网络设备安装与调试（锐捷版）（第2版）课件 项目5 配置路由器接入广域网

网络设备安装与维护1+X职业技能等级证书配套教材数字化课程推荐精品教材职业教育新形态活页式教材项目5：配置路由器接入广域网十二五职业教育国家规划教材《网络设备安装与调试》（锐捷版）（V2.0)一期建设完成北京某中心小学校园网采用三层架构部署，使用高性能的交换机连接，实现校园网的高速传输。校园网出口采用路由器接入到北京市普教城域网中，通过路由实现全网联通。在使用过程中，发现接入普教城域网速度受限，增加一条电信链路，配置路由器接入广域网。项目背景目录Contents任务1配置路由器广域网链路任务2配置路由器广域网链路认证任务3配置路由器NAT技术任务1配置路由器广域网链路广域网的概念服务供应商广域网（WideAreaNetworks，WAN）距离远、带宽小、延时大5.1.1广域网链路广域网覆盖范围从数千米到数千千米，连接若干城市，甚至跨越国界，成为全球网络。广域网将地理上相隔很远局域网互联起来。5.1.1广域网链路广域网是互联网核心，其任务是通过长距离运送数据。连接广域网各结点交换机的链路都是高速链路，其距离是几千千米光缆线路，实现网络通信。5.1.1广域网链路广域网应用于大部分行业。在教育行业中应用于出口链路。金融行业主要应用于各级分行互联，政府行业应用于各级部门互联。5.1.1广域网链路广域网类型可分为专线、电路交换、分组交换、VPN等类型。典型专线技术有DDN、E1、POS、MSTP等。5.1.1广域网链路典型电路交换技术有PSTN模拟拨号和ISDN数字拨号等。5.1.1广域网链路典型的分组交换技术有FR、ATM、X.25等。5.1.1广域网链路虚拟专用网络（VirtualPrivateNetwork，VPN）指本地LAN和远程LAN通过宽带拨号或固定IP互联，在两者之间建立二层或三层隧道穿越互联网。主要用于穿越公网，提供数据加密、数据包完整性检验、身份认证等功能。PPP概述PPP（Point-to-PointProtocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。PPP是一种分层的协议，最初由LCP发起对链路的建立、配置和测试。在LCP初始化后，通过一种或多种“网络控制协议（NCP）”来传送特定协议族的通信。PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。5.1.2配置路由器设备的PPP协议一种数据流传送方式，该方式与数据报传送方式不同，用数据流替代一个个的数据帧，使用流作为数据发送单位，整个流数据具有一个地址信息，只需要进行一次地址验证即可。PPP协议简介PPP协议是目前使用最广泛的广域网协议，这是因为它具有以下特性：

能够控制数据链路的建立；能够对IP地址进行分配和使用；允许同时采用多种网络层协议；能够配置和测试数据链路；能够进行错误检测；有协商选项，能够对网络层的地址和数据压缩等进行协商。5.1.2配置路由器设备的PPP协议1．概述点到点协议（Point-to-PointProtocol，PPP）在同等单元之间传输，是WAN连接简单链路设计链路层。提供全双工操作，按照顺序传递数据包。LCP(连接控制协议)NCP(网络控制协议)21(IP,IPX,AppleTalk)3PPP协议结构(EIA/TIA-232,V.24,V.35,ISDN)5.1.2配置路由器设备的PPP协议因为链路失效、认证失败、链路质量状态失败、链路空闲时间超时以及管理员关闭链路等原因，可随时进入链路终止状态。PPP协议会在发送Terminate-Request并接收到Terminate-ACK以后进入该状态。PPP帧结构PPP帧格式和HDLC帧格式相似，主要区别：PPP是面向字符的，而HDLC是面向位的。PPP的工作过程在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：链路不可用阶段链路建立阶段验证阶段网络层协议阶段网络终止阶段【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议【综合实训1】：配置路由器PPP协议任务2

