第18章 广域网(WAN)(3)

第18章 广域网(WAN)

18.4.3 PPP认证方法

PPP链路可以使用两种认证方法:

◇口令认证协议(Password Authentication Protocol，PAP):口令认证协议是两种方法

中安全程度较低的一种。口令以明文发送，并且PAP只在初始链路建立时执行。在PPP

链路首次建立时，远程结点向发送路由器回送路由器用户名和口令直到获得认证。就是这样。

◇问答握手认证协议(Challenge Authentication Protocol，CHAP):问答握手认证协

议用于链路初始启动，和为了证实路由器连接的仍然是同一个主机而进行的周期性链路

检查。

PPP结束了初始阶段后，本地路由器向远程设备发送一个盘问请求。远程设备发送一个 用叫做MD5的单方向哈希函数计算出来的值。本地路由器检查此哈希值确定它是否匹 配。如果这个值不匹配，该链路立即结束。

18.4.4 在Cisco路由器上配置PPP

在接口上配置PPP封装是一个相当简单的过程。按照下列路由器命令进行配置。

当然，PPP封装必须在串行线连接的两端接口上都配置才能工作，并且使help命令可以知道还有几个额外的配置选项可用。

18.4.5 配置PPP认证

当你将串行接口配置为支持PPP封装后，可以使用PPP 在路由器之间配置认证。如果没有设置主机名，则首先设置路由器的主机名。然后为路由器所连接的远程路由器设置用户名和口令。下面是一个例子。

当使用hostname命令时，：要记住用户名是连接你的路由器的远程路由器的主机名。主机名是大小写敏感的。还有，双方路由器的口令必须相同。口令是明文的，使用show run

481

第18章 广域网(WAN)

命令可以看到。可以使用service password-encryption命令对口令进行加密。必须对要连接的每个远程系统配置用户名和口令。远程路由器也必须配置用户名和口令。

当设置了主机名、用户名和口令后，选择认证类型，CHAP或PAP。

如果像前面例子中显示的那样配置了两种方法，那么在链路协商阶段只使用第一种方法。如果第一种方法失败，那么使用第二种方法。

18.4.6 验证ppp封装

现在我们已启用了PPP封装，让我们验证一下它的运行情况。首先，我们看一看例子的 网络图。图18.6显示两个路由器通过一个点对点串行连接或ISDN连接。

图18.6 PPP认证示例

你可以使用show interface验证配置。

注意第6行显示封装为PPP，第8行显示LCP 是打开的，意思是它已经协商完成了会话的建立过程并且正常运行。第9行告诉我们NCP正在监听IP和CDP协议。

482

第18章 广域网(WAN)

好，如果配置不是全都正确你会看到什么结果呢?如果你输入的配置像图18.7中显示的那样会怎么样呢?

图18.7 PPP认证失败

看出问题了吗? 看一看，用户名和口令。现在看出问题了吗?对了，在路由器Pod1R1的配置中，Pod1R2用户名命令的“C\是大写的。这导致认证失败，因为崩户名和口令是大小写敏感的。让我们看一看show interface命令现在为我们显示什么内容。

首先，注意第一行输出“serial0/0 is up，line protocol is down”；这是由于没有来自远程路由器的保持激活包。其次，注意由于认证失败LCP是关闭的。

18.4.7 诊断PPP认证

若要显示网络中两个路由器之间的CHAP认证过程，使用命令debug PPP authentication。如果两个路由器的PPP封装和认证都设置正确，用户名和口令也正确，那么debug PPP authentication 命令将显示类似如下的输出内容。

483

第18章 广域网(WAN)

然而，如果用户名是错误的，像前面图18.7中PPP认证失败的那样，则会输出类似如下的内容。

使用CHAP认证的PPP是一种三方向认证方式。假如没有正确地配置用户名和口令，认证就会失败，链路也会断开。

1．不匹配的WAN封装

如果你有一个点对点链路，但封装类型不相同，那么链路永远不会通。图18.8显示了一个具有PPP和HDLC封装的链路。让我们看一看路由器Pod1R1，会看到如下的输出。

串行接口是关闭的，LCP正在发送请求，但永远都不会接收到回复，因为路由器Pod1R2 使用的是HDLC封装。若要解决这个问题，需要登陆到路由器PodlR2 上，在串行接口上配置PPP封装。尽管用户名配置错误，但没有关系，在串行接口配置模式下没有使用命令PPP authentication chap，所以在这个例子中没有使用用户名命令。

图11.8 不匹配的WAN封装

――――――――――――――――――――――――――――――――――――――― 提示： 不能在一端使用PPP而在另一端使用HDLC。

―――――――――――――――――――――――――――――――――――――――

484

第18章 广域网(WAN)

2．不匹配的IP地址

如果在串行接口上配置了HDLC或PPP，但m地址不正确，这是一个棘手的问题，因为 接口将会显示“up”。请看图18.9，看看是否能发现问题(尽管我已经给出了许多提示)。

两个路由器连接了不同的子网，路由器Pod1R1所在的子网是10.0.1.1/24，路由器Pod1R2 所在的子网是10.2.1.2/24。这种配置永远不会行不通。然而，让我们看一看输出结果。

检查一下输出结果!路由器之间的IP地址是错误的，但这样的链路竟然是正常畅通的。这是因为PPP像HDLC和帧中继一样是一个第2层WAN封装协议，不关心IP地址的配置。所以是的，链路是通的。然而，由于不匹配的IP地址配置，这个链路上不能使用IP协议。

图18.9 不匹配的IP地址

若要查找并解决问题，可以在每个路由器上使用show running-config或show interfaces命令，或者可以使用第9章学到的show cdp neighbors detail命令。

可以查看和验证直连邻居的IP地址，然后解决问题。

485