1、第五章 HDLC和PPP一、HDLC 二、PPP的功能及原理 三、ppp的驗證 1一、HDLC HDLC（高級數據鏈路控制） HDLC是面向位的，在同步串行數據鏈路上進行幀封裝的 ISO標準 各字段的含義為： 1、Flag：標志位，表示幀的開始，為十六進制值7F。 2、Address：地址位，12B，用來在多點的網絡環境中對目的設備尋址。 3、Control:控制位，表示幀的類型，如信息幀，管理幀等。 4、Proprietary：專有位，是Cisco增加的，標明是Cisco專有的 HDLC。 5、Data：數據位，封裝的數據。 6、FCS：幀校驗序列。 7、Flag:標志位，表示幀的結束，為十

2、六進制值7E。2缺省時，Cisco路由器的串口時采用HDLC封裝的 如果串口的封裝不是HDLC，要把封裝改為HDLC，可使用命令“encapsulation hdlc” 實例1 HCLC的配置。R1 (config) # interface s0/0R1 (config-if) # encapsulation hdlcR2 (config) # interface s0/0R2 (config-if) # encapsulation hdlc3二、PPP的功能及原理1、 PPP概述 PPP協議是為了解決以前互聯網所采用的SLIP協議的缺點而開發的，PPP協議能夠解決動態分配IP地址的需要，并提

3、供對上層網絡層的多種協議的支持。無論是同步電路還是異步電路，PPP協議能夠在路由器之間建立連接 。PPP經過4個過程在一個點到點的鏈路上建立通信連接： (1).鏈路的建立和配置協調：通信的發起方發送LCP幀來配置和檢測數據鏈路。 (2).鏈路質量檢測：在鏈路已經建立、協調之后進行，這一階段是可選的。 (3).網絡層協議配置協調：通信的發起方發送NCP幀以選擇并配置網絡層協議。 (4).關閉鏈路：通信鏈路將一直保持到LCP或NCP幀關閉鏈路或發生一些外部事件。 4PPP的幀格式：（1） Flag:標志位，指示幀的開始或結束，為十六進制值7F。（2） Address:地址字段，為十六進制值FF，P

4、PP不制定單個工作站的地址，而是標準的廣播地址。（3） Control:控制字段，為十六進制值03。（4） Protocol:用于表示封裝在幀中的數據字段的協議類型。（5） Data:數據字段，封裝的數據。（6） FCS:幀校驗字段，進行差錯控制。5三、ppp的驗證 在ppp會話中驗證階段是可選的，如果要驗證，那么驗證將發生在第二階段。驗證分PAP和CHAP 兩種。1、PAP密碼驗證協議 在PPP鏈路建立完畢后，源端節點將不停地在鏈路上反復發送用戶名和密碼，直到驗證通過，否則連接被終止。在PAP的驗證中，密碼在鏈路上是以明文傳輸的，而且由于遠端節點控制驗證重試頻率和次數，因此不能防范再發生攻擊

5、和重復的嘗試攻擊。遠程節點受到登陸嘗試的頻率和定時的限制。 6PAP驗證的配置 ： (一).配置單向驗證路由器B在路由器A上取得驗證 1、在路由器A串口采用PPP封裝，用“encapsulaton”命令: RouterA（config-if）# encapsulation ppp 2、在路由器A上，配置PAP驗證，使用“ppp authentication pap”命令: RouterA（config-if）# ppp authentication pap 3、在路由器A上為路由器B設置用戶名和密碼， 使用“username 用戶名 password 密碼”命令: RouterA(config

6、)# username RouterB password 123456 4、在路由器B串口采用PPP封裝，用“encapsulaton”命令: RouterB（config-if）# encapsulation ppp 5、在路由器B上，配置以什么用戶名和密碼在路由器A上登陸， 使用“ppp pap sent-username 用戶名 password 密碼”命令 : RouterB(config -if)# ppp pap sent-username RouterB password 123456 7 (二).配置單向驗證路由器A在路由器B上取得驗證 1、在路由器B串口采用PPP封裝，用“e

7、ncapsulaton”命令: RouterB（config-if）# encapsulation ppp 2、在路由器B上，配置PAP驗證，使用“ppp authentication pap”命令: RouterB（config-if）# ppp authentication pap 3、在路由器B上為路由器A設置用戶名和密碼， 使用“username 用戶名 password 密碼”命令: RouterB(config)# username RouterA password 654321 4、在路由器A串口采用PPP封裝，用“encapsulaton”命令: RouterA（config-

8、if）# encapsulation ppp 5、在路由器A上，配置以什么用戶名和密碼在路由器B上登陸， 使用“ppp pap sent-username 用戶名 password 密碼”命令 : RouterA(config -if)# ppp pap sent-username RouterA password 654321 8 2、 CHAP詢問握手驗證協議 CHAP驗證過程在鏈路建立之后完成，而且在以后的任何時候都可以再次進行。CHAP周期性驗證的特性使得鏈路更為安全，并且CHAP不允許連接發起方在沒有收到詢問消息的情況下進行驗證嘗試。CHAP每次使用不同的詢問消息，每個消息都是不可預

9、測的唯一的值。并且CHAP不直接傳送密碼，只傳送一個不可預測的詢問消息，以及該詢問消息與密碼經過MD5加密運算后的加密值。所以CHAP可以防止再生攻擊，CHAP的安全性比PAP還要高。 9（1） 中心路由器A上為遠程路由器B設置用戶名和密碼，使用“username 用戶名 password 密碼”命令，用戶名為遠程路由器的名稱。 RouterA(congfig) # username RouterB password 111111（2） 中心路由器A上的串口采用PPP封裝，配置CHAP驗證。 RouterA(congfig-if) # encapsulation ppp（3）中心路由器A上配置

10、CHAP驗證，使用“ppp authentication chap”命令。 RouterA(congfig-if) # ppp authentication chap（4） 在遠程路由器上的串口采用PPP封裝，用“encapsulation”命令 RouterB(congfig-if) # encapsulation ppp（5） 在遠程路由器上為中心路由器設置用戶名和密碼。 RouterB(congfig) # username RouterA password 111111 以上的步驟同樣只是配置了單向驗證（路由器B在路由器A上取得驗證）。要采用雙向驗證，還要增加一個步驟。（6） 在遠程路由器上的串口配置CHAP驗證，使用“ppp authentication chap”命令 RouterB(congfig-if) # ppp authentication