網(wǎng)絡設備安裝與調(diào)試（神碼版）5.廣域網(wǎng)協(xié)議配置網(wǎng)絡設備安裝與調(diào)試（神碼版）學習任務1路由器廣域網(wǎng)協(xié)議的封裝配置學習任務2路由器的廣域網(wǎng)PPP封裝驗證學習任務3網(wǎng)絡地址轉(zhuǎn)換協(xié)議(NAT)配置路由器的廣域網(wǎng)HDLC封裝使用PPP的PAP認證利用NAT實現(xiàn)外網(wǎng)主機訪問內(nèi)網(wǎng)服務器路由器的廣域網(wǎng)PPP封裝使用PPP的CHAP認證利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)5.1.1網(wǎng)絡設備安裝與調(diào)試（神碼版）

路由器廣域網(wǎng)HDLC

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境高級數(shù)據(jù)鏈路控制（High-LevelDataLinkControl簡稱HDLC），是一個在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議，它是由國際標準化組織(ISO)根據(jù)IBM公司的SDLC(SynchronousDataLinkControl)協(xié)議擴展開發(fā)而成的。管理員在公司想通過路由器來模擬公網(wǎng)實現(xiàn)HDLC協(xié)議的配置。情境分析

路由器在進行廣域網(wǎng)HDLC協(xié)議的封裝時，需要使用廣域網(wǎng)接口來實現(xiàn)，分別對兩臺路由器的廣域網(wǎng)端口S0封裝HDLC、分配IP地址，并且配置靜態(tài)路由，這樣就可以實現(xiàn)公司間通信了。網(wǎng)絡設備安裝與調(diào)試（神碼版）所需設備：（1）DCR-2655路由器2臺。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）交叉線1條。（5）PC機1臺。（6）Console配置線1條。網(wǎng)絡設備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓撲結(jié)構(gòu)圖進行講解和演示5.1.2網(wǎng)絡設備安裝與調(diào)試（神碼版）

路由器廣域網(wǎng)PPP

封裝配置5.1路由器廣域網(wǎng)協(xié)議的封裝配置網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境

某公司下屬多個分公司，并且總公司與分公司分別設在不同城市，為了順利開展業(yè)務，要求總公司與分公司之間的網(wǎng)絡通過路由器相連，并保持網(wǎng)絡連通。要求管理員在路由器上適當配置，實現(xiàn)公司網(wǎng)內(nèi)部主機之間相互通信。情境分析

管理員準備通過廣域網(wǎng)接口S0連接總公司與分公司。分別對兩臺路由器的廣域網(wǎng)端口S0封裝PPP、分配IP地址，并且配置靜態(tài)路由，這樣就可以通信了。網(wǎng)絡設備安裝與調(diào)試（神碼版）所需設備：（1）DCR-2655路由器2臺。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。（5）交叉線1條。（6）PC機2臺。網(wǎng)絡設備安裝與調(diào)試（神碼版）網(wǎng)絡設備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓撲結(jié)構(gòu)圖進行講解和演示5.2.1網(wǎng)絡設備安裝與調(diào)試（神碼版）使用PPP的PAP認證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境

某公司為了滿足不斷增長的業(yè)務需求，申請了專線接入。公司的路由器與ISP進行鏈路協(xié)商時，需要驗證身份。配置路由器以保證鏈路的建立，并考慮其安全性。情境分析WAN專線鏈路建立時要進行安全驗證，以保證鏈路的安全性。鏈路協(xié)商時，密碼驗證協(xié)議（PAP，PasswordAuthenticationProtocol）在設備之間傳輸用戶名、密碼，以實現(xiàn)用戶身份的驗證確認。公司計劃路由器上配置PPPPAP認證，以實現(xiàn)鏈路的安全鏈接。網(wǎng)絡設備安裝與調(diào)試（神碼版）所需設備：（1）DCR-2655路由器2臺。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡設備安裝與調(diào)試（神碼版）相關(guān)知識PPP支持兩種認證方式PAP和CHAP。PAP（PasswordAuthenticationProtocol，密碼驗證協(xié)議）是指驗證雙方通過兩次握手完成驗證過程，它是一種用于對試圖登錄到點對點協(xié)議服務器上的用戶進行身份驗證的方法。由被驗證方主動發(fā)出驗證請求，發(fā)送的驗證包含用戶名和密碼。由驗證方驗證后做出回復，通過驗證或驗證失敗。在驗證過程中用戶名和密碼以明文的方式在鏈路上傳輸。PAP是一種簡單的明文驗證方式。NAS（網(wǎng)絡接入服務器，NetworkAccessServer）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。網(wǎng)絡設備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓撲結(jié)構(gòu)圖進行講解和演示5.2.2網(wǎng)絡設備安裝與調(diào)試（神碼版）

