6838

Конфігурування протоколу РРР. Налаштування аутентифікації РАР і СHAP

Лабораторная работа

Информатика, кибернетика и программирование

Конфігурування протоколу РРР. Налаштування аутентифікації РАР і СHAP Мета роботи: Вивчити принципи конфігурування протоколу PPPна маршрутизаторі Cisco2800. Порядок виконання роботи: Виконання даної лабораторної ро...

Украинкский

2013-01-08

261.5 KB

16 чел.

Конфігурування протоколу РРР. Налаштування аутентифікації РАР і СHAP

Мета роботи: Вивчити принципи конфігурування протоколу PPP на маршрутизаторі  Cisco 2800.

Порядок виконання роботи:

   Виконання даної лабораторної роботи, складається з двох частин:

  1.  Підготовки на емуляторі Packet Tracer v4.1
  2.  Робота на комутаторі Cisco 2800

  1.  Ознайомитись з теоретичними відомостями.
  2.  Скласти макет згідно схеми в емуляторі Packet Tracer  і провести конфігурацію протоколу РРР на маршрутизаторах.
  3.  Під’єднати до маршрутизатора Cisco 2800 робочу станцію через консольний та Ethernet порти.
  4.  Скласти схему макету.
  5.  Перевірити початковий статус маршрутизатора.
  6.  Провести конфігурування протоколу РРР на комутаторах Cisco 2800.
  7.  Закінчити роботу, підготувати звіт.

Теоретичні відомості

Призначення протоколу РРР

Протокол РРР був створений для вирішення проблем встановлення віддаленого зв'язку з Internet. Крім того, протокол РРР був потрібний для динамічного призначення IP-адрес і забезпечення можливості використання декількох протоколів мережевого рівня. Цей протокол забезпечує встановлення з'єднань між маршрутизаторами і під'єднування хоста до мережі як по синхронним, так і по асинхронним каналам. Загальна схема РРР роказана на рис. 1.1.

Протокол РРР є найбільш популярним серед протоколів розподілених мереж і використовується частіше, оскільки він забезпечує проектувальникові мережі наступні можливості:

· керування каналом даних;

· призначення IР-адрес і керування ними;

· мультиплексування мережевого протоколу;

· встановлення параметрів каналу і тестування якості його роботи;

· виявлення помилок;

· вибір додаткових можливостей, таких як узгодження адреси мережевого

 рівня і необхідності стискання даних.

Рис. 1.1 Протокол РРР забезпечує надійне з'єднання між маршрутизаторами

Компоненти протоколу РРР

Для вирішення проблем встановлення зв'язку з Internet протокол РРР використовує три основних компоненти, вказані нижче.

· Метод інкапсуляції датаграм при передачі їх по послідовних каналах.

Протокол РРР використовує як основу при інкапсуляції датаграм в каналах

типу "крапка-крапка" протокол HDLC (High-level Data Link Control, високорівневе управління каналом зв'язку).

· Протокол LCP для установки, конфігурації і тестування з'єднання на канальному рівні.

· Сімейство протоколів NCP для установки і конфігурації різних протоколів мережевого рівня. При проектуванні протоколу РРР ставилося завдання забезпечити можливість використання декількох протоколів мережевого рівня. В даний час протокол РРР підтримує, окрім протоколу IP, інші протоколи,  протокол міжмережевого обміну пакетами (Internetwork Packet Exchange, IPX) і протокол Decnet. Як показано на рис. 1.2, протокол РРР використовує свій компонент NCP для інкапсуляції різних протоколів.

Рис. 1.2 Використовуючи Ncp, протокол РРР може передавати пакети різних протоколів

Функції РРР різних рівнів

Протокол РРР використовує рівневу архітектуру, як показано на рис. 1.3. Його функції нижнього рівня дозволяють використовувати:

· синхронне передавальне середовище, аналогічне тому, яке сполучає між собою підмережі ISDN

· асинхронне передавальне середовище, подібне тому, яке використовують базові телефонні служби для установки зв'язку через модем.

