PPP协议的配置与认证摘要本课程设计主要是利用Boson模拟器Netsim搭建一个网络模拟环境，在此环境中建立一个的路由器的拓扑网，并对路由器进行PPP协议配置，待所有的路由器配置好后，利用PAP和CHAP对路由器进行认证，并分别对其进行测试。

根据认证和测试结果来分析该PPP协议的配置和认证的正确性。

若使用Ping命令后两者是连通的说明该配置和认证是成功的。

关键词BosonNetsim；网络仿真；PPP协议；PAP认证；CHAP认证1 引言广域网协议指Internet上负责路由器与路由器之间连接的数据链路层协议。

而常用的广域网有点对点的协议、高级数据链路控制协议、帧中继交换网、同步数据链路控制（SDLC）协议。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet 和Novell 的Internet 网包交换（IPX）。

本课程设计是搭建一个模拟环境，并在路由器上进行PPP配置，用PAP和CHAP对其进行认证和测试。

1.1课程设计的背景和目的计算机网络课程设计是《计算机网络》理论课的辅助环节。

PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。

家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。

目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。

因为PPP协议有简单完整的特点使所以得到了广泛的应用，相信在未来的网络技术发展中，它还可以发挥更大的作用。

通过本课程设计我们可以了解更多的广域网路由协议，通过实践可以加深对PPP 协议的配置和认证，尤其加深了对PAP和CHAP的工作原理的了解。

学会网络构建、日常维护及管理的方法，是学生找我在信息化社会建设过程中所必须的计算机网络组网和建设所需的基本知识与操作技能。

1.2 课程设计的内容（1）、掌握BosonNetsim的基本知识和使用方法，并了解关于一些路由器PPP配置和认证命令的语句。

（2）、学习几种常用的广域网路由协议。

（3）、掌握PPP协议的工作原理。

（4）、利用所学的理论知识搭建网络模拟环境，在路由器上配置PPP协议，PAP认证和CHAP认证，并进行测试。

（5）、在老师的指导下，要求独立完成课程设计的全部内容，并按要求编写课程设计学年论文，能正确阐述和分析设计和实验结果。

2 设计原理2.1 PPP协议的简介点对点协议（PPP）是TCP/IP网络协议集合中的一个子协议，主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。

PPP协议是SLIP协议的替代协议，在功能上没有太大的区别。

它是为在同等单元之间数据传输数据包这样的简单链路设计的链路蹭协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计的目的主要是用来通过通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方法。

PPP链路建立的过程：一个典型的链路建立过程分为三个阶段：创建阶段、认证阶段和网络协商阶段。

阶段1：创建PPP链路，LCP负责创建链路。

在这个阶段，将对基本的通讯方式进行选择。

链路两端设备通过LCP向对方发送配置信息报文（Configure Packets）。

一旦一个配置成功信息包（Configure-Ack packet）被发送且被接收，就完成了交换，进入了LCP开启状态。

阶段2：用户验证，在这个阶段，客户端会将自己的身份发送给远端的接入服务器。

该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。

在认证完成之前，禁止从认证阶段前进到网络层协议阶段。

如果认证失败，认证者应该跃迁到链路终止阶段。

在这一阶段里，只有链路控制协议、认证协议，和链路质量监视协议的packets是被允许的。

在该阶段里接收到的其他的packets必须被静静的丢弃。

阶段3：调用网络层协议，认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。

选定的NCP解决PPP链路之上的高层协议问题，例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。

这样，经过三个阶段以后，一条完整的PPP链路就建立起来了。

其图如2.1所示。

图2.1路由器的链路连接2.2 PAP和CHAP认证（1）口令验证协议（PAP）PAP是一种简单的明文验证方式。

NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。

很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS 建立连接获取NAS提供的所有资源。

所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。

PAP基本上使用的与普通的注册程序相同的方法。

客户通过发送一个用户名字和一个（选择性加密）密码到服务器，也就是与它的秘密数据相比较的服务器。

这个技术容易被窃听者攻击，他们可能会通过在连续线上的偷听来获得密码，从而重复细碎的事情和错误的任务。

（2）挑战-握手验证协议（CHAP）CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。

NAS 向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。

远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。

CHAP 协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。

这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。

CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。

因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。

CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。

在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remote client impersonation）进行攻击。

