第7章廣域網(wǎng)技術(shù)編著：

秦?zé)?/p>

廣域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實(shí)現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標(biāo)準(zhǔn)包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗(yàn)證的、支持同步和異步方式的點(diǎn)對(duì)點(diǎn)協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨(dú)占一條異步/同步專用線路，有帶寬大、費(fèi)用高、部署簡(jiǎn)單、安全可靠等特點(diǎn)；電路交換方式：用戶可通過(guò)PSTN/ISDN按需建立連接、用完斷開(kāi)，有帶寬小、費(fèi)用低、延遲大等特點(diǎn)；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標(biāo)識(shí)的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費(fèi)用適中、延遲較大等特點(diǎn)；VPN方式：用戶先通過(guò)寬帶接入互聯(lián)網(wǎng)，再通過(guò)加密通道借助互聯(lián)網(wǎng)與對(duì)端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運(yùn)營(yíng)商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時(shí)鐘信號(hào)，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時(shí)鐘信號(hào)，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過(guò)數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運(yùn)營(yíng)商傳輸網(wǎng)絡(luò)。三、運(yùn)營(yíng)商負(fù)責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過(guò)PSTN或ISDN連接兩端。四、兩端的用戶路由器負(fù)責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級(jí)數(shù)據(jù)鏈路控制）、PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過(guò)寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級(jí)數(shù)據(jù)鏈路控制）協(xié)議是ISO開(kāi)發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來(lái)，無(wú)流量控制和認(rèn)證機(jī)制，采用同步串行傳輸，實(shí)現(xiàn)簡(jiǎn)單，效率高。華為、華三采用標(biāo)準(zhǔn)HDLC；思科對(duì)標(biāo)準(zhǔn)HDLC進(jìn)行了擴(kuò)展，增加了對(duì)多種網(wǎng)絡(luò)層協(xié)議的識(shí)別，與其他廠商采用的標(biāo)準(zhǔn)HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認(rèn)封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡(jiǎn)介

PPP（Point-to-pointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議）是一種全雙工的點(diǎn)到點(diǎn)的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來(lái)的，提供對(duì)多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗(yàn)證、多鏈路捆綁、回?fù)芎蛪嚎s等功能，能協(xié)商和遠(yuǎn)程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴(kuò)展。PPP能運(yùn)行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運(yùn)行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認(rèn)封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴(kuò)展協(xié)議族（PAP和CHAP驗(yàn)證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路；擴(kuò)展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來(lái)協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會(huì)話的三個(gè)階段

一個(gè)PPP會(huì)話包括三個(gè)階段：首先是鏈路建立階段，通過(guò)發(fā)送LCP報(bào)文檢測(cè)鏈路的可用性并建立鏈路；其次是可選的驗(yàn)證階段，根據(jù)PPP幀的驗(yàn)證選項(xiàng)決定是否進(jìn)行PAP或CHAP驗(yàn)證；最后是網(wǎng)絡(luò)協(xié)商階段，通過(guò)NCP報(bào)文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗(yàn)證

1.驗(yàn)證階段的PAP驗(yàn)證是兩次握手驗(yàn)證。首先被驗(yàn)證方以明文發(fā)送用戶名和密碼給主驗(yàn)證方；隨后主驗(yàn)證方進(jìn)行核驗(yàn)，若驗(yàn)證通過(guò)則回復(fù)ACK進(jìn)入下一階段，若驗(yàn)證不通過(guò)則回復(fù)NAK表示驗(yàn)證失敗。驗(yàn)證失敗后不會(huì)馬上將鏈路關(guān)閉，而是等驗(yàn)證失敗次數(shù)達(dá)到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗(yàn)證可以單向進(jìn)行，也可雙向進(jìn)行。

2.驗(yàn)證階段的CHAP驗(yàn)證是三次握手驗(yàn)證。首先，主驗(yàn)證方將一個(gè)隨機(jī)數(shù)和本端用戶名發(fā)送給被驗(yàn)證方，這是第一次握手，稱為Challenge；其次，如果被驗(yàn)證方接口配置了默認(rèn)CHAP密碼，就選用這個(gè)密碼，否則根據(jù)主驗(yàn)證方的用戶名查找對(duì)應(yīng)的密碼，然后利用MD5算法對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗(yàn)證方，這是第二次握手，稱為Response；最后，主驗(yàn)證方根據(jù)被驗(yàn)證方的用戶名查找到對(duì)應(yīng)的密碼，對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗(yàn)證方發(fā)來(lái)的指紋進(jìn)行對(duì)比，若相同則發(fā)送Acknowledge表示驗(yàn)證通過(guò)，否則發(fā)送NotAcknowledge表示驗(yàn)證不通過(guò)，這是第三次握手。CHAP驗(yàn)證可以單向進(jìn)行也可以雙向進(jìn)行。

3.由于PAP驗(yàn)證會(huì)將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗(yàn)證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無(wú)法從指紋反推出密碼。因此，CHAP驗(yàn)證的安全性比PAP驗(yàn)證的安全性高。7.3PPP協(xié)議的配置

在PacketTracer模擬器中拖出兩臺(tái)2911路由器，搭建如圖7-1所示的拓?fù)洌瓿伤伎圃O(shè)備的PPP配置。7.3.1思科設(shè)備的PPP配置圖7-1思科設(shè)備PPP配置的拓?fù)溥B線前，需要分別為兩臺(tái)路由器增加串口。以R1為例，如圖7-2所示，打開(kāi)R1的Physical配置屬性，在圖中1號(hào)位點(diǎn)擊電源開(kāi)關(guān)關(guān)閉電源，將圖中2號(hào)位的“HWIC-2T”拖動(dòng)到圖中3號(hào)位，此時(shí)，已經(jīng)為路由器R1增加s0/0/0和S0/0/1兩個(gè)串口，然后在圖中1號(hào)位點(diǎn)擊電源開(kāi)關(guān)打開(kāi)電源。

