網(wǎng)絡(luò)設(shè)備安裝與調(diào)試-神碼版（第2版） 課件 項目6 廣域網(wǎng)技術(shù)的配置

*網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版

“十二五”職業(yè)教育國家規(guī)劃教材經(jīng)全國職業(yè)教育教材審定委員會審定*項目6廣域網(wǎng)技術(shù)的配置

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版*項目6廣域網(wǎng)技術(shù)的配置

項目描述隨著云化和網(wǎng)絡(luò)SDN等新技術(shù)的蓬勃發(fā)展，信息化的巨大變革正在重構(gòu)傳統(tǒng)的廣域網(wǎng)，廣域網(wǎng)正經(jīng)歷著云時代的變革。第一代廣域網(wǎng)關(guān)注的是連接，用戶只關(guān)心網(wǎng)絡(luò)的連通性問題；第二代廣域網(wǎng)更關(guān)注網(wǎng)絡(luò)業(yè)務(wù)的豐富性和多業(yè)務(wù)處理能力；而在當(dāng)前的云時代和全連接時代，廣域網(wǎng)正向著更敏捷、更安全、更注重用戶體驗的方向發(fā)展，當(dāng)今的網(wǎng)絡(luò)需求對傳統(tǒng)的廣域網(wǎng)提出了越來越高的要求。廣域網(wǎng)（WideAreaNetwork，WAN）也稱遠(yuǎn)程網(wǎng)，是一種運行地域超過局域網(wǎng)的數(shù)據(jù)通信網(wǎng)絡(luò)，通?？缃雍艽蟮奈锢矸秶?，所覆蓋的范圍從幾十千米到幾千千米，它能連接多個城市或國家，或者橫跨幾個大洲并能提供遠(yuǎn)距離通信，形成國際性的遠(yuǎn)程網(wǎng)絡(luò)。廣域網(wǎng)和局域網(wǎng)的主要區(qū)別之一是需要向外部的廣域網(wǎng)服務(wù)提供商申請訂購廣域網(wǎng)電信網(wǎng)絡(luò)服務(wù)，一般使用電信運營商提供的數(shù)據(jù)鏈路在廣域網(wǎng)范圍內(nèi)訪問網(wǎng)絡(luò)。

本項目重點介紹路由器的廣域網(wǎng)HDLC封裝、路由器的廣域網(wǎng)PPP封裝、路由器的廣域網(wǎng)PPP封裝PAP驗證和路由器的廣域網(wǎng)PPP封裝CHAP驗證。*項目6廣域網(wǎng)技術(shù)的配置*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置

項目6廣域網(wǎng)技術(shù)的配置任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置廣域網(wǎng)協(xié)議是在OSI參考模型最下面三層的操作，定義了在不同的廣域網(wǎng)介質(zhì)上的通信。本任務(wù)分為以下兩個活動展開介紹。本任務(wù)分為以下兩個活動展開介紹。活動1廣域網(wǎng)的HDLC協(xié)議封裝活動2廣域網(wǎng)的PPP協(xié)議封裝*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置活動1廣域網(wǎng)的HDLC協(xié)議封裝

活動1廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)情境HDLC協(xié)議工作在數(shù)據(jù)鏈路層中，是ISO以IBM公司系統(tǒng)網(wǎng)絡(luò)架構(gòu)的SDLC協(xié)作為基礎(chǔ)開發(fā)出來的。該協(xié)議具有無差錯數(shù)據(jù)傳輸和流量控制兩種功能。作為面向比特的同步通信協(xié)議，HDLC協(xié)議不僅支持全雙工、點對點的透明傳輸，還支持對等鏈路。

某公司成功搭建了總公司和分公司的局域網(wǎng)，并且運行良好?，F(xiàn)在海成公司購置了兩臺路由器和高速同步串行模塊，準(zhǔn)備通過專線將總公司和分公司連接起來，以便公司內(nèi)部數(shù)據(jù)的通信?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

