網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 （秦?zé)觯┑?-12章 廣域網(wǎng)技術(shù)- IPv6技術(shù)

第7章廣域網(wǎng)技術(shù)編著：

秦?zé)?/p>

廣域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標準包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗證的、支持同步和異步方式的點對點協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨占一條異步/同步專用線路，有帶寬大、費用高、部署簡單、安全可靠等特點；電路交換方式：用戶可通過PSTN/ISDN按需建立連接、用完斷開，有帶寬小、費用低、延遲大等特點；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標識的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費用適中、延遲較大等特點；VPN方式：用戶先通過寬帶接入互聯(lián)網(wǎng)，再通過加密通道借助互聯(lián)網(wǎng)與對端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運營商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時鐘信號，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時鐘信號，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運營商傳輸網(wǎng)絡(luò)。三、運營商負責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過PSTN或ISDN連接兩端。四、兩端的用戶路由器負責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級數(shù)據(jù)鏈路控制）、PPP（點對點協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制）協(xié)議是ISO開發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來，無流量控制和認證機制，采用同步串行傳輸，實現(xiàn)簡單，效率高。華為、華三采用標準HDLC；思科對標準HDLC進行了擴展，增加了對多種網(wǎng)絡(luò)層協(xié)議的識別，與其他廠商采用的標準HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡介

PPP（Point-to-pointProtocol，點對點協(xié)議）是一種全雙工的點到點的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來的，提供對多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗證、多鏈路捆綁、回撥和壓縮等功能，能協(xié)商和遠程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴展。PPP能運行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴展協(xié)議族（PAP和CHAP驗證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控數(shù)據(jù)鏈路；擴展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會話的三個階段

一個PPP會話包括三個階段：首先是鏈路建立階段，通過發(fā)送LCP報文檢測鏈路的可用性并建立鏈路；其次是可選的驗證階段，根據(jù)PPP幀的驗證選項決定是否進行PAP或CHAP驗證；最后是網(wǎng)絡(luò)協(xié)商階段，通過NCP報文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗證

1.驗證階段的PAP驗證是兩次握手驗證。首先被驗證方以明文發(fā)送用戶名和密碼給主驗證方；隨后主驗證方進行核驗，若驗證通過則回復(fù)ACK進入下一階段，若驗證不通過則回復(fù)NAK表示驗證失敗。驗證失敗后不會馬上將鏈路關(guān)閉，而是等驗證失敗次數(shù)達到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗證可以單向進行，也可雙向進行。

2.驗證階段的CHAP驗證是三次握手驗證。首先，主驗證方將一個隨機數(shù)和本端用戶名發(fā)送給被驗證方，這是第一次握手，稱為Challenge；其次，如果被驗證方接口配置了默認CHAP密碼，就選用這個密碼，否則根據(jù)主驗證方的用戶名查找對應(yīng)的密碼，然后利用MD5算法對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗證方，這是第二次握手，稱為Response；最后，主驗證方根據(jù)被驗證方的用戶名查找到對應(yīng)的密碼，對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗證方發(fā)來的指紋進行對比，若相同則發(fā)送Acknowledge表示驗證通過，否則發(fā)送NotAcknowledge表示驗證不通過，這是第三次握手。CHAP驗證可以單向進行也可以雙向進行。

3.由于PAP驗證會將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無法從指紋反推出密碼。因此，CHAP驗證的安全性比PAP驗證的安全性高。7.3PPP協(xié)議的配置

在PacketTracer模擬器中拖出兩臺2911路由器，搭建如圖7-1所示的拓撲，完成思科設(shè)備的PPP配置。7.3.1思科設(shè)備的PPP配置圖7-1思科設(shè)備PPP配置的拓撲連線前，需要分別為兩臺路由器增加串口。以R1為例，如圖7-2所示，打開R1的Physical配置屬性，在圖中1號位點擊電源開關(guān)關(guān)閉電源，將圖中2號位的“HWIC-2T”拖動到圖中3號位，此時，已經(jīng)為路由器R1增加s0/0/0和S0/0/1兩個串口，然后在圖中1號位點擊電源開關(guān)打開電源。

