网络互联技术与实践第12章广域网PPP协议封装.ppt

12.1任务描述,第12章：广域网PPP协议封装,某公司下属多个分公司，并且总公司与分公司分别设在不同的城市，总公司与分公司之间的网络通过路由器相连，保持网络连通。现要在路由器上做适当配置，实现公司内部主机相互通信。,12.2相关知识,第12章：广域网PPP协议封装,12.2.1广域网简介,12.2.2点对点连接（PPP）,12.2.1广域网简介,1.WAN的概念,WAN是一种超越LAN地理范围的数据通信网络。如图12.1所示。WAN与LAN的不同之处在于：LAN连接一栋大楼内或其它较小地理区域内的计算机、外围设备和其它设备，WAN则允许跨越更远的地理距离传输数据。此外，企业必须向WAN服务提供商订购服务才可使用WAN电信网络服务。而LAN通常归使用LAN的公司或组织所有。,12.2.1广域网简介,1.WAN的概念,12.2.1广域网简介,1.WAN的概念,WAN有三大特性，分别是：（1）WAN中连接设备跨越的地理区域通常比LAN的作用区域更广；（2）WAN使用运营商（例如电话公司、电缆公司、卫星系统和网络提供商）提供的服务；（3）WAN使用各种类型的串行连接提供对大范围地理区域带宽的访问功能。,12.2.1广域网简介,2.应用WAN的场所,分区或分支机构的员工需要与总部通信并共享数据。公司经常需要与其它公司远距离共享信息。例如，软件生产商通常需要与将其产品销售给最终用户的经销商交流产品和促销信息。经常出差的员工需要访问公司网络信息。,12.2.1广域网简介,3.WAN设备,12.2.1广域网简介,4.WAN物理层标准,WAN物理层协议描述连接WAN服务所需的电气、机械、操作和功能特性。WAN物理层还描述DTE和DCE之间的接口。DTE/DCE接口使用不同的物理层协议，包括EIA/TIA-232、EIA/TIA-449/530、EIA/TIA-612/612、V.35、X.21等。,12.2.1广域网简介,5.数据链路层协议,WAN要求数据链路层协议建立穿越整个通信线路（从发送设备到接收设备）的链路。数据链路层协议定义如何封装传向远程站点的数据以及最终数据帧的传输机制。采用的技术有很多种，如ISDN、帧中继或ATM。最常用的WAN数据链路协议有HDLC、PPP、帧中继和ATM等。,12.2.1广域网简介,6.WAN封装,从网络层发来的数据会先传到数据链路层，然后通过物理链路传输，这种传输在WAN连接上通常是点对点进行的。数据链路层会根据网络层数据构造数据帧，以便可以对数据进行必要的校验和控制。所有WAN连接都使用第2层协议对在WAN链路上传输的数据包进行封装。为确保使用正确的封装协议，必须为每个路由器的串行接口配置所用的第2层封装类型。封装协议的选择取决于WAN技术和设备。常用的帧的封装格式有HDLC（高级数据链路控制）、PPP（点对点）、帧中继、ISDN等，不同的帧封装适合应用在不同的场合。,12.2.1广域网简介,7.WAN连接方式,12.2.1广域网简介,8.专用连接链路方式,点对点线路通常向运营商租用，因此叫做租用线路。租用线路有不同的容量，其价格通常取决于所需的带宽及两个连接点之间的距离。租用线路类型及容量如下：56kbps。64kbps。T1（1.544Mbps）美国标准。E1（2.048Mbps）欧洲标准。E3（34.064Mbps）欧洲标准。T3（44.736Mbps）美国标准。SONET：一系列高速的物理层技术。,12.2.1广域网简介,9.电路交换连接方式电路交换网络在发送方和接收方之间建立专用连接用于传输语音或数据。要进行通信，必须通过服务提供商网络建立连接。通常有模拟拨号、综合业务数字网等。10.分组交换连接在包交换式网络中，提供商通过配置自己的交换设备产生虚拟电路（VC，VirtualCircuit）来提供端到端连接。帧中继、SMDS和X.25都属于包交换式的广域网技术。11.Internet连接方式宽带连接方案通常用于通过Internet将远程工作人员连接到公司站点。这些方案包括电缆、DSL和无线。,11.2.2点对点连接（PPP）,点对点协议(PPP)提供同时处理TCP/IP、IPX和AppleTalk的多协议LAN到WAN连接。可用于双绞线、光纤线路和卫星传输链路上。PPP可在ATM、帧中继、ISDN和光纤链路上传输。在现代网络中，安全性是关键的考虑因素。PPP允许您使用口令验证协议(PAP)或更有效的挑战握手验证协议(CHAP)。,11.2.2点对点连接（PPP）,利用串行连接，信息通过一条导线发送时，每次发送一个位。大多数PC上的9针串行连接器使用两个环路进行数据通信，每个方向一个环路，其它导线则用于控制信息的流动。在任意指定的方向上，数据都只在一根导线上流动。,1.串行通信,11.2.2点对点连接（PPP）,串行通信标准,RS-232,V.35,HSSI:,1.串行通信,11.2.2点对点连接（PPP）,3.数据终端设备和数据通信设备,数据终端设备（DTE）是指用于用户网络接口的用户端的设备，它充当信源、目的地或两者。DTE通过数据通信设备（DCE）连接到网络。,DCE提供了到网络的物理连接，提供时钟信号用于同步DCE和DTE之间的数据传输，把转发数据流。,11.2.2点对点连接（PPP）,3.