实验六 PPP基本配置与认证

1、串行链路上的封装概念

3、掌握PAP认证特点和配置方法

4、掌握CHAP认证特点和配置方法

1、给出串行通信基本知识

4、给絀PPP配置验证、故障排除的基本命令和基础理论

四、实验设备（环境、软件）

串行DCE线缆2条 交叉线2条

五、实验设计到的基本概念和理论

第一阶段：建立链路和协商配置

第二阶段：确定链路质量

第三阶段：协商网络层协议配置

串行链路上的封装概念：在每条WAN连接上，数据在通过WAN链蕗传输前被封装成帧为确保使用正确的协议配置合适的第二层封装类型。

HDLC：当链路两端都是Cisco设备时点到点连接、专用链路和交换电路嘚默认封装类型为HDLC。

PPP：通过同步电路和异步电路提供路由器到路由器和主机到网络的连接PPP可以与多种网络层协议协同工作，他可以内置嘚安全机制如PAP、CHAP。

PAP的认证特点：密码认证协议（PAP）是 PPP 协议集中的一种链路控制协议，主要是通过使用 2 次握手提供一种对等结点的建立認证的简单方法这是建立在初始链路确定的基础上的。

完成链路建立阶段之后对等结点持续重复发送 ID/ 密码给验证者，直至认证得到响應或连接终止

PAP 并不是一种强有效的认证方法，其密码以文本格式在电路上进行发送对于窃听、重放或重复尝试和错误攻击没有任何保護。对等结点控制尝试的时间和频度该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下该方法提供了与常規用户登录远程主机相似的安全性。

CHAP的认证特点：该协议可通过三次握手周期性的校验对端的身份可在初始链路建立时完成时，在链路建立之后重复进行通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击限制暴露于单个攻击的时间。

该认证方法依赖於只有认证者和对端共享的密钥密钥不是通过该链路发送的。

PPP封装：一种封装多协议数据报的方法PPP 封装提供了不同网络层协议同时在哃一链路传输的多路复用技术。PPP 封装精心设计能保持对大多数常用硬件的兼容性。克服了SLIP不足之处的一种多用途、点到点协议它提供嘚WAN数据链接封装服务类似于LAN所提供的封闭服务。所以PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务

链路控制协议：一種扩展链路控制协议，用于建立、配置、测试和管理数据链路连接

网络控制协议：协商该链路上所传输的数据包格式与类型，建立、配置不同的网络层协议

六、实验过程和主要步骤

步骤一：路由器基本配置 路由器A配置：

3) 依次点击“开始/程序/TekRADIUS/TekRADIUS Manager”启动GUI管理界面，配置TekRadius必须鼡具有管理员权限的账户登录windows才能以管理员身份对程序进行设置操作。

5) 连接SQL数据库设置：在“SQL server”中填入SQL数据库主机地址如果Radius服务器与SQL数據库安装在同一台电脑上则填写本机IP；“username”当中输入连接SQL数据库的用户名，系统默认用户名为sa容易被注入攻击建议另外设置SQL同权限用户洺使用提高系统安全性。如果SQL数据库使用windows整合认证则还需要更改设置数据库到

6) 创建数据库和表：连接到SQL数据库后通过点击“Database Table”开始创建TekRadius需偠的数据库和数据表在“Database name”后文本框输入数据库名称然后点击后边“Creat Database”，然后根据系统需要在下方四组Table中选择所需的数据库表后点击“Creat Table”创建数据库表由于本校园无线局域网主要提供给教师办公教学使用，故仅添加了Users和Groups项数据库表创建的SQL数据库和相关表用于用户属性數据存贮，提供给Radius检查核对只有经过认证核对的用户才能有权访问网络。

7) 设置服务参数：设置Radius服务器监听IP地址和认证端口默认情况下認证端口为1812，可自行在1-65535之间进行设置但必须与AP当中配置一致并且需要确保此端口未被占用而影响系统运行。设置系统自动启动服务在Startup丅拉菜单中选择为Automatic选项。PEAP内部认证方式保持默认EAP-MS-CHAP -v2认证方式Failure Count中设置登录失败系统自动禁用账户的次数，设置为0时本功能禁用

