————Предисловие————

соглашение о ГЧП（Point-to-Point Протокол) — это протокол «точка-точка», широко используемый протокол уровня последовательного канала, используемый для установления соединений «точка-точка» между двумя узлами. Его можно использовать для коммутируемого доступа к сети, виртуальных частных сетей (VPN) и других типов соединений «точка-точка».

Введение в PPP (протокол «точка-точка»)

Характеристики протокола PPP

• Поддерживает несколько методов аутентификации, включая PAP, CHAP, EAP и т. д.
• Поддерживает различные методы сжатия, которые могут повысить эффективность передачи данных.
• Поддерживает объединение нескольких каналов, что может увеличить пропускную способность канала.
• Поддерживает обнаружение и исправление ошибок, что может повысить надежность передачи данных.

Семейство протоколов PPP

Набор протоколов PPP представляет собой серию протоколов, используемых для установления и поддержания связи по каналам «точка-точка». Набор протоколов PPP включает в себя следующие протоколы: Протокол управления каналом (LCP): используется для установления, поддержания и завершения соединений канала передачи данных. Протокол управления сетью (NCP): используется для согласования и настройки параметров протокола сетевого уровня. Протокол аутентификации: используется для проверки личности обеих взаимодействующих сторон. Обычно используемые протоколы аутентификации включают PAP, CHAP, EAP и т. д. Протокол сжатия: используется для сжатия данных и повышения эффективности передачи данных. Обычно используемые протоколы сжатия включают MPPC, STAC и т. д. Протокол шифрования: используется для шифрования данных и повышения безопасности передачи данных. Обычно используемые протоколы шифрования включают PPP-MPPE и т. д.

Рабочий процесс ГЧП

1. Этап установления связи Отправитель и получатель согласовывают параметры соединения через LCP, такие как максимальная единица передачи (MTU), метод аутентификации и т. д. После успешных переговоров между двумя сторонами устанавливается соединение по каналу передачи данных. 2. Этап проверки личности Аутентификация выполняется на основе согласованного метода аутентификации. Обычно используемые методы аутентификации включают PAP, CHAP, EAP и т. д. После успешной проверки передача данных разрешена. 3. Этап настройки протокола сетевого уровня. Отправитель и получатель согласовывают параметры протокола сетевого уровня через NCP, такие как IP-адрес, маска подсети и т. д. После успешного согласования между двумя сторонами настройте соединение сетевого уровня. 4. Этап передачи данных Отправитель инкапсулирует пакет данных в кадр PPP и передает пакет данных по каналу передачи данных. После получения кадра PPP принимающая сторона декапсулирует пакет данных и передает его протоколу верхнего уровня. 5. Фаза завершения соединения Отправитель или получатель могут инициировать запрос на завершение соединения. После успешного согласования между обеими сторонами соединение по каналу передачи данных разрывается.

Процесс создания ГЧП

Введение в CHAP

CHAP (протокол аутентификации «вызов-ответ») — это протокол, используемый для аутентификации в каналах PPP. Это более безопасный метод аутентификации. По сравнению с аутентификацией PAP аутентификация CHAP может эффективно предотвратить подслушивание или подделку паролей.

Как работает аутентификация CHAP

1. Запрос аутентификации: инициатор отправляет аутентификатору случайное числовое значение запроса.
2. Ответ аутентификации: аутентификатор вычисляет значение ответа на основе значения запроса, локально сохраненного пароля и односторонней хэш-функции и отправляет значение ответа инициатору.
3. Аутентификация успешна: инициатор вычисляет значение ответа на основе того же значения запроса, локально сохраненного пароля и односторонней хэш-функции.,И сравните это значение ответа со значением ответа, отправленным аутентификатором. Если два значения ответа совпадают,Аутентификация прошла успешно,Обе стороны устанавливаютсоединять。
4. Аутентификация не удалась: если два значения ответа несовместимы,Аутентификация не удалась,не удалось создать.

Преимущества сертификации CHAP

• Высокий уровень безопасности: аутентификация CHAP использует механизм запроса-подтверждения и использует одностороннюю хеш-функцию для шифрования паролей, что более безопасно, чем аутентификация PAP.
• Поддержка двусторонней аутентификации: аутентификация CHAP поддерживает двустороннюю аутентификацию, которая может проверять личность обеих сторон.

Сценарии применения аутентификации CHAP

• Сети с более высокими требованиями к безопасности. В сетях с более высокими требованиями к безопасности аутентификация CHAP может обеспечить более высокий уровень безопасности.
• Сценарии, требующие двусторонней аутентификации. В сценариях, требующих двусторонней аутентификации, аутентификация CHAP может гарантировать подлинность удостоверений обеих сторон.

Эксперимент по топологии ENSP заключается в следующем.

Экспериментальная топология следующая.

Экспериментальные требования

ПК1 обращается к ПК2

Аутентификация канала ppp между AR1 и AR2 представляет собой аутентификацию CHAP.

Базовая конфигурация AR1

Ниже приведена базовая конфигурация IP и маршрутизации (очень простая).

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int s3/0/0
[Huawei-Serial3/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-Serial3/0/0]q

//Установим маршрут по умолчанию
[Huawei]ip route-static 0.0.0.0 0 192.168.2.2

[Huawei]aaa
[Huawei-aaa]local-user ok password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user ok service-type ppp
[Huawei-aaa]int s3/0/0
[Huawei-Serial3/0/0]link-protocol ppp
[Huawei-Serial3/0/0]ppp auth	
[Huawei-Serial3/0/0]ppp authentication-mode chap
[Huawei-Serial3/0/0]q

1. В режиме глобальной конфигурации вы создали локального пользователя AAA и дали ему имя пользователя. ok,Пароль 123,Пароли хранятся в зашифрованном виде.
2. Тип сервиса этого пользователя указан как PPP.
3. Вошёл в интерфейс Serial3/0/0 Режим конфигурации и настройка протокола связи для PPP
4. Режим аутентификации CHAP включен

Конфигурация, прошедшая сертификацию CHAP. Следующий,Вы можете тестPPPPсоединять,Убедитесь, что аутентификация CHAP работает правильно.

Базовая конфигурация AR2

Ниже приведена базовая конфигурация IP-маршрутизации (очень простая).

The device is running!

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int s3/0/0
[Huawei-Serial3/0/0]ip add 192.168.2.2 255.255.255.0
[Huawei-Serial3/0/0]q


//Маршрут по умолчанию
[Huawei]ip route-static 0.0.0.0 0 192.168.2.1

[Huawei]int s3/0/0
[Huawei-Serial3/0/0]link-protocol ppp

[Huawei-Serial3/0/0]ppp chap user ok 
[Huawei-Serial3/0/0]ppp chap password cipher 123
[Huawei-Serial3/0/0]

1. Вошёл в интерфейс Serial3/0/0 Режим конфигурации и настройка протокола связи для PPP
2. Конфигурация ПонятноPPP Имя пользователя и пароль, необходимые для аутентификации CHAP

В этих конфигурациях вы включили PPP на этом интерфейсе. Аутентификация CHAP и настройка локального имени пользователя CHAP. ok,Пароль 123。так Конфигурацияназад,Интерфейс будет использовать протокол CHAP для аутентификации при установке соединения PPP.

Проверка после завершения настройки

Информация об интерфейсе AR1 — UP.

Информация об интерфейсе AR2 UP

тест

Базовая конфигурация ПК1

Базовая конфигурация ПК2

сделать тестовый визит