NP_09远程接入技术

1、第九章第九章远程接入技术远程接入技术今日汗水，今日汗水，明朝辉煌明朝辉煌引言引言 路由器作为网络层设备，除了提供本地网络的三层连路由器作为网络层设备，除了提供本地网络的三层连通外，更主要的功能是提供了用户网络的通外，更主要的功能是提供了用户网络的WAN接入。接入。 以实验室所使用的以实验室所使用的R1762高性能安全模块化路由器为高性能安全模块化路由器为例例 提供提供2个用于本地个用于本地LAN连接的快速以太接口；连接的快速以太接口； 提供了两个用于提供了两个用于WAN接入的同步串口接入的同步串口Serial； Serial接口支持接口支持HDLC、PPP和和Frame Relay的广域网的广

2、域网封装协议，其中，目前使用最广泛的是封装协议，其中，目前使用最广泛的是PPP协议。协议。 教学目标教学目标 掌握广域网的概念掌握广域网的概念 理解广域网中的数据链路层协议理解广域网中的数据链路层协议 掌握点对点协议工作原理及配置方法掌握点对点协议工作原理及配置方法 了解帧中继工作原理及配置方法了解帧中继工作原理及配置方法本章内容本章内容 广域网概述广域网概述 广域网中的数据链路层协议广域网中的数据链路层协议 点对点协议点对点协议PPP PPP协议的验证协议的验证 PAP CHAP MP配置配置 帧中继帧中继课程议题课程议题广域网概述广域网概述广域网概念广域网概念 广域网广域网(Wide Ar

3、ea Network，WAN)： 距离远、带宽小、延时大距离远、带宽小、延时大 为用户提供远距离数据通信业务的网络为用户提供远距离数据通信业务的网络 通常使用电信部门的传输设备通常使用电信部门的传输设备 包括电路交换和包（分组）交换网络包括电路交换和包（分组）交换网络 广域网技术主要位于底层的广域网技术主要位于底层的3个层次，分别是：物理层、个层次，分别是：物理层、数据链路层和网络层。数据链路层和网络层。广域网的概念广域网的概念 广域网连接的场所广域网连接的场所 根据用户不同的需求提供不同的连接方案根据用户不同的需求提供不同的连接方案广域网链路广域网链路 电路交换电路交换 电路交换是广域网所使

4、用的一种交换方式。可以通电路交换是广域网所使用的一种交换方式。可以通过运营商网络为每一次会话过程建立，维持和终止过运营商网络为每一次会话过程建立，维持和终止一条专用的物理电路。电路交换也可以提供数据报一条专用的物理电路。电路交换也可以提供数据报和数据流两种传送方式和数据流两种传送方式。 公共交换电话网（公共交换电话网（PSTN） ISDN基本速率接口（基本速率接口（BRI ISDN） ISDN集群集群速率接口（速率接口（PRI ISDN）广域网链路广域网链路 分组交换分组交换 分组是指包含用户数据和协议头（包括地址和管理分组是指包含用户数据和协议头（包括地址和管理信息）的块，每个分组通过网络交

5、换机或路由器被信息）的块，每个分组通过网络交换机或路由器被传送到正确目的地。传送到正确目的地。 分组交换包含两种基本途径：分组交换包含两种基本途径： 虚电路分组交换虚电路分组交换 数据报交换数据报交换广域网的接入技术的分类广域网的接入技术的分类-模拟拔号模拟拔号 模拟拔号模拟拔号 公共电话网：即公共电话网：即PSTN（Public Swithed Telephone Network），速度），速度9600bps28.8kbps，经压缩后最，经压缩后最高可达高可达115.2kbps，传输介质是普通电话线。，传输介质是普通电话线。 模拟拔号接入方式的优点是费用低，易于建立，模拟拔号接入方式的优点是

6、费用低，易于建立，且且分布广泛分布广泛。缺点是低速率、连接时间长。缺点是低速率、连接时间长。广域网的接入技术的分类广域网的接入技术的分类-ISDN ISDN 综合业务数字网，综合业务数字网，采用采用拨号连接方式。低速接口为拨号连接方式。低速接口为128kbps（高速可达（高速可达2M），它使用），它使用ISDN线路或通过线路或通过电信局在普通电话线上加装电信局在普通电话线上加装ISDN业务。业务。 ISDN将本地环路转化为将本地环路转化为TDM数字连接，数字连接，该连接有用该连接有用来传输语音或数据的承载信道来传输语音或数据的承载信道（B）和一条用来进行）和一条用来进行呼叫建立和其他用途的信令