連線時(shí)，選中圖中4號(hào)位的DCE串口線（SerialDCE），首先連接R2的S0/0/0接口，再連接R1的S0/0/0接口，可以看到，R2的S0/0/0接口旁出現(xiàn)了時(shí)鐘圖案，表示R2端是DCE端，為對(duì)端提供時(shí)鐘信號(hào)，相對(duì)的，R1是DTE端，接受DCE端的時(shí)鐘頻率控制，控制鏈路的傳輸速度。圖7-2思科路由器R1的Physical屬性配置一、PPP配置1.路由器R1、R2的配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#encapsulationpppR2(config-if)#noshutdown2.路由器R1、R2的配置結(jié)果查看，命令如下：R1#showinterfacess0/0/0//在R1上查看配置結(jié)果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis192.168.1.1/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR2#showinterfacess0/0/0//在R2上查看配置結(jié)果Serial0/0/0isup,lineprotocolisup(connected)Internetaddressis192.168.1.2/24EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPR1#showcontrollerss0/0/0//在R1上查看DCE和DTE端InterfaceSerial0/0/0DTEV.35TXandRXclocksdetectedR2#showcontrollerss0/0/0//在R2上查看DCE和DTE端InterfaceSerial0/0/0DCEV.35,clockrate40000003.Ping測(cè)試可以看到鏈路兩端可以互通。二、PAP驗(yàn)證

如圖7-3所示，在PacketTracer6.2中拖出兩臺(tái)2811路由器，為兩臺(tái)2811路由器添加“HWIC-2T”串口模塊并連線。拓?fù)浯罱ê煤?，先配置R2作為主驗(yàn)證方、R1作為被驗(yàn)證方，觀察單向驗(yàn)證的效果。再配置R1作為主驗(yàn)證方、R2作為被驗(yàn)證方，從而實(shí)現(xiàn)雙向驗(yàn)證（PacketTracer8.0只支持雙向驗(yàn)證，不支持單向驗(yàn)證）。1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#encapsulationpppR2(config-if)#noshutdown圖7-3思科路由器R1的Physical屬性配置

2.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)PAP單向驗(yàn)證。命令如下：R1(config)#usernameR2password654321//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationpapR2(config)#interfaceserial0/0/0//R1的配置R2(config-if)#ppppapsent-usernameR2password654321

3.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)PAP雙向驗(yàn)證。命令如下：R2(config)#usernameR1password123456//R1的配置R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationpapR1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#ppppapsent-usernameR1password123456

4.采用PacketTracer6.2完成的實(shí)驗(yàn)，可以通過(guò)ping命令觀察到實(shí)驗(yàn)效果。若采用PacketTracer8.0，可在配置完成后，先將實(shí)驗(yàn)文件存盤(pán)、關(guān)閉，再重新打開(kāi)，通過(guò)ping測(cè)試觀察實(shí)驗(yàn)效果。

三、CHAP驗(yàn)證在PacketTracer6.2中搭建如圖7-3所示拓?fù)?，先配置R2為主驗(yàn)證方、R1為被驗(yàn)證方，實(shí)現(xiàn)單向驗(yàn)證。再配置R1為主驗(yàn)證方、R2為被驗(yàn)證方，實(shí)現(xiàn)雙向驗(yàn)證。

1.基本配置，命令如下：R1(config)#interfaceserial0/0/0//R1的配置R1(config-if)#encapsulationpppR1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#clockrate4000000R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#encapsulationpppR2(config-if)#noshutdown

2.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)CHAP單向驗(yàn)證，命令如下：R1(config)#usernameR2password123//R1的配置R1(config)#interfaceserial0/0/0R1(config-if)#pppauthenticationchapR2(config)#usernameR1password123//R2的配置

3.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)CHAP雙向驗(yàn)證，命令如下：R2(config)#usernameR1password123//R2的配置，之前已配過(guò)，此處可省略R2(config)#interfaceserial0/0/0R2(config-if)#pppauthenticationchapR1(config)#usernameR2password123//R1的配置，之前已配過(guò)，此處可省略

等待一段時(shí)間，雙向驗(yàn)證成功后，R1和R2都會(huì)出現(xiàn)提示：%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changedstatetoup

表示驗(yàn)證成功后串口S0/0/0的狀態(tài)變?yōu)閡p了。

4.通過(guò)ping命令可測(cè)試到全網(wǎng)互通。7.4PPPoE的配置

多臺(tái)用戶主機(jī)連接到同一臺(tái)遠(yuǎn)程接入設(shè)備進(jìn)行計(jì)費(fèi)上網(wǎng)時(shí)，往往需要接入設(shè)備具有訪問(wèn)控制和計(jì)費(fèi)等功能。PPP能提供良好的訪問(wèn)控制和計(jì)費(fèi)功能、以太網(wǎng)技術(shù)為多臺(tái)主機(jī)經(jīng)濟(jì)快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議）就是這樣一種能實(shí)現(xiàn)在以太網(wǎng)上傳輸PPP報(bào)文的技術(shù)。

在PacketTracer6.2中搭建如圖7-7所示拓?fù)?，完成思科設(shè)備PPPoE實(shí)驗(yàn)（PacketTracer8不支持PPPoE）。7.4.1思科設(shè)備配置PPPoE