連線時，選中圖中4號位的DCE串口線（SerialDCE），首先連接R2的S0/0/0接口，再連接R1的S0/0/0接口，可以看到，R2的S0/0/0接口旁出現(xiàn)了時鐘圖案，表示R2端是DCE端，為對端提供時鐘信號，相對的，R1是DTE端，接受DCE端的時鐘頻率控制，控制鏈路的傳輸速度。圖7-2思科路由器R1的Physical屬性配置一、PPP配置1.路由器R1、R2的配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown2.路由器R1、R2的配置結(jié)果查看，命令如下：R1#showinterfacess0/0/0//在R1上查看配置結(jié)果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR2#showinterfacess0/0/0//在R2上查看配置結(jié)果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR1#showcontrollerss0/0/0//在R1上查看DCE和DTE端InterfaceSerial0/0/0DTEV.35TXandRXclocksdetectedR2#showcontrollerss0/0/0//在R2上查看DCE和DTE端InterfaceSerial0/0/0DCEV.35,clockrate40000003.Ping測試可以看到鏈路兩端可以互通。二、PAP驗證

如圖7-3所示，在PacketTracer6.2中拖出兩臺2811路由器，為兩臺2811路由器添加“HWIC-2T”串口模塊并連線。拓撲搭建好后，先配置R2作為主驗證方、R1作為被驗證方，觀察單向驗證的效果。再配置R1作為主驗證方、R2作為被驗證方，從而實現(xiàn)雙向驗證（PacketTracer8.0只支持雙向驗證，不支持單向驗證）。1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown圖7-3思科路由器R1的Physical屬性配置

2.R1作為主驗證方，R2作為被驗證方，實現(xiàn)PAP單向驗證。命令如下：R1(config)#usernameR2password654321//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationpapR2(config)#interfaceserial0/0/0//R1的配置R2(config-if)#ppppapsent-usernameR2password654321

3.R2作為主驗證方，R1作為被驗證方，實現(xiàn)PAP雙向驗證。命令如下：R2(config)#usernameR1password123456//R1的配置R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationpapR1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#ppppapsent-usernameR1password123456

4.采用PacketTracer6.2完成的實驗，可以通過ping命令觀察到實驗效果。若采用PacketTracer8.0，可在配置完成后，先將實驗文件存盤、關(guān)閉，再重新打開，通過ping測試觀察實驗效果。

三、CHAP驗證在PacketTracer6.2中搭建如圖7-3所示拓撲，先配置R2為主驗證方、R1為被驗證方，實現(xiàn)單向驗證。再配置R1為主驗證方、R2為被驗證方，實現(xiàn)雙向驗證。

1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddressR2(config-if)#encapsulationpppR2(config-if)#noshutdown

2.R1作為主驗證方，R2作為被驗證方，實現(xiàn)CHAP單向驗證，命令如下：R1(config)#usernameR2password123//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationchapR2(config)#usernameR1password123//R2的配置

3.R2作為主驗證方，R1作為被驗證方，實現(xiàn)CHAP雙向驗證，命令如下：R2(config)#usernameR1password123//R2的配置，之前已配過，此處可省略R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationchapR1(config)#usernameR2password123//R1的配置，之前已配過，此處可省略

等待一段時間，雙向驗證成功后，R1和R2都會出現(xiàn)提示：%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoup

表示驗證成功后串口S0/0/0的狀態(tài)變?yōu)閡p了。

4.通過ping命令可測試到全網(wǎng)互通。7.4PPPoE的配置

多臺用戶主機連接到同一臺遠程接入設(shè)備進行計費上網(wǎng)時，往往需要接入設(shè)備具有訪問控制和計費等功能。PPP能提供良好的訪問控制和計費功能、以太網(wǎng)技術(shù)為多臺主機經(jīng)濟快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點對點協(xié)議）就是這樣一種能實現(xiàn)在以太網(wǎng)上傳輸PPP報文的技術(shù)。

在PacketTracer6.2中搭建如圖7-7所示拓撲，完成思科設(shè)備PPPoE實驗（PacketTracer8不支持PPPoE）。7.4.1思科設(shè)備配置PPPoE

圖7-7思科設(shè)備PPPoE配置的拓撲

1.在R1上完成VPND配置，命令如下：R1(config)#vpdnenable//開啟VPDNR1(config)#vpdn-group1//創(chuàng)建和配置VPDN組R1(config-vpdn)#accept-dialin//允許客戶端撥號R1(config-vpdn-acc-in)#protocolpppoe//封裝PPPOE協(xié)議R1(config-vpdn-acc-in)#virtual-template1//與虛擬模板關(guān)聯(lián)、設(shè)置虛擬模板標號可自定R1(config)#usernameuser1password1234//創(chuàng)建用戶及密碼R1(config)#iplocalpool101//設(shè)置地址池

