刘京中-详解-PPP协议PPT课件.ppt

12 1任务描述 第12章 广域网PPP协议封装 某公司下属多个分公司 并且总公司与分公司分别设在不同的城市 总公司与分公司之间的网络通过路由器相连 保持网络连通 现要在路由器上做适当配置 实现公司内部主机相互通信 1 12 2相关知识 第12章 广域网PPP协议封装 12 2 1广域网简介 12 2 2点对点连接 PPP 2 12 2 1广域网简介 1 WAN的概念 WAN是一种超越LAN地理范围的数据通信网络 如图12 1所示 WAN与LAN的不同之处在于 LAN连接一栋大楼内或其它较小地理区域内的计算机 外围设备和其它设备 WAN则允许跨越更远的地理距离传输数据 此外 企业必须向WAN服务提供商订购服务才可使用WAN电信网络服务 而LAN通常归使用LAN的公司或组织所有 3 12 2 1广域网简介 1 WAN的概念 4 12 2 1广域网简介 1 WAN的概念 WAN有三大特性 分别是 1 WAN中连接设备跨越的地理区域通常比LAN的作用区域更广 2 WAN使用运营商 例如电话公司 电缆公司 卫星系统和网络提供商 提供的服务 3 WAN使用各种类型的串行连接提供对大范围地理区域带宽的访问功能 5 12 2 1广域网简介 2 应用WAN的场所 分区或分支机构的员工需要与总部通信并共享数据 公司经常需要与其它公司远距离共享信息 例如 软件生产商通常需要与将其产品销售给最终用户的经销商交流产品和促销信息 经常出差的员工需要访问公司网络信息 6 12 2 1广域网简介 3 WAN设备 7 12 2 1广域网简介 4 WAN物理层标准 WAN物理层协议描述连接WAN服务所需的电气 机械 操作和功能特性 WAN物理层还描述DTE和DCE之间的接口 DTE DCE接口使用不同的物理层协议 包括EIA TIA 232 EIA TIA 449 530 EIA TIA 612 612 V 35 X 21等 8 12 2 1广域网简介 5 数据链路层协议 WAN要求数据链路层协议建立穿越整个通信线路 从发送设备到接收设备 的链路 数据链路层协议定义如何封装传向远程站点的数据以及最终数据帧的传输机制 采用的技术有很多种 如ISDN 帧中继或ATM 最常用的WAN数据链路协议有HDLC PPP 帧中继和ATM等 9 12 2 1广域网简介 6 WAN封装 从网络层发来的数据会先传到数据链路层 然后通过物理链路传输 这种传输在WAN连接上通常是点对点进行的 数据链路层会根据网络层数据构造数据帧 以便可以对数据进行必要的校验和控制 所有WAN连接都使用第2层协议对在WAN链路上传输的数据包进行封装 为确保使用正确的封装协议 必须为每个路由器的串行接口配置所用的第2层封装类型 封装协议的选择取决于WAN技术和设备 常用的帧的封装格式有HDLC 高级数据链路控制 PPP 点对点 帧中继 ISDN等 不同的帧封装适合应用在不同的场合 10 12 2 1广域网简介 7 WAN连接方式 11 12 2 1广域网简介 8 专用连接链路方式 点对点线路通常向运营商租用 因此叫做租用线路 租用线路有不同的容量 其价格通常取决于所需的带宽及两个连接点之间的距离 租用线路类型及容量如下 56kbps 64kbps T1 1 544Mbps 美国标准 E1 2 048Mbps 欧洲标准 E3 34 064Mbps 欧洲标准 T3 44 736Mbps 美国标准 SONET 一系列高速的物理层技术 12 12 2 1广域网简介 9 电路交换连接方式电路交换网络在发送方和接收方之间建立专用连接用于传输语音或数据 要进行通信 必须通过服务提供商网络建立连接 通常有模拟拨号 综合业务数字网等 10 分组交换连接在包交换式网络中 提供商通过配置自己的交换设备产生虚拟电路 VC VirtualCircuit 来提供端到端连接 帧中继 SMDS和X 25都属于包交换式的广域网技术 11 Internet连接方式宽带连接方案通常用于通过Internet将远程工作人员连接到公司站点 这些方案包括电缆 DSL和无线 13 11 2 2点对点连接 PPP 点对点协议 PPP 提供同时处理TCP IP IPX和AppleTalk的多协议LAN到WAN连接 可用于双绞线 光纤线路和卫星传输链路上 PPP可在ATM 帧中继 ISDN和光纤链路上传输 在现代网络中 安全性是关键的考虑因素 PPP允许您使用口令验证协议 PAP 或更有效的挑战握手验证协议 CHAP 14 11 2 2点对点连接 PPP 利用串行连接 信息通过一条导线发送时 每次发送一个位 大多数PC上的9针串行连接器使用两个环路进行数据通信 每个方向一个环路 其它导线则用于控制信息的流动 在任意指定的方向上 数据都只在一根导线上流动 1 串行通信 15 11 2 2点对点连接 PPP 串行通信标准 RS 232 V 35 HSSI 1 串行通信 16 11 2 2点对点连接 PPP 3 数据终端设备和数据通信设备 数据终端设备 DTE 是指用于用户 网络接口的用户端的设备 它充当信源 目的地或两者 DTE通过数据通信设备 DCE 连接到网络 DCE提供了到网络的物理连接 提供时钟信号用于同步DCE和DTE之间的数据传输 把转发数据流 17 11 2 2点对点连接 PPP 3 数据终端设备和数据通信设备 1 DTE