网络设备安装与调试技术 课件 （秦燊）第7-12章 广域网技术- IPv6技术

第7章广域网技术编著：

秦燊

广域网是指跨越上百公里的两座城市乃至跨越上千公里的大洋间的数据通信网络。通常需要借助因特服务提供商ISP提供的设备和线路才能实现两地的连接。广域网技术主要对应OSI的物理层和数据链路层，支持IP、IPX等网络层协议。广域网物理层标准包括同步/异步方式的V.24规程接口、同步方式的V.35规程接口、E1/T1线路的G.703接口、同步数字线路上的串行接口X.21等。广域网的数据链路层协议有面向比特的、只支持同步方式的HDLC；有支持验证的、支持同步和异步方式的点对点协议PPP；有作为X.25的数据链路层被定义的、且能承载非X.25上层协议的LAPB；有采用虚电路和快速分组交换技术的帧中继（FrameRelay）等。7.1广域网连接方式

一、广域网连接方式的分类

广域网连接的方式有专线（LeasedLine）方式、电路交换方式、分组交换方式和VPN方式等。专线方式：用户可永久独占一条异步/同步专用线路，有带宽大、费用高、部署简单、安全可靠等特点；电路交换方式：用户可通过PSTN/ISDN按需建立连接、用完断开，有带宽小、费用低、延迟大等特点；分组交换方式：用户数据被划分为带有发送方和接收方地址标识的分组（Packet），交由X.25/帧中继/ATM网络转发，有结构灵活、迁移方便、费用适中、延迟较大等特点；VPN方式：用户先通过宽带接入互联网，再通过加密通道借助互联网与对端连接，双方就象处在同一局域网中，是灵活、安全、低成本的连接方式。二、运营商DCE和用户DTE间的连接1.CSU/DSU作为DCE（数据电路终止设备），为用户路由器提供网络通信服务接口和时钟信号，控制传输速率。2.用户路由器作为DTE（数据终端设备），接受DCE提供的时钟信号，获得网络通信。3.CSU/DSU再通过数百米至上千米的接入线路（如双绞线）接入专线方式或电路交换方式的运营商传输网络。三、运营商负责广域网两端的物理层连接1.专线方式的广域网连接可以是数字的，也可以是模拟的。2.电路交换方式的广域网则通过PSTN或ISDN连接两端。四、两端的用户路由器负责数据链路层的连接广域网的数据链路层协议主要包括用于专线方式和电路交换方式的SLIP（串行线路互联网协议）、SDLC（同步数据链路控制协议）、HDLC（高级数据链路控制）、PPP（点对点协议）等协议，还包括分组交换方式采用的帧中继、ATM等协议，也包括通过宽带接入因特网（为VPN方式提供环境和条件）常采用的PPPoE协议等。7.2广域网封装协议

HDLC（High-LevelDataLinkControl，高级数据链路控制）协议是ISO开发的一种面向比特的同步数据链路层协议，它从IBM的SDLC（SynchronousDataLinkControl，同步数据链路控制）协议演变而来，无流量控制和认证机制，采用同步串行传输，实现简单，效率高。华为、华三采用标准HDLC；思科对标准HDLC进行了扩展，增加了对多种网络层协议的识别，与其他厂商采用的标准HDLC不兼容。思科设备采用HDLC作为其同步串行接口的默认封装协议。7.2.1HDLC协议7.2.2PPP协议

一、PPP简介

PPP（Point-to-pointProtocol，点对点协议）是一种全双工的点到点的同步异步数据链路层协议，它由SLIP（SerialLineIP，串行线IP协议）发展而来的，提供对多种网络层协议的支持，为不同厂商设备的互连提供了可能。支持用户验证、多链路捆绑、回拨和压缩等功能，能协商和远程分配包括IP地址在内的各种网络层地址，安全可靠、易于扩展。PPP能运行于E1、T1连接的DDN专线网络，也能运行于串口连接的专线网络和电路交换网络，是华为设备串型接口默认封装的协议。

二、PPP协议族

PPP不是单一的协议，而是由链路控制协议族（LCP，LinkControlProtocol）、扩展协议族（PAP和CHAP验证，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、网络控制协议族（NCP，NetworkControlProtocol）构成。链路控制协议族（LCP）主要用于建立、拆除和监控数据链路；扩展协议族（PAP和CHAP）主要用于网络安全方面的验证；网络控制协议族（NCP）主要用来协商上层（网络层）协议的类型属性及本层（数据链路层）数据包的类型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP会话的三个阶段

一个PPP会话包括三个阶段：首先是链路建立阶段，通过发送LCP报文检测链路的可用性并建立链路；其次是可选的验证阶段，根据PPP帧的验证选项决定是否进行PAP或CHAP验证；最后是网络协商阶段，通过NCP报文协商网络层协议（如使用IP还是IPX），分配网络层地址（如IP地址或IPX地址），建立PPP链路。

四、PPP验证

1.验证阶段的PAP验证是两次握手验证。首先被验证方以明文发送用户名和密码给主验证方；随后主验证方进行核验，若验证通过则回复ACK进入下一阶段，若验证不通过则回复NAK表示验证失败。验证失败后不会马上将链路关闭，而是等验证失败次数达到一定数值后再关闭，以防误传、干扰造成不必要的重协商。PAP验证可以单向进行，也可双向进行。

2.验证阶段的CHAP验证是三次握手验证。首先，主验证方将一个随机数和本端用户名发送给被验证方，这是第一次握手，称为Challenge；其次，如果被验证方接口配置了默认CHAP密码，就选用这个密码，否则根据主验证方的用户名查找对应的密码，然后利用MD5算法对“报文ID、随机数和密码”的联合体提取数字指纹（也称摘要），并将提取到的指纹和自己的用户名发给主验证方，这是第二次握手，称为Response；最后，主验证方根据被验证方的用户名查找到对应的密码，对“报文ID、随机数和密码”的联合体提取指纹，将得到的指纹与被验证方发来的指纹进行对比，若相同则发送Acknowledge表示验证通过，否则发送NotAcknowledge表示验证不通过，这是第三次握手。CHAP验证可以单向进行也可以双向进行。