2.配置模板接口，命令如下：R1(config)#interfacevirtual-Template1//配置之前定義的模板接口R1(config-if)#ipunnumberedg0/0//接口復(fù)用R1(config-if)#peerdefaultipaddresspool1//地址池名字R1(config-if)#pppauthenticationchap

3.配置連接PC端的接口R1(config)#interfacegigabitEthernet0/0R1(config-if)#pppoeenableR1(config-if)#ipaddressR1(config-if)#noshutdown

4.如圖7-8所示，在PC0上用user1進行撥號，顯示成功。

5.在PC0上用命令ipconfig查看地址分配情況，命令如下：PC>ipconfigPPPadapter:IPAddress......................:0SubnetMask.....................:55DefaultGateway.................:

可以看到，PC0分配到了0的IP地址。

圖7-8PC0上用user1進行撥號謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)鰪V域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標準包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗證的、支持同步和異步方式的點對點協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨占一條異步/同步專用線路，有帶寬大、費用高、部署簡單、安全可靠等特點；電路交換方式：用戶可通過PSTN/ISDN按需建立連接、用完斷開，有帶寬小、費用低、延遲大等特點；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標識的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費用適中、延遲較大等特點；VPN方式：用戶先通過寬帶接入互聯(lián)網(wǎng)，再通過加密通道借助互聯(lián)網(wǎng)與對端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運營商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時鐘信號，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時鐘信號，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運營商傳輸網(wǎng)絡(luò)。三、運營商負責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過PSTN或ISDN連接兩端。四、兩端的用戶路由器負責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級數(shù)據(jù)鏈路控制）、PPP（點對點協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制）協(xié)議是ISO開發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來，無流量控制和認證機制，采用同步串行傳輸，實現(xiàn)簡單，效率高。華為、華三采用標準HDLC；思科對標準HDLC進行了擴展，增加了對多種網(wǎng)絡(luò)層協(xié)議的識別，與其他廠商采用的標準HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡介

PPP（Point-to-pointProtocol，點對點協(xié)議）是一種全雙工的點到點的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來的，提供對多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗證、多鏈路捆綁、回撥和壓縮等功能，能協(xié)商和遠程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴展。PPP能運行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴展協(xié)議族（PAP和CHAP驗證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控數(shù)據(jù)鏈路；擴展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會話的三個階段

一個PPP會話包括三個階段：首先是鏈路建立階段，通過發(fā)送LCP報文檢測鏈路的可用性并建立鏈路；其次是可選的驗證階段，根據(jù)PPP幀的驗證選項決定是否進行PAP或CHAP驗證；最后是網(wǎng)絡(luò)協(xié)商階段，通過NCP報文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗證

1.驗證階段的PAP驗證是兩次握手驗證。首先被驗證方以明文發(fā)送用戶名和密碼給主驗證方；隨后主驗證方進行核驗，若驗證通過則回復(fù)ACK進入下一階段，若驗證不通過則回復(fù)NAK表示驗證失敗。驗證失敗后不會馬上將鏈路關(guān)閉，而是等驗證失敗次數(shù)達到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗證可以單向進行，也可雙向進行。

2.驗證階段的CHAP驗證是三次握手驗證。首先，主驗證方將一個隨機數(shù)和本端用戶名發(fā)送給被驗證方，這是第一次握手，稱為Challenge；其次，如果被驗證方接口配置了默認CHAP密碼，就選用這個密碼，否則根據(jù)主驗證方的用戶名查找對應(yīng)的密碼，然后利用MD5算法對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗證方，這是第二次握手，稱為Response；最后，主驗證方根據(jù)被驗證方的用戶名查找到對應(yīng)的密碼，對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗證方發(fā)來的指紋進行對比，若相同則發(fā)送Acknowledge表示驗證通過，否則發(fā)送NotAcknowledge表示驗證不通過，這是第三次握手。CHAP驗證可以單向進行也可以雙向進行。

3.由于PAP驗證會將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無法從指紋反推出密碼。因此，CHAP驗證的安全性比PAP驗證的安全性高。7.3.2華為設(shè)備的PPP配置

如圖7-4所示，在eNSP中拖出兩臺AR2220，為它們添加2SA模塊。

圖7-4華為路由器AR1的物理屬性配置如圖7-5所示，通過串口線將兩臺AR2220連接，完成華為設(shè)備的PPP配置。

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ipaddress24[R1-Serial1/0/0]link-protocolppp[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ipaddress24[R2-Serial1/0/0]link-protocolppp

