广域网技术.ppt

1、第11章 广域网技术,PPP和帧中继,11.1 PPP分层体系结构,PPP是SLIP（Serial Line Interface protocol）的继承者。 PPP协议提供了同步和异步电路上的路由器到路由器、主机到网络的连接。 PPP是目前使用得最为广泛的广域网协议，这是因为它具有以下特征： 能够控制数据链路的建立； 能够对IP地址进行分配和管理； 支持多种网络协议的复用； 能够配置链路并对链路进行质量测试； 错误检测。,PPP的分层体系结构,PPP 的功能,在串行链路上采用高级数据链路控制（HDLC）作为在点对点的链路上封装数据报的基本方法。 链路控制协议（Link Control Pro

2、tocol，LCP）用于启动线路、测试、任选功能的协商及关闭连接。 网络控制协议（Network Control Protocol，NCP）用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议，如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。,PPP帧格式,IP 数据报,1,2,1,1,字节,1,2,不超过 1500 字节,PPP 帧,先发送,7E,FF,03,F,A,C,FCS,F,7E,协议,信 息 部 分,首部,尾部,11.2 建立PPP会话,PPP提供了建立、配置、维护和终止点到点连接的方法。PPP经过以下四个阶段在一条点到点的链路上通

3、信： 链路的建立和配置协商 链路质量检测 网络层协议的配置协商 链路终止,设备之间无链路,链路静止,链路建立,鉴别,网络层协议,链路打开,链路终止,物理链路,LCP 链路,已鉴别的 LCP 链路,已鉴别的 LCP 链路 和 NCP 链路,物理层连接建立,LCP 配置协商,鉴别成功或无需鉴别,NCP 配置协商,链路故障或 关闭请求,LCP 链路 终止,鉴别失败,LCP 配置 协商失败,11.3 PPP身份验证协议,身份验证为PPP的可选项。 身份验证协议有两种：口令验证协议（PAP） ）挑战握手协议（CHAP） 。一般来讲CHAP是首选的验证协议。 身份验证需要呼叫的发起方输入验证信息。,11.

4、3.1 PAP,在PPP链路建立完毕后，源端节点将不停地在链路上反复发送用户名和密码，直到验证通过，否则连接被终止。在PAP的验证中，密码在链路上是以明文传输的，而且由于远端节点控制验证重试频率和次数，因此不能防范再发生攻击和重复的尝试攻击。,Client,Server,Hostname: cisco Password: 123,Username：cisco password 123,两次握手协议 明文方式进行验证,用户名+密码,验证成功,验证失败,配置单向验证路由器B在路由器A上取得验证,1、在路由器A串口采用PPP封装，用“encapsulaton”命令: RouterA（config-i

5、f）# encapsulation ppp 2、在路由器A上，配置PAP验证，使用“ppp authentication pap”命令: RouterA（config-if）# ppp authentication pap 3、在路由器A上为路由器B设置用户名和密码， 使用“username 用户名 password 密码”命令: RouterA(config)# username RouterB password 123456 4、在路由器B串口采用PPP封装，用“encapsulaton”命令: RouterB（config-if）# encapsulation ppp 5、在路由器B上，

6、配置以什么用户名和密码在路由器A上登陆， 使用“ppp pap sent-username 用户名 password 密码”命令 : RouterB(config -if)# ppp pap sent-username RouterB password 123456,11.3.2 CHAP,CHAP验证过程在链路建立之后完成，而且在以后的任何时候都可以再次进行。CHAP周期性验证的特性使得链路更为安全，并且CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。 链路建立完毕之后，本地路由器发送一个“质询”消息到远程节点。远程节点使用一个数值来回应挑战，这个数值是有单向哈希基于密码和挑

7、战消息计算得出的。本地路由器依靠它自己计算得出的期望值来检测回应。如果匹配，则验证被通过，否则，连接立即被终止。 CHAP通过使用唯一的、不可预知的、可变的挑战消息来防止回放攻击。,Client,Server,Hostname: RA Password: 123,Hostname: RB Password: 123,RB+挑战报文,RA+加密后的密码,验证成功,验证失败,RB,RA,CHAP验证特点： CHAP为三次握手协议 只在网络上传输用户名，而并不传输口令 安全性要比PAP高，但认证报文耗费带宽,CHAP的验证的配置,（1） 中心路由器A上为远程路由器B设置用户名和密码，使用“usern

8、ame 用户名 password 密码”命令，用户名为远程路由器的名称。 RouterA(congfig) # username RouterB password 111111 （2） 中心路由器A上的串口采用PPP封装，配置CHAP验证。 RouterA(congfig-if) # encapsulation ppp RouterA(congfig-if) # ppp authentication chap （3） 在远程路由器B上的串口采用PPP封装，用“encapsulation”命令 RouterB(congfig-if) # encapsulation ppp （4） 在远程路由器B