圖7-7思科設(shè)備PPPoE配置的拓?fù)?/p>

1.在R1上完成VPND配置，命令如下：R1(config)#vpdnenable//開(kāi)啟VPDNR1(config)#vpdn-group1//創(chuàng)建和配置VPDN組R1(config-vpdn)#accept-dialin//允許客戶端撥號(hào)R1(config-vpdn-acc-in)#protocolpppoe//封裝PPPOE協(xié)議R1(config-vpdn-acc-in)#virtual-template1//與虛擬模板關(guān)聯(lián)、設(shè)置虛擬模板標(biāo)號(hào)可自定R1(config)#usernameuser1password1234//創(chuàng)建用戶及密碼R1(config)#iplocalpool1192.168.1.10192.168.1.11//設(shè)置地址池

2.配置模板接口，命令如下：R1(config)#interfacevirtual-Template1//配置之前定義的模板接口R1(config-if)#ipunnumberedg0/0//接口復(fù)用R1(config-if)#peerdefaultipaddresspool1//地址池名字R1(config-if)#pppauthenticationchap

3.配置連接PC端的接口R1(config)#interfacegigabitEthernet0/0R1(config-if)#pppoeenableR1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdown

4.如圖7-8所示，在PC0上用user1進(jìn)行撥號(hào)，顯示成功。

5.在PC0上用命令ipconfig查看地址分配情況，命令如下：PC>ipconfigPPPadapter:IPAddress......................:192.168.1.10SubnetMask.....................:255.255.255.255DefaultGateway.................:0.0.0.0

可以看到，PC0分配到了192.168.1.10的IP地址。

圖7-8PC0上用user1進(jìn)行撥號(hào)謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)鰪V域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實(shí)現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標(biāo)準(zhǔn)包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗(yàn)證的、支持同步和異步方式的點(diǎn)對(duì)點(diǎn)協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨(dú)占一條異步/同步專用線路，有帶寬大、費(fèi)用高、部署簡(jiǎn)單、安全可靠等特點(diǎn)；電路交換方式：用戶可通過(guò)PSTN/ISDN按需建立連接、用完斷開(kāi)，有帶寬小、費(fèi)用低、延遲大等特點(diǎn)；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標(biāo)識(shí)的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費(fèi)用適中、延遲較大等特點(diǎn)；VPN方式：用戶先通過(guò)寬帶接入互聯(lián)網(wǎng)，再通過(guò)加密通道借助互聯(lián)網(wǎng)與對(duì)端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運(yùn)營(yíng)商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時(shí)鐘信號(hào)，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時(shí)鐘信號(hào)，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過(guò)數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運(yùn)營(yíng)商傳輸網(wǎng)絡(luò)。三、運(yùn)營(yíng)商負(fù)責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過(guò)PSTN或ISDN連接兩端。四、兩端的用戶路由器負(fù)責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級(jí)數(shù)據(jù)鏈路控制）、PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過(guò)寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級(jí)數(shù)據(jù)鏈路控制）協(xié)議是ISO開(kāi)發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來(lái)，無(wú)流量控制和認(rèn)證機(jī)制，采用同步串行傳輸，實(shí)現(xiàn)簡(jiǎn)單，效率高。華為、華三采用標(biāo)準(zhǔn)HDLC；思科對(duì)標(biāo)準(zhǔn)HDLC進(jìn)行了擴(kuò)展，增加了對(duì)多種網(wǎng)絡(luò)層協(xié)議的識(shí)別，與其他廠商采用的標(biāo)準(zhǔn)HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認(rèn)封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡(jiǎn)介

PPP（Point-to-pointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議）是一種全雙工的點(diǎn)到點(diǎn)的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來(lái)的，提供對(duì)多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗(yàn)證、多鏈路捆綁、回?fù)芎蛪嚎s等功能，能協(xié)商和遠(yuǎn)程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴(kuò)展。PPP能運(yùn)行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運(yùn)行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認(rèn)封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴(kuò)展協(xié)議族（PAP和CHAP驗(yàn)證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路；擴(kuò)展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來(lái)協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會(huì)話的三個(gè)階段

一個(gè)PPP會(huì)話包括三個(gè)階段：首先是鏈路建立階段，通過(guò)發(fā)送LCP報(bào)文檢測(cè)鏈路的可用性并建立鏈路；其次是可選的驗(yàn)證階段，根據(jù)PPP幀的驗(yàn)證選項(xiàng)決定是否進(jìn)行PAP或CHAP驗(yàn)證；最后是網(wǎng)絡(luò)協(xié)商階段，通過(guò)NCP報(bào)文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗(yàn)證

1.驗(yàn)證階段的PAP驗(yàn)證是兩次握手驗(yàn)證。首先被驗(yàn)證方以明文發(fā)送用戶名和密碼給主驗(yàn)證方；隨后主驗(yàn)證方進(jìn)行核驗(yàn)，若驗(yàn)證通過(guò)則回復(fù)ACK進(jìn)入下一階段，若驗(yàn)證不通過(guò)則回復(fù)NAK表示驗(yàn)證失敗。驗(yàn)證失敗后不會(huì)馬上將鏈路關(guān)閉，而是等驗(yàn)證失敗次數(shù)達(dá)到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗(yàn)證可以單向進(jìn)行，也可雙向進(jìn)行。

