网络互联技术项目化教程项目五.pptx

项目五网络互联技术项目化教程广域网接入目 录CATALOG66配置NAT0102配置PPP延迟符项目背景延迟符项目背景 本项目要求全公司（含分公司）能够访问Internet，同时外网用户也可以访问公司内部的Web服务器和FTP服务器。全公司的Internet出口位于成都总部的边界路由器上，通过在边界路由器上配置静态默认路由连接到ISP。 本项目需要完成以下任务。 （1）在公司内部路由器之间的串行链路上封装PPP，同时配置PPP验证以保证网络的安全性。 （2）在公司边界路由器（出口路由器）上配置动态NAT技术，使得企业内部使用私有IP地址的主机可以访问Internet。 （3）在公司边界路由器（出口路由器）上配置静态NAT技术，使得外网主机可以访问内网中的Web和FTP服务器。延迟符 任务一 配置PPPPART 01延迟符任务陈述 ABC公司内部的3台路由器均采用串行口相连，串行口最常用的二层封装协议是PPP（点对点协议）。本单元的主要任务是在路由器之间的串行链路上配置PPP封装，同时为了保证网络安全性，还需要在路由器之间配置PPP验证。延迟符HDLC简介 HDLC（High-Level Data Link Control，高级数据链路控制）是由国际标准化组织（ISO）提出的面向比特的同步数据链路层协议。HDLC协议不依赖于任何一种字符集，对任何一种比特流均可以透明传输，具有全双工通信、防止漏收重收、帧格式统一等特点，但该协议不支持身份验证，缺乏足够的安全性，主要用于点对点的同步串行链路。 为了提高适应能力，一些网络厂商对标准的HDLC协议进行了修改，因而各个网络厂商的HDLC协议可能互不兼容，故在多厂商设备互联的网络环境下不建议使用HDLC，推荐使用PPP。延迟符PPP简介 PPP（Point-to-Point Protocol，点对点协议）是提供在点到点链路上承载网络层数据包的一种数据链路层协议。PPP是一种面向字符的协议，提供对多种网络层协议（如IP、IPX等）的支持，既适用于同步链路，也适用于异步链路，具有身份验证功能，可以更好地保证网络的安全。因PPP具有强大的扩展性和适应性，且提供一定的安全特性，故获得了广泛的应用。 PPP是各个网络厂商均支持的开放式标准协议，它主要由链路控制协议（Link Control Protocol，LCP）、网络控制协议（Network Control Protocol，NCP）和可选的身份验证协议3部分组成。一个完整的PPP会话建立过程大致分为以下3个步骤。延迟符PPP简介 （1）链路建立阶段：PPP通信双方发送LCP报文来交换配置信息，这些信息包括是否采用多链路捆绑、何种验证方式、是否支持压缩、最大传输单元等。如果配置信息协商成功，则链路宣告建立。 （2）验证阶段（可选）：链路建立成功后，PPP根据帧中的验证选项来决定是否进行身份验证，如果需要验证，则在这个阶段进行PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议）验证，如果验证成功就进入网络层协商阶段，验证失败就拆除链路。 （3）网络层协商阶段：运行PPP的双方发送NCP报文来选择并配置网络层协议，双方会协商彼此使用何种网络层协议（如IP、IPX等）及对应的网络层地址，如果协商通过，则PPP链路建立成功，该网络层协议就可通过这条链路发送报文。延迟符PPP身份验证（1）PAP PAP是两次握手认证协议，用户名和口令以明文形式传送，由被认证方发起认证请求，只在链路初始建立阶段进行认证，链路建立成功后就不再进行认证检测，这种认证方式常用于PPPOE拨号认证。延迟符PPP身份验证 （2）CHAP CHAP是三次握手认证协议，认证时仅在网络上传输用户名但不传输口令，由主认证方首先发起认证请求。CHAP除在链路初始建立阶段需要进行认证外，链路建立成功后还会定期重新进行认证，因而安全性比PAP高，这种认证方式常用于金融广域网的认证。延迟符PPP身份验证 （3）PAP和CHAP的比较 PAP通过两次握手完成认证，而CHAP通过三次握手完成认证。 PAP由被认证方首先发起认证请求，而CHAP认证由主认证方首先发起认证请求。 PAP以明文发送用户名和密码（口令），而CHAP只发送用户名，不发送密码（口令） PAP只在链路初始建立阶段进行认证，而CHAP除了在链路初始建立阶段进行认证外，链路建立成功后还会定期重新进行认证。因此，CHAP的安全性要比PAP高。延迟符PPP配置命令 （1）配置接口封装HDLC协议Ruijie(config-if)# encapsulation hdlc （2）配置接口封装P