任务描述
某公司网络核心使用三层交换设备,实现不同办公子网的互联互通。此外,在企业网络的出口处,安装了一台路由器作为企业网络的出口设备,使用该路由器设备实现公司总部网络的互联互通。 同时,公司还借助专线接入技术,把总部的网络接入Internet,利用Internet网络,和公司在天津的分公司的网络中心路由器连接,实现公司全网互联互通。 为了保护总部网络和分公司网络安全,对公司网络中的路由器做PPP安全认证,因为客户端路由器与电信运营商进行链路协商时要验证身份,实现全公司网络的安全通信。
任务要求
(1)实现园区网安全接入互联网,网络拓扑图如图
(2)路由器端口IP地址设置如表
(3)在两台路由器之间做PPP协议封装,并测试两台路由器的连通性。
知识准备
1.PPP简介
(1)基本概念。 点到点协议(Point-to-Point Protocol,PPP)也叫作P2P,是基于物理链路上传输网络层的报文而设计的,它的校验、认证和连接协商机制有效解决了串行线路网际协议(Serial Line Internet Protocol,SLIP)的无容错控制机制、无授权和协议运行单一的问题。PPP协议的可靠性和安全性较高,且支持各类网络层协议,可以在不同类型的端口和链路上运行,是目前TCP/IP网络中最重要的点到点数据链路层协议。 如图6.5.2所示,PPP协议主要工作在串行端口和串行链路上,用于在全双工的同异步链路上进行点到点的数据传输,利用Modem进行拨号上网就是其典型应用。
PPP协议在物理上可以使用不同的传输介质,包括双绞线、光纤及无线传输介质,其在数据链路层上提供了一套解决链路建立、维护、拆除和上层协议协商、认证等问题的方案,并且支持同步串行连接、异步串行连接、ISDN连接、HSSI连接等。PPP协议具有以下特性。 ①能够控制数据链路的建立。 ②能够对IP地址进行分配和使用。 ③允许同时采用多种网络层协议。 ④能够配置和测试数据链路。 ⑤能够进行错误检测。 ⑥有协商选项,能够对网络层的地址和数据压缩等进行协商。 PPP协议还包含若干附属协议,这些附属协议也称为成员协议。PPP协议的成员协议主要包括链路控制协议(Link Control Protocol,LCP)和网络控制协议(Network Control Protocol,NCP)。 ①LCP协议。 LCP协议主要用于数据链路连接的建立、拆除和监控。LCP协议主要完成最大传输单元(Maximum Transfer Unit,MTU)、质量协议、认证协议、魔术字、协议域压缩、地址和控制域压缩等参数的协商。 ②NCP协议。 NCP协议主要用于协商在该链路上所传输的数据包的格式与类型,以及建立和配置不同网络层协议。
(2)PPP基本建链过程。
PPP链路的建立是通过一系列的协商完成的。其中,链路控制协议除了用于建立、拆除和监控PPP数据链路,还要进行数据链路层特性的协商,如 MTU、认证方式等;网络层控制协议簇主要用于协商在该数据链路上所传输的数据的格式和类型,如IP地址。 PPP在建立链路之前需要进行一系列的协商过程。建立PPP链路大致可以分为如下几个阶段:Dead(链路不可行)阶段、Establish(链路建立)阶段、Authenticate(验证)阶段、Network-Layer Protocol(网络层协议)阶段、Link Terminate(链路终止)阶段,如图
①Dead阶段:链路必须从此阶段开始和结束。当一个外部事件(如一个载波信号或网络管理员配置)检测到物理层可用时,PPP协议就会进入链路建立阶段。在此阶段,LCP状态机有两个状态,即Initial和 Starting。从这个状态迁移到链路建立状态会给LCP状态机发送一个UP事件。当断开连接后,链路会自动回到这个状态。在一般情况下,此阶段是很短的,只是检测到设备在线。 ②Establish阶段:在此阶段中,PPP链路将进行LCP参数协商,协商内容包括MRU、认证方式、魔术字等。LCP 参数协商成功后会进入OPENED状态,表示底层链路已经建立。 ③Authenticate阶段:某些链路可能会在对端验证自己之后才允许网络层协议数据包在链路上传输,在默认值中验证是不要求的。如果某个应用要求对端采用特定的验证协议进行验证,则必须在链路建立阶段发出使用这种协议的请求。只有当验证通过时才可以进入网络层协议阶段,如果验证不通过,则应继续验证而不是转到链路终止阶段。在此阶段中,只允许链路控制协议、验证协议和链路质量检测的数据包进行传输,其他的数据包都应丢弃。 ④Network-Layer Protocol 阶段:在此阶段中,PPP链路将进行NCP协商,通过协商来选择和配置一个网络层协议及相关参数。只有相应的网络层协议协商成功后,才可以通过这条PPP链路发送报文。NCP协商成功后,PPP链路将保持通信状态。 ⑤Link Terminate阶段:即PPP终止链路,可能会由于载波信号的丢失、验证不通过、链路质量不好、定时器超时或管理员操作而关闭链路。PPP协议通过交换终止链路的数据包来关闭链路,当交换结束时,应用就会告诉物理层拆除连接从而强行终止链路。但验证失败时,发出终止请求的一方必须等到收到终止应答,或者重起计数器超过最大终止计数次数后再断开连接。收到终止请求的一方必须等对方先断开连接,且在发送终止应答,以及等至少一次重起计数器超时之后才能断开连接,之后PPP协议回到链路不可用状态。
