点到点协议(Point⁃to⁃Point Protocol,PPP)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。PPP主要是通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。PPP中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。PPP包含这样几个部分:链路控制协议(Link Con⁃trol Protocol,LCP);网络控制协议(Network Control Protocol,NCP);认证协议,最常用的包括密码验证协议(Password Authentication Protocol,PAP)和挑战握手验证协议(Challenge-Handshake Authentication Protocol,CHAP)。LCP负责创建、维护或终止一次物理连接。NCP是一组协议,负责解决物理连接上运行什么网络协议,以及解决上层网络协议发生的问题。一个典型的链路建立过程分为3个阶段:创建阶段、认证阶段和网络协商阶段。
PPP认证方式包括PAP和CHAP,其中PAP是一种简单的明文验证方式。网络接入服务器(Network Access Server,NAS)要求用户提供用户名和密码,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易地获取被传送的用户名和密码,并利用这些信息与NAS建立连接来获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP将无法提供避免受到第三方攻击的保障措施。
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战密码,其中包括会话ID和一个任意生成的挑战字串。而远程客户必须使用MD5单向哈希算法返回用户名、加密的挑战密码。
CHAP对PAP进行了改进,不再直接通过链路发送明文密码,而是使用挑战密码以哈希算法对密码进行加密。因为服务器端存有客户的明文密码,所以服务器可以重复客户端进行的操作,并将结果与用户返回的密码进行对照。CHAP验证每一次任意生成的挑战字串来防止受到再现攻击(Replay Attack)。在连接过程中,CHAP将不定时地向客户端重复发送挑战密码,从而避免第三方冒充远程客户进行攻击。
【任务目标】
掌握PPP的封装和配置。
【实现过程】
配置PPP一般先创建认证用户,然后封装PPP,最后配置认证。配置PPP的网络拓扑,如图4-9所示。(www.xing528.com)
图4-9 配置PPP拓扑图
路由器R1和R2的S0端口均封装PPP,同时采用CHAP做认证,在R1中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为R2。同时在R2中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为R1。所建立的这两用户的密码必须相同。
R1的配置如下。
R2的配置如下。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。