62广域网技术

第11章广域网技术PPP和帧中继11.1PPP分层体系结构PPP是SLIP（SerialLineInterfaceprotocol）的继承者。PPP协议提供了同步和异步电路上的路由器到路由器、主机到网络的连接。PPP是目前使用得最为广泛的广域网协议，这是因为它具有以下特征：能够控制数据链路的建立；能够对IP地址进行分配和管理；支持多种网络协议的复用；能够配置链路并对链路进行质量测试；错误检测。PPP的分层体系结构网络层IPIPXOTHERIPCPIPXCPBCPNCP数据链路层LCP物理层EIA/TIA-232、449、530,V.21、V.35PPP的功能在串行链路上采用高级数据链路控制（HDLC）作为在点对点的链路上封装数据报的基本方法。链路控制协议（LinkControlProtocol，LCP）用于启动线路、测试、任选功能的协商及关闭连接。网络控制协议（NetworkControlProtocol，NCP）用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议，如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。PPP帧格式IP数据报1211字节12不超过1500字节PPP帧先发送7EFF03FACFCSF7E协议信息部分首部尾部11.2建立PPP会话PPP提供了建立、配置、维护和终止点到点连接的方法。PPP经过以下四个阶段在一条点到点的链路上通信：链路的建立和配置协商链路质量检测网络层协议的配置协商链路终止阶段描述1.链路的建立和配置协商发送LCP帧来测试和配置DL。协商选项，例如MTU，验证协议或压缩某些字段等。2.链路质量检测在链路建立和确定身份验证协议之后，相互鉴别。3.网络层协议的配置协商配置一种或多种网路层协议。4.链路终止发生在用户请求终止或物理层故障（超时或无载波）设备之间无链路链路静止链路建立鉴别网络层协议链路打开链路终止物理链路LCP链路已鉴别的LCP链路已鉴别的LCP链路和NCP链路物理层连接建立LCP配置协商鉴别成功或无需鉴别NCP配置协商链路故障或关闭请求LCP链路终止鉴别失败LCP配置协商失败11.3PPP身份验证协议身份验证为PPP的可选项。身份验证协议有两种：口令验证协议（PAP））挑战握手协议（CHAP）。一般来讲CHAP是首选的验证协议。身份验证需要呼叫的发起方输入验证信息。11.3.1PAP在PPP链路建立完毕后，源端节点将不停地在链路上反复发送用户名和密码，直到验证通过，否则连接被终止。在PAP的验证中，密码在链路上是以明文传输的，而且由于远端节点控制验证重试频率和次数，因此不能防范再发生攻击和重复的尝试攻击。ClientServerHostname:ciscoPassword:123Username：ciscopassword123AuthNakAuthAck两次握手协议明文方式进行验证Request用户名+密码验证成功验证失败配置单向验证——路由器B在路由器A上取得验证1、在路由器A串口采用PPP封装，用“encapsulaton”命令:RouterA（config-if）#encapsulationppp2、在路由器A上，配置PAP验证，使用“pppauthenticationpap”命令:RouterA（config-if）#pppauthenticationpap3、在路由器A上为路由器B设置用户名和密码，使用“username用户名password密码”命令:RouterA(config)#usernameRouterBpassword1234564、在路由器B串口采用PPP封装，用“encapsulaton”命令:RouterB（config-if）#encapsulationppp5、在路由器B上，配置以什么用户名和密码在路由器A上登陆，使用“ppppapsent-username用户名password密码”命令:RouterB(config-if)#ppppapsent-usernameRouterBpassword12345611.3.2CHAPCHAP验证过程在链路建立之后完成，而且在以后的任何时候都可以再次进行。CHAP周期性验证的特性使得链路更为安全，并且CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。链路建立完毕之后，本地路由器发送一个“质询”消息到远程节点。远程节点使用一个数值来回应挑战，这个数值是有单向哈希基于密码和挑战消息计算得出的。本地路由器依靠它自己计算得出的期望值来检测回应。如果匹配，则验证被通过，否则，连接立即被终止。CHAP通过使用唯一的、不可预知的、可变的挑战消息来防止回放攻击。ClientServerHostname:RAPassword:123Hostname:RBPassword:123ChallengeSuccessFailureRB+挑战报文ResponseRA+加密后的密码验证成功验证失败RBRACHAP验证特点：CHAP为三次握手协议只在网络上传输用户名，而并不传输口令安全性要比PAP高，但认证报文耗费带宽CHAP的验证的配置（1）中心路由器A上为远程路由器B设置用户名和密码，使用“username用户名password密码”命令，用户名为远程路由器的名称。