《计算机网络构建技术 教学课件 ppt 作者 余明辉 安淑梅 网络构建7》由会员分享,可在线阅读,更多相关《计算机网络构建技术 教学课件 ppt 作者 余明辉 安淑梅 网络构建7(72页珍藏版)》请在金锄头文库上搜索。
1、第7章 路由技术,7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术,服务供应商,企业网络拓扑结构,1 点对点链路,2 电路交换,3 虚拟电路,7.1.2 广域网接入技术分类,数据报 数据流,每次会话建立一条专用物理电路,SVC PVC,4 包交换,采用统计利用技术实现电路共享 ATM/帧中继/X.25,7.1.3 广域网设备,1 广域网交换机 工作在OSI的数据链路层, 对帧中继,X.25以及SMDS等数据流量进行操作,交换式多兆位数据服务(SDMS)是基于数据报的高速分组交换WAN技术,主要用于公用数据网络的通信。SMDS可
2、以采用光纤介质或铜介质,另外,SMDS的数据单元比较大,可以包容IEEE802.3、IEEE802.5和FDDI的帧。,7.1.3 广域网设备,2 接入服务器,7.1.3 广域网设备,3 调制解调器 4 CSU/DSU 信道服务单元(CSU)/数据服务单元(DSU) 数据终端设备到数据通信设备的复用器 功能:信号再生,线路调节,误码纠正,信号管理,同步和电路测试等 5 ISDN终端适配器 6 路由器(Router),服务供应商,广域网接入,常见的DTE与DCE之间的连接标准 EIA/TIA-232 V.35,DTE (数据终端设备),DCE (数据通讯设备),7.1.4 广域网中的数据链路层协
3、议,定义数据如何封装和传输 包括点对点,多点和多路访问交换服务所设计的协议 点到点协议(PPP) 高级数据链路控制(HDLC)协议 帧中继(Frame Relay),专线,电路交换,分组交换,HDLC, PPP,PPP, HDLC,X.25, F-R,服务供应商,服务供应商,7.1.4 广域网中的数据链路层协议,F.R网络的组成,FRS,FRS,FRS,FRS,网桥,CSU/DSU,Router,Router,广域网 PSTN, X.25, DDN,Router,帧中继在这里工作,Host,Bridge,LAN,LAN,LAN,TCP/IP,IPX/SPX,AppleTalk, HDLC,SL
4、IP协议 只支持异步传输方式 只支持IP协议 没有验证机制, PPP协议 支持同异步传输方式 采用NCP协议(如IPCP、IPXCP),支持更多的网络层协议 具有验证协议CHAP、PAP, 更好了保证了网络的安全性,7.1.4 广域网中的数据链路层协议,7.1.5 点对点协议(PPP),PPP是SLIP(Serial Line Interface protocol)的继承者 同步和异步电路实现路由器到路由器和主机到网络(host-to-network)的连接。 PPP能支持差错检测,支持各种协议,在连接时IP地址可复制,具有身份验证功能,可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑
5、 PPP协议是目前使用最广泛的广域网协议,PPP的特性,(1)能够控制数据链路的建立; (2)能够对IP地址进行分配和使用; (3)允许同时采用多种网络层协议; (4)能够配置和测试数据链路; (5)能够进行错误检测; (6)有协商选项,能够对网络层的地址和数据压缩等进行协商。,PPP的功能,(1)PPP采用高级数据链路控制(HDLC)作为在点对点的链路上封装数据报的基本方法。 (2)链路控制协议LCP(Link Control Protocol)用于启动线路、测试、任选功能的协商及关闭连接。 (3)网络控制协议NCP(Network Control Protocol)用来建立和配置不同的网络
6、层协议。PPP协议允许同时采用多种网络层协议,如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。,(EIA/TIA-232、 449、520,V.21V.24, V.35, ISDN),LCP(连接控制协议),NCP(网络控制协议),OSI,2,1,(IP, IPX, AppleTalk),3,PPP协议结构,BCP IPCP IPXCP,1,同步 2,异步,3,PPP会话建立的过程,链路的建立和配置协调 通信的发起方发送LCP帧来配置和检测数据链路,主要用于协商选择将要采用的PPP参数,包括身份验证、压缩、回叫、多链路等。 链路质量检测: 在链路建立、协调之后
7、,这一阶段是可选的 网络层协议配置协调 通信的发起方发送NCP帧以选择并配置网络层协议。配置完成后,通信双方可以发送各自的网络层协议数据报。 关闭链路 通信链路将一直保持到LCP或NCP帧关闭链路,PAP or CHAP,认证 Authentication,PSTN/ISDN,PSTN/ISDN,回拨 Callback,压缩 Compression,多链路捆绑 Multilink,Data,链路的建立和配置协调阶段中的 PPP LCP选项,实例:PC终端首先通过调制解调器呼叫远程访问服务器,PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程访问模块应答了这个呼叫后,就建立起一个初始
8、的物理连接 两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证,接下来就开始认证过程 如果认证失败,如错误的用户名、密码,则链路被终止,双方负责通信的设备或模块(如用户端的调制解调器或服务器端的远程访问模块)将关闭物理链路回到空闲状态。如果认证成功,通信双方开始交换一系列的NCP分组来配置网络层 如果网络层使用的是IP协议,此过程是由IPCP完成的。当NCP配置完成后,双方的逻辑通信链路就建立好了,双方可以开始在此链路上交换上层数据。 当数据传送完成后,一方会发起断开连接的请求。这时,首先使用NCP来释放网络层的连接,归还IP地址,然后利用LCP来关闭数据链路层连接,最后,双方的
