公共网络链路PPP的封装配置优化方案

学习目标

·理解DCE、DTE的概念

·掌握广域网PPP的封装配置

任务引言

PPP协议为点到点协议，提供了成帧、链路控制和网络控制等功能。PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。

知识引入

PPP是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。其设计的目的主要是通过拨号或专线方式建立点对点连接来发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

工作任务——公共网络链路PPP的封装配置

【工作任务背景】

企业A总公司与分公司之间由两条链路构成公共网络，分别是电信链路和移动链路。电信链路由路由器Isprtr2和Isprtr3模拟构成。要实现电信链路的正常通信，需要封装通信协议，而PPP协议是最简单的路由通信协议。拓扑图如图4－1－1所示。

图4－1－1　PPP封装

【工作任务分析】

若PPP配置成功，则在Isprtr1和Isprtr2及Isprtr1和Isprtr3之间建立一条PPP链路，两端之间能够正常通信。详细的参数要求见表4－1－1。

表4－1－1　公共网络信息

【任务实现】

1.首先对路由器进行初始化设置。配置Isprtr1路由器的主机名、日志自动换行、禁止域名查询、配置安全加密的特权密码，并根据表4－1－1配置网络地址。

2.配置Isprtr2路由器的主机名、日志自动换行、禁止域名查询、配置安全加密的特权密码，并根据表4－1－1配置网络地址。

3.配置Isprtr3路由器的主机名、日志自动换行、禁止域名查询、配置安全加密的特权密码，并根据表4－1－1配置网络地址。

4.在Isprtr1路由器上将Se0/0/0和Se0/0/1广域网接口封装模式改为PPP。

5.在Isprtr2路由器上将Se0/0/0广域网接口封装模式改为PPP。

6.在Isprtr3路由器上将Se0/0/0广域网接口封装模式改为PPP。(www.xing528.com)

7.在所有路由器上启用CHAP身份验证，确保链路的安全性。用户名均为路由器名称，密码统一使用“P＠ssw0rd123”。

8.配置成功后，在路由器上使用指令检查路由器广域网接口状态，如图4－1－2所示。

图4－1－2　PPP封装

9.使用“ping”验证接口网络连通性，如图4－1－3所示。

图4－1－3　连通性测试

问题探究

1.若路由器Isprtr1和Isprtr2均不配置PPP协议，则连通性如何?

2.采用默认封装，是否可以启用身份验证?

知识拓展

1.广域网接口封装

作用:设置接口的封装协议。

encapsulation－type:封装类型，如frame－relay(帧中继)PPP x25 dhlc等。

2.密码认证协议

密码认证协议(Password Authentication Protocol，PAP)，是PPP协议集中的一种链路控制协议，主要是通过使用2次握手提供一种对等节点的建立认证的简单方法，这是建立在初始链路确定的基础上的。完成链路建立阶段之后，对等节点持续重复发送ID/密码给验证者，直至认证得到响应或连接终止。

对等节点控制尝试的时间和频度，所以即使是更高效的认证方法(如CHAP)，要使其实现，必须在PAP之前提供有效的协商机制。

该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下，该方法提供了与常规用户登录远程主机相似的安全性。

3.握手认证协议

PPP询问握手认证协议(Challenge Handshake Authentication Protocol，CHAP)，通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

询问握手认证协议通过三次握手周期性地校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。

①链路建立阶段结束之后，认证者向对端点发送“challenge”消息。

②对端点用经过单向哈希函数计算出来的值做应答。

③认证者根据它自己计算的哈希值来检查应答，如果值匹配，认证得到承认；否则，连接应该终止。

④经过一定的随机间隔，认证者发送一个新的challenge给端点，重复步骤①～③。

项目拓展

根据所学知识，完成企业链路的PPP封装，并设置CHAP，进行双向认证、单向认证。