《《网络互联技术》第06章:HDLC和PPP基础.ppt》由会员分享,可在线阅读,更多相关《《网络互联技术》第06章:HDLC和PPP基础.ppt(30页珍藏版)》请在三一办公上搜索。
1、,主讲教师:赵怀明江西工业职业技术学院,第六章 HDLC和PPP(理论课时长:6节),【教学目的】:通过本章的学习,使学生知道数据传输的两种方式、同步数据传输的两种机制、HDLC协议简介及帧结构、PPP发展简介;掌握HDLC采用的0比特插入法实现数据透明传输、PPP之pap认证过程、PPP之chap认证过程;领会hdlc实验配置、ppp之pap认证配置、ppp之chap认证配置。【重点难点】重点:ppp之pap认证、ppp之chap认证。难点:ppp之chap认证原理,第六章:hdlc和ppp,【教学内容】数据传输的两种方式数据同步传输的两种机制HDLC简介及其帧结构HDLC实验配置PPP发展
2、简介PPP之pap认证原理及实验配置PPP之chap认证原理及实验配置,第六章:hdlc和ppp,【教学方法】教学方式:多媒体教学教学方法:案例分析+视频教学通过对比分析让学生彻底掌握pap认证与chap认证的不同。利用视频教学资料,让学生在业余时间观看,以尽一步使学生掌握ppp之pap认证配置和ppp之chap认证配置。通过上机实验让学生在boson模拟器的支持下完成ppp之pap认证配置和ppp之chap认证配置。,第六章:hdlc和ppp,第一部分:HDLC协议,一、数据同步的两种方式 在数据通信中,发送端一位一位地把信息通过介质发住接收端,接收端必须识别信息的开始和结束,而且必须知道每
3、一位持续的时间,只有这样,接收端才能从传输介质上正确地取出传送的数据,所以发送端和接收端必须同步。同步问题是数据通信过程中十分关键的问题。(1)异步传输:发送端每发送一个字符其开头都带一位起始位,以便在每一个字符开始接收时接收端和发送端保持同步。(异步传输以字符为单位;它允许码字之间存在不确定的空闲时间)(2)同步传输:发送端每发送一块数据时在其开头设置专门的同步字符,然后要求发送端和接收端在该帧数据传输的过程中保持同步。(同步传输方式传输时是将一个大的数据块一起发送),第一部分:HDLC协议,二、同步数据传输的两种控制方式(1)面向字符的传输:要传输的数据被看成字符序列,所有的控制信息也都是
4、字符形式。在数据串的前后分别设有开始标志和结束标志。(2)面向位的传输:要传输的数据被看成二进制位序列。主要有HDLC和ADLC。同步数据链路控制(Synchronous Data Link Control,SDLC),它是一种 IBM 数据链路层协议,适用于系统网络体系结构(SNA)。高级数据链路控制(High-Level Data Link Control,HDLC),是一个在同步网上传输 数据、面向比特的数据链路层协议,它是由国际标准化组织(ISO)根据IBM公司的SDLC(Synchronous Data Link Control)协议扩展开发而成的。,第一部分:HDLC协议,三、HD
5、LC协议简介 面向比特的协议中最有代表性的是IBM的同步数据链路控制规程SDLC(Synchronous Data Link Control),国际标准化组织 ISO(International Standards Organization)的高级数据链路控制规程HDLC(High Level Data Link Control),美国国家标准协会(American National Standards Institute)的先进数据通信规程ADCCP(Advanced Data Communications Control Procedure)。这些协议的特点是所传输的一帧数据可以是任意位,
6、而且它是靠约定的位组合模式,而不是靠特定字符来标志帧的开始和结束,故称“面向比特”的协议。HDLC是一个第二层协议,它用于来连接点到点的串行设备,它运行在广域网两个不同的地方。每个路由器将会解封装HDLC的数据包对它们进行转发到LAN或者是丢弃。,第一部分:HDLC协议,在CISCO的路由器中,HDLC是默认的传输协议,与普通的HDLC的结构相似。HDLC实际上是一个默认的设置在所有的思科串行接口上。如果你做一个show running-config在思科路由器上,你的串行接口(默认)不会有任何封装,这是因为它们被配置为默认的HDLC,如果你输入show interface serial 0/
7、0,你将会看到运行的HDLC协议。四、HDLC帧结构 HDLC完整的帧由标志字段(F)、地址字段(A)、控制字段(C)、信息字段(I)、帧校验序列字段(FCS)等组成。,第一部分:HDLC协议,(1)标志字段(F):标志字段为01111110的比特模式,用以标志帧的起始和前一帧的终止。标志字段也可以作为帧与帧之间的填充字符。采用“0比特插入法”可以实现数据的透明传输。(2)地址字段(A):地址字段的内容取决于所采用的操作方式。在操作方式中,有主站、从站、组合站之分。命令帧中的地址字段携带的是对方站的地址,而响应帧中的地址字段所携带的地址是本站的地址。(3)控制字段(C):控制字段用于构成各种命
