1、成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院2024-6-291成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院 内容要求内容要求 广域网技术概述广域网技术概述 路由器的广域网协议封装配置路由器的广域网协议封装配置 PPP PAPPPP PAP认证配置认证配置 PPP CHAPPPP CHAP认证配置认证配置 重点重点 广域网技术概述广域网技术概述 PPP PAPPPP PAP和和CHAPCHAP认证配置认证配置难点难点 广域网技术广域网技术2024-6-292成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述
2、-定义定义广域网:广域网:Wide Area NetworkWide Area Network,也称远程网,也称远程网(long haul network long haul network)。通常跨接很大的物理范)。通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连围,所覆盖的范围从几十公里到几千公里,它能连接多个城市或国家,或横跨几个洲并能提供远距离接多个城市或国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。通信,形成国际性的远程网络。广域网和局域网的区别在哪里呢?广域网和局域网的区别在哪里呢?2024-6-293LANLAN基础设施通常归用户所有,基础设施通常归
3、用户所有,WANWAN基础设施基础设施通常是从服务提供商哪里租来的。通常是从服务提供商哪里租来的。成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述-用户室内设备(用户室内设备(Customer Premises Equipment,CPE)归用户所有,位于用户室内。归用户所有,位于用户室内。分界点(分界点(demarc)指出了服务提供商职责的终点和用户)指出了服务提供商职责的终点和用户职责的起点。通常是电信室内的一台设备,归电信公司所职责的起点。通常是电信室内的一台设备,归电信公司所有并由其安装。有并由其安装。本地环路:分界点连接到最近的交换局本地
4、环路:分界点连接到最近的交换局 中心局:将客户网络连接到提供商的交换网络中心局:将客户网络连接到提供商的交换网络 长途通信网:长途通信网:WAN提供商网络中的中继线,包含大量归提供商网络中的中继线,包含大量归互联网服务提供商(互联网服务提供商(ISP)所有的交换机和设备)所有的交换机和设备2024-6-294成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述-带宽带宽 DS0:基本的数字信令速度(64Kbit/s),相当于一个信道。在欧洲和日本分别用E0和J0表示。表示容量最小的数字电路。T1:也叫DS1,将24条DS0电路捆绑在一起,带宽为1.54
5、4Mbit/s。E1:欧洲对T1的称呼,包含30条捆绑在一起的DS0电路,带宽为2.048Mbit/s T3:也叫DS3,将28条DS1电路捆绑在一起,带宽为44.736Mbit/s。OC-3:光载波3,使用光纤,由3条DS3组成,包含2016条DS0,总带宽为155.52Mbit/s。OC-12:光载波12,由4条OC-3组成,包含8064条DS0,总带宽为622.08Mbit/s。OC-48:光载波48,由4条OC-12组成,包含32256条DS0,总带宽为2488.32Mbit/s。OC-96 4.976 Gbit/s、OC-192 9.953 Gbit/s、OC-256 about 1
6、3 Gbit/s、OC-384 about 20 Gbit/s、OC-768 about 40 Gbit/s、OC-1536 about 80 Gbit/s、OC-3072 about 160 Gbit/s2024-6-295成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述WANWAN连接类型连接类型 专线:通常称为点到点连接或专用连接。它是预先建立好专线:通常称为点到点连接或专用连接。它是预先建立好的的WAN通信路径,无需在传输数据前经历麻烦的建立过通信路径,无需在传输数据前经历麻烦的建立过程。速度可达程。速度可达45Mbit/s,通常实用通常实
7、用HDLC和和PPP封装封装 电路交换:在传输数据之前,先建立源和目的之间的连接,电路交换:在传输数据之前,先建立源和目的之间的连接,建立连接之后,传输数据独享连接带宽,不论有无数据传建立连接之后,传输数据独享连接带宽,不论有无数据传输,连接都被独占。传输结束后,要释放连接。适用于低输,连接都被独占。传输结束后,要释放连接。适用于低带宽数据传输,如拨号调制解调器或带宽数据传输,如拨号调制解调器或ISDN 分组交换:将需要传输的数据组装成分组(分组),标有分组交换:将需要传输的数据组装成分组(分组),标有目的地址发往网络,不需建立专门的连接,网络各结点根目的地址发往网络,不需建立专门的连接,网络
