網(wǎng)絡(luò)交換與路由技術(shù)：第六章 廣域網(wǎng)接入技術(shù)-2

第6章廣域網(wǎng)接入技術(shù)某大學(xué)校園網(wǎng)建設(shè)于九十年代末期，在校園早期的網(wǎng)絡(luò)規(guī)劃過程中，由于網(wǎng)絡(luò)應(yīng)用的缺乏，校園網(wǎng)在接入Internet的時(shí)采用DDN專線的接入方式，DDN接入技術(shù)有限的網(wǎng)絡(luò)的帶寬基本滿足了當(dāng)時(shí)有限的需求.

在經(jīng)過仔細(xì)的可行性論證與考察之后，該大學(xué)啟動(dòng)校園網(wǎng)光纖專線接入Internet建設(shè)項(xiàng)目，旨在建成高速率、廣覆蓋、易管理、高速度的整體校園網(wǎng)絡(luò)，以滿足校園網(wǎng)的可持續(xù)性發(fā)展要求，進(jìn)一步提升學(xué)校的綜合競爭實(shí)力。如圖所示，是該大學(xué)改造過后的光纖專線接入Internet工作項(xiàng)目場景，通過從電訊申請專線光線直接接入到校園網(wǎng)網(wǎng)絡(luò)中心的萬兆核心交換機(jī)上，實(shí)現(xiàn)點(diǎn)對點(diǎn)的數(shù)據(jù)直接連通，從而獲得高速度網(wǎng)絡(luò)速度工程任務(wù)：接入廣域網(wǎng)技術(shù)工程任務(wù)：接入廣域網(wǎng)技術(shù)組件一：廣域網(wǎng)交換技術(shù)接入廣域網(wǎng)技術(shù)組件二：廣域網(wǎng)接入技術(shù)組件三：廣域網(wǎng)通訊協(xié)議組件四：配置廣域網(wǎng)PPP認(rèn)證技術(shù)回顧1、PPP？2、HDLC?3、FR？4、DCE、DTE？5、PAP、CHAP？接入廣域網(wǎng)技術(shù)組件三：廣域網(wǎng)通訊協(xié)議廣域網(wǎng)工作模型網(wǎng)絡(luò)層鏈路層物理層專線電路交換分組交換服務(wù)供應(yīng)商服務(wù)供應(yīng)商廣域網(wǎng)接入技術(shù)（第一層）物理層標(biāo)準(zhǔn):X.21EIA/TIA-232EIA/TIA-449V.24

V.35HSSIG.73EIA-530HDLC,PPPPPP,HDLCX.25,Frame-Relay廣域網(wǎng)接入技術(shù)（第二層）專線電路交換分組交換服務(wù)供應(yīng)商服務(wù)供應(yīng)商鏈路層協(xié)議:LAPB(平衡鏈路接入)、FrameRelay、HDLC、PPP、SDLC(同步數(shù)據(jù)鏈路)廣域網(wǎng)常見鏈路層協(xié)議

點(diǎn)到點(diǎn)協(xié)議（PPP）

高級數(shù)據(jù)鏈路控制（HDLC）協(xié)議

幀中繼（FrameRelay）

X．25協(xié)議

將WAN網(wǎng)絡(luò)高層的數(shù)據(jù),封裝在通過WAN的線路上傳輸?shù)膸惺荳AN的主要部分HDLC和CSMA/CD區(qū)別

X．25協(xié)議X．25協(xié)議是CCITT（ITU）建議的一種協(xié)議，它定義終端和計(jì)算機(jī)到分組交換網(wǎng)絡(luò)的連接分組交換網(wǎng)絡(luò)在一個(gè)網(wǎng)絡(luò)上為數(shù)據(jù)分組選擇到達(dá)目的地的路由X．25是一種很好實(shí)現(xiàn)的分組交換服務(wù)，這種服務(wù)為同時(shí)使用的用戶提供任意點(diǎn)對任意點(diǎn)的連接配置X．25協(xié)議Red-Giant#Red-Giant#configureterminalRed-Giant(config)#hostnameRouter1Router1(config)#interfaceserial1/0Router1(config-if)#ipaddress52Router1(config-if)#encapsulationLAPBDTE

