廣域網概述數據網組建與維護主講教師：戰美玲CONTENTS目錄1廣域網技術概述2PPP協議原理廣域網技術概述廣域網（WideAreaNetwork）簡稱WAN，是指跨越很大地域范圍的數據通信網絡。廣域網是連接不同地區局域網的網絡，通常所覆蓋的范圍從幾十公里到幾千公里。廣域網技術概述初期廣域網常用的物理層標準和數據鏈路層標準。應用層傳輸層網絡層數據鏈路層物理層PPP HDLC FrameRelay ATMRS-232 V.24 V.35 G.703IEEE802.3/4/5/11IP ICMP ARPTCP UDPHTTP FTPTelnet DNS SNMP廣域網技術概述廣域網絡設備基本角色有三種：CE（CustomerEdge，用戶邊緣設備）、PE（ProviderEdge，服務提供商邊緣設備）和P（Provider，服務提供商設備）。CECEPEPEPEPE分公司1分公司2PCECE總部分公司3服務提供商廣域網技術概述廣域網絡設備基本角色有三種：CE（CustomerEdge，用戶邊緣設備）、PE（ProviderEdge，服務提供商邊緣設備）和P（Provider，服務提供商設備）。CECEPEPEPEPE分公司1分公司2PCECE總部分公司3服務提供商PPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRPPP/HDLC/FRATMPPP協議原理PPP是Point-to-PointProtocol的簡稱，也叫做P2P，目前是TCP/IP網絡中最重要的點到點數據鏈路層協議，典型應用如下圖：ISP已從因特網管理機構申請到一批IP地址PPP協議PPP協議PPP協議因特網因特網用戶...PPPoEPPPoEPPPoEPPP協議原理從網絡體系結構的角度看點對點協議PPP的組成：物理層數據鏈路層網絡層一個鏈路控制協議LCP一個網絡層PDU封裝到串行鏈路的方法一套網絡控制協議NCP面向字節的異步鏈路面向比特的同步鏈路Apple公司的AppleTalkNovellNetWare網絡操作系統中的IPXTCP/IP中的IPPPPPPP協議原理PPP的幀格式：1B≤最大傳送單元MTU=1500B長度1B1B2B2B1B幀尾部幀首部幀的數據載荷標志F地址A控制C協議P幀檢驗序列FCS標志F封裝上層的協議數據單元PDU標志（Flag）字段：PPP幀的定界符，取值為0x7E。地址（Address）字段：取值為0xFF，預留（目前沒有什么作用）。控制（Control）字段：取值為0x03，預留（目前沒有什么作用）。協議（Protocol）字段：其值用來指明幀的數據載荷應向上交付給哪個協議處理。7EFF03C223FCS7ECHAP報文7EFF03C021FCS7ELCP分組7EFF038021FCS7ENCP分組幀檢驗序列（FrameCheckSequence，FCS）字段：其值是使用循環冗余校驗CRC計算出的檢錯碼。PPP協議原理PPP的工作狀態：Dead（鏈路不可行）階段、Establish(鏈路建立)階段、Authenticate（驗證）階段、Network（網絡層協議）階段、Terminate（鏈路終止）階段。成功？DeadEstablishAuthenticateNetworkTerminate需要認證？通過認證？Yes（opened）NoYesNoSuccessFailDownClosing鏈路層協商認證協商網絡層協商123內容小結廣域網技術概述01PPP協議原理及應用02PPP認證數據網組建與維護CONTENTS目錄1PAP認證原理2CHAP認證原理3PAP認證配置命令4CHAP認證配置命令PPP認證模式-PAP鏈路協商成功后，進行認證協商（此過程可選）。認證協商有兩種模式，PAP和CHAP。PAP認證雙方有兩次握手。協商報文以明文的形式在鏈路上傳輸。認證方

被認證方R1R2PPP/30/30S1/0/0S1/0/0數據庫用戶名密碼hciaHuawei123LCP鏈路協商成功底層鏈路建立，確定認證方式為PAPS1/0/0接口上配置用于認證的用戶名和密碼Authenticate-Request用戶名=hcia;密碼=Huawei123PPP幀Protocol=PAPAuthenticate-AckPPP幀Protocol=PAP122.數據庫匹配成功。1.被認證方發起認證。PPP認證模式-CHAPCHAP認證雙方有三次握手。協商報文被加密后再在鏈路上傳輸。它只在網絡上傳用戶名而不傳口令，因此安全性比PAP高。認證方

