网络交换与路由技术：第六章 广域网接入技术-2

第6章广域网接入技术某大学校园网建设于九十年代末期，在校园早期的网络规划过程中，由于网络应用的缺乏，校园网在接入Internet的时采用DDN专线的接入方式，DDN接入技术有限的网络的带宽基本满足了当时有限的需求.

在经过仔细的可行性论证与考察之后，该大学启动校园网光纤专线接入Internet建设项目，旨在建成高速率、广覆盖、易管理、高速度的整体校园网络，以满足校园网的可持续性发展要求，进一步提升学校的综合竞争实力。如图所示，是该大学改造过后的光纤专线接入Internet工作项目场景，通过从电讯申请专线光线直接接入到校园网网络中心的万兆核心交换机上，实现点对点的数据直接连通，从而获得高速度网络速度工程任务：接入广域网技术工程任务：接入广域网技术组件一：广域网交换技术接入广域网技术组件二：广域网接入技术组件三：广域网通讯协议组件四：配置广域网PPP认证技术回顾1、PPP？2、HDLC?3、FR？4、DCE、DTE？5、PAP、CHAP？接入广域网技术组件三：广域网通讯协议广域网工作模型网络层链路层物理层专线电路交换分组交换服务供应商服务供应商广域网接入技术（第一层）物理层标准:X.21EIA/TIA-232EIA/TIA-449V.24

V.35HSSIG.73EIA-530HDLC,PPPPPP,HDLCX.25,Frame-Relay广域网接入技术（第二层）专线电路交换分组交换服务供应商服务供应商链路层协议:LAPB(平衡链路接入)、FrameRelay、HDLC、PPP、SDLC(同步数据链路)广域网常见链路层协议

点到点协议（PPP）

高级数据链路控制（HDLC）协议

帧中继（FrameRelay）

X．25协议

将WAN网络高层的数据,封装在通过WAN的线路上传输的帧中是WAN的主要部分HDLC和CSMA/CD区别

X．25协议X．25协议是CCITT（ITU）建议的一种协议，它定义终端和计算机到分组交换网络的连接分组交换网络在一个网络上为数据分组选择到达目的地的路由X．25是一种很好实现的分组交换服务，这种服务为同时使用的用户提供任意点对任意点的连接配置X．25协议Red-Giant#Red-Giant#configureterminalRed-Giant(config)#hostnameRouter1Router1(config)#interfaceserial1/0Router1(config-if)#ipaddress52Router1(config-if)#encapsulationLAPBDTE

！接口封装LAPB协议，设置为DTE端Router1(config-if)#endRouter1#帧中继协议帧中继协议是一种数据包交换技术，与X.25类似。它可以使终端站动态共享网络介质和可用带宽。帧中继采用以下两种数据包技术：1）可变长数据包；2）统计多元技术它不能确保数据完整性，所以当出现网络拥塞现象时就会丢弃数据包。但在实际应用中，它仍然具有可靠的数据传输性能

配置帧中继协议RouterA#RouterA#configureterminalRouterA(config)#frame-relayswitching

!把路由器模拟帧中继交换机，启动帧中继交换功能RouterA(config)#interfaces1/0RouterA(config-if)#encapsulationframe-relay！接口封装帧中继协议，这里没有打封装类型，就是缺省cisco类型，另外还可以是ietf，命令的格式写为如下格式。RouterA(config-if)#encapsulationframe-relayietf!!接口封装为帧中继协议，协议的类型封装格式为ietfRouterA(config-if)#encapsulationietf-typeDCE!接口封装为帧中继，配置帧中继接口类型，有DCE，DTE，本类型为DCE，RouterA(config-if)#clockrate64000

!定义DCE接口时钟频率，用于同步数据传输速率，在实际工程中clockrate由局端像电信部门来确定。RouterA(config-if)#encapsulationlmi-typeansi(cisco,q933a)!定义帧中继本地接口为管理类型RouterA(config-if)#frameroute20interfaces1/121!设置帧中继交换，指定同步接口之间的DLCI互换方式，意思是来自dlci为20的数据从s1/1接口转发出去到达dlci

21RouterA(config-if)#noshutdown!启用该接口RouterA(config-if)#endRouterA#showinterfaceserial1/0!查看RAserial1/0接口的状态高级数据链路控制HDLCHDLC：高级数据链路控制协议HDLC是CISCO串行线路缺省封装协议，只允许CISCO设备连接，与其他供应商设备不兼容与没有运行CISOCIOS的设备连接,使用PPPHDLC协议高级数据链路控制HDLC是面向比特、同步数据传输链路层协议，是广域网数据链路层使用最广泛的协议，用于在网络结点间全双工、点对点传送数据HDLC工作在OSI网络模型中第二层，由底层的物理层负责收发物理信号，网络层传输的数据在第二层通过HDLC协议进行封装，增加数据链路控制信息，形成在物理网络上传输数据帧广域网帧的封装格式常用点对点广域网封装协议:HDLC、PPP

配置HDLC协议RouterA#configureterminalRouterA(config)#interfaceserial1/2RouterA(config-if)#encapsulationHDLC