3.由于PAP验证会将密码以明文的方式在网络上传送，黑客可以截获并利用，而CHAP验证只在网络上传送用户名和数字指纹，不传送密码，根据指纹的不可逆推性，黑客无法从指纹反推出密码。因此，CHAP验证的安全性比PAP验证的安全性高。7.3PPP协议的配置

在PacketTracer模拟器中拖出两台2911路由器，搭建如图7-1所示的拓扑，完成思科设备的PPP配置。7.3.1思科设备的PPP配置图7-1思科设备PPP配置的拓扑连线前，需要分别为两台路由器增加串口。以R1为例，如图7-2所示，打开R1的Physical配置属性，在图中1号位点击电源开关关闭电源，将图中2号位的“HWIC-2T”拖动到图中3号位，此时，已经为路由器R1增加s0/0/0和S0/0/1两个串口，然后在图中1号位点击电源开关打开电源。

连线时，选中图中4号位的DCE串口线（SerialDCE），首先连接R2的S0/0/0接口，再连接R1的S0/0/0接口，可以看到，R2的S0/0/0接口旁出现了时钟图案，表示R2端是DCE端，为对端提供时钟信号，相对的，R1是DTE端，接受DCE端的时钟频率控制，控制链路的传输速度。图7-2思科路由器R1的Physical属性配置一、PPP配置1.路由器R1、R2的配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown2.路由器R1、R2的配置结果查看，命令如下：R1#showinterfacess0/0/0//在R1上查看配置结果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR2#showinterfacess0/0/0//在R2上查看配置结果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR1#showcontrollerss0/0/0//在R1上查看DCE和DTE端InterfaceSerial0/0/0DTEV.35TXandRXclocksdetectedR2#showcontrollerss0/0/0//在R2上查看DCE和DTE端InterfaceSerial0/0/0DCEV.35,clockrate40000003.Ping测试可以看到链路两端可以互通。二、PAP验证

如图7-3所示，在PacketTracer6.2中拖出两台2811路由器，为两台2811路由器添加“HWIC-2T”串口模块并连线。拓扑搭建好后，先配置R2作为主验证方、R1作为被验证方，观察单向验证的效果。再配置R1作为主验证方、R2作为被验证方，从而实现双向验证（PacketTracer8.0只支持双向验证，不支持单向验证）。1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown图7-3思科路由器R1的Physical属性配置

2.R1作为主验证方，R2作为被验证方，实现PAP单向验证。命令如下：R1(config)#usernameR2password654321//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationpapR2(config)#interfaceserial0/0/0//R1的配置R2(config-if)#ppppapsent-usernameR2password654321

3.R2作为主验证方，R1作为被验证方，实现PAP双向验证。命令如下：R2(config)#usernameR1password123456//R1的配置R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationpapR1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#ppppapsent-usernameR1password123456

4.采用PacketTracer6.2完成的实验，可以通过ping命令观察到实验效果。若采用PacketTracer8.0，可在配置完成后，先将实验文件存盘、关闭，再重新打开，通过ping测试观察实验效果。

三、CHAP验证在PacketTracer6.2中搭建如图7-3所示拓扑，先配置R2为主验证方、R1为被验证方，实现单向验证。再配置R1为主验证方、R2为被验证方，实现双向验证。

1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown

2.R1作为主验证方，R2作为被验证方，实现CHAP单向验证，命令如下：R1(config)#usernameR2password123//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationchapR2(config)#usernameR1password123//R2的配置

3.R2作为主验证方，R1作为被验证方，实现CHAP双向验证，命令如下：R2(config)#usernameR1password123//R2的配置，之前已配过，此处可省略R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationchapR1(config)#usernameR2password123//R1的配置，之前已配过，此处可省略

等待一段时间，双向验证成功后，R1和R2都会出现提示：%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoup

表示验证成功后串口S0/0/0的状态变为up了。

4.通过ping命令可测试到全网互通。7.4PPPoE的配置

多台用户主机连接到同一台远程接入设备进行计费上网时，往往需要接入设备具有访问控制和计费等功能。PPP能提供良好的访问控制和计费功能、以太网技术为多台主机经济快捷的接入提供了方便，结合这两种技术的PPPoE（Point-to-PointProtocoloverEthernet,以太网上的点对点协议）就是这样一种能实现在以太网上传输PPP报文的技术。

在PacketTracer6.2中搭建如图7-7所示拓扑，完成思科设备PPPoE实验（PacketTracer8不支持PPPoE）。7.4.1思科设备配置PPPoE

图7-7思科设备PPPoE配置的拓扑

1.在R1上完成VPND配置，命令如下：R1(config)#vpdnenable//开启VPDNR1(config)#vpdn-group1//创建和配置VPDN组R1(config-vpdn)#accept-dialin//允许客户端拨号R1(config-vpdn-acc-in)#protocolpppoe//封装PPPOE协议R1(config-vpdn-acc-in)#virtual-template1//与虚拟模板关联、设置虚拟模板标号可自定R1(config)#usernameuser1password1234//创建用户及密码R1(config)#iplocalpool101//设置地址池

2.配置模板接口，命令如下：R1(config)#interfacevirtual-Template1//配置之前定义的模板接口R1(config-if)#ipunnumberedg0/0//接口复用R1(config-if)#peerdefaultipaddresspool1//地址池名字R1(config-if)#pppauthenticationchap