2.驗(yàn)證階段的CHAP驗(yàn)證是三次握手驗(yàn)證。首先，主驗(yàn)證方將一個(gè)隨機(jī)數(shù)和本端用戶名發(fā)送給被驗(yàn)證方，這是第一次握手，稱為Challenge；其次，如果被驗(yàn)證方接口配置了默認(rèn)CHAP密碼，就選用這個(gè)密碼，否則根據(jù)主驗(yàn)證方的用戶名查找對(duì)應(yīng)的密碼，然后利用MD5算法對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗(yàn)證方，這是第二次握手，稱為Response；最后，主驗(yàn)證方根據(jù)被驗(yàn)證方的用戶名查找到對(duì)應(yīng)的密碼，對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗(yàn)證方發(fā)來(lái)的指紋進(jìn)行對(duì)比，若相同則發(fā)送Acknowledge表示驗(yàn)證通過(guò)，否則發(fā)送NotAcknowledge表示驗(yàn)證不通過(guò)，這是第三次握手。CHAP驗(yàn)證可以單向進(jìn)行也可以雙向進(jìn)行。

3.由于PAP驗(yàn)證會(huì)將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗(yàn)證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無(wú)法從指紋反推出密碼。因此，CHAP驗(yàn)證的安全性比PAP驗(yàn)證的安全性高。7.3.2華為設(shè)備的PPP配置

如圖7-4所示，在eNSP中拖出兩臺(tái)AR2220，為它們添加2SA模塊。

圖7-4華為路由器AR1的物理屬性配置如圖7-5所示，通過(guò)串口線將兩臺(tái)AR2220連接，完成華為設(shè)備的PPP配置。

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ipaddress192.168.1.124[R1-Serial1/0/0]link-protocolppp[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ipaddress192.168.1.224[R2-Serial1/0/0]link-protocolppp

圖7-5華為設(shè)備PPP配置的拓?fù)?/p>

2.配置結(jié)果測(cè)試，命令如下：[R1]ping192.168.1.2//R1pingR2測(cè)試互通情況PING192.168.1.2:56databytes,pressCTRL_CtobreakReplyfrom192.168.1.2:bytes=56Sequence=1ttl=255time=80ms//ping通了[R1]displayinterfaceSerial1/0/0//查看路由器R1的PPP封裝情況Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPInternetAddressis192.168.1.1/24//IP地址LinklayerprotocolisPPP//接口的數(shù)據(jù)鏈路層協(xié)議為PPPLCPopened,IPCPopened//LCP和NCP協(xié)商已經(jīng)成功。其中，NCP采用的是IPCP，PPP鏈路上可以傳遞IP報(bào)文了。

二、PAP驗(yàn)證

1.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)PAP單向驗(yàn)證，命令如下：[R1]aaa//R1的配置[R1-aaa]local-userR2passwordcipher654321[R1-aaa]local-userR2service-typeppp[R1-aaa]quit[R1]interfaceSerial1/0/0[R1-Serial1/0/0]pppauthentication-modepap[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ppppaplocal-userR2passwordcipher654321[R2-Serial1/0/0]quit

2.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)PAP雙向驗(yàn)證[R2]aaa//R2的配置[R2-aaa]local-userR1passwordcipher123456[R2-aaa]local-userR1service-typeppp[R2-aaa]quit[R2]interfaces1/0/0[R2-Serial1/0/0]pppauthentication-modepap[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ppppaplocal-userR1passwordcipher123456

3.先通過(guò)ping命令測(cè)試互通性，再在路由器R2上使用命令DebuggingPPPPAPall查看PAP認(rèn)證的詳細(xì)信息。

三、CHAP驗(yàn)證

在PAP認(rèn)證實(shí)驗(yàn)的基礎(chǔ)上，繼續(xù)完成CHAP認(rèn)證實(shí)驗(yàn)。先配置R2為主驗(yàn)證方、R1為被驗(yàn)證方；再配置R1為主驗(yàn)證方、R2為被驗(yàn)證方，實(shí)現(xiàn)雙向CHAP驗(yàn)證。

1.R1作為CHAP驗(yàn)證主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)單向CHAP驗(yàn)證，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undopppauthentication-mode

//取消R1作為PAP驗(yàn)證的主驗(yàn)證方[R1-Serial1/0/0]pppauthentication-modechap//配置R1作為CHAP驗(yàn)證的主驗(yàn)證方[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undoppppaplocal-user//取消R2作為PAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0/0]pppchapuserR2//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0/0]pppchappasswordcipher654321//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方

2.R2作為CHAP驗(yàn)證主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)雙向CHAP驗(yàn)證，命令如下：[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undopppauthentication-mode//取消R2作為PAP驗(yàn)證的主驗(yàn)證方[R2-Serial1/0/0]pppauthentication-modechap//配置R2作為CHAP驗(yàn)證的主驗(yàn)證方[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undoppppaplocal-user//取消R1作為PAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0/0]pppchapuserR1//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0/0]pppchappasswordcipher123456//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方

3.先使用ping命令測(cè)試連通性，再在路由器R2上使用“DebuggingPPPPAPall”命令查看PAP認(rèn)證的詳細(xì)信息。7.4PPPoE的配置

多臺(tái)用戶主機(jī)連接到同一臺(tái)遠(yuǎn)程接入設(shè)備進(jìn)行計(jì)費(fèi)上網(wǎng)時(shí)，往往需要接入設(shè)備具有訪問(wèn)控制和計(jì)費(fèi)等功能。PPP能提供良好的訪問(wèn)控制和計(jì)費(fèi)功能、以太網(wǎng)技術(shù)為多臺(tái)主機(jī)經(jīng)濟(jì)快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議）就是這樣一種能實(shí)現(xiàn)在以太網(wǎng)上傳輸PPP報(bào)文的技術(shù)。

