NP_09 遠程接入技術

1、第九章第九章遠程接入技術遠程接入技術今日汗水，今日汗水，今日汗水，今日汗水，今日汗水，今日汗水，明朝輝煌明朝輝煌明朝輝煌明朝輝煌明朝輝煌明朝輝煌引言引言 路由器作為網(wǎng)絡層設備，除了提供本地網(wǎng)絡的三層連路由器作為網(wǎng)絡層設備，除了提供本地網(wǎng)絡的三層連通外，更主要的功能是提供了用戶網(wǎng)絡的通外，更主要的功能是提供了用戶網(wǎng)絡的WAN接入。接入。 以實驗室所使用的以實驗室所使用的R1762高性能安全模塊化路由器為高性能安全模塊化路由器為例例 提供提供2個用于本地個用于本地LAN連接的快速以太接口；連接的快速以太接口； 提供了兩個用于提供了兩個用于WAN接入的同步串口接入的同步串口Serial； Seria

2、l接口支持接口支持HDLC、PPP和和Frame Relay的廣域網(wǎng)的廣域網(wǎng)封裝協(xié)議，其中，目前使用最廣泛的是封裝協(xié)議，其中，目前使用最廣泛的是PPP協(xié)議。協(xié)議。 教學目標教學目標 掌握廣域網(wǎng)的概念掌握廣域網(wǎng)的概念 理解廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議理解廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議 掌握點對點協(xié)議工作原理及配置方法掌握點對點協(xié)議工作原理及配置方法 了解幀中繼工作原理及配置方法了解幀中繼工作原理及配置方法本章內(nèi)容本章內(nèi)容 廣域網(wǎng)概述廣域網(wǎng)概述 廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議 點對點協(xié)議點對點協(xié)議PPP PPP協(xié)議的驗證協(xié)議的驗證 PAP CHAP MP配置配置 幀中繼幀中繼課程議題課程議

3、題廣域網(wǎng)概述廣域網(wǎng)概述廣域網(wǎng)概念廣域網(wǎng)概念 廣域網(wǎng)廣域網(wǎng)(Wide Area Network，WAN)： 距離遠、帶寬小、延時大距離遠、帶寬小、延時大 為用戶提供遠距離數(shù)據(jù)通信業(yè)務的網(wǎng)絡為用戶提供遠距離數(shù)據(jù)通信業(yè)務的網(wǎng)絡 通常使用電信部門的傳輸設備通常使用電信部門的傳輸設備 包括電路交換和包（分組）交換網(wǎng)絡包括電路交換和包（分組）交換網(wǎng)絡 廣域網(wǎng)技術主要位于底層的廣域網(wǎng)技術主要位于底層的3個層次，分別是：物理層、個層次，分別是：物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層。數(shù)據(jù)鏈路層和網(wǎng)絡層。廣域網(wǎng)的概念廣域網(wǎng)的概念 廣域網(wǎng)連接的場所廣域網(wǎng)連接的場所 根據(jù)用戶不同的需求提供不同的連接方案根據(jù)用戶不同的需求提供不

4、同的連接方案廣域網(wǎng)鏈路廣域網(wǎng)鏈路 電路交換電路交換 電路交換是廣域網(wǎng)所使用的一種交換方式?？梢酝娐方粨Q是廣域網(wǎng)所使用的一種交換方式?？梢酝ㄟ^運營商網(wǎng)絡為每一次會話過程建立，維持和終止過運營商網(wǎng)絡為每一次會話過程建立，維持和終止一條專用的物理電路。電路交換也可以提供數(shù)據(jù)報一條專用的物理電路。電路交換也可以提供數(shù)據(jù)報和數(shù)據(jù)流兩種傳送方式和數(shù)據(jù)流兩種傳送方式。 公共交換電話網(wǎng)（公共交換電話網(wǎng)（PSTN） ISDN基本速率接口（基本速率接口（BRI ISDN） ISDN集群集群速率接口（速率接口（PRI ISDN）廣域網(wǎng)鏈路廣域網(wǎng)鏈路 分組交換分組交換 分組是指包含用戶數(shù)據(jù)和協(xié)議頭（包括地址和管理分

5、組是指包含用戶數(shù)據(jù)和協(xié)議頭（包括地址和管理信息）的塊，每個分組通過網(wǎng)絡交換機或路由器被信息）的塊，每個分組通過網(wǎng)絡交換機或路由器被傳送到正確目的地傳送到正確目的地。 分組交換包含兩種基本途徑分組交換包含兩種基本途徑： 虛電路分組交換虛電路分組交換 數(shù)據(jù)報交換數(shù)據(jù)報交換廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-模擬拔號模擬拔號 模擬拔號模擬拔號 公共電話網(wǎng)：即公共電話網(wǎng)：即PSTN（Public Swithed Telephone Network），速度），速度9600bps28.8kbps，經(jīng)壓縮后最，經(jīng)壓縮后最高可達高可達115.2kbps，傳輸介質(zhì)是普通電話線。，傳輸介質(zhì)是普通電話線。

6、 模擬拔號接入方式的優(yōu)點是費用低，易于建立模擬拔號接入方式的優(yōu)點是費用低，易于建立，且且分布廣泛分布廣泛。缺點是低速率、連接時間長缺點是低速率、連接時間長。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-ISDN ISDN 綜合業(yè)務數(shù)字網(wǎng)，綜合業(yè)務數(shù)字網(wǎng)，采用采用撥號連接方式。低速接口為撥號連接方式。低速接口為128kbps（高速可達（高速可達2M），它使用），它使用ISDN線路或通過線路或通過電信局在普通電話線上加裝電信局在普通電話線上加裝ISDN業(yè)務。業(yè)務。 ISDN將本地環(huán)路轉化為將本地環(huán)路轉化為TDM數(shù)字連接，數(shù)字連接，該連接有用該連接有用來傳輸語音或數(shù)據(jù)的承載信道來傳輸語音或數(shù)據(jù)的承載