情境分析

HDLC是一種標(biāo)準(zhǔn)的、用于在同步網(wǎng)絡(luò)中傳輸數(shù)據(jù)的、面向比特的數(shù)據(jù)鏈路層協(xié)議。將兩臺路由器通過高速同步串行模塊連接起來，使用HDLC協(xié)議對其進(jìn)行數(shù)據(jù)封裝和傳輸。HDLC協(xié)議不僅提供了無差錯的按序數(shù)據(jù)傳輸功能，還提供了流量控制、差錯檢測和恢復(fù)功能，以保證數(shù)據(jù)的完整性。下面通過兩臺型號為DCR-2655的路由器來模擬公網(wǎng)，讀者可以由此學(xué)習(xí)和掌握路由器廣域網(wǎng)HDLC的配置方法。廣域網(wǎng)HDLC封裝的拓?fù)浣Y(jié)構(gòu)如圖6.1.1所示?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

情境分析具體要求如下。（1）根據(jù)圖6.1.1所示的拓?fù)浣Y(jié)構(gòu)，在兩臺路由器之間使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩臺路由器之間做HDLC協(xié)議封裝，并測試兩臺路由器的連通性?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。（2）路由器R1的配置?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（3）查看R1的配置。在回顯信息中，可以看到“l(fā)ineprotocolisdown”，“down”表示兩臺路由器之間沒有協(xié)商成功?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（4）路由器R2的配置。

