网络设备安装与调试-5广域网协议配置课件

网络设备安装与调试5.广域网协议配置网络设备安装与调试5.广域网协议配置1网络设备安装与调试学习任务1路由器广域网协议的封装配置学习任务2路由器的广域网PPP封装验证学习任务3网络地址转换协议(NAT)配置路由器的广域网HDLC封装使用PPP的PAP认证利用NAT实现外网主机访问内网服务器路由器的广域网PPP封装使用PPP的CHAP认证利用动态NAT实现局域网访问互联网网络设备安装与调试学习任务1学习任务2学习任务3路由器的广域25.1.1网络设备安装与调试

路由器广域网HDLC

封装配置5.1路由器广域网协议的封装配置5.1.1网络设备安装与调试路由器广域网HDLC3网络设备安装与调试学习情境高级数据链路控制（High-LevelDataLinkControl简称HDLC），是一个在同步网上传输数据、面向比特的数据链路层协议，它是由国际标准化组织(ISO)根据IBM公司的SDLC(SynchronousDataLinkControl)协议扩展开发而成的。管理员在公司想通过路由器来模拟公网实现HDLC协议的配置。情境分析

路由器在进行广域网HDLC协议的封装时，需要使用广域网接口来实现，分别对两台路由器的广域网端口S0封装HDLC、分配IP地址，并且配置静态路由，这样就可以实现公司间通信了。网络设备安装与调试学习情境4网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）交叉线1条。（5）PC机1台。（6）Console配置线1条。网络设备安装与调试所需设备：5网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示65.1.2网络设备安装与调试

路由器广域网PPP

封装配置5.1路由器广域网协议的封装配置5.1.2网络设备安装与调试路由器广域网PPP57网络设备安装与调试学习情境

某公司下属多个分公司，并且总公司与分公司分别设在不同城市，为了顺利开展业务，要求总公司与分公司之间的网络通过路由器相连，并保持网络连通。要求管理员在路由器上适当配置，实现公司网内部主机之间相互通信。情境分析

管理员准备通过广域网接口S0连接总公司与分公司。分别对两台路由器的广域网端口S0封装PPP、分配IP地址，并且配置静态路由，这样就可以通信了。网络设备安装与调试学习情境8网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。（5）交叉线1条。（6）PC机2台。网络设备安装与调试所需设备：9网络设备安装与调试网络设备安装与调试10网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示115.2.1网络设备安装与调试使用PPP的PAP认证5.2路由器广域网协议的PPP封装5.2.1网络设备安装与调试使用PPP的PAP认12网络设备安装与调试学习情境

某公司为了满足不断增长的业务需求，申请了专线接入。公司的路由器与ISP进行链路协商时，需要验证身份。配置路由器以保证链路的建立，并考虑其安全性。情境分析WAN专线链路建立时要进行安全验证，以保证链路的安全性。链路协商时，密码验证协议（PAP，PasswordAuthenticationProtocol）在设备之间传输用户名、密码，以实现用户身份的验证确认。公司计划路由器上配置PPPPAP认证，以实现链路的安全链接。网络设备安装与调试学习情境13网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。

网络设备安装与调试所需设备：14网络设备安装与调试相关知识PPP支持两种认证方式PAP和CHAP。PAP（PasswordAuthenticationProtocol，密码验证协议）是指验证双方通过两次握手完成验证过程，它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求，发送的验证包含用户名和密码。由验证方验证后做出回复，通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。PAP是一种简单的明文验证方式。NAS（网络接入服务器，NetworkAccessServer）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。网络设备安装与调试相关知识15网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示165.2.2网络设备安装与调试

使用PPP的CHAP认证5.2路由器广域网协议的PPP封装5.2.2网络设备安装与调试使用PPP的CHAP17网络设备安装与调试学习情境

考虑到增强WAN链路的安全功能，公司计划路由器上配置PPP的CHAP认证，以满足日益增长的安全需求。情境分析CHAP（ChallengeHandAuthenticationProtocol挑战握手后验证协议）使用三次握手机制来启动一条链路和周期性的验证远程节点。与PAP认证比较起来，CHAP认证更具有安全性。CHAP只在网络上传送用户名而不传送口令，因此安全性更高。网络设备安装与调试学习情境18网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。

