13331计算机网络构建技术-网络构建7

第7章路由技术7.1广域网技术概述7.2IP子网间的路由技术7.3访问控制列表7.4网络地址转换（NAT）技术服务供应商企业网络拓扑结构1点对点链路2电路交换3虚拟电路服务供应商服务供应商7.1.2广域网接入技术分类数据报数据流每次会话建立一条专用物理电路SVCPVC4包交换采用统计利用技术实现电路共享ATM/帧中继/X.257.1.3广域网设备1广域网交换机工作在OSI的数据链路层，对帧中继，X.25以及SMDS等数据流量进行操作交换式多兆位数据服务（SDMS）是基于数据报的高速分组交换WAN技术,主要用于公用数据网络的通信。SMDS可以采用光纤介质或铜介质，另外，SMDS的数据单元比较大，可以包容IEEE802.3、IEEE802.5和FDDI的帧。7.1.3广域网设备2接入服务器7.1.3广域网设备3调制解调器4CSU/DSU•信道服务单元（CSU）/数据服务单元（DSU）•数据终端设备到数据通信设备的复用器•功能：信号再生，线路调节，误码纠正，信号管理，同步和电路测试等5ISDN终端适配器6路由器(Router)服务供应商广域网接入常见的DTE与DCE之间的连接标准★EIA/TIA-232★V.35DTE(数据终端设备)DCE(数据通讯设备)7.1.4广域网中的数据链路层协议定义数据如何封装和传输包括点对点，多点和多路访问交换服务所设计的协议1.点到点协议（PPP）2.高级数据链路控制（HDLC）协议3.帧中继（FrameRelay）专线电路交换分组交换HDLC,PPPPPP,HDLCX.25,F-R服务供应商服务供应商7.1.4广域网中的数据链路层协议F.R网络的组成FRSFRSFRSFRS网桥CSU/DSURouterRouter广域网PSTN,X.25,DDNRouter帧中继在这里工作HostBridgeLANLANLANTCP/IPIPX/SPXPPPSLIPHDLCAppleTalk•HDLC,SLIP协议–只支持异步传输方式–只支持IP协议–没有验证机制•PPP协议–支持同异步传输方式–采用NCP协议（如IPCP、IPXCP），支持更多的网络层协议–具有验证协议CHAP、PAP，更好了保证了网络的安全性7.1.4广域网中的数据链路层协议7.1.5点对点协议(PPP)PPP是SLIP（SerialLineInterfaceprotocol）的继承者同步和异步电路实现路由器到路由器和主机到网络（host-to-network）的连接。PPP能支持差错检测，支持各种协议，在连接时IP地址可复制，具有身份验证功能，可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑PPP协议是目前使用最广泛的广域网协议PPP的特性（1）能够控制数据链路的建立；（2）能够对IP地址进行分配和使用；（3）允许同时采用多种网络层协议；（4）能够配置和测试数据链路；（5）能够进行错误检测；（6）有协商选项，能够对网络层的地址和数据压缩等进行协商。PPP的功能（1）PPP采用高级数据链路控制（HDLC）作为在点对点的链路上封装数据报的基本方法。（2）链路控制协议LCP（LinkControlProtocol）用于启动线路、测试、任选功能的协商及关闭连接。（3）网络控制协议NCP（NetworkControlProtocol）用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议，如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。(EIA/TIA-232、449、520,V.21V.24,V.35,ISDN)LCP(连接控制协议)NCP(网络控制协议)OSI21(IP,IPX,AppleTalk)3PPP协议结构BCPIPCPIPXCP1,同步2,异步3，PPP会话建立的过程链路的建立和配置协调通信的发起方发送LCP帧来配置和检测数据链路，主要用于协商选择将要采用的PPP参数，包括身份验证、压缩、回叫、多链路等。链路质量检测：在链路建立、协调之后，这一阶段是可选的网络层协议配置协调通信的发起方发送NCP帧以选择并配置网络层协议。配置完成后，通信双方可以发送各自的网络层协议数据报。关闭链路通信链路将一直保持到LCP或NCP帧关闭链路PAPorCHAP认证AuthenticationPSTN/ISDNPSTN/ISDN回拨Callback压缩Compression多链路捆绑Multilink包BundleData链路的建立和配置协调阶段中的PPPLCP选项实例：PC终端首先通过调制解调器呼叫远程访问服务器1.PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程访问模块应答了这个呼叫后，就建立起一个初始的物理连接2.两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证，接下来就开始认证过程3.如果认证失败，如错误的用户名、密码，则链路被终止，双方负责通信的设备或模块（如用户端的调制解调器或服务器端的远程访问模块）将关闭物理链路回到空闲状态。如果认证成功，通信双方开始交换一系列的NCP分组来配置网络层4.如果网络层使用的是IP协议，此过程是由IPCP完成的。当NCP配置完成后，双方的逻辑通信链路就建立好了，双方可以开始在此链路上交换上层数据。5.当数据传送完成后，一方会发起断开连接的请求。这时，首先使用NCP来释放网络层的连接，归还IP地址，然后利用LCP来关闭数据链路层连接，最后，双方的通信设备或模块关闭物理链路回到空闲状态。4，PAP和CHAP原理PPP提供了两种可选的身份认证方法：1.口令验证协议（PasswordAuthenticationProtocol，PAP）2.