CCNA学习笔记13WANppp

WAN

    WAN是一种超于LAN地理范围的数据通信网络

        企业必须向WAN服务提供商购买服务。而LAN通常归为使用LAN的公司货组织

        WAN中连接的设备跨越地理区域比LAN更广。

企业选择跨地域在wan网时，建议两地选择相同的运营商，可以保证流量带宽质量。

专线（私有网络）价格昂贵，带宽有保证，安全。

CN2：包交换技术，保证带宽质量，费用也较专线便宜但也比普通internet昂贵。

广域网连接类型

    点到的 同步串口（低速T1 1.544M;E1 2.048M）常见协议PPP

    电路交换 异步串口（电话网络）

    分组（包）交换 同步串口（运营商应用）

WAN技术概述

     操作主要集中在1,2,3层。专线2层。CN23层（ipsec）

WAN 接入方式

    无线，传统有线ADSL,同轴电缆（电视信号转换网络数字），以太接入

VPN:

    是公共网络之上多个私有网络之间的连接

    优势：成本低，可扩展向好，与宽带技术的兼容性

    连接方式多种：IPsec,GRE,MPLS VPN,L2VPN

$####################################################################################################################################################################################

PPP

  HDLC思科私有

    思科设备串口，默认封装时HDLC.encapsulation hdlc

  PPP协议

    提供了一种标准的方式在点到的的链路上传输的多种网络层写的数据报

    对应osi7层模型的 第二层 数据链路层。物理层要特种支持PPP的线缆。

  帧结构

PPP协议链路建立过程

    1，链路建立（LCP）

    2，验证阶段（PAP/CHAP）

    3，网络层协议连接（NCP）

 ■创建LCP

        LCP负责创建链路，在这个阶段，将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文（configure packets）。一旦一个配置成功信息报（configure-ack packet）被发送且被接收，就完成了交换，进入LCP开启阶段。

就路由器A发送一个request，若得到B的ACK就通，建立了。没收到就不通。

记住前两种。

 ■认证阶段（PAP/CHAP）

    在这个阶段，客户端会将自己的身份发给远端的接入服务器。该阶段使用一种安全认证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。

    该阶段，只有链路控制协议，认证协议，链路质量监控协议的packets时被允许的。其他packet会被丢弃。

    常用的认证：口令认证协议PAP。挑战握手验证CHAP

    认证阶段，需要手工配置PPP认证方式。

 ■网络协商阶段（链路开启NCP）

    经历第一阶段（链路创建）和第二阶段（认证）之后，PPP将进入第三阶段（链路开启），由NCP协议负责传输PPP链路上的数据。由NCP来解决三层以上的流量如何传输。此阶段还由IPCP协议来给客户端分配IP地址。

  这样，经过三个阶段，一条完整的PPP链路就建立了。

PPP可以通过NCP携带多个协议（IP）的数据包

PPP可以通过LCP建立和控制连接

◆PAP/CHAP认证

    PPP会话中，验证时可选的

    若需要验证，则需通信双方的路由器交换彼此的验证信息。

    可选密码验证PAP或询问握手验证协议CHAP。一般CHAP是首选

 PAP(明文)通过两次握手。因验证重试频率和次数都是远程节点控制，所有不能放止回放工具和重复的                         尝试攻击。

 CHAP（哈希算法）使用三次握手机制启动一条链路并周期性的验证远程节点。

                 验资方向被验证方发起挑战

                 被验证方发送加密应答

                 验证方返回最终认证结果

               只在网络上传输用户名，而不传输口令

扩展 MD5 不定长输入定长输出128位 唯一性（相同数据哈西的结果一致）:MD5可以哈西任何数据。例如哈西配置 verify /md5 system: running-configure

◆配置：

        一，不认证 双方路由器S口no shut

                   接口下 encapsulation ppp

                  sho int s1/0查看LCP开启状态，配置接口地址，查看IPCP开启状态。

        二。认证 

                第一步 拨号者发起CHAP呼叫

                        ppp authentication chap

                        LCP协商CHAP认证方式和MD5算法

                第二步 向拨号者发送挑战信息

                        1，建立挑战数据包：ID  随机数 认证名

                        2，将id 随机数 认证名对应的pass进行哈西

                        3，拨号者将自己的哈希值返回给认证方，认证方比较哈西值

例：PAP

R1客户端 R2服务器端 R1 向R2认证

    R2：int s1/2

          ip add 12.1.1.2 255.255.255.0

          encapsulation ppp

          ppp authentication pap

          no shut

        username cisco password ciso(此处用来给R1作认证用的)

    R1: int s1/2

        ip add 12.1.1.1 255.255.255.0

        ppp pap sent-username cisco password cisco

  CHAP

R1服务端 R2客户端 

        R1: int s1/2

                ppp authentication chap

            username R2 pass cisco

        R2: username R1 pass cisco

待续。。。。

CCNA学习笔记13-WAN ppp