如圖7-9所示，路由器R1是公司的出口路由器，路由器R2是ISP的PPPoE服務(wù)器，路由器R1和R2間通過(guò)以太網(wǎng)連接。路由器R1通過(guò)PPPoE撥號(hào)連接到路由器R2，并接入Internet。7.4.2華為設(shè)備配置PPPoE

圖7-9華為設(shè)備配置PPPoE的拓?fù)?/p>

一、PPPoE服務(wù)端R2的配置

1.在R2上配置Virtual-Template虛擬模板接口，命令如下：[R2]interfaceVirtual-Template1//創(chuàng)建VT接口，編號(hào)為1[R2-Virtual-Template1]pppauthentication-modechap//定義PPP采用CHAP方式認(rèn)證[R2-Virtual-Template1]remoteaddresspoolpool01//為PPPoE客戶端指定IP地址池[R2-Virtual-Template1]ipaddress100.0.0.25424//設(shè)置VT接口的IP

2.在R2上配置PPP的其他選項(xiàng)，命令如下：[R2]ippoolpool01//為客戶端創(chuàng)建IP地址池[R2-ip-pool-pool01]gateway-list100.0.0.254//為地址池指定網(wǎng)關(guān)[R2-ip-pool-pool01]network100.0.0.0mask24//為地址池指定分配的IP地址范圍[R2-ip-pool-pool01]dns-list114.114.114.114//為地址池指定DNS[R2-ip-pool-pool01]quit[R2]aaa//進(jìn)入AAA本地用戶數(shù)據(jù)庫(kù)[R2-aaa]local-useruser1passwordcipher123//創(chuàng)建用于PPP認(rèn)證的用戶[R2-aaa]local-useruser1service-typeppp//指定創(chuàng)建的用戶用于PPP認(rèn)證

3.將VT虛擬接口和PPPoE服務(wù)端以太口綁定，命令如下：[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1//將G0/0/0接口與VT1接口綁定

4.配置從PPPoEServer到PPPoEClient的靜態(tài)路由，實(shí)現(xiàn)網(wǎng)絡(luò)互通，命令如下：[R2]iproute-static192.168.1.024Virtual-Template1

二、PPPoE客戶端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress192.168.1.25424

2.DCC（撥號(hào)控制中心）虛擬撥號(hào)接口（dialer）的配置，命令如下：[R1]interfaceDialer1//創(chuàng)建DCC的dialer接口，編號(hào)為1[R1-Dialer1]link-protocolppp//封裝PPP[R1-Dialer1]pppchapuseruser1//配置PPP的chap認(rèn)證用戶名[R1-Dialer1]pppchappasswordsimple123//配置PPP的chap認(rèn)證密碼[R1-Dialer1]ipaddressppp-negotiate//設(shè)置PPPoE客戶端自動(dòng)獲取IP地址[R1-Dialer1]dialeruseruser1//指定dialer接口撥號(hào)使用的用戶名[R1-Dialer1]dialerbundle1//指定dialer接口的編號(hào)[R1-Dialer1]dialer-group1//將該接口置于撥號(hào)組1中

3.將DCC的dialer虛擬撥號(hào)接口和PPPoE客戶端以太網(wǎng)接口綁定，命令如下：[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]pppoe-clientdial-bundle-number1//將G0/0/0接口與dialer1接口綁定[R1-GigabitEthernet0/0/0]quit

4.配置撥號(hào)訪問(wèn)控制列表允許IPv4協(xié)議的數(shù)據(jù)報(bào)文，命令如下：[R1]dialer-rule//配置撥號(hào)訪問(wèn)控制列表[R1-dialer-rule]dialer-rule1ippermit//允許IPv4協(xié)議的數(shù)據(jù)報(bào)文

5.配置從PPPoEClient到PPPoEServer的默認(rèn)路由，命令如下：[R1]iproute-static0.0.0.00Dialer1

6.電腦PC1的配置：IP地址：192.168.1.10，子網(wǎng)掩碼：255.255.255.0，缺省網(wǎng)關(guān)：192.168.1.254

7.效果測(cè)試，命令如下：PC>ping100.0.0.254//在內(nèi)網(wǎng)主機(jī)PC1上ping服務(wù)端R2，可以互通。[R1]displaypppoe-clientsessionsummaryR1查看PPPoEclient會(huì)話的狀態(tài)和配置信息PPPoEClientSession:謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)?/p>

廣域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實(shí)現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標(biāo)準(zhǔn)包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗(yàn)證的、支持同步和異步方式的點(diǎn)對(duì)點(diǎn)協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨(dú)占一條異步/同步專用線路，有帶寬大、費(fèi)用高、部署簡(jiǎn)單、安全可靠等特點(diǎn)；電路交換方式：用戶可通過(guò)PSTN/ISDN按需建立連接、用完斷開(kāi)，有帶寬小、費(fèi)用低、延遲大等特點(diǎn)；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標(biāo)識(shí)的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費(fèi)用適中、延遲較大等特點(diǎn)；VPN方式：用戶先通過(guò)寬帶接入互聯(lián)網(wǎng)，再通過(guò)加密通道借助互聯(lián)網(wǎng)與對(duì)端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運(yùn)營(yíng)商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時(shí)鐘信號(hào)，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時(shí)鐘信號(hào)，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過(guò)數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運(yùn)營(yíng)商傳輸網(wǎng)絡(luò)。三、運(yùn)營(yíng)商負(fù)責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過(guò)PSTN或ISDN連接兩端。四、兩端的用戶路由器負(fù)責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級(jí)數(shù)據(jù)鏈路控制）、PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過(guò)寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級(jí)數(shù)據(jù)鏈路控制）協(xié)議是ISO開(kāi)發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來(lái)，無(wú)流量控制和認(rèn)證機(jī)制，采用同步串行傳輸，實(shí)現(xiàn)簡(jiǎn)單，效率高。華為、華三采用標(biāo)準(zhǔn)HDLC；思科對(duì)標(biāo)準(zhǔn)HDLC進(jìn)行了擴(kuò)展，增加了對(duì)多種網(wǎng)絡(luò)層協(xié)議的識(shí)別，與其他廠商采用的標(biāo)準(zhǔn)HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認(rèn)封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡(jiǎn)介