圖7-5華為設(shè)備PPP配置的拓撲

2.配置結(jié)果測試，命令如下：[R1]ping//R1pingR2測試互通情況PING:56databytes,pressCTRL_CtobreakReplyfrom:bytes=56Sequence=1ttl=255time=80ms//ping通了[R1]displayinterfaceSerial1/0/0//查看路由器R1的PPP封裝情況Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPInternetAddressis/24//IP地址LinklayerprotocolisPPP//接口的數(shù)據(jù)鏈路層協(xié)議為PPPLCPopened,IPCPopened//LCP和NCP協(xié)商已經(jīng)成功。其中，NCP采用的是IPCP，PPP鏈路上可以傳遞IP報文了。

二、PAP驗證

1.R1作為主驗證方，R2作為被驗證方，實現(xiàn)PAP單向驗證，命令如下：[R1]aaa//R1的配置[R1-aaa]local-userR2passwordcipher654321[R1-aaa]local-userR2service-typeppp[R1-aaa]quit[R1]interfaceSerial1/0/0[R1-Serial1/0/0]pppauthentication-modepap[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ppppaplocal-userR2passwordcipher654321[R2-Serial1/0/0]quit

2.R2作為主驗證方，R1作為被驗證方，實現(xiàn)PAP雙向驗證[R2]aaa//R2的配置[R2-aaa]local-userR1passwordcipher123456[R2-aaa]local-userR1service-typeppp[R2-aaa]quit[R2]interfaces1/0/0[R2-Serial1/0/0]pppauthentication-modepap[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ppppaplocal-userR1passwordcipher123456

3.先通過ping命令測試互通性，再在路由器R2上使用命令DebuggingPPPPAPall查看PAP認證的詳細信息。

三、CHAP驗證

在PAP認證實驗的基礎(chǔ)上，繼續(xù)完成CHAP認證實驗。先配置R2為主驗證方、R1為被驗證方；再配置R1為主驗證方、R2為被驗證方，實現(xiàn)雙向CHAP驗證。

1.R1作為CHAP驗證主驗證方，R2作為被驗證方，實現(xiàn)單向CHAP驗證，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undopppauthentication-mode

//取消R1作為PAP驗證的主驗證方[R1-Serial1/0/0]pppauthentication-modechap//配置R1作為CHAP驗證的主驗證方[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undoppppaplocal-user//取消R2作為PAP驗證的被驗證方[R2-Serial1/0/0]pppchapuserR2//配置R2作為CHAP驗證的被驗證方[R2-Serial1/0/0]pppchappasswordcipher654321//配置R2作為CHAP驗證的被驗證方

2.R2作為CHAP驗證主驗證方，R1作為被驗證方，實現(xiàn)雙向CHAP驗證，命令如下：[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undopppauthentication-mode//取消R2作為PAP驗證的主驗證方[R2-Serial1/0/0]pppauthentication-modechap//配置R2作為CHAP驗證的主驗證方[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undoppppaplocal-user//取消R1作為PAP驗證的被驗證方[R1-Serial1/0/0]pppchapuserR1//配置R1作為CHAP驗證的被驗證方[R1-Serial1/0/0]pppchappasswordcipher123456//配置R1作為CHAP驗證的被驗證方

3.先使用ping命令測試連通性，再在路由器R2上使用“DebuggingPPPPAPall”命令查看PAP認證的詳細信息。7.4PPPoE的配置

多臺用戶主機連接到同一臺遠程接入設(shè)備進行計費上網(wǎng)時，往往需要接入設(shè)備具有訪問控制和計費等功能。PPP能提供良好的訪問控制和計費功能、以太網(wǎng)技術(shù)為多臺主機經(jīng)濟快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點對點協(xié)議）就是這樣一種能實現(xiàn)在以太網(wǎng)上傳輸PPP報文的技術(shù)。

如圖7-9所示，路由器R1是公司的出口路由器，路由器R2是ISP的PPPoE服務(wù)器，路由器R1和R2間通過以太網(wǎng)連接。路由器R1通過PPPoE撥號連接到路由器R2，并接入Internet。7.4.2華為設(shè)備配置PPPoE

圖7-9華為設(shè)備配置PPPoE的拓撲

一、PPPoE服務(wù)端R2的配置

1.在R2上配置Virtual-Template虛擬模板接口，命令如下：[R2]interfaceVirtual-Template1//創(chuàng)建VT接口，編號為1[R2-Virtual-Template1]pppauthentication-modechap//定義PPP采用CHAP方式認證[R2-Virtual-Template1]remoteaddresspoolpool01//為PPPoE客戶端指定IP地址池[R2-Virtual-Template1]ipaddress5424//設(shè)置VT接口的IP

