配置PPP认证

实验7-1：PPP认证配置

1．实验目的

（1）了解PPP的一般概念

（2）理解PPP的认证方式

（3）掌握在CLI方式下使用IOS命令配置PPP及其认证协议

2．实验任务

（1）配置路由器的接口和路由协议；

（2）配置PPP认证；

（3）测试PPP认证的正确性。

3．实验条件

（1）PC机一台，Windows 2000/XP/7操作系统，若使用Win7系统，则还到网上需下载一个超级终端软件。

（2）思科路由器两台

（3）Console电缆、双绞线、DCE/DTE电缆等

4．实验分析

（1）本实验网络拓扑结构图如图1所示。本实验用两台路由器来模拟互连网，使两台计算机在这个模拟互连网上建立起网络连接。

图1实验网络拓扑图

（2）PPP协议

在与其他的路由器连接时，一般采用PPP封装。PPP可以在同步和异步线路上实现路由器与路由器和主机与网络的连接。PPP的基本组件除了用于点对点链路的数据帧、封装格式外，还包括LCP与NCP协议。LCP(Link Control Protocol，链路控制协议)用于数据链路连接的建立、配置与测试，NCP则是一组用于为不同的网络层协议建立支持和配置的协议（Network Control Protocol，网络控制协议），包括IPCP、IPXCP和BCP等。

（3）PPP认证

如果要使用PPP的身份验证功能，则必须在网络协议阶段之前进行，有两种类型的验证，即CHAP(Challenge Handshake Authentication Protocol)和PAP（Password Authentication Protocol）。PAP采用的是一种两次握手方式，远程节点提供用户名与密码，本地节点提供身份验证的确认或拒绝；用户名与密码对由远程网络节点不断地在链路上发送，直到验证被确认或被终结；密码在传输过程种采用地是明文方式，而且发送登录请求地时间和频率完全

由远程节点控制，所以这种验证方式尽管简单，但易受到攻击。CHAP所使用地是三次握手

地验证方式，本地节点提供一个用于身份验证的挑战值，远程节点根据所收到地挑战值计算出一个回应值发送回本地节点，若该值与本地节点的计算结果一致，则远程节点被验证通过；显然一个没有获得挑战值的远程节点是不可能尝试登录并建立连接的，也就是说CHAP是由本地控制着登录的时间与频率；并且由于每次所发送的挑战值都是一个不可预测的随机变量，所以CHAP较之PAP更加安全有效。

（4）PPP认证的配置步骤

①设置认证的主机名和密码

②将认证加载到指定端口上

5．实验步骤

（1）按网络拓扑图连接设备。注意路由器之间用DTE/DCE电缆背对背连接，以模拟

广域网连接。Router1作为DCE端，使用DCE电缆连接，Router2作为DTE端，使用DTE 电缆连接。然后将两根电缆的另一端接插在一起。

（2）配置Router1和Router2：

Router1（DCE端）配置步骤（配置前先进入路由器配置界面）：

键入enable //进入特权模式

键入config t //进入全局配置模式

键入hostname Router1 //修改路由器名

键入enable secret 111111 //修改路由器密码

键入username Router2 password 222222 //指定用户/密码对

键入interface s0 //进入接口模式，设置s0口的WAN连接参数

键入ip address 192.200.10.1 255.255.255.0 //配置s0接口的IP 地址

键入encapsulation PPP //封装PPP 协议

键入ppp authentication CHAP //选择PPP认证方式（CHAP），也可选PAP

键入clock rate 64000 //配置DCE 时钟频率

键入no shutdown //激活接口设置

键入^Z //退回到特权模式

Router2（DTE端）配置步骤（配置前先进入路由器配置界面）：

键入enable //进入特权模式

键入config t //进入全局配置模式

键入hostname Router2//修改路由器名

键入enable secret 222222 //修改路由器密码

键入username Router1 password 111111 //指定用户/密码对

键入interface s0 //进入接口模式，设置s0口的WAN连接参数

键入ip address 192.200.10.2 255.255.255.0 //配置s0接口的IP 地址

键入encapsulation PPP //封装PPP 协议

键入ppp authentication CHAP //选择PPP认证方式（CHAP），也可选PAP

键入no shutdown //激活接口设置

键入^Z //退回到特权模式

（3）检查端口配置

分别在两台路由器的特权模式下键入show interface s0，检查端口的配置参数。

在Router1键入ping 192.200.10.2，或在Router2键入ping 192.200.10.1，检查连通性。

分别在两台路由器的特权模式下输入debug ppp auth，观察PPP协议的CHAP验证过程。

（4）注意事项和排错

?注意查看接口状态，接口和协议都必须是UP；

?若协议是DOWN，通常是封装不匹配、DCE时钟没有配置；

?若接口是DOWN，通常是线缆故障，或参数设置不对；

?DCE电缆所连的接口为DCE端，DTE电缆所连的接口为DTE端；

?在实际使用中，DCE设备通常由ISP配置，用户只需配置DTE设备。本实验是模拟环境，故DCE和DTE均需配置。

6．思考问题

（1）何种场合下需要在路由器上配置PPP？

（2）对PPP配置后使用Show命令观察到的结果进行解释。