Використовуючи свої функції верхнього рівня, протокол РРР переносить пакети з декількох протоколів мережевого рівня в NCP. Ці протоколи вищого рівня включають:

· ВСР - протокол управління мостом (Bridge Control Protocol);

· IPCP - протокол управління роботою в Internet (Internet Protocol Control Protocol);

· IPXCP - протокол управління міжмережевим обміном пакетів (Internetwork Packet

Exchange Control Protocol).

Стандартизовані коди цих протоколів вводяться у функціональне поле для вказівки типу протоколу, який РРР використовуватиме при інкапсуляції даних.

Рис. 1.3 Протокол  РРР це протокол канального рівня із службами мережевого рівня

Формати фреймів протоколу РРР

Як показано на рис. 1.4, фрейм протоколу РРР включає наступні поля.

· Прапорець. Вказує на початок або кінець фрейма і представляє двійкову послідовність    01111110.

· Адреса. Складається із стандартних широкомовних адрес, яка є двійковою послідовністю, що складається зі всіх одиниць (11111111). Протокол РРР не призначає станціям індивідуальні адреси.

· Управління. Один байт, що містить послідовність двійкових чисел

00000011, яка викликає передачу даних користувача, що знаходяться в невпорядковому фреймі. При цьому забезпечується канальний зв'язок без установки з’єднання,а налогічний зв'язку протоколу управління логічним каналом (Logical Link Control, LLC) першого типу.

· Протокол. Два байти, які ідентифікують тип протоколу пакету, інкапсульованого в полі даних фрейма.

· Дані.  Нуль або більше байтів, які містять датаграмму протоколу, вказаного в полі протоколу. Кінець поля даних встановлюється шляхом пошуку послідовності закриваючого прапора і виділення двох байтів для контрольної послідовності фрейма. За умовчанням максимальна довжина поля даних рівна 1500 байт.

· FCS. Зазвичай складається з 16 бітів (2 байти). Відноситься до додаткових символів

що додається до фрейма для виявлення помилок.

Рис. 1.4 Протокол РРР використовує фреймову структуру HDLC-процедур

Міжнародної організації стандартизації (International Organization for Standardization, ISO)

Встановлення сеансу зв'язку в протоколі РРР

Протокол РРР надає засоби для встановлення, конфігурації, підтримки і припинення роботи з'єднання типу "крапка-крапка". При установці зв'язку по каналу типу "крапка-крапка" послідовно проходять наступні чотири  стадії.

1. Створення каналу і узгодження конфігурації. Первинний вузол протоколу РРР відсилає LCP-фрейми для конфігурації і тестування каналу передачі даних.

2. Перевірка якості роботи каналу. Канал встановлюється і узгоджуються

його параметри. Відзначимо, що ця стадія не є обов'язковою.

3. Узгодження конфігурації протоколу мережевого рівня. Первинний вузол протокола РРР розсилає NCP-фрейми  для вибору і установки конфігурації протоколів мережевого рівня, таких як TСР/ІР, Novell IPX і Appletalk. Тільки після цього можуть пересилатися пакети вказаних протоколів мережевого рівня.

4. Закінчення роботи каналу. Конфігурація каналу зв'язку зберігається доти

поки LCP або NCP-фрейми  не закриють канал, або до якоїсь зовнішньої події  (наприклад, закінчення часу таймера простою або втручання користувача).

Використовуються три типи LCP-фреймів.

· Фрейми установки каналу зв'язку. Використовуються для створення і конфігурації каналу.

· Фрейми закриття каналу. Використовуються для припинення роботи каналу.

· Фрейми підтримки роботи каналу. Використовуються для відладки каналу і для керування ним.

Алгоритм роботи протоколу LCP

LCP-фрейми  використовуються на всіх чотирьох стадіях роботи протоколу LCP, описаних в подальших розділах.