8、各结点根据分组(分组)的地址,一级级地转发到目的地。带宽从据分组(分组)的地址,一级级地转发到目的地。带宽从56Kbit/s到到45Mbit/s不等,帧中继和不等,帧中继和X.25属于分组交换技属于分组交换技术术2024-6-296成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述WANWAN协议(协议(1 1)帧中继(帧中继(Frame Frame RelayRelay,FRFR)技术是由X.2 5分组交换技术演变而来的。帧中继可看作一条虚拟专线。用户可以在两结点之间租用一条永久虚电路并通过该虚电路发送数据帧,其长度可达1600字节。用户也可以在多
9、个结点之间通过租用多条永久虚电路进行通信。帧中继网可以提供从2Mbps到45Mbps速率范围的虚拟专线。综合业务数字网(综合业务数字网(Integrated Services Digital NetworkIntegrated Services Digital Network,ISDNISDN)是一系列通过电话线传输语音和数据的数字服务,为需要高速连接的偏远用户提供合算的解决方案,通常作为备份链路。高级数据链路控制(高级数据链路控制(High-Level Data Link High-Level Data Link Control,HDLCControl,HDLC)是一个在同步网上传输 数据、
10、面向比特的数据链路层协议,它是由国际标准化组织(ISO)根据IBM公司的SDLC(Synchronous Data Link Control)协议扩展开发而成的。HDLC报头无任何标识网络层协议类型信息,每个厂家都是专用的。点到点协议点到点协议PPPPPP是一个被广泛使用的广域网协议,跨过同步和异步电路实现路由器到路由器(router-to-router)和主机到网络(host-to-network)的点到点连接。PPPoEPPPoE是是在以太网上承载PPP协议(点到点连接协议),它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一个主机实现控制、计费功能。极高的性能
11、价格比使PPPoE在包括小区组网建设等一系列应用中广泛采用2024-6-297成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院广域网技术概述广域网技术概述WANWAN协议(协议(2 2)有线电视:有线电视:在现代混合光纤同轴(HFC)网络中,每个有线电视网段通常有5002000位活动的数据用户,他们共享上行和下行带宽。HFC指的是混合使用光纤和同轴电缆组建的宽带网络。通过有线电视电缆连接到互联网,用户的下载速度最高可达27Mbit/s,上传速度可达2.5Mbit/s。数字用户(数字用户(DSLDSL)是以电话线为传输介质的传输技术组合。DSL技术在传递公用电话网络的用户环路上
12、支持对称和非对称传输模式,主要用于在网络服务供应商和最终用户间的“最后一公里”的连接。由于DSL接入方案无需对电话线路进行改造,可以充分利用可以已经被大量铺设的电话用户环路,大大降低额外的开销。3G/4G3G/4G移动通信:移动通信:当前,将无线热点装入口袋已司空见惯,只要手机上使用的是3G/4G卡,你就可以通过手机访问互联网。VSATVSAT是20世纪80年代中期开发的一种卫星通信系统。VSAT由于源于传统卫星通信系统,所以也称为卫星小数据站或个人地球站,这里的“小”指的是VSAT系统中小站设备的天线口径小,通常为0.3m1.4m,设备结构紧凑、固体化、智能化、价格便宜、安装方便、对使用环境
13、要求不高,且不受地面网络的限制,组网灵活。2024-6-298成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院路由器的广域网协议封装配置路由器的广域网协议封装配置 步骤步骤1.查看广域网接口默认的封装类型查看广域网接口默认的封装类型Router1#show interface serial 步骤步骤2.查看广域网口支持的封装类型查看广域网口支持的封装类型 RouterA(config)#interface serial 1/2 RouterA(config-if)encapsulation?Frame-relay Frame Relay network!帧中继协议帧中继协议H
14、dlc Serial HDLC synchronous!高级数据链路控制协议高级数据链路控制协议Lapb LAPB(X.25 level 2)!X.25的二层协议的二层协议Ppp Point to point protocol !ppp点到点协议点到点协议X25 X.25 !x.25协议协议2024-6-299成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院路由器的广域网协议封装配置路由器的广域网协议封装配置步骤步骤3.更改广域网接口的封装类型更改广域网接口的封装类型lPPP封装封装RouterA(config)#interface serial 1/2 RouterA(co