DCE从WAN连接的角度来看 串行连接的一端连接的是DTE设备 另一端连接的是DCE设备 两个DCE设备之间的连接是WAN服务提供商传输网络 在这种情况下 CPE通常是路由器 也就是DTE 如果DTE直接连接到服务提供商网络 那么DTE也可以是终端 计算机 打印机或传真机 DCE通常是调制解调器或CSU DSU DCE设备用于将来自DTE的用户数据转换为WAN服务提供商传输链路所能接受的格式 此信号由远程DCE接收 远程DCE将信号解码为位序列 然后 远程DCE将该序列传送到远程DTE 18 11 2 2点对点连接 PPP 3 数据终端设备和数据通信设备 2 电缆标准两种不同类型的电缆 一种用于将DTE连接到DCE 另一种用于直接互连两个DTE 串行通信标准 EIA TIA 232 EIA TIA 449 V 35 X 21 EIA TIA 530 智能串行电缆 19 11 2 2点对点连接 PPP 3 数据终端设备和数据通信设备 2 电缆标准两种不同类型的电缆 一种用于将DTE连接到DCE 另一种用于直接互连两个DTE 20 11 2 2点对点连接 PPP 3 数据终端设备和数据通信设备 21 11 2 2点对点连接 PPP 4 HDLC封装 第2层WAN封装协议 HDLC PPP 串行线路Internet协议 SLIP X 25 平衡式链路接入协议 LAPB 帧中继 ATM 22 11 2 2点对点连接 PPP 4 HDLC封装 HDLC采用同步串行传输 可以在两点之间提供无错通信 HDLC定义的第2层帧结构采用确认机制进行流量控制和错误控制 每个帧的格式都相同 无论是数据帧还是控制帧 HDLC是根据20世纪70年代提出的同步数据链路控制 SDLC 标准开发的 HDLC同时提供面向连接的服务和无连接服务 23 11 2 2点对点连接 PPP 4 HDLC封装 3 配置HLDC封装CiscoHDLC是Cisco设备在同步串行线路上使用的默认封装方法 在连接两个Cisco设备的租用线路上 可以使用CiscoHDLC作为其点对点协议 如果连接的不是Cisco设备 则应使用同步PPP 如果已更改默认封装方法 则可以在特权模式下使用encapsulationhdlc命令重新启用HDLC 24 11 2 2点对点连接 PPP 4 HDLC封装 步骤1 进入串行接口的接口配置模式 Router config interfaceserial0 0 0步骤2 输入encapsulationhdlc命令指定接口的封装协议 Router config if encapsulationhdlc步骤3 查看串行接口的封装配置routera showinterfacesserial0 0 0Serial0 0 0isup lineprotocolisup connected EncapsulationHDLC loopbacknotset keepaliveset 10sec 0 x81084AC0 25 11 2 2点对点连接 PPP 4 HDLC封装 routera showcontrollersserial0 0 0InterfaceSerial0 0 0HardwareisPowerQUICCMPC860DCEV 35 clockrate64000idbat0 x81081AC4 driverdatastructureat0 x81084AC0 26 11 2 2点对点连接 PPP 5 PPP协议 HDLC是连接两台Cisco路由器的默认串行封装方法 Cisco版本的HDLC是专有版本 它增加了一个协议类型字段 因此 CiscoHDLC只能用于连接其它Cisco设备 但是 在需要连接非Cisco路由器时 应该使用PPP封装 1 PPP简介PPP封装能够与最常用的支持硬件兼容 PPP对数据帧进行封装以便在第2层物理链路上传输 PPP使用串行电缆 电话线 中继 trunk 线 手机 专用无线链路或光缆链路建立直接连接 27 11 2 2点对点连接 PPP 2 PPP主要组件 PPP包含三个主要组件 用于在点对点链路上封装数据报的HDLC协议 用于建立 配置和测试数据链路连接的可扩展链路控制协议 LCP 用于建立和配置各种网络层协议的一系列网络控制协议 NCP PPP允许同时使用多个网络层协议 较常见的NCP有Internet协议控制协议 Appletalk控制协议 NovellIPX控制协议 Cisco系统控制协议 SNA控制协议和压缩控制协议 5 PPP协议 28 11 2 2点对点连接 PPP 5 PPP协议 29 11 2 2点对点连接 PPP 4 建立PPP会话 PPP会话阶段 链路建立和配置协商 链路质量确认 可选 网络层协议配置协商 5 PPP协议 30 11 2 2点对点连接 PPP 5 PPP配置选项对PPP进行配置 使之支持各种功能 包括 使用PAP或CHAP验证身份 使用Stacker或Predictor进行压缩 合并两个或多个通道以增加WAN带宽的多链路 5 PPP协议 31 11 2 2点对点连接 PPP 6 PPP配置命令 封装PPP协议 Router config if encapsulationppp要使用PPP封装 必须给路由器配置IP路由选择协议 设置压缩算法 Router config if compress predictor stac