Стадія 1. Створення каналу і узгодження його параметрів

На стадії створення каналу і узгодження його параметрів кожен пристрій РРР розсилає LCP-пакети для конфігурації і тестування каналу зв'язку. Пакети LCP містять поле додаткових параметрів конфігурації, яке дозволяє погоджувати використання опцій, таких як максимальна величина модуля, що приймається, стискання деяких полів РРР або протокол аутентифікації каналу. Якщо в пакет LCP не включена деяка опція конфігурації, то для неї набуває значення за умовчанням. До передачі датаграм мережевого рівня (наприклад, ip-датаграм), протокол LCP повинен встановити зв'язок і погоджувати параметри конфігурації. Ця стадія закінчується після відправки фрейма запиту на підтвердження конфігурації і отримання відповідної відповіді.

Стадія 1. Перевірка якості роботи каналу

Протокол LCP дозволяє виконати необов'язкову перевірку якості роботи каналу його створення і узгодження параметрів конфігурації. На цій стадії канал тестується з ціллю з'ясування, чи забезпечує він достатню якість для роботи протоколів мережевого рівня.

Крім того, після установки зв'язку і ухвалення рішення про протокол аутентифікації можна перевірити достовірність клієнта або робочої станції. Перевірка достовірності, якщо вона виконується, відбувається до того, як почнеться налаштування параметрів протоколів мережевого рівня.

LCP може затримати передачу інформації протоколу мережевого рівня до закінчення цієї стадії.

РРР підтримує два протоколи аутентифікації: РАР і CHAP. Обидва ці протоколи визначені в специфікації RFC 1334.

Стадія 3. Узгодження параметрів протоколу мережевого рівня

Після того, як протокол LCP закінчує перевірку якості роботи каналу, протоколи мережевого рівня можуть бути окремо конфігуровані відповідними NCP-фреймами і включені і вимкнені у будь-який момент часу.

На цій стадії пристрою РРР розсилають пакети NCP для вибору і конфігурації одного або декількох протоколів мережевого рівня (таких як IP). Після того, як встановлені параметри конфігурації всіх вибраних протоколів мережевого рівня, від кожного з них по каналу можуть бути відправлені датаграми. Якщо LCP закриває який-небудь з каналів, то про це інформується решта всіх протоколів мережевого рівня, які можуть в цьому випадку зробити відповідні дії. Після того, як проведено налаштування параметрів протоколу РРР, перевірка стану LCP і NCP може бути виконана за допомогою команди: show interfaces.

Стадія 4. Закриття каналу

Протокол LCP може закрити канал у будь-який час. Зазвичай це робиться за запитом користувача, але може також відбутися унаслідок деякої фізичної події, наприклад в зв’язку  з пошкодженням носія або закінченням заданого проміжку часу.

Аутентифікація сеансу РРР

Як було сказано раніше, стадія аутентифікації сеансу РРР не є обов'язковою. Після встановлення зв'язку і ухвалення рішення про протокол аутентифікації може бути виконана перевірка достовірності іншої сторони, що бере участь в сеансі зв'язку. Якщо така перевірка виконується, то вона проводиться до початку установки параметрів конфігурації протоколу мережевого рівня. 

Опції аутентифікації вимагають, щоб інша сторона каналу ввела інформацію по перевірці достовірності, яка дозволить переконатися, що даний користувач має дозвіл мережевого адміністратора на вхід в мережу.

Маршрутизатори одного рангу обмінюються повідомленнями про аутентифікацію.

При налаштуванні параметрів аутентифікації протоколу РРР можна вибрати перевірку  протоколів РАР або CHAP. Як правило, перевага віддається протоколу CHAP. Нижче коротко описано ці два протоколи.

· Протокол РАР. РАР надає віддаленому вузлу простий спосіб підтвердити свою ідентичність шляхом використання двокрокового алгоритму (handshake). Після того, як стадія створення РРР-каналу закінчена, віддалений вузол регулярно посилає по каналу ім'я користувача і його пароль доти поки ідентичність не буде підтверджена або канал не буде закритий.

Протокол аутентифікації РАР

РАР не є строгим протоколом аутентифікації. Паролі передаються по каналу у вигляді відкритого тексту, і відсутній захист від повторних атак з метою випадковим чином пробитися в мережу рис. 1.5. Недоліком РАР є те, що РАР дозволяє ворожій стороні спробувати пройти перевірку достовірності по своєму бажанню (без попереднього виклику), що робить його уразливим перед прямолінійною спробою проникнути в мережу Проте спроби підключення, їх частота і час реєструються віддаленим вузлом.