7、信道（B）和一條用來進行）和一條用來進行呼叫建立和其他用途的信令信道（呼叫建立和其他用途的信令信道（D）。）。 T1 、 E1廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-專線專線 專線專線 Leased Line， 也稱為租用線路也稱為租用線路， 在中國稱為在中國稱為DDN，是一種點到點的連接方式，速度一般選擇是一種點到點的連接方式，速度一般選擇64kbps2.048Mbps，它的最高帶寬可達，它的最高帶寬可達2.5Gbit/s 由于專線的線路帶寬是固定的，而廣域網(wǎng)的流量是由于專線的線路帶寬是固定的，而廣域網(wǎng)的流量是變化的，所以造成了帶寬很少被完全使用。又因為變化的，所以造成了帶寬很少被完全

8、使用。又因為每個專線的接入都需要路由器的一個接口，這樣位每個專線的接入都需要路由器的一個接口，這樣位于多點星型結構的中心路由器價格非常昂貴于多點星型結構的中心路由器價格非常昂貴。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-X.25 X.25協(xié)議協(xié)議 也稱為也稱為Recommendation X.25，最古老的，最古老的WAN協(xié)議之協(xié)議之一，它采用的是一，它采用的是60年代和年代和70年代開發(fā)的包交換技術。年代開發(fā)的包交換技術。 X.25協(xié)議不是高速的協(xié)議不是高速的WAN協(xié)議，其特點如下：協(xié)議，其特點如下： 全球性的認可全球性的認可； 冗余糾錯功能，可靠性冗余糾錯功能，可靠性； 連接老式的連接

9、老式的LAN和和WAN的能力；的能力； 將老式主機和微型機連接到將老式主機和微型機連接到WAN的能力的能力； 速度慢，延遲大速度慢，延遲大。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-幀中繼幀中繼 幀中繼幀中繼 其其ITU-T標準于標準于1984年提議，以滿足高容量、高帶寬年提議，以滿足高容量、高帶寬的的WA N提出的要求提出的要求 在虛擬電路在虛擬電路(在幀中繼上，稱為虛擬連接在幀中繼上，稱為虛擬連接)上使用包交上使用包交換技術換技術 虛擬連接可以有交換型虛擬連接可以有交換型( SVC )和永久型和永久型( PVC )兩種兩種 幀中繼的永久性虛擬連接是兩個結點之間的一條幀中繼的永久性虛擬連

10、接是兩個結點之間的一條持續(xù)可用的通路持續(xù)可用的通路 交換式虛擬連接需要建立傳輸會話的過程。一旦交換式虛擬連接需要建立傳輸會話的過程。一旦通信結束，呼叫控制信號將對每個結點發(fā)出命令，通信結束，呼叫控制信號將對每個結點發(fā)出命令，斷開連接斷開連接。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-ATM ATM 是一個用于數(shù)據(jù)、語音、視頻以及多媒體應用程序的是一個用于數(shù)據(jù)、語音、視頻以及多媒體應用程序的高速網(wǎng)絡傳輸方法高速網(wǎng)絡傳輸方法。 是一種信元交換網(wǎng)絡，最大特點的速率高、延遲小、是一種信元交換網(wǎng)絡，最大特點的速率高、延遲小、傳輸質(zhì)量有保障。傳輸質(zhì)量有保障。ATM大多采用光纖作為連接介質(zhì)，大多采用光纖

11、作為連接介質(zhì)，速率可高達上千兆（速率可高達上千兆（109bps），但成本也很高。），但成本也很高。 53字節(jié)的字節(jié)的ATM信元不如幀中繼和信元不如幀中繼和X.25的較大幀和分組的較大幀和分組有效率，因為一個有效率，因為一個48字節(jié)的有效載荷至少有字節(jié)的有效載荷至少有5Bytes的開的開銷，當信元傳輸被分解的網(wǎng)絡層分組時，開銷更高。銷，當信元傳輸被分解的網(wǎng)絡層分組時，開銷更高。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-DSL 數(shù)字用戶線路（數(shù)字用戶線路（Digital Subscriber Line，縮寫：，縮寫：DSL） 通過銅線或者本地電話網(wǎng)提供數(shù)字連接的一種技術通過銅線或者本地電話網(wǎng)提

12、供數(shù)字連接的一種技術。 DSL技術是使用普通銅質(zhì)電話線中未使用的帶寬來快技術是使用普通銅質(zhì)電話線中未使用的帶寬來快速傳遞數(shù)字數(shù)據(jù)，速傳遞數(shù)字數(shù)據(jù)，DSL連接和拔號接入一樣容易實現(xiàn)，連接和拔號接入一樣容易實現(xiàn)，和專線一樣，和專線一樣，DSL也是全天候的。也是全天候的。廣域網(wǎng)的接入技術的分類廣域網(wǎng)的接入技術的分類-DSL DSL可分為對稱可分為對稱DSL與非對稱與非對稱DSL技術兩大類。技術兩大類。 對稱對稱DSL技術：對稱技術：對稱DSL技術主要用于替代傳統(tǒng)技術主要用于替代傳統(tǒng)ISDN T1/E1接入技術，與傳統(tǒng)的接入技術，與傳統(tǒng)的T1/E1接入相比，接入相比，DSL技術具有對線路質(zhì)量要求低、安