3.配置连接PC端的接口R1(config)#interfacegigabitEthernet0/0R1(config-if)#pppoeenableR1(config-if)#ipaddressR1(config-if)#noshutdown

4.如图7-8所示，在PC0上用user1进行拨号，显示成功。

5.在PC0上用命令ipconfig查看地址分配情况，命令如下：PC>ipconfigPPPadapter:IPAddress......................:0SubnetMask.....................:55DefaultGateway.................:

可以看到，PC0分配到了0的IP地址。

图7-8PC0上用user1进行拨号谢谢欣赏第7章广域网技术编著：

秦燊广域网是指跨越上百公里的两座城市乃至跨越上千公里的大洋间的数据通信网络。通常需要借助因特服务提供商ISP提供的设备和线路才能实现两地的连接。广域网技术主要对应OSI的物理层和数据链路层，支持IP、IPX等网络层协议。广域网物理层标准包括同步/异步方式的V.24规程接口、同步方式的V.35规程接口、E1/T1线路的G.703接口、同步数字线路上的串行接口X.21等。广域网的数据链路层协议有面向比特的、只支持同步方式的HDLC；有支持验证的、支持同步和异步方式的点对点协议PPP；有作为X.25的数据链路层被定义的、且能承载非X.25上层协议的LAPB；有采用虚电路和快速分组交换技术的帧中继（FrameRelay）等。7.1广域网连接方式

一、广域网连接方式的分类

广域网连接的方式有专线（LeasedLine）方式、电路交换方式、分组交换方式和VPN方式等。专线方式：用户可永久独占一条异步/同步专用线路，有带宽大、费用高、部署简单、安全可靠等特点；电路交换方式：用户可通过PSTN/ISDN按需建立连接、用完断开，有带宽小、费用低、延迟大等特点；分组交换方式：用户数据被划分为带有发送方和接收方地址标识的分组（Packet），交由X.25/帧中继/ATM网络转发，有结构灵活、迁移方便、费用适中、延迟较大等特点；VPN方式：用户先通过宽带接入互联网，再通过加密通道借助互联网与对端连接，双方就象处在同一局域网中，是灵活、安全、低成本的连接方式。二、运营商DCE和用户DTE间的连接1.CSU/DSU作为DCE（数据电路终止设备），为用户路由器提供网络通信服务接口和时钟信号，控制传输速率。2.用户路由器作为DTE（数据终端设备），接受DCE提供的时钟信号，获得网络通信。3.CSU/DSU再通过数百米至上千米的接入线路（如双绞线）接入专线方式或电路交换方式的运营商传输网络。三、运营商负责广域网两端的物理层连接1.专线方式的广域网连接可以是数字的，也可以是模拟的。2.电路交换方式的广域网则通过PSTN或ISDN连接两端。四、两端的用户路由器负责数据链路层的连接广域网的数据链路层协议主要包括用于专线方式和电路交换方式的SLIP（串行线路互联网协议）、SDLC（同步数据链路控制协议）、HDLC（高级数据链路控制）、PPP（点对点协议）等协议，还包括分组交换方式采用的帧中继、ATM等协议，也包括通过宽带接入因特网（为VPN方式提供环境和条件）常采用的PPPoE协议等。7.2广域网封装协议

HDLC（High-LevelDataLinkControl，高级数据链路控制）协议是ISO开发的一种面向比特的同步数据链路层协议，它从IBM的SDLC（SynchronousDataLinkControl，同步数据链路控制）协议演变而来，无流量控制和认证机制，采用同步串行传输，实现简单，效率高。华为、华三采用标准HDLC；思科对标准HDLC进行了扩展，增加了对多种网络层协议的识别，与其他厂商采用的标准HDLC不兼容。思科设备采用HDLC作为其同步串行接口的默认封装协议。7.2.1HDLC协议7.2.2PPP协议

一、PPP简介

PPP（Point-to-pointProtocol，点对点协议）是一种全双工的点到点的同步异步数据链路层协议，它由SLIP（SerialLineIP，串行线IP协议）发展而来的，提供对多种网络层协议的支持，为不同厂商设备的互连提供了可能。支持用户验证、多链路捆绑、回拨和压缩等功能，能协商和远程分配包括IP地址在内的各种网络层地址，安全可靠、易于扩展。PPP能运行于E1、T1连接的DDN专线网络，也能运行于串口连接的专线网络和电路交换网络，是华为设备串型接口默认封装的协议。

二、PPP协议族

PPP不是单一的协议，而是由链路控制协议族（LCP，LinkControlProtocol）、扩展协议族（PAP和CHAP验证，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、网络控制协议族（NCP，NetworkControlProtocol）构成。链路控制协议族（LCP）主要用于建立、拆除和监控数据链路；扩展协议族（PAP和CHAP）主要用于网络安全方面的验证；网络控制协议族（NCP）主要用来协商上层（网络层）协议的类型属性及本层（数据链路层）数据包的类型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP会话的三个阶段

一个PPP会话包括三个阶段：首先是链路建立阶段，通过发送LCP报文检测链路的可用性并建立链路；其次是可选的验证阶段，根据PPP帧的验证选项决定是否进行PAP或CHAP验证；最后是网络协商阶段，通过NCP报文协商网络层协议（如使用IP还是IPX），分配网络层地址（如IP地址或IPX地址），建立PPP链路。

四、PPP验证

1.验证阶段的PAP验证是两次握手验证。首先被验证方以明文发送用户名和密码给主验证方；随后主验证方进行核验，若验证通过则回复ACK进入下一阶段，若验证不通过则回复NAK表示验证失败。验证失败后不会马上将链路关闭，而是等验证失败次数达到一定数值后再关闭，以防误传、干扰造成不必要的重协商。PAP验证可以单向进行，也可双向进行。

