(shù)據(jù)包，默認(rèn)最大長(zhǎng)度是1500字節(jié)FCS主要對(duì)PPP數(shù)據(jù)幀傳輸?shù)恼_性進(jìn)行檢測(cè)4.PPP協(xié)商階段PPP鏈路的建立存在五個(gè)協(xié)商階段Dead階段：物理層不可用階段。當(dāng)通信雙方的兩端檢測(cè)到物理線路激活時(shí)，就會(huì)從Dead階段躍遷至Establish階段。鏈路被斷開(kāi)后也同樣會(huì)返回到Dead階段。Establish階段：鏈路建立階段。PPP鏈路進(jìn)行LCP協(xié)商。Authenticate階段：驗(yàn)證階段。PPP提供密碼驗(yàn)證協(xié)議PAP（PasswordAuthenticationProtocol）和質(zhì)詢握手驗(yàn)證協(xié)議CHAP（Challenge-HandshakeAuthenticationProtocol）兩種驗(yàn)證方式。Network階段：網(wǎng)絡(luò)層協(xié)商階段。PPP通過(guò)NCP協(xié)商來(lái)選擇和配置一個(gè)網(wǎng)絡(luò)層協(xié)議并進(jìn)行網(wǎng)絡(luò)層參數(shù)協(xié)商。Terminate階段：網(wǎng)絡(luò)終止階段。PPP運(yùn)行過(guò)程中，物理鏈路斷開(kāi)、認(rèn)證失敗、超時(shí)定時(shí)器時(shí)間到、管理員通過(guò)配置關(guān)閉連接等動(dòng)作都可能導(dǎo)致鏈路進(jìn)入Terminate階段。5.PPP鏈路建立過(guò)程建立過(guò)程：通信雙方開(kāi)始建立PPP鏈路時(shí)，由Dead階段進(jìn)入到Establish階段。然后開(kāi)始進(jìn)行LCP協(xié)商，協(xié)商成功后鏈路處于Opened狀態(tài)，表示底層鏈路已經(jīng)建立。若協(xié)商失敗則退回Dead階段。LCP協(xié)商過(guò)程中，若不存在認(rèn)證，鏈路直接進(jìn)入Network階段。若存在認(rèn)證，鏈路進(jìn)入Authenticate認(rèn)證階段。驗(yàn)證成功，進(jìn)入Network階段；驗(yàn)證失敗，進(jìn)入Terminate階段，拆除鏈路，LCP狀態(tài)轉(zhuǎn)為Down。在Network階段雙方進(jìn)行NCP協(xié)商，協(xié)商成功后，便可通過(guò)這條PPP鏈路發(fā)送報(bào)文。PPP鏈路建立的流程6.PPP鏈路認(rèn)證PAP認(rèn)證過(guò)程PAP認(rèn)證PAP認(rèn)證為兩次握手方式，口令以明文方式在鏈路上發(fā)送。PAP認(rèn)證過(guò)程被認(rèn)證方將攜帶本端用戶名及密碼的Authenticate-Request報(bào)文發(fā)給認(rèn)證方；認(rèn)證方收到被認(rèn)證方發(fā)送的用戶名和密碼信息后，根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫(kù)檢查用戶名和密碼信息是否匹配。如果匹配，則返回Authenticate-Ack報(bào)文，表示認(rèn)證成功；否則，返回Authenticate-Nak報(bào)文，表示認(rèn)證失敗。6.PPP鏈路認(rèn)證CHAP認(rèn)證過(guò)程CHAP認(rèn)證CHAP認(rèn)證過(guò)程為三次握手機(jī)制，在鏈路上不傳輸用戶密碼。CHAP認(rèn)證過(guò)程：認(rèn)證方主動(dòng)發(fā)起認(rèn)證請(qǐng)求，向被認(rèn)證方發(fā)送Challenge報(bào)文，報(bào)文包含認(rèn)證方的用戶名、隨機(jī)數(shù)（Random）和ID字段（認(rèn)證序列號(hào)）。被認(rèn)證方收到此Challenge報(bào)文之后，根據(jù)報(bào)文中的用戶名查找對(duì)應(yīng)的密碼，并結(jié)合隨機(jī)數(shù)和ID字段進(jìn)行哈希運(yùn)算，然后將生成的HASH值和本端的用戶名封裝在Response報(bào)文中發(fā)回認(rèn)證方。認(rèn)證方接收到被認(rèn)證方發(fā)送的Response報(bào)文之后，按照?qǐng)?bào)文中的用戶名在本地查找對(duì)應(yīng)的密碼，然后結(jié)合隨機(jī)數(shù)和ID字段進(jìn)行哈希運(yùn)算，最后將運(yùn)算得到的HASH值和Response報(bào)文中封裝的HASH值做比較，相同則認(rèn)證成功，返回Success報(bào)文；不相同則認(rèn)證失敗，返回Failure報(bào)文。7.PPP認(rèn)證配置流程PAP認(rèn)證配置流程如下：設(shè)置接口封裝協(xié)議為PPP，華為設(shè)備默認(rèn)串口封裝模式為PPP，此步可忽略；認(rèn)證方配置本地用戶，該用戶即為被認(rèn)證方的用戶信息；認(rèn)證方配置鏈路認(rèn)證方式為PAP；被認(rèn)證方配置向認(rèn)證方發(fā)送用于認(rèn)證的自身用戶信息。CHAP認(rèn)證配置流程（認(rèn)證方配置用戶名）如下：設(shè)置接口封裝協(xié)議為PPP，華為設(shè)備默認(rèn)串口封裝模式為PPP，此步可忽略；認(rèn)證方配置本地用戶數(shù)據(jù)庫(kù)，創(chuàng)建被認(rèn)證方的用戶信息；認(rèn)證方配置鏈路認(rèn)證方式CHAP；認(rèn)證方配置用戶名，該用戶名將被封裝在Challenge報(bào)文中發(fā)送給被認(rèn)證方；被認(rèn)證方創(chuàng)建認(rèn)證方的用戶信息；被認(rèn)證方配置用于認(rèn)證的自身用戶名。（1）配置接口封裝的鏈路層協(xié)議命令：link-protocol{PPP|HDLC}說(shuō)明：缺省情況下，接口封裝的鏈路層協(xié)議為PPP視圖：接口視圖舉例：配置路由器R1接口S1/0/0的鏈路層封裝協(xié)議為PPP。[R1]interfaceSerial1/0/0[R1-Serial1/0/0]link-protocolPPP8.PPP認(rèn)證協(xié)議配置命令（2）創(chuàng)建本地用戶創(chuàng)建AAA本地用戶命令：local-userusernamepasswordcipherpassword

