任務(wù)17

配置PPP17.1任務(wù)描述某公司因業(yè)務(wù)拓展建立了分公司，為保障公司總部與分公司的網(wǎng)絡(luò)通信，租用了電信運營商的專線。業(yè)務(wù)拓展需求需要在公司的路由器上配置PPP協(xié)議以及PPP身份認證，以建立穩(wěn)定的網(wǎng)絡(luò)連接和保障通信線路的可靠傳輸，實現(xiàn)安全可靠的點對點連接。網(wǎng)絡(luò)連接要求17.2任務(wù)目標了解PPP的基本概念；理解PPP的基本建鏈過程；掌握PPP的認證方式。知識目標01能夠完成基本的PPP配置；能夠配置PPP認證。技能目標02具備快速適應(yīng)新環(huán)境、新任務(wù)的能力，能應(yīng)對各種變化。能力目標0304創(chuàng)新目標選用合適的PPP認證方式，保障網(wǎng)絡(luò)通信安全。17.3知識準備17.3.1PPP概述PPP是TCP/IP網(wǎng)絡(luò)中廣泛使用的點到點數(shù)據(jù)鏈路協(xié)議，用于建立并管理點對點的連接。協(xié)議定義01020304PPP屬于數(shù)據(jù)鏈路層的協(xié)議，工作在串行接口和串行鏈路上。工作層次PPP所構(gòu)成的一條PPP鏈路只能直接連接兩個網(wǎng)絡(luò)設(shè)備（如路由器），不能像交換型以太網(wǎng)那樣接入多臺主機和設(shè)備。適用鏈路PPP主要包括鏈路控制協(xié)議（LCP）和網(wǎng)絡(luò)控制協(xié)議（NCP）。構(gòu)成部分17.3.1PPP概述LCP主要負責(zé)數(shù)據(jù)鏈路連接的建立、拆除和監(jiān)控，還能完成最大傳輸單元（MTU）、質(zhì)量協(xié)議、驗證協(xié)議等參數(shù)的協(xié)商。LCP作用01NCP主要用于協(xié)商在該鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型，建立和配置不同的網(wǎng)絡(luò)層協(xié)議。NCP作用0217.3.1PPP概述：PPP建鏈過程PPP在建立鏈路之前要進行一系列的協(xié)商，大致可以分為5個階段：鏈路不可行(Dead)階段、鏈路建立(Establish)階段、驗證(Authenticate)階段、網(wǎng)絡(luò)層協(xié)議(Network-LayerProtocol)階段、鏈路終止(LinkTerminate)階段。17.3.1PPP概述：PPP建鏈過程PPP鏈路必須從此階段開始和結(jié)束，點到點網(wǎng)絡(luò)中的節(jié)點等待物理鏈路的激活。通信雙方互相發(fā)送LCP報文進行參數(shù)協(xié)商，協(xié)商失敗回退到鏈路不可行階段，成功且需認證則進入驗證階段，無需認證則進入網(wǎng)絡(luò)層協(xié)議階段。PPP鏈路進行NCP協(xié)商，選擇和配置網(wǎng)絡(luò)層協(xié)議相關(guān)參數(shù)，協(xié)商成功后保持通信狀態(tài)。PPP可以在任意時間終止鏈路。鏈路不可行階段鏈路建立階段網(wǎng)絡(luò)層協(xié)議階段鏈路終止階段如果鏈路兩端配置了認證，則配置為認證方的設(shè)備會發(fā)起對被認證方的身份驗證過程。此階段只允許特定數(shù)據(jù)包傳輸，其他數(shù)據(jù)包會被丟棄。驗證階段17.3.1PPP概述：PPP身份認證PPP身份認證在網(wǎng)絡(luò)中起到重要作用，能確保只有經(jīng)過驗證的用戶才能訪問網(wǎng)絡(luò)資源。PPP身份認證主要有兩種方式：PAP認證和CHAP認證。認證方式認證重要性17.3.1PPP概述：PPP身份認證PAP認證是一種“兩次握手”認證方式，通過用戶名及口令來進行用戶的驗證。認證性質(zhì)PAP認證被認證方首先將自己的用戶名及口令發(fā)送到認證方，認證方根據(jù)本端的用戶數(shù)據(jù)庫查看是否有此用戶，口令是否正確。若正確，發(fā)送Authenticate-Ack報文通知對端進入下一階段協(xié)商；否則發(fā)送Authenticate-Nak報文通知對端驗證失敗。認證過程17.3.1PPP概述：PPP身份認證CHAP認證是一種“三次握手”認證方式，只在網(wǎng)絡(luò)上傳輸用戶名而不傳輸口令，安全性比PAP高。認證性質(zhì)01首先認證方向被認證方發(fā)送隨機報文和自己的主機名；被認證方收到后，查找對應(yīng)口令并加密生成應(yīng)答報文送回；認證方收到應(yīng)答報文后，比較結(jié)果，相同則返回Ack報文，否則返回Nak報文。認證過程02CHAP認證17.3.2配置PPP

