路由器经常用于构建广域网,广域网链路的封装和以太网上的封装有着非常大的差别。常见的广域网封装有HDLC,PPP和Frame-relay等,本章介绍HDLC和PPP。相对而言,PPP比HDLC有较多的功能。
1 HDLC和PPP简介
1.1 HDLC介绍
HDCL是点到点串行线路上(同点电路)的帧封装格式,其帧格式和以太网帧格式有很大的差别,HDLC帧没有源MAC地址和目的MAC地址。Cisco公司对HDLC进行了专有化,Cisco的HDLC封装和标准的HDLC不兼容。如果链路的两端都是Cisco设备,如果HDLC封装没有问题,但如果Cisco设备与非Cisco设备进行连接,应使用PPP协议。HDLC不能提供验证,缺少了对链路的安全保护。默认时,Cisco路由器的串口是采用Cisco HDLC封装的。如果串口的封装不是HDLC,要把封装改为HDLC,使用”encapsulation hdlc”命令。
1.2 PPP介绍
1.概述
和HDLC一样,PPP也是串行线路上(同步电路或异步电路)的一种帧封装格式,但是PPP可以提供对多种网络层协议的支持。PPP支持认证、多链路捆绑、回拨和压缩等功能。PPP经过4 个过程在一个点到点的链路上建立通信连接:
- 链路的建立和配置协调——通信的发起方发送LCP帧来配置和检测数据链路;
- 链路质量检测——在链路已经建立、协调之后进行,这一阶段是可选的;
- 网络层协议配置协调——通信的发起方发送NCP帧以选择并配置网络层协议;
- 关闭链路——通信链路将一直保持到LCP或NCP帧关闭链路或发生一些外部事件。
2.PPP认证:PAP和CHAP
(1)PAP(Password Authentication Protocol)利用2次握手的简单方法进行认证。在PPP链路建立完毕后,源节点不停地在链路上发送用户名和密码,直到验证通过。在PAP的验证中,密码在链路上是以明文传输的,而且由于是源节点控制验证重试频率和次数,PAP不能防范再生攻击和重复的尝试攻击。
(2)CHAP——询问握手验证协议
CHAP(Challenge Handshake Authentication Protocol)利用3次握手周期地验证源端节点的身份。CHAP验证过程在链路建立之后进行,而且在以后的任何时候都可以再次进行。这使得链路更为安全;CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。CHAP每次使用不同的询问消息,每个消息都是不可预测的唯一的值,CHAP不直接传送密码,只传送一个不可预测的询问消息,以及该询问消息与密码经过MD5加密运算后的加密值。所以CHAP可以防止再生攻击,CHAP的安全性比PAP要高。
2 实验1:HDLC和PPP封装
1.实验目的
通过本实验,读者可以掌握如下技能:
- 串行链路上的封装概念;
- HDLC封装;
- PPP封装。
2.实验拓扑
实验拓扑图如图7-1所示。
图7-1 实验1~实验3拓扑图
(注意:在两个路由器上分别连接两台机器,并配上IP地址,用于测试)
3.实验步骤
(1)步骤1:在路由器R1和R2上配置IP地址,保证直接链路的连通性
R1(config)#int s0/0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)#no shutdown
R2(config)#int s0/0/0
R2(config-if)#clock rate 128000
R2(config-if)#ip address 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown
R1#show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardwa