1.路由器经常用于构建广域网,广域网链路的封装和以太网上的封装有着非常大的差别。常见的广域网封装有HDLC、PPP、Frame-relay 等
2.HDLC 是点到点串行线路上(同步电路)的帧封装格式,其帧格式和以太网帧格式有很
大的差别,HDLC 帧没有源MAC 地址和目的MAC 地址。Cisco 公司对HDLC 进行了专有化,Cisco的HDLC 封装和标准的HDLC 不兼容。如果链路的两端都是Cisco 设备,使用HDLC 封装没有问题,但如果Cisco 设备与非Cisco 设备进行连接,应使用PPP 协议。HDLC 不能提供验证,缺少了对链路的安全保护。默认时,Cisco 路由器的串口是采用Cisco HDLC 封装的。如果串口的封装不是HDLC,要把封装改为HDLC 使用命令“encapsulation hdlc”。
和HDLC 一样,PPP 也是串行线路上(同步电路或者异步电路)的一种帧封装格式,但
是PPP 可以提供对多种网络层协议的支持。PPP 支持认证、多链路捆绑、回拨、压缩等功能。
PPP 经过4 个过程在一个点到点的链路上建立通信连接:
• 链路的建立和配置协调:通信的发起方发送LCP 帧来配置和检测数据链路
• 链路质量检测:在链路已经建立、协调之后进行,这一阶段是可选的
• 网络层协议配置协调:通信的发起方发送NCP 帧以选择并配置网络层协议
• 关闭链路:通信链路将一直保持到LCP 或NCP 帧关闭链路或发生一些外部事件
PAP(Password Authentication Protocol)利用2 次握手的简单方法进行认证。在
PPP 链路建立完毕后,源节点不停地在链路上反复发送用户名和密码,直到验证通过。PAP
的验证中,密码在链路上是以明文传输的,而且由于是源节点控制验证重试频率和次数,因
CHAP(Challenge Handshake Authentication Protocol)利用3 次握手周期地验证源端
节点的身份。CHAP 验证过程在链路建立之后进行,而且在以后的任何时候都可以再次进行。
这使得链路更为安全;CHAP 不允许连接发起方在没有收到询问消息的情况下进行验证尝试。
CHAP 每次使用不同的询问消息,每个消息都是不可预测的唯一的值,CHAP 不直接传送密码,
只传送一个不可预测的询问消息,以及该询问消息与密码经过MD5 加密运算后的加密值。所
以CHAP 可以防止再生攻击,CHAP 的安全性比PAP 要高。
encapsulation hdlc 把接口的封装改为hdlc
encapsulation ppp 把接口的封装改为ppp
ppp pap sent-username R1 password 123456 pap 认证时,向对方发送用户名R1 和密码
ppp authentication pap PPP 的认证方式为pap
username R1 password 123456 为对方创建用户R1,密码为123456
debug ppp authentication 打开ppp 的认证调试过程
ppp authentication chap PPP 的认证方式为chap
本文转自gauyanm 51CTO博客,原文链接:http://blog.51cto.com/gauyanm/238167,如需转载请自行联系原作者