7、信道（呼叫建立和其他用途的信令信道（D）。）。 T1 、 E1广域网的接入技术的分类广域网的接入技术的分类-专线专线 专线专线 Leased Line， 也称为租用线路，也称为租用线路， 在中国称为在中国称为DDN，是一种点到点的连接方式，速度一般选择是一种点到点的连接方式，速度一般选择64kbps2.048Mbps，它的最高带宽可达，它的最高带宽可达2.5Gbit/s 由于专线的线路带宽是固定的，而广域网的流量是由于专线的线路带宽是固定的，而广域网的流量是变化的，所以造成了带宽很少被完全使用。又因为变化的，所以造成了带宽很少被完全使用。又因为每个专线的接入都需要路由器的一个接口，这样位每个专

8、线的接入都需要路由器的一个接口，这样位于多点星型结构的中心路由器价格非常昂贵。于多点星型结构的中心路由器价格非常昂贵。广域网的接入技术的分类广域网的接入技术的分类-X.25 X.25协议协议 也称为也称为Recommendation X.25，最古老的，最古老的WAN协议之协议之一，它采用的是一，它采用的是60年代和年代和70年代开发的包交换技术。年代开发的包交换技术。 X.25协议不是高速的协议不是高速的WAN协议，其特点如下：协议，其特点如下： 全球性的认可；全球性的认可； 冗余纠错功能，可靠性；冗余纠错功能，可靠性； 连接老式的连接老式的LAN和和WAN的能力；的能力； 将老式主机和微型

9、机连接到将老式主机和微型机连接到WAN的能力的能力； 速度慢，延迟大速度慢，延迟大。广域网的接入技术的分类广域网的接入技术的分类-帧中继帧中继 帧中继帧中继 其其ITU-T标准于标准于1984年提议，以满足高容量、高带宽年提议，以满足高容量、高带宽的的WA N提出的要求提出的要求 在虚拟电路在虚拟电路(在帧中继上，称为虚拟连接在帧中继上，称为虚拟连接)上使用包交上使用包交换技术换技术 虚拟连接可以有交换型虚拟连接可以有交换型( SVC )和永久型和永久型( PVC )两种两种 帧中继的永久性虚拟连接是两个结点之间的一条帧中继的永久性虚拟连接是两个结点之间的一条持续可用的通路持续可用的通路 交换

10、式虚拟连接需要建立传输会话的过程。一旦交换式虚拟连接需要建立传输会话的过程。一旦通信结束，呼叫控制信号将对每个结点发出命令，通信结束，呼叫控制信号将对每个结点发出命令，断开连接。断开连接。广域网的接入技术的分类广域网的接入技术的分类-ATM ATM 是一个用于数据、语音、视频以及多媒体应用程序的是一个用于数据、语音、视频以及多媒体应用程序的高速网络传输方法。高速网络传输方法。 是一种信元交换网络，最大特点的速率高、延迟小、是一种信元交换网络，最大特点的速率高、延迟小、传输质量有保障。传输质量有保障。ATM大多采用光纤作为连接介质，大多采用光纤作为连接介质，速率可高达上千兆（速率可高达上千兆（1

11、09bps），但成本也很高。），但成本也很高。 53字节的字节的ATM信元不如帧中继和信元不如帧中继和X.25的较大帧和分组的较大帧和分组有效率，因为一个有效率，因为一个48字节的有效载荷至少有字节的有效载荷至少有5Bytes的开的开销，当信元传输被分解的网络层分组时，开销更高。销，当信元传输被分解的网络层分组时，开销更高。广域网的接入技术的分类广域网的接入技术的分类-DSL 数字用户线路（数字用户线路（Digital Subscriber Line，缩写：，缩写：DSL） 通过铜线或者本地电话网提供数字连接的一种技术。通过铜线或者本地电话网提供数字连接的一种技术。 DSL技术是使用普通铜质电

12、话线中未使用的带宽来快技术是使用普通铜质电话线中未使用的带宽来快速传递数字数据，速传递数字数据，DSL连接和拔号接入一样容易实现，连接和拔号接入一样容易实现，和专线一样，和专线一样，DSL也是全天候的。也是全天候的。广域网的接入技术的分类广域网的接入技术的分类-DSL DSL可分为对称可分为对称DSL与非对称与非对称DSL技术两大类。技术两大类。 对称对称DSL技术：对称技术：对称DSL技术主要用于替代传统技术主要用于替代传统ISDN T1/E1接入技术，与传统的接入技术，与传统的T1/E1接入相比，接入相比，DSL技术具有对线路质量要求低、安装调试简便等特技术具有对线路质量要求低、安装调试简

