7.2 广域网：PPP

1.简介

1.1 PPP流程

  PPP标准分为两大类：一类是与所有三层协议无关的功能特性LCP，一类是与特定三层协议相关的功能特性NCP。PPP的工作流程如下：
  1.PPP串行链路刚启动时，LCP开始与对面协商工作方式，MTU，认证顺序，认证协议（CHAP或PAP），随机数字（魔术数字）等选项。
  2.如果配置了认证，则使用PAP或CHAP进行认证。PAP使用用户名和密码进行2次握手认证，由客户端主动发起；CHAP的用户名和密码是可选项，进行3次握手认证，由服务端主动发起。
  3.准备就绪后，PPP开启NCP协商三层协议，进行数据传输。
  4.数据完毕后，用户端可以发起断开请求，网络中断。

1.2.CHAP流程

  因为PAP的密码在报文中是明文显示，所以一般不使用PAP，这里详细介绍CHAP三次握手认证流程：
  1.服务器主动发送Challenge报文，报文中有序列号，ID号，用户名和随机数字（魔术数字）。
  2.客户端提取Challenge报文中ID号，随机数字和用户，通过查找用户表获取密码，并用ID号，随机数字和密码生成MD5格式的hash值，然后将这三个值放到response报文发给服务器。
  3.服务器提取response报文的ID号，随机数字，并用本地保存的该用户的密码，三个值一起进行MD5运算，将得到的hash值与response的hash值进行比较，一致则通过。
提示：CHAP可以只用密码没有用户，在认证过程中报文里不包含用户名即可。

2.思科

  PAP和CHAP的拓扑图一致如下所示。客户端是SW1，服务器是R1。生产环境一般使用单向认证，即服务器只认证客户端信息，而客户端不认证服务器信息。

2.1 PAP

1.客户端SW1配置s1/0接口
SW1(config)# interface serial 0/0
SW1(config-if)# ip address 10.0.12.2 255.255.255.252 ----用30位掩码，IP不浪费
SW1(config-if)# encapsulation ppp
SW1(config-if)# ppp pap sent-username test1 password 123
SW1(config-if)# no shutdown

2.服务器R1生成用户
R1(config)#username test1 password 123

3.服务器R1配置s1/0接口
R1(config)# interface serial 0/0
R1(config-if)# ip address 10.0.12.1 255.255.255.252 ----用30位掩码，IP不浪费
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authen pap
R1(config-if)# no shutdown

2.2 CHAP

1.客户端SW1配置s1/0接口
SW1(config)# interface serial 0/0
SW1(config-if)# ip address 10.0.12.2 255.255.255.252 
SW1(config-if)# encapsulation ppp
SW1(config-if)# ppp chap  hostname test1
SW1(config-if)# ppp chap  password 123
SW1(config-if)# no shutdown

2.服务器R1生成用户
R1(config)#username test1 password 123 ---服务器和客户的用户名密码要一致

3.服务器R1配置s1/0接口
R1(config)# interface serial 0/0
R1(config-if)# ip address 10.0.12.1 255.255.255.252 
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authen chap
R1(config-if)# no shutdown

3.华为

  PAP和CHAP的拓扑图一致如下所示。客户端是R2，服务器是R1。

3.1 PAP

1.服务器用户认证模板
[server]aaa
[server-aaa]authentication-scheme ppp-user
[server-aaa-authen-server]authentication-mode local ---配置本地认证模板
[server-aaa-authen-server]q

2.服务器生成AAA域
[server-aaa]domain ppp-server
[server-aaa-domain-users]authentication-scheme ppp-user ----调用模板
[server-aaa-domain-users]q

3.服务器生成用户
[server-aaa]local-user ppp@ppp-server password cipher 123 ---注意@后面的域名
[server-aaa]local-user ppp@ppp-server service-type ppp
[server-aaa]q

4.服务器配置串口
[server]interface Serial 0/0/0
[server-Serial0/0/0]ip add 10.0.12.1 30
[server-Serial0/0/0]ppp authentication-mode pap domain ppp-server

5.客户端配置串口
[client]int Serial 0/0/0
[client]ip  add 10.0.12.2 30
[client-Serial0/0/0]ppp pap local-user ppp@ppp-server password cipher 123

3.2 CHAP

  CHAP和PAP中服务器的用户，模板，AAA域配置一致，所以不在叙述。

1.模板，AAA域，用户创建步骤参照PAP

2.服务器串口配置
[server]interface Serial 0/0/0
[server-Serial0/0/0]ip add 10.0.12.1 30
[server-Serial0/0/0]ppp authentication-mode chap domain ppp-server--域PAP唯一不同就是认证模式参数

3.客户端串口配置
[client]int Serial 0/0/0
[client]ip  add 10.0.12.2 30
[client-Serial0/0/0]ppp chap local-user ppp@ppp-server
[client-Serial0/0/0]ppp chap  password cipher 123