！接口封裝LAPB協(xié)議，設(shè)置為DTE端Router1(config-if)#endRouter1#幀中繼協(xié)議幀中繼協(xié)議是一種數(shù)據(jù)包交換技術(shù)，與X.25類似。它可以使終端站動(dòng)態(tài)共享網(wǎng)絡(luò)介質(zhì)和可用帶寬。幀中繼采用以下兩種數(shù)據(jù)包技術(shù)：1）可變長數(shù)據(jù)包；2）統(tǒng)計(jì)多元技術(shù)它不能確保數(shù)據(jù)完整性，所以當(dāng)出現(xiàn)網(wǎng)絡(luò)擁塞現(xiàn)象時(shí)就會(huì)丟棄數(shù)據(jù)包。但在實(shí)際應(yīng)用中，它仍然具有可靠的數(shù)據(jù)傳輸性能

配置幀中繼協(xié)議RouterA#RouterA#configureterminalRouterA(config)#frame-relayswitching

!把路由器模擬幀中繼交換機(jī)，啟動(dòng)幀中繼交換功能RouterA(config)#interfaces1/0RouterA(config-if)#encapsulationframe-relay！接口封裝幀中繼協(xié)議，這里沒有打封裝類型，就是缺省cisco類型，另外還可以是ietf，命令的格式寫為如下格式。RouterA(config-if)#encapsulationframe-relayietf!!接口封裝為幀中繼協(xié)議，協(xié)議的類型封裝格式為ietfRouterA(config-if)#encapsulationietf-typeDCE!接口封裝為幀中繼，配置幀中繼接口類型，有DCE，DTE，本類型為DCE，RouterA(config-if)#clockrate64000

!定義DCE接口時(shí)鐘頻率，用于同步數(shù)據(jù)傳輸速率，在實(shí)際工程中clockrate由局端像電信部門來確定。RouterA(config-if)#encapsulationlmi-typeansi(cisco,q933a)!定義幀中繼本地接口為管理類型RouterA(config-if)#frameroute20interfaces1/121!設(shè)置幀中繼交換，指定同步接口之間的DLCI互換方式，意思是來自dlci為20的數(shù)據(jù)從s1/1接口轉(zhuǎn)發(fā)出去到達(dá)dlci

21RouterA(config-if)#noshutdown!啟用該接口RouterA(config-if)#endRouterA#showinterfaceserial1/0!查看RAserial1/0接口的狀態(tài)高級數(shù)據(jù)鏈路控制HDLCHDLC：高級數(shù)據(jù)鏈路控制協(xié)議HDLC是CISCO串行線路缺省封裝協(xié)議，只允許CISCO設(shè)備連接，與其他供應(yīng)商設(shè)備不兼容與沒有運(yùn)行CISOCIOS的設(shè)備連接,使用PPPHDLC協(xié)議高級數(shù)據(jù)鏈路控制HDLC是面向比特、同步數(shù)據(jù)傳輸鏈路層協(xié)議，是廣域網(wǎng)數(shù)據(jù)鏈路層使用最廣泛的協(xié)議，用于在網(wǎng)絡(luò)結(jié)點(diǎn)間全雙工、點(diǎn)對點(diǎn)傳送數(shù)據(jù)HDLC工作在OSI網(wǎng)絡(luò)模型中第二層，由底層的物理層負(fù)責(zé)收發(fā)物理信號，網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)在第二層通過HDLC協(xié)議進(jìn)行封裝，增加數(shù)據(jù)鏈路控制信息，形成在物理網(wǎng)絡(luò)上傳輸數(shù)據(jù)幀廣域網(wǎng)幀的封裝格式常用點(diǎn)對點(diǎn)廣域網(wǎng)封裝協(xié)議:HDLC、PPP