Рис. 1.5 Алгоритм аутентифікації РАР

Протокол аутентифікації CHAP

Протокол CHAP використовується для періодичної перевірки достовірності віддаленого вузла з використанням методу трьохкрокового алгоритму, як показано на рис. 1.6. Така перевірка здійснюється після створення початкового каналу і може бути повторена у будь-який момент часу. Для забезпечення безпеки протокол CHAP дозволяє виконувати таку перевірку регулярно, що робить його ефективнішим, ніж РАР. Протокол РАР виконує таку перевірку тільки один раз, що робить його уразливим перед атакою хакерів., в той час як CHAP не дозволяє ворожій стороні намагатися пройти перевірку достовірності без попереднього виклику.

Рис. 1.6 Алгоритм аутентифікації СНАР

Після створення каналу РРР хост посилає повідомлення про виклик на віддалений вузол. Віддалений вузол посилає у відповідь відповідне значення. Хост порівнює його з тим, що є у нього значенням і, якщо вони збігаються, достовірність підтверджується. Інакше зв'язок припиняється.

Протокол CHAP забезпечує захист від атак повторного відтворення шляхом використання значення змінної виклику, яке унікальне і непередбачуване. Повторні виклики застосовуються для зменшення до мінімуму періоду уразливості при спробі несанкціонованого входу в мережу. Локальні маршрутизатори (або сервери перевірки автентичності, такі наприклад, як комерційний сервер Netscape) фіксують частоту і час надходження викликів.

Налаштування параметрів аутентифікації протоколу РРР

Для налаштування параметрів аутентифікації протоколу РРР необхідно виконати наступні дії.

На кожному маршрутизаторі необхідно задати ім'я і пароль користувача, які очікуються від віддаленого маршрутизатора:

Router (config) # username ім'я password пароль

Параметри команди мають наступне значення:

· ім'я - ім'я хоста або віддаленого маршрутизатора; слід звернути увагу на те, що символи імені чутливі до регістра;

· пароль - при використанні маршрутизаторів Cisco пароль має бути однаковим для обох маршрутизаторів.

Налаштування протоколу аутентифікації РАР

Кожній віддаленій системі, з якою локальний маршрутизатор підтримує зв'язок і від якої вимагає підтвердження автентичності, слід повідомити ім'я користувача. Віддалений пристрій має також бути "прописаний" на локальному маршрутизаторі.Ім'я користувача повинне збігатися з ім'ям хоста, яке вже було призначено пристрою.

Етап 1. Необхідно увійти до режиму установки конфігурації необхідного інтерфейсу.

Етап 2. Необхідно встановити РРР-тип інкапсуляції на цьому інтерфейсі:

Router(config-if)# encapsulation ppp

Етап 3. Слід задати режим аутентифікації протоколу РРР:

Router(config-if)# ppp authentication {chap | chap pap | pap chap | pap }

Етап 4. Якщо включені CHAP і PAP, то перший з вказаних методів використовується на стадії узгодження параметрів каналу. Якщо партнер по зв'язку пропонує використовувати  другий метод або просто відмовляється використовувати перший метод, то робиться спроба використовувати другий з вказаних методів.

Етап 5. У версії операційної системи Cisco 11.1 і попередніх при виборі РАР і конфігурації маршрутизатора, який надсилатиме інформацію РАР (іншими словами, маршрутизатора, що відповідає на запит РАР), необхідно встановити РАР для даного інтерфейсу. За умовчанням він відключений,  для його включення необхідно виконати команду:

Router (config-if )# ppp pap sent-username ім'я password пароль

Налаштування параметрів аутентифікації протоколу CHAP

Для налаштування параметрів конфігурації протоколу CHAP на маршрутизаторі можна використовувати наступні методи.