13、裝調(diào)試簡便等特技術具有對線路質(zhì)量要求低、安裝調(diào)試簡便等特點，而且通過復用技術，還可以提供語音、視頻與點，而且通過復用技術，還可以提供語音、視頻與數(shù)據(jù)多路傳送等服務。目前，對稱數(shù)據(jù)多路傳送等服務。目前，對稱DSL技術主要技術主要HDSL、SDSL、MVL及及IDSL等幾種。等幾種。 非對稱性非對稱性DSL技術：非對稱技術：非對稱DSL技術適用于對雙向帶技術適用于對雙向帶寬要求不一致的應用，諸如寬要求不一致的應用，諸如Web瀏覽、多媒體點播及瀏覽、多媒體點播及信息發(fā)布等，非對稱信息發(fā)布等，非對稱DSL技術主要有技術主要有ADSL、RADSL及及VDSL等等。廣域網(wǎng)設備及接口廣域網(wǎng)設備及接口 廣域網(wǎng)

14、本質(zhì)上是由服務提供商的通信鏈路連接起來的一廣域網(wǎng)本質(zhì)上是由服務提供商的通信鏈路連接起來的一組局域網(wǎng)。由于通信鏈路不能直接插入局域網(wǎng)中，所以組局域網(wǎng)。由于通信鏈路不能直接插入局域網(wǎng)中，所以需要各種接口連接設備需要各種接口連接設備。 路由器（路由器（Router） CSU/DSU 調(diào)制解調(diào)器調(diào)制解調(diào)器 ISDN終端適配器終端適配器 廣域網(wǎng)交換機廣域網(wǎng)交換機 接入服務器接入服務器廣域網(wǎng)設備及接口廣域網(wǎng)設備及接口 廣域網(wǎng)接口廣域網(wǎng)接口EIA*TIA*232在近距離范圍內(nèi)，允許在近距離范圍內(nèi)，允許25針針D連接器上的信號速度最高可連接器上的信號速度最高可達達64kbit/s。以前被稱為。以前被稱為RS-

15、232。ITU-T V.24規(guī)范中也是規(guī)范中也是一樣一樣EIA/TIA449EIA-530EIA/TIA232的高速版本，它使用的高速版本，它使用36針針D連接器，傳輸距連接器，傳輸距離更遠離更遠EIA/TIA612/613高速串行接口（高速串行接口（HSSI），在），在50針針D連接器上提供速度高連接器上提供速度高達達52Mbit/s的訪問服務。的訪問服務。V.35用于高速同步數(shù)據(jù)交換的用于高速同步數(shù)據(jù)交換的ITU*標準。標準。X.21用于同步數(shù)據(jù)通信通信的用于同步數(shù)據(jù)通信通信的ITU*標準，它使用標準，它使用15針針D連接連接器，這種類型的連接器主要用于歐洲和日本器，這種類型的連接器主要用

16、于歐洲和日本廣域網(wǎng)設備及接口廣域網(wǎng)設備及接口 幾種常見的廣域網(wǎng)接口幾種常見的廣域網(wǎng)接口 RJ-45端口端口 AUI端口端口 高速同步串口高速同步串口 異步串口異步串口 ISDN BRI ISDN PRI廣域網(wǎng)設備及接口廣域網(wǎng)設備及接口 數(shù)據(jù)終端設備（數(shù)據(jù)終端設備（DTE）與數(shù)據(jù)通信設備（）與數(shù)據(jù)通信設備（DCE） DTE（Data Terminal Equipment，數(shù)據(jù)終端設備）：，數(shù)據(jù)終端設備）：指的是位于用戶網(wǎng)絡接口用戶端的設備，它能夠作指的是位于用戶網(wǎng)絡接口用戶端的設備，它能夠作為信源、信宿或同時為二者為信源、信宿或同時為二者。 DCE（Data Circuit-terminatin

17、g Equipment，數(shù)據(jù)通，數(shù)據(jù)通信設備或者數(shù)據(jù)電路終端設備）：它提供了到網(wǎng)絡信設備或者數(shù)據(jù)電路終端設備）：它提供了到網(wǎng)絡的一條物理連接、轉發(fā)業(yè)務量，并且提供了一個用的一條物理連接、轉發(fā)業(yè)務量，并且提供了一個用于同步于同步DCE設備和設備和DTE設備之間數(shù)據(jù)傳輸?shù)臅r鐘信設備之間數(shù)據(jù)傳輸?shù)臅r鐘信號。調(diào)制解調(diào)器和接口卡都是號。調(diào)制解調(diào)器和接口卡都是DCE設備的例子設備的例子。廣域網(wǎng)設備及接口廣域網(wǎng)設備及接口 數(shù)據(jù)終端設備（DTE）與數(shù)據(jù)通信設備（DCE）課程議題課程議題廣域網(wǎng)中的廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議數(shù)據(jù)鏈路層協(xié)議HDLC HDLC 高級數(shù)據(jù)鏈路控制（高級數(shù)據(jù)鏈路控制（HDLC）協(xié)議，在）協(xié)

18、議，在1979年，國際年，國際標準化組織（標準化組織（ISO）使）使HDLC標準化，它作為一種標標準化，它作為一種標準的面向比特的數(shù)據(jù)鏈路層協(xié)議用來封裝同步串行準的面向比特的數(shù)據(jù)鏈路層協(xié)議用來封裝同步串行數(shù)據(jù)鏈路中的數(shù)據(jù)。數(shù)據(jù)鏈路中的數(shù)據(jù)。 HDLC 具有兩種不同的實現(xiàn)方式：正常響應模式即具有兩種不同的實現(xiàn)方式：正常響應模式即 HDLC NRM（又稱為（又稱為SDLC）和平衡的鏈路訪問規(guī)）和平衡的鏈路訪問規(guī)程（程（LAPB），第二種使用更為普遍。），第二種使用更為普遍。 HDLC 是面向比特的同步通信協(xié)議，主要為全雙工是面向比特的同步通信協(xié)議，主要為全雙工點對點操作提供完整的數(shù)據(jù)透明度。點對點