RouterA(congfig)#usernameRouterBpassword111111（2）中心路由器A上的串口采用PPP封装，配置CHAP验证。RouterA(congfig-if)#encapsulationpppRouterA(congfig-if)#pppauthenticationchap（3）在远程路由器B上的串口采用PPP封装，用“encapsulation”命令RouterB(congfig-if)#encapsulationppp（4）在远程路由器B上为中心路由器设置用户名和密码。RouterB(congfig)#usernameRouterApassword111111注意：以上的步骤同样只是配置了单向验证（路由器B在路由器A上取得验证）。要采用双向验证，还要增加一个步骤。（5）在远程路由器B上的串口配置CHAP验证，使用“pppauthenticationchap”命令RouterB(congfig-if)#pppauthenticationchap11.3.3验证PPP使用命令“debugpppauthentication”验证PPP会话：RouterA#debugpppauthentication注意事项：debug命令的使用时间使用命令“undebugall”关闭PPP调试。11.4帧中继概述是由国际电信联盟通信标准化组和美国国家标准化协会制定的一种标准。它定义在公共数据网络PDN上发送数据的过程。它是一种面向连接的数据链路技术，为提供高性能和高效率数据传输进行了技术简化，它靠高层协议进行差错校正，并充分利用了当今光纤和数字网络技术。它使用HDLC封装，在互连设备之间管理虚电路VC。其使用VC，采用面向连接的方式来建立连接。提供帧中继接口的网络可以是电信运营商提供的公共通信网络，也可以是企业的专用网络。帧使用DLCI进行标识，它工作在第二层；帧中继的优点在于它的低开销。典型速率56K-2M/s内。主要承载IP和IPX协议。思考：五个点要求能两两互连，如何连接？每个点需要多少串口？Star(HubandSpoke)FullMeshPartialMesh选择FrameRelay拓扑结构全网结构：提供最大限度的相互容错能力；物理连接费用最为昂贵。部分网格结构：对重要结点采取多链路互连方式，有一定的互备份能力。星型结构：最常用的帧中继拓扑结构，由中心节点来提供主要服务与应用，工程费最省。FrameRelay与OSIOSI参考模型FrameRelayPhysicalPresentationSessionTransportNetworkDataLinkApplicationEIA/TIA-232,EIA/TIA-449,V.35,X.21,EIA/TIA-530FrameRelayIP/IPX/AppleTalk,etc.FrameRelay术语LocalAccessLoop=T1LocalAccessLoop=64kbpsLocalAccessLoop=64kbpsDLCI:400PVCDLCI:500LMI100=Active400=ActiveDLCI:200DLCI:100PVC虚电路（VC）：通过为每一对DTE设备分配一个连接标识符，实现多个逻辑数据会话在同一条物理链路上进行多路复用。数字连接识别号（DLCI）：用以识别在DTE和FR之间的逻辑虚拟电路。DLCI仅具有本地意义，VC的每一端的DLCI值额能不同。最多支持1024VC，用户可以使用16—1007。本地管理接口（LMI）：是在DTE设备和FR之间的一种信令标准，它负责管理链路连接和保持设备间的状态。本地访问速率LAR：连接到帧中继云（本地环路）的时钟速率（端口速率）。该速率是数据流入网络或流出网络的速率。承诺信息速率CIR：是服务商承诺要提供的有保证的速率，以bps为单位。承诺突发Bc：在承诺速率的测量间隔内，交换机准许接受和发送的最大数据量。超量突发Be：在承诺信息速率外，帧中继交换机试图发送的未承诺的最大额外数据量。前向显示拥塞通知FECN：当一台FR发现网络上发生拥塞时，向目的设备发送FECN分组，告知网络发生拥塞。后向显示拥塞通知BECN：当一台FR发现网络上发生拥塞时，向源路由器发送FECN分组，告知网络发生拥塞，并会按照25%的比例降低分组的而发送速率。允许丢失DE：当路由器检测到拥塞时，FR交换机将首先丢弃那些DE位置为1的分组。FrameRelay地址映射从提供商那里得到本地的DLCI号建立目的地址和本地DLCI之间的映射关系frame-relaymapip10.0.1.180或者使用动态地址映射10.0.1.2/24DLCI:80InverseARPorFrameRelaymapIP(10.0.1.1)FrameRelayDLCI(80)10.0.1.1/24DLCI:60S1/1S1/0R2R1FrameRelay调试命令显示经过路由器的所有PVC的状态Showframepvc查看当前映射项和DLCI映射表的相关信息。Showframemap显示帧中继交换路由Showframe-relayrouteouter#showframe-relaymapSerial1/0(up):ip10.0.1.1dlci80(0x50,0x1400),static,CISCO,statusdefined,active查看FrameRelay信息显示映射信息配置帧中继基本步骤1.将路由器连接到相应的帧中继交换机2.接口分配IP3.封装帧中继：DLCI，映射，DTE/DCE，时钟频率4.配置路由5.验证。