· Можна використовувати одне і те ж ім'я хоста для різних маршрутизаторів. Якщо

бажано, щоб віддалені користувачі при перевірці достовірності вважали, що вони приєднані до одного і того ж маршрутизатора, то слід використовувати одне і те ж ім'я хоста на всіх маршрутизаторах:

Router (config-if )# ppp chap hostname ім'я

· Для перевірки достовірності невідомого хоста може бути використаний пароль.

Router(config-if)# ppp chap password пароль

Цей пароль не використовується, коли маршрутизатор проводить перевірку достовірностісті віддаленого пристрою.

Схема лабораторного макету

Налаштування маршрутизатора Lab_A:

  1.  Встановити зв’язок з маршрутизатором через программу Hyper Terminal.

2. Перейдіть в глобальний режим конфігурації

Router>enable

Router#conf t

3. Задайте ім’я маршрутизатору

Router(config)#hostname Lab_A

4. Задайте ім’я користувача і пароль, який очікується від віддаленого   маршрутизатора

Lab_A(config)#username Lab_A password 0 cisco

5. Налаштуйте інтерфейс Е0

Lab_A(config)#interface FastEthernet0/0

 Lab_A(config-if)#ip address 172.16.1.1 255.255.255.0

Lab_A(config-if)#no shut

Lab_A(config-if)#exit

6. Перейдіть в режим конфігурації інтерфейсу S0

Lab_A(config)#interface Serial0/3/0

7. Задайте ІР-адресу, тип інкапсуляції РРР і протокол аутентифікації РАР

Lab_A(config-if)# ip address 172.16.0.1 255.255.255.0

Lab_A(config-if)# encapsulation ppp

Lab_A(config-if)#ppp authentication pap

8. Встановіть ім’я користувача і пароль які будуть використовуватися для встановлення зв’язку з віддаленим маршрутизатором

 Lab_A(config-if)#ppp pap sent-username Lab_B password 0 cisco

 Lab_A(config-if)#clock rate 64000

Lab_A(config-if)#no shut

Lab_A(config-if)#exit

Lab_A(config)#router rip

Lab_A(config-router)#network 172.16.1.0

Lab_A(config-router)#network 172.16.0.0

Lab_A(config-router)#exit

Налаштування маршрутизатора Lab_B:

  1.  Встановити зв’язок з маршрутизатором через программу Hyper Terminal.

2. Перейдіть в глобальний режим конфігурації

Router>enable

Router#conf t

3. Задайте ім’я маршрутизатору

Router(config)#hostname Lab_B

4. Задайте ім’я користувача і пароль, який очікується від віддаленого   маршрутизатора

Lab_B(config)#username Lab_B password 0 cisco

5. Налаштуйте інтерфейс Е0

Lab_B(config)#interface FastEthernet0/0

Lab_B(config-if)#ip address 172.16.2.1 255.255.255.0

Lab_A(config-if)#no shut

Lab_A(config-if)#exit

6. Перейдіть в режим конфігурації інтерфейсу S0

Lab_B(config)#interface Serial0/3/0

7. Задайте ІР-адресу, тип інкапсуляції РРР і протокол аутентифікації РАР

Lab_B(config-if)# ip address 172.16.0.2 255.255.255.0

Lab_B(config-if)# encapsulation ppp

Lab_B(config-if)#ppp authentication pap

8. Встановіть ім’я користувача і пароль які будуть відсилатися для встановлення зв’язку з віддаленим маршрутизатором

 Lab_B(config-if)#ppp pap sent-username Lab_A password 0 cisco

Lab_B(config-if)#no shut

Lab_B(config-if)#exit

Lab_B(config)#router rip

Lab_B(config-router)#network 172.16.2.0

Lab_B(config-router)#network 172.16.0.0

Lab_B(config-router)#exit

Перевірте стан інтерфесу S0 на Lab_B

Lab_B#sh int serial0/3/0

Serial0/3/0 is up, line protocol is up (connected)

 Hardware is HD64570

 Internet address is 172.16.0.2/24

 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, rely 255/255, load 1/255

 Encapsulation PPP, loopback not set, keepalive set (10 sec)

 LCP Open

Для перевірки з’єднання між маршрутизаторами виконайте команду ping на комп’ютері.