8、令和响应,以便对链路进行监视和控制。(4)信息字段(I):信息字段可以是任意的二进制比特串。(5)帧校验序列字段(FCS):帧校验序列字段可以使用16位CRC,对两个标志字段之间的整个帧的内容进行校验。,第一部分:HDLC协议,五、的帧类型(1)信息帧(I帧):用于传送有效信息或数据(帧)。(2)监控帧(S帧):用于差错控制和流量控制。(3)无编号帧(U帧):用于提供对链路的建立、拆除及其他。六、0比特插入法 SDLCHDLC协议规定以01111110为标志字节,但在信息场中也完全有可能有同一种模式的字符,为了把它与标志区分开来,所以采取了”0”位插入和删除技术。具体作法是发送端在发送所有信息
9、(除标志字节外)时,只要遇到连续5个”1”,就自动插入一个”0”当接收端在接收数据时(除标志字节)如果连续接收到5个”1”,就自动将其后的一个”0”删除,以恢复信息的原有形式。这种”0”位的插入和删除过程是由硬件自动完成的,比上述面向字符的”数据透明”容易实现。,第一部分:HDLC协议,七、HDLC配置 HDLC是CISCO路由器使用的缺省协议,一台新路由器在未指定封装协议时默认使用HDLC封装。与HDLC相关的常用命令如下:(1)Router(config-if)#encapsulation hdlc(设置 HDLC 封装)(2)Router(config-if)#clock rate sp
10、eed(设置DCE端线路速度),第一部分:HDLC协议,(1)配置RouterA的同步串行接口(DCE设备)RouterA(config)#interface serial 1/0 RouterA(config-if)#ip RouterA(config-if)#no shutdown RouterA(config-if)#encapsulation hdlc RouterA(config-if)#clock rate 6400 RouterA(config-if)#exit(2)、配置RouterB的同步串行接口(DTE设备)RouterB(config)#interface serial
11、1/0 RouterB(config-if)#ip RouterB(config-if)#no shutdown RouterA(config-if)#encapsulation hdlc RouterB(config-if)#exit,第一部分:HDLC协议,(3)、配置RouterA的RIP简单路由协议 RouterA#configure terminal RouterA(config)#router rip RouterA(config RouterA(config RouterA(config-router)#exit(4)、配置RouterB的RIP简单路由协议 RouterB#co
12、nfigure terminal RouterB(config)#router rip RouterB(config RouterB(config RouterB(config-router)#exit,第二部分:ppp协议,一、PPP协议简介 SLIP(Serial Line Internet Protocol)协议提供串行通信线路上封装IP数据报的简单方法,使得远程用户通过电话线及高速调制解调器可以很方便地接入TCP/IP网络。串行线路互联网络协议SLIP(Serial Line Internet Protocol):是在串行通信线路上支持TCP/IP协议的一种点对点(Point-to-P
13、oint)式的链路层通信协议,不但能够发送和接收IP datagram,还提供了TCP/IP的各种网络应用服务(如telnet、ftp、rtp等)。个人用户可利用SLIP协议拨号上网,行业用户则可通过租用SLIP专线远程传输业务数据。PPP(Point-to-Point Protocol)协议是一种有效的点对点通信协议,是广域网中一种常用的数据链路层封装协议。如果企业采用DDN来连接总部与分支机构的网络,就可以在路由器上配置PPP协议来实现广域网链路的连通。还有我们常用的ADSL上网方式,因PPP协议具有很好的认证功能,所以常在其中采用PPPoE协议,第二部分:ppp协议,二、PPP协议连接图
14、示,PPP协议是为了解决以前互联网所采用的SLIP协议的缺点而开发的,PPP协议能够解决动态分配IP地址的需要,并提供对上层网络层的多种协议的支持。利用PPP的优点,结合以太网的优势,将PPP和以太网结合,就诞生了PPPoE协议,可实现多台客户机同时接入互联网。这种方式具有性价比高,无需或尽可能少地让用户进行网络配置,同时还保持了接入设备费用低等特点。,第二部分:ppp协议,三、slip和ppp对比,第二部分:ppp协议,四.PPP协议的组成(1)协议封装方式:提供了一种将网络层协议封装到串行链路的方法(2)LCP(链路控制协议):用于建立、配置和测试数据链路(3)NCP(网络控制协议):用于