2.验证阶段的CHAP验证是三次握手验证。首先，主验证方将一个随机数和本端用户名发送给被验证方，这是第一次握手，称为Challenge；其次，如果被验证方接口配置了默认CHAP密码，就选用这个密码，否则根据主验证方的用户名查找对应的密码，然后利用MD5算法对“报文ID、随机数和密码”的联合体提取数字指纹（也称摘要），并将提取到的指纹和自己的用户名发给主验证方，这是第二次握手，称为Response；最后，主验证方根据被验证方的用户名查找到对应的密码，对“报文ID、随机数和密码”的联合体提取指纹，将得到的指纹与被验证方发来的指纹进行对比，若相同则发送Acknowledge表示验证通过，否则发送NotAcknowledge表示验证不通过，这是第三次握手。CHAP验证可以单向进行也可以双向进行。

3.由于PAP验证会将密码以明文的方式在网络上传送，黑客可以截获并利用，而CHAP验证只在网络上传送用户名和数字指纹，不传送密码，根据指纹的不可逆推性，黑客无法从指纹反推出密码。因此，CHAP验证的安全性比PAP验证的安全性高。7.3.2华为设备的PPP配置

如图7-4所示，在eNSP中拖出两台AR2220，为它们添加2SA模块。

图7-4华为路由器AR1的物理属性配置如图7-5所示，通过串口线将两台AR2220连接，完成华为设备的PPP配置。

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ipaddress24[R1-Serial1/0/0]link-protocolppp[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ipaddress24[R2-Serial1/0/0]link-protocolppp

图7-5华为设备PPP配置的拓扑

2.配置结果测试，命令如下：[R1]ping//R1pingR2测试互通情况PING:56databytes,pressCTRL_CtobreakReplyfrom:bytes=56Sequence=1ttl=255time=80ms//ping通了[R1]displayinterfaceSerial1/0/0//查看路由器R1的PPP封装情况Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPInternetAddressis/24//IP地址LinklayerprotocolisPPP//接口的数据链路层协议为PPPLCPopened,IPCPopened//LCP和NCP协商已经成功。其中，NCP采用的是IPCP，PPP链路上可以传递IP报文了。

二、PAP验证

1.R1作为主验证方，R2作为被验证方，实现PAP单向验证，命令如下：[R1]aaa//R1的配置[R1-aaa]local-userR2passwordcipher654321[R1-aaa]local-userR2service-typeppp[R1-aaa]quit[R1]interfaceSerial1/0/0[R1-Serial1/0/0]pppauthentication-modepap[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ppppaplocal-userR2passwordcipher654321[R2-Serial1/0/0]quit

2.R2作为主验证方，R1作为被验证方，实现PAP双向验证[R2]aaa//R2的配置[R2-aaa]local-userR1passwordcipher123456[R2-aaa]local-userR1service-typeppp[R2-aaa]quit[R2]interfaces1/0/0[R2-Serial1/0/0]pppauthentication-modepap[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ppppaplocal-userR1passwordcipher123456

3.先通过ping命令测试互通性，再在路由器R2上使用命令DebuggingPPPPAPall查看PAP认证的详细信息。

三、CHAP验证

在PAP认证实验的基础上，继续完成CHAP认证实验。先配置R2为主验证方、R1为被验证方；再配置R1为主验证方、R2为被验证方，实现双向CHAP验证。

1.R1作为CHAP验证主验证方，R2作为被验证方，实现单向CHAP验证，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undopppauthentication-mode

//取消R1作为PAP验证的主验证方[R1-Serial1/0/0]pppauthentication-modechap//配置R1作为CHAP验证的主验证方[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undoppppaplocal-user//取消R2作为PAP验证的被验证方[R2-Serial1/0/0]pppchapuserR2//配置R2作为CHAP验证的被验证方[R2-Serial1/0/0]pppchappasswordcipher654321//配置R2作为CHAP验证的被验证方

2.R2作为CHAP验证主验证方，R1作为被验证方，实现双向CHAP验证，命令如下：[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undopppauthentication-mode//取消R2作为PAP验证的主验证方[R2-Serial1/0/0]pppauthentication-modechap//配置R2作为CHAP验证的主验证方[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undoppppaplocal-user//取消R1作为PAP验证的被验证方[R1-Serial1/0/0]pppchapuserR1//配置R1作为CHAP验证的被验证方[R1-Serial1/0/0]pppchappasswordcipher123456//配置R1作为CHAP验证的被验证方

3.先使用ping命令测试连通性，再在路由器R2上使用“DebuggingPPPPAPall”命令查看PAP认证的详细信息。7.4PPPoE的配置

多台用户主机连接到同一台远程接入设备进行计费上网时，往往需要接入设备具有访问控制和计费等功能。PPP能提供良好的访问控制和计费功能、以太网技术为多台主机经济快捷的接入提供了方便，结合这两种技术的PPPoE（Point-to-PointProtocoloverEthernet,以太网上的点对点协议）就是这样一种能实现在以太网上传输PPP报文的技术。

如图7-9所示，路由器R1是公司的出口路由器，路由器R2是ISP的PPPoE服务器，路由器R1和R2间通过以太网连接。路由器R1通过PPPoE拨号连接到路由器R2，并接入Internet。7.4.2华为设备配置PPPoE

图7-9华为设备配置PPPoE的拓扑

一、PPPoE服务端R2的配置

1.在R2上配置Virtual-Template虚拟模板接口，命令如下：[R2]interfaceVirtual-Template1//创建VT接口，编号为1[R2-Virtual-Template1]pppauthentication-modechap//定义PPP采用CHAP方式认证[R2-Virtual-Template1]remoteaddresspoolpool01//为PPPoE客户端指定IP地址池[R2-Virtual-Template1]ipaddress5424//设置VT接口的IP

