网络信息安全:二、PPP认证

最新推荐文章于 2023-06-07 15:56:49 发布
最新推荐文章于 2023-06-07 15:56:49 发布
阅读量1.2k 收藏 1
点赞数 2
分类专栏: 网络技术 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45851211/article/details/117671119
版权

PPP

PPPoE = PPP Over Ethernet

  • 满足不同宽带上网设备(拨号、无线、有线电视等)

  • 实现PPP在以太网上的传输

  • 实质是在共享介质的网络中提供一条逻辑上的点到点链路(Session ID);

PPPoE主要协议标准:RFC2516;

PPPoE结构:C/S结构,

  • 客户端:拨号软件

  • 服务器端:电信端,集中访问控制器

image-20210319001631882

PPPoE分成两个阶段:

  • 1.PPPoE( Discovery )发现阶段;

  • 2.PPPoE会话阶段;

  • 3.PPPOE会话终止;

PPPOE发现阶段数据报文

PADI(PPPOE发现初始报文)

PADO(PPPOE发现提供报文)

PADR(PPPOE发现请求报文)

PADS(PPPOE发现会话确认报文)

PADT(PPPOE发现终止报文)

PPPOE发现阶段数据报文

  • 客户端广播一PADI(I = Initiation)请求,查找网络中的服务器;

  • 器端响应一PADO(O = Offer),将自己的一些信息告知客户端;

  • 客户端向此服务器发送一PADR(R = Request),请求会话号;

  • 服务器端响应一PADS(S = Session-confirmation),将分配的会话号告知对方。

    ​ 至此,PPPoE会话建立。后续可以进行PPP的协商了

PPPOE帧结构

•PPPOE帧结构

–Discovery阶段:以太网帧的ETHER_TYPE域都设置为0x8863。

–PPP会话阶段: 以太网帧的ETHER_TYPE域都设置为0x8864。

–PPPoE的payload部分包含0个或多个TAG,一个TAG是一个TLV(type-length-value)结构,TAG_TYPE域为16位值(网络字节序)

image-20210319002051619

更详细的PPPOE的介绍:看另一篇笔记

实验

上图是一张完整的拓扑,分为本地ppp认证服务(左)和AAA+PPPOE远程认证(右)

本地PPP认证服务

现在这两台客户端没有IP地址,无法上网,需要进行PPPOE拨号连接到PPPOE服务器,有服务器下发IP地址,转发流量

流量的走向如下

配置的步骤

  • 创建bba-group,设置拨号组,拨号虚拟接口;

  • 创建virtual-template,拨号用户地址池,数据封装方式,

  • 拨号接入物理接口开启pppoe并指定用户所属拨号组

  • 创建用于PPPOE接入本地用户账号、密码;

  • 创建用于PPPOE接入用户IP地址池;

  • 设置外网路由;

//创建bba-group,设置拨号组
Router(config)# bba-group pppoe wxit
//拨号虚拟接口
Router(config-bba-group)# virtual-template 1
//创建virtual-template  虚拟访问接口(以太网仿真拨号)
 Router(config)# interface virtual-template 1
 Router(config-if)# ip unnumbered interface fa 0/0
//pppoe接入口
Router(config-if)#ppp authentication chap
Router(config-if)# peer default ip address pool pppoe
//创建用于PPPOE接入用户IP地址池
Router(config)# ip local pool pppoe 172.16.1.1 172.16.1.100
//集中访问控制器内网接口开启PPPOE功能
Router(config)#interface fa 0/0
Router(config-if)#pppoe enable group wxit
//创建用于PPPOE接入本地用户账号、密码
Router(config-if)# username username password 0 pwd
//设置认证需要的用户名和密码
//设置外网路由
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.250

关于默认路由的配置:

​ 这里不能配置指向接口的默认路由,因为数据包从fa0/0发出后依然到达不到目的地,有3条路径可以选择。

验证

PPPOE的配置和接口的IP

username swl password 0 123456
!
bba-group pppoe swl_pppoe
  virtual-template 1
!
interface Virtual-Template1
 peer default ip address pool pppoe
 ppp authentication chap 
 ip unnumbered FastEthernet0/0
 encapsulation ppp
 ppp authentication chap
!
interface FastEthernet0/0
 ip address 172.16.1.254 255.255.255.0
 pppoe enable group swl_pppoe
 duplex auto
 speed auto
 
ip local pool pppoe 172.16.1.1 172.16.1.100
ip route 0.0.0.0 0.0.0.0 172.16.1.250 

E-PPPOE-Server#show ip interface brief 
Interface              IP-Address      OK? Method Status                Protocol 
FastEthernet0/0        172.16.1.254    YES manual up                    up 
FastEthernet0/1        unassigned      YES unset  administratively down down 
Virtual-Template1      172.16.1.254    YES unset  down                  down 
Virtual-Access1        unassigned      YES unset  up                    up 
Virtual-Access2        unassigned      YES unset  down                  down 
Vlan1                  unassigned      YES unset  administratively down down

