網(wǎng)絡(luò)設(shè)備安裝與調(diào)試-5廣域網(wǎng)協(xié)議配置課件

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試5.廣域網(wǎng)協(xié)議配置網(wǎng)絡(luò)設(shè)備安裝與調(diào)試5.廣域網(wǎng)協(xié)議配置1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)任務(wù)1路由器廣域網(wǎng)協(xié)議的封裝配置學(xué)習(xí)任務(wù)2路由器的廣域網(wǎng)PPP封裝驗(yàn)證學(xué)習(xí)任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議(NAT)配置路由器的廣域網(wǎng)HDLC封裝使用PPP的PAP認(rèn)證利用NAT實(shí)現(xiàn)外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)服務(wù)器路由器的廣域網(wǎng)PPP封裝使用PPP的CHAP認(rèn)證利用動(dòng)態(tài)NAT實(shí)現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)任務(wù)1學(xué)習(xí)任務(wù)2學(xué)習(xí)任務(wù)3路由器的廣域25.1.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

路由器廣域網(wǎng)HDLC

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置5.1.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試路由器廣域網(wǎng)HDLC3網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境高級(jí)數(shù)據(jù)鏈路控制（High-LevelDataLinkControl簡(jiǎn)稱HDLC），是一個(gè)在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議，它是由國(guó)際標(biāo)準(zhǔn)化組織(ISO)根據(jù)IBM公司的SDLC(SynchronousDataLinkControl)協(xié)議擴(kuò)展開(kāi)發(fā)而成的。管理員在公司想通過(guò)路由器來(lái)模擬公網(wǎng)實(shí)現(xiàn)HDLC協(xié)議的配置。情境分析

路由器在進(jìn)行廣域網(wǎng)HDLC協(xié)議的封裝時(shí)，需要使用廣域網(wǎng)接口來(lái)實(shí)現(xiàn)，分別對(duì)兩臺(tái)路由器的廣域網(wǎng)端口S0封裝HDLC、分配IP地址，并且配置靜態(tài)路由，這樣就可以實(shí)現(xiàn)公司間通信了。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境4網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）交叉線1條。（5）PC機(jī)1臺(tái)。（6）Console配置線1條。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：5網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示65.1.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

路由器廣域網(wǎng)PPP

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置5.1.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試路由器廣域網(wǎng)PPP57網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司下屬多個(gè)分公司，并且總公司與分公司分別設(shè)在不同城市，為了順利開(kāi)展業(yè)務(wù)，要求總公司與分公司之間的網(wǎng)絡(luò)通過(guò)路由器相連，并保持網(wǎng)絡(luò)連通。要求管理員在路由器上適當(dāng)配置，實(shí)現(xiàn)公司網(wǎng)內(nèi)部主機(jī)之間相互通信。情境分析

管理員準(zhǔn)備通過(guò)廣域網(wǎng)接口S0連接總公司與分公司。分別對(duì)兩臺(tái)路由器的廣域網(wǎng)端口S0封裝PPP、分配IP地址，并且配置靜態(tài)路由，這樣就可以通信了。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境8網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。（5）交叉線1條。（6）PC機(jī)2臺(tái)。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：9網(wǎng)絡(luò)設(shè)備安裝與調(diào)試網(wǎng)絡(luò)設(shè)備安裝與調(diào)試10網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示115.2.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的PAP認(rèn)證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝5.2.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的PAP認(rèn)12網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司為了滿足不斷增長(zhǎng)的業(yè)務(wù)需求，申請(qǐng)了專線接入。公司的路由器與ISP進(jìn)行鏈路協(xié)商時(shí)，需要驗(yàn)證身份。配置路由器以保證鏈路的建立，并考慮其安全性。情境分析WAN專線鏈路建立時(shí)要進(jìn)行安全驗(yàn)證，以保證鏈路的安全性。鏈路協(xié)商時(shí)，密碼驗(yàn)證協(xié)議（PAP，PasswordAuthenticationProtocol）在設(shè)備之間傳輸用戶名、密碼，以實(shí)現(xiàn)用戶身份的驗(yàn)證確認(rèn)。公司計(jì)劃路由器上配置PPPPAP認(rèn)證，以實(shí)現(xiàn)鏈路的安全鏈接。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境13網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：14網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)PPP支持兩種認(rèn)證方式PAP和CHAP。PAP（PasswordAuthenticationProtocol，密碼驗(yàn)證協(xié)議）是指驗(yàn)證雙方通過(guò)兩次握手完成驗(yàn)證過(guò)程，它是一種用于對(duì)試圖登錄到點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器上的用戶進(jìn)行身份驗(yàn)證的方法。由被驗(yàn)證方主動(dòng)發(fā)出驗(yàn)證請(qǐng)求，發(fā)送的驗(yàn)證包含用戶名和密碼。由驗(yàn)證方驗(yàn)證后做出回復(fù)，通過(guò)驗(yàn)證或驗(yàn)證失敗。在驗(yàn)證過(guò)程中用戶名和密碼以明文的方式在鏈路上傳輸。PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，NetworkAccessServer）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)15網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示165.2.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

