HCNA Routing&Switching之廣域網協議HDLC和PPP

　　前文我們了解了地址轉換技術NAT相關話題，回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15168042.html；今天我們來聊一聊廣域網中的兩個二層封裝協議HDLC和PPP協議；

　　什么是廣域網？廣域網(Wide Area Network)，簡稱WAN；是一種跨越大的、地域性的計算機網路的集合，通常跨越省、市，甚至一個國家，廣域網中經常會使用串行鏈路來提供遠距離的資料傳輸；HDLC（High-Level Data Link Control）高級資料鏈路控制協議和PPP（Point to Point Protocol）點對點協議是兩種典型的串口封裝協議；在前邊的博文中我們提到過，串口鏈路和以太網鏈路最根本的區別就在于二層的封裝不同；以太網二層封裝是需要封裝源mac和目標mac，而串口鏈路不需要；對于二層以上的封裝兩者沒有太大區別；

　　HDLC協議應用

　　提示：HDLC是一種面向位元的鏈路層協議；HDLC傳輸的資訊單位為幀，是面向位元的同步資料控制協議的典型；

 　　HDLC的配置

　　實驗：如下拓撲，配置R1和R2使用HDLC封裝傳輸資料

　　配置R1

sys
sys R1
int s4/0/0
link-proto hdlc
y
ip add 1.0.0.1 24
d th

　　配置R2

sys
sys R2
int s4/0/0
link-proto hdlc
y
ip add 1.0.0.2 24
d th

　　提示：默認華為的設備串口都是ppp封裝，我們只需要在對應的串口介面模式下使用link-protocol hdlc命令來更改介面的封裝為hdlc即可，這里需要注意一點，通信雙方的協議必須相同，雙方才可以正常通信；

　　HDLC介面地址借用

　　什么是地址借用呢？我們知道在路由器上一個介面如果沒有ip地址就無法自動生成直連路由，也就無法轉發報文；ip地址借用是指允許一個沒有IP地址的介面從其他介面借用ip地址，這樣一來可以避免一個介面獨占ip地址，節約ip地址資源；一般建議使用回環介面的ip地址，因為回環介面總是處于up狀態，從而能穩定的提供可用的ip地址；

　　配置上述拓撲，串口ip地址借用lo1介面ip地址

　　在R1上洗掉原有介面的ip地址，在lo1上配置ip地址

　　在R2上洗掉原有介面的ip地址，在lo1上配置ip地址

　　配置R1的s4/0/0介面借用lo1介面的地址

　　配置R1的s4/0/0介面借用lo1介面的地址

　　提示：可以看到在對應串口介面下使用ip address unnumbered interface loopback 1命令就可以將lo1上的地址配置在對應的串口介面下；

　　驗證：R1和R2可以正常通信嗎？

　　提示：可以看到雖然地址都配置上了，但是無法正常通信；

　　查看路由

　　提示：可以看到對應路由的出介面是lo1并不是對應的串口，對于R2的路由也是一樣的；所以導致R1pingR2（或者R2pingR1）時資料包是發送不出去；解決辦法，添加靜態路由，指定對應的出介面為串口s4/0/0介面；

　　在R1上添加靜態路由

　　在R2上添加靜態路由

　　提示：這里需要注意，如果回環介面不是32位掩碼，這里添加靜態路由要添加明細路由，其原因是明細路由會最優先匹配上；如果是網段路由，對應靜態路由的優先級沒有直連路由的優先級高，所以在對應路由表中，直連路由優先；如果回環介面是32位掩碼，這里配置網段路由和明細路由都可以；總之添加了靜態路由以后，在路由表中對應路由的出介面是對應的串口即可；

　　驗證：現在R1和R2是否能夠正常ping通呢？

　　提示：可以看到現在R1pingR2就能正常ping通；說明我們配置的靜態路由生效；

　　PPP協議應用

　　提示：PPP協議是一種點到點鏈路層協議，主要用于在全雙工的同步或異步鏈路上進行點到點的資料傳輸；

　　HDLC和PPP協議對比

　　PPP協議特點

　　1、PPP既支持銅鼓傳輸有支持異步傳輸，而x.25、FR等資料鏈路層協議僅支持同步傳輸，SLIP僅支持異步傳輸；

　　2、PPP協議具有很好的擴展性，例如當需要以太網鏈路層在ppp協議是，ppp可以擴展為PPPoE；

　　3、PPP提供了LCP（link control protocol）協議，用于各種鏈路層引數協商；

　　4、PPP提供了各種NCP（network control protocol）協議；如ipcp,ipxcp；用于個網路層引數的協商，更好地支持了網路層協議；

　　5、PPP提供了認證協議：CHAP（challenge-handshake authentication protocol）和PAP（password authentication protocol），更好的保證了網路的安全性；

　　6、無重傳機制，網路開銷小，速度快；

　　PPP組件

　　提示：PPP為了能夠適應多種多樣的鏈路型別，定義了鏈路控制協議LCP；LCP可以自動檢測環路環境；協商鏈路引數，如最大資料包長度，使用何種認證協議等等；與其他鏈路層協議相比，ppp協議一個重要的特點是可以提供認證功能，鏈路兩端可以協商使用何種認證協議來實施認證程序，只有認證成功之后才會建立連接；NCP主要用于協商網路層地址等引數；對于不同的網路層協議，對應著不同的NCP協議；例如IPCP用于協商控制ip協議，IPXIP用于協商控制IPX協議等；