15、nfig-if)#encapsulation pppRouterA(config-if)#endRouterA#show interface serial 1/2(观察接口状态)(观察接口状态)2024-6-2910成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院路由器的广域网协议封装配置路由器的广域网协议封装配置Frame-Relay封装封装RouterA(config)#interface serial 1/2 RouterA(config-if)#encapsulation frame-relayRouterA(config-if)#endRouterA#show in
16、terface serial 1/2(观察接口状态)(观察接口状态)2024-6-2911成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院路由器的广域网协议封装配置路由器的广域网协议封装配置注意事项注意事项 封装广域网协议时,要求封装广域网协议时,要求V.35V.35线缆的两个端口封线缆的两个端口封装协议一致,否则无法建立链路装协议一致,否则无法建立链路2024-6-2912成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认证配置 PPP PPP协议位于协议位于OSIOSI七层模型的数据链路层,七层模型的数据链路层,PPP
17、PPP协议按协议按照功能划分为照功能划分为2 2个子层:个子层:LCPLCP、NCPNCP。LCPLCP主要负责链路的协主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCPNCP主要负责和上层的协议进行协商,为网络层协议提供主要负责和上层的协议进行协商,为网络层协议提供服务。服务。PPPPPP协议认证功能是指在建立协议认证功能是指在建立PPPPPP链路的过程中进行密链路的过程中进行密码的验证,验证通过建立连接,验证不通过拆出链路。码的验证,验证通过建立连接,验证不通过拆出链路。PPPPPP协议支持两种认证方式即协议支持两
18、种认证方式即PAPPAP和和CHAPCHAP。PAPPAP(Password Authentication Protocol,Password Authentication Protocol,密码验证协议)密码验证协议)是指验证双方通过是指验证双方通过2 2次握手完成验证过程,它是一种用于次握手完成验证过程,它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求,包含了验证的用户方法。由被验证方主动发出验证请求,包含了验证的用户名和密码,由验证双方验证后作出回复,通过验证或验证名和密码,由验证双方验证后作
19、出回复,通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上失败。在验证过程中用户名和密码以明文的方式在链路上传输。传输。2024-6-2913成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认证配置网络拓扑网络拓扑DCE端设定端设定时钟速率?时钟速率?DTE端设定端设定时钟速率?时钟速率?2024-6-2914成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认证配置 步骤步骤1.基本配置基本配置Red-Giant(config)#hostname RaRa(config)#
20、interface serial 1/2 Ra(config-if)#ip address 1.1.1.1 255.255.255.0Ra(config-if)#no shutdownRed-Giant(config)#hostname RbRb(config)#interface serial 1/2 Rb(config-if)#ip address 1.1.1.2 255.255.255.0Rb(config-if)#clock rate 64000Rb(config-if)#no shutdown 使用使用show interface serial 1/2 查看接口状态查看接口状态202
21、4-6-2915成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认证配置步骤步骤2.配置配置PPP PAP认证认证l 被验证方的配置被验证方的配置Ra(config)#username Rb password 0 starRa(config)#interface serial 1/2Ra(config-if)#encapsulation pppRa(config-if)#ppp authentication papRa(config-if)#ppp pap sent-username Ra password 0 star !PAP 认认证的
22、用户名、密码证的用户名、密码l 验证方的配置验证方的配置Rb(config)#username Ra password 0 starRb(config)#interface serial 1/2Rb(config-if)#encapsulation pppRb(config-if)#ppp authentication pap!ppp启用启用PAP认证方式认证方式Rb(config-if)#ppp pap sent-username Rb password 0 star2024-6-2916成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认