PPP（Point-to-pointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議）是一種全雙工的點(diǎn)到點(diǎn)的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來(lái)的，提供對(duì)多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗(yàn)證、多鏈路捆綁、回?fù)芎蛪嚎s等功能，能協(xié)商和遠(yuǎn)程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴(kuò)展。PPP能運(yùn)行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運(yùn)行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認(rèn)封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴(kuò)展協(xié)議族（PAP和CHAP驗(yàn)證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路；擴(kuò)展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來(lái)協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會(huì)話的三個(gè)階段

一個(gè)PPP會(huì)話包括三個(gè)階段：首先是鏈路建立階段，通過(guò)發(fā)送LCP報(bào)文檢測(cè)鏈路的可用性并建立鏈路；其次是可選的驗(yàn)證階段，根據(jù)PPP幀的驗(yàn)證選項(xiàng)決定是否進(jìn)行PAP或CHAP驗(yàn)證；最后是網(wǎng)絡(luò)協(xié)商階段，通過(guò)NCP報(bào)文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗(yàn)證

1.驗(yàn)證階段的PAP驗(yàn)證是兩次握手驗(yàn)證。首先被驗(yàn)證方以明文發(fā)送用戶名和密碼給主驗(yàn)證方；隨后主驗(yàn)證方進(jìn)行核驗(yàn)，若驗(yàn)證通過(guò)則回復(fù)ACK進(jìn)入下一階段，若驗(yàn)證不通過(guò)則回復(fù)NAK表示驗(yàn)證失敗。驗(yàn)證失敗后不會(huì)馬上將鏈路關(guān)閉，而是等驗(yàn)證失敗次數(shù)達(dá)到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗(yàn)證可以單向進(jìn)行，也可雙向進(jìn)行。

2.驗(yàn)證階段的CHAP驗(yàn)證是三次握手驗(yàn)證。首先，主驗(yàn)證方將一個(gè)隨機(jī)數(shù)和本端用戶名發(fā)送給被驗(yàn)證方，這是第一次握手，稱為Challenge；其次，如果被驗(yàn)證方接口配置了默認(rèn)CHAP密碼，就選用這個(gè)密碼，否則根據(jù)主驗(yàn)證方的用戶名查找對(duì)應(yīng)的密碼，然后利用MD5算法對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗(yàn)證方，這是第二次握手，稱為Response；最后，主驗(yàn)證方根據(jù)被驗(yàn)證方的用戶名查找到對(duì)應(yīng)的密碼，對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗(yàn)證方發(fā)來(lái)的指紋進(jìn)行對(duì)比，若相同則發(fā)送Acknowledge表示驗(yàn)證通過(guò)，否則發(fā)送NotAcknowledge表示驗(yàn)證不通過(guò)，這是第三次握手。CHAP驗(yàn)證可以單向進(jìn)行也可以雙向進(jìn)行。

3.由于PAP驗(yàn)證會(huì)將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗(yàn)證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無(wú)法從指紋反推出密碼。因此，CHAP驗(yàn)證的安全性比PAP驗(yàn)證的安全性高。7.3.3華三設(shè)備的PPP配置

如圖7-6所示，拖出兩臺(tái)MSR36-20，通過(guò)串口線互連，完成華三設(shè)備的PPP配置。

圖7-6華三設(shè)備PPP配置的拓?fù)?/p>

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ipaddress192.168.1.124[R1-Serial1/0]baudrate2048000[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]link-protocolppp[R2-Serial1/0]ipaddress192.168.1.224

2.配置結(jié)果測(cè)試，命令如下：[R2]ping192.168.1.1//在R2上使用ping命令測(cè)試互通情況，可以互通[R2]displayinterfaceSerial1/0//在R2上查看路由器的PPP封裝情況Serial1/0Internetaddress:192.168.1.2/24(Primary)//IP地址Linklayerprotocol:PPP//接口的數(shù)據(jù)鏈路層協(xié)議為PPPLCP:opened,IPCP:opened//LCP和NCP協(xié)商已經(jīng)成功。其中，NCP采用的是IPCP，PPP鏈路上可以傳遞IP報(bào)文了

二、PAP驗(yàn)證

1.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)單向驗(yàn)證，命令如下：[R1]local-userR2classnetwork//R1的配置[R1-luser-network-R2]service-typeppp[R1-luser-network-R2]passwordsimple654321[R1-luser-network-R2]quit[R1]interfaceSerial1/0[R1-Serial1/0]link-protocolppp[R1-Serial1/0]pppauthentication-modepap[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]ppppaplocal-userR2passwordsimple654321[R2-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認(rèn)證后需復(fù)位接口[R2-Serial1/0]undoshutdown