　　PPP鏈路建立程序

　　提示：dead階段是物理層不可用階段，當通信雙方的兩端檢測到物理線路激活時，就會從dead階段遷移至establish階段，即鏈路建立階段；在establish階段，ppp鏈路進行了LCP引數協商，協商內容包括最大接受單元MRU、認證方式、魔術字（magic number）等選項；LCP引數協商成功后會進入Opened狀態，表示底層鏈路已經建立；在多數情況下，鏈路兩端的設備是需要經過認證后才能夠進入網路層協議階段；ppp鏈路在預設情況下是不要求進行認證的，如果要求認證，則在鏈路建立階段必須指定認證協議，認證方式是在鏈路建立階段進行協商的，如果在這個階段再次受到了configure-request報文，則優惠回傳到鏈路建立階段；在network階段，ppp鏈路進行NCP協商；通過NCP協商來選擇和配置一個網路層協議并進行網路層引數協商，只有相應的網路層協議協商成功以后，該網路層協議才可以通過這條ppp鏈路進行資料的收發；如果在該階段受到了configure-request報文，也會回傳到鏈路建立階段；ncp協商成功后，ppp鏈路將保持通信狀態；在ppp運行程序中，可以隨時中斷連接，例如物理鏈路斷開、認證失敗、超時定時器時間、管理員通過配置關閉連接等等都可能導致鏈路進入terminate階段；在terminate階段，如果所有的資源都被釋放，通信雙方回到dead階段，知道通信雙方重新建立ppp連接；

　　LCP報文型別

　　1、configure-request（配置請求）：鏈路層協商程序中發送到第一個報文，該報文表示點到點雙方開始進行鏈路層引數協商；

　　2、configure-ack（配置回應）：收到對端發來的configure-request報文，如果引數取值完全接受，則以此報文回應；

　　提示：ppp鏈路層封裝協議，需要建立ppp鏈路的兩端設備都必須發送configure-request報文，只有當每個設備都收到對端的configrue-ack型別的報文才表示鏈路的建立程序已經成功完成；

　　3、configure-nak（配置不回應）：收到對端發來的configure-request報文，如果引數取值不被本端認可，則發送此報文并攜帶本端可接受的配置引數；

　　提示：configure-nak報文中包含RTB可以接受的取值（或取值范圍），RTA收到configure-nak報文后，會將對應引數修改為RTB能接受的取值或取值范圍，然后再次發送configure-request報文；

　　4、configure-reject（配置拒絕）：收到對端發來的configure-request報文，如果本端不能識別對端發送的configure-request中的某些引數，則發送此報文并攜帶那些本端不能識別的配置引數；

　　提示：在重新發送的configure-request報文中就不會再包含對端不被識別的引數；

　　LCP協商引數

　　1、在vrp平臺上，MRU引數使用介面上配置的最大傳輸單元（MTU）值表示，

　　2、常用的ppp認證協議有pap和chap，一條ppp鏈路的兩端可以使用不同的認證協議認證對端，但是被認證方必須支持認證方要求使用的認證協議并正確配置用戶名和密碼等認證資訊；

　　3、LCP使用魔術字來檢測鏈路環路和其他例外情況，魔術字是一個隨機產生的數字，隨機機制需要保證兩端產生相同魔術字的可能性為0；

　　4、收到一個configure-request報文之后，其中包含的魔術字需要和本地產生的魔術字進行對比，如果不同表示鏈路無環路，則使用configure-ack報文確認（如果其他引數也協商成功），表示魔術字協商成功，在后續發送的報文中，如果報文中有魔術字欄位，則該欄位設定為協商成功的魔術字；

　　IPCP靜態地址協商

　　提示：IPCP使用和LCP相同的協商機制、報文型別、但IPCP并非呼叫LCP，只是作業程序、報文等和LCP相同；ip地址協商的方式有兩種，一種是靜態配置協商，一種是動態配置協商；上圖就是靜態配置協商示意圖；

　　靜態ip地址協商程序

　　1、通信雙方都要發送configure-request報文，在此報文中包含本端配置的ip地址；

　　2、通信雙方接收到對端發送的configure-request報文之后，檢查其中的ip地址，如果ip地址是一個合法的單播ip地址，而且和本地配置的ip地址不同（不沖突），則認為對端可以使用該地址，回應一個configure-ack報文進行確認；

　　IPCP動態地址協商

　　動態ip協商ip地址程序

　　1、RTA向RB發送一條configure-request報文，此報文中會包含一個ip地址0.0.0.0，表示向對端請求ip地址；

　　2、RTB收到雙數configure-request報文后，認為其中包含的ip地址（0.0.0.0）不合法，使用configure-nak回復包含一個新ip地址10.1.1.1給ra；

　　3、RTA收到此cinfigure-nak報文之后，更新本地ip地址，并重新發送一條configure-request報文，該報文包含新配置的ip地址10.1.1.1；