9、通信设备或模块关闭物理链路回到空闲状态。,4,PAP和CHAP原理,PPP提供了两种可选的身份认证方法: 口令验证协议(Password Authentication Protocol,PAP) 挑战握手协议(Challenge Handshake Authentication Protocol,CHAP),身份认证 :PAP,PAP是一个简单的、实用的身份验证协议,PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。 当双方都封装了PPP协议且要求进行PAP身份认证,同时它们之间的链路在物理层己激活后,认证客户端(被认证一端)会
10、不停地发送身份认证请求,直到身份认证成功。当认证客户端路由器发送了用户名或口令后,认证服务器会将收到的用户名和口令与本地数据库中的口令信息比较,如果正确则身份认证成功,否则认证失败。,身份认证 :PAP(二次握手),PAP认证过程经过了两个阶段,通常称为两次握手 阶段1:被验证方(远端路由器)发送用户名和口令到验证方 阶段2:验证方(中心路由器)对用户名和口令进行认证,根据结果返回接受或拒绝认证请求的信息。 PAP认证可以在一方进行,即由一方认证另一方的身份,也可以进行双向身份认证。这时,要求被认证的双方都要通过对方的认证程序,否则,无法建立二者之间的链路。 PAP的弱点是用户的用户名和密码是
11、明文发送的,有可能被协议分析软件捕获而导致安全问题。但恰恰是这样,认证只在链路建立初期进行,因此节省了宝贵的链路带宽。,Client,Server,Hostname: wz Password: hyper123,username wz password hyper123,Request(username,password),Auth Nak,PPP PAP验证,Auth Ack,两次握手协议 明文方式进行验证,身份认证 :CHAP,CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在
12、双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。 CHAP对系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。,身份认证 :CHAP(三次握手),CHAP认证过程经过了三个阶段,通常称为三次握手: 阶段1:当被验证方(远端路由器)向验证方(中心路由器)发送用户名做请求连接后,验证方向被验证方发送一串随机字符(“挑战”阶段) 阶段2:被验证方利用口令和MD5算法,对随机字符串进行加密产生密文,并将密文发送给验证方(“回应”阶段) 阶段3:验证方利用同样的方式对随机字符串进行加密产生密文,并将它与接
13、收到的密文进行比较,然后根据比较结果接受或拒绝连接请求,若比较结果一致则接受,否则拒绝。,Client,Server,Hostname: wz Password: hyper123,username wz password hyper123,Challenge 挑战字符串,Response,Success,PPP CHAP验证,Failure,CHAP为三次握手协议 只在网络上传输用户名,而并不传输口令 安全性要比PAP高,但认证报文浪费带宽,第一步 定义接口封装类型: Router(config-if)#encapsulation ppp 第二步 定义本地数据库: Router(config
14、)#username username password password,PPP认证配置,第三步 定义PAP认证: Router(config-if)#ppp authentication pap Router(config-if)#ppp pap sent-username username password password 定义CHAP认证: Router(config-if)#ppp authentication chap Router(config-if)#ppp chap hostname username Router(config-if)#ppp chap password
15、password,PPP认证配置,hostname left username right password right1 int bri 0 encapsulation ppp ppp authentication PAP ip add 10.0.0.1 255.255.255.0 ppp pap sent-username left password left1,hostname right username left password left1 int bri 0 encapsulation ppp ppp authentication PAP ip add 10.0.0.2 255.
16、255.255.0 ppp pap sent-username right password right1,PPP PAP认证配置实例,Username right password starnet hostname R1 int serial 0 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnet,PPP CHAP认证配置实例,Username left password starnet hostname R2 int serial 0 encapsulation ppp ppp authenticat