13、便等特点，而且通过复用技术，还可以提供语音、视频与点，而且通过复用技术，还可以提供语音、视频与数据多路传送等服务。目前，对称数据多路传送等服务。目前，对称DSL技术主要技术主要HDSL、SDSL、MVL及及IDSL等几种。等几种。 非对称性非对称性DSL技术：非对称技术：非对称DSL技术适用于对双向带技术适用于对双向带宽要求不一致的应用，诸如宽要求不一致的应用，诸如Web浏览、多媒体点播及浏览、多媒体点播及信息发布等，非对称信息发布等，非对称DSL技术主要有技术主要有ADSL、RADSL及及VDSL等。等。广域网设备及接口广域网设备及接口 广域网本质上是由服务提供商的通信链路连接起来的一广域网

14、本质上是由服务提供商的通信链路连接起来的一组局域网。由于通信链路不能直接插入局域网中，所以组局域网。由于通信链路不能直接插入局域网中，所以需要各种接口连接设备需要各种接口连接设备。 路由器（路由器（Router） CSU/DSU 调制解调器调制解调器 ISDN终端适配器终端适配器 广域网交换机广域网交换机 接入服务器接入服务器广域网设备及接口广域网设备及接口 广域网接口广域网接口EIA*TIA*232在近距离范围内，允许在近距离范围内，允许25针针D连接器上的信号速度最高可连接器上的信号速度最高可达达64kbit/s。以前被称为。以前被称为RS-232。ITU-T V.24规范中也是规范中也是

15、一样一样EIA/TIA449EIA-530EIA/TIA232的高速版本，它使用的高速版本，它使用36针针D连接器，传输距连接器，传输距离更远离更远EIA/TIA612/613高速串行接口（高速串行接口（HSSI），在），在50针针D连接器上提供速度高连接器上提供速度高达达52Mbit/s的访问服务。的访问服务。V.35用于高速同步数据交换的用于高速同步数据交换的ITU*标准。标准。X.21用于同步数据通信通信的用于同步数据通信通信的ITU*标准，它使用标准，它使用15针针D连接连接器，这种类型的连接器主要用于欧洲和日本器，这种类型的连接器主要用于欧洲和日本广域网设备及接口广域网设备及接口 几

16、种常见的广域网接口几种常见的广域网接口 RJ-45端口端口 AUI端口端口 高速同步串口高速同步串口 异步串口异步串口 ISDN BRI ISDN PRI广域网设备及接口广域网设备及接口 数据终端设备（数据终端设备（DTE）与数据通信设备（）与数据通信设备（DCE） DTE（Data Terminal Equipment，数据终端设备）：，数据终端设备）：指的是位于用户网络接口用户端的设备，它能够作指的是位于用户网络接口用户端的设备，它能够作为信源、信宿或同时为二者。为信源、信宿或同时为二者。 DCE（Data Circuit-terminating Equipment，数据通，数据通信设备或

17、者数据电路终端设备）：它提供了到网络信设备或者数据电路终端设备）：它提供了到网络的一条物理连接、转发业务量，并且提供了一个用的一条物理连接、转发业务量，并且提供了一个用于同步于同步DCE设备和设备和DTE设备之间数据传输的时钟信设备之间数据传输的时钟信号。调制解调器和接口卡都是号。调制解调器和接口卡都是DCE设备的例子。设备的例子。广域网设备及接口广域网设备及接口 数据终端设备（DTE）与数据通信设备（DCE）课程议题课程议题广域网中的广域网中的数据链路层协议数据链路层协议HDLC HDLC 高级数据链路控制（高级数据链路控制（HDLC）协议，在）协议，在1979年，国际年，国际标准化组织（标

18、准化组织（ISO）使）使HDLC标准化，它作为一种标标准化，它作为一种标准的面向比特的数据链路层协议用来封装同步串行准的面向比特的数据链路层协议用来封装同步串行数据链路中的数据。数据链路中的数据。 HDLC 具有两种不同的实现方式：正常响应模式即具有两种不同的实现方式：正常响应模式即 HDLC NRM（又称为（又称为SDLC）和平衡的链路访问规）和平衡的链路访问规程（程（LAPB），第二种使用更为普遍。），第二种使用更为普遍。 HDLC 是面向比特的同步通信协议，主要为全双工是面向比特的同步通信协议，主要为全双工点对点操作提供完整的数据透明度。点对点操作提供完整的数据透明度。 HDLC LAP

