网络设备安装与调试5广域网协议配置课件.pptx

1、网络设备安装与调试5.广域网协议配置网络设备安装与调试学习任务学习任务1路由器广域网协议的路由器广域网协议的封装封装配置配置学习任务学习任务2路由器的广域网路由器的广域网PPP封封装验证装验证学习任务学习任务3网 络 地 址 转 换 协 议网 络 地 址 转 换 协 议(NAT)(NAT)配置配置路 由 器 的 广 域 网HDLC封装使用PPP的PAP认证利用NAT实现外网主机访问内网服务器路由器的广域网PPP封装使用PPP的CHAP认证利用动态NAT实现局域网访问互联网5.1.1网络设备安装与调试 路由器广域网HDLC 封装配置5.1路由器广域网协议的封装配置网络设备安装与调试学习情境学习情

2、境 高级数据链路控制（High-Level Data Link Control简称HDLC），是一个在同步网上传输 数据、面向比特的数据链路层协议，它是由国际标准化组织(ISO)根据IBM公司的SDLC(Synchronous Data Link Control)协议扩展开发而成的。管理员在公司想通过路由器来模拟公网实现HDLC协议的配置。情境分析情境分析 路由器在进行广域网HDLC协议的封装时，需要使用广域网接口来实现，分别对两台路由器的广域网端口S0封装HDLC、分配IP地址，并且配置静态路由，这样就可以实现公司间通信了。网络设备安装与调试所需设备：（1）DCR-2655路由器2台。（2）

3、CR-V35MT 1条。（3）CR-V35FC 1条。（4）交叉线1条。（5）PC机1台。（6）Console配置线1条。Rout er-A192.168.2.1F0/0S1/1192.168.1.1192.168.1.2S1/0Router-B网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示5.1.2网络设备安装与调试 路由器广域网PPP 封装配置5.1路由器广域网协议的封装配置网络设备安装与调试学习情境学习情境 某公司下属多个分公司，并且总公司与分公司分别设在不同城市，为了顺利开展业务，要求总公司与分公司之间的网络通过路由器相连，并保持网络连通

4、。要求管理员在路由器上适当配置，实现公司网内部主机之间相互通信。情境分析情境分析 管理员准备通过广域网接口S0连接总公司与分公司。分别对两台路由器的广域网端口S0封装PPP、分配IP地址，并且配置静态路由，这样就可以通信了。网络设备安装与调试所需设备：（1）DCR-2655路由器 2台。（2）CR-V35MT 1条。（3）CR-V35FC 1条。（4）console线1条。（5）交叉线1条。（6）PC机2台。PC1 PC2 F0/0 S0/1 S0/1 R outerA R outerB F0/0 网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构

5、图进行讲解和演示5.2.1网络设备安装与调试 使用PPP的PAP认证5.2路由器广域网协议的PPP封装网络设备安装与调试学习情境学习情境 某公司为了满足不断增长的业务需求，申请了专线接入。公司的路由器与ISP进行链路协商时，需要验证身份。配置路由器以保证链路的建立，并考虑其安全性。情境分析情境分析 WAN专线链路建立时要进行安全验证，以保证链路的安全性。链路协商时，密码验证协议（PAP，Password Authentication Protocol）在设备之间传输用户名、密码，以实现用户身份的验证确认。公司计划路由器上配置PPP PAP认证，以实现链路的安全链接。网络设备安装与调试所需设备：

6、（1）DCR-2655路由器 2台。（2）CR-V35MT 1条。（3）CR-V35FC 1条。（4）console线1条。网络设备安装与调试相关知识相关知识PPP支持两种认证方式PAP和CHAP。PAP（Password Authentication Protocol，密码验证协议）是指验证双方通过两次握手完成验证过程，它是一种用于对试图登录到点对 点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求，发送的验证包含用户名和密码。由验证方验证后做出回复，通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。PAP是一种简单的明文验证方式。NAS（网络接入服务器，

7、Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示5.2.2网络设备安装与调试 使用PPP的CHAP认证5.2路由器广域网协议的PPP封装网络设备安装与调试学习情境学习情境 考虑到增强WAN链路的安全功能，公司计划路由器上配置PPP的CHAP认证

8、，以满足日益增长的安全需求。情境分析情境分析 CHAP（Challenge Hand Authentication Protocol 挑战握手后验证协议）使用三次握手机制来启动一条链路和周期性的验证远程节点。与PAP认证比较起来，CHAP认证更具有安全性。CHAP只在网络上传送用户名而不传送口令，因此安全性更高。网络设备安装与调试所需设备：（1）DCR-2655路由器 2台。（2）CR-V35MT 1条。（3）CR-V35FC 1条。（4）console线1条。网络设备安装与调试相关知识相关知识 CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口

9、令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challenge string）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令、会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，

10、CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remote client impersonation）进行攻击。网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示5.3.1网络设备安装与调试 利用NAT实现外网主机 访问内网服务器5.3 网络地址转换NAT配置网络设备安装与调试学习情境学习情境 某公司计划通过互联网向外发布公司的WEB主页。目前公司已经申请了公网IP地址，并创建了公司内部WEB服务器。现在，公司希望外网用户能够像内网用户一样访问公司的WEB服务器。情境分析情境分析 公司为WEB服务器申请一个公网IP地址的做法

11、是非常正确的，通过静态NAT的方式可以达到公司想要的效果。静态NAPT将内部私有地址和端口号转换为内部公网地址和端口号。当外部主机访问内部公网地址时，NAT设备将数据包中的目标IP地址（公网地址）与端口号转换为内部私有地址和端口号，从而实现使用公网地址向互联网发布内部服务器。网络设备安装与调试所需设备：（1）DCR-2626路由器 2台。（2）CR-V35MT 1条。（3）CR-V35FC 1条。（4）Console配置线1条。（5）交叉线2条。192.168.0.3/24F0/0Router-ARout er-B192.168.2.2/24192.168.2.1/24F0/0192.168.

12、0.1/24192.168.1.1/24S1/1S1/0192.168.1.2/24网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示5.3.2网络设备安装与调试 利用动态NAT实现 局域网访问互联网5.3 网络地址转换NAT配置网络设备安装与调试学习情境学习情境 某公司向因特网接入运营商申请了专线接入和公网IP地址，这意味着公司可以访问因特网了。然而，公司只有一个公网IP地址，却有几十台等待上网的计算机。情境分析情境分析 公司内部有很多台主机都要上外网，而公司只向ISP申请一个合法的IP地址。可以使用基于动态NAT地址复用（NAP

13、T）能实现多个用户同时公用一个合法的IP地址与外部Internet进行通信。当路由器检测到公司内部计算机访问外网的数据包时，会将IP数据包头部中的源IP地址（即内部保留地址）转换为公司申请的公网IP（内部全局地址）。经过IP地址转换的数据包就可以路由到因特网上了。网络设备安装与调试所需设备：所需设备：（1）DCR-2600路由器 2台。（2）CR-V35MT 1条。（3）CR-V35FC 1条。（4）Console配置线1条。（5）交叉线2条。（6）PC机2台。F0/0F0/0S1/1S1/0Router-ARouter-B192.168.0.3/24192.168.2.2/24192.168.1.1/24192.168.1.2/24192.168.2.1/24192.168.0.1/24网络设备安装与调试网络设备安装与调试请任课教师根据拓扑结构图进行讲解和演示请任课教师根据拓扑结构图进行讲解和演示