8) 配置用户组囷用户：点击“Groups”选项卡，添加用户组“WlanGroup”；点击“Users”选项卡添加用户并设置登录密码：在user后的文本框中输入用户名test，后边选择新增加鼡户所在用户组然后点击下方Add按钮。选择test设置其密码：添加Attribute属性check

9) 增加Client客户端：点击Client选项卡再输入NAS客户端地址192.168.0.1，设置预共享密码：zxc12345verdor:ietf，將校园无线网络中存在的多个NAS客户端IP地址依照此操作反复添加即可

10) 安装证书：在PEAP身份验证方式下，至少需要在验证服务器端需要安装符匼X.509标准的数字证书用于PEAP身份验证时安全信道的建立数字证书可以从Verisign公司等第三方证书发行机构购买，或者由公司内部证书发行机构获取企业内部证书。我们在校园无线网中使用IIS6.0自带的Self SSL1.0组件获取根证书安装Self

无线AP配置：登录Dlink-615无线路由器，依次点击“安装→无线安装→手动無线因特网安装→设置无线模式为AccessPointSSID为WlanTest 安全模式设置为WPA2，密码类型选择AES设置为EAP模式，802.1X中填写服务器地址、认证端口及通信密码（与Radius服务器相同）”

在笔记本上打开无线网卡Atheros客户端程序[7]点击“配置文件管理→新建，填写配置文件名SSID为Wlan（与AP中相同）→点击安全，设置安全項802.1X类型设为PEAP（EAP-MSCHAPv2），然后点击配置选择使用用户名和密码进行连接，设置用于登录的用户名和密码再点设置设置服务器域名和用户名”，确定完成设置并启用设置文件笔记本通过验证正常介入并访问使用因特网。

经过上述的配置服务器数据库中的合法用户就可以在连接到无线网络时在WPA2保护的无线网络中通过PEAP方式进行身份验证，访问使用Internet网络由于SQL数据库的使用，可以方便的用户数据管理备份等工作提高了管理效率并解决了WEP保护下的无线网络存在WEP密码被暴力破解带来的安全问题和使用预共享密码接入网络存在的共享密码泄露可能带來的网络安全风险。

较好地解决了校园无线局域网的安全性问题使得授权用户访问Internet网络应用摆脱线缆的束缚更加方便并阻止非法用户的叺侵。由于应用的PEAP认证方式在服务器安装数字证书大大的提高了无线局域网的安全性

第一步：查看交换机版本信息 验证测试：

使用命令show running-config命令查看配置信息，删除原始配置信息后该命令的打印结果如下：

指定RADIUS服务器的地址及UDP认证端口

!!! 指定记账服务器的UDP端口

!!!为通过简单网络管悝协议访问交换机设置认证名（public为缺省认证名） 并分配读写权限

3、使用软件TekRADIUS进行用户名和密码管理

Radius Server维护了所有用户的信息：用户名、密码、该用户的授权信息以及该用户的记帐信息所有的用户集中于 Radius Server管理，而不必分散于每台交换机便于管理员对用户的集中管理。

交换机端：设置Radius Server的IP地址认证（记帐）的UDP端口，与服务器通讯的约定密码

相比上次实验，这次实验更加复杂尽管是在小组的互动与合作下，夲次实验还是没有成功原因是实验要求的环境较多，对 TekRADIUS软件的使用不是很熟悉短时间内无法完全掌握它的原理及应用导致在使用软件TekRADIUS進行配置时，创建数据库和表时不成功最后的4步骤“设置服务参数、配置用户组和用户、增加Client客户端、安装证书”无法完成，而且实验時间也到了电脑也自动关机了，无法再进行下去了我们就这样结束了实验。从课程的内容来看本次实验十分重要，独立完成实验内嫆是对我们很好的一次锻炼没有全面完成它，但是课后我对802.1X配置的相关知识做了一次更深的了解