使用PPP的CHAP認(rèn)證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝5.2.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的CHAP17網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

考慮到增強(qiáng)WAN鏈路的安全功能，公司計(jì)劃路由器上配置PPP的CHAP認(rèn)證，以滿足日益增長(zhǎng)的安全需求。情境分析CHAP（ChallengeHandAuthenticationProtocol挑戰(zhàn)握手后驗(yàn)證協(xié)議）使用三次握手機(jī)制來(lái)啟動(dòng)一條鏈路和周期性的驗(yàn)證遠(yuǎn)程節(jié)點(diǎn)。與PAP認(rèn)證比較起來(lái)，CHAP認(rèn)證更具有安全性。CHAP只在網(wǎng)絡(luò)上傳送用戶名而不傳送口令，因此安全性更高。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境18網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：19網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrarychallengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令、會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過(guò)鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊（replayattack）。在整個(gè)連接過(guò)程中，CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶（remoteclientimpersonation）進(jìn)行攻擊。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)20網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示215.3.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)肗AT實(shí)現(xiàn)外網(wǎng)主機(jī)

訪問(wèn)內(nèi)網(wǎng)服務(wù)器5.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置5.3.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)肗AT實(shí)現(xiàn)外網(wǎng)主22網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司計(jì)劃通過(guò)互聯(lián)網(wǎng)向外發(fā)布公司的WEB主頁(yè)。目前公司已經(jīng)申請(qǐng)了公網(wǎng)IP地址，并創(chuàng)建了公司內(nèi)部WEB服務(wù)器。現(xiàn)在，公司希望外網(wǎng)用戶能夠像內(nèi)網(wǎng)用戶一樣訪問(wèn)公司的WEB服務(wù)器。情境分析

公司為WEB服務(wù)器申請(qǐng)一個(gè)公網(wǎng)IP地址的做法是非常正確的，通過(guò)靜態(tài)NAT的方式可以達(dá)到公司想要的效果。

靜態(tài)NAPT將內(nèi)部私有地址和端口號(hào)轉(zhuǎn)換為內(nèi)部公網(wǎng)地址和端口號(hào)。當(dāng)外部主機(jī)訪問(wèn)內(nèi)部公網(wǎng)地址時(shí)，NAT設(shè)備將數(shù)據(jù)包中的目標(biāo)IP地址（公網(wǎng)地址）與端口號(hào)轉(zhuǎn)換為內(nèi)部私有地址和端口號(hào)，從而實(shí)現(xiàn)使用公網(wǎng)地址向互聯(lián)網(wǎng)發(fā)布內(nèi)部服務(wù)器。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境23網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2626路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）Console配置線1條。（5）交叉線2條。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：24網(wǎng)絡(luò)設(shè)備安裝與調(diào)試網(wǎng)絡(luò)設(shè)備安裝與調(diào)試25網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示265.3.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)脛?dòng)態(tài)NAT實(shí)現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)5.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置5.3.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)脛?dòng)態(tài)NAT實(shí)現(xiàn)527網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司向因特網(wǎng)接入運(yùn)營(yíng)商申請(qǐng)了專線接入和公網(wǎng)IP地址，這意味著公司可以訪問(wèn)因特網(wǎng)了。然而，公司只有一個(gè)公網(wǎng)IP地址，卻有幾十臺(tái)等待上網(wǎng)的計(jì)算機(jī)。情境分析

公司內(nèi)部有很多臺(tái)主機(jī)都要上外網(wǎng)，而公司只向ISP申請(qǐng)一個(gè)合法的IP地址?？梢允褂没趧?dòng)態(tài)NAT地址復(fù)用（NAPT）能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法的IP地址與外部Internet進(jìn)行通信。

