RA概述:
remote access:
广域网的远程连接,按L1分类:
1:通过电路交换网络实现的专线:(circuit switching)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~``
1.1:通过真实的专用物理链路,实现的专线:
一般是通过同步串行链路(V.35)连接的,其支持的二层封装协议主要包括:
HDLC/PPP/SLIP
1.2:通过TDM网络(时分多路复用)实现的专线:
典型有:E1
其支持的二层封装协议与物理专线一样
2:按需拨号的电路交换网络(On-Demand circuit Switched)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一般用于网络的链路备份.
常见的业务包括:ISDN/PSTN(其中PSTN通常是以异步串行连接)
(ISDN也可以通过异步串行连接)
ISDN分为两种业务:(在中国ISDN交换机类型:Basic-net3)(全数字信道)
BRI:2B+D
PRI:30B+D
B信道:是用户用于传输数据的信道(用户数据信道),其带宽为64KBPS
D信道:是信令信道,不传输用户数据.
PRI:D带宽是64kbps; BRI:D带宽是16kbps
PSTN:56kbps(48~52kbps)(模拟信道)
3:包交换/分组交换(packet switching)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
在开始传输数据之前,必须事先建立一条VC(虚电路),用于数据包的传输.
用户的终端设备(CPE)通过同步串行链路连接ISP(局端CO)
常见业务:X.25/FR/ATM
4:宽带接入/Broadband Access
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
有线宽带:
xDSL:主要是传统的电信运营商所经营的网络,主要使用传统的固话网(双绞线),作为最后一公里的末端输入.
(语音+data)
Cable:主要是传统的有线电视运营商所经营的网络,主要使用传统的CATV网络,通过线路的双向改造,作为最后一公里的末端接入.(同轴电缆)
(视频+data)
powerLine Modem:
(电能+Data)
无线宽带:
CDMA/GPRS/PHS/3G
HDLC:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`
HDLC一般不推荐,原因有两个:
1:Cisco的HDLC帧头格式,携带了一个cisco的私有位:
其好处:实现HDLC的环境中,支持多协议:IP/IPX/AT (appletalk)
其缺点:只能跟CISCO的设备互通,不能兼容各厂商设备。
(原因是:标准的HDLC只支持单协议:IP)
CISCO默认在串口中,以HDLC为2层封装协议。
2:HDLC协议,本身不支持认证,无法保证安全性
建议使用PPP,PPP有多种可选模块,可以提高网络安全性,提升性能。(PPP可支持认证)
SLIP,相当于是PPP前身,功能单一,趋向淘汰
在CISCO设备上,串行链路默认使用CISCO HDLC,在华为的设备上,默认使用PPP
PPP(Point-to-point protocol)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PPP是业界开放性的标准,支持多协议环境,所有的厂商都可以支持。
HDLC/PPP的对比:
HDLC不支持多协议,PPP支持多协议
HDLC不支持认证,PPP支持认证
LCP(link control Protocol)
负责对L1的物理层链路,进行链路的建立,控制,维护,
NCP(network control protocol)
负责对L3的网络层,向下提供无差别的接口(*CP)
LCP包含了4大网络模块:
1:认证(authentication:PAP/CHAP)
2:压缩(compress)
3:回拨(callback)
4:多链路捆绑(mulit-link)
LAB1:Encapsulation PPP (从HDLC到PPP的迁移)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
step1:确认L1/L2/L3通达
(L2:HDLC)/(L3:网络协议/被路由协议:IP,寻路/路由协议:RIP)
routed routing
L1:V.35 sync serial1/的同步串行链路
L2:HDLC/PPP
L3:IP/RIP
step2:在R1-R3之间的链路改为PPP
R1/R3(config)#in s0
enca ppp
观察:
R1#debug ppp negotiation(PPP的协商)
1:Interface Serial0, changed state to up(L1 up)
2:PPP的认证:
(这是可选项目,如果进行认证,就必须成功,才有NCP的工作)
3:LCP: State is Open
4-1:se1 IPCP: State is Open (IP)
4-2:se1 CDPCP: State is Open (cdp)(show cdp neighbor)
5:Line protocol on interface serial1,changed state to up(L2 up)
检查:
R3#show interfaces s0
serial0 is up,line protocol is up
enca ppp
LCP Open
open:IPCP, CDPCP
测试:
R2#ping 3.3.3.3!!!!!!!!!!!!!!!!!!!!!!!!!!