网络设备安装与调试所需设备：19网络设备安装与调试相关知识CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrarychallengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令、会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replayattack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclientimpersonation）进行攻击。网络设备安装与调试相关知识20网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示215.3.1网络设备安装与调试利用NAT实现外网主机

访问内网服务器5.3网络地址转换NAT配置5.3.1网络设备安装与调试利用NAT实现外网主22网络设备安装与调试学习情境

某公司计划通过互联网向外发布公司的WEB主页。目前公司已经申请了公网IP地址，并创建了公司内部WEB服务器。现在，公司希望外网用户能够像内网用户一样访问公司的WEB服务器。情境分析

公司为WEB服务器申请一个公网IP地址的做法是非常正确的，通过静态NAT的方式可以达到公司想要的效果。

静态NAPT将内部私有地址和端口号转换为内部公网地址和端口号。当外部主机访问内部公网地址时，NAT设备将数据包中的目标IP地址（公网地址）与端口号转换为内部私有地址和端口号，从而实现使用公网地址向互联网发布内部服务器。网络设备安装与调试学习情境23网络设备安装与调试所需设备：（1）DCR-2626路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）Console配置线1条。（5）交叉线2条。网络设备安装与调试所需设备：24网络设备安装与调试网络设备安装与调试25网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示265.3.2网络设备安装与调试利用动态NAT实现局域网访问互联网5.3网络地址转换NAT配置5.3.2网络设备安装与调试利用动态NAT实现527网络设备安装与调试学习情境

某公司向因特网接入运营商申请了专线接入和公网IP地址，这意味着公司可以访问因特网了。然而，公司只有一个公网IP地址，却有几十台等待上网的计算机。情境分析

公司内部有很多台主机都要上外网，而公司只向ISP申请一个合法的IP地址。可以使用基于动态NAT地址复用（NAPT）能实现多个用户同时公用一个合法的IP地址与外部Internet进行通信。

当路由器检测到公司内部计算机访问外网的数据包时，会将IP数据包头部中的源IP地址（即内部保留地址）转换为公司申请的公网IP（内部全局地址）。经过IP地址转换的数据包就可以路由到因特网上了。网络设备安装与调试学习情境28网络设备安装与调试所需设备：（1）DCR-2600路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）Console配置线1条。（5）交叉线2条。（6）PC机2台。网络设备安装与调试所需设备：29网络设备安装与调试网络设备安装与调试30网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示31网络设备安装与调试5.广域网协议配置网络设备安装与调试5.广域网协议配置32网络设备安装与调试学习任务1路由器广域网协议的封装配置学习任务2路由器的广域网PPP封装验证学习任务3网络地址转换协议(NAT)配置路由器的广域网HDLC封装使用PPP的PAP认证利用NAT实现外网主机访问内网服务器路由器的广域网PPP封装使用PPP的CHAP认证利用动态NAT实现局域网访问互联网网络设备安装与调试学习任务1学习任务2学习任务3路由器的广域335.1.1网络设备安装与调试

路由器广域网HDLC

封装配置5.1路由器广域网协议的封装配置5.1.1网络设备安装与调试路由器广域网HDLC34网络设备安装与调试学习情境高级数据链路控制（High-LevelDataLinkControl简称HDLC），是一个在同步网上传输数据、面向比特的数据链路层协议，它是由国际标准化组织(ISO)根据IBM公司的SDLC(SynchronousDataLinkControl)协议扩展开发而成的。管理员在公司想通过路由器来模拟公网实现HDLC协议的配置。情境分析

