局域网封装:Ethernet2 IEEE802.13
广域网封装:HDLC PPP FR ATM(用于cell信元交换)
HDLC:高级数据链路控制协议,Cisco广域网链路(串行线路) 的默认封装
Cisco私有HDLC,加入控制字段(可以描述上层使用协议)
工业标准HDLC(仅仅支持上层使用IP协议)
所以思科和其他厂商设备如果是广域网连接,那么不能用HDLC封装
PPP:点对点协议,PPP会话建立
PPP相比于HDLC可以做认证
具体做法分为三步:
LCP:链路控制协议,用于检测物理链路的封装,简单理解就是检测链路两端的封装是否一致,拼通性检测
PPP认证:pap 密码认证协议 chap质检握手挑战协议
NCP协商:网络控制协议,用于协商上层使用协议加封装,CDPCP,IPCP报文会自动发送自己的主机路由
主要学习了解中间PPP认证这一步,分为chap认证与pap认证
PAP认证:简单的一次性认证,受到攻击不能自动检测,分为主认证方与被认证方。
被认证方发送用户名和密码给主认证方,进行验证即可,当然也可以互换角色发
送,也就是说,PAP认证可以做双向认证。并且用户名和密码可以不一致
CHAP认证:进行PPP chap三次握手复杂多次认证,且基于MD5,能够受到攻击自动检测
主认证方定义合法用户名和密码,被认证发送正确即可,这里的用户名其实就
是主认证方的主机名。
过程:主认证方先将主机名(当然也可以自己修改)发送给被认证方,被认证
方会把主机名和密码进行哈希运算,然后再返还给主认证方,主认证方
也会把用户名和密码进行运算,然后和收到的MD5值进行对比校验,
校验通过,会给被认证方返回成功,认证完成
PAP认证基于明文认证,chap认证基于MD5认证
PAP双向认证时,用户名密码无所谓,但是在chap双向认证时,双方密码必须保持一致,否则失败。另外双方封装不一致(一段是HDLC,一段是PPP)的话,直连都会失效为接口up 协议down状态,
PAP认证做法:
-
接口先选择为PPP封装
-
接着创建用户名密码,选择PPP的pap认证
-
被认证方发送用户名密码
双向认证也是同上步骤 -
查看路由会显示对端的主机路由,如果不想学习的话,也可以关闭
这里必须先shutdown接口,再关闭接收主机路由才会生效,否则不会生效
Chap认证
- 选择接口封装为PPP
- 创建用户和密码,选择chap认证
- 被认证方发送用户和密码
这里注意分开发送用户名和密码,当然如果认证方没有改变用户名,那么被认证方也不需要发送hostname,只需要发送密码即可。