當(dāng)路由器檢測(cè)到公司內(nèi)部計(jì)算機(jī)訪問(wèn)外網(wǎng)的數(shù)據(jù)包時(shí)，會(huì)將IP數(shù)據(jù)包頭部中的源IP地址（即內(nèi)部保留地址）轉(zhuǎn)換為公司申請(qǐng)的公網(wǎng)IP（內(nèi)部全局地址）。經(jīng)過(guò)IP地址轉(zhuǎn)換的數(shù)據(jù)包就可以路由到因特網(wǎng)上了。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境28網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2600路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）Console配置線1條。（5）交叉線2條。（6）PC機(jī)2臺(tái)。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：29網(wǎng)絡(luò)設(shè)備安裝與調(diào)試網(wǎng)絡(luò)設(shè)備安裝與調(diào)試30網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示31網(wǎng)絡(luò)設(shè)備安裝與調(diào)試5.廣域網(wǎng)協(xié)議配置網(wǎng)絡(luò)設(shè)備安裝與調(diào)試5.廣域網(wǎng)協(xié)議配置32網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)任務(wù)1路由器廣域網(wǎng)協(xié)議的封裝配置學(xué)習(xí)任務(wù)2路由器的廣域網(wǎng)PPP封裝驗(yàn)證學(xué)習(xí)任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議(NAT)配置路由器的廣域網(wǎng)HDLC封裝使用PPP的PAP認(rèn)證利用NAT實(shí)現(xiàn)外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)服務(wù)器路由器的廣域網(wǎng)PPP封裝使用PPP的CHAP認(rèn)證利用動(dòng)態(tài)NAT實(shí)現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)任務(wù)1學(xué)習(xí)任務(wù)2學(xué)習(xí)任務(wù)3路由器的廣域335.1.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

路由器廣域網(wǎng)HDLC

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置5.1.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試路由器廣域網(wǎng)HDLC34網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境高級(jí)數(shù)據(jù)鏈路控制（High-LevelDataLinkControl簡(jiǎn)稱HDLC），是一個(gè)在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議，它是由國(guó)際標(biāo)準(zhǔn)化組織(ISO)根據(jù)IBM公司的SDLC(SynchronousDataLinkControl)協(xié)議擴(kuò)展開(kāi)發(fā)而成的。管理員在公司想通過(guò)路由器來(lái)模擬公網(wǎng)實(shí)現(xiàn)HDLC協(xié)議的配置。情境分析

路由器在進(jìn)行廣域網(wǎng)HDLC協(xié)議的封裝時(shí)，需要使用廣域網(wǎng)接口來(lái)實(shí)現(xiàn)，分別對(duì)兩臺(tái)路由器的廣域網(wǎng)端口S0封裝HDLC、分配IP地址，并且配置靜態(tài)路由，這樣就可以實(shí)現(xiàn)公司間通信了。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境35網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）交叉線1條。（5）PC機(jī)1臺(tái)。（6）Console配置線1條。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：36網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示375.1.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

路由器廣域網(wǎng)PPP

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置5.1.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試路由器廣域網(wǎng)PPP538網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司下屬多個(gè)分公司，并且總公司與分公司分別設(shè)在不同城市，為了順利開(kāi)展業(yè)務(wù)，要求總公司與分公司之間的網(wǎng)絡(luò)通過(guò)路由器相連，并保持網(wǎng)絡(luò)連通。要求管理員在路由器上適當(dāng)配置，實(shí)現(xiàn)公司網(wǎng)內(nèi)部主機(jī)之間相互通信。情境分析