19、操作提供完整的數(shù)據(jù)透明度。 HDLC LAPB 是一種高效協(xié)議，為確保流量控制、是一種高效協(xié)議，為確保流量控制、差錯監(jiān)測和恢復它要求額外開銷最小。差錯監(jiān)測和恢復它要求額外開銷最小。HDLC HDLC幀分為三種類型幀分為三種類型 信息幀：在鏈路上傳送數(shù)據(jù)；信息幀：在鏈路上傳送數(shù)據(jù)； 管理幀：用于實現(xiàn)流量控制和差錯恢復功能；管理幀：用于實現(xiàn)流量控制和差錯恢復功能； 無編號幀：提供鏈路的初始化和終止操作無編號幀：提供鏈路的初始化和終止操作ISDN ISDN支持兩種接口：基本速率接口和主要速率接口。支持兩種接口：基本速率接口和主要速率接口。 基本速率接口基本速率接口 基本速率接口基本速率接口(BRI)

20、的數(shù)據(jù)傳輸速率為的數(shù)據(jù)傳輸速率為144Kbps。BRI接口由三個信道構成：兩個接口由三個信道構成：兩個64Kbps的的B信道信道用于傳輸數(shù)據(jù)、語音和圖形，一個用于傳輸數(shù)據(jù)、語音和圖形，一個16Kbps的的D信信道用于傳輸通信信令、包交換和信用卡驗證。道用于傳輸通信信令、包交換和信用卡驗證。 主要速率接口主要速率接口 主要速率接口主要速率接口 (PRI)支持更快的數(shù)據(jù)傳輸速率，支持更快的數(shù)據(jù)傳輸速率，在美國和日本，在美國和日本，PRI由由23個個64Kbps的信道和一個的信道和一個傳輸信令和進行包交換的傳輸信令和進行包交換的 64Kbps的信道組成。的信道組成。在歐洲，在歐洲，PRI ISDN由

21、由30個個64Kbps的信道和一個的信道和一個傳輸信令和進行包交換的傳輸信令和進行包交換的 64Kbps的信道組成。的信道組成。ISDNISDN ISDN的的B 信道稱為承載信道，因為它傳送語音、數(shù)據(jù)和信道稱為承載信道，因為它傳送語音、數(shù)據(jù)和傳真。傳真。B信道以幀的形式運載使用高級數(shù)據(jù)鏈路控制協(xié)信道以幀的形式運載使用高級數(shù)據(jù)鏈路控制協(xié)議（議（HDLC）和點到點協(xié)議（）和點到點協(xié)議（PPP）作為第二層協(xié)議。）作為第二層協(xié)議。 D信道，或稱為信道，或稱為delta信道，用于帶外信令。信道，用于帶外信令。D信道運載信道運載控制信息，如呼叫建立和拆除。通?？刂菩畔?，如呼叫建立和拆除。通常D信道在第二層

22、使信道在第二層使用用D信道鏈路接入規(guī)程（信道鏈路接入規(guī)程（LAPD）。）。ISDN協(xié)議模型協(xié)議模型 ISDN使用一套使用一套ITU-T標準生成標準生成OSI參考模型的物理層、參考模型的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層。數(shù)據(jù)鏈路層和網(wǎng)絡層。ISDN呼叫建立呼叫建立 路由器上發(fā)出的被叫號碼通過路由器上發(fā)出的被叫號碼通過D信道傳送到信道傳送到ISDN交換機交換機 本地本地ISDN交換機使用交換機使用SS7信令建立通路并將被叫號碼傳遞到遠程信令建立通路并將被叫號碼傳遞到遠程ISDN交換機上。交換機上。 遠程交換機在遠程交換機在D信道上通過信號通知目的設備信道上通過信號通知目的設備 目的目的ISDN NT1發(fā)

23、送一個呼叫連接信息給遠程發(fā)送一個呼叫連接信息給遠程ISDN 遠程交換機使用遠程交換機使用SS7信令發(fā)送一個呼叫連接信息給本地產(chǎn)交換機信令發(fā)送一個呼叫連接信息給本地產(chǎn)交換機 本地本地ISDN交換機在端到端之間建立一個交換機在端到端之間建立一個B信道，給新的連接保留另信道，給新的連接保留另外一個外一個B信道，也可以同進使用兩信道，也可以同進使用兩B信道。信道。ISDN呼叫拆除呼叫拆除 與呼叫建立相似，呼叫拆除不是端到端的功能，而是由與呼叫建立相似，呼叫拆除不是端到端的功能，而是由ISDN交換交換處理的，呼叫釋放的過程基于一種處理的，呼叫釋放的過程基于一種3次消息的方法次消息的方法 掛斷消息掛斷消息

24、 釋放消息釋放消息 釋放完成消息釋放完成消息ISDN功能和參考點功能和參考點 ISDN規(guī)范定義了連接一臺ISDN設備和另外一臺設備的4個參考點 終端設備1（TE1） 終端設備2（TE2） 終端適配器（TA） 1型網(wǎng)絡端連接器（NT1） 2型網(wǎng)絡終端連接器（NT2） 線路端連接器（LT） 交換機端連接器（ET）ISDN功能和參考點功能和參考點 R參考點（用戶參考點） S參考點（系統(tǒng)參考點） T參考點（終端參考點） U參考點（速率參考點）ISDN交換機類型交換機類型 ISDN交換機的種類很多，部分取決于使用交換機的國家，這是對Q.931的不同實施造成的結果，Q.931是不同供應商制造的交換機所使用