挑战握手协议（ChallengeHandshakeAuthenticationProtocol，CHAP）身份认证：PAPPAP是一个简单的、实用的身份验证协议，PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。当双方都封装了PPP协议且要求进行PAP身份认证，同时它们之间的链路在物理层己激活后，认证客户端（被认证一端）会不停地发送身份认证请求，直到身份认证成功。当认证客户端路由器发送了用户名或口令后，认证服务器会将收到的用户名和口令与本地数据库中的口令信息比较，如果正确则身份认证成功，否则认证失败。身份认证：PAP（二次握手）PAP认证过程经过了两个阶段，通常称为两次握手阶段1：被验证方（远端路由器）发送用户名和口令到验证方阶段2：验证方（中心路由器）对用户名和口令进行认证，根据结果返回接受或拒绝认证请求的信息。PAP认证可以在一方进行，即由一方认证另一方的身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。PAP的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但恰恰是这样，认证只在链路建立初期进行，因此节省了宝贵的链路带宽。ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Request(username,password)AuthNakPPPPAP验证AuthAck•两次握手协议•明文方式进行验证身份认证：CHAPCHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。身份认证：CHAP（三次握手）CHAP认证过程经过了三个阶段，通常称为三次握手：阶段1：当被验证方（远端路由器）向验证方（中心路由器）发送用户名做请求连接后，验证方向被验证方发送一串随机字符（“挑战”阶段）阶段2：被验证方利用口令和MD5算法，对随机字符串进行加密产生密文，并将密文发送给验证方（“回应”阶段）阶段3：验证方利用同样的方式对随机字符串进行加密产生密文，并将它与接收到的密文进行比较，然后根据比较结果接受或拒绝连接请求，若比较结果一致则接受，否则拒绝。ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Challenge挑战字符串ResponseSuccessPPPCHAP验证Failure•CHAP为三次握手协议•只在网络上传输用户名，而并不传输口令•安全性要比PAP高，但认证报文浪费带宽第一步定义接口封装类型:Router(config-if)#encapsulationppp第二步定义本地数据库:Router(config)#usernameusernamepasswordpasswordPPP认证配置第三步定义PAP认证:Router(config-if)#pppauthenticationpapcallinRouter(config-if)#ppppapsent-usernameusernamepasswordpassword定义CHAP认证:Router(config-if)#pppauthenticationchapcallinRouter(config-if)#pppchaphostnameusernameRouter(config-if)#pppchappasswordpasswordPPP认证配置ISDN/PSTNhostnameleftusernamerightpasswordright1intbri0encapsulationppppppauthenticationPAPipadd10.0.0.1255.255.255.0ppppapsent-usernameleftpasswordleft1hostnamerightusernameleftpasswordleft1intbri0encapsulationppppppauthenticationPAPipadd10.0.0.2255.255.255.0ppppapsent-usernamerightpasswordright1PPPPAP认证配置实例ISDN/PSTNUsernamerightpasswordstarnethostnameR1intserial0encapsulationppppppauthenticationCHAPpppchaphostnameleftpppchappasswordstarnetPPPCHAP认证配置实例UsernameleftpasswordstarnethostnameR2intserial0encapsulationppppppauthenticationCHAPpppchaphostnamerightpppchappasswordstarnetRouter#showinterfacesserialinterfacenumberPPP认证的调试Router#debugpppauthentication7.2IP子网间的路由技术7.2.1什么是路由7.2.2路由算法7.2.3设计目标7.2.4路由协议7.2.5静态路由7.2.6缺省路由7.2.7动态路由7.2.8RIP路由信息协议CERNET拓扑图北京Cernet主节点网络实训室通过校园网访问陈瑞球楼通过沙湾电信访问7.2.1什么是路由路由:是把信息从源穿过网络传递到目的地行为路由的两个动作:确定最佳路径和数据转发1.路径选择度量值(Metric)下一跳目的网络2.数据转发不是同一网络的数据包总是发送给路由器根据两个地址转发:下一跳路由器的MAC地址目的主机的IP协议地址3.端系统（ES--endsystem）4.中介系统（IS--intermediatesys