3 设计步骤3.1绘制实验拓扑图首先，利用BosonNetworkDesigner绘制网络拓扑图。

在绘图的过程中，先选择型号为2620的路由器，点击型号为2620的路由器将其直接拖进到要绘制的地方，在弹出的页面中选择相应的参数。

然后将两个路由器连接起来，在弹出的页面中选择点对点的类型而对于DCE端可以任意选择其结果如图3.1所示。

图3.1选择的DEC的端口图3.2网络拓扑图这样网络拓扑图就画好了，完整的拓扑图如图3.2所示。

3.2 路由器的配置将画好的网络拓扑图保存并装入Boson NetSim中开始对所有的路由器参数进行配置。

在出现的界面中点击工具栏中的这个按钮，再选择路由器r1就可以对其进行相应的参数配置了。

特别要注意的是因为两台路由器要进行验证所以在配置的过程中一定要设置时钟频率且应该相同。

配置好的路由器1如图3.3所示。

图3.3路由器r1的配置从图中可以看出要对路由器进行配置首先要进入全局配置模式，然后给路由器命名为r1再进行下面的命令语句。

其中路由器r1配的IP地址和子网掩码分别为192.168.1.1 和255.255.255.0，设置的时钟频率为64000。

再对路由器r2进行配置，因为两个路由器一样故配置也基本相同。

只是给r2陪IP地址应该与r1的不同，这便于后面的测试。

配好后的路由器如图3.4所示。

路由器r2的IP地址和子网掩码分别为192.168.1.2和255.255.255.0。

图3.4路由器r2的配置3.3 PPP的配置与测试选择路由器r1并对其进行PPP配置，进行PPP配置的命令为encapsulation ppp。

配置好的路由器r1如图3.5所示：图3.5路由器r1的PPP配置选择路由器r2并对其进行配置，其配置方法与路由器r1的相同。

配置好的路由器如图3.6所示：图3.6路由器r2的PPP配置将所有的路由器都进行PPP配置好后，就可以在r1路由器上测试r2并观察PPP 的测试结果。

测试的结果图如3.7所示。

从图中我们可以得到当ping路由器r2的IP地址192.168.1.2时，发送端发的数据包为5，而接收的也为5个说明两台路由器已经是连通的，也就是说两台路由器的配置是成功的，故可以在两台路由器上进行认证。

图3.7两台路由器的测试结果3.4 CHAP的验证和测试在对r1进行CHAP配置时，必需要建立数据库，否则无法实现使用PAP实现PPP的验证，建立数据库的命令为username r2 password 123。

对PPP使用CHAP进行测试的命令为ppp authentication chap。

配置好后的路由器r1如图3.8所示。

图3.8路由器r1的CHAP配置由于两个路由器的基本配置原理一样，故在对路由器r2进行配置时，其步骤与r1的配置步骤相同，只要在相应的位置将路由器r1改成r2就可以了。

配置好后的路由器r2如图3.9所示。

图3.9路由器r2的CHAP配置所有的路由器都配置好后就可以在路由器r1上对路由器r2上进行CHAP测试,其测试的结果如图3.10所示。

从图中可以得到路由器r1的IP地址为192.168.1.1，串口0是开启的，而其他的串口则是处于关闭状态。

而且在传输的过程中没有数据包的损失即数据包的传输速率是百分之百。

从图中还可以的到得到传输的时间为2秒。

round-trip的最小时间、平均时间及最大时间分别为1、2、4毫秒。

也就是说对PPP使用CHAP 的配置的验证结果是成功的。

图3.10 CHAP的验证结果3.4 PAP的验证和测试PAP的验证命令与CHAP的验证命令是一样的，故在对PPP协议用PAP方式进行验证时，其所有的步骤都跟CHAP验证方式是一样的，只是在相应的地方对其进行修改，只是在对PPP进行验证的方式改成PAP。