25、的D信道信令協(xié)議。美國/加拿大 AT&T 5ESS/4ESS，北方電信DMS-100日本NTT英國Net3/Net5歐洲Net3ISDN的特點的特點 特點 多種業(yè)務的兼容性 數(shù)字傳輸 ISDN能夠提供端到端的數(shù)字連接 標準化的接口 ISDN能夠提供多種業(yè)務的關鍵在于使用標準化的用戶接口 使用方便 終端移動性 費用低廉ISDN的優(yōu)點的優(yōu)點 優(yōu)點： 綜合的通信業(yè)務 呼叫速度快 傳輸質(zhì)量高 使用靈活方便 費用適宜廣域網(wǎng)接入技術分類廣域網(wǎng)接入技術分類Network Layer （網(wǎng)絡層）（網(wǎng)絡層）X.25 PLPData Link Layer（數(shù)據(jù)鏈路層）（數(shù)據(jù)鏈路層）LLC（Sublayer

26、）LAPBFrame RelayHDLCPPPSDLCSMDSMAC（Sublayer）Physical Layer（物理層）（物理層）X.21BisEIA/TIA-232EIA/TIA-449V.24 V.35HSSI G.73EIA-530廣域網(wǎng)中的常見數(shù)據(jù)鏈路層協(xié)議廣域網(wǎng)中的常見數(shù)據(jù)鏈路層協(xié)議 常見的幾種數(shù)據(jù)鏈路層協(xié)議常見的幾種數(shù)據(jù)鏈路層協(xié)議: 點到點協(xié)議（點到點協(xié)議（PPP） 高級數(shù)據(jù)鏈路控制（高級數(shù)據(jù)鏈路控制（HDLC）協(xié)議）協(xié)議 幀中繼（幀中繼（Frame Relay）課程議題課程議題點點對對點協(xié)議點協(xié)議PPPPoint-to-Point ProtocolPPP協(xié)議簡介協(xié)議簡介 P

27、PP（Point-to-Point Protocol）是）是HDLC的擴展，的擴展，1994年正式成為因特網(wǎng)的標準協(xié)議年正式成為因特網(wǎng)的標準協(xié)議RFC 1661。 PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議，這是因為它協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議，這是因為它具有以下特性：具有以下特性： 能夠控制數(shù)據(jù)鏈路的建立；能夠控制數(shù)據(jù)鏈路的建立； 能夠?qū)δ軌驅(qū)P地址進行分配和使用；地址進行分配和使用； 允許同時采用多種網(wǎng)絡層協(xié)議；允許同時采用多種網(wǎng)絡層協(xié)議； 能夠配置和測試數(shù)據(jù)鏈路；能夠配置和測試數(shù)據(jù)鏈路； 能夠進行錯誤檢測；能夠進行錯誤檢測； 有協(xié)商選項，能夠?qū)φJ證和數(shù)據(jù)壓縮等進行協(xié)商。有協(xié)商選項，能

28、夠?qū)φJ證和數(shù)據(jù)壓縮等進行協(xié)商。 PPP概述概述 PPP是一種分層的協(xié)議，最初由是一種分層的協(xié)議，最初由LCP發(fā)起對鏈路的建立、發(fā)起對鏈路的建立、配置和測試。配置和測試。 在在LCP初始化后，通過一種或多種初始化后，通過一種或多種“網(wǎng)絡控制協(xié)議網(wǎng)絡控制協(xié)議（NCP）”來傳送特定協(xié)議族的通信。來傳送特定協(xié)議族的通信。 PPP 提供了一種在點對點的鏈路上封裝多協(xié)議數(shù)據(jù)報提供了一種在點對點的鏈路上封裝多協(xié)議數(shù)據(jù)報（ IP 、IPX和和AppleTalk）的標準方法。）的標準方法。PPP協(xié)議體系結構協(xié)議體系結構PPP協(xié)議使用了協(xié)議使用了OSI分層體系結構中的分層體系結構中的3層層PPP協(xié)議結構說明協(xié)議結

29、構說明 采用高級數(shù)據(jù)鏈路控制協(xié)議采用高級數(shù)據(jù)鏈路控制協(xié)議HDLC作為點到點的串行鏈作為點到點的串行鏈路上封裝數(shù)據(jù)報的基本方法；路上封裝數(shù)據(jù)報的基本方法； 采用鏈路控制協(xié)議采用鏈路控制協(xié)議LCP（Link Control Protocol）用于）用于啟動線路、測試、任選功能的協(xié)商及關閉連接；啟動線路、測試、任選功能的協(xié)商及關閉連接； 采用網(wǎng)絡控制協(xié)議采用網(wǎng)絡控制協(xié)議NCP（Network Control Protocol）用）用來建立和配置不同的網(wǎng)絡層協(xié)議，來建立和配置不同的網(wǎng)絡層協(xié)議，PPP允許同時采用多允許同時采用多種網(wǎng)絡層協(xié)議，如種網(wǎng)絡層協(xié)議，如IP、IPX和和DECnet，PPP使用使用

