12.CCNA第十二天-PPP广域网点到点协议

PPP point-to-point protocol  点到点协议

 

一种常见的故障  串行链路两端封装格式不一致，导致接口up 协议down

Serial1/0                  202.100.1.1    YES NVRAM  up                    down   

 

获取链路对端接口或者主机的IP地址，形成一个/32的主机路由

 

快速查看某个接口的配置：show run | section username

 

Branch#show run | section username

username HQ password 0 cisco

Branch#show run interface s1/0

Building configuration...

 

Current configuration : 136 bytes

!

interface Serial1/0

bandwidth 10000

ip address 202.100.1.1 255.255.255.0

encapsulation ppp

delay 100

serial restart-delay 0

 

PAP  PPP Authentication Protocol  两次握手

比如：配置家用无线路由器

 

如果认证不通过，则链路层无法 up

HQ#

interface Serial1/0

ip address 2.2.2.2 255.255.255.0

encapsulation ppp

ppp authentication pap  ----要求peer向我提供认证

 

Branch#

nterface Serial1/0

ip address 1.1.1.1 255.255.255.0

encapsulation ppp

ppp pap sent-username qytang password 0 cisco  ----向peer发送用于pap认证的用户名和密码

 

CHAP  挑战握手认证协议  链路两端的设备都会做认证

密码并不在链路上发送，使用hash值来做认证条件

Branch 运营商；HQ 客户端；

 

要点  CHAP认证的两台设备链路两端密码是一样的

 

1、拨号者发起CHAP呼叫

2、被拨号者向拨号者发起挑战数据报文 携带（ 随机数、认证名 设备名或配置的认证用的用户名）

3、拨号者收到挑战数据包，进行计算：

计算元素包括  挑战数据包id、随机值、用户名在本地对应的密码

将这三个元素放入MD5散列生成器，生成一个hash值

4、拨号者发送挑战应答

应答数据报文元素： id（挑战数据报文中的）、hash值、本端设备名或者配置的用来认证的用户名

5、挑战者验证挑战应答数据报文中的hash值，验证依据：

挑战报文中的id、随机值、挑战应答数据报文中的用户名在挑战者本地数据库中检索得到的密码；

6、向拨号者发送认证结果（通过/失败）

 

为什么说安全？

1、密码绝不在链路上发送，别有用心者无法窃取；

2、MD5散列计算，是无法逆推的，也就是说，hash值即使被窃取，窃取者也无法逆推出密码；

 

Branch#sh run | s username

username HQ password 0 cisco

 

HQ#sh run | s username

username Branch password 0 cisco

interface Serial1/0

ip address 2.2.2.2 255.255.255.0

encapsulation ppp

ppp authentication chap

 

 

 

====================================

 

通用路由封装  GRE

IP协议号 47

由IP 封装 IP

 

Branch#sh run int t0

interface Tunnel0

ip address 12.1.1.1 255.255.255.0

ip ospf 110 area 0

tunnel source Serial1/0

tunnel destination 2.2.2.2

 

HQ#sh run int t0

interface Tunnel0

ip address 12.1.1.2 255.255.255.0

ip ospf 110 area 0

tunnel source Serial1/0

tunnel destination 1.1.1.1

 

 

 

 

 

 

 

作业：

1、在HQ和Branch之间的s1/0接口部署CHAP

2、在HQ和Branch上部署GRE tunnel ，使用动态路由协议做到全网互通

 

YY频道 75762929  19：30

 

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">

 

 

 

 

来自为知笔记(Wiz)