1、實(shí)驗(yàn)十五點(diǎn)對(duì)點(diǎn)ppp協(xié)議pap認(rèn)證一、實(shí)驗(yàn)?zāi)康暮鸵?了解點(diǎn)對(duì)點(diǎn)協(xié)議（ppp）的工作原理掌握ppp協(xié)議兩種認(rèn)證方式的特點(diǎn)和區(qū)別掌握ppp協(xié)議的配置以及pap認(rèn)證協(xié)議的配置二、實(shí)驗(yàn)設(shè)備模擬軟件：cisco paekettracer53_setup_no_tutoricils設(shè)備：路由器2臺(tái)，串口線一-根三、實(shí)驗(yàn)內(nèi)容在兩臺(tái)路rh器上配置pap或chap驗(yàn)證協(xié)議，在鏈路協(xié)商時(shí)保證安全驗(yàn)證。鏈路協(xié)商時(shí)密 碼以密文的方式傳輸，更安全。具體包括pap單向認(rèn)證和pap雙向認(rèn)證，以及chap單 向或雙向認(rèn)證。四、實(shí)驗(yàn)拓?fù)?、pap單向認(rèn)證2、pap雙向認(rèn)證1、pap單向認(rèn)證圖1 pap單向認(rèn)證2、pap雙向認(rèn)

2、證use rname=us erb password=p£user name二usera pas sword二papap雙向認(rèn)證五、背景描述你是公司的網(wǎng)絡(luò)管理員，公司為了滿足不斷增長(zhǎng)的業(yè)務(wù)需求，申請(qǐng)了專線接入，你的客八端 路由器與isp進(jìn)行鏈路協(xié)商時(shí)要驗(yàn)證身份，配置路由器保證鏈路的建立，并考慮其女全性。六、相關(guān)知識(shí)1、ppp協(xié)議點(diǎn)到點(diǎn)協(xié)議（point to poim protocol, ppp）是 ietf （internet engineering task force,因特網(wǎng) 工程任務(wù)組）推出的點(diǎn)到點(diǎn)類型線路的數(shù)據(jù)鏈路層協(xié)議。它解決了 slip屮的問(wèn)題，并成為 正式的因特網(wǎng)標(biāo)準(zhǔn)。

3、ppp支持在各種物理類型的點(diǎn)到點(diǎn)串行線路上傳輸上層協(xié)議報(bào)文。ppp 有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認(rèn)證服務(wù)、對(duì)以以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁等等。這些豐富的選項(xiàng)增強(qiáng)了 ppp的功能。同時(shí), 不論是異步撥號(hào)線路還是路由器之間的同步鏈路均可使川。因此，應(yīng)丿ij十分廣泛。ppp提供了兩種nj選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議pap (password authentication protocol, pap)和質(zhì)詢握手協(xié)議(challenge handshake authentication protocol, chap)。如果雙方協(xié)商達(dá) 成一致，也町以不使用

4、任何身份認(rèn)證方法。2、pap驗(yàn)證原理pap是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議。如圖3所示。ppp"蛤廿竺竺蘭_如”務(wù)柏pap認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信過(guò)程中不再進(jìn)行 認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路。pap的弱點(diǎn)是用八的用戶名和密碼是明文發(fā)送的, 有可能被協(xié)議分析軟件捕獲而導(dǎo)致安全問(wèn)題。但是，因?yàn)檎J(rèn)證只在鏈路建立初期進(jìn)行，節(jié)省 了寶貴的鏈路帶寬。3、pap認(rèn)證過(guò)程在上圖1中，當(dāng)認(rèn)證客戶端(被認(rèn)證一端)路由器發(fā)送了用戶名或口令后，認(rèn)證服務(wù)器會(huì) 將收到的用戶名或口令利本地口令數(shù)據(jù)庫(kù)中的相應(yīng)信息對(duì)比，如果正確則身份認(rèn)證成功，通 信雙方的鏈路最終成功建立。如

5、杲被認(rèn)證一端路由器發(fā)送了錯(cuò)誤的用戶名或口令，認(rèn)證服務(wù) 器將繼續(xù)不斷發(fā)送身份認(rèn)證要求指導(dǎo)收到正確的用戶名和口令為止。七、實(shí)驗(yàn)步驟步驟1基本配置(包括ip地址配置，服務(wù)端時(shí)鐘配置)router-pt r1router-pt r2se 2/0se 2/0用戶撥號(hào)電信朋務(wù)器端router>enrouter#conf tenter configuration commands, one per line end with cntl/zrouter(config) #hos(router(config)#hosmame rlrl(config)#int se 2/0rl(configid#ip ad

6、drl(config-if)#ip address 192.16&12.1 255.255.255.0rl(config-if)#no shurl(config-if)#no shutdownrouter>enrouter#conf tenter configuration commands, one per line. end with cntl/zrouter(config)#hostrouter(config)#hostname r2r2(config)#int se 2/0r2(config-if)#ip add 192.168.12.2 255.255.255.0r2(

7、config-if)#clock rate 128000r2(config-if)#no shutr2(config-if)#no shutdown%link-5-changed: interface serial2/0, changed state to upr2(config-if) #%lineproto-5-updown: line protocol on interface serial2/0, changed state to up r2(config-if)#cxitr2( config) #exit%sys-5-config_i: configured from console

8、 by consoler2#ping 192.16 &12測(cè)試 r2#ping 192.168.12.1type escape sequence to abort.sending 5, 100-byte icmp echos to 192.168.12.1, timeout is 2 seconds:!success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms步驟二、pap用戶端設(shè)置rl(config)#int se 2/0rl(config-if)#encapsulation ppp/封裝ppp協(xié)議r

9、l(config-if)#ppp pap sent-userncime rl password 123456/被驗(yàn)證方在ppp 驗(yàn)證階段，發(fā)送白 己的用戶名和密碼到主驗(yàn)證方。rl(config-if)#no shutdownpap服務(wù)器端r2#config tenter configuration commands, one per line end with cntl/zr2(config)#username rl password 123456將client 端的川戶名和密碼寫入server 端的 r2(config)#int se 2/0r2(config-if)#encapsulaion ppp%lineproto-5-updown: line protocol on interface serial2/0, changed state todownr2(config-if)#ppp autr2(config-if)#ppp authentication papr2(config-if)#no shutdown測(cè)試：1 > ping 192.16&12.22、rl#show int se 2/0seri al 2/0 is up, line protocol is up (connected)3 #debug ppp authent