9、上为中心路由器设置用户名和密码。 RouterB(congfig) # username RouterA password 111111 注意：以上的步骤同样只是配置了单向验证（路由器B在路由器A上取得验证）。要采用双向验证，还要增加一个步骤。 （5） 在远程路由器B上的串口配置CHAP验证，使用“ppp authentication chap”命令 RouterB(congfig-if) # ppp authentication chap,11.3.3 验证PPP,使用命令“debug ppp authentication”验证PPP会话： RouterA#debug ppp authent

10、ication 注意事项：debug 命令的使用时间 使用命令“undebug all”关闭PPP调试。,11.4 帧中继概述,是由国际电信联盟通信标准化组和美国国家标准化协会制定的一种标准。 它定义在公共数据网络PDN上发送数据的过程。 它是一种面向连接的数据链路技术，为提供高性能和高效率数据传输进行了技术简化，它靠高层协议进行差错校正，并充分利用了当今光纤和数字网络技术。 它使用HDLC封装，在互连设备之间管理虚电路VC。其使用VC，采用面向连接的方式来建立连接。,提供帧中继接口的网络可以是电信运营商提供的公共通信网络，也可以是企业的专用网络。 帧使用DLCI进行标识，它工作在第二层；帧中

11、继的优点在于它的低开销。 典型速率56K-2M/s内。主要承载IP和IPX协议。 思考： 五个点要求能两两互连，如何连接？ 每个点需要多少串口？,Star (Hub and Spoke),Full Mesh,Partial Mesh,选择 Frame Relay 拓扑结构,全网结构：提供最大限度的相互容错能力；物理连接费用最为昂贵。 部分网格结构：对重要结点采取多链路互连方式，有一定的互备份能力。 星型结构：最常用的帧中继拓扑结构，由中心节点来提供主要服务与应用，工程费最省。,Frame Relay 与OSI,OSI 参考模型,Frame Relay,Physical,Presentation

12、,Session,Transport,Network,Data Link,Application,EIA/TIA-232, EIA/TIA-449, V.35, X.21, EIA/TIA-530,Frame Relay,IP/IPX/AppleTalk, etc.,Frame Relay 术语,LocalAccessLoop=T1,Local AccessLoop=64 kbps,Local AccessLoop=64 kbps,DLCI: 400,PVC,DLCI: 500,LMI100=Active400=Active,DLCI: 200,DLCI: 100,PVC,虚电路（VC）：通过

13、为每一对DTE设备分配一个连接标识符，实现多个逻辑数据会话在同一条物理链路上进行多路复用。 数字连接识别号（DLCI）：用以识别在DTE和FR之间的逻辑虚拟电路。DLCI仅具有本地意义，VC的每一端的DLCI值额能不同。最多支持1024VC，用户可以使用161007。 本地管理接口（LMI）：是在DTE设备和FR之间的一种信令标准，它负责管理链路连接和保持设备间的状态。,本地访问速率LAR：连接到帧中继云（本地环路）的时钟速率（端口速率）。该速率是数据流入网络或流出网络的速率。 承诺信息速率CIR：是服务商承诺要提供的有保证的速率，以bps为单位。 承诺突发Bc：在承诺速率的测量间隔内，交换机

14、准许接受和发送的最大数据量。 超量突发Be：在承诺信息速率外，帧中继交换机试图发送的未承诺的最大额外数据量。,前向显示拥塞通知FECN：当一台FR发现网络上发生拥塞时，向目的设备发送FECN分组，告知网络发生拥塞。 后向显示拥塞通知BECN：当一台FR发现网络上发生拥塞时，向源路由器发送FECN分组，告知网络发生拥塞，并会按照25%的比例降低分组的而发送速率。 允许丢失DE：当路由器检测到拥塞时，FR交换机将首先丢弃那些DE位置为1的分组。,Frame Relay 地址映射,从提供商那里得到本地的DLCI号 建立目的地址和本地DLCI之间的映射关系 frame-relay map ip 10.0.1.1 80或者使用动态地址映射,10.0.1.2/24 DLCI:80,Inverse ARP orFrame Relay map,IP(10.0.1.1),FrameRelay,DLCI (80),10.0.1.1/24 DLCI:60,S1/1,S1/0,R2,R1,Frame Relay调试命令,显示经过路由器的所有PVC的状态 Show frame pvc 查看当前映射项和DLCI映射表的相关信息。 Show frame map 显示帧中继交换路由 Show frame-r