《计算机网络技术》-项目十一 广域网协议封装与验证

项目背景你是公司的网络管理员，两个分公司之间希望能够申请一条广域网专线进行连接。现有思科路由器设备，希望你了解该设备的广域网接口所支持的协议，以确定选择哪种广域网链路。公司为了满足不断增长的业务需求，申请了专线接入，你的客户端与ISP进行链路协商时要验证身份，配置路由器保证链路建立，并考虑其安全性。配置路由器接口网关地址

配置链路之间的安全验证

设置串行链路的时钟频率

配置动态路由协议

本章主要内容验证连通性

测试安全验证的有效性

【知识拓展】(1)DTE和DCEDTE是“DataTerminalEquipment(数据终端设备)”的首字母缩略词，指具有一定的数据处理能力和数据收发能力的设备，DTE提供或接收数据，如：连接到调制解调器上的计算机就是一种DTE。DCE是“DataCommunicationsEquipment（数据通讯设备）”的首字母缩略词,它在DTE和传输线路之间提供信号变换和编码功能，并负责建立、保持和释放链路的连接，如：Modem。DCE设备通常是与DTE对接，因此针脚的分配相反。知识准备DTE和DCE的区分实质上只是针对串行端口的，路由器通常通过串行端口连接广域网络。它们之间的区别是DCE一方提供时钟，DTE不提供时钟，但它依靠DCE提供的时钟工作，比如PC机和MODEM之间。数据传输通常是经过DTE-DCE,再经过DCE-DTE的路径。其实对于标准的串行端口，通常从外观就能判断是DTE还是DCE，DTE是针头（俗称公头），DCE是孔头（俗称母头），这样两种接口才能接在一起。做路由器的背靠背实验时两个路由器一个作为DCE，另一个作为DTE，做DCE的需要配置clockrate。ISDN或分时隙的用64000，只有普通拨号串口用56000。如果不能确定哪台路由器拥有这条线缆的DTE端，哪台路由器拥有DCE端，可以利用showinterfaceserial0来确定。也可以两台路由器都设定时钟，注意时钟速率要一致。知识准备(2)PPP认证：PAP和CHAP1）PAP——密码验证协议PAP（PasswordAuthenticationProtocol）利用2次握手的简单方法进行认证。在PPP链路建立完毕后，源节点不停地在链路上反复发送用户名和密码，直到验证通过。PAP的验证中，密码在链路上是以明文传输的，而且由于是源节点控制验证重试频率和次数，因此PAP不能防范再生攻击和重复的尝试攻击。知识准备

（2）端口聚合原理端口聚合（Aggregate-port）又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。端口聚合遵循IEEE802.3ad协议的标准。知识准备2）CHAP——询问握手验证协议CHAP(ChallengeHandshakeAuthenticationProtocol)利用3次握手周期地验证源端节点的身份。CHAP验证过程在链路建立之后进行，而且在以后的任何时候都可以再次进行，这使得链路更为安全。CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试，CHAP每次使用不同的询问消息，每个消息都是不可预测的唯一的值。CHAP不直接传送密码，只传送一个不可预测的询问消息，以及该询问消息与密码经过MD5加密运算后的加密值，所以CHAP可以防止再生攻击，CHAP的安全性比PAP要高。知识准备

拓扑结构

拓扑结构设备名称端口IP子网掩码网关R1S0/2/012.12.12.1255.255.255.0Fa0/010.1.1.1255.255.255.0R2S0/2/112.12.12.2255.255.255.0S0/2/023.23.23.2255.255.255.0R3S0/2/023.23.23.3255.255.255.0Fa0/0192.168.1.3255.255.255.0PC110.1.1.100255.255.255.010.1.1.1PC0192.168.1.100255.255.255.0192.168.1.1步骤1：配置两台PC的IP地址为192.168.1.100和10.1.1.100步骤2：配置路由器分别为R1、R2、R3。（以R1为例）配置路由器接口网关地址Router>enRouter#conftRouter(config)#hostnameR1步骤3：配置R1接口网关地址配置路由器接口网关地址R1(config)#intfa0/0R1(config-if)#ipadd10.1.1.1255.255.255.0R1(config-if)#nosh步骤4：配置R3接口网关地址配置路由器接口网关地址R3(config)#intfa0/0R3(config-if)#ipadd192.168.1.1255.255.255.0R3(config-if)#noshut步骤1：将R1路由s0/2/0接口定义为DCE端，配置IP地址设置串行链路的时钟频率R1(config)#ints0/2/0R1(config-if)#ipadd12.12.12.1255.255.255.0R1(config-if)#clockrate64000//设置时钟频率R1(config-if)#noshR1(config-if)#exit步骤2：将R2路由接口定义为DTE端，配置IP地址设置串行链路的时钟频率R2(config)#ints0/2/1R2(config-if)#ipadd12.12.12.2255.255.255.0R2(config-if)#noshR2(config-if)#exitR2(config)#ints0/2/0R2(config-if)#ipadd23.23.23.2255.255.255.0R2(config-if)#noshR2(config-if)#exit步骤3：将R3路由s0/2/0接口定义为DCE端，配置IP地址步骤3：将R3路由s0/2/0接口定义为DCE端，配置IP地址设置串行链路的时钟频率R3(config)#ints0/2/0R3(config-if)#ipadd23.23.23.3255.255.255.0R3(config-if)#clockrate64000R3(config-if)#noshR3(config-if)#exit步骤1：路由器R1配置RIP协议。配置动态路由协议R1(config)#routerrip//配置rip协议R1(config-router)#network10.1.1.0R1(config-router)#network12.12.12.0 R1(config-router)#exit步骤2：路由器R2配置RIP协议。配置动态路由协议R2(config)#routerripR2(config-router)#network12.12.12.0R2(config-router)#network23.23.23.0R2(config-router)#exit步骤3：路由器R3配置RIP协议。配置动态路由协议R3(config)#routerripR3(config-router)#network23.23.23.0R3(config-router)#network192.168.1.0R3(config-router)#exit步骤1：测试PC0和PC1的连通性（以PC1为例）验证连通性PC>ping192.168.1.100Pinging192.168.1.100with32bytesofdata:Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=110msTTL=125Pingstatisticsfor192.168.1.100:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=110ms,Maximum=125ms,Average=121ms步骤1：将R1路由器s0/2/0接口定义为CHAP验证并配置用户名及密码。配置链路之间的安全验证R1(config)#ints0/2/0R1(config-if)#encapsulationppp//配置封装R1(config-if)#pppauthenticationchap//chap授权R1(config-if)#exitR1(config)#usernameR2password321//设置用户名密码步骤2：将R2路由器s0/2/1接口定义为CHAP验证并配置用户名及密码。配置链路之间的安全验证R2(config)#ints0/2/1R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationchap

R2(config-if)#exitR2(config)#usernameR1password321步骤3：将R2路由器s0/2/0接口定义为PAP验证并配置用户名及密码。配置链路之间的安全验证R2(config)#ints0/2/0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpapR2(config-if)#exitR2(config)#usernameciscopassword123步骤4：将R3路由器s0/2/0接口定义为PAP验证并配置用户名及密码。配置链路之间的安全验证R3(config)#ints0/2/0R3(config-if)#encapsulationpppR3(config-if)#ppppapsent-usernameciscopassword123【注意事项】同一串行链路两端接口验证应保持一致。配置链路之间的安全验证步骤1：主机之间的连通。（以PC1为例）测试安全验证的有效性PC>ping192.168.1.100Pinging192.168.1.100with32bytesofdata:Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=125msTTL=125Replyfrom192.168.1.100:bytes=32time=125msTTL=125Pingstatisticsfor192.168.1.100:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=125ms,Maximum=125ms,Average=125ms步骤2：关闭路由器R2中接口s0/2/1之后。测试安全验证的有效性R2#debugpppauthenticationPPPauthenticationdebuggingisonR2#conftR2(config)#ints0/2/1R2(config-if)#shutdownR2(config-if)#noshR2(config-if)#Serial0/2/1IPCP:OCONFREQ[Closed]id1len10Serial0/2/1IPCP:ICONFACK[Closed]id1len10Serial0/2/1IPCP:OCONFREQ[Closed]id1len10Serial0/2/1IPCP:ICONFACK[REQsent]id1len10步骤3：关闭路由器R2中接口s0/2/0之后。测试安全验证的有效性R2#debugpppauthenticationPPPauthenticationdebuggingisonR2#conftR2(config)#ints0/2/0R2(config-if)#shutdownR2(config-if)#noshR2(config-if)#Serial0/2/0PAP:IAUTH-REQid17len15Serial0/2/0PAP:AuthenticatingpeerSerial0/2/0PAP:PhaseisFORWARDING,AttemptingForward%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/2/0,changedstatetoup1.广域网中的数据链路层协议广域网数据链路层是将数据传输到远程站点，定义了数据是如何进行封装的。广域网数据链路层协议描述了帧如何在系统之间单一数据路径上进行传输，数据帧是如何传送的，包括点对点，多点和多路访问交换服务所设计的协议。（1）点到点协议(PPP)PPP是一个面向连接但不可靠的面向字节的连接，使用无编号帧。PPP也可以工作在可靠的面向比特的模式。PPP包含用于标志网络层协议的字段。PPP是目前较为流行的数据链路层协议。（2）高级数据链路控制(HDLC)协议是IEEE的标准，既支持点对点配置又支持多点配置，它实现起来非常简洁，但安全、灵活性不如PPP协议。HDLC可能因不同厂商提供的产品而不兼容，因为它们实现的方法不同。（3）帧中继(FrameRelay)帧中继是一种面向连接的、没有内在的纠错机制的协议，使用高质量的数字设备，采用简化的成帧技术。仅当帧中继网络本身的误码率非常低时，帧中继技术才是可行的知识拓展2.PAP和CHAP认证PPP提供了两种可选的身份认证方法：口令验证协议(PasswordAuthenticationProtocol，PAP)和质询握手协议(ChallengeHandshakeAuthenticationProtocol，CHAP)。（1）PAPPAP是一个简单的、实用的身份验证协议，PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。PAP的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但恰恰是这样，认证只在链路建立初期进行，因此节省了宝贵的链路带宽。PAP认证可以在一方进行，即由一方认证另一方的身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。下面以单方认证为例分析PAP配置过程。知识拓展当双方都封装了PPP协议且要求进行PAP身份认证，同时它们之间的链路在物理层己激活后，认证服务器会不停地发送身份认证要求，直到身份认证成功。当认证客户端(被认证一端)路由器Router2发送了用户名或口令后，认证服务器会将收到的用户名和口令与本地数据库中的口令信息比对，如果正确则身份认证成功。PAP一方认证的配置共分为三个步骤：建立本地口令数据库，要求进行PAP认证，PAP认证客户端配置。

1）建立本地口令数据库通过全局模式下的命令usenameusernamepasswordpassword来为本地口令数据库添加记录，如下所示。

Router1(config)#usernameRouter2passwordpass22）要求进行PAP认证这需要在相应接口配置模式下使用命令PPPauthenticationpap来完成，如下所示。

Router1(config)#interfaceserial0Router1(config—if)#PPPauthenticationpap3）PAP认证客户端的配置只需要一条命令，即将用户名和口令发送到对端，如下所示。Router2(config—if)#PPPpapsent-usernameRouter1passwordpass1知识拓展

（2）CHAP