配置HDLC協(xié)議RouterA#configureterminalRouterA(config)#interfaceserial1/2RouterA(config-if)#encapsulationHDLC

!把該接口封裝為HDLC協(xié)議RouterA(config-if)#noshutdownRouterA(config-if)#endRouterA#PPP協(xié)議PPP協(xié)議也是目前廣域網(wǎng)上應(yīng)用廣泛的協(xié)議之一，和數(shù)據(jù)鏈路控制協(xié)議HDLC相比，優(yōu)點(diǎn)在于簡單、具備用戶驗(yàn)證能力、可以解決IP分配等此外PPP還具有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認(rèn)證服務(wù)、能夠以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁等不論是異步撥號線路還是路由器之間的同步鏈路均可使用在需要提供安全檢查的網(wǎng)絡(luò)中應(yīng)用十分廣泛。接入廣域網(wǎng)技術(shù)組件四：配置廣域網(wǎng)PPP認(rèn)證技術(shù)PPP協(xié)議簡介PPP協(xié)議是目前使用廣泛廣域網(wǎng)協(xié)議，具有特性：控制數(shù)據(jù)鏈路建立能對IP地址分配和使用允許同時(shí)采用多種網(wǎng)絡(luò)層協(xié)議能夠配置和測試數(shù)據(jù)鏈路能夠進(jìn)行錯(cuò)誤檢測有協(xié)商選項(xiàng)，能對網(wǎng)絡(luò)層的地址和數(shù)據(jù)壓縮進(jìn)行協(xié)商

適用撥號用戶，也適用租用點(diǎn)對點(diǎn)路由器線路建立連接時(shí),檢查鏈路質(zhì)量

采用NCP協(xié)議（如IPCP、IPXCP）支持更多網(wǎng)絡(luò)層協(xié)議具有驗(yàn)證協(xié)議CHAP、PAP

保證網(wǎng)絡(luò)安全PPP協(xié)議的優(yōu)點(diǎn)TCP/IPIPX/SPXPPPAppleTalkPPP驗(yàn)證概述兩種PPP驗(yàn)證協(xié)議:PAP和CHAPDialupor

Circuit-Switched

NetworkPPP運(yùn)行過程－三階段鏈路建立階段（LCP）驗(yàn)證階段（Authenticate）網(wǎng)絡(luò)控制協(xié)商階段（NCP）PPP驗(yàn)證在PPP會(huì)話中，驗(yàn)證是可選的如果需要驗(yàn)證，則通信雙方路由器,交換彼此驗(yàn)證信息選擇使用密碼驗(yàn)證協(xié)議PAP,或詢問握手驗(yàn)證協(xié)議CHAP；在一般情況下，CHAP是首選協(xié)議(EIA/TIA-232,V.24,V.35,ISDN)LCP(連接控制協(xié)議)NCP(網(wǎng)絡(luò)控制協(xié)議)OSI21(IP,IPX,AppleTalk)3PPP協(xié)議結(jié)構(gòu)PPP是標(biāo)準(zhǔn)化協(xié)議,可支持不同廠家商品互聯(lián)互操作PPPEncapsulationTCP/IPNovellIPXAppleTalkMultipleprotocol

