第7章 广域网接入技术

第7章广域网技术 课程内容 广域网概述点对点协议PPPPPP协议的验证 pap和chap 广域网介绍 广域网是一种跨地区的数据通讯网络 通常使用电信运营商提供的设备和线路作为信息传输平台 广域网技术主要体现在OSI参考模型的下三层 广域网的数据传输方式 点到点方式 分组交换方式 广域网中的常见数据链路层协议 常见的几种数据链路层协议 点到点协议 PPP 高级数据链路控制 HDLC 协议帧中继 FrameRelay 课程内容 广域网概述点对点协议PPPPPP协议的验证 pap和chap PPP协议简介 PPP协议是在SLIP SerialLineInternetProtocol串行线路网际协议 的基础上发展起来的 是一种面向字符的数据链路层协议 也是目前使用最广泛的广域网协议PPP协议提供点到点链路传输 PPP不仅适用于拨号用户 而且适用于租用的路由器线路采用NCP协议 如IPCP IPXCP 支持更多的网络层协议具有验证协议CHAP PAP 更好地保证了网络的安全性 PPP协议栈组成 PPP协议由两类协议组成 1 链路控制协议 LCP LineControlProtocol 用于建立 拆除和监控PPP数据链路 LCP主要完成如下参数的协商 MTU 最大传输单元 质量协议 验证协议等 2 网络控制协议 NCP NetworkControlProtocol 用于协商在数据链路上所传输的数据包的格式与类型 支持不同的网络层协议 如IP IPX等 PPP协议栈 物理介质 同步 异步 验证 其他选项LCP IPCPIPXCP其他NCP网络控制协议 IPIPX其他网络协议 物理层 数据链路层 PPP帧格式 地址字段A固定为0 xFF 表示链路上所有的节点都接收 控制字段C固定为0 x03 用于构成各种命令和响应 2个字节的协议字段 协议字段不同 后面的信息字段类型就不同 如 0 x0021 信息字段是IP数据包0 xC021 信息字段是链路控制数据LCP0 x8021 信息字段是网络控制数据NCP0 xC023 信息字段是安全性认证PAP0 xC223 信息字段是安全性认证CHAP PPP协商流程 PPP链路的建立是通过一系列的协商完成的 在建立 拆除和监控PPP链路的过程里 PPP链路经历以下几个阶段 PPP协商流程 1 链路死亡 Dead 链路一定开始并结束于这个阶段 当一个外部事件 例如载波侦听或网络管理员设定 指出物理层已经准备就绪时 PPP将进入链路建立阶段 2 链路建立阶段 Establish 两端通过交换LCP协议报文配置具体的链路参数 协商结束后 LCP状态变为UP 如果LCP协商表明需要进行验证 则进入Authenticate阶段 否则直接进入Network阶段 3 认证阶段 Authenticate 根据Establish阶段协商好的验证协议进行验证 目前可选的验证协议有PAP和CHAP 如果验证通过则进入Network阶段 开始网络协议协商 否则进入Terminate阶段 4 网络协议阶段 Network NCP在该阶段完成网络层参数的一些协商工作 每个网络层协议 如IP IPX 被适当的NCP 如IPCP IPXCP 配置成功后 该网络层协议就可以通过这条链路进行数据传输了 此链路一直保持通信 直至有明确的LCP或NCP帧关闭这条链路 5 链路终止阶段 Establish PPP可以在任意时间终止链路 引起链路终止的原因很多 载波丢失 认证失败 链路质量失败或者管理员关闭链路 PPP的配置 路由器上的配置RA config interfaceseriel1 2RA config if encapsulationppp注 路由器广域网默认封装方式为HDLCRa showinterfaceserial1 2serial1 2isUP lineprotocolisUPHardwareisPQ2SCCHDLCCONTROLLERserialInterfaceaddressis noipaddressMTU1500bytes BW2000KbitEncapsulationprotocolisHDLC loopbacknotset 课程内容 广域网概述点对点协议PPPPPP协议的验证 pap和chap PPP身份验证 PPP提供了两种可选的身份验证方法 口令验证协议 PasswordAuthenticationProtocol PAP 挑战握手协议 ChallengeHandshakeAuthenticationProtocol CHAP PPPPAP验证 被验证方 验证方 usernameruijiepassword123 用户名 密码 验证成功 验证失败 PAP验证特点 两次握手协议缺点是 明文方式进行验证 安全性不好优点是只在链路建立初期进行验证 可以节省链路带宽资源 RB RA usernameruijiepassword123 用户数据库 PAP验证的配置 被验证方RA config interfaceseril1 2RA config if encapsulationpppRA config if ppppapsent usernameruijiepassword123 PAP验证的配置 验证方RB config usernameruijiepassword123RB config interfaceseril1 2RB config if encapsulationpppRB config if pppauthenticationpap PPPCHAP验证 CHAP验证特点 CHAP为三次握手协议 验证分三步进行 验证过程由验证方发起 只在网络上传输用户名 而不传输口令 安全性要比PAP高CHAP验证对系统要求很高 因为需要多次进行身份质询 响应 会消耗较多的CPU资源 验证方A向被验证方B发送一些随机产生的报文 挑战报文 并同时将本端的主机名附带上一起发送给B B接收到对端发送的验证请求后 便根据此报文中A的主机名在本端的用户数据库中查找该用户的口令 如果找到 便利用接收到的随机报文 此用户的口令用MD5算法生成加密后的报文 随后将加密后的报文和自己的主机名送回 A接收到此回应后 利用对端的用户名在本端的用户数据库中查找本方保留的口令 用本方保留的口令和挑战报文用MD5算法进行计算 得到的结果与被验证方发来的回应比较 根据比较结果作出响应 ACKorNAK CHAP认证配置 被验证方RA config usernameRBpassword123RA config interfaceserial1 2RA config if encapsulationppp CHAP认证配置 验证方RB config usernameRApassword123RB config interfac