19、B 是一种高效协议，为确保流量控制、是一种高效协议，为确保流量控制、差错监测和恢复它要求额外开销最小。差错监测和恢复它要求额外开销最小。HDLC HDLC帧分为三种类型帧分为三种类型 信息帧：在链路上传送数据；信息帧：在链路上传送数据； 管理帧：用于实现流量控制和差错恢复功能；管理帧：用于实现流量控制和差错恢复功能； 无编号帧：提供链路的初始化和终止操作无编号帧：提供链路的初始化和终止操作ISDN ISDN支持两种接口：基本速率接口和主要速率接口。支持两种接口：基本速率接口和主要速率接口。 基本速率接口基本速率接口 基本速率接口基本速率接口(BRI)的数据传输速率为的数据传输速率为144Kbp

20、s。BRI接口由三个信道构成：两个接口由三个信道构成：两个64Kbps的的B信道信道用于传输数据、语音和图形，一个用于传输数据、语音和图形，一个16Kbps的的D信信道用于传输通信信令、包交换和信用卡验证。道用于传输通信信令、包交换和信用卡验证。 主要速率接口主要速率接口 主要速率接口主要速率接口 (PRI)支持更快的数据传输速率，支持更快的数据传输速率，在美国和日本，在美国和日本，PRI由由23个个64Kbps的信道和一个的信道和一个传输信令和进行包交换的传输信令和进行包交换的 64Kbps的信道组成。的信道组成。在欧洲，在欧洲，PRI ISDN由由30个个64Kbps的信道和一个的信道和一

21、个传输信令和进行包交换的传输信令和进行包交换的 64Kbps的信道组成。的信道组成。ISDNISDN ISDN的的B 信道称为承载信道，因为它传送语音、数据和信道称为承载信道，因为它传送语音、数据和传真。传真。B信道以帧的形式运载使用高级数据链路控制协信道以帧的形式运载使用高级数据链路控制协议（议（HDLC）和点到点协议（）和点到点协议（PPP）作为第二层协议。）作为第二层协议。 D信道，或称为信道，或称为delta信道，用于带外信令。信道，用于带外信令。D信道运载信道运载控制信息，如呼叫建立和拆除。通常控制信息，如呼叫建立和拆除。通常D信道在第二层使信道在第二层使用用D信道链路接入规程（信道

22、链路接入规程（LAPD）。）。ISDN协议模型协议模型 ISDN使用一套使用一套ITU-T标准生成标准生成OSI参考模型的物理层、参考模型的物理层、数据链路层和网络层。数据链路层和网络层。ISDN呼叫建立呼叫建立 路由器上发出的被叫号码通过路由器上发出的被叫号码通过D信道传送到信道传送到ISDN交换机交换机 本地本地ISDN交换机使用交换机使用SS7信令建立通路并将被叫号码传递到远程信令建立通路并将被叫号码传递到远程ISDN交换机上。交换机上。 远程交换机在远程交换机在D信道上通过信号通知目的设备信道上通过信号通知目的设备 目的目的ISDN NT1发送一个呼叫连接信息给远程发送一个呼叫连接信息

23、给远程ISDN 远程交换机使用远程交换机使用SS7信令发送一个呼叫连接信息给本地产交换机信令发送一个呼叫连接信息给本地产交换机 本地本地ISDN交换机在端到端之间建立一个交换机在端到端之间建立一个B信道，给新的连接保留另信道，给新的连接保留另外一个外一个B信道，也可以同进使用两信道，也可以同进使用两B信道。信道。ISDN呼叫拆除呼叫拆除 与呼叫建立相似，呼叫拆除不是端到端的功能，而是由与呼叫建立相似，呼叫拆除不是端到端的功能，而是由ISDN交换交换处理的，呼叫释放的过程基于一种处理的，呼叫释放的过程基于一种3次消息的方法次消息的方法 挂断消息挂断消息 释放消息释放消息 释放完成消息释放完成消息

24、ISDN功能和参考点功能和参考点 ISDN规范定义了连接一台ISDN设备和另外一台设备的4个参考点 终端设备1（TE1） 终端设备2（TE2） 终端适配器（TA） 1型网络端连接器（NT1） 2型网络终端连接器（NT2） 线路端连接器（LT） 交换机端连接器（ET）ISDN功能和参考点功能和参考点 R参考点（用户参考点） S参考点（系统参考点） T参考点（终端参考点） U参考点（速率参考点）ISDN交换机类型交换机类型 ISDN交换机的种类很多，部分取决于使用交换机的国家，这是对Q.931的不同实施造成的结果，Q.931是不同供应商制造的交换机所使用的D信道信令协议。美国/加拿大 AT&