MPPC Cisco路由器支持stacker predictor和MPPC压缩 链路质量监视 Router config if pppqualitypercentage 5 PPP协议 32 11 2 2点对点连接 PPP 6 PPP身份验证协议 PPP身份验证协议 密码验证协议 PasswordAuthenticationProtocol PAP 询问握手验证协议 ChallengeHandshakeAuthenticationProtocol CHAP 33 11 2 2点对点连接 PPP 1 密码验证协议 如图12 8所示 密码验证协议利用双向握手信号的简单方法建立远端节点的验证 在PPP链路建立阶段完成后 远端节点会通过链路反复传送用户名和密码到路由器直到验证完成确认 否则连接被终止 34 11 2 2点对点连接 PPP 1 密码验证协议 PAP并不是一个功能很强大的验证协议 并且验证过程不是很安全 密码在链路上是以明文传输的 如果在线路上设置一个协议分析仪就能看到用户口令 并且此验证协议不能提供回放 Playback 模仿 通过连接到线路上的捕获数据包一起就可以捕获带有用户名和密码的数据包 然后就可以通过回放这个被捕获的用户名和密码登录到网络上 或重复尝试型攻击的保护 远端节点能控制验证重试的频率和时间 如果对安全接入控制有较高的要求 就应该采用CHAP验证方式 只有当PAP是远程节点唯一支持的验证方式时 才使用PAP 35 11 2 2点对点连接 PPP 2 询问握手验证协议 36 11 2 2点对点连接 PPP 2 询问握手验证协议 CHAP通过三次握手验证对等体的身份 是一种比PAP更强大的身份验证方法 CHAP验证过程如图12 9所示 在PPP链路建立阶段完成后 本地路由器向远程接点发送一个 挑战 信息 远端节点用密码和单向散列函数 典型为MD5 对挑战信息进行计算 会产生一个回应的计算结果值返回给本地路由器 本地路由器将该结果与根据它本身按同样方法计算出来的结果值进行比较来检验回应 如果两个值相互匹配则验证通过 否则连接中断 37 11 2 2点对点连接 PPP 7 配置PPP身份验证 1 启用PPP封装 将其作为接口的第2层协议 router configterminalEnterconfigurationcommands oneperline EndwithCNTL Z router config interfaceserial0 0 0router config if encapsulationppp 2 配置路由器的主机名以标识路由器 要指定主机名 可在全局配置模式下使用命令hostnamename 该名称必须与与链路另一端的对等路由器上配置的某个用户名相同 38 11 2 2点对点连接 PPP 7 配置PPP身份验证 3 配置用户名和密码以便验证PPP对等体的身份 在每台路由器使用全局配置命令usernamenamepassword 0 7 password定义远程路由器的用户名和密码 其中 Name 是远程路由器的主机名 区分大小写 Password 在Cisco路由器上 连接双方的密码必须相同 4 使用接口配置命令使用身份验证方法要在接口上指定使用身份验证方法 chap和pap 的顺序 可使用接口配置命令 routera config if pppauthentication pap chap papchap chappap 5 排除PPP身份验证配置故障在特权模式下使用debugpppauthentication命令 39 12 3方案设计 针对客户提出的要求 公司网络工程师计划通过广域网端口s0 0连接总公司与公司间网络 我们将分公司两台路由器通过serial接口与总公司的路由器的Serial接口相连接 分别对路由器的端口分配IP地址 并配置PPP协议和静态路由协议 这样 对总公司与公司网内的主机设置IP地址及网关后就可以相互通信了 40 12 4任务实施 12 4 1项目任务 为了实现本项目 搭建如图12 10所示的网络实训环境 完成如下的配置任务 1 配置PPP封装 2 配置CHAP验证 3 配置CHAP验证 41 12 4任务实施 12 4 1项目任务 42 12 4任务实施 12 4 2设备清单 为了构建如图12 10所示的网络实训环境 需要如下网络设备 1 Cisco2811路由器 3台 2 CiscoCatalyst2960交换机 3台 3 PC机3台 4 双绞线 若干根 43 12 4任务实施 步骤1 规划设计 1 规划各路由器名称 各接口IP地址 子网掩码如表12 1所示 12 4 3实施过程 44 12 4任务实施 2 规划各计算机的IP地址 子网掩码和网关如表12 2所示 12 4 3实施过程 45 12 4任务实施 步骤2 实训环境准备 1 硬件连接 在路由器 交换机和计算机断电的状态下 按照图12 10连接硬件 2 给各设备供电步骤3 按照表12 2所列设置各计算机的IP地址 子网掩码 默认网关 步骤4 清除各路由器配置 略 步骤5 测试网络连通性使用ping命令分别测试PC11 PC21 PC31这3台计算机之间的连通性 步骤6 按照项目3配置路由器A B C 略 配置完成后 PC11 PC21 PC31这6台计算机之间应该是互通的 12 4 3实施过程 46 12 4任务实施 步骤7 