　　4、RTB收到configure-request報文之后，認為其中包含的ip地址為合法地址，回應一個configure-ack報文；

　　5、在向RTA回復configure-ack報文的同時，RTB也要向RTA發送configure-request報文，請求使用地址10.1.1.2；

　　6、RTA收到configure-request報文后，認為其中包含的ip地址為合法地址，回應一個configure-ack報文；

　　PPP配置

　　提示：ppp的配置和hdlc的配置一樣，我們只需要在對應的串口介面模式下使用link-protocol 命令來修改對應的介面封裝為ppp即可；華為ARG3系列路由器默認串行介面就是ppp協議封裝；

　　PPP認證模式-PAP

　　提示：PAP認證協議為兩次握手認證協議，密碼以明文方式在鏈路上傳輸；首先LCP協商完成以后，認證方要求被認證通過方使用PAP進行認證；被認證方將配置的用戶名和密碼資訊使用authenticate-request報文以明文方式發送給認證方；認證方收到被認證方發送到用戶名和密碼后，它會根據本地配置的用戶名和密碼被認證方發送過來的用戶名和密碼是否匹配；如果匹配則回傳authenticate-ack報文，表示認證成功；否則回傳authenticate-nak報文，表示認證失敗；PAP認證協議可以做無限次的嘗試（這意味則我們可以進行暴力破解），只有在鏈路建立的階段進行認證，一旦鏈路建立成功，后續不再做認證；

　　實驗：如下拓撲，配置PPP認證模式為PAP

　　在認證方創建用于ppp認證的用戶名和密碼

　　在認證方對應串口介面配置認證模式為pap

　　提示：建立好的鏈路如果中途修改認證，此時鏈路并不會立刻斷開；要想生效，我們可以把對應介面宕掉在啟動；

　　shutdown R1的s4/0/0介面，再啟動

　　提示：可以看到當我們把s4/0/0介面shutdown后在啟動，對應鏈路就斷掉，重新建立鏈路時，提示我們R1的s4/0/0介面啟用了PAP認證，認證失敗的原因是對端沒有啟用PAP認證；

　　在被認證方配置pap認證

　　驗證鏈路是否正常建立？

　　提示：可以看到鏈路正常建立；對應介面都up起來了；

　　抓包看看是否能夠抓到用戶名和密碼？

　　提示：可以看到在鏈路上抓包可以抓到被認證方發送的PAP認證的用戶名和密碼都是使用明文進行傳輸；

　　驗證鏈路是否正常建立

　　提示：在鏈路任意一段查看對應的介面資訊，如果對應介面中顯示LCP opened 和IPCP opened表示lcp和ipcp都建立和協商成功；

　　PPP認證模式-CHAP

　　提示：CHAP（Challenge Handshake Authentication Protocol）挑戰/質詢握手認證協議，以MD5來隱藏密碼，三次握手機制，由認證方發起認證有效避免暴力破解，在鏈路建立成功后具有再次認證檢測機制，目前在企業網的遠程接入環境中用的比較常見，

　　CHAP認證程序需要進行三次報文的互動；為了匹配請求報文和回應報文，報文中包含有identifier欄位，一次認真程序所使用的報文均使用相同的identifier資訊；

　　認證程序

　　1、LCP協商完成后，認證方發送一個challenge報文給被認證方，報文中包含有id資訊和一個隨機產生的challenge字串，此id即為后續報文所使用的id；

　　2、被認證方收到challenge報文之后，進行一次加密運算，運算公式為md5(id+密碼+challenge隨機字串)，意思是將id,密碼和challenge三部分連成一個字串，然后對該字串進行md5運算，得到一個16位元組長的摘要資訊，然后將此摘要資訊和埠上配置的CHAP用戶名一起封裝在response報文中發送給認證方；

　　3、認證方收到被認證方發送的response報文后，按照啟用的用戶名在本地查找對應的密碼資訊，得到密碼資訊后，進行一次加密運算，運算方式和被認證方運算方式相同，md5(id+密碼+challenge隨機字串)，其中id和challenge是一樣的；然后對比加密運算后的摘要資訊和Response報文中封裝的摘要資訊，如果兩者一樣，則表示認證成功，不一樣則表示認證失敗；

　　實驗：將上述PAP認證模式更改為CHAP認證模式

　　在認證方的對應介面下修改認證模式為CHAP

　　提示：認證的用戶名和密碼，如果存在則不需再創建，如果沒有需要創建；其次用戶名和密碼都是在認證方創建；

　　在被認證方的對應介面下配置CHAP認證資訊

　　提示：PAP的認證資訊其實可以不用洗掉；

　　重啟埠，讓其配置生效 

　　驗證鏈路是否建立

　　抓包查看認證程序

　　認證成功抓包

　　認證失敗抓包

　　提示：可以看到CHAP認證每次都會經歷三次握手；認證成功對應給出歡迎訊息，認證失敗給出非法的用戶或密碼；

標籤：其他

上一篇：jenkins郵件-使用變數定制化html郵件報告

下一篇：Python機器學習從零開始（四）選擇模型