25、;T 5ESS/4ESS，北方电信DMS-100日本NTT英国Net3/Net5欧洲Net3ISDN的特点的特点 特点 多种业务的兼容性 数字传输 ISDN能够提供端到端的数字连接 标准化的接口 ISDN能够提供多种业务的关键在于使用标准化的用户接口 使用方便 终端移动性 费用低廉ISDN的优点的优点 优点： 综合的通信业务 呼叫速度快 传输质量高 使用灵活方便 费用适宜广域网接入技术分类广域网接入技术分类Network Layer （网络层）（网络层）X.25 PLPData Link Layer（数据链路层）（数据链路层）LLC（Sublayer）LAPBFrame RelayHDLCPP

26、PSDLCSMDSMAC（Sublayer）Physical Layer（物理层）（物理层）X.21BisEIA/TIA-232EIA/TIA-449V.24 V.35HSSI G.73EIA-530广域网中的常见数据链路层协议广域网中的常见数据链路层协议 常见的几种数据链路层协议常见的几种数据链路层协议: 点到点协议（点到点协议（PPP） 高级数据链路控制（高级数据链路控制（HDLC）协议）协议 帧中继（帧中继（Frame Relay）课程议题课程议题点点对对点协议点协议PPPPoint-to-Point ProtocolPPP协议简介协议简介 PPP（Point-to-Point Prot

27、ocol）是）是HDLC的扩展，的扩展，1994年正式成为因特网的标准协议年正式成为因特网的标准协议RFC 1661。 PPP协议是目前使用最广泛的广域网协议，这是因为它协议是目前使用最广泛的广域网协议，这是因为它具有以下特性：具有以下特性： 能够控制数据链路的建立；能够控制数据链路的建立； 能够对能够对IP地址进行分配和使用；地址进行分配和使用； 允许同时采用多种网络层协议；允许同时采用多种网络层协议； 能够配置和测试数据链路；能够配置和测试数据链路； 能够进行错误检测；能够进行错误检测； 有协商选项，能够对认证和数据压缩等进行协商。有协商选项，能够对认证和数据压缩等进行协商。 PPP概述概

28、述 PPP是一种分层的协议，最初由是一种分层的协议，最初由LCP发起对链路的建立、发起对链路的建立、配置和测试。配置和测试。 在在LCP初始化后，通过一种或多种初始化后，通过一种或多种“网络控制协议网络控制协议（NCP）”来传送特定协议族的通信。来传送特定协议族的通信。 PPP 提供了一种在点对点的链路上封装多协议数据报提供了一种在点对点的链路上封装多协议数据报（ IP 、IPX和和AppleTalk）的标准方法。）的标准方法。PPP协议体系结构协议体系结构PPP协议使用了协议使用了OSI分层体系结构中的分层体系结构中的3层层PPP协议结构说明协议结构说明 采用高级数据链路控制协议采用高级数据

29、链路控制协议HDLC作为点到点的串行链作为点到点的串行链路上封装数据报的基本方法；路上封装数据报的基本方法； 采用链路控制协议采用链路控制协议LCP（Link Control Protocol）用于）用于启动线路、测试、任选功能的协商及关闭连接；启动线路、测试、任选功能的协商及关闭连接； 采用网络控制协议采用网络控制协议NCP（Network Control Protocol）用）用来建立和配置不同的网络层协议，来建立和配置不同的网络层协议，PPP允许同时采用多允许同时采用多种网络层协议，如种网络层协议，如IP、IPX和和DECnet，PPP使用使用NCP对对多种协议进行封装。多种协议进行封装

30、。HDLC 的帧结构的帧结构 标志字段标志字段 F (Flag) 为为 6 个连续个连续 1 加上两边各一个加上两边各一个 0 共共 8 bit。在接收端只要找到标志字段就可确定一个帧的位置。在接收端只要找到标志字段就可确定一个帧的位置。比特888可变168信息 Info标志 F标志 F地址 A控制 C帧检验序列 FCS透明传输区间FCS 检验区间PPP 协议的帧格式协议的帧格式 PPP 有一个有一个 2 个字节的协议字段。个字节的协议字段。 当协议字段为当协议字段为 0 x0021 时，时，PPP 帧的信息字段就是帧的信息字段就是IP 数据报。数据报。 若为若为 0 xC021, 则信息字段