配置广域网链路认证PPP帧结构PPP帧格式和HDLC帧格式相似，主要区别：PPP是面向字符的，而HDLC是面向位的。PPP的工作过程在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：链路不可用阶段链路建立阶段验证阶段网络层协议阶段网络终止阶段PAP和CHAP认证PPP支持两种授权协议：PAP（PasswordAuthenticationProtocol）和CHAP（ChallengeHandAuthenticationProtocol）。密码验证协议（PAP，PasswordAuthenticationProtocol）通过两握手机制，为建立远程节点的验证提供了一个简单的方法。挑战握后验证协议（CHAP，ChallengeHandAuthenticationProtocol）使用三次握手机制来启动一条链路和周期性的验证远程节点。PAP认证PAP认证是两次握手，PAP不是一种健壮的身份验证协议。身份验证时在链路上以明文发送，而且由于验证重试的频率和次数由远程节点来控制，因此不能防止回放攻击和重复的尝试攻击。5.2.1PPP协议安全认证PPP链路协商中，可以配置认证，客户端将身份发送给远端接入服务器。该阶段使用一种安全验证，避免第三方窃取数据，或冒充远程客户接管，与客户端连接。5.2.1PPP协议安全认证PAP简单明文验证方式，接入服务器要求用户提供用户名和口令，PAP以明文方式返回用户信息。这种验证方式安全性差，第三方很容易获取用户名和口令。5.2.1PPP协议安全认证CHAP加密验证方式，比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过随机序列，也称“挑战字符串”。CHAP认证CHAP为三次握手协议它只在网络上传送用户名而不传送口令PPP验证过程CHAP身份验证呼叫阶段CAHP身份验证挑战阶段PPP验证过程CHAP身份验证回应阶段PPP验证过程CHAP身份验证回应阶段PPP验证过程CHAP身份验证确认阶段PPP验证过程CHAP身份验证确认阶段（成功）PPP验证过程CHAP身份验证确认阶段（失败）配置PPP协议配置时钟频率，需要在DCE设备上配置配置封装协议。Router(config-if)#clockratebps

Router(config-if)#encapsulationencapsulation-type

配置PAP认证服务器端，建立本地口令数据库服务器端，要求进行PAP认证客户端将用户名和口令发送到对端Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

Router(config-if)#ppppapsent-username

username[password

encryption-typepassword]

配置CHAP认证服务器端和客户端，建立本地口令数据库服务器端，要求进行CHAP认证Router(config-if)#username

name{nopassword|password{password|[0|7]

Router(config-if)#pppauthentication

{chap|pap|chap

pap|papchap}[callin]

故障排除检查二层的封装，同时也可以显示LCP和NCP两者的状态，观察PPP通讯过程中的报文信息查看在PPP通讯过程中授权调试信息Router#showinterfaceserial

Router#debugppppackets

Router#degub

pppauthentication

5.2.2配置PAP协议安全认证5.2.3配置CHAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训2】：配置PAP协议安全认证【综合实训3】：配置CHAP协议安全认证【综合实训3】：配置CHAP协议安全认证【综合实训3】：配置CHAP协议安全认证任务3

配置NAT技术NAT概念NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT的典型应用是将使用私有IP地址（RFC1918）的园区网络连接到Internet5.3.1了解路由器NAT技术NAT把地址分成内部地址和外部地址。内部地址分为内部本地（InsideLocal，IL）地址和内部全局（InsideGlobal，IG）地址。外部地址分为外部本地（OutsideLocal，OL）地址和外部全局（OutsideGlobal，OG）地址。地址空间不足带来的问题注册IP地址空间将要耗尽，而internet的规模仍在持续增长随着internet的增长，骨干互联网路由选择表中的IP路由数据也在增加，这引发了路由选择算法的扩展问题NAT是一种节约大型网络中注册IP地址并简化IP寻址管理任务的机制，NAT已经标准化并在RFC1613中描述。

NAT的用途解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险5.3.1了解路由器NAT技术私有地址192.168.1.100在互联网上不被传输的地址，当PC访问远程主机时，数据包要通过一个运行NAT技术路由器。NAT术语术语定义内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。简单转换条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。NAT术语NAT转换包括多种不同类型，并可用于多种目的静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。5.3.1了解路由器NAT技术当内网中主机，想传输数据到外部网络，先将数据包传输到NAT路由器，路由器检查报头，获取源IP信息，使用NAT映射表转换，用内部全局地址替换内部本地地址，转发数据包。NAPT的工作过程5.3.2了解路由器NAPT技术在Internet使用NAPT时，所有不同TCP和UDP信息流看起来好像来源同一IP。在小型办公室非常实用，从ISP处申请一个IP地址，将多个连接通过NAPT接入Internet。5.3.3配