2.在R2上配置PPP的其他選項，命令如下：[R2]ippoolpool01//為客戶端創(chuàng)建IP地址池[R2-ip-pool-pool01]gateway-list54//為地址池指定網(wǎng)關(guān)[R2-ip-pool-pool01]networkmask24//為地址池指定分配的IP地址范圍[R2-ip-pool-pool01]dns-list14//為地址池指定DNS[R2-ip-pool-pool01]quit[R2]aaa//進入AAA本地用戶數(shù)據(jù)庫[R2-aaa]local-useruser1passwordcipher123//創(chuàng)建用于PPP認證的用戶[R2-aaa]local-useruser1service-typeppp//指定創(chuàng)建的用戶用于PPP認證

3.將VT虛擬接口和PPPoE服務(wù)端以太口綁定，命令如下：[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1//將G0/0/0接口與VT1接口綁定

4.配置從PPPoEServer到PPPoEClient的靜態(tài)路由，實現(xiàn)網(wǎng)絡(luò)互通，命令如下：[R2]iproute-static24Virtual-Template1

二、PPPoE客戶端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress5424

2.DCC（撥號控制中心）虛擬撥號接口（dialer）的配置，命令如下：[R1]interfaceDialer1//創(chuàng)建DCC的dialer接口，編號為1[R1-Dialer1]link-protocolppp//封裝PPP[R1-Dialer1]pppchapuseruser1//配置PPP的chap認證用戶名[R1-Dialer1]pppchappasswordsimple123//配置PPP的chap認證密碼[R1-Dialer1]ipaddressppp-negotiate//設(shè)置PPPoE客戶端自動獲取IP地址[R1-Dialer1]dialeruseruser1//指定dialer接口撥號使用的用戶名[R1-Dialer1]dialerbundle1//指定dialer接口的編號[R1-Dialer1]dialer-group1//將該接口置于撥號組1中

3.將DCC的dialer虛擬撥號接口和PPPoE客戶端以太網(wǎng)接口綁定，命令如下：[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]pppoe-clientdial-bundle-number1//將G0/0/0接口與dialer1接口綁定[R1-GigabitEthernet0/0/0]quit

4.配置撥號訪問控制列表允許IPv4協(xié)議的數(shù)據(jù)報文，命令如下：[R1]dialer-rule//配置撥號訪問控制列表[R1-dialer-rule]dialer-rule1ippermit//允許IPv4協(xié)議的數(shù)據(jù)報文

5.配置從PPPoEClient到PPPoEServer的默認路由，命令如下：[R1]iproute-static0Dialer1

6.電腦PC1的配置：IP地址：0，子網(wǎng)掩碼：，缺省網(wǎng)關(guān)：54

7.效果測試，命令如下：PC>ping54//在內(nèi)網(wǎng)主機PC1上ping服務(wù)端R2，可以互通。[R1]displaypppoe-clientsessionsummaryR1查看PPPoEclient會話的狀態(tài)和配置信息PPPoEClientSession:謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)?/p>

廣域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標準包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗證的、支持同步和異步方式的點對點協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨占一條異步/同步專用線路，有帶寬大、費用高、部署簡單、安全可靠等特點；電路交換方式：用戶可通過PSTN/ISDN按需建立連接、用完斷開，有帶寬小、費用低、延遲大等特點；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標識的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費用適中、延遲較大等特點；VPN方式：用戶先通過寬帶接入互聯(lián)網(wǎng)，再通過加密通道借助互聯(lián)網(wǎng)與對端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運營商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時鐘信號，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時鐘信號，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運營商傳輸網(wǎng)絡(luò)。三、運營商負責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過PSTN或ISDN連接兩端。四、兩端的用戶路由器負責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級數(shù)據(jù)鏈路控制）、PPP（點對點協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制）協(xié)議是ISO開發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來，無流量控制和認證機制，采用同步串行傳輸，實現(xiàn)簡單，效率高。華為、華三采用標準HDLC；思科對標準HDLC進行了擴展，增加了對多種網(wǎng)絡(luò)層協(xié)議的識別，與其他廠商采用的標準HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡介

PPP（Point-to-pointProtocol，點對點協(xié)議）是一種全雙工的點到點的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來的，提供對多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗證、多鏈路捆綁、回撥和壓縮等功能，能協(xié)商和遠程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴展。PPP能運行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴展協(xié)議族（PAP和CHAP驗證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控數(shù)據(jù)鏈路；擴展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會話的三個階段

