瞭解不一樣的廣域網技術---廣域網封裝簡要總結
廣域網技術:
區域網封裝(兩種):Ethernet II、IEEE802.3(這兩種封裝是比較相似的,主要包含源MAC目標MAC和型別欄位)。
廣域網封裝:HDLC、PPP、FR(幀中繼,與DMVPN的工作過程類似)、ATM(非同步傳輸,信元交換)。
序列點對點線路中基礎的資料傳輸:
1.HDLC(Hign-Data-Link-Control)高階資料鏈路控制協議(兩種):
CISCO私有的HDLC(可以描述上層使用的協議)
工業標準(特別老的裝置支援,僅僅支援上層使用IP協議)
注意:CISCO私有的HDLC和工業標準的HDLC不是一回事,假設一條鏈路兩端裝置使用不同的HDLC,是不能互通,因為CISCO私有的HDLC加入了控制字元(CISCO特有元素)
R1(config)#interface serial 1/1
R1(config-if)#encapsulation hdlc
HDLC缺點:
只支援點到點,不支援點到多點;
不支援IP地址協商;
只能封裝在同步鏈路上,如果是同異步串列埠的話,只有當同異步串列埠工作在同步模式下才能使用。
2.PPP(Point-To-Point Protocol):點對點協議,能夠做認證(包括高階認證AAA,也可以包括授權、審計等功能)。
PPP三步原則:
1)LCP:鏈路控制技術,檢測物理鏈路的封裝和物理鏈路的通訊性;
2)PPP認證:PAP(密碼認證協議)、CHAP(質檢握手挑戰協議);
3)NCP(Network Control Protocol)協商:協商上層所使用的封裝協議(無論上層使用何種封裝,無論是3層或是2.5層都要進行PPP協商),NCP協商時會主動傳送自己的主機路由(CDPCP、IPCP)。
R2(config)#inter serial 1/0
R2(config-if)#encapsulation ppp
點對點鏈路的PPP封裝會學習對方介面的主機路由(無論對方介面的網路掩碼是多少),其好處是------自動學習,可以更快的最長匹配實施轉發。
阻止對應的主機路由加表可以使用命令:
R2(config)#inter serial 1/0 R2(config-if)#no peer neighbor-route
PPP做認證:
1)PAP(Password Authtication Protocol)認證:一種簡單的一次性密碼認證,受到攻擊時不能自動檢測。有主認證方和被認證方,可以做單向認證,也可以做雙向認證(雙向的使用者名稱和密碼可以不一致)。
主認證方(定義金鑰資料庫,介面啟用PAP認證):
R1(config)#username ccie password cisco
R1(config-if)#ppp authentication pap
被認證方(傳送PAP認證的使用者名稱及密碼):
R2(config)#inter serial 1/0
R2(config-if)#ppp pap sent-username ccie password cisco
2)CHAP認證:質檢握手挑戰協議(三次握手的複雜多次協議,基於MD5),使用者名稱預設相當於本路由器的主機名。
三次握手(類似於TCP的三次握手,但完全不同):
主認證方傳送自己的主機名到被認證方;
被認證方將收到的主機名與密碼進行Hash運算,將校驗值發給主認證方(進行挑戰);
主認證方自己進行主機名與密碼的Hash運算,與被認證方發來的Hash值進行比對,成功給被認證方回校驗通過包,PPP會話建立完成。
CHAP在受到攻擊時能自動的終止PPP會話,因為他在整個過程中回隨時隨機的檢測PPP會話。
主認證方:
R2(config)#username R1 password cisco123
R2(config)#inter serial 1/0
R2(config-if)#ppp authentication chap
被認證方:
R1(config)#inter serial 1/1
R1(config-if)#ppp chap password cisco123
注意:CHAP雙向認證時雙方的密碼必須一致,否則認證失敗。
PPP的優點:
PPP可以使用在非同步序列連線比如撥號或者同步序列連線比如ISDN;
支援多種網路層協議;
支援各種連線引數的協商;
支援錯誤檢測;
允許進行資料壓縮。
知識點的擴充:
1.撥號上網技術:1)ADSL (早期電話線撥號上網用的技術);2)PPPOE(Point-to-Point Protocol Over Ethernet)乙太網上的點對點協議,是將點對點協議(PPP)封裝在乙太網(Ethernet)框架中的一種網路隧道協議,是現如今使用的撥號上網技術。
2.你撥號上網獲取IP地址是動態的通過PPPOE撥號上網,PPP有個地址推送的功能,而絕不是DHCP給你下放IP地址,切記DHCP是典型的區域網技術。
總結:對於PPP的CHAP認證我們一定要熟知其原理,並且能夠熟練的完成部署,因為是雙方密文做認證,相對比較安全。對於廣域網封裝中的FR,雖然現在幀中繼已不多見,但我感覺其技術原理還是很有意思的,建議大家可以瞭解瞭解。