任務(wù)驗收在路由器R1上執(zhí)行showinterfaceserial0/1命令，查看HDLC封裝情況。在回顯信息中，可以看到“l(fā)ineprotocolisup”，“up”表示兩臺路由器之間協(xié)商成功?！癊ncapsulationprotocolHDLC”表示封裝的是HDLC協(xié)議，由此說明，在HDLC鏈路上已經(jīng)可以傳遞IP報文了?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)資訊1．廣域網(wǎng)的基本概念廣域網(wǎng)（WideAreaNetwork，WAN）是指跨越很大地域范圍的數(shù)據(jù)通信網(wǎng)絡(luò)。廣域網(wǎng)通常使用ISP提供的設(shè)備作為信息傳輸平臺，對網(wǎng)絡(luò)通信的要求較高。在企業(yè)網(wǎng)中，廣域網(wǎng)主要用來連接距離較遠(yuǎn)的多個局域網(wǎng)以實現(xiàn)網(wǎng)絡(luò)通信，它對應(yīng)OSI參考模型的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層，如圖6.1.2所示?；顒?廣域網(wǎng)的HDLC協(xié)議封裝2．廣域網(wǎng)的鏈路類型廣域網(wǎng)可以分為寬帶廣域網(wǎng)和窄帶廣域網(wǎng)。寬帶廣域網(wǎng)包括異步傳輸模式（AsynchronousTransferMode，ATM）網(wǎng)和同步數(shù)字系列（SynchronousDigitalHierarchy，SDH）網(wǎng)，窄帶廣域網(wǎng)包括綜合業(yè)務(wù)數(shù)字網(wǎng)（IntegratedServiceDigitalNetwork，ISDN)、數(shù)字?jǐn)?shù)據(jù)網(wǎng)（DigitalDataNetwork，DDN）、幀中繼（FrameRelay）網(wǎng)、X.25公用分組交換網(wǎng)和公共交換電話網(wǎng)（PublicSwitchedTelephoneNetwork，PSTN）。廣域網(wǎng)的接口類型主要包括同步串口和異步串口。同步串口有數(shù)據(jù)終端設(shè)備（DataTerminalEquipment，DTE）和數(shù)據(jù)通信設(shè)備（DataCommunicationEquipment，DCE）這兩種工作方式，既可以支持多種鏈路層協(xié)議，也可以支持網(wǎng)絡(luò)層的IP協(xié)議和IPX協(xié)議，還可以支持多種類型的線纜。異步串口分為手動設(shè)置的異步串口和專用異步串口，可以設(shè)置為專線方式和撥號方式。DTE：數(shù)據(jù)終端設(shè)備，是廣義的概念，PC也可以是終端。一般廣域網(wǎng)常用的DTE有路由器、終端主機。DCE：數(shù)據(jù)通信設(shè)備，如Modem、連接DTE的通信設(shè)備。一般廣域網(wǎng)常用的DCE有CSU/DSU、廣域網(wǎng)交換機、Modem。DTE和DCE的區(qū)別：DCE提供時鐘，DTE不提供時鐘，但它依靠DCE提供的時鐘工作，如計算機和Modem之間。數(shù)據(jù)傳輸通常先經(jīng)過DTE-DCE的路徑，再經(jīng)過DCE-DTE的路徑。其實，對于標(biāo)準(zhǔn)的串行端口，通常從外觀就能判斷是DTE還是DCE。DTE是針頭（俗稱公頭），DCE是孔頭（俗稱母頭），這樣兩種接口才能連接在一起。活動1廣域網(wǎng)的HDLC協(xié)議封裝3．廣域網(wǎng)的協(xié)議廣域網(wǎng)的協(xié)議通常是指在Internet上負(fù)責(zé)路由器的連接工作的數(shù)據(jù)鏈路層協(xié)議。廣域網(wǎng)數(shù)據(jù)封裝協(xié)議既包括點到點型的PPP協(xié)議、PPPoE協(xié)議和HDLC協(xié)議（即高級數(shù)據(jù)鏈路控制協(xié)議)，又包括逐漸被淘汰的電路交換型的ISDN協(xié)議、分組交換型的ATM和幀中繼協(xié)議。其中，HDLC協(xié)議工作在數(shù)據(jù)鏈路層中，是ISO以IBM公司系統(tǒng)網(wǎng)絡(luò)架構(gòu)的SDLC協(xié)議作為基礎(chǔ)開發(fā)出來的協(xié)議。PPP協(xié)議和PPPoE協(xié)議將在后面的內(nèi)容中進(jìn)行詳細(xì)介紹。4．HDLC簡介高級數(shù)據(jù)鏈路控制（High-levelDataLinkControl，HDLC）是一種鏈路層協(xié)議，運行在同步串行鏈路上。HDLC協(xié)議最大的特點是不需要規(guī)定數(shù)據(jù)必須是字符集，對任何一種比特流均可以實現(xiàn)透明傳輸。HDLC協(xié)議是由ISO制定的，曾廣泛應(yīng)用于通信領(lǐng)域。但是隨著技術(shù)的進(jìn)步，目前通信信道的可靠性比過去已經(jīng)有了非常大的改進(jìn)，已經(jīng)沒有必要在數(shù)據(jù)鏈路層中使用很復(fù)雜的協(xié)議（包括編號、檢錯重傳等技術(shù)）來實現(xiàn)數(shù)據(jù)的可靠傳輸了。因此作為窄帶通信的HDLC協(xié)議，在公網(wǎng)中的應(yīng)用逐漸消失，應(yīng)用范圍逐漸減小，只是在部分專網(wǎng)中用來封裝透傳業(yè)務(wù)數(shù)據(jù)。活動1廣域網(wǎng)的HDLC協(xié)議封裝

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的HDLC協(xié)議封裝的配置。路由器在封裝廣域網(wǎng)協(xié)議時，必須具有相應(yīng)的廣域網(wǎng)功能模塊。路由器兩端封裝的協(xié)議必須一致，否則無法建立鏈路?；顒?廣域網(wǎng)的HDLC協(xié)議封裝*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置活動2廣域網(wǎng)的PPP協(xié)議封裝

活動2廣域網(wǎng)的PPP協(xié)議封裝PPP協(xié)議是一種比HDLC協(xié)議功能更加豐富、更加安全的廣域網(wǎng)封裝協(xié)議，具有身份認(rèn)證、多鏈路捆綁等功能。