一個PPP會話包括三個階段：首先是鏈路建立階段，通過發(fā)送LCP報文檢測鏈路的可用性并建立鏈路；其次是可選的驗證階段，根據(jù)PPP幀的驗證選項決定是否進行PAP或CHAP驗證；最后是網(wǎng)絡(luò)協(xié)商階段，通過NCP報文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗證

1.驗證階段的PAP驗證是兩次握手驗證。首先被驗證方以明文發(fā)送用戶名和密碼給主驗證方；隨后主驗證方進行核驗，若驗證通過則回復(fù)ACK進入下一階段，若驗證不通過則回復(fù)NAK表示驗證失敗。驗證失敗后不會馬上將鏈路關(guān)閉，而是等驗證失敗次數(shù)達到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗證可以單向進行，也可雙向進行。

2.驗證階段的CHAP驗證是三次握手驗證。首先，主驗證方將一個隨機數(shù)和本端用戶名發(fā)送給被驗證方，這是第一次握手，稱為Challenge；其次，如果被驗證方接口配置了默認CHAP密碼，就選用這個密碼，否則根據(jù)主驗證方的用戶名查找對應(yīng)的密碼，然后利用MD5算法對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗證方，這是第二次握手，稱為Response；最后，主驗證方根據(jù)被驗證方的用戶名查找到對應(yīng)的密碼，對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗證方發(fā)來的指紋進行對比，若相同則發(fā)送Acknowledge表示驗證通過，否則發(fā)送NotAcknowledge表示驗證不通過，這是第三次握手。CHAP驗證可以單向進行也可以雙向進行。

3.由于PAP驗證會將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無法從指紋反推出密碼。因此，CHAP驗證的安全性比PAP驗證的安全性高。7.3.3華三設(shè)備的PPP配置

如圖7-6所示，拖出兩臺MSR36-20，通過串口線互連，完成華三設(shè)備的PPP配置。

圖7-6華三設(shè)備PPP配置的拓撲

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ipaddress24[R1-Serial1/0]baudrate2048000[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]link-protocolppp[R2-Serial1/0]ipaddress24

2.配置結(jié)果測試，命令如下：[R2]ping//在R2上使用ping命令測試互通情況，可以互通[R2]displayinterfaceSerial1/0//在R2上查看路由器的PPP封裝情況Serial1/0Internetaddress:/24(Primary)//IP地址Linklayerprotocol:PPP//接口的數(shù)據(jù)鏈路層協(xié)議為PPPLCP:opened,IPCP:opened//LCP和NCP協(xié)商已經(jīng)成功。其中，NCP采用的是IPCP，PPP鏈路上可以傳遞IP報文了

二、PAP驗證

1.R1作為主驗證方，R2作為被驗證方，實現(xiàn)單向驗證，命令如下：[R1]local-userR2classnetwork//R1的配置[R1-luser-network-R2]service-typeppp[R1-luser-network-R2]passwordsimple654321[R1-luser-network-R2]quit[R1]interfaceSerial1/0[R1-Serial1/0]link-protocolppp[R1-Serial1/0]pppauthentication-modepap[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]ppppaplocal-userR2passwordsimple654321[R2-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認證后需復(fù)位接口[R2-Serial1/0]undoshutdown

2.R2作為主驗證方，R1作為被驗證方，實現(xiàn)雙向驗證，命令如下：[R2]local-userR1classnetwork//R2的配置[R2-luser-network-R1]service-typeppp[R2-luser-network-R1]passwordsimple123456[R2-luser-network-R1]quit[R2]interfaceSerial1/0[R2-Serial1/0]pppauthentication-modepap[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ppppaplocal-userR1passwordsimple123456[R1-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認證后需復(fù)位接口[R1-Serial1/0]undoshutdown

3.測試命令如下：[R1]ping//在R1上使用ping命令測試它與R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令顯示接口信息

三、CHAP驗證

在PAP驗證實驗的基礎(chǔ)上，繼續(xù)完成CHAP驗證實驗。先配置R2為CHAP驗證的主驗證方、R1為被驗證方，實現(xiàn)單向驗證；再配置R1為主驗證方、R2為被驗證方，實現(xiàn)雙向CHAP驗證。