2.在R2上配置PPP的其他选项，命令如下：[R2]ippoolpool01//为客户端创建IP地址池[R2-ip-pool-pool01]gateway-list54//为地址池指定网关[R2-ip-pool-pool01]networkmask24//为地址池指定分配的IP地址范围[R2-ip-pool-pool01]dns-list14//为地址池指定DNS[R2-ip-pool-pool01]quit[R2]aaa//进入AAA本地用户数据库[R2-aaa]local-useruser1passwordcipher123//创建用于PPP认证的用户[R2-aaa]local-useruser1service-typeppp//指定创建的用户用于PPP认证

3.将VT虚拟接口和PPPoE服务端以太口绑定，命令如下：[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1//将G0/0/0接口与VT1接口绑定

4.配置从PPPoEServer到PPPoEClient的静态路由，实现网络互通，命令如下：[R2]iproute-static24Virtual-Template1

二、PPPoE客户端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress5424

2.DCC（拨号控制中心）虚拟拨号接口（dialer）的配置，命令如下：[R1]interfaceDialer1//创建DCC的dialer接口，编号为1[R1-Dialer1]link-protocolppp//封装PPP[R1-Dialer1]pppchapuseruser1//配置PPP的chap认证用户名[R1-Dialer1]pppchappasswordsimple123//配置PPP的chap认证密码[R1-Dialer1]ipaddressppp-negotiate//设置PPPoE客户端自动获取IP地址[R1-Dialer1]dialeruseruser1//指定dialer接口拨号使用的用户名[R1-Dialer1]dialerbundle1//指定dialer接口的编号[R1-Dialer1]dialer-group1//将该接口置于拨号组1中

3.将DCC的dialer虚拟拨号接口和PPPoE客户端以太网接口绑定，命令如下：[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]pppoe-clientdial-bundle-number1//将G0/0/0接口与dialer1接口绑定[R1-GigabitEthernet0/0/0]quit

4.配置拨号访问控制列表允许IPv4协议的数据报文，命令如下：[R1]dialer-rule//配置拨号访问控制列表[R1-dialer-rule]dialer-rule1ippermit//允许IPv4协议的数据报文

5.配置从PPPoEClient到PPPoEServer的默认路由，命令如下：[R1]iproute-static0Dialer1

6.电脑PC1的配置：IP地址：0，子网掩码：，缺省网关：54

7.效果测试，命令如下：PC>ping54//在内网主机PC1上ping服务端R2，可以互通。[R1]displaypppoe-clientsessionsummaryR1查看PPPoEclient会话的状态和配置信息PPPoEClientSession:谢谢欣赏第7章广域网技术编著：

秦燊

广域网是指跨越上百公里的两座城市乃至跨越上千公里的大洋间的数据通信网络。通常需要借助因特服务提供商ISP提供的设备和线路才能实现两地的连接。广域网技术主要对应OSI的物理层和数据链路层，支持IP、IPX等网络层协议。广域网物理层标准包括同步/异步方式的V.24规程接口、同步方式的V.35规程接口、E1/T1线路的G.703接口、同步数字线路上的串行接口X.21等。广域网的数据链路层协议有面向比特的、只支持同步方式的HDLC；有支持验证的、支持同步和异步方式的点对点协议PPP；有作为X.25的数据链路层被定义的、且能承载非X.25上层协议的LAPB；有采用虚电路和快速分组交换技术的帧中继（FrameRelay）等。7.1广域网连接方式

一、广域网连接方式的分类

广域网连接的方式有专线（LeasedLine）方式、电路交换方式、分组交换方式和VPN方式等。专线方式：用户可永久独占一条异步/同步专用线路，有带宽大、费用高、部署简单、安全可靠等特点；电路交换方式：用户可通过PSTN/ISDN按需建立连接、用完断开，有带宽小、费用低、延迟大等特点；分组交换方式：用户数据被划分为带有发送方和接收方地址标识的分组（Packet），交由X.25/帧中继/ATM网络转发，有结构灵活、迁移方便、费用适中、延迟较大等特点；VPN方式：用户先通过宽带接入互联网，再通过加密通道借助互联网与对端连接，双方就象处在同一局域网中，是灵活、安全、低成本的连接方式。二、运营商DCE和用户DTE间的连接1.CSU/DSU作为DCE（数据电路终止设备），为用户路由器提供网络通信服务接口和时钟信号，控制传输速率。2.用户路由器作为DTE（数据终端设备），接受DCE提供的时钟信号，获得网络通信。3.CSU/DSU再通过数百米至上千米的接入线路（如双绞线）接入专线方式或电路交换方式的运营商传输网络。三、运营商负责广域网两端的物理层连接1.专线方式的广域网连接可以是数字的，也可以是模拟的。2.电路交换方式的广域网则通过PSTN或ISDN连接两端。四、两端的用户路由器负责数据链路层的连接广域网的数据链路层协议主要包括用于专线方式和电路交换方式的SLIP（串行线路互联网协议）、SDLC（同步数据链路控制协议）、HDLC（高级数据链路控制）、PPP（点对点协议）等协议，还包括分组交换方式采用的帧中继、ATM等协议，也包括通过宽带接入因特网（为VPN方式提供环境和条件）常采用的PPPoE协议等。7.2广域网封装协议

HDLC（High-LevelDataLinkControl，高级数据链路控制）协议是ISO开发的一种面向比特的同步数据链路层协议，它从IBM的SDLC（SynchronousDataLinkControl，同步数据链路控制）协议演变而来，无流量控制和认证机制，采用同步串行传输，实现简单，效率高。华为、华三采用标准HDLC；思科对标准HDLC进行了扩展，增加了对多种网络层协议的识别，与其他厂商采用的标准HDLC不兼容。思科设备采用HDLC作为其同步串行接口的默认封装协议。7.2.1HDLC协议7.2.2PPP协议