!把该接口封装为HDLC协议RouterA(config-if)#noshutdownRouterA(config-if)#endRouterA#PPP协议PPP协议也是目前广域网上应用广泛的协议之一，和数据链路控制协议HDLC相比，优点在于简单、具备用户验证能力、可以解决IP分配等此外PPP还具有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、能够以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等不论是异步拨号线路还是路由器之间的同步链路均可使用在需要提供安全检查的网络中应用十分广泛。接入广域网技术组件四：配置广域网PPP认证技术PPP协议简介PPP协议是目前使用广泛广域网协议，具有特性：控制数据链路建立能对IP地址分配和使用允许同时采用多种网络层协议能够配置和测试数据链路能够进行错误检测有协商选项，能对网络层的地址和数据压缩进行协商

适用拨号用户，也适用租用点对点路由器线路建立连接时,检查链路质量

采用NCP协议（如IPCP、IPXCP）支持更多网络层协议具有验证协议CHAP、PAP

保证网络安全PPP协议的优点TCP/IPIPX/SPXPPPAppleTalkPPP验证概述两种PPP验证协议:PAP和CHAPDialupor

Circuit-Switched

NetworkPPP运行过程－三阶段链路建立阶段（LCP）验证阶段（Authenticate）网络控制协商阶段（NCP）PPP验证在PPP会话中，验证是可选的如果需要验证，则通信双方路由器,交换彼此验证信息选择使用密码验证协议PAP,或询问握手验证协议CHAP；在一般情况下，CHAP是首选协议(EIA/TIA-232,V.24,V.35,ISDN)LCP(连接控制协议)NCP(网络控制协议)OSI21(IP,IPX,AppleTalk)3PPP协议结构PPP是标准化协议,可支持不同厂家商品互联互操作PPPEncapsulationTCP/IPNovellIPXAppleTalkMultipleprotocol

encapsulationsusing

NCPsinPPPPPP可以通过NCP携带多个协议的数据包PPP可以通过LCP建立和控制连接

Linksetupandcontrol

usingLCPinPPPPPP综述PAPorCHAP认证AuthenticationPSTN/ISDNPSTN/ISDN回拨Callback压缩Compression多链路捆绑MultilinkDataPPPLCP选项密码验证协议PAPPAP：两次握手，密码在链路上明文传输CHAP：中心路由器进行三次询问，不允许连接方发起验证尝试连接ClientServerHostname:ruijiePassword:123usernameruijiepassword123AuthAck两次握手协议明文方式验证(在建立链接开始)PPP之PAP验证Request用户名+密码验证成功客户端（被验证方）服务器端（验证方）路由器串口背对背连接示意(实验室)客户端（被验证方）服务器端（验证方）PAP验证的配置客户端（被验证方）RA(config)#interfaceserialS0RA(config-if)#encapsulation

pppRA(config-if)#ppppapsent-usernameruijie

password123PAP验证的配置服务端（验证方）RB(config)#usernameruijiepassword123RB(config)#interfaceserialS0RB(config-if)#encapsulation

pppRB(config-if)#pppauthenticationpapISDN/PSTNhostnameleftusernamerightpasswordright1int

bri0encapsulationppppppauthenticationPAPipaddppppapsent-usernameleft

passwordleft1hostnamerightusernameleftpasswordleft1int

bri0encapsulationppppppauthenticationPAPipaddppppapsent-usernameright

passwordright1PPPPAP认证配置实例（讲解）PAP验证缺点由客户端发出验证请求，服务器端无法区分是否为合法请求，可能引起攻击客户端直接将用户名和密码等验证信息以明文方式发送给服务器端，安全性低由客户端发出验证请求，容易引起客户端利用穷举法暴力破解密码Router#showinterfacesserial0Router#debugpppauthenticationPPP认证的调试ClientServerHostname:RAPassword:123Hostname:RBPassword:123ChallengeSuccessCHAP为三次握手协议只传输用户名，不传输口令安全比PAP高，但认证报文浪费带宽RBRAPPPCHAP验证RB+挑战报文ResponseRA+加密后的密码验证成功CHAP认证配置客户端（被验证方）RA(config)#hostnameRARA(config)#usernameRBpassword123RA(config)#interfaceserial0RA(config-if)#encapsulation

pppCHAP认证配置服务端（验证方）RB(config)#hostnameRBRB(config)#usernameRApassword123RB(config)#interfaceserial0RB(config-if)#encapsulation

pppRB(config-if)#pppauthenticationchapCHAP配置举例hostnameleftusernamerightpasswordsameoneintserial0ipaddressencapsulationppppppauthenticationCHAPhostnamerightusernameleftpasswordsameoneintserial0ipaddressencapsulationppppppauthenticationCHAPLeft

routerRightrouterPSTN/ISDN（讲解）CHAP的特点由服务器端发出挑战报文在整个认证过程中不发送密码解决了PAP容易引起的问题占用网络资源，认证过程相对于PAP慢Router#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570Internetaddressis/24MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255

EncapsulationPPP,loopbacknotset,keepaliveset(10sec)

LCPOpenOpen:IPCP,CDPCPLastinput00:00:05,output00:00:05,outputhangneverLastclearingof"showinterface"countersnever

Queueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec38021packetsinput,5656110bytes,0nobufferReceived23488broadcasts,0runts,0giants,0throttles0inputerro