2.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)雙向驗(yàn)證，命令如下：[R2]local-userR1classnetwork//R2的配置[R2-luser-network-R1]service-typeppp[R2-luser-network-R1]passwordsimple123456[R2-luser-network-R1]quit[R2]interfaceSerial1/0[R2-Serial1/0]pppauthentication-modepap[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]ppppaplocal-userR1passwordsimple123456[R1-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認(rèn)證后需復(fù)位接口[R1-Serial1/0]undoshutdown

3.測(cè)試命令如下：[R1]ping192.168.1.2//在R1上使用ping命令測(cè)試它與R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令顯示接口信息

三、CHAP驗(yàn)證

在PAP驗(yàn)證實(shí)驗(yàn)的基礎(chǔ)上，繼續(xù)完成CHAP驗(yàn)證實(shí)驗(yàn)。先配置R2為CHAP驗(yàn)證的主驗(yàn)證方、R1為被驗(yàn)證方，實(shí)現(xiàn)單向驗(yàn)證；再配置R1為主驗(yàn)證方、R2為被驗(yàn)證方，實(shí)現(xiàn)雙向CHAP驗(yàn)證。

1.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)CHAP單向驗(yàn)證，命令如下：[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undopppauthentication-mode//取消R1作為PAP驗(yàn)證的主驗(yàn)證方[R1-Serial1/0]pppauthentication-modechap//配置R1作為CHAP驗(yàn)證的主驗(yàn)證方[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undoppppaplocal-user//取消R2作為PAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0]pppchapuserR2//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0]pppchappasswordsimple654321//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認(rèn)證后需復(fù)位接口[R2-Serial1/0]undoshutdown

2.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)雙向驗(yàn)證，命令如下：[R2]interfaceSerial1/0//R2的配置[R2-Serial1/0]undopppauthentication-mode//取消R2作為PAP驗(yàn)證的主驗(yàn)證方[R2-Serial1/0]pppauthentication-modechap//配置R2作為CHAP驗(yàn)證的主驗(yàn)證方[R1]interfaceSerial1/0//R1的配置[R1-Serial1/0]undoppppaplocal-user//取消R1作為PAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0]pppchapuserR1//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0]pppchappasswordsimple123456//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0]shutdown//IP地址之前已經(jīng)配好，配完認(rèn)證后需復(fù)位接口[R1-Serial1/0]undoshutdown

3.測(cè)試，命令如下：[R1]ping192.168.1.2//在R1上使用ping命令測(cè)試它與R2的互通性[R1]displayinterfaceSerial1/0//在R1上使用display命令顯示接口信息7.4PPPoE的配置

多臺(tái)用戶主機(jī)連接到同一臺(tái)遠(yuǎn)程接入設(shè)備進(jìn)行計(jì)費(fèi)上網(wǎng)時(shí)，往往需要接入設(shè)備具有訪問(wèn)控制和計(jì)費(fèi)等功能。PPP能提供良好的訪問(wèn)控制和計(jì)費(fèi)功能、以太網(wǎng)技術(shù)為多臺(tái)主機(jī)經(jīng)濟(jì)快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點(diǎn)對(duì)點(diǎn)協(xié)議）就是這樣一種能實(shí)現(xiàn)在以太網(wǎng)上傳輸PPP報(bào)文的技術(shù)。

在HCL中搭建如圖7-10所示的拓?fù)?，完成在華三設(shè)備上配置PPPoE。7.4.3華三設(shè)備配置PPPoE

圖7-10華三設(shè)備配置PPPoE的拓?fù)?/p>

一、PPPoE服務(wù)端R2配置

1.配置Virtual-Template虛擬模板接口，命令如下：[R2]interfaceVirtual-Template1//創(chuàng)建VT接口，編號(hào)為1[R2-Virtual-Template1]pppauthentication-modechapdomainsystem//定義PPP采用CHAP方式認(rèn)證[R2-Virtual-Template1]remoteaddresspoolpool01//為PPPoE客戶端指定IP地址池[R2-Virtual-Template1]ipaddress100.0.0.25424//設(shè)置VT接口的IP

2.配置PPP的其他選項(xiàng)，命令如下：[R2]ippoolpool01100.0.0.1100.0.0.253//為客戶端創(chuàng)建IP地址池[R2]local-useruser1classnetwork//創(chuàng)建用于PPP認(rèn)證的用戶[R2-luser-network-user1]passwordsimple123[R2-luser-network-user1]service-typeppp//指定創(chuàng)建的用戶用于PPP認(rèn)證[R2-luser-network-user1]quit[R2]domainsystem[R2-isp-system]authenticationppplocal[R2-isp-system]accountingppplocal[R2-isp-system]authorizationppplocal

3.將VT虛擬接口和PPPoE服務(wù)端以太口綁定，命令如下：[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]pppoe-serverbindvirtual-template1//將G0/0接口與VT1接口綁定

二、PPPoE客戶端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress192.168.1.25424

2.配置DCC（撥號(hào)控制中心）虛擬撥號(hào)接口（dialer），命令如下：[R1]interfaceDialer1[R1-Dialer1]dialerbundleenable[R1-Dialer1]pppchapuseruser1[R1-Dialer1]pppchappasswordsimple123[R1-Dialer1]ipaddressppp-negotiate[R1-Dialer1]dialer-group1

3.將DCC的dialer虛擬撥號(hào)接口和PPPoE客戶端以太網(wǎng)接口綁定，命令如下：[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]pppoe-clientdial-bundle-number1

4.配置撥號(hào)訪問(wèn)控制列表允許IPv4協(xié)議的數(shù)據(jù)報(bào)文，命令如下：[R1]dialer-group1ruleippermit