一、PPP简介

PPP（Point-to-pointProtocol，点对点协议）是一种全双工的点到点的同步异步数据链路层协议，它由SLIP（SerialLineIP，串行线IP协议）发展而来的，提供对多种网络层协议的支持，为不同厂商设备的互连提供了可能。支持用户验证、多链路捆绑、回拨和压缩等功能，能协商和远程分配包括IP地址在内的各种网络层地址，安全可靠、易于扩展。PPP能运行于E1、T1连接的DDN专线网络，也能运行于串口连接的专线网络和电路交换网络，是华为设备串型接口默认封装的协议。

二、PPP协议族

PPP不是单一的协议，而是由链路控制协议族（LCP，LinkControlProtocol）、扩展协议族（PAP和CHAP验证，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、网络控制协议族（NCP，NetworkControlProtocol）构成。链路控制协议族（LCP）主要用于建立、拆除和监控数据链路；扩展协议族（PAP和CHAP）主要用于网络安全方面的验证；网络控制协议族（NCP）主要用来协商上层（网络层）协议的类型属性及本层（数据链路层）数据包的类型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP会话的三个阶段

一个PPP会话包括三个阶段：首先是链路建立阶段，通过发送LCP报文检测链路的可用性并建立链路；其次是可选的验证阶段，根据PPP帧的验证选项决定是否进行PAP或CHAP验证；最后是网络协商阶段，通过NCP报文协商网络层协议（如使用IP还是IPX），分配网络层地址（如IP地址或IPX地址），建立PPP链路。

四、PPP验证

1.验证阶段的PAP验证是两次握手验证。首先被验证方以明文发送用户名和密码给主验证方；随后主验证方进行核验，若验证通过则回复ACK进入下一阶段，若验证不通过则回复NAK表示验证失败。验证失败后不会马上将链路关闭，而是等验证失败次数达到一定数值后再关闭，以防误传、干扰造成不必要的重协商。PAP验证可以单向进行，也可双向进行。

2.验证阶段的CHAP验证是三次握手验证。首先，主验证方将一个随机数和本端用户名发送给被验证方，这是第一次握手，称为Challenge；其次，如果被验证方接口配置了默认CHAP密码，就选用这个密码，否则根据主验证方的用户名查找对应的密码，然后利用MD5算法对“报文ID、随机数和密码”的联合体提取数字指纹（也称摘要），并将提取到的指纹和自己的用户名发给主验证方，这是第二次握手，称为Response；最后，主验证方根据被验证方的用户名查找到对应的密码，对“报文ID、随机数和密码”的联合体提取指纹，将得到的指纹与被验证方发来的指纹进行对比，若相同则发送Acknowledge表示验证通过，否则发送NotAcknowledge表示验证不通过，这是第三次握手。CHAP验证可以单向进行也可以双向进行。

3.由于PAP验证会将密码以明文的方式在网络上传送，黑客可以截获并利用，而CHAP验证只在网络上传送用户名和数字指纹，不传送密码，根据指纹的不可逆推性，黑客无法从指纹反推出密码。因此，CHAP验证的安全性比PAP验证的安全性高。7.3.3华三设备的PPP配置

如图7-6所示，拖出两台MSR36-20，通过串口线互连，完成华三设备的PPP配置。

图7-6华三设备PPP配置的拓扑

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ipaddress24[R1-Serial1/0]baudrate2048000[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]link-protocolppp[R2-Serial1/0]ipaddress24

2.配置结果测试，命令如下：[R2]ping//在R2上使用ping命令测试互通情况，可以互通[R2]displayinterfaceSerial1/0//在R2上查看路由器的PPP封装情况Serial1/0Internetaddress:/24(Primary)//IP地址Linklayerprotocol:PPP//接口的数据链路层协议为PPPLCP:opened,IPCP:opened//LCP和NCP协商已经成功。其中，NCP采用的是IPCP，PPP链路上可以传递IP报文了

二、PAP验证

1.R1作为主验证方，R2作为被验证方，实现单向验证，命令如下：[R1]local-userR2classnetwork//R1的配置[R1-luser-network-R2]service-typeppp[R1-luser-network-R2]passwordsimple654321[R1-luser-network-R2]quit[R1]interfaceSerial1/0[R1-Serial1/0]link-protocolppp[R1-Serial1/0]pppauthentication-modepap[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]ppppaplocal-userR2passwordsimple654321[R2-Serial1/0]shutdown//IP地址之前已经配好，配完认证后需复位接口[R2-Serial1/0]undoshutdown

2.R2作为主验证方，R1作为被验证方，实现双向验证，命令如下：[R2]local-userR1classnetwork//R2的配置[R2-luser-network-R1]service-typeppp[R2-luser-network-R1]passwordsimple123456[R2-luser-network-R1]quit[R2]interfaceSerial1/0[R2-Serial1/0]pppauthentication-modepap[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ppppaplocal-userR1passwordsimple123456[R1-Serial1/0]shutdown//IP地址之前已经配好，配完认证后需复位接口[R1-Serial1/0]undoshutdown

3.测试命令如下：[R1]ping//在R1上使用ping命令测试它与R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令显示接口信息

三、CHAP验证

在PAP验证实验的基础上，继续完成CHAP验证实验。先配置R2为CHAP验证的主验证方、R1为被验证方，实现单向验证；再配置R1为主验证方、R2为被验证方，实现双向CHAP验证。

