局域网封装:Ethent 2 IEEE 802.3 广域网封装:HDLC PPP (帧中继 FR* ATM*)
1、HDLC:高级数据链路控制协议 cisco 广域网链路的默认封装 Cisco私有HDLC,加入控制字段(可以描述上层使用协议) 工业标准HDLC(仅仅支持上层使用IP协议) 定义接口封装为HDLC
R1(config)#int s1/1 R1(config-if)#encapsulation hdlc2、PPP:点对点协议 LCP:链路控制协议:用于检测物理链路的封装 PPP认证:pap(密码认证协议)、chap(质检握手挑战协议) NCP协商:网络控制协议,用于协商上层使用协议,CDPCP、IPCP会自动发送自己的主机路由 (1)PAP认证 是一种简单的一次性认证,受到攻击不能自动测检
主认证方: 定义密钥数据库,接口启用pap R1(config)#username R2 password 123 R1(config)#int s1/1 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap 被认证方: 发送pap的用户名和密码 R1(config)#int s1/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp pap sent-username R2 password 123支持双方认证,认证用户名和密码可以不一致
(2)CHAP认证 进行PPP chap三次握手复杂多次认证(基于MD5),能够受到攻击自动检测PPP会话 (在chap 双向认证中,双方密码必须保持一致,否则认证失败 )
主认证方: R1(config)#int s1/1 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap 被认证方: 发送主机名和密码的MD5值 R1(config)#int s1/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp chap hostname R1 R1(config-if)#ppp chap password 123 R1(config-if)#exit阻止对应主机路由加表:
R1(config)#int s1/1 R1(config-if)#no peer neighbor-route R1(config-if)#exit检测题: (1)简述PPP协议的优点,支持同步或一部串行链路的传输
支持多种网络层协议支持错误检测支持网络层的地址协商支持用户认证允许进行数据压缩(2)简述PAP和CHAP认证的区别:
PAP是一种简单的明文认证方式,NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息,很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传输的用户名和口令,并利用这些信息与NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免到第三方攻击的保障措施。CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令,其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和密码的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。 CHAP和PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一个验证任意生成一个挑战字串来防止受到再现攻击。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而第三方冒充远程客户进行攻击。创作者:Eric· Charles