终端开始PPPOE拨号

终端为拨号前:

拨号后:

终端可以访问外网

思考:

配置完毕后,集中访问控制器会自动产生一条指向边界路由器内网接口的静态路由,思考,虚拟接口的IP地址是否必须与物理接口地址处于同一网段。

我觉得不需要,因为对比终端前后两次的ipconfig,发现终端上多了三个连接,

  • Dialer1 Connection:有地址

  • Virtual-Access1 Connection:没有地址

  • Virtual-ccess2 Connection:没地址

所以猜测虚拟接口的IP地址不是同一网段也可以与终端建立连接

AAA+PPPOE远程认证

有关AAA的内容,查看另一篇笔记

2811这台设备对上连接Server-PT作为AAA的客户端,对下连接WRT300N路由器作为PPPOE的服务器

AAA+PPPOE的拨号,Server-PT作为AAA服务器,上面有拨号用户和密码。当WRT300N发出PPPOE的请求后,PPPOE的客户端2811接收,进行PPPOE认证,但是账户不在本地,还需要通过AAA认证连接到Server-PT,得到用户来完成认证

因为终端连接的是无线路由器,只需要无线路由器拨号就行了

Server-PT的配置内容

无线路由的配置

2811配置PPPOE服务器

//创建bba-group,设置拨号组
Router(config)# bba-group pppoe wxit02
//拨号虚拟接口
Router(config-bba-group)# virtual-template 1
//创建virtual-template  虚拟访问接口(以太网仿真拨号)
 Router(config)# interface virtual-template 1
 Router(config-if)# ip unnumbered interface fa 0/0
//pppoe接入口
Router(config-if)#ppp authentication chap
Router(config-if)# peer default ip address pool pppoe
//创建用于PPPOE接入用户IP地址池
Router(config)# ip local pool pppoe 10.35.1.1 10.35.1.150
//集中访问控制器内网接口开启PPPOE功能
Router(config)#interface fa 0/0
Router(config-if)#pppoe enable group wxit02
//默认路由已经配置好了,不需要配置,用户和密码在远端,配置AAA

AAA的配置:

//AAA配置
Router(config)# aaa new-model                                    
Router(config)# aaa authentication ppp default group radius
Router(config)# aaa authentication login default group radius     
Router(config)# aaa authorization network default group radius
//注意这里和前面的authentication不一样,我就是看错了
Router(config)# radius-server 210.1.1.254 ip key wxit
//查看Server-pt就可以知道key了

AAA连接成功后就可以了

检验

配置:

aaa new-model
!
aaa authentication ppp default group radius 
aaa authentication login default group radius 
!
aaa authorization network default group radius

bba-group pppoe wxit02
  virtual-template 1
!
interface Virtual-Template1
 peer default ip address pool pppoe
 ppp authentication chap 
 ip unnumbered FastEthernet0/0
 encapsulation ppp
 ppp authentication chap
!
interface FastEthernet0/0
 ip address 10.35.1.254 255.255.255.0
 pppoe enable group wxit02
 duplex auto
 speed auto
ip local pool pppoe 10.35.1.1 10.35.1.150
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/3/0 
ip route 0.0.0.0 0.0.0.0 200.1.1.2 
!
ip flow-export version 9
!

radius-server host 210.1.1.254 auth-port 1645 key wxit
!
!