15、建立和配置不同的网络层协议,PPP协议允许同时采用多种网络层协议(4)认证协议,口令验证协议PAP和挑战握手验证协议五、PPP链路的工作过程 当线路处于静止状态时,并不存在物理层的连接。当检测到调制解调器的载波信号,并建立物理层连接后,线路就进入建立状态,这时LCP开始协商一些选项。协商结束后就进入鉴别状态。若通信的双方鉴别身份成功,则进入网络状态。NCP配置网络并分配IP地址,然后就进入可进行数据通信的打开状态。数据传输结束后就转到终止状态。载波停止后则回到静止状态。,第二部分:ppp协议,六.PPP协议配置 需要在串口上封装PPP,使用的命令是“encapsulation PPP”,同样一
16、条链路的两端封装方式应该是一样的,都有是PPP,否则将无法正常通信,并且需要在DCE设备端发送时钟同步命令“clock rate 64000”(1)DTE路由器串口封装PPP协议(假设串口为 serial 0/0)Router#configure terminal Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#exit(2)DCE路由器串口封装PPP协议(假设串口为 serial 0/0)Router#configure terminal Router(conf
17、ig)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#clock rate 64000 Router(config-if)#exit,第三部分:ppp之pap认证,一.PPP提供的两种身份验证方法 PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。
18、(1)PAP是PPP协议中对通信双方身份验证的安全性协议之一,它是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。PAP验证仅在PPP连接建立时进行,在数据传输阶段不进行PAP验证。(2)CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在双方正常通信过程中。,第三部分:ppp之pap认证,二.PPP之pap认证过程简介(1)被验证方主动发起验证请求,向验证方发送用户名(为当前路由器的名称)和密码(2)验证方接到被验证方的验证请求后,检查接收的用户名是否在本地用户数据库
19、中存在以及口令是否正确。(3)如果此用户名存在且口令正确,验证方返回Acknowledge响应,表示验证通过(4)如果此用户名不存在或口令错误。验证方返回Not Acknowledge响应,表示验证不通过 PAP的最大特点是在网络上以明文的方式传递用户名及密码,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。因此,它适合于对网络安全要求相对较低的环境。,第三部分:ppp之pap认证,三.PPP之pap认证配置注意问题(1)每台路由器必须重新命名(即更改路由器提示符名称,如 RouterA#、RouterB#)(2)在每台路由器的本地数据库中设置用户名和密码(用户名为对端路由器的名称;密
20、码与对端路由器发送而来的当前用户的密码相同)。(3)每台路由器均要求向对端路由器发送用户名(为当前路由器的名称)和密码(密码必须与对端路由器数据库中当前用户的密码相同)。,第三部分:ppp之pap认证,四.PPP之pap认证配置实验,第三部分:ppp之pap认证,(1)需要为网络中所有路由器重新命名,并且路由器名称不能重复。在当前实验中,路由器A的名称为:RouterA;路由器B的名称为:RouterB。(2)在路由器A(“RouterA”)中设置用户名(RouterB)及密码(bbb)。(被验证方路由器B会向验证方路由器A发送用户名及密码以请求获得路由器A的验证。路由器A会将接收的用户名及密
21、码与自身创建的用户名及密码进行比对,如果用户名及密码均正确,则会“UP”路由器A指定的串行接口(验证方串口UP)。(3)在路由器B(“RouterB”)中设置用户名(RouterA)及密码(aaa)。(被验证方路由器A会向验证方路由器B发送用户名及密码以请求获得路由器B的验证。路由器B会将接收的用户名及密码与自身创建的用户名及密码进行比对,如果用户名及密码均正确,则会“UP”路由器B指定的串行接口(验证方串口UP)。,第三部分:ppp之pap认证,(4)DCE设备端(RouterA)PPP封装之PAP验证设置(关键配置)RouterA(config)#username aaa password