23、证配置 步骤步骤3.验证测试验证测试Ra#ping 1.1.1.2 注意事项:注意事项:l 在在DCE端要配置时钟端要配置时钟l Rb(config)#username Ra password 0 star username 后面的参数是对方的主机名后面的参数是对方的主机名l 在接口下封装在接口下封装pppl Debug ppp authentication 在路由器物理层在路由器物理层up,链路尚,链路尚没建立的情况下打开才有信息输出,本实验的实质是链路没建立的情况下打开才有信息输出,本实验的实质是链路层协商建立的安全性,该信息出现在链路协商的过程中。层协商建立的安全性,该信息出现在链路协商
24、的过程中。2024-6-2917成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院CHAP(挑战式握手验证协议),是指验证(挑战式握手验证协议),是指验证双方通过三次握手完成验证过程,比双方通过三次握手完成验证过程,比PAP更安全。由验证方主动发出挑战报文,由更安全。由验证方主动发出挑战报文,由被验证方应答。在整个验证过程中,链路被验证方应答。在整个验证过程中,链路上传递的信息都进行了加密处理。上传递的信息都进行了加密处理。在链路协商时保证安全验证,链路协商时在链路协商时保证安全验证,链路协商时密码以密文的方式传输,更安全密码以密文的方式传输,更安全2024-6-2918成都信
25、息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP CHAPPPP CHAP认证配置认证配置网络拓扑网络拓扑DCE端设定端设定时钟速率时钟速率2024-6-2919成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP CHAPPPP CHAP认证配置认证配置 步骤步骤1.基本配置基本配置Red-Giant(config)#hostname RaRa(config)#interface serial 1/2 Ra(config-if)#ip address 1.1.1.1 255.255.255.0Ra(config-if)#no shutdownRed-Gi
26、ant(config)#hostname RbRb(config)#interface serial 1/2 Rb(config-if)#ip address 1.1.1.2 255.255.255.0Rb(config-if)#clock rate 64000Rb(config-if)#no shutdown 使用使用show interface serial 1/2 查看接口状态查看接口状态2024-6-2920成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP CHAPPPP CHAP认证配置认证配置 步骤步骤2.配置配置PPP CHAP认证认证l 被验证方的配置被
27、验证方的配置Ra(config)#username Rb password 0 star !验证对方主机名及密码验证对方主机名及密码Ra(config)#interface serial 1/2Ra(config-if)#encapsulation pppRa(config-if)#ppp authentication chap !启用启用chap认证认证l 验证方的配置验证方的配置Rb(config)#username Ra password 0 star!验证对方主机名及密码验证对方主机名及密码Rb(config)#interface serial 1/2Rb(config-if)#enc
28、apsulation pppRb(config-if)#ppp authentication chap!ppp启用启用CHAP认证方式认证方式2024-6-2921成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院PPP PAPPPP PAP认证配置认证配置 步骤步骤3.验证测试验证测试Ra#ping 1.1.1.2注意事项:注意事项:l 在在DCE端要配置时钟端要配置时钟l Rb(config)#username Ra password 0 star username 后面的参数是对方的主机名后面的参数是对方的主机名l 在接口下封装在接口下封装pppl Debug ppp a
29、uthentication 在路由器物理层在路由器物理层up,链路尚,链路尚没建立的情况下打开才有信息输出,本实验的实质是链路没建立的情况下打开才有信息输出,本实验的实质是链路层协商建立的安全性,该信息出现在链路协商的过程中。层协商建立的安全性,该信息出现在链路协商的过程中。2024-6-2922成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院1、完成广域网协议封装、完成广域网协议封装、PAP认证以及认证以及ISDN相关配置实验相关配置实验2、将实验步骤和测试结果写入实验报告、将实验步骤和测试结果写入实验报告3、每人一份实验报告,并计入平时成绩、每人一份实验报告,并计入平时成绩2024-6-2923