WireLess-PPPOE-Server#show ip interface br
Interface              IP-Address      OK? Method Status                Protocol 
FastEthernet0/0        10.35.1.254     YES manual up                    up 
FastEthernet0/1        unassigned      YES unset  administratively down down 
Serial0/3/0            200.1.1.1       YES manual up                    up 
Virtual-Template1      10.35.1.254     YES unset  down                  down 
Virtual-Access1        unassigned      YES unset  up                    up 
Virtual-Access2        unassigned      YES unset  down                  down 
Virtual-Access1.1      10.35.1.254     YES manual up                    up 
Vlan1                  unassigned      YES unset  administratively down down
无法长大的Panda
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PPP认证
vx XIxi_AL
11-04 806
PAP:(Password Authentication Protocol)密码认证协议,是 PPP 协议集中的一种链路控制协议, 主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上 的。 PAP认证方式: (1)完成链路连接阶段之后,被验证方(发起通信的一方)将自己的用户名和口令发送给验证者。 (2) 认证端检查是否有此用户和口令是否正确,正确则返回一个ACK报文,验证成功进入下一阶段。
PPP协议概念及鉴权方式概述
10-01
PPP(Point-to-Point Protocol)是一种广泛应用于点对点通信的数据链路层协议,...不过,需要注意的是,虽然PPP提供了安全的认证方式,但其明文密码的PAP协议在安全性上相对较弱,一般推荐使用CHAP进行更安全的认证
ppp认证
weixin_34219944的博客
04-02 244
询问握手认证协议(CHAP)通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行。 1. 链路建立阶段结束之后,认证者向对端点发送“challenge”消息。 2. 对端点用经过单向哈希函数计算出来的值做应答。 3. 认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。 4. 经过一定的随机间...
基于CHAP认证的公司与分部安全互联.rar
02-15
2、学习目标:配置路由器接口,搭建OSPF网络,配置PPP的CHAP认证,对端配置CHAP验证 3、应用场景:基于PAP认证的公司与分部安全互联 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出...
基于PAP认证的公司与分部安全互联.rar
02-15
2、学习目标:配置路由器接口,搭建OSPF网络,配置PPP的PAP认证,对端配置PAP验证 3、应用场景:基于PAP认证的公司与分部安全互联 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了...
信息安全考试题库.doc
03-11
* 安全协议的分类:认证协议、密钥管理协议、不可否认协议、信息安全交换协议。 * 安全协议的安全性质:认证性、机密性、完整性和不可否认性。 、IPsec * IPsec 的设计目标:为 IPv4 和 IPv6 提供可互操作的、...
中小型校园网构建及安全规划.docx
02-16
3.3配置PPP CHAP 安全认证 10 3.4包过滤防火墙设计(ACL) 10 4校园网设计代码 11 4.1全网的 IP 地址配置 11 4.2创建VLAN 及划分其端口 11 4.3配置三层设备直连路由 15 4.4设置TRUNK 模式 15 4.5配置RSTP 协议 16 ...
网络安全策略-范本模板.doc
06-09
为了保 证网络中信息的安全保密性、完整性、可靠性、可用 性, 必须制定 符合实际的高效的信息安全策略。 2 安全策略 安全策略是指一个特定环境中, 为保证提供一 定级别的安全保护所必须遵守的规 则。安全策略...
实验名称点到点协议PPP配置实验
03-28
CHAP 认证是一种常用的身份验证协议,它可以提供更高的安全性。在 R1 路由器上,我们可以使用以下命令进行配置: R1(config-if)# ppp authentication chap 通过本实验,我们可以掌握 PPP 协议的配置方法,包括 PAP...
CHAP认证实验.doc
06-06
CHAP 认证实验 CHAP 认证实验是基于密文的认证认证的过程已经讨论过...CHAP 认证是一种简单、安全的认证方式,常用于 PPP 连接和其他网络应用中。但是,我们需要注意 CHAP 认证的缺点,并采取相应的措施来确保安全。
web认证流程及常见问题分析.ppt
11-21
Web 认证流程及常见问题分析 Web 认证流程是 AAA(认证、授权、计费)的初始步骤,AAA ...WEB 认证流程及常见问题分析是网络认证技术的重要组成部分,选择合适的认证技术和流程对于网络的安全性和性能有着重要的影响。
计算机网络课程设计-PPPOE协议分析
01-13
通过深入理解PPPoE协议的发现阶段、PPP协议阶段以及报文格式,不仅能帮助我们掌握网络接入的基本原理,还能提升在网络故障排查和网络安全方面的技能。对于计算机网络课程设计而言,这是一项重要的实践内容,有助于...
PPP 认证
weixin_44551911的博客
10-04 2111
PPP协议为广域网中较为广泛的协议,原因之一是它能提供验证协议CHAP(Challenge-Handshake Auyhentication Protocol,挑战式验证握手协议)、PAP(Password Authentication Protocol,密文验证协议),更好得保证了网络安全。 PAP为两次握手验证,口令为明文,验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,知道验证通过或者中止连接。PAP不是一种安全的验证协议,因为口令是以明文方
PPP认证详解
weixin_34107955的博客
12-13 432
转载于:https://blog.51cto.com/youlemei/2050085
PPP认证【eNSP实现】
Infinity_and_beyond的博客
05-11 6708
PPP协议之所以能成为广域网中应用较为广泛的协议,原因之一就是它能提供验证协议CHAP【Challenge Handshake Authentication Protocol,挑战式握手验证协议】、PAP【Password Authentication Protocol,密码验证协议】,更好地保证了网络安全性。 PAP为两次握手验证,口令为明文,验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,直到验证通过或者中止连接。PAP不是一种安全的验证协议,
PPP认证协议详解
虎哥LoveDroid
06-07 4151
本文旨在深入介绍PPP认证协议,探讨其工作原理、常见的认证协议以及配置和应用方法。我们将重点讨论PAP、CHAP和EAP等常见的PPP认证协议,并分析它们的特点和安全性。此外,我们还将探讨PPP认证协议的配置参数和在互联网接入中的实际应用案例。本文还将讨论PPP认证协议的安全性和加密技术,以及防范弱口令攻击等安全方面的措施。我们还将展望PPP认证协议在未来的发展趋势,特别是在物联网和5G时代的应用前景。
chap双向认证封装ppp
最新发布
07-14
认证成功后,PPP 将封装网络层协议(如 IP)并建立数据链路层连接。 请注意,具体的配置和命令可能因网络设备和供应商而异。因此,在实际操作中,请参考相关设备的文档或与供应商联系以获取准确的配置步骤和命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无法长大的Panda

您的鼓励是最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值