广域网技术:
局域网封装(两种):Ethernet II、IEEE802.3(这两种封装是比较相似的,主要包含源MAC目标MAC和类型字段)。
广域网封装:HDLC、PPP、FR(帧中继,与DMVPN的工作过程类似)、ATM(异步传输,信元交换)。
串行点对点线路中基础的数据传输:
1.HDLC(Hign-Data-Link-Control)高级数据链路控制协议(两种):
CISCO私有的HDLC(可以描述上层使用的协议)
工业标准(特别老的设备支持,仅仅支持上层使用IP协议)
注意:CISCO私有的HDLC和工业标准的HDLC不是一回事,假设一条链路两端设备使用不同的HDLC,是不能互通,因为CISCO私有的HDLC加入了控制字符(CISCO特有元素)。所以,一边CISCO设备一边非CISCO设备,绝对不能使用HDLC封装。
R1(config)#interface serial 1/1
R1(config-if)#encapsulation hdlc
HDLC缺点:
只支持点到点,不支持点到多点;
不支持IP地址协商;
只能封装在同步链路上,如果是同异步串口的话,只有当同异步串口工作在同步模式下才能使用。
2.PPP(Point-To-Point Protocol):点对点协议,能够做认证(包括高级认证AAA,也可以包括授权、审计等功能)。
PPP三步原则:
1)LCP:链路控制技术,检测物理链路的封装和物理链路的通信性;
2)PPP认证:PAP(密码认证协议)、CHAP(质检握手挑战协议);
3)NCP(Network Control Protocol)协商:协商上层所使用的封装协议(无论上层使用何种封装,无论是3层或是2.5层都要进行PPP协商),NCP协商时会主动发送自己的主机路由(CDPCP、IPCP)。
R2(config)#inter serial 1/0
R2(config-if)#encapsulation ppp
点对点链路的PPP封装会学习对方接口的主机路由(无论对方接口的网络掩码是多少),其好处是------自动学习,可以更快的最长匹配实施转发。
阻止对应的主机路由加表可以使用命令:
R2(config)#inter serial 1/0
R2(config-if)#no peer neighbor-route
PPP做认证:
1)PAP(Password Authtication Protocol)认证:一种简单的一次性密码认证,受到攻击时不能自动检测。有主认证方和被认证方,可以做单向认证,也可以做双向认证(双向的用户名和密码可以不一致)。
主认证方(定义密钥数据库,接口启用PAP认证):
R1(config)#username ccie password cisco
R1(config-if)#ppp authentication pap
被认证方(发送PAP认证的用户名及密码):
R2(config)#inter serial 1/0
R2(config-if)#ppp pap sent-username ccie password cisco
2)CHAP认证:质检握手挑战协议(三次握手的复杂多次协议,基于MD5),用户名默认相当于本路由器的主机名。
三次握手(类似于TCP的三次握手,但完全不同):
主认证方发送自己的主机名到被认证方;
被认证方将收到的主机名与密码进行Hash运算,将校验值发给主认证方(进行挑战);
主认证方自己进行主机名与密码的Hash运算,与被认证方发来的Hash值进行比对,成功给被认证方回校验通过包,PPP会话建立完成。
CHAP在受到攻击时能自动的终止PPP会话,因为他在整个过程中回随时随机的检测PPP会话。
主认证方:
R2(config)#username R1 password cisco123
R2(config)#inter serial 1/0
R2(config-if)#ppp authentication chap
被认证方:
R1(config)#inter serial 1/1
R1(config-if)#ppp chap password cisco123
注意:CHAP双向认证时双方的密码必须一致,否则认证失败。
PPP的优点:
PPP可以使用在异步串行连接比如拨号或者同步串行连接比如ISDN;
支持多种网络层协议;
支持各种连接参数的协商;
支持错误检测;
允许进行数据压缩。
知识点的扩充:
1.拨号上网技术:1)ADSL (早期电话线拨号上网用的技术);2)PPPOE(Point-to-Point Protocol Over Ethernet)以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议,是现如今使用的拨号上网技术。
2.你拨号上网获取IP地址是动态的通过PPPOE拨号上网,PPP有个地址推送的功能,而绝不是DHCP给你下放IP地址,切记DHCP是典型的局域网技术。
总结:对于PPP的CHAP认证我们一定要熟知其原理,并且能够熟练的完成部署,因为是双方密文做认证,相对比较安全。对于广域网封装中的FR,虽然现在帧中继已不多见,但我感觉其技术原理还是很有意思的,建议大家可以了解了解。