使用PPP的CHAP認證5.2路由器廣域網(wǎng)協(xié)議的PPP封裝網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境

考慮到增強WAN鏈路的安全功能，公司計劃路由器上配置PPP的CHAP認證，以滿足日益增長的安全需求。情境分析CHAP（ChallengeHandAuthenticationProtocol挑戰(zhàn)握手后驗證協(xié)議）使用三次握手機制來啟動一條鏈路和周期性的驗證遠程節(jié)點。與PAP認證比較起來，CHAP認證更具有安全性。CHAP只在網(wǎng)絡上傳送用戶名而不傳送口令，因此安全性更高。網(wǎng)絡設備安裝與調(diào)試（神碼版）所需設備：（1）DCR-2655路由器2臺。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）console線1條。

網(wǎng)絡設備安裝與調(diào)試（神碼版）相關(guān)知識CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發(fā)送一個挑戰(zhàn)口令（challenge），其中包括會話ID和一個任意生成的挑戰(zhàn)字串（arbitrarychallengestring）。遠程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令、會話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。CHAP對PAP進行了改進，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令，所以服務器可以重復客戶端進行的操作，并將結(jié)果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰(zhàn)字串來防止受到再現(xiàn)攻擊（replayattack）。在整個連接過程中，CHAP將不定時的向客戶端重復發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠程客戶（remoteclientimpersonation）進行攻擊。網(wǎng)絡設備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓撲結(jié)構(gòu)圖進行講解和演示5.3.1網(wǎng)絡設備安裝與調(diào)試（神碼版）利用NAT實現(xiàn)外網(wǎng)主機

訪問內(nèi)網(wǎng)服務器5.3網(wǎng)絡地址轉(zhuǎn)換NAT配置網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境

某公司計劃通過互聯(lián)網(wǎng)向外發(fā)布公司的WEB主頁。目前公司已經(jīng)申請了公網(wǎng)IP地址，并創(chuàng)建了公司內(nèi)部WEB服務器。現(xiàn)在，公司希望外網(wǎng)用戶能夠像內(nèi)網(wǎng)用戶一樣訪問公司的WEB服務器。情境分析

公司為WEB服務器申請一個公網(wǎng)IP地址的做法是非常正確的，通過靜態(tài)NAT的方式可以達到公司想要的效果。

靜態(tài)NAPT將內(nèi)部私有地址和端口號轉(zhuǎn)換為內(nèi)部公網(wǎng)地址和端口號。當外部主機訪問內(nèi)部公網(wǎng)地址時，NAT設備將數(shù)據(jù)包中的目標IP地址（公網(wǎng)地址）與端口號轉(zhuǎn)換為內(nèi)部私有地址和端口號，從而實現(xiàn)使用公網(wǎng)地址向互聯(lián)網(wǎng)發(fā)布內(nèi)部服務器。網(wǎng)絡設備安裝與調(diào)試（神碼版）所需設備：（1）DCR-2626路由器2臺。（2）CR-V35MT1條。（3）CR-V35FC1條。（4）Console配置線1條。（5）交叉線2條。網(wǎng)絡設備安裝與調(diào)試（神碼版）網(wǎng)絡設備安裝與調(diào)試（神碼版）請任課教師根據(jù)拓撲結(jié)構(gòu)圖進行講解和演示5.3.2網(wǎng)絡設備安裝與調(diào)試（神碼版）利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問互聯(lián)網(wǎng)5.3網(wǎng)絡地址轉(zhuǎn)換NAT配置網(wǎng)絡設備安裝與調(diào)試（神碼版）學習情境

某公司向因特網(wǎng)接入運營商申請了專線接入和公網(wǎng)IP地址，這意味著公司可以訪問因特網(wǎng)了。然而，公司只有一個公網(wǎng)IP地址，卻有幾十臺等待上網(wǎng)的計算機。情境分析

公司內(nèi)部有很多臺主機都要上外網(wǎng)，而公司只向ISP申請一個合法的IP地址。可以使用基于動態(tài)NAT地址復用（NAPT）能實現(xiàn)多個用戶同時公用一個合法的IP地址與外部Internet進行通信。

當路由器檢測到公司內(nèi)部計算機訪問外網(wǎng)的數(shù)據(jù)包時，會將IP數(shù)據(jù)包頭部中的源IP地址（即內(nèi)部保留地址）轉(zhuǎn)換為公司申請的公網(wǎng)IP（內(nèi)部全局地址）。經(jīng)過