22、 aaa RouterA(config)#interface serial 0/0 RouterA(config-if)#encapsulation ppp RouterA(config-if)#ppp authentication pap RouterA(config-if)#ppp pap sent-username bbb password bbb RouterA(config-if)#clock rate 64000 RouterA(config-if)#exit(5)DTE设备端(RouterB)PPP封装之PAP验证设置(关键配置)RouterB(config)#username
23、bbb password bbb RouterB(config)#interface serial 0/0 RouterB(config-if)#encapsulation ppp RouterB(config-if)#ppp authentication pap RouterB(config-if)#ppp pap sent-username aaa password aaa RouterB(config-if)#exit,第三部分:ppp之pap认证,(6)配置RouterA的RIP简单路由协议 RouterA#configure terminal RouterA(config)#rout
24、er rip RouterA(config RouterA(config RouterA(config-router)#exit(7)配置RouterB的RIP简单路由协议 RouterB#configure terminal RouterB(config)#router rip RouterB(config RouterB(config RouterB(config-router)#exit,第四部分:ppp之chap认证,一、CHAP验证过程 CHAP(Challenge Handshake Authentication Protocol,质询握手鉴定协议)是一种三次握手验证协议,它只在网
25、络上传输用户名,而用户口令并不在网络上传播。CHAP验证过程如下:(1)验证方主动发起验证请求,向被验证方发送一些随机产生的报文,并同时将本端配置的用户名附带上一起发送给被验证方(2)被验证方接到验证方的验证请求后,根据此报文中的用户名在本端的用户表中查找用户口令。如找到用户表中与验证方用户名相同的用户,便利用报文ID和此用户的口令以MD5算法生成应答,随后将应答和自己的用户名送回(3)验证方接收到此应答后,利用报文ID、自己保存的被验证方口令用MD5算法得出结果,与被验证方应答比较。如果两者相同,则返回Acknowledge响应,表示验证通过,如果两者不相同,则返回Not Acknowled
26、ge相应,表示验证不通过。,第四部分:ppp之chap认证,二、CHAP验证图示,第四部分:ppp之chap认证,三、相关提示(1)为完成CHAP验证,各路由器必须重新设置其名称(2)各路由器中设置的用户名称应该为对端路由器的名称(3)为保证验证通过,各路由器中用户的密码必须设置一致 CHAP验证的缺点是密码在路由器中只能明文设置;CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。CHAP身份认证的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。每次CHAP认证使用不同的询问消息,每个消息都是不可能
27、预测的唯一值,这样就可以防范再生攻击。不断询问可以被限制在一次攻击中的时间内,本地路由器可以控制询问的频率和时间。,第四部分:ppp之chap认证,四、ppp之chap认证实验,第四部分:ppp之chap认证,(1)DCE设备端(RouterA)PPP封装之CHAP验证设置(关键配置)RouterA#configure terminal RouterA(config)#username RouterB password 12345 RouterA(config)#interface serial 0/0 RouterA(config-if)#encapsulation ppp RouterA(
28、config-if)#ppp authentication chap RouterA(config-if)#clock rate 64000 RouterA(config-if)#exit(2)DTE设备端(RouterB)PPP封装之PAP验证设置(关键配置)RouterB#configure terminal RouterB(config)#username RouterA password 12345 RouterB(config)#interface serial 0/0 RouterB(config-if)#encapsulation ppp RouterB(config-if)#ppp authentication chap RouterB(config-if)#exit,