数据终端设备和数据通信设备,（1）DTE-DCE从WAN连接的角度来看，串行连接的一端连接的是DTE设备，另一端连接的是DCE设备。两个DCE设备之间的连接是WAN服务提供商传输网络。在这种情况下：CPE通常是路由器，也就是DTE。如果DTE直接连接到服务提供商网络，那么DTE也可以是终端、计算机、打印机或传真机。DCE通常是调制解调器或CSU/DSU，DCE设备用于将来自DTE的用户数据转换为WAN服务提供商传输链路所能接受的格式。此信号由远程DCE接收，远程DCE将信号解码为位序列。然后，远程DCE将该序列传送到远程DTE。,11.2.2点对点连接（PPP）,3.数据终端设备和数据通信设备,（2）电缆标准两种不同类型的电缆：一种用于将DTE连接到DCE，另一种用于直接互连两个DTE。,串行通信标准,EIA/TIA-232,EIA/TIA-449,V.35,X.21,EIA/TIA-530,智能串行电缆,11.2.2点对点连接（PPP）,3.数据终端设备和数据通信设备,（2）电缆标准两种不同类型的电缆：一种用于将DTE连接到DCE，另一种用于直接互连两个DTE。,11.2.2点对点连接（PPP）,3.数据终端设备和数据通信设备,11.2.2点对点连接（PPP）,4.HDLC封装,第2层WAN封装协议,HDLC,PPP,串行线路Internet协议(SLIP),X.25/平衡式链路接入协议(LAPB),帧中继,ATM,11.2.2点对点连接（PPP）,4.HDLC封装,HDLC采用同步串行传输，可以在两点之间提供无错通信。HDLC定义的第2层帧结构采用确认机制进行流量控制和错误控制。每个帧的格式都相同，无论是数据帧还是控制帧。,HDLC是根据20世纪70年代提出的同步数据链路控制(SDLC)标准开发的。HDLC同时提供面向连接的服务和无连接服务。,11.2.2点对点连接（PPP）,4.HDLC封装,（3）配置HLDC封装CiscoHDLC是Cisco设备在同步串行线路上使用的默认封装方法。在连接两个Cisco设备的租用线路上，可以使用CiscoHDLC作为其点对点协议。如果连接的不是Cisco设备，则应使用同步PPP。如果已更改默认封装方法，则可以在特权模式下使用encapsulationhdlc命令重新启用HDLC。,11.2.2点对点连接（PPP）,4.HDLC封装,步骤1：进入串行接口的接口配置模式。Router(config)#interfaceserial0/0/0步骤2：输入encapsulationhdlc命令指定接口的封装协议。Router(config-if)#encapsulationhdlc步骤3：查看串行接口的封装配置routera#showinterfacesserial0/0/0Serial0/0/0isup,lineprotocolisup(connected)EncapsulationHDLC,loopbacknotset,keepaliveset(10sec)0 x81084AC0,11.2.2点对点连接（PPP）,4.HDLC封装,routera#showcontrollersserial0/0/0InterfaceSerial0/0/0HardwareisPowerQUICCMPC860DCEV.35,clockrate64000idbat0 x81081AC4,driverdatastructureat0 x81084AC0,11.2.2点对点连接（PPP）,5.PPP协议,HDLC是连接两台Cisco路由器的默认串行封装方法。Cisco版本的HDLC是专有版本，它增加了一个协议类型字段。因此，CiscoHDLC只能用于连接其它Cisco设备。但是，在需要连接非Cisco路由器时，应该使用PPP封装。（1）PPP简介PPP封装能够与最常用的支持硬件兼容。PPP对数据帧进行封装以便在第2层物理链路上传输。PPP使用串行电缆、电话线、中继(trunk)线、手机、专用无线链路或光缆链路建立直接连接。,11.2.2点对点连接（PPP）,（2）PPP主要组件：PPP包含三个主要组件：用于在点对点链路上封装数据报的HDLC协议。用于建立、配置和测试数据链路连接的可扩展链路控制协议(LCP)。用于建立和配置各种网络层协议的一系列网络控制协议(NCP)。PPP允许同时使用多个网络层协议。较常见的NCP有Internet协议控制协议、Appletalk控制协议、NovellIPX控制协议、Cisco系统控制协议、SNA控制协议和压缩控制协议。,5.PPP协议,11.2.2点对点连接（PPP）,5.PPP协议,11.2.2点对点连接（PPP）,（4）建立PPP会话,PPP会话阶段,链路建立和配置协商,链路质量确认（可选）,网络层协议配置协商,5.PPP协议,11.2.2点对点连接（PPP）,（5）PPP配置选项对PPP进行配置，使之支持各种功能，包括：使用PAP或CHAP验证身份；使用Stacker或Predictor进行压缩；合并两个或多个通道以增加WAN带宽的多链路。,5.PPP协议,11.2.2点对点连接（PPP）,（6）PPP配置命令封装PPP协议。Router(config-if)#encapsulationppp要使用PPP封装，必须给路由器配置IP路由选择协议。设置压缩算法。Router(config-if)#compresspredictor|stac|MPPCCisco路由器支持stacker、predictor和MPPC压缩。