1.R1作为主验证方，R2作为被验证方，实现CHAP单向验证，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undopppauthentication-mode//取消R1作为PAP验证的主验证方[R1-Serial1/0]pppauthentication-modechap//配置R1作为CHAP验证的主验证方[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undoppppaplocal-user//取消R2作为PAP验证的被验证方[R2-Serial1/0]pppchapuserR2//配置R2作为CHAP验证的被验证方[R2-Serial1/0]pppchappasswordsimple654321//配置R2作为CHAP验证的被验证方[R2-Serial1/0]shutdown//IP地址之前已经配好，配完认证后需复位接口[R2-Serial1/0]undoshutdown

2.R2作为主验证方，R1作为被验证方，实现双向验证，命令如下：[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undopppauthentication-mode//取消R2作为PAP验证的主验证方[R2-Serial1/0]pppauthentication-modechap//配置R2作为CHAP验证的主验证方[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undoppppaplocal-user//取消R1作为PAP验证的被验证方[R1-Serial1/0]pppchapuserR1//配置R1作为CHAP验证的被验证方[R1-Serial1/0]pppchappasswordsimple123456//配置R1作为CHAP验证的被验证方[R1-Serial1/0]shutdown//IP地址之前已经配好，配完认证后需复位接口[R1-Serial1/0]undoshutdown

3.测试，命令如下：[R1]ping//在R1上使用ping命令测试它与R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令显示接口信息7.4PPPoE的配置

多台用户主机连接到同一台远程接入设备进行计费上网时，往往需要接入设备具有访问控制和计费等功能。PPP能提供良好的访问控制和计费功能、以太网技术为多台主机经济快捷的接入提供了方便，结合这两种技术的PPPoE（Point-to-PointProtocoloverEthernet,以太网上的点对点协议）就是这样一种能实现在以太网上传输PPP报文的技术。

在HCL中搭建如图7-10所示的拓扑，完成在华三设备上配置PPPoE。7.4.3华三设备配置PPPoE

图7-10华三设备配置PPPoE的拓扑

一、PPPoE服务端R2配置

1.配置Virtual-Template虚拟模板接口，命令如下：[R2]interfaceVirtual-Template1//创建VT接口，编号为1[R2-Virtual-Template1]pppauthentication-modechapdomainsystem//定义PPP采用CHAP方式认证[R2-Virtual-Template1]remoteaddresspoolpool01//为PPPoE客户端指定IP地址池[R2-Virtual-Template1]ipaddress5424//设置VT接口的IP

2.配置PPP的其他选项，命令如下：[R2]ippoolpool0153//为客户端创建IP地址池[R2]local-useruser1classnetwork//创建用于PPP认证的用户[R2-luser-network-user1]passwordsimple123[R2-luser-network-user1]service-typeppp//指定创建的用户用于PPP认证[R2-luser-network-user1]quit[R2]domainsystem[R2-isp-system]authenticationppplocal[R2-isp-system]accountingppplocal[R2-isp-system]authorizationppplocal

3.将VT虚拟接口和PPPoE服务端以太口绑定，命令如下：[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]pppoe-serverbindvirtual-template1//将G0/0接口与VT1接口绑定

二、PPPoE客户端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress5424

2.配置DCC（拨号控制中心）虚拟拨号接口（dialer），命令如下：[R1]interfaceDialer1[R1-Dialer1]dialerbundleenable[R1-Dialer1]pppchapuseruser1[R1-Dialer1]pppchappasswordsimple123[R1-Dialer1]ipaddressppp-negotiate[R1-Dialer1]dialer-group1

3.将DCC的dialer虚拟拨号接口和PPPoE客户端以太网接口绑定，命令如下：[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]pppoe-clientdial-bundle-number1

4.配置拨号访问控制列表允许IPv4协议的数据报文，命令如下：[R1]dialer-group1ruleippermit

5.配置从PPPoEClient到PPPoEServer的默认路由，实现网络互通，命令如下：[R1]iproute-static5432Dialer1

6.配置EASYIPNAT，并在Dialer1口下发，命令如下：[R1]access-listbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55[R1-acl-ipv4-basic-2000]quit[R1]interfaceDialer1[R1-Dialer1]natoutbound2000

7.电脑PC1的配置：IP地址：0，子网掩码：，缺省网关：54。

8.在PC1上使用ping命令测试内网主机PC1与服务端R2的连通性，命令如下：[H3C]ping54试验时可以看到，能ping通。

9.查看PPPoE客户端与服务端建立PPPoE会话[R1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState1

1GE0/0

VA0322e-9e91-0205322e-93cb-0105SESSION谢谢欣赏第7章广域网技术编著：

秦燊广域网是指跨越上百公里的两座城市乃至跨越上千公里的大洋间的数据通信网络。通常需要借助因特服务提供商ISP提供的设备和线路才能实现两地的连接。广域网技术主要对应OSI的物理层和数据链路层，支持IP、IPX等网络层协议。广域网物理层标准包括同步/异步方式的V.24规程接口、同步方式的V.35规程接口、E1/T1线路的G.703接口、同步数字线路上的串行接口X.21等。广域网的数据链路层协议有面向比特的、只支持同步方式的HDLC；有支持验证的、支持同步和异步方式的点对点协议PPP；有作为X.25的数据链路层被定义的、且能承载非X.25上层协议的LAPB；有采用虚电路和快速分组交换技术的帧中继（FrameRelay）等。7.1广域网连接方式