如下圖所示，路由器R1和R2之間通過串行接口互聯(lián)，連接兩臺路由器的串行接口運行PPP。在兩臺路由器上配置和啟用PPP，實現(xiàn)路由器R1和R2互通。17.3.2配置PPP：配置思路在配置好IP地址后，啟用PPP協(xié)議，以建立穩(wěn)定的點對點連接。PPP協(xié)議啟用在路由器R1和R2上分別配置接口的IP地址，為網(wǎng)絡(luò)通信提供基礎(chǔ)。接口IP地址配置17.3.2配置PPP：配置過程(1)配置路由器R1串行接口的IP地址和PPP。<Huawei>system-view[Huawei]sysnameR1[R1]interfaceserial0/0/1[R1-Serial0/0/1]ipaddress10.10.10.124[R1-Serial0/0/1]link-protocolppp(2)配置路由器R2串行接口的IP地址和PPP。<Huawei>system-view[Huawei]sysnameR2[R2]interfaceserial0/0/1[R2-Serial0/0/1]ipaddress10.10.10.224[R2-Serial0/0/1]link-protocolppp17.3.2配置PPP：配置驗證

在路由器R1的Serial0/0/1接口、R2的Serial0/0/1接口上分別輸入displayinterfaceserial0/0/1命令，測試PPP封裝情況。此處僅以R1為例，測試結(jié)果如下：[R1-Serial0/0/1]displayinterfaceserial0/0/1Serial0/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2020-01-2015:44:49UTC-08:00Description:HUAWEI,ARSeries,Serial0/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis10.10.10.1/24LinklayerprotocolisPPPLCPopened,IPCPopened接口信息里的哪些內(nèi)容能反映PPP的相關(guān)信息？17.3.3配置PAP認證根據(jù)下圖所示的網(wǎng)絡(luò)拓撲，完成兩臺路由器的PAP認證配置，認證的用戶名為“ABC”，口令為“123”。17.3.3配置PAP認證：配置思路01需配置路由器R1和R2的接口IP地址，同時啟用PPP協(xié)議，為后續(xù)認證做基礎(chǔ)準備。02在路由器R1的aaa數(shù)據(jù)庫上配置用于PAP認證的用戶名和口令，指定該用戶名和口令用于PPP的PAP認證，并啟用PPP。03在路由器R2上設(shè)置PAP認證的用戶名和口令，以便與R1進行認證交互。配置接口IP并啟用PPPR1配置認證信息R2設(shè)置認證信息17.3.3配置PAP認證：配置過程(1)路由器R1的配置。命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]aaa[R1-aaa]local-userABCpasswordcipher123//在路由器R1上配置PAP認證的用戶名和口令[R1-aaa]local-userABCservice-typeppp[R1]interfaceserial0/0/1[R1-Serial0/0/1]ipaddress10.10.10.124//配置路由器R1Serial0/0/1接口的IP地址[R1-Serial0/0/1]link-protocolppp//在Serial0/0/1接口啟用ppp[R1-Serial0/0/1]pppauthentication-modepap//指定認證方式為PAP(2)路由器R2的配置。命令如下：<Huawei>system-view[Huawei]sysnameR2[R2]interfaceserial0/0/1[R2-Serial0/0/1]ipaddress10.10.10.224[R2-Serial0/0/1]link-protocolppp[R2-Serial0/0/1]ppppaplocal-userABCpasswordcipher123//指定PAP認證的用戶名和口令17.3.3配置PAP認證：配置驗證使用debuggingppppapall命令在路由器R2上查看PAP認證的詳細信息。驗證方法01<R2>debuggingppppapallAug25201905:30:24.280.4+00:00R2PPP/7/debug2:PPPStateChange:Serial0/0/1PAP:Initial-->SendRequestAug25201905:30:24.290.3+00:00R2PPP/7/debug2:PPPStateChange:Serial0/0/1PAP:SendRequest-->ClientSuccess…示例驗證結(jié)果0217.3.4配置CHAP認證如下圖所示，完成兩臺路由器的CHAP認證配置，認證的用戶名為“ABC”，口令為“123”。17.3.4配置CHAP認證：配置思路同樣要配置路由器R1和R2的接口IP地址，啟用PPP協(xié)議，構(gòu)建通信基礎(chǔ)。配置接口IP并啟用PPP在路由器R2上設(shè)置CHAP認證的用戶名和口令，用于響應(yīng)R1的認證請求。R2設(shè)置認證信息在路由器R1上配置認證的用戶名和口令，指定該用戶名和口令用于PPP的CHAP認證，并啟用PPP。R1配置認證信息17.3.4配置CHAP認證：配置過程(1)路由器R1的配置。命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]aaa[R1-aaa]local-userABCpasswordcipher123//在路由器R1上配置CHAP認證的用戶名和口令[R1-aaa]local-userABCservice-typeppp//在路由器R1指定該口令應(yīng)用于PPP認證[R1]interfaceserial0/0/1[R1-Serial0/0/1]ipaddress10.10.10.124//配置路由器R1的Serial0/0/1接口的IP地址[R1-Serial0/0/1]link-protocolppp//在Serial0/0/1接口啟用PPP[R1-Serial0/0/1]pppauthentication-modechap//指定認證方式為CHAP(2)路由器R2的配置。命令如下：<Huawei>system-view[Huawei]sysnameR2[R2]interfaceserial0/0/1[R2-Serial0/0/1]ipaddress10.10.10.224[R2-Serial0/0/1]link-protocolppp[R2-Serial0/0/1]pppchapuserABC//指定CHAP認證的用戶名[R2-Serial0/0/1]pppchappasswordcipher123//指定CHAP認證的口令17.3.4配置CHAP認證：配置驗證

使用debuggingpppchapall命令在路由