任務(wù)情境某公司的兩臺路由器在實現(xiàn)廣域網(wǎng)線路時采用的是默認(rèn)的PPP協(xié)議封裝。PPP是功能更加豐富且更加安全的廣域網(wǎng)封裝協(xié)議，能夠提供用戶驗證功能，且易于擴充。

情境分析PPP協(xié)議主要用來在支持全雙工的同步/異步鏈路上進(jìn)行點到點的數(shù)據(jù)傳輸。PPP是一種適合調(diào)制解調(diào)器、點到點專線、HDLC比特串行線路和其他物理層的多協(xié)議幀機制，它支持錯誤檢測、選項協(xié)商、頭部壓縮等機制，在當(dāng)今的網(wǎng)絡(luò)中得到了廣泛應(yīng)用。下面以兩臺型號為DCR-2655的路由器來模擬公網(wǎng)，讀者可以由此學(xué)習(xí)和掌握路由器廣域網(wǎng)PPP協(xié)議封裝的配置方法。廣域網(wǎng)PPP協(xié)議封裝的拓?fù)浣Y(jié)構(gòu)如圖6.1.3所示。具體要求如下。（1）根據(jù)圖6.1.3所示的拓?fù)浣Y(jié)構(gòu)，在兩臺路由器之間使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩臺路由器之間做PPP協(xié)議封裝，并測試兩臺路由器的連通性。活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）設(shè)置R1的主機名稱和端口配置。活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（3）查看R1的接口配置信息。活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（4）設(shè)置R2的主機名稱和端口配置?；顒?廣域網(wǎng)的PPP協(xié)議封裝活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)驗收在R1上執(zhí)行showinterfaces0/1命令，查看PPP封裝情況。在回顯信息中，“Internetaddressis10.1.1.2/24”表示路由器R2的S0/1接口的IP地址為10.1.1.2/24；“EncapsulationprotocolPPP”表示路由器R2的S0/1接口的數(shù)據(jù)鏈路層協(xié)議為PPP協(xié)議；“LCPopened,IPCPopened”表示LCP和IPCP協(xié)商已經(jīng)成功。注意，既然NCP采用的是IPCP，就說明在PPP鏈路上已經(jīng)可以傳遞IP報文了?；顒?廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)資訊PPP協(xié)議位于OSI模型的數(shù)據(jù)鏈路層，按照功能可以劃分為兩個子層：LCP、NCP。LCP主要負(fù)責(zé)鏈路的協(xié)商、建立、回?fù)?、認(rèn)證、數(shù)據(jù)的壓縮、多鏈路捆綁等工作。NCP主要負(fù)責(zé)和上層的協(xié)議進(jìn)行協(xié)商，為網(wǎng)絡(luò)層協(xié)議提供服務(wù)。PPP的認(rèn)證功能是指在建立PPP鏈路的過程中進(jìn)行密碼的驗證，驗證通過則建立連接，驗證不通過則拆除連接。PPP的應(yīng)用范圍：PPP是一種多協(xié)議幀機制，它適合在調(diào)制解調(diào)器、HDLC位序列線路、SONET（SynchronousOpticalNetwork，同步光纖網(wǎng)）和其他物理層上使用。它支持錯誤檢測、選項協(xié)商、頭部壓縮以及使用HDLC類型幀格式（可選）的可靠傳輸。活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)資訊PPP提供了以下三類功能。（1）成幀：可以毫無歧義地分割出每幀的起始和結(jié)束。（2）鏈路控制：LCP支持同步和異步線路，也支持面向字節(jié)的和面向位的編碼方式，可用于啟動線路、測試線路、協(xié)商參數(shù)、關(guān)閉線路。（3）網(wǎng)絡(luò)控制：具有協(xié)商網(wǎng)絡(luò)層選項的方法，并且協(xié)商方法獨立于使用的網(wǎng)絡(luò)層協(xié)議。PPP的工作流程：當(dāng)用戶撥號接入ISP時，路由器的調(diào)制解調(diào)器對撥號做出確認(rèn)，并建立一條物理連接。PC向路由器發(fā)送一系列的LCP分組（封裝成多個PPP幀）。這些分組及其響應(yīng)選擇一些PPP參數(shù)來進(jìn)行網(wǎng)絡(luò)層的配置，NCP給新接入的PC分配一個臨時的IP地址，使該PC成為因特網(wǎng)中的一個主機。通信完畢時，NCP釋放網(wǎng)絡(luò)層連接，收回原來分配的IP地址，LCP先釋放數(shù)據(jù)鏈路層連接，然后釋放物理層連接?；顒?路由器的廣域網(wǎng)PPP封裝