說(shuō)明：PAP認(rèn)證方式下，在認(rèn)證方創(chuàng)建本地用戶，該用戶為被認(rèn)證方的用戶信息；CHAP認(rèn)證方式下，認(rèn)證方和被認(rèn)證方都需要?jiǎng)?chuàng)建對(duì)端的用戶信息，且兩端密碼要一致視圖：AAA視圖配置AAA用戶的服務(wù)類型為PPP命令：local-useruser-nameservice-typePPP說(shuō)明：缺省情況下，本地用戶關(guān)閉所有的服務(wù)類型視圖：AAA視圖舉例：R1配置本地AAA用戶（huawei，huawei@123），服務(wù)類型為PPP。[R1]aaa[R1-aaa]local-userhuaweipasswordcipherhuawei@123

[R1-aaa]local-userhuaweiservice-typeppp8.PPP認(rèn)證協(xié)議配置命令（3）配置PPP認(rèn)證類型命令：pppauthentication-mode{PAP|CHAP}說(shuō)明：缺省情況下，PPP協(xié)議不進(jìn)行認(rèn)證視圖：接口視圖舉例1：配置路由器R1接口S1/0/0的認(rèn)證方式為PAP。舉例2：配置路由器R1接口S1/0/1的認(rèn)證方式為CHAP。[R1-Serial1/0/0]pppauthentication-modepap[R1-Serial1/0/1]pppauthentication-modechap8.PPP認(rèn)證協(xié)議配置命令（4）配置PAP認(rèn)證下，被認(rèn)證方配置用于認(rèn)證方驗(yàn)證的PAP用戶名及密碼命令：ppppaplocal-userusernamepasswordcipherpassword

說(shuō)明：被認(rèn)證方發(fā)送的PAP用戶信息要與認(rèn)證方創(chuàng)建的本地用戶一致才能認(rèn)證成功視圖：接口視圖舉例：被認(rèn)證方R2接口S1/0/0配置發(fā)送用于PAP認(rèn)證的用戶信息，用戶名為huawei，密碼為huawei@123。[R2-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認(rèn)證協(xié)議配置命令（5）配置CHAP認(rèn)證下的認(rèn)證用戶名命令：pppchapuserusername

