PPP协议的配置与认证的课程设计

PPP协议的配置与认证

摘要本课程设计主要是利用Boson模拟器Netsim搭建一个网络模拟环境，在此环境中建立一个的路由器的拓扑网，并对路由器进行PPP协议配置，待所有的路由器配置好后，利用PAP和CHAP对路由器进行认证，并分别对其进行测试。根据认证和测试结果来分析该PPP协议的配置和认证的正确性。若使用Ping命令后两者是连通的说明该配置和认证是成功的。

关键词BosonNetsim；网络仿真；PPP协议；PAP认证；CHAP认证

1 引言

广域网协议指Internet上负责路由器与路由器之间连接的数据链路层协议。而常用的广域网有点对点的协议、高级数据链路控制协议、帧中继交换网、同步数据链路控制（SDLC）协议。点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。除了IP 以外PPP 还可以携带其它协议，包括DECnet 和Novell 的Internet 网包交换（IPX）。本课程设计是搭建一个模拟环境，并在路由器上进行PPP配置，用PAP和CHAP对其进行认证和测试。

1.1课程设计的背景和目的

计算机网络课程设计是《计算机网络》理论课的辅助环节。PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配

等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP

也衍生出新的应用。因为PPP协议有简单完整的特点使所以得到了广泛的应用，相信在未来的网络技术发展中，它还可以发挥更大的作用。

通过本课程设计我们可以了解更多的广域网路由协议，通过实践可以加深对PPP 协议的配置和认证，尤其加深了对PAP和CHAP的工作原理的了解。学会网络构建、日常维护及管理的方法，是学生找我在信息化社会建设过程中所必须的计算机网络组网和建设所需的基本知识与操作技能。

1.2 课程设计的内容

（1）、掌握BosonNetsim的基本知识和使用方法，并了解关于一些路由器PPP配置和认证命令的语句。

（2）、学习几种常用的广域网路由协议。

（3）、掌握PPP协议的工作原理。

（4）、利用所学的理论知识搭建网络模拟环境，在路由器上配置PPP协议，PAP认证和CHAP认证，并进行测试。

（5）、在老师的指导下，要求独立完成课程设计的全部内容，并按要求编写课程设计学年论文，能正确阐述和分析设计和实验结果。

2 设计原理

2.1 PPP协议的简介

点对点协议（PPP）是TCP/IP网络协议集合中的一个子协议，主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。PPP协议是SLIP协议的替代协议，在功能上没有太大的区别。它是为在同等单元之间数据传输数据包这样的简单链路设计的链路蹭协议。这种链路提供全双工操作，并按照顺序传递数据包。设计的目的主要是用来通过通过拨号或专线方式建

立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方法。

PPP链路建立的过程：一个典型的链路建立过程分为三个阶段：创建阶段、认证阶段和网络协商阶段。

阶段1：创建PPP链路，LCP负责创建链路。在这个阶段，将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文（Configure Packets）。一旦一个配置成功信息包（Configure-Ack packet）被发送且被接收，就完成了交换，进入了LCP开启状态。

阶段2：用户验证，在这个阶段，客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。在这一阶段里，只有链路控制协议、认证协议，和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。

阶段3：调用网络层协议，认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。选定的NCP解决PPP链路之上的高层协议问题，例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。这样，经过三个阶段以后，一条完整的PPP链路就建立起来了。其图如2.1所示。

图2.1路由器的链路连接

2.2 PAP和CHAP认证

（1）口令验证协议（PAP）

PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS 建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。

PAP基本上使用的与普通的注册程序相同的方法。客户通过发送一个用户名字和一个（选择性加密）密码到服务器，也就是与它的秘密数据相比较的服务器。这个技术容易被窃听者攻击，他们可能会通过在连续线上的偷听来获得密码，从而重复细碎的事情和错误的任务。

（2）挑战-握手验证协议（CHAP）

CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS 向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP 协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。

CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remote client impersonation）进行攻击。