查看路由器的串行接口的状态routera showipinterfacebriefroutera showinterfacesserial0 0 0routerb showinterfacesserial0 0 0routerc showinterfacesserial0 0 0步骤8 封装不带认证的PPP协议 1 配置PPP封装routera config interfaceserial0 0 0routera config if encapsulationppproutera config if exitroutera config interfaceserial0 0 1routera config if encapsulationppprouterb config interfaceserial0 0 0routerb config if encapsulationppprouterc config interfaceserial0 0 0routerc config if encapsulationppp 12 4 3实施过程 47 12 4任务实施 2 查看各串行接口的封装routera showinterfacess0 0 0routerb showinterfacess0 0 0routerc showinterfacess0 0 0 3 使用ping命令分别测试PC11 PC21 PC31这3台计算机之间的连通性 12 4 3实施过程 48 12 4任务实施 步骤9 封装带PAP认证的PPP协议 1 配置PPP封装routera config interfaceserial0 0 0routera config if encapsulationppproutera config if pppauthenticationpaproutera config if ppppapsent usernamerouterapasswordrouterroutera config if noshutdownroutera config if interfaceserial0 0 1routera config if encapsulationppproutera config if pppauthenticationpaproutera config if ppppapsent usernamerouterapasswordrouterroutera config if noshutdownroutera config if exitroutera config usernamerouterbpasswordrouterroutera config usernameroutercpasswordrouterroutera config 12 4 3实施过程 49 12 4任务实施 routerb config interfaceserial0 0 0routerb config if encapsulationppprouterb config if pppauthenticationpaprouterb config if ppppapsent usernamerouterbpasswordrouterrouterb config if noshutdownrouterb config if exitrouterb config usernamerouterapasswordrouterrouterb config 12 4 3实施过程 50 12 4任务实施 routerc config interfaceserial0 0 0routerc config if encapsulationppprouterc config if pppauthenticationpaprouterc config if ppppapsent usernameroutercpasswordrouterrouterc config if noshutdownrouterc config if exitrouterc config usernamerouterapasswordrouterrouterc config 2 使用ping命令分别测试PC11 PC21 PC31这3台计算机之间的连通性 12 4 3实施过程 51 12 4任务实施 步骤10 封装带CHAP认证的PPP协议 1 配置PPP封装routera config interfaceserial0 0 0routera config if encapsulationppproutera config if pppauthenticationchaproutera config if noshutdownroutera config if interfaceserial0 0 1routera config if encapsulationppproutera config if pppauthenticationchaproutera config if noshutdownroutera config if exitroutera config usernamerouterbpasswordrouterroutera config usernameroutercpasswordrouter 12 4 3实施