1.R1作為主驗證方，R2作為被驗證方，實現(xiàn)CHAP單向驗證，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undopppauthentication-mode//取消R1作為PAP驗證的主驗證方[R1-Serial1/0]pppauthentication-modechap//配置R1作為CHAP驗證的主驗證方[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undoppppaplocal-user//取消R2作為PAP驗證的被驗證方[R2-Serial1/0]pppchapuserR2//配置R2作為CHAP驗證的被驗證方[R2-Serial1/0]pppchappasswordsimple654321//配置R2作為CHAP驗證的被驗證方[R2-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認證后需復(fù)位接口[R2-Serial1/0]undoshutdown

2.R2作為主驗證方，R1作為被驗證方，實現(xiàn)雙向驗證，命令如下：[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undopppauthentication-mode//取消R2作為PAP驗證的主驗證方[R2-Serial1/0]pppauthentication-modechap//配置R2作為CHAP驗證的主驗證方[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undoppppaplocal-user//取消R1作為PAP驗證的被驗證方[R1-Serial1/0]pppchapuserR1//配置R1作為CHAP驗證的被驗證方[R1-Serial1/0]pppchappasswordsimple123456//配置R1作為CHAP驗證的被驗證方[R1-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認證后需復(fù)位接口[R1-Serial1/0]undoshutdown

3.測試，命令如下：[R1]ping//在R1上使用ping命令測試它與R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令顯示接口信息7.4PPPoE的配置

多臺用戶主機連接到同一臺遠程接入設(shè)備進行計費上網(wǎng)時，往往需要接入設(shè)備具有訪問控制和計費等功能。PPP能提供良好的訪問控制和計費功能、以太網(wǎng)技術(shù)為多臺主機經(jīng)濟快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點對點協(xié)議）就是這樣一種能實現(xiàn)在以太網(wǎng)上傳輸PPP報文的技術(shù)。

在HCL中搭建如圖7-10所示的拓撲，完成在華三設(shè)備上配置PPPoE。7.4.3華三設(shè)備配置PPPoE

圖7-10華三設(shè)備配置PPPoE的拓撲

一、PPPoE服務(wù)端R2配置

1.配置Virtual-Template虛擬模板接口，命令如下：[R2]interfaceVirtual-Template1//創(chuàng)建VT接口，編號為1[R2-Virtual-Template1]pppauthentication-modechapdomainsystem//定義PPP采用CHAP方式認證[R2-Virtual-Template1]remoteaddresspoolpool01//為PPPoE客戶端指定IP地址池[R2-Virtual-Template1]ipaddress5424//設(shè)置VT接口的IP

2.配置PPP的其他選項，命令如下：[R2]ippoolpool0153//為客戶端創(chuàng)建IP地址池[R2]local-useruser1classnetwork//創(chuàng)建用于PPP認證的用戶[R2-luser-network-user1]passwordsimple123[R2-luser-network-user1]service-typeppp//指定創(chuàng)建的用戶用于PPP認證[R2-luser-network-user1]quit[R2]domainsystem[R2-isp-system]authenticationppplocal[R2-isp-system]accountingppplocal[R2-isp-system]authorizationppplocal

3.將VT虛擬接口和PPPoE服務(wù)端以太口綁定，命令如下：[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]pppoe-serverbindvirtual-template1//將G0/0接口與VT1接口綁定

二、PPPoE客戶端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress5424

2.配置DCC（撥號控制中心）虛擬撥號接口（dialer），命令如下：[R1]interfaceDialer1[R1-Dialer1]dialerbundleenable[R1-Dialer1]pppchapuseruser1[R1-Dialer1]pppchappasswordsimple123[R1-Dialer1]ipaddressppp-negotiate[R1-Dialer1]dialer-group1

3.將DCC的dialer虛擬撥號接口和PPPoE客戶端以太網(wǎng)接口綁定，命令如下：[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]pppoe-clientdial-bundle-number1

4.配置撥號訪問控制列表允許IPv4協(xié)議的數(shù)據(jù)報文，命令如下：[R1]dialer-group1ruleippermit

5.配置從PPPoEClient到PPPoEServer的默認路由，實現(xiàn)網(wǎng)絡(luò)互通，命令如下：[R1]iproute-static5432Dialer1

6.配置EASYIPNAT，并在Dialer1口下發(fā)，命令如下：[R1]access-listbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55[R1-acl-ipv4-basic-2000]quit[R1]interfaceDialer1[R1-Dialer1]natoutbound2000

7.電腦PC1的配置：IP地址：0，子網(wǎng)掩碼：，缺省網(wǎng)關(guān)：54。

8.在PC1上使用ping命令測試內(nèi)網(wǎng)主機PC1與服務(wù)端R2的連通性，命令如下：[H3C]ping54試驗時可以看到，能ping通。