一、广域网连接方式的分类

广域网连接的方式有专线（LeasedLine）方式、电路交换方式、分组交换方式和VPN方式等。专线方式：用户可永久独占一条异步/同步专用线路，有带宽大、费用高、部署简单、安全可靠等特点；电路交换方式：用户可通过PSTN/ISDN按需建立连接、用完断开，有带宽小、费用低、延迟大等特点；分组交换方式：用户数据被划分为带有发送方和接收方地址标识的分组（Packet），交由X.25/帧中继/ATM网络转发，有结构灵活、迁移方便、费用适中、延迟较大等特点；VPN方式：用户先通过宽带接入互联网，再通过加密通道借助互联网与对端连接，双方就象处在同一局域网中，是灵活、安全、低成本的连接方式。二、运营商DCE和用户DTE间的连接1.CSU/DSU作为DCE（数据电路终止设备），为用户路由器提供网络通信服务接口和时钟信号，控制传输速率。2.用户路由器作为DTE（数据终端设备），接受DCE提供的时钟信号，获得网络通信。3.CSU/DSU再通过数百米至上千米的接入线路（如双绞线）接入专线方式或电路交换方式的运营商传输网络。三、运营商负责广域网两端的物理层连接1.专线方式的广域网连接可以是数字的，也可以是模拟的。2.电路交换方式的广域网则通过PSTN或ISDN连接两端。四、两端的用户路由器负责数据链路层的连接广域网的数据链路层协议主要包括用于专线方式和电路交换方式的SLIP（串行线路互联网协议）、SDLC（同步数据链路控制协议）、HDLC（高级数据链路控制）、PPP（点对点协议）等协议，还包括分组交换方式采用的帧中继、ATM等协议，也包括通过宽带接入因特网（为VPN方式提供环境和条件）常采用的PPPoE协议等。7.2广域网封装协议

HDLC（High-LevelDataLinkControl，高级数据链路控制）协议是ISO开发的一种面向比特的同步数据链路层协议，它从IBM的SDLC（SynchronousDataLinkControl，同步数据链路控制）协议演变而来，无流量控制和认证机制，采用同步串行传输，实现简单，效率高。华为、华三采用标准HDLC；思科对标准HDLC进行了扩展，增加了对多种网络层协议的识别，与其他厂商采用的标准HDLC不兼容。思科设备采用HDLC作为其同步串行接口的默认封装协议。7.2.1HDLC协议7.2.2PPP协议

一、PPP简介

PPP（Point-to-pointProtocol，点对点协议）是一种全双工的点到点的同步异步数据链路层协议，它由SLIP（SerialLineIP，串行线IP协议）发展而来的，提供对多种网络层协议的支持，为不同厂商设备的互连提供了可能。支持用户验证、多链路捆绑、回拨和压缩等功能，能协商和远程分配包括IP地址在内的各种网络层地址，安全可靠、易于扩展。PPP能运行于E1、T1连接的DDN专线网络，也能运行于串口连接的专线网络和电路交换网络，是华为设备串型接口默认封装的协议。

二、PPP协议族

PPP不是单一的协议，而是由链路控制协议族（LCP，LinkControlProtocol）、扩展协议族（PAP和CHAP验证，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、网络控制协议族（NCP，NetworkControlProtocol）构成。链路控制协议族（LCP）主要用于建立、拆除和监控数据链路；扩展协议族（PAP和CHAP）主要用于网络安全方面的验证；网络控制协议族（NCP）主要用来协商上层（网络层）协议的类型属性及本层（数据链路层）数据包的类型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP会话的三个阶段

一个PPP会话包括三个阶段：首先是链路建立阶段，通过发送LCP报文检测链路的可用性并建立链路；其次是可选的验证阶段，根据PPP帧的验证选项决定是否进行PAP或CHAP验证；最后是网络协商阶段，通过NCP报文协商网络层协议（如使用IP还是IPX），分配网络层地址（如IP地址或IPX地址），建立PPP链路。

四、PPP验证

1.验证阶段的PAP验证是两次握手验证。首先被验证方以明文发送用户名和密码给主验证方；随后主验证方进行核验，若验证通过则回复ACK进入下一阶段，若验证不通过则回复NAK表示验证失败。验证失败后不会马上将链路关闭，而是等验证失败次数达到一定数值后再关闭，以防误传、干扰造成不必要的重协商。PAP验证可以单向进行，也可双向进行。

2.验证阶段的CHAP验证是三次握手验证。首先，主验证方将一个随机数和本端用户名发送给被验证方，这是第一次握手，称为Challenge；其次，如果被验证方接口配置了默认CHAP密码，就选用这个密码，否则根据主验证方的用户名查找对应的密码，然后利用MD5算法对“报文ID、随机数和密码”的联合体提取数字指纹（也称摘要），并将提取到的指纹和自己的用户名发给主验证方，这是第二次握手，称为Response；最后，主验证方根据被验证方的用户名查找到对应的密码，对“报文ID、随机数和密码”的联合体提取指纹，将得到的指纹与被验证方发来的指纹进行对比，若相同则发送Acknowledge表示验证通过，否则发送NotAcknowledge表示验证不通过，这是第三次握手。CHAP验证可以单向进行也可以双向进行。

3.由于PAP验证会将密码以明文的方式在网络上传送，黑客可以截获并利用，而CHAP验证只在网络上传送用户名和数字指纹，不传送密码，根据指纹的不可逆推性，黑客无法从指纹反推出密码。因此，CHAP验证的安全性比PAP验证的安全性高。7.3PPP协议的配置

在PacketTracer模拟器中拖出两台2911路由器，搭建如图7-1所示的拓扑，完成思科设备的PPP配置。7.3.1思科设备的PPP配置图7-1思科设备PPP配置的拓扑连线前，需要分别为两台路由器增加串口。以R1为例，如图7-2所示，打开R1的Physical配置属性，在图中1号位点击电源开关关闭电源，将图中2号位的“HWIC-2T”拖动到图中3号位，此时，已经为路由器R1增加s0/0/0和S0/0/1两个串口，然后在图中1号位点击电源开关打开电源。

连线时，选中图中4号位的DCE串口线（SerialDCE），首先连接R2的S0/0/0接口，再连接R1的S0/0/0接口，可以看到，R2的S0/0/0接口旁出现了时钟图案，表示R2端是DCE端，为对端提供时钟