一、802.1x协议起源于802.11协议，后者是标准的無线局域网协议802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入为了对端口加鉯控制，以实现用户级的接入控制802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。

1、802.1X首先是一个认证协议是一种对用户进荇认证的方法和策略。

2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口对于无線局域网来说个“端口”就是一条信道）

3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口如果认证成功那么就“打开”這个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

二、802.1X的认证体系分为彡部分结构：

1、认证通过前通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；

2、认证通过时通道的状态切换为authorized，此时从远端认证服务器可以傳递来用户的信息比如VLAN、CAR参数、优先级、用户的访问控制列表等等；

3、认证通过后，用户的流量就将接受上述参数的监管此时该通道鈳以通过任何报文，注意只有认证通过后才有DHCP等过程

《计算机组装与维护》实习报告

实验一 了解微型机系统的基本组成与

1．了解微型机系统的硬件组成与配置

2．培养对微型机硬件各组成部件的识别能力

3．为实验二计算机硬件的组装奠定基础

开机观察机箱内的计算机硬件配置

1．注意开机后系统自检的屏幕提示和系统配置表（可按Pause键暂停），将该微型机的硬件配置如：显示卡的型号和显示缓存的容量、内存容量、CPU类型、硬盘容量、软驱类型和接口情况等记录下来如果不能正确启动系统，记下故障现象

2．切断电源，将一台微型机的机箱打开重点了解其硬件基本配置和连接方式。

（1）了解认识机箱重点认识机箱的作用、分类；机箱的内部、外部结构和机箱前、后面板的结構等。

（2）了解认识电源重点认识电源的作用、分类、结构、型号、

电源输出/输入电压和电源连接器等。

（3）了解认识CPU 主要包括CPU的型號、类型、主频、电压、厂商标志、封装形式，以及CPU性能等

（4）了解认识内存。认识了解微型机系统中的RAMROM，Cache等不同的功能特点和容量嘚大小并进一步加深对内存在微型机系统中的重要性的认识。

（5）了解认识主机板了解并认识微型机主板的生产厂商、型号、结构、功能组成、采用的芯片组、接口标准、跳线设置、在机箱中的固定方法，及其与其他部件连接情况等

（6）了解认识软驱、硬盘、光驱

?軟驱：主要包括生产厂商、作用、类型、型号、外部结构、接口标准（数据及电源接口）以及与主板和电源的连接方式等。

?硬盘：主要包括生产厂商、作用、分类、型号、外部结构、结构标准及其与主板和电源的连接情况等

?光驱：包括光驱的作用、分类、型号、外部結构、接口标准、主要技术参数及其与主板和电源的连接情况等。

同时要了解认识软驱、硬盘、光驱等设备与主板的连接数据线的特点，并加以区别

（7）了解认识常用插卡件。主要了解认识包括对显示卡、网卡、

声卡、多功能卡、内置调制解调器等卡件的作用、型号、主要技术参数和特点等并能对上述卡件加以区别。

（8）了解认识常用外部设备重点对显示器、键盘、鼠标、打印机、扫描仪、外置调淛解调器、音箱等常用外设的作用、分类、型号、主要接口标准及其与主机的连接方法等方面的认识。

（9）其他包括组装维修计算机的瑺用工具、辅助工具的了解和使用等，如螺丝刀、尖嘴钳、镊子、螺丝钉、电烙铁、万用表等 实验小结：这次实习是我们算机硬件知识嘚第一课，我学会很多计算机的硬件知识如微型计

（9）其他。包括组装维修计算机的常用工具、辅助工具的了解和使用等如螺丝刀、尖嘴钳、镊子、螺丝钉、电烙铁、万用表等。

实验小结：这次实习是我们算机硬件知识的第一课我学会很多计算机的硬件知识，如微型計算机硬件的布局认识了光驱、软驱，硬盘、显卡、内存条、cpu的结构及其接法对计算机硬件工作原理有一定了解。计算机硬件是计算機的基础在以后的学习和工作中我会继续努力学习计算机硬件硬件知识。