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的PPP協(xié)議封裝的配置。路由器封裝廣域網(wǎng)協(xié)議時，必須具有相應(yīng)的廣域網(wǎng)功能模塊，分辨出線纜的DCE和DTE。路由器兩端封裝的協(xié)議必須一致，否則無法建立鏈路。*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置

項目6廣域網(wǎng)技術(shù)的配置任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置廣域網(wǎng)協(xié)議的PPP具有PAP和CHAP兩種認(rèn)證方式，PAP認(rèn)證只在鏈路建立的初期進(jìn)行，只有兩次信息的交換，因此被稱為兩次握手。CHAP認(rèn)證比PAP認(rèn)證安全。本學(xué)習(xí)任務(wù)分成以下兩個學(xué)習(xí)活動進(jìn)行?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)情境保障通信線路的數(shù)據(jù)安全，需要在路由器上配置安全認(rèn)證，以實現(xiàn)總公司路由器對分公司路由器的身份驗證。

情境分析串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過PAP認(rèn)證使鏈路的建立更安全。PAP認(rèn)證通過用戶名和密碼進(jìn)行認(rèn)證。網(wǎng)絡(luò)管理員決定在總公司和分公司之間的廣域網(wǎng)鏈路上啟用PAP認(rèn)證，用于分公司的安全接入。下面以兩個型號為DCR-2655的路由器來模擬公網(wǎng)，學(xué)習(xí)和掌握路由器的廣域網(wǎng)PPP封裝PAP認(rèn)證的配置方法，拓?fù)浣Y(jié)構(gòu)如圖6.2.1所示。圖6.2.1廣域網(wǎng)PPP封裝PAP認(rèn)證的拓?fù)浣Y(jié)構(gòu)具體要求如下。（1）兩臺路由器使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩個路由器之間做PPP協(xié)議封裝，實現(xiàn)PAP方式認(rèn)證，需要配置aaa認(rèn)證方式，路由器的數(shù)據(jù)庫中必須設(shè)置好要進(jìn)行認(rèn)證的用戶名和密碼，并測試兩個路由器的連通性?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）路由器R1的基本配置?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（3）路由器R2的基本配置?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（4）在路由器R1上配置PAP認(rèn)證。活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（5）在路由器R2上配置PAP驗證?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（6）查看R1的鏈路狀態(tài)信息?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)驗收在R2上查看端口的鏈路狀態(tài)。活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)驗收在R1上pingR2，測試路由器之間的連通性，發(fā)現(xiàn)結(jié)果是互通的?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)資訊PPP支持兩種認(rèn)證方式——PAP和CHAP。PAP是指驗證雙方通過兩次握手完成驗證過程，它是一種用于對試圖登錄到點對點協(xié)議服務(wù)器上的用戶進(jìn)行身份驗證的方式。被驗證方主動發(fā)出驗證請求，發(fā)送的驗證信息包含用戶名和密碼。驗證方驗證后做出回復(fù)，即通過驗證或驗證失敗。在驗證過程中，用戶名和密碼以明文的方式在鏈路上傳輸。PAP是一種簡單的明文認(rèn)證方式。NAS（NetworkAccessServer，網(wǎng)絡(luò)接入服務(wù)器）要求用戶提供用戶名和密碼，PAP以明文認(rèn)證方式返回用戶信息。很明顯，這種認(rèn)證方式的安全性較差，第三方可以很容易地獲取被傳送的用戶名和密碼，并利用這些信息與NAS建立連接，獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP將無法提供能避免受到第三方攻擊的保障措施。