30、NCP對對多種協(xié)議進行封裝。多種協(xié)議進行封裝。HDLC 的幀結構的幀結構 標志字段標志字段 F (Flag) 為為 6 個連續(xù)個連續(xù) 1 加上兩邊各一個加上兩邊各一個 0 共共 8 bit。在接收端只要找到標志字段就可確定一個幀的位置。在接收端只要找到標志字段就可確定一個幀的位置。比特888可變168信息 Info標志 F標志 F地址 A控制 C幀檢驗序列 FCS透明傳輸區(qū)間FCS 檢驗區(qū)間PPP 協(xié)議的幀格式協(xié)議的幀格式 PPP 有一個有一個 2 個字節(jié)的協(xié)議字段。個字節(jié)的協(xié)議字段。 當協(xié)議字段為當協(xié)議字段為 0 x0021 時，時，PPP 幀的信息字段就是幀的信息字段就是IP 數(shù)據(jù)報。數(shù)據(jù)

31、報。 若為若為 0 xC021, 則信息字段是則信息字段是 PPP 鏈路控制數(shù)據(jù)。鏈路控制數(shù)據(jù)。 若為若為 0 x8021，則表示這是網(wǎng)絡控制數(shù)據(jù)。，則表示這是網(wǎng)絡控制數(shù)據(jù)。 IP 數(shù)據(jù)報1211字節(jié)12不超過 1500 字節(jié)PPP 幀先發(fā)送7EFF03FACFCSF7E信 息 部 分首部尾部區(qū)別區(qū)別 PPP 協(xié)議不使用序號和確認機制協(xié)議不使用序號和確認機制 在數(shù)據(jù)鏈路層出現(xiàn)差錯的概率不大時，使用比較簡在數(shù)據(jù)鏈路層出現(xiàn)差錯的概率不大時，使用比較簡單的單的 PPP 協(xié)議較為合理。協(xié)議較為合理。 在因特網(wǎng)環(huán)境下，在因特網(wǎng)環(huán)境下，PPP 的信息字段放入的數(shù)據(jù)是的信息字段放入的數(shù)據(jù)是 IP 數(shù)據(jù)報。數(shù)

32、據(jù)鏈路層的可靠傳輸并不能夠保證網(wǎng)絡數(shù)據(jù)報。數(shù)據(jù)鏈路層的可靠傳輸并不能夠保證網(wǎng)絡層的傳輸也是可靠的。層的傳輸也是可靠的。 幀檢驗序列幀檢驗序列 FCS 字段可保證無差錯接受。字段可保證無差錯接受。 PPP是面向字符，而是面向字符，而HDLC是面向比特。是面向比特。 同步傳輸鏈路，同步傳輸鏈路， PPP協(xié)議規(guī)定采用硬件來完成比特協(xié)議規(guī)定采用硬件來完成比特填充（和填充（和 HDLC 的做法一樣）。的做法一樣）。 異步傳輸時，異步傳輸時， PPP使用一種特殊的字符填充法。使用一種特殊的字符填充法。PPP的工作過程的工作過程 在點對點鏈路的配置、維護和終止過程中，在點對點鏈路的配置、維護和終止過程中，P

33、PP需經(jīng)歷需經(jīng)歷以下幾個階段：以下幾個階段： 鏈路不可用階段鏈路不可用階段 鏈路建立階段鏈路建立階段 驗證階段驗證階段 網(wǎng)絡層協(xié)議階段網(wǎng)絡層協(xié)議階段 網(wǎng)絡終止階段網(wǎng)絡終止階段PPP的工作過程的工作過程PPP LCP選項選項 身份驗證 Authentication PAP CHAP PPP回拔 Callback 壓縮 Compression 多鏈路 MultilinkPPP的配置的配置 路由器上的配置路由器上的配置RA(config)# interface seriel 1/2RA(config-if)# 注：銳捷路由器廣域網(wǎng)接口默認封裝方式為注：銳捷路由器廣域網(wǎng)接口默認封裝方式為HDLC課程議

34、題課程議題PPP協(xié)議的驗證協(xié)議的驗證PAP和和CHAPPAP和和CHAP認證認證 PPP支持兩種授權協(xié)議：支持兩種授權協(xié)議： PAP（Password Authentication Protocol） 密碼驗證協(xié)議，通過兩次握手機制，為建立遠程節(jié)密碼驗證協(xié)議，通過兩次握手機制，為建立遠程節(jié)點的驗證提供了一個簡單的方法。點的驗證提供了一個簡單的方法。 CHAP（Challenge Hand Authentication Protocol）。）。 挑戰(zhàn)握手驗證協(xié)議，使用三次握手機制來啟動一條挑戰(zhàn)握手驗證協(xié)議，使用三次握手機制來啟動一條鏈路和周期性的驗證遠程節(jié)點。鏈路和周期性的驗證遠程節(jié)點。 在在P

35、PP會話中，驗證是可選的；會話中，驗證是可選的； 如果需要驗證，通信雙方的路由器要交換彼此的驗證信息；如果需要驗證，通信雙方的路由器要交換彼此的驗證信息；在一般情況下，在一般情況下，CHAP是首選協(xié)議。是首選協(xié)議。PAP認證認證 PAP認證是兩次握手，認證是兩次握手， PAP不是一種健壯的身份驗證協(xié)議。身份驗證時在鏈路上不是一種健壯的身份驗證協(xié)議。身份驗證時在鏈路上以明文發(fā)送，而且由于驗證重試的頻率和次數(shù)由遠程節(jié)點以明文發(fā)送，而且由于驗證重試的頻率和次數(shù)由遠程節(jié)點來控制，因此不能防止回放攻擊和重復的嘗試攻擊。來控制，因此不能防止回放攻擊和重復的嘗試攻擊。被驗證方被驗證方驗證方驗證方Hostna