被認證方R1R2PPP/30/30S1/0/0S1/0/0數據庫用戶名密碼hciaHuawei123S1/0/0接口上配置用于認證的用戶名和密碼LCP鏈路協商成功底層鏈路建立，確定認證方式為CHAPCode=1（Challenge）ID=1；Name=“”；RandomPPP幀Protocol=CHAPCode=2（Response）ID=1；Name=“hcia”；MD5結果PPP幀Protocol=CHAPCode=3（Success）ID=1；Message=“Welcome”PPP幀Protocol=CHAPID=1HASHMD5結果RandomHuawei123接口配置密碼1231.認證方發起挑戰，攜帶隨機數。2.被認證方本地計算并回復MD5。3.認證方本地計算，并驗證。PAP認證配置命令配置驗證方以PAP方式認證對端[Huawei-Serial0/0/0]pppauthentication-modepap配置驗證方以PAP方式認證對端，首先需要通過AAA將被驗證方的用戶名和密碼加入本地用戶列表，然后選擇認證模式。配置被驗證方以PAP方式被對端認證[Huawei-Serial0/0/0]ppp

pap

local-user

user-name

password{cipher|simple

}password配置本地被對端以PAP方式驗證時，本地發送PAP用戶名和口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

pppCHAP認證配置命令配置驗證方以CHAP方式認證對端[Huawei-Serial0/0/0]pppauthentication-mode

chap

2.配置被驗證方以CHAP方式被對端認證[Huawei-Serial0/0/0]pppchapuseruser-name配置本地用戶名，配置本地被對端以CHAP方式驗證時的口令。[Huawei-aaa]local-user

user-name

password{cipher|irreversible-cipher}password[Huawei-aaa]local-user

user-name

service-type

ppp[Huawei-Serial0/0/0]pppchappassword{cipher|simple}password內容小結PAP認證原理01CHAP認證原理02PAP認證配置命令03CHAP認證配置命令04基于PAP認證的公司與分部安全互聯數據網組建與維護主講教師：戰美玲CONTENTS目錄1項目背景2項目規劃3項目實施4項目驗證項目背景某公司因業務發展，建立了分公司，租用了專門的線路用于總部與分公司的連聯。為保障通信線路的數據安全，需在路由器上配置安全認證。項目拓撲如圖所示，具體要求如下：公司總部路由器R1使用S1/0/0接口與分公司路由器R2互聯；

R1的S1/0/0接口上使用PPP協議并啟用PAP認證，用于分公司的安全接入；

全網通過OSPF協議互聯。公司總部路由器分公司路由器S1/0/0S1/0/0項目規劃串行鏈路默認采用PPP封裝協議，可以通過PAP認證使鏈路的建立更安全。公司總部路由器R1作為認證方，用戶名為network，密碼為123456公司路由器R2為被認證方。公司總部路由器分公司路由器S1/0/0S1/0/0項目實施項目配置步驟如下：（1）配置各計算機的IP地址（2）配置路由器接口（3）搭建OSPF網絡（4）配置PPP的PAP認證（5）對端配置PAP驗證項目驗證項目驗證方法如下：（1）查看鏈路狀態R2使用displayipinterfacebrief命令查看的鏈路層協議狀態（2）測試各計算機的互通性

使用PC1計算機PingPC2計算機內容小結為保障總部與分公司之間的鏈路建立更安全，在路由器上配置PAP認證，實現了總部與分公司通信線路的數據安全。公司總部路由器分公司路由器S1/0/0S1/0/0基于CHAP認證的公司與分部安全互聯數據網組建與維護主講教師：戰美玲CONTENTS目錄1項目背景2項目規劃3項目實施4項目驗證項目背景某公司因業務發展，建立了分公司，租用了專門的線路用于總部與分公司的連聯。為保障通信線路的數據安全，需在路由器上配置安全認證。項目拓撲如圖所示，具體要求如下：公司總部路由器R1使用S1/0/0接口與分公司路由器R2互聯；

R1的S1/0/0接口上使用PPP協議并啟用CHAP認證，用于分公司的安全接入；

全網通過OSPF協議互聯。公司總部路由器分公司路由器S1/0/0S1/0/0項目規劃串行鏈路默認采用PPP封裝協議，可以通過CHAP認證使鏈路的建立更安全。公司總部路由器R1作為認證方，用戶名為network，密碼為123456公司路由器R2為被認證方。公司總部路由器分公司路由器S1/0/0S1/0/0項目實施項目配置步驟如下：（1）配置各計算機的IP地址（2）配置路由器接口（3）搭建OSPF網絡（4）R1配置PPP的CHAP認證（5）對端R2配置CHAP驗證項目驗證項目驗證方法如下：（1）查看鏈路狀態R2使用displayipi