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的PPP的PAP安全認(rèn)證。PAP是一種簡單的身份認(rèn)證，適合對安全性要求不是很高的網(wǎng)絡(luò)環(huán)境，其原理和工作過程比較簡單。配置時需要注意兩端的用戶名和密碼必須保持一致。PAP本身并不是一種很安全的認(rèn)證方式，其明文傳輸方式有一定的安全隱患。活動1廣域網(wǎng)PPP封裝PAP認(rèn)證*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)情境某公司的管理員發(fā)現(xiàn)PAP驗證方式的安全性能不高，為了進(jìn)一步提高網(wǎng)絡(luò)安全性，他決定在總公司和分公司之間的廣域網(wǎng)鏈路上啟用

CHAP認(rèn)證方式，以實現(xiàn)總公司路由器對分公司路由器的身份驗證。

情境分析串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過CHAP認(rèn)證使鏈路的建立更安全。CHAP使用三次握手機制來啟動一條鏈路和周期性的遠(yuǎn)程驗證結(jié)點。與PAP認(rèn)證相比，CHAP認(rèn)證更具有安全性。CHAP認(rèn)證是由NAS向被認(rèn)證方提出認(rèn)證需求，通過用戶名和密碼進(jìn)行驗證。因此安全性更高。下面以兩個型號為DCR-2655的路由器來模擬公網(wǎng)，學(xué)習(xí)和掌握路由器的廣域網(wǎng)PPP封裝CHAP認(rèn)證的配置方法，拓?fù)浣Y(jié)構(gòu)如圖6.2.2所示。任務(wù)要求如下。（1）兩臺路由器使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩個路由器之間做PPP協(xié)議封裝，實現(xiàn)CHAP方式認(rèn)證，需要配置aaa認(rèn)證方式，路由器的數(shù)據(jù)庫中必須設(shè)置好要進(jìn)行認(rèn)證的用戶名和密碼，并測試兩個路由器的連通性。活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）路由器R1的基本配置。活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（3）路由器R2的基本配置?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（4）在R1上配置CHAP認(rèn)證。活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（5）查看R1的鏈路狀態(tài)信息?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（6）在R2上配置CHAP認(rèn)證?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)驗收在R2上執(zhí)行showinterfaces0/1命令，查看鏈路狀態(tài)?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)驗收在R1上pingR2，測試路由器之間的連通性。發(fā)現(xiàn)結(jié)果是互通的?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)資訊CHAP是一種加密的認(rèn)證方式，能夠避免在建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令，其中包括會話ID和一個隨機生成的挑戰(zhàn)字串。遠(yuǎn)程用戶必須使用MD5單向哈希算法返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶密碼，其中用戶名以非哈希的方式發(fā)送。CHAP對PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是通過哈希算法返回挑戰(zhàn)口令來了加密口令。因為服務(wù)器端存有用戶的明文口令，所以服務(wù)器可以重復(fù)客戶端的操作，并將結(jié)果與用戶返回的口令進(jìn)行對照。CHAP通過為每一次驗證隨機生成一個挑戰(zhàn)字串來防止受到在線攻擊。在整個連接過程中，CHAP將不定時地向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第三方冒充遠(yuǎn)程用戶進(jìn)行攻擊。圖6.2.4CHAP驗證過程活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

學(xué)習(xí)小結(jié)本學(xué)習(xí)任務(wù)實現(xiàn)了廣域網(wǎng)鏈路中的PPP的CHAP安全認(rèn)證。在Internet中傳輸信息時，CHAP表現(xiàn)出了足夠強大的抗攻擊能力，可以用于對安全性要求比較高的網(wǎng)絡(luò)環(huán)境。在驗證過程中，鏈路上傳遞的信息都進(jìn)行了加密處理。配置時需要注意兩端的用戶名和密碼要保持一致?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項