2.PAP简介
(1)PAP基本概念。
密码认证协议(Password Authentication Protocol,PAP)是两次握手协议,它通过用户名及口令来进行用户身份认证。 (2)PAP认证过程。 PAP不是一种安全的认证协议,并且用户名和口令还会被认证方不停地在链路上反复发送,因此很容易被截获。PAP认证过程如下。 ①当开始认证阶段时,被认证方首先将自己的用户名及口令发送到认证方,认证方根据本端的用户数据库(或Radius服务器)确认是否有此用户,以及口令是否正确。 ②如果正确则发送Ack报文通知对端进入下一阶段协商,否则发送Nak报文通知对端验证失败。 此时,并不直接将链路关闭。只有当认证失败达到一定次数时才关闭链路,以防止因网络误传、网络干扰等因素造成不必要的LCP重新协商。PAP协议在网络中以明文的方式传送用户名及口令,所以安全性不高。PAP认证过程如图
3.CHAP简介
(1)CHAP基本概念。
挑战握手认证协议(Challenge Handshake Authentication Protocol,CHAP)为3次握手协议,它只在网络上传用户名而不传口令,因此其安全性比PAP协议的安全性高。 (2)CHAP认证过程。 CHAP协议是在链路建立开始就完成的,在链路建立完成后的任何时间都可以进行再次认证。CHAP认证过程如下。 ①认证方向被认证方发送一些随机报文,并加上自己的主机名。 ②被认证方收到认证方的验证请求,通过收到的主机名和本端的用户数据库查找用户口令字(密钥),如果找到用户数据库中和认证方主机名相同的用户,就利用接收到的随机报文、此用户的密钥和报文ID用Md5加密算法生成应答,随后将应答和自己的主机名送回。 ③认证方收到此应答后,利用对端的用户名在本端的用户数据库中查找本方保留的口令字,用本方保留的用户的口令字(密钥)、随机报文和报文ID用Md5加密算法生成结果,并与被认证方的应答比较,如果相同则返回Ack,否则返回Nak。CHAP认证过程如图
任务实施
1.PPP封装PAP安全认证 在两台路由器之间做PPP封装PAP验证,RA作为认证方配置认证的用户名和密码,并制定该用户名和密码用于PAP认证;RB作为被认证方配置以PAP方式验证时本地发送的PAP用户名"admin"和密码"Huawei",并测试两台路由器的连通性。
参照图6.5.1搭建网络拓扑、为两台路由器添加2SA模块,并且添加在S 1/0/0端口位置;连线使用Serial线缆和开启所有设备电源。路由器R1的基本配置。
路由器 R2的基本配置。
配置PPP的PAP认证。 R1作为认证端,需要配置本端PPP协议的认证方式为PAP。执行aaa命令,进入AAA视图,配置PAP认证所使用的用户名admin密码Huawei。
查看R1的链路状态信息。 关闭R1与R2相连端口一段时间后再打开,使R1与R2之间的链路重新协商,并检查链路状态和连通性。
配置对端(被认证方)PAP验证。 R1作为认证端,在S 1/0/0端口下配置以PAP方式认证时本地发送的PAP用户名和密码。
查看R1的链路状态信息。
2.PPP封装CHAP安全认证
在两台路由器之间做PPP封装CHAP认证,R1作为认证方,需要配置本端PPP协议的认证方式为CHAP;R2作为被认证方,配置以CHAP方式认证时本地发送的CHAP用户名"admin"和密码"Huawei",并测试两台路由器的连通性。
参照图6.5.1搭建网络拓扑、为两台路由器添加2SA模块,并且添加在S 1/0/0端口位置;连线使用Serial线缆和开启所有设备电源。路由器R1的基本配置。
路由器R2的基本配置。
配置PPP协议的CHAP认证。 R1作为认证端,需要配置本端PPP协议的认证方式为CHAP。执行aaa命令,进入AAA视图,配置CHAP认证所使用的用户名admin密码Huawei。
查看R1的链路状态信息。 关闭R1与R2相连端口一段时间后再打开,使R1与R2之间的链路重新协商,并检查链路状态和连通性。
配置对端(被认证方)CHAP认证。 R2作为被认证端,在S1/0/0端口下配置以CHAP方式认证时本地发送的CHAP用户名和密码。
查看R1的链路状态信息。
任务验收
在R2上查看链路状态。在R1上ping R2,测试路由器之间的互通性,发现结果是通的。
任务小结
(1)路由器两端必须都进行PPP封装。 (2)PAP协议在网络中以明文的方式传送用户名及口令,所以安全性不高。 (3)认证方配置认证的用户名和密码,被认证方配置以PAP方式认证时本地发送的PAP用户名和密码。 (4)CHAP为3次握手协议,它只在网络中传送用户名而不传送口令,因此其安全性比PAP协议的安全性高。