36、me= clientPassword= password 用戶名用戶名+ +密碼密碼驗證成功驗證成功驗證失敗驗證失敗Hostname= clientPassword= password CHAP認證認證 CHAP為三次握手協(xié)議為三次握手協(xié)議 它只在網(wǎng)絡上傳送用戶名而不直接傳送口令它只在網(wǎng)絡上傳送用戶名而不直接傳送口令 安全性要比安全性要比PAP高，但認證報文耗費帶寬高，但認證報文耗費帶寬被驗證方被驗證方驗證方驗證方Hostname= clientPassword= password Hostname= clientPassword= password ChallengeRB+挑戰(zhàn)報文挑戰(zhàn)報文R

37、esponseRA+加密后的密碼加密后的密碼驗證成功驗證成功驗證失敗驗證失敗PPP的身份驗證過程的身份驗證過程配置配置PPP協(xié)議協(xié)議 配置時鐘頻率，需要在配置時鐘頻率，需要在DCE設備上配置設備上配置 配置封裝協(xié)議配置封裝協(xié)議Router(config-if)#clock rate bpsRouter(config-if)#e n c a p s u l a t i o n e n c a p s u l a t i o n - t y p e配置配置PAP認證認證 服務器端，建立本地口令數(shù)據(jù)庫服務器端，建立本地口令數(shù)據(jù)庫 服務器端，要求進行服務器端，要求進行PAP認證認證 客戶端將用戶名和口

38、令發(fā)送到對端客戶端將用戶名和口令發(fā)送到對端Router(config)#username name 0|7 password password Router(config-if)#ppp authentication chap|pap|chap pap|pap chap Router(config-if)#ppp pap sent-username username password encryption-type password 配置配置CHAP認證認證 服務器端和客戶端，建立本地口令數(shù)據(jù)庫服務器端和客戶端，建立本地口令數(shù)據(jù)庫 服務器端，要求進行服務器端，要求進行CHAP認證認證 客戶端將

39、用戶名和口令發(fā)送到對端客戶端將用戶名和口令發(fā)送到對端Router(config)#username name 0|7 password password Router(config-if)#ppp authentication chap|pap|chap pap|pap chap Router(config-if)#ppp chap hostname hostnameppp chap password encryption-type password 調(diào)試命令調(diào)試命令 檢查二層的封裝，同時顯示檢查二層的封裝，同時顯示LCP和和NCP兩者的狀態(tài)，兩者的狀態(tài)， 觀察觀察PPP通訊過程中的報文信息通

40、訊過程中的報文信息 查看在查看在PPP通訊過程中授權調(diào)試信息通訊過程中授權調(diào)試信息Router#s h o w i n t e r f a c e s e r i a lRouter#debug ppp packetsRouter#d e g u b p p p a u t h e n t i c a t i o n查看查看HDLC和和PPP的封裝的封裝R2# serial 1/2 is UP , line protocol is UPHardware is PQ2 SCC HDLC CONTROLLER serialInterface address is: /24 M

41、TU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 59 bits/sec, 0 packets/sec 5 minutes output rate 20 bits/sec, 0 packets/sec 373 packets input, 10828

42、 bytes, 0 no buffer Received 298 broadcasts, 0 runts, 0 giants 1 input errors, 0 CRC, 1 frame, 0 overrun, 0 abort 324 packets output, 14592 bytes, 0 underruns 0 output errors, 0 collisions, 15 interface resets 1 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=up 查看查看HDLC和和PPP的封裝的封裝

43、R2# serial 1/2 is UP , line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is PPP, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 LCP Open Open: ip

44、cp Queueing strategy: WFQ 5 minutes input rate 174 bits/sec, 0 packets/sec 5 minutes output rate 112 bits/sec, 0 packets/sec 565 packets input, 14043 by Received 316 broadcasts, 0 runts, 0 giants 3 input errors, 0 CRC, 3 frame, 0 overrun, 0 abort 502 packets output, 16878 bytes, 0 underruns 0 output

45、 errors, 0 collisions, 22 interface resets 1 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=upPPP協(xié)議的認證配置協(xié)議的認證配置 【實驗拓撲實驗拓撲】 配置配置Serial Ports上的上的PPP參數(shù)參數(shù) 配置配置PAP 配置配置CHAPSerial 1/2Serial 1/2R1R2Lab: PAP(單向驗證單向驗證)Serial 1/2Serial 1/2授權方被驗證方(config-if)# enc ppp(config-if)# enc ppp(conf

46、ig-if)# ppp auth pap(config)# user x pass y(config-if)# ppp pap sent x pass yLab: CHAP(單向驗證單向驗證)Serial 1/2Serial 1/2授權方被驗證方(config-if)# enc ppp(config-if)# enc ppp(config-if)# ppp auth chap(config)# user x pass y(config-if)# ppp chap host x(config-if)# ppp chap pass yPPP PAP認證配置實例認證配置實例ISDN/PSTNhost

47、name leftusername right password right1int bri 0encapsulation pppppp authentication PAPip add ppp pap sent-username leftpassword left1hostname rightusername left password left1int bri 0encapsulation pppppp authentication PAPip add ppp pap sent-username rig

48、htpassword right1PPP CHAP認證配置實例認證配置實例Username right password starnethostname R1int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnetUsername left password starnethostname R2int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname

49、right ppp chap password starnetCHAP身份驗證過程 挑戰(zhàn)：由驗證方向被驗證方發(fā)出質(zhì)詢挑戰(zhàn)：由驗證方向被驗證方發(fā)出質(zhì)詢CHAP身份驗證過程身份驗證過程 回應：由被驗證方向驗證方發(fā)出的質(zhì)詢作出響應回應：由被驗證方向驗證方發(fā)出的質(zhì)詢作出響應CHAP身份驗證過程身份驗證過程 確認：驗證方接收被驗證方回應后，比對用戶數(shù)據(jù)庫，確認：驗證方接收被驗證方回應后，比對用戶數(shù)據(jù)庫，根據(jù)結果決定接受或拒絕連接。根據(jù)結果決定接受或拒絕連接。CHAP雙向驗證雙向驗證 在配置在配置CHAP雙向驗證時，由于缺省情況下，被驗證方發(fā)送雙向驗證時，由于缺省情況下，被驗證方發(fā)送自己的設備名作為自己的

50、設備名作為PPP用戶認證名，因此可以不使用用戶認證名，因此可以不使用ppp chap hostname命令，于是雙方的在配置本地用戶數(shù)據(jù)庫時命令，于是雙方的在配置本地用戶數(shù)據(jù)庫時（username password命令）命令）username必須指定為對方的設必須指定為對方的設備名（備名（hostname）；）； 當本地數(shù)據(jù)庫存在匹配挑戰(zhàn)消息中的質(zhì)詢者認證名時，將使當本地數(shù)據(jù)庫存在匹配挑戰(zhàn)消息中的質(zhì)詢者認證名時，將使用記錄中的口令而不是缺省的認證口令（由用記錄中的口令而不是缺省的認證口令（由ppp chap password命令指定）進行回復，因此雙方也不需要指定缺命令指定）進行回復，因此雙方

51、也不需要指定缺省的認證口令；省的認證口令； 在雙方確認時，由于是將對方的用戶數(shù)據(jù)庫記錄的口令和本在雙方確認時，由于是將對方的用戶數(shù)據(jù)庫記錄的口令和本地數(shù)據(jù)庫記錄的口令進行比對，因此雙方的口令必須一致。地數(shù)據(jù)庫記錄的口令進行比對，因此雙方的口令必須一致。CHAP雙向驗證的配置雙向驗證的配置 在不使用在不使用ppp chap hostname定義定義CHAP認證的公共主機別名認證的公共主機別名的情況下，的情況下，CHAP雙向認證的配置參考如下：雙向認證的配置參考如下： 雙方使用雙方使用hostname全局配置命令指定路由器設備名；全局配置命令指定路由器設備名； 雙方使用雙方使用encapsulat

52、ion ppp接口配置命令啟用接口配置命令啟用PPP協(xié)議；協(xié)議； 雙方使用雙方使用ppp authentication chap接口配置命令啟用接口配置命令啟用CHAP驗證；驗證； 雙方使用雙方使用username password全局配置命令配置本地用戶全局配置命令配置本地用戶數(shù)據(jù)庫，注意數(shù)據(jù)庫，注意username指定為對方的指定為對方的hostname，password要一致。要一致。 Lab: CHAP (雙向驗證雙向驗證)Serial 1/2Serial 1/2(config-if)#Enc ppp(config-if)#Enc ppp(config-if)#ppp auth cha

53、p(config-if)#ppp auth chap(config)#user pass (config)#user pass (config)#host (config)#host x，y：雙方：雙方router的名字，雙方的名字，雙方password相同相同PPP CHAP認證配置實例認證配置實例Username right password starnethostname R1int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnetUs

54、ername left password starnethostname R2int serial 1/2 encapsulation ppp ppp authentication CHAP ppp chap hostname right ppp chap password starnetPPP CHAP認證配置實例認證配置實例Username right password starnethostname leftint serial 1/2 encapsulation ppp ppp authentication CHAP Username left password starnethost

55、name rightint serial 1/2 encapsulation ppp ppp authentication CHAP Lab: CHAP (雙向驗證雙向驗證)(config-if)#Enc ppp(config-if)#ppp auth chap(config-if)#ppp chap host x x：公共主機名：公共主機名 y：公共口令：公共口令(config-if)#ppp chap pass y(config)#user pass PPP認證的調(diào)試認證的調(diào)試Router#show interfaces serial Router#debug ppp authentica

56、tiondebug ppp authentication(PAP)R2#debug ppp authenticationPPP: ppp_clear_author(), protocol = TYPE_LCP%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 PAP ACK receivedPPP: serial 1/2 Passed PAP authentication with remotePPP: serial 1/2 lcp authentication OK!PPP: ppp_clear_au

57、thor(), protocol = TYPE_IPCP%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UPdebug ppp authentication(CHAP)R2#debug ppp authenticationPPP: ppp_clear_author(), protocol = TYPE_LCP%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 authentication event enqueue ,messa

58、ge type = RECV_CHAP_CHALLENGEPPP: dispose authentication message RECV_CHAP_CHALLENGEPPP: serial 1/2 Using CHAP hostname r2.PPP: serial 1/2 recv CHAP challenge from R1PPP: serial 1/2 username R1 not found in local router.PPP: serial 1/2 Using default CHAP password.PPP: serial 1/2 Passed CHAP authenti

59、cation with remote.PPP: serial 1/2 lcp authentication OK!PPP: ppp_clear_author(), protocol = TYPE_IPCP%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UPdebug ppp authentication(CHAP)R2#debug ppp authentication%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 Send

60、CHAP challenge id=42 to remote hostPPP: serial 1/2 authentication event enqueue ,message type = RECV_CHAP_CHALLENGEPPP: serial 1/2 authentication event enqueue ,message type = RECV_CHAP_RESPONSEPPP: dispose authentication message RECV_CHAP_CHALLENGEPPP: serial 1/2 recv CHAP challenge from R2PPP: dispose