5.配置從PPPoEClient到PPPoEServer的默認(rèn)路由，實(shí)現(xiàn)網(wǎng)絡(luò)互通，命令如下：[R1]iproute-static100.0.0.25432Dialer1

6.配置EASYIPNAT，并在Dialer1口下發(fā)，命令如下：[R1]access-listbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource192.168.1.00.0.0.255[R1-acl-ipv4-basic-2000]quit[R1]interfaceDialer1[R1-Dialer1]natoutbound2000

7.電腦PC1的配置：IP地址：192.168.1.10，子網(wǎng)掩碼：255.255.255.0，缺省網(wǎng)關(guān)：192.168.1.254。

8.在PC1上使用ping命令測(cè)試內(nèi)網(wǎng)主機(jī)PC1與服務(wù)端R2的連通性，命令如下：[H3C]ping100.0.0.254試驗(yàn)時(shí)可以看到，能ping通。

9.查看PPPoE客戶端與服務(wù)端建立PPPoE會(huì)話[R1]displaypppoe-clientsessionsummaryBundleIDInterfaceVARemoteMACLocalMACState1

1GE0/0

VA0322e-9e91-0205322e-93cb-0105SESSION謝謝欣賞第7章廣域網(wǎng)技術(shù)編著：

秦?zé)鰪V域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實(shí)現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標(biāo)準(zhǔn)包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗(yàn)證的、支持同步和異步方式的點(diǎn)對(duì)點(diǎn)協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨(dú)占一條異步/同步專用線路，有帶寬大、費(fèi)用高、部署簡(jiǎn)單、安全可靠等特點(diǎn)；電路交換方式：用戶可通過(guò)PSTN/ISDN按需建立連接、用完斷開(kāi)，有帶寬小、費(fèi)用低、延遲大等特點(diǎn)；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標(biāo)識(shí)的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費(fèi)用適中、延遲較大等特點(diǎn)；VPN方式：用戶先通過(guò)寬帶接入互聯(lián)網(wǎng)，再通過(guò)加密通道借助互聯(lián)網(wǎng)與對(duì)端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運(yùn)營(yíng)商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時(shí)鐘信號(hào)，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時(shí)鐘信號(hào)，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過(guò)數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運(yùn)營(yíng)商傳輸網(wǎng)絡(luò)。三、運(yùn)營(yíng)商負(fù)責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過(guò)PSTN或ISDN連接兩端。四、兩端的用戶路由器負(fù)責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級(jí)數(shù)據(jù)鏈路控制）、PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過(guò)寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級(jí)數(shù)據(jù)鏈路控制）協(xié)議是ISO開(kāi)發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來(lái)，無(wú)流量控制和認(rèn)證機(jī)制，采用同步串行傳輸，實(shí)現(xiàn)簡(jiǎn)單，效率高。華為、華三采用標(biāo)準(zhǔn)HDLC；思科對(duì)標(biāo)準(zhǔn)HDLC進(jìn)行了擴(kuò)展，增加了對(duì)多種網(wǎng)絡(luò)層協(xié)議的識(shí)別，與其他廠商采用的標(biāo)準(zhǔn)HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認(rèn)封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡(jiǎn)介

PPP（Point-to-pointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議）是一種全雙工的點(diǎn)到點(diǎn)的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來(lái)的，提供對(duì)多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗(yàn)證、多鏈路捆綁、回?fù)芎蛪嚎s等功能，能協(xié)商和遠(yuǎn)程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴(kuò)展。PPP能運(yùn)行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運(yùn)行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認(rèn)封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴(kuò)展協(xié)議族（PAP和CHAP驗(yàn)證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路；擴(kuò)展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來(lái)協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會(huì)話的三個(gè)階段

一個(gè)PPP會(huì)話包括三個(gè)階段：首先是鏈路建立階段，通過(guò)發(fā)送LCP報(bào)文檢測(cè)鏈路的可用性并建立鏈路；其次是可選的驗(yàn)證階段，根據(jù)PPP幀的驗(yàn)證選項(xiàng)決定是否進(jìn)行PAP或CHAP驗(yàn)證；最后是網(wǎng)絡(luò)協(xié)商階段，通過(guò)NCP報(bào)文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗(yàn)證

1.驗(yàn)證階段的PAP驗(yàn)證是兩次握手驗(yàn)證。首先被驗(yàn)證方以明文發(fā)送用戶名和密碼給主驗(yàn)證方；隨后主驗(yàn)證方進(jìn)行核驗(yàn)，若驗(yàn)證通過(guò)則回復(fù)ACK進(jìn)入下一階段，若驗(yàn)證不通過(guò)則回復(fù)NAK表示驗(yàn)證失敗。驗(yàn)證失敗后不會(huì)馬上將鏈路關(guān)閉，而是等驗(yàn)證失敗次數(shù)達(dá)到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗(yàn)證可以單向進(jìn)行，也可雙向進(jìn)行。

2.驗(yàn)證階段的CHAP驗(yàn)證是三次握手驗(yàn)證。首先，主驗(yàn)證方將一個(gè)隨機(jī)數(shù)和本端用戶名發(fā)送給被驗(yàn)證方，這是第一次握手，稱為Challenge；其次，如果被驗(yàn)證方接口配置了默認(rèn)CHAP密碼，就選用這個(gè)密碼，否則根據(jù)主驗(yàn)證方的用戶名查找對(duì)應(yīng)的密碼，然后利用MD5算法對(duì)“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗(yàn)證方，這是第二次握手，稱為Response；最后，主驗(yàn)證方根據(jù)被驗(yàn)證方的用戶名查找到對(duì)應(yīng)的密碼，對(duì)“報(bào)文I