网络设备配置项目化教程(许军-鲁志萍)项目八PPT课件.ppt

项目八在企业总公司与分公司之间进行广域网协议封装 了解广域网接入技术了解广域网中的数据链路层协议了解PPP协议的工作过程理解PAP和CHAP验证掌握PPP协议的配置掌握PAP和CHAP验证配置 1 8 1 1广域网 广域网 WAN 是一种用来实现不同地区的局域网或城域网的互连 可提供不同地区 城市和国家之间的计算机通信的远程计算机网 2 广域网数据传输方式 专线连接电路交换分组交换 3 专线连接 专线连接即租用一条专用线路连接两个设备 这条连接被两个连接设备所独占 是一种比较常见的广域网连接方式 也称为点到点的连接 常见的点到点连接主要形式有DDN专线 E1线路等 这种点到点连接的线路上数据链路层的封装协议主要有两种 PPP和HDLC 4 电路交换 电路交换是一种广域网的数据交换方式 该方式在每次数据传输前先要建立一条从发生端到接收端的物理线路供通信双方使用 在通信的全部时间里 一直占用着这条线路 双方通信结束后才会拆除通信线路 PSTN 公共电话交换网 和ISDN 综合业务数字网 就是典型的电路交换 5 分组交换 分组交换将数据流分割成分组 再通过共享网络进行传输 分组交换网络不需要建立电路 允许不同的数据流通过同一个信道传输 也允许同一个数据流经过不同的信道传输 分组交换网络中的交换机根据每个分组中的地址信息确定通过哪条链路发送分组 分组交换的连接包括 X 25 帧中继和ATM 6 广域网链路层协议 常用的广域网链路层协议有PPP HDLC X 25 帧中继和ATM等 对于专线连接方式和电路交换方式一般采用HDLC和PPP来进行封装 而X 25 帧中继和ATM使用在分组交换中 HDLC 高级数据链路控制协议 也是锐捷和cisco路由器的同步串口上默认的封装协议 华为路由器的同步串口上默认封装的是PPP协议 7 8 1 2PPP协议简介 PPP协议 全称为PointtoPointProtocol 点到点协议 是目前TCP IP网络中最主要的点到点数据链路层协议 是一种面向比特的数据链路层协议 PPP定义了一整套的协议包括链路控制协议 LCP 网络层控制协议 NCP 和验证协议 PAP和CHAP 链路控制协议 LCP 主要用于建立 拆除和监控PPP数据链路 网络层控制协议 NCP 主要用于协商在该数据链路上所传输的数据包的格式与类型 建立 配置不同网络层协议 验证协议 PAP和CHAP 主要用于网络安全方面的验证 8 8 1 3PPP的协商过程 PPP链路的建立是通过一系列的协商完成的 整个协商过程大致可以分为以下几个阶段 Dead阶段 Establish阶段 Authenticate阶段 Network阶段 Terminate阶段 9 Dead阶段 Dead阶段是指连接死亡阶段 我们可以简单的看成是PPP开始协商之前的一种状态 PPP协议从这个阶段开始并终止于这个阶段 当物理层链路准备好以后 立即进入Establish阶段 10 Establish阶段 在Establish阶段 两端通过交换LCP协议报文配置具体的链路参数 内容包括验证方式 最大传输单元和工作方式等项目 协商结束后 LCP状态转变为UP 表明链路已经建立 如果LCP协商表明需要进行验证 则进入Authenticate阶段开始验证 否则直接进入Network阶段 11 Authenticate阶段 在Authenticate阶段 根据在Establish阶段协商好的验证协议进行验证 远端验证本地或者本地验证远端 目前可选的验证协议包括PAP和CHAP 如果验证通过则进入Network阶段 开始网络协议协商 NCP 此时LCP状态仍为opened 而IPCP从closed状态转到opened 否则拆除链路 LCP状态转为closed 进入Terminate阶段 12 Network阶段 在Network阶段NCP协议完成网络层参数的一些协商工作以后 对于典型的NCP协议IPCP来说 这里的网络层参数主要是IP地址协商和压缩协议的协商 通过NCP协商选择和配置一个或多个网络层协议 每个选中的网络层协议配置成功后 该网络层协议就可以通过这条链路进行数据传输了 此链路将一直保持通信 直到有明确的LCP或NCP帧关闭这条链路 或发生了某些外部事件 13 Terminate状态 PPP可能在任何阶段终止连接而进入Terminate状态 如物理线路故障 验证失败 或者管理员关闭链路等 当链路进入Terminate阶段后会立即进入Dead阶段 14 8 1 4PPP的验证 PPP协议包含了通信双方身份认证的安全性协议 即在网络层协商IP地址之前 首先必须通过身份认证 PPP的验证有两种方式 PAP验证和CHAP验证 15 1 PAP验证 密码验证协议 PAP PasswordAuthenticationProtocol 是一种很简单的认证协议 验证过程分为两步 也称为二次握手 PAP验证由被验证方发起 被验证方把自己的用户名和密码一起发送给主验证方 当主验证方收到被验证方发送过来的用户名和密码后 在自己的数据库中查找是否有该用户名和密码 如果有该用户名和密码 则主验证方会向被验证方发送一个报文告诉其通过验证 如果没有该用户名和密码 或者密码错误等情况 则主验证方会向被验证方发送一个报文告诉其验证失败 拒绝连接 PAP也可以进行双向验证 即主验证方同时也作为被验证方 被验证方也作为主验证方 16 2 CHAP验证 挑战握手验证协议 CHAP Challenge HandshakeAuthenticationProtocol 相对PAP安全性更高 它的验证分三步进行 也称为三次握手 17 CHAP验证过程 CHAP验证过程由主验证方法发起 CHAP验证时只在网络上传输用户名而不传输密码 CHAP验证开始时由主验证方向被验证方发送一段随机的报文 发送时会保留报文的相关信息 并加上自己的主机名 当被验证方收到主验证方发送过来的报文后 从该报文中取出发送过来的主机名 然后根据该主机名在被验证方设备的数据库中查找该用户的记录 找到该用户后 