31、是则信息字段是 PPP 链路控制数据。链路控制数据。 若为若为 0 x8021，则表示这是网络控制数据。，则表示这是网络控制数据。 IP 数据报1211字节12不超过 1500 字节PPP 帧先发送7EFF03FACFCSF7E信 息 部 分首部尾部区别区别 PPP 协议不使用序号和确认机制协议不使用序号和确认机制 在数据链路层出现差错的概率不大时，使用比较简在数据链路层出现差错的概率不大时，使用比较简单的单的 PPP 协议较为合理。协议较为合理。 在因特网环境下，在因特网环境下，PPP 的信息字段放入的数据是的信息字段放入的数据是 IP 数据报。数据链路层的可靠传输并不能够保证网络数据报。数

32、据链路层的可靠传输并不能够保证网络层的传输也是可靠的。层的传输也是可靠的。 帧检验序列帧检验序列 FCS 字段可保证无差错接受。字段可保证无差错接受。 PPP是面向字符，而是面向字符，而HDLC是面向比特。是面向比特。 同步传输链路，同步传输链路， PPP协议规定采用硬件来完成比特协议规定采用硬件来完成比特填充（和填充（和 HDLC 的做法一样）。的做法一样）。 异步传输时，异步传输时， PPP使用一种特殊的字符填充法。使用一种特殊的字符填充法。PPP的工作过程的工作过程 在点对点链路的配置、维护和终止过程中，在点对点链路的配置、维护和终止过程中，PPP需经历需经历以下几个阶段：以下几个阶段：

33、 链路不可用阶段链路不可用阶段 链路建立阶段链路建立阶段 验证阶段验证阶段 网络层协议阶段网络层协议阶段 网络终止阶段网络终止阶段PPP的工作过程的工作过程PPP LCP选项选项 身份验证 Authentication PAP CHAP PPP回拔 Callback 压缩 Compression 多链路 MultilinkPPP的配置的配置 路由器上的配置路由器上的配置RA(config)# interface seriel 1/2RA(config-if)# 注：锐捷路由器广域网接口默认封装方式为注：锐捷路由器广域网接口默认封装方式为HDLC课程议题课程议题PPP协议的验证协议的验证PAP和

34、和CHAPPAP和和CHAP认证认证 PPP支持两种授权协议：支持两种授权协议： PAP（Password Authentication Protocol） 密码验证协议，通过两次握手机制，为建立远程节密码验证协议，通过两次握手机制，为建立远程节点的验证提供了一个简单的方法。点的验证提供了一个简单的方法。 CHAP（Challenge Hand Authentication Protocol）。）。 挑战握手验证协议，使用三次握手机制来启动一条挑战握手验证协议，使用三次握手机制来启动一条链路和周期性的验证远程节点。链路和周期性的验证远程节点。 在在PPP会话中，验证是可选的；会话中，验证是可选

35、的； 如果需要验证，通信双方的路由器要交换彼此的验证信息；如果需要验证，通信双方的路由器要交换彼此的验证信息；在一般情况下，在一般情况下，CHAP是首选协议。是首选协议。PAP认证认证 PAP认证是两次握手，认证是两次握手， PAP不是一种健壮的身份验证协议。身份验证时在链路上不是一种健壮的身份验证协议。身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。来控制，因此不能防止回放攻击和重复的尝试攻击。被验证方被验证方验证方验证方Hostname= clientPassword= pa

36、ssword 用户名用户名+ +密码密码验证成功验证成功验证失败验证失败Hostname= clientPassword= password CHAP认证认证 CHAP为三次握手协议为三次握手协议 它只在网络上传送用户名而不直接传送口令它只在网络上传送用户名而不直接传送口令 安全性要比安全性要比PAP高，但认证报文耗费带宽高，但认证报文耗费带宽被验证方被验证方验证方验证方Hostname= clientPassword= password Hostname= clientPassword= password ChallengeRB+挑战报文挑战报文ResponseRA+加密后的密码加密后的密码

37、验证成功验证成功验证失败验证失败PPP的身份验证过程的身份验证过程配置配置PPP协议协议 配置时钟频率，需要在配置时钟频率，需要在DCE设备上配置设备上配置 配置封装协议配置封装协议Router(config-if)#clock rate bpsRouter(config-if)#e n c a p s u l a t i o n e n c a p s u l a t i o n - t y p e配置配置PAP认证认证 服务器端，建立本地口令数据库服务器端，建立本地口令数据库 服务器端，要求进行服务器端，要求进行PAP认证认证 客户端将用户名和口令发送到对端客户端将用户名和口令发送到对端R