РС1>ping 172.16.0.2

Pinging 172.16.2.2 with 32 bytes of data:

Reply from 172.16.2.2: bytes=32 time=112ms TTL=126

Reply from 172.16.2.2: bytes=32 time=120ms TTL=126

Reply from 172.16.2.2: bytes=32 time=102ms TTL=126

Reply from 172.16.2.2: bytes=32 time=115ms TTL=126

Ping statistics for 172.16.2.2:

   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

   Minimum = 102ms, Maximum = 120ms, Average = 112ms

Команди які необхідно засвоїти:

Usernameзадає ім’я яке буде очікуватисяв від віддаленого маршрутизатора для встановлення з’єднання

ppp authentication pap задає тип аутентифікації РАР

ppp pap sent-usernameзадає ім’я яке буде відсилатися для встановлення з’єднання

Контрольні питання

  1.  Який алгоритм роботи протоколу аутентифікації РАР?
  2.  Які недоліки протоколу аутентифікації РАР?
  3.  З яким інтервалом триває обмін повідомленнями про стан каналу в даній лабораторній роботі?


 

А также другие работы, которые могут Вас заинтересовать

5290. Действия руководителей формирований ГО и РСЧС при организации и проведению АСДНР 109.5 KB
  Действия руководителей формирований ГО и РСЧС при организации и проведению АСДНР УЧЕБНЫЕ ЦЕЛИ: Совершенствовать знания и навыки руководителей формирований ГО и РСЧС по организации и проведению АСДНР. ВРЕМЯ...
5291. Защита населения путем эвакуации при чрезвычайных ситуациях 114 KB
  Защита населения путем эвакуации при чрезвычайных ситуациях 1 Изучить с требования руководящих документов по организации, планированию и проведению эвакуационных мероприятий в чрезвычайных ситуациях мирного и военного времени. Изучить виды о...
5292. Воздействие поражающих факторов ядерного оружия, обычных средств поражения и основных АХОВ на население и объекты 1.4 MB
  Изучить характеристику очага ядерного поражения. Изучить характеристику очагов поражения обычных средств поражения. Ознакомить с воздействием токсичных свойств основных АХОВ на население Место проведения занятия: класс инженерной защиты...
5293. Прогнозирование и оценка инженерной обстановки в интересах подготовки к защите и по защите населения, материальных и культурных ценностей 715 KB
  Изучить сущность прогнозирования обстановки в интересах защиты населения и территорий. Изучить метод прогнозирование инженерной обстановки на территории города при воздействии ядерных средств поражения. Ознакомить с методом прогнозирование...
5294. Организация строительного производства. Проектирование строительных. Генеральных планов 438.5 KB
  Введение Настоящие методические указания определяют состав, содержание, объем, последовательность и методику проектирования строительного генерального плана в курсовом и дипломном проектах по организации строительства. Предлагаемые методические указ...
5295. Эпоха Петра Великого 81 KB
  Задание №1 Что означают эти понятия. Адмиралтейство, ассамблеи, Берг-коллегия, великое посольство, всешутейший и всепьянейший собор, Генерал-прокурор, генералиссимус, Генеральный регламент, Главный магистрат, гражданская азбука, князь-кесарь...
5296. Комплексная оценка основных показателей качества бензина 310.88 KB
  Комплексная оценка основных показателей качества бензина. Цель работы, изучение технических норм на бензин, методик и приборов, выполнение испытания по определению плотности, фракционного состава, наличия водорастворимых кислот и щелочей, октанового...
5297. Машины для укладки рельсошпальной решетки 2.52 MB
  Введение Данная курсовая работа посвящена изучению путевых машин и механизированных комплексов выполняющих различные работы в путевом хозяйстве. Тема работы - машины для укладки рельсошпальной решётки. Целью работы является подробное изучение к...
5298. Комплексная оценка основных свойств пластичных смазок 43.68 KB
  Комплексная оценка основных свойств пластичных смазок Цель работы. овладение методами комплексной оценки эксплуатационных свойств смазочных материалов, по которым определяется пригодность этих продуктов для использования. Теоретическое введение Плас...