链路质量监视。Router(config-if)#pppqualitypercentage,5.PPP协议,11.2.2点对点连接（PPP）,6.PPP身份验证协议,PPP身份验证协议,密码验证协议（PasswordAuthenticationProtocol，PAP）,询问握手验证协议（ChallengeHandshakeAuthenticationProtocol，CHAP）,11.2.2点对点连接（PPP）,（1）密码验证协议,如图12.8所示，密码验证协议利用双向握手信号的简单方法建立远端节点的验证。在PPP链路建立阶段完成后，远端节点会通过链路反复传送用户名和密码到路由器直到验证完成确认，否则连接被终止。,11.2.2点对点连接（PPP）,（1）密码验证协议,PAP并不是一个功能很强大的验证协议，并且验证过程不是很安全，密码在链路上是以明文传输的，如果在线路上设置一个协议分析仪就能看到用户口令。并且此验证协议不能提供回放（Playback）模仿（通过连接到线路上的捕获数据包一起就可以捕获带有用户名和密码的数据包，然后就可以通过回放这个被捕获的用户名和密码登录到网络上）或重复尝试型攻击的保护。远端节点能控制验证重试的频率和时间。如果对安全接入控制有较高的要求，就应该采用CHAP验证方式。只有当PAP是远程节点唯一支持的验证方式时，才使用PAP。,11.2.2点对点连接（PPP）,（2）询问握手验证协议,11.2.2点对点连接（PPP）,（2）询问握手验证协议,CHAP通过三次握手验证对等体的身份。是一种比PAP更强大的身份验证方法。CHAP验证过程如图12.9所示。在PPP链路建立阶段完成后，本地路由器向远程接点发送一个“挑战”信息，远端节点用密码和单向散列函数（典型为MD5）对挑战信息进行计算，会产生一个回应的计算结果值返回给本地路由器。本地路由器将该结果与根据它本身按同样方法计算出来的结果值进行比较来检验回应，如果两个值相互匹配则验证通过，否则连接中断。,11.2.2点对点连接（PPP）,7.配置PPP身份验证,（1）启用PPP封装，将其作为接口的第2层协议。router#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#interfaceserial0/0/0router(config-if)#encapsulationppp（2）配置路由器的主机名以标识路由器。要指定主机名，可在全局配置模式下使用命令hostnamename。该名称必须与与链路另一端的对等路由器上配置的某个用户名相同。,11.2.2点对点连接（PPP）,7.配置PPP身份验证,（3）配置用户名和密码以便验证PPP对等体的身份。在每台路由器使用全局配置命令usernamenamepassword0|7password定义远程路由器的用户名和密码。其中：Name：是远程路由器的主机名，区分大小写。Password：在Cisco路由器上，连接双方的密码必须相同。（4）使用接口配置命令使用身份验证方法要在接口上指定使用身份验证方法（chap和pap）的顺序，可使用接口配置命令：routera(config-if)#pppauthenticationpap|chap|papchap|chappap（5）排除PPP身份验证配置故障在特权模式下使用debugpppauthentication命令。,12.3方案设计,针对客户提出的要求，公司网络工程师计划通过广域网端口s0/0连接总公司与公司间网络，我们将分公司两台路由器通过serial接口与总公司的路由器的Serial接口相连接。分别对路由器的端口分配IP地址，并配置PPP协议和静态路由协议，这样，对总公司与公司网内的主机设置IP地址及网关后就可以相互通信了。,12.4任务实施,12.4.1项目任务,为了实现本项目，搭建如图12.10所示的网络实训环境，完成如下的配置任务（1）配置PPP封装。（2）配置CHAP验证。（3）配置CHAP验证；,12.4任务实施,12.4.1项目任务,12.4任务实施,12.4.2设备清单,为了构建如图12.10所示的网络实训环境，需要如下网络设备：（1）Cisco2811路由器（3台）；（2）CiscoCatalyst2960交换机（3台）；（3）PC机3台；（4）双绞线（若干根）；,12.4任务实施,步骤1：规划设计（1）规划各路由器名称，各接口IP地址、子网掩码如表12-1所示。,12.4.3实施过程,12.4任务实施,（2）规划各计算机的IP地址、子网掩码和网关如表12-2所示。,12.4.3实施过程,12.4任务实施,步骤2：实训环境准备（1）硬件连接。在路由器、交换机和计算机断电的状态下，按照图12.10连接硬件。（2）给各设备供电步骤3：按照表12-2所列设置各计算机的IP地址、子网掩码、默认网关。步骤4：清除各路由器配置（略）步骤5：测试网络连通性使用ping命令分别测试PC11、PC21、PC31这3台计算机之间的连通性。步骤6：按照项目3配置路由器A、B、C。（略）配置完成后，PC11、PC21、PC31这6台计算机之间应该是互通的。