38、outer(config)#username name 0|7 password password Router(config-if)#ppp authentication chap|pap|chap pap|pap chap Router(config-if)#ppp pap sent-username username password encryption-type password 配置配置CHAP认证认证 服务器端和客户端，建立本地口令数据库服务器端和客户端，建立本地口令数据库 服务器端，要求进行服务器端，要求进行CHAP认证认证 客户端将用户名和口令发送到对端客户端将用户名和口令发

39、送到对端Router(config)#username name 0|7 password password Router(config-if)#ppp authentication chap|pap|chap pap|pap chap Router(config-if)#ppp chap hostname hostnameppp chap password encryption-type password 调试命令调试命令 检查二层的封装，同时显示检查二层的封装，同时显示LCP和和NCP两者的状态，两者的状态， 观察观察PPP通讯过程中的报文信息通讯过程中的报文信息 查看在查看在PPP通讯过

40、程中授权调试信息通讯过程中授权调试信息Router#s h o w i n t e r f a c e s e r i a lRouter#debug ppp packetsRouter#d e g u b p p p a u t h e n t i c a t i o n查看查看HDLC和和PPP的封装的封装R2# serial 1/2 is UP , line protocol is UPHardware is PQ2 SCC HDLC CONTROLLER serialInterface address is: /24 MTU 1500 bytes, BW 2000

41、 Kbit Encapsulation protocol is HDLC, loopback not Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 59 bits/sec, 0 packets/sec 5 minutes output rate 20 bits/sec, 0 packets/sec 373 packets input, 10828 bytes, 0 no buffer Re

42、ceived 298 broadcasts, 0 runts, 0 giants 1 input errors, 0 CRC, 1 frame, 0 overrun, 0 abort 324 packets output, 14592 bytes, 0 underruns 0 output errors, 0 collisions, 15 interface resets 1 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=up 查看查看HDLC和和PPP的封装的封装R2# serial 1/2 is UP ,

43、 line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is PPP, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 LCP Open Open: ipcp Queueing strategy:

44、WFQ 5 minutes input rate 174 bits/sec, 0 packets/sec 5 minutes output rate 112 bits/sec, 0 packets/sec 565 packets input, 14043 by Received 316 broadcasts, 0 runts, 0 giants 3 input errors, 0 CRC, 3 frame, 0 overrun, 0 abort 502 packets output, 16878 bytes, 0 underruns 0 output errors, 0 collisions,

45、 22 interface resets 1 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=upPPP协议的认证配置协议的认证配置 【实验拓扑实验拓扑】 配置配置Serial Ports上的上的PPP参数参数 配置配置PAP 配置配置CHAPSerial 1/2Serial 1/2R1R2Lab: PAP(单向验证单向验证)Serial 1/2Serial 1/2授权方被验证方(config-if)# enc ppp(config-if)# enc ppp(config-if)# ppp auth pap(c

46、onfig)# user x pass y(config-if)# ppp pap sent x pass yLab: CHAP(单向验证单向验证)Serial 1/2Serial 1/2授权方被验证方(config-if)# enc ppp(config-if)# enc ppp(config-if)# ppp auth chap(config)# user x pass y(config-if)# ppp chap host x(config-if)# ppp chap pass yPPP PAP认证配置实例认证配置实例ISDN/PSTNhostname leftusername righ

47、t password right1int bri 0encapsulation pppppp authentication PAPip add ppp pap sent-username leftpassword left1hostname rightusername left password left1int bri 0encapsulation pppppp authentication PAPip add ppp pap sent-username rightpassword right1PPP C

48、HAP认证配置实例认证配置实例Username right password starnethostname R1int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnetUsername left password starnethostname R2int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname right ppp chap passwor

49、d starnetCHAP身份验证过程 挑战：由验证方向被验证方发出质询挑战：由验证方向被验证方发出质询CHAP身份验证过程身份验证过程 回应：由被验证方向验证方发出的质询作出响应回应：由被验证方向验证方发出的质询作出响应CHAP身份验证过程身份验证过程 确认：验证方接收被验证方回应后，比对用户数据库，确认：验证方接收被验证方回应后，比对用户数据库，根据结果决定接受或拒绝连接。根据结果决定接受或拒绝连接。CHAP双向验证双向验证 在配置在配置CHAP双向验证时，由于缺省情况下，被验证方发送双向验证时，由于缺省情况下，被验证方发送自己的设备名作为自己的设备名作为PPP用户认证名，因此可以不使用用