管理員準(zhǔn)備通過(guò)廣域網(wǎng)接口S0連接總公司與分公司。分別對(duì)兩臺(tái)路由器的廣域網(wǎng)端口S0封裝PPP、分配IP地址，并且配置靜態(tài)路由，這樣就可以通信了。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境39網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。（5）交叉線1條。（6）PC機(jī)2臺(tái)。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：40網(wǎng)絡(luò)設(shè)備安裝與調(diào)試網(wǎng)絡(luò)設(shè)備安裝與調(diào)試41網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示425.2.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的PAP認(rèn)證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝5.2.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的PAP認(rèn)43網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司為了滿足不斷增長(zhǎng)的業(yè)務(wù)需求，申請(qǐng)了專線接入。公司的路由器與ISP進(jìn)行鏈路協(xié)商時(shí)，需要驗(yàn)證身份。配置路由器以保證鏈路的建立，并考慮其安全性。情境分析WAN專線鏈路建立時(shí)要進(jìn)行安全驗(yàn)證，以保證鏈路的安全性。鏈路協(xié)商時(shí)，密碼驗(yàn)證協(xié)議（PAP，PasswordAuthenticationProtocol）在設(shè)備之間傳輸用戶名、密碼，以實(shí)現(xiàn)用戶身份的驗(yàn)證確認(rèn)。公司計(jì)劃路由器上配置PPPPAP認(rèn)證，以實(shí)現(xiàn)鏈路的安全鏈接。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境44網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：45網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)PPP支持兩種認(rèn)證方式PAP和CHAP。PAP（PasswordAuthenticationProtocol，密碼驗(yàn)證協(xié)議）是指驗(yàn)證雙方通過(guò)兩次握手完成驗(yàn)證過(guò)程，它是一種用于對(duì)試圖登錄到點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器上的用戶進(jìn)行身份驗(yàn)證的方法。由被驗(yàn)證方主動(dòng)發(fā)出驗(yàn)證請(qǐng)求，發(fā)送的驗(yàn)證包含用戶名和密碼。由驗(yàn)證方驗(yàn)證后做出回復(fù)，通過(guò)驗(yàn)證或驗(yàn)證失敗。在驗(yàn)證過(guò)程中用戶名和密碼以明文的方式在鏈路上傳輸。PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，NetworkAccessServer）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)46網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示475.2.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試

使用PPP的CHAP認(rèn)證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝5.2.2網(wǎng)絡(luò)設(shè)備安裝與調(diào)試使用PPP的CHAP48網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

考慮到增強(qiáng)WAN鏈路的安全功能，公司計(jì)劃路由器上配置PPP的CHAP認(rèn)證，以滿足日益增長(zhǎng)的安全需求。情境分析CHAP（ChallengeHandAuthenticationProtocol挑戰(zhàn)握手后驗(yàn)證協(xié)議）使用三次握手機(jī)制來(lái)啟動(dòng)一條鏈路和周期性的驗(yàn)證遠(yuǎn)程節(jié)點(diǎn)。與PAP認(rèn)證比較起來(lái)，CHAP認(rèn)證更具有安全性。CHAP只在網(wǎng)絡(luò)上傳送用戶名而不傳送口令，因此安全性更高。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境49網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：（1）DCR-2655路由器2臺(tái)。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試所需設(shè)備：50網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrarychallengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令、會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過(guò)鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊（replayattack）。在整個(gè)連接過(guò)程中，CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶（remoteclientimpersonation）進(jìn)行攻擊。網(wǎng)絡(luò)設(shè)備安裝與調(diào)試相關(guān)知識(shí)51網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示網(wǎng)絡(luò)設(shè)備安裝與調(diào)試請(qǐng)任課教師根據(jù)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行講解和演示525.3.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)肗AT實(shí)現(xiàn)外網(wǎng)主機(jī)

訪問(wèn)內(nèi)網(wǎng)服務(wù)器5.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置5.3.1網(wǎng)絡(luò)設(shè)備安裝與調(diào)試?yán)肗AT實(shí)現(xiàn)外網(wǎng)主53網(wǎng)絡(luò)設(shè)備安裝與調(diào)試學(xué)習(xí)情境

某公司計(jì)劃通過(guò)互聯(lián)網(wǎng)向外發(fā)布公司的WEB主頁(yè)。目前公司已經(jīng)申請(qǐng)了公網(wǎng)IP地址，并創(chuàng)建了公司內(nèi)部WEB服務(wù)器?，F(xiàn)在，公司希望外網(wǎng)用戶能夠像內(nèi)網(wǎng)用戶一樣訪問(wèn)公司的WEB服務(wù)器。情境分析

公司為WEB服務(wù)器申請(qǐng)一個(gè)公網(wǎng)IP地址的做法是非常正確的，通過(guò)靜態(tài)NAT的方式可以達(dá)到公司想要的效果。

靜態(tài)NAPT將內(nèi)部私有地址和端口號(hào)轉(zhuǎn)換為內(nèi)部公網(wǎng)地址和端口號(hào)。當(dāng)外部主機(jī)訪問(wèn)內(nèi)部公網(wǎng)地址時(shí)，NAT設(shè)備將數(shù)據(jù)包中的目標(biāo)IP地址（公網(wǎng)地址）