路由器在进行广域网HDLC协议的封装时，需要使用广域网接口来实现，分别对两台路由器的广域网端口S0封装HDLC、分配IP地址，并且配置静态路由，这样就可以实现公司间通信了。网络设备安装与调试学习情境35网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）交叉线1条。（5）PC机1台。（6）Console配置线1条。网络设备安装与调试所需设备：36网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示375.1.2网络设备安装与调试

路由器广域网PPP

封装配置5.1路由器广域网协议的封装配置5.1.2网络设备安装与调试路由器广域网PPP538网络设备安装与调试学习情境

某公司下属多个分公司，并且总公司与分公司分别设在不同城市，为了顺利开展业务，要求总公司与分公司之间的网络通过路由器相连，并保持网络连通。要求管理员在路由器上适当配置，实现公司网内部主机之间相互通信。情境分析

管理员准备通过广域网接口S0连接总公司与分公司。分别对两台路由器的广域网端口S0封装PPP、分配IP地址，并且配置静态路由，这样就可以通信了。网络设备安装与调试学习情境39网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。（5）交叉线1条。（6）PC机2台。网络设备安装与调试所需设备：40网络设备安装与调试网络设备安装与调试41网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示425.2.1网络设备安装与调试使用PPP的PAP认证5.2路由器广域网协议的PPP封装5.2.1网络设备安装与调试使用PPP的PAP认43网络设备安装与调试学习情境

某公司为了满足不断增长的业务需求，申请了专线接入。公司的路由器与ISP进行链路协商时，需要验证身份。配置路由器以保证链路的建立，并考虑其安全性。情境分析WAN专线链路建立时要进行安全验证，以保证链路的安全性。链路协商时，密码验证协议（PAP，PasswordAuthenticationProtocol）在设备之间传输用户名、密码，以实现用户身份的验证确认。公司计划路由器上配置PPPPAP认证，以实现链路的安全链接。网络设备安装与调试学习情境44网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。

网络设备安装与调试所需设备：45网络设备安装与调试相关知识PPP支持两种认证方式PAP和CHAP。PAP（PasswordAuthenticationProtocol，密码验证协议）是指验证双方通过两次握手完成验证过程，它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求，发送的验证包含用户名和密码。由验证方验证后做出回复，通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。PAP是一种简单的明文验证方式。NAS（网络接入服务器，NetworkAccessServer）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。网络设备安装与调试相关知识46网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示475.2.2网络设备安装与调试

使用PPP的CHAP认证5.2路由器广域网协议的PPP封装5.2.2网络设备安装与调试使用PPP的CHAP48网络设备安装与调试学习情境

考虑到增强WAN链路的安全功能，公司计划路由器上配置PPP的CHAP认证，以满足日益增长的安全需求。情境分析CHAP（ChallengeHandAuthenticationProtocol挑战握手后验证协议）使用三次握手机制来启动一条链路和周期性的验证远程节点。与PAP认证比较起来，CHAP认证更具有安全性。CHAP只在网络上传送用户名而不传送口令，因此安全性更高。网络设备安装与调试学习情境49网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）CR-V35MT1条。（3）CR-V35FC1条。（4）console线1条。

网络设备安装与调试所需设备：50网络设备安装与调试相关知识CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrarychallengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令、会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replayattack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclientimpersonation）进行攻击。网络设备安装与调试相关知识51网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示525.3.1网络设备安装与调试利用NAT实现外网主机

访问内网服务器5.3网络地址转换NAT配置5.3.1网络设备安装与调试利用NAT实现外网主53网络设备安装与调试学习情境

某公司计划通过互联网向外发布公司的WEB主页。目前公司已经申请了公网IP地址，并创建了公司内部WEB服务器。现在，公司希望外网用户能够像内网用户一样访问公司的WEB服务器。情境分析

公司为WEB服务器申请一个公网IP地址的做法是非常正确的，通过静态NAT的方式可以达到公司想要的效果。

静态NAPT将内部私有地址和端口号转换为内部公网地址和端口号。当外部主机访问内部公网地址时，NAT设备将数据包中的目标IP地址（公网地址）