50、户认证名，因此可以不使用ppp chap hostname命令，于是双方的在配置本地用户数据库时命令，于是双方的在配置本地用户数据库时（username password命令）命令）username必须指定为对方的设必须指定为对方的设备名（备名（hostname）；）； 当本地数据库存在匹配挑战消息中的质询者认证名时，将使当本地数据库存在匹配挑战消息中的质询者认证名时，将使用记录中的口令而不是缺省的认证口令（由用记录中的口令而不是缺省的认证口令（由ppp chap password命令指定）进行回复，因此双方也不需要指定缺命令指定）进行回复，因此双方也不需要指定缺省的认证口令；省的认证口令；

51、在双方确认时，由于是将对方的用户数据库记录的口令和本在双方确认时，由于是将对方的用户数据库记录的口令和本地数据库记录的口令进行比对，因此双方的口令必须一致。地数据库记录的口令进行比对，因此双方的口令必须一致。CHAP双向验证的配置双向验证的配置 在不使用在不使用ppp chap hostname定义定义CHAP认证的公共主机别名认证的公共主机别名的情况下，的情况下，CHAP双向认证的配置参考如下：双向认证的配置参考如下： 双方使用双方使用hostname全局配置命令指定路由器设备名；全局配置命令指定路由器设备名； 双方使用双方使用encapsulation ppp接口配置命令启用接口配置命令启

52、用PPP协议；协议； 双方使用双方使用ppp authentication chap接口配置命令启用接口配置命令启用CHAP验证；验证； 双方使用双方使用username password全局配置命令配置本地用户全局配置命令配置本地用户数据库，注意数据库，注意username指定为对方的指定为对方的hostname，password要一致。要一致。 Lab: CHAP (双向验证双向验证)Serial 1/2Serial 1/2(config-if)#Enc ppp(config-if)#Enc ppp(config-if)#ppp auth chap(config-if)#ppp auth

53、chap(config)#user pass (config)#user pass (config)#host (config)#host x，y：双方：双方router的名字，双方的名字，双方password相同相同PPP CHAP认证配置实例认证配置实例Username right password starnethostname R1int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnetUsername left password s

54、tarnethostname R2int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname right ppp chap password starnetPPP CHAP认证配置实例认证配置实例Username right password starnethostname leftint serial 1/2 encapsulation ppp ppp authentication CHAP Username left password starnethostname rightint serial 1

55、/2 encapsulation ppp ppp authentication CHAP Lab: CHAP (双向验证双向验证)(config-if)#Enc ppp(config-if)#ppp auth chap(config-if)#ppp chap host x x：公共主机名：公共主机名 y：公共口令：公共口令(config-if)#ppp chap pass y(config)#user pass PPP认证的调试认证的调试Router#show interfaces serial Router#debug ppp authenticationdebug ppp authenti

56、cation(PAP)R2#debug ppp authenticationPPP: ppp_clear_author(), protocol = TYPE_LCP%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 PAP ACK receivedPPP: serial 1/2 Passed PAP authentication with remotePPP: serial 1/2 lcp authentication OK!PPP: ppp_clear_author(), protocol = TYP

57、E_IPCP%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UPdebug ppp authentication(CHAP)R2#debug ppp authenticationPPP: ppp_clear_author(), protocol = TYPE_LCP%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 authentication event enqueue ,message type = RECV_CHAP_CH

58、ALLENGEPPP: dispose authentication message RECV_CHAP_CHALLENGEPPP: serial 1/2 Using CHAP hostname r2.PPP: serial 1/2 recv CHAP challenge from R1PPP: serial 1/2 username R1 not found in local router.PPP: serial 1/2 Using default CHAP password.PPP: serial 1/2 Passed CHAP authentication with remote.PPP

59、: serial 1/2 lcp authentication OK!PPP: ppp_clear_author(), protocol = TYPE_IPCP%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UPdebug ppp authentication(CHAP)R2#debug ppp authentication%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 Send CHAP challenge id=42 t

60、o remote hostPPP: serial 1/2 authentication event enqueue ,message type = RECV_CHAP_CHALLENGEPPP: serial 1/2 authentication event enqueue ,message type = RECV_CHAP_RESPONSEPPP: dispose authentication message RECV_CHAP_CHALLENGEPPP: serial 1/2 recv CHAP challenge from R2PPP: dispose authentication messag