說(shuō)明：該命令配置在認(rèn)證方，用戶名將被封裝在Challenge報(bào)文中發(fā)送給被認(rèn)證方，且被認(rèn)證方要存在與該用戶名一致的本地用戶。該命令配置在被認(rèn)證方，認(rèn)證方將對(duì)此用戶進(jìn)行認(rèn)證，認(rèn)證方要存在與該用戶名一致的本地用戶視圖：接口視圖舉例：認(rèn)證方R1接口S1/0/0上配置的CHAP用戶名huawei。[R1-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認(rèn)證協(xié)議配置命令9.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（1）掌握PPP協(xié)議的工作原理；（2）掌握PAP、CHAP認(rèn)證的配置方法。（一）任務(wù)目的

某公司總部與分支機(jī)構(gòu)通過(guò)PPP鏈路連接，出于安全的考慮，分支機(jī)構(gòu)在接入總部網(wǎng)絡(luò)時(shí)需進(jìn)行PPP認(rèn)證，認(rèn)證通過(guò)后，總、分支網(wǎng)絡(luò)之間才能正常通信。（二）任務(wù)描述（1）拓?fù)鋱D（2）操作流程總分支路由器配置網(wǎng)絡(luò)參數(shù)；公司總部路由器R1作為PPP認(rèn)證方，對(duì)分支接入設(shè)備（被認(rèn)證方）進(jìn)行單向認(rèn)證：分支1接入時(shí)采用PAP認(rèn)證；分支2接入時(shí)采用CHAP認(rèn)證。具體認(rèn)證信息如下：（三）實(shí)施規(guī)劃認(rèn)證方式R1配置本地用戶名/密碼R2R3配置本地用戶名/密碼PAPbranch1/huawei@123————————CHAPbranch2/huawei@456——core/huawei@4569.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（四）操作步驟配置網(wǎng)絡(luò)參數(shù)[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipadd10.1.12.130[R1-Serial1/0/0]ints1/0/1[R1-Serial1/0/1]ipadd10.1.13.130R1配置接口IP地址：

配置PAP單向認(rèn)證

配置CHAP單向認(rèn)證[R2]intSerial1/0/0[R2-Serial1/0/0]ipadd10.1.12.230R2配置接口IP地址：[R3]intSerial1/0/0[R3-Serial1/0/0]ipadd10.1.13.230R3配置接口IP地址：9.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（四）操作步驟[R1]aaa[R1-aaa]local-userbranch1passwordcipherhuawei@123//創(chuàng)建本地用戶信息，與被認(rèn)證方的用戶信息一致。[R1-aaa]local-userbranch1service-typeppp//用戶可使用的服務(wù)為PPP[R1-aaa]ints1/0/0[R1-Serial1/0/0]pppauthentication-modepap

//指定認(rèn)證方式為PAP，此時(shí)該設(shè)備為PAP認(rèn)證方R1配置PAP認(rèn)證方：[R2]ints1/0/0[R2-Serial1/0/0]ppppaplocal-userbranch1passwordcipherhuawei@123

//配置被認(rèn)證方發(fā)送的PAP認(rèn)證用戶信息R2配置PAP被認(rèn)證方：配置網(wǎng)絡(luò)參數(shù)配置PAP單向認(rèn)證

配置CHAP單向認(rèn)證9.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（四）操作步驟[R1]aaa[R1-aaa]local-userbranch2passwordcipherhuawei@456[R1-aaa]local-userbranch2service-typeppp[R1-aaa]ints1/0/1[R1-Serial1/0/1]pppchapusercore

//配置CHAP認(rèn)證用戶名，與被認(rèn)證方的本地用戶信息一致[R1-Serial1/0/1]pppauthentication-modechap

//指定認(rèn)證方式為CHAP，此時(shí)該設(shè)備為CHAP認(rèn)證方R1配置CHAP認(rèn)證方：[R3]aaa[R3-aaa]local-usercorepasswordcipherhuawei@456[R3-aaa]local-usercoreservice-typeppp[R3-aaa]ints1/0/0[R3-Serial1/0/0]pppchapuserbranch2R3配置CHAP被認(rèn)證方：配置網(wǎng)絡(luò)參數(shù)配置PAP單向認(rèn)證配置CHAP單向認(rèn)證9.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（五）實(shí)驗(yàn)測(cè)試查看接口狀態(tài)信息R1查看接口S1/0/0信息：[R1]disints1/0/0Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0312:21:28UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis10.1.12.1/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0312:21:22UTC-08:00Lastphysicaldowntime:2021-05-0312:21:21UTC-08:00Currentsystemtime:2021-05-0313:56:57-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任務(wù)實(shí)施：CHAP和PAP認(rèn)證配置（五）實(shí)驗(yàn)測(cè)試查看接口信息R1查看接口S1/0/1信息：[R1]disints1/0/1Serial1/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0313:54:10UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/1InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis10.1.