9.查看PPPoE客戶端與服務(wù)端建立PPPoE會話[R1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState1

1GE0/0

VA0322e-9e91-0205322e-93cb-0105SESSION謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)鰪V域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標準包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗證的、支持同步和異步方式的點對點協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨占一條異步/同步專用線路，有帶寬大、費用高、部署簡單、安全可靠等特點；電路交換方式：用戶可通過PSTN/ISDN按需建立連接、用完斷開，有帶寬小、費用低、延遲大等特點；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標識的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費用適中、延遲較大等特點；VPN方式：用戶先通過寬帶接入互聯(lián)網(wǎng)，再通過加密通道借助互聯(lián)網(wǎng)與對端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運營商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時鐘信號，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時鐘信號，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運營商傳輸網(wǎng)絡(luò)。三、運營商負責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過PSTN或ISDN連接兩端。四、兩端的用戶路由器負責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級數(shù)據(jù)鏈路控制）、PPP（點對點協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制）協(xié)議是ISO開發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來，無流量控制和認證機制，采用同步串行傳輸，實現(xiàn)簡單，效率高。華為、華三采用標準HDLC；思科對標準HDLC進行了擴展，增加了對多種網(wǎng)絡(luò)層協(xié)議的識別，與其他廠商采用的標準HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡介

PPP（Point-to-pointProtocol，點對點協(xié)議）是一種全雙工的點到點的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來的，提供對多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗證、多鏈路捆綁、回撥和壓縮等功能，能協(xié)商和遠程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴展。PPP能運行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴展協(xié)議族（PAP和CHAP驗證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控數(shù)據(jù)鏈路；擴展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會話的三個階段

一個PPP會話包括三個階段：首先是鏈路建立階段，通過發(fā)送LCP報文檢測鏈路的可用性并建立鏈路；其次是可選的驗證階段，根據(jù)PPP幀的驗證選項決定是否進行PAP或CHAP驗證；最后是網(wǎng)絡(luò)協(xié)商階段，通過NCP報文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗證

1.驗證階段的PAP驗證是兩次握手驗證。首先被驗證方以明文發(fā)送用戶名和密碼給主驗證方；隨后主驗證方進行核驗，若驗證通過則回復(fù)ACK進入下一階段，若驗證不通過則回復(fù)NAK表示驗證失敗。驗證失敗后不會馬上將鏈路關(guān)閉，而是等驗證失敗次數(shù)達到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗證可以單向進行，也可雙向進行。

2.驗證階段的CHAP驗證是三次握手驗證。首先，主驗證方將一個隨機數(shù)和本端用戶名發(fā)送給被驗證方，這是第一次握手，稱為Challenge；其次，如果被驗證方接口配置了默認CHAP密碼，就選用這個密碼，否則根據(jù)主驗證方的用戶名查找對應(yīng)的密碼，然后利用MD5算法對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗證方，這是第二次握手，稱為Response；最后，主驗證方根據(jù)被驗證方的用戶名查找到對應(yīng)的密碼，對“報文ID、隨機數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗證方發(fā)來的指紋進行對比，若相同則發(fā)送Acknowledge表示驗證通過，否則發(fā)送NotAcknowledge表示驗證不通過，這是第三次握手。CHAP驗證可以單向進行也可以雙向進行。

3.由于PAP驗證會將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無法從指紋反推出密碼。因此，CHAP驗證的安全性比PAP驗證的安全性高。7.3PPP協(xié)議的配置

在PacketTracer模擬器中拖出兩臺2911路由器，搭建如圖7-1所示的拓撲，完成思科設(shè)備的PPP配置。7.3.1思科設(shè)備的PPP配置圖7-1思科設(shè)備PPP配置的拓撲連線前，需要分別為兩臺路由器增加串口。以R1為例，如圖7-2所示，打開R1的Physical配置屬性，在圖中1號位點擊電源開關(guān)關(guān)閉電源，將圖中2號位的“HWIC-2T”拖動到圖中3號位，此時，已經(jīng)為路由器R1增加s0/0/0和S0/0/1兩個串口，然后在圖中1號位點擊電源開關(guān)打開電源。

連線時，選中圖中4號位的DCE串口線（SerialDCE），首先連接R2的S0/0/0接口，再連接R1的S0/0/0接口，可以看到，R2的S0/0/0接口旁出現(xiàn)了時鐘圖案，表示R2端是DCE端，為對端提供時鐘