R1#PPP链路的对方接口的32位主机路由:
C 13.0.0.3/32
R1(config)#in serial 1
R1(config-if)#no peer neighbor-route(取消本路由表里面的32位明细路由,仅对自己有效)
PPP authentication
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`
PAP/CHAP (PPP的认证,是链路的认证)
PAP(password authentication protocol)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
两次握手,建议在网络工程中使用双向认证。
两次握手:
1:被认证方,将对方所定义的账号/密码,以明文方式,发送给主认证方。
2:主认证方,把收到的账号/密码,与自己的数据库进行核对后,发回认证成功与否的信息。
PAP的缺点:账号/密码以明文方式,在链路上传输,不安全
LAB2:PAP认证(R1-R3)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`
step1:确认链路已经是封装为PPP链路
step2:在本路由器的数据库中,为对方构建账号/密码:
R1(config)#username xx password xx
R3(config)#username yy password yy
step3:选定PPP的认证方式为PAP
R1/3(config-if)#PPP authentication PAP
step4:将“自己在对方数据库中的账号/密码,发送给对方,供对方进行校验
R1(config-if)#ppp pap sent-username XX password XX
R3(config-if)#ppp pap sent-username YY password YY
(密码用户名大小写敏感)
观察:
R3#debug ppp authentication(PPP的认证)
LAB3:使用”主机名“作为”用户名“的简化的PAP认证:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
step1:
R1(config)#username R3 password R3
R3(config)#username R1 password R1
step2:
R1(config-if)#PPP pap sent-username R1 password R1
R3(config-if)#ppp pap sent-username R3 password R3
PPP chap认证(challenge handshake authentication protocol)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3次握手:
chap的优点:
从不在链路传送密码,challenge(X)和response(Y)都是随机数,这两者间是不可逆运算的,可以确保密码不被破译,保证网络的安全性。
1:主认证方的路由器,发出随机数(X=9)
2:被认证方的路由器,将接收的随机数,和事先定义好的密码=7,一起放入MD5的加密器,进行HASH算法的计算加密,把得到的数值y=32,response的形式,发送给主认证方。
3:主认证方,同样进行与第2步相同的操作,将得到的数值y',与从被认证方发来的Y,进行比较:
如果一致,发出认证成功信息:
如果不一致,发送认证失败信息
LAB4:CHAP认证:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
step1: 确认链路已经是封装为PPP链路
step2:为对方建账号/密码:(特别注意:密码必须一致)
R1(config)#username GZ password G-S
R2(config)#username SH password G-S
step3:选定认证方式是CHAP:
R1/2(config-if)#ppp authentication chap
step4:选定某组账号密码,进行CHAP认证
R2(config-if)#ppp chap hostname GZ
R2(config-if)#ppp chap password G-S
R1(config-if)#ppp chap hostname SH
R1(config-if)#ppp chap password G-S
打开接口,观察CHAP认证过程
”authentication failed " 原因是双方密码不一致
“MD/DES compare failed"
step5:在CHAP认证中,密码必须一致:
R1(config)#username xx password xx
R2(config)#username xx password xx
认证成功
LAB6:使用主机名作为用户名,简化的CHAP认证
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
step1:直接使用路由器的主机名,进行CHAP认证:
R1(config)#username R2 password xx
R2(config)#username R1 password xx
step2:在PPP接口中,只需要以下命令:
interface serial 0
enca ppp
ppp authentication chap
PPP/compression PPP 压缩
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PPP压缩可以提高PPP链路的带宽利用率。
支持3种压缩算法:
1:mppc
2:predictor
3:stac
step1:按图配置好IP,确认L1/L2/L3(RIP)
step2: 将R2-R4链路更改为PPP链路
step3:在R2-R4的PPP链路的接口中,启动PPP压缩:(3选1)
3-1:(if-s0)compress mppc
3-2:(if-s0)compress predictor
3-3:(if-s0)compress stac
3-4:TCP头压缩:(语音的数据包,其数据净荷很小,头大身小情况)
(config-if)#ip tcp header-compression