使用该用户所对应的密码 报文的ID和报文的随机数用MD5加密算法进行加密 被验证方把加密后的密文和自己的主机名一起发送给主验证方 同样主验证方收到被验证方发送回来的密文和主机名后 把主机名取出 然后查找本地数据库中是否有该用户名 找到后同样取出该用户名对应的密码和事先保留的报文ID和随机数用MD5加密 用生成的密文和从被验证方处接收到的密文进行比对 相同则发送一个同意连接的报文给被验证方 不相同则发送一个拒绝连接的报文给被验证方 18 任务一 配置广域网链路PPP协议封装 任务描述 公司因为业务发展的需要 申请了专线接入 公司端路由器RA与ISP端路由器RB之间采用PPP协议封装 无需身份验证 19 命令说明 1 接口封装PPP协议视图 接口配置视图命令 encapsulationpppnoencapsulationppp说明 该命令用来在同步串口上封装PPP协议 锐捷路由器同步串口缺省封装的是HDLC协议 华为的路由器广域网口默认的封装为PPP协议 当我们要了解一个接口上封装了何种协议时 我们可以使用showinterfaces接口号命令来查看 在进行广域网协议封装时 链路的两端必须封装相同的协议 否则将无法建立链路 当要恢复链路的缺省封装或者取消PPP协议的封装时 可以使用该命令的no选项 20 任务二 配置广域网链路PAP验证 任务描述 公司因为业务发展的需要 申请了专线接入 公司端路由器RA与ISP端路由器RB之间采用PPP协议封装 ISP端路由器RB要求对公司端路由器RA进行PAP验证 即ISP端为主验证方 公司端为被验证方 21 设备配置过程 PAP验证时主要配置过程包括 双方接口封装PPP协议并配置IP地址主验证方建立本地用户数据库主验证方接口配置要求进行PAP认证被验证方接口配置发送的用户名和密码 22 命令说明 1 配置PPP验证模式视图 接口配置视图命令 pppauthentication chap pap nopppauthentication chap pap 参数 chap 在接口上使用CHAP验证模式pap 在接口上使用pap验证模式说明 该命令用来配置接口上PPP的验证模式为CHAP或者PAP 该命令用于主验证方的接口上 我们可以简单看成是主验证方对被验证方的接入要求验证通告 23 2 创建本地用户数据库视图 系统配置视图命令 usernamename passwordencryption typepassword nousernamename参数 name 要创建的用户名 习惯用设备名 只能为一个词 不允许有空格和句号 encryption type 密码的加密类型 有0和7两个数值 0表示后面的密码不加密 7表示后面的密码是加密的密文 password 创建用户的密码 说明 该命令用来建立本地用户数据库 用于认证 该命令基本的使用是用来指定用户名和密码 该命令还可以通过其他一些选项对用户进行一些基本的设置 如用户级别控制等 用no选择可以删除已经创建的本地用户 注意 用户名识别大小写 24 3 配置PAP被验证方发送的用户名和密码视图 接口视图命令 ppppapsent usernameusername passwordencryption typepassword noppppapsent username参数 username 在PAP验证模式中被验证方发送的用户名 encryption type 在PAP验证模式中被验证方发送的密码的加密类型 password 在PAP验证模式中被验证方发送的密码 说明 该命令用于PAP验证模式中的被验证方 是被验证方用来设置发送给主验证方用于验证的用户名和密码 密码可以采用加密形式 默认密码是不加密的 即采用明文传输 该命令设置的用户名和密码必须与主验证方设置的本地用户数据库中的用户名和密码相同才能通过验证 25 任务三 配置广域网链路CHAP验证 任务描述 公司因为业务发展的需要 申请了专线接入 公司端路由器RA与ISP端路由器RB之间采用PPP协议封装 ISP端路由器RB要求对公司端路由器RA进行CHAP验证 即ISP端为主验证方 公司端为被验证方 26 CHAP验证时主要配置过程包括 双方接口封装PPP协议并配置IP地址主验证方建立本地用户数据库主验证方接口配置要求进行CHAP认证被验证方建立本地用户数据库 27 公司路由器RA配置如下 Ruijie config hostnameRARA config interfaces2 0RA config if Serial2 0 ipaddress10 1 1 1255 255 255 0RA config if Serial2 0 encapsulationppp 接口封装PPP协议RA config if Serial2 0 exitRA config usernameRBpassword123456 创建本地用户RB和密码123456RA config ISP路由器RB配置如下 Ruijie config hostnameRBRB config interfaces2 0RB config if Serial2 0 ipaddress10 1 1 2255 255 255 0RB config if Serial2 0 encapsulationppp 接口封装PPP协议RB config if Serial2 0 pppauthenticationchap 设置验证模式为CHAPRB config if Serial2 0 exitRB config usernameRApassword123456 创建本地用户RA码123456RB config 28 项目实训 用模拟器 PacketTracer 或真实设备搭建如下网络拓扑 并给进行相关的网络测试 29 30 基本要求 1 正确选择设备并使用线缆连接 2 正确给各路由器的相关接口配置IP地址 3 正确配置各PC机的IP地址 子网掩码和网关等参数 4 在路由器RA的S2 0口上创建OSPF路由进程 区域号为0 在S1 0口上创建RIPv2路由进程 并在OSPF和RIP之间进行双向