,12.4.3实施过程,12.4任务实施,步骤7：查看路由器的串行接口的状态routera#showipinterfacebriefroutera#showinterfacesserial0/0/0routerb#showinterfacesserial0/0/0routerc#showinterfacesserial0/0/0步骤8：封装不带认证的PPP协议（1）配置PPP封装routera(config)#interfaceserial0/0/0routera(config-if)#encapsulationppproutera(config-if)#exitroutera(config)#interfaceserial0/0/1routera(config-if)#encapsulationppprouterb(config)#interfaceserial0/0/0routerb(config-if)#encapsulationppprouterc(config)#interfaceserial0/0/0routerc(config-if)#encapsulationppp,12.4.3实施过程,12.4任务实施,（2）查看各串行接口的封装routera#showinterfacess0/0/0routerb#showinterfacess0/0/0routerc#showinterfacess0/0/0（3）使用ping命令分别测试PC11、PC21、PC31这3台计算机之间的连通性。,12.4.3实施过程,12.4任务实施,步骤9：封装带PAP认证的PPP协议（1）配置PPP封装routera(config)#interfaceserial0/0/0routera(config-if)#encapsulationppproutera(config-if)#pppauthenticationpaproutera(config-if)#ppppapsent-usernamerouterapasswordrouterroutera(config-if)#noshutdownroutera(config-if)#interfaceserial0/0/1routera(config-if)#encapsulationppproutera(config-if)#pppauthenticationpaproutera(config-if)#ppppapsent-usernamerouterapasswordrouterroutera(config-if)#noshutdownroutera(config-if)#exitroutera(config)#usernamerouterbpasswordrouterroutera(config)#usernameroutercpasswordrouterroutera(config)#,12.4.3实施过程,12.4任务实施,routerb(config)#interfaceserial0/0/0routerb(config-if)#encapsulationppprouterb(config-if)#pppauthenticationpaprouterb(config-if)#ppppapsent-usernamerouterbpasswordrouterrouterb(config-if)#noshutdownrouterb(config-if)#exitrouterb(config)#usernamerouterapasswordrouterrouterb(config)#,12.4.3实施过程,12.4任务实施,routerc(config)#interfaceserial0/0/0routerc(config-if)#encapsulationppprouterc(config-if)#pppauthenticationpaprouterc(config-if)#ppppapsent-usernameroutercpasswordrouterrouterc(config-if)#noshutdownrouterc(config-if)#exitrouterc(config)#usernamerouterapasswordrouterrouterc(config)#（2）使用ping命令分别测试PC11、PC21、PC31这3台计算机之间的连通性。,12.4.3实施过程,12.4任务实施,步骤10：封装带CHAP认证的PPP协议（1）配置PPP封装routera(config)#interfaceserial0/0/0routera(config-if)#encapsulationppproutera(config-if)#pppauthenticationchaproutera(config-if)#noshutdownroutera(config-if)#interfaceserial0/0/1routera(config-if)#encapsulationppproutera(config-if)#pppauthenticationchaproutera(config-if)#noshutdownroutera(config-if)#exitroutera(config)#usernamerouterbpasswordrouterroutera(config)#usernameroutercpasswordrouter,12.4.3实施过程