encapsulationsusing

NCPsinPPPPPP可以通過NCP攜帶多個(gè)協(xié)議的數(shù)據(jù)包PPP可以通過LCP建立和控制連接

Linksetupandcontrol

usingLCPinPPPPPP綜述PAPorCHAP認(rèn)證AuthenticationPSTN/ISDNPSTN/ISDN回?fù)蹸allback壓縮Compression多鏈路捆綁MultilinkDataPPPLCP選項(xiàng)密碼驗(yàn)證協(xié)議PAPPAP：兩次握手，密碼在鏈路上明文傳輸CHAP：中心路由器進(jìn)行三次詢問，不允許連接方發(fā)起驗(yàn)證嘗試連接ClientServerHostname:ruijiePassword:123usernameruijiepassword123AuthAck兩次握手協(xié)議明文方式驗(yàn)證(在建立鏈接開始)PPP之PAP驗(yàn)證Request用戶名+密碼驗(yàn)證成功客戶端（被驗(yàn)證方）服務(wù)器端（驗(yàn)證方）路由器串口背對背連接示意(實(shí)驗(yàn)室)客戶端（被驗(yàn)證方）服務(wù)器端（驗(yàn)證方）PAP驗(yàn)證的配置客戶端（被驗(yàn)證方）RA(config)#interfaceserialS0RA(config-if)#encapsulation

pppRA(config-if)#ppppapsent-usernameruijie

password123PAP驗(yàn)證的配置服務(wù)端（驗(yàn)證方）RB(config)#usernameruijiepassword123RB(config)#interfaceserialS0RB(config-if)#encapsulation

pppRB(config-if)#pppauthenticationpapISDN/PSTNhostnameleftusernamerightpasswordright1int

bri0encapsulationppppppauthenticationPAPipaddppppapsent-usernameleft

passwordleft1hostnamerightusernameleftpasswordleft1int

bri0encapsulationppppppauthenticationPAPipaddppppapsent-usernameright

passwordright1PPPPAP認(rèn)證配置實(shí)例（講解）PAP驗(yàn)證缺點(diǎn)由客戶端發(fā)出驗(yàn)證請求，服務(wù)器端無法區(qū)分是否為合法請求，可能引起攻擊客戶端直接將用戶名和密碼等驗(yàn)證信息以明文方式發(fā)送給服務(wù)器端，安全性低由客戶端發(fā)出驗(yàn)證請求，容易引起客戶端利用窮舉法暴力破解密碼Router#showinterfacesserial0Router#debugpppauthenticationPPP認(rèn)證的調(diào)試ClientServerHostname:RAPassword:123Hostname:RBPassword:123ChallengeSuccessCHAP為三次握手協(xié)議只傳輸用戶名，不傳輸口令安全比PAP高，但認(rèn)證報(bào)文浪費(fèi)帶寬RBRAPPPCHAP驗(yàn)證RB+挑戰(zhàn)報(bào)文ResponseRA+加密后的密碼驗(yàn)證成功CHAP認(rèn)證配置客戶端（被驗(yàn)證方）RA(config)#hostnameRARA(config)#usernameRBpassword123RA(config)#interfaceserial0RA(config-if)#encapsulation

pppCHAP認(rèn)證配置服務(wù)端（驗(yàn)證方）RB(config)#hostnameRBRB(config)#usernameRApassword123RB(config)#interfaceserial0RB(config-if)#encapsulation

pppRB(config-if)#pppauthenticationchapCHAP配置舉例hostnameleftusernamerightpasswordsameoneintserial0ipaddressencapsulationppppppauthenticationCHAPhostnamerightusernameleftpasswordsameoneintserial0ipaddressencapsulationppppppauthenticationCHAPLeft

routerRightrouterPSTN/ISDN（講解）CHAP的特點(diǎn)由服務(wù)器端發(fā)出挑戰(zhàn)報(bào)文在整個(gè)認(rèn)證過程中不發(fā)送密碼解決了PAP容易引起的問題占用網(wǎng)絡(luò)資源，認(rèn)證過程相對于PAP慢Router#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570Internetaddressis/24MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255

EncapsulationPPP,loopbacknotset,keepaliveset(10sec)

LCPOpenOpen:IPCP,CDPCPLastinput00:00:05,output00:00:05,outputhangneverLastclearingof"showinterface"countersnever

Queueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec38021packetsinput,5656110bytes,0nobufferReceived23488broadcasts,0runts,0giants,0throttles0inputerro