辽东学院信息技术学院
CHAP 验证
被验证方 主验证方
主机名＋随机报文 主机名＋加密后报文 通过 / 拒绝
CHAP是三次握手验证协议，不发送口令，主验证方首先发 起验证请求，安全性比PAP高。
22
辽东学院信息技术学院
PPP 配置 PPP 的基本配置包括：
•฀ •฀ •฀ 配置接口封装的链路层协议为PPP 配置轮询时间间隔 配置PPP 验证方式及用户名、用户口令
广域网概述
LAN
WAN
LAN
广域网简称WAN，是在一个广泛范围内建立的计算机通信网 广域网是一种跨地区的数据通讯网络，使用电信运营商提供的 设备作为信息传输平台 广域网主要用来将距离较远的局域网彼此连接起来
辽东学院信息技术学院
3
广域网概述 对于OSI参考模型，广域网技术主要位于底层的 3个层次，分别是物理层、数据链路层和网络层。
LCP用于创建和 维护链路
PPP
PPP协议主要由链路控制协议（LCP）、网络控制协议族（NCPs）和 用于网络安全方面的验证协议族（PAP和CHAP）组成。
辽东学院信息技术学院 14
PPP协议栈 协议栈
网络层
IP IPCP
IPX
其他网络协议 其他 NCP
IPXCP
网络控制协议 链路层 验证；其他选项 LCP 物理层 物理介质（同步 / 异步）
辽东学院信息技术学院 31
PPP典型配置举例
(2) 配置路由器Quidway2 [Quidway] interface serial 3/0/0 [Quidway-Serial3/0/0] link-protocol ppp [Quidway-Serial3/0/0] ppp pap local-user quidway2 password simple quidway [Quidway-Serial3/0/0] ip address 200.1.1.2 16
PAP 验证为两次握手验证，口令为明文，PAP 验证的过程如 下： •฀ 被验证方发送用户名和口令到验证方；
•฀ 验证方根据本端用户表查看是否有此用户以及口令是否 正确，然后返回不同的响应（Acknowledge or Not Acknowledge）。
辽东学院信息技术学院
19
PAP 验证
被验证方 主验证方
辽东学院信息技术学院
26
PPP 配置
配置本地以CHAP 方式验证对端：
辽东学院信息技术学院
27
PPP 配置
配置本地被对端以PAP 方式验证
缺省情况下，被对端以PAP 方式验证时，本地路由器发送 的用户名和口令均为空。
辽东学院信息技术学院
28
PPP 配置
配置本地被对端以CHAP 方式验证
其中simple 表示对password 进行直接显示，cipher 表示对password 进行 加密显示。 在配置CHAP 验证时，如果双方的username 互为对方的username，而且 password一致，被验证方可以不配置ppp chap password 命令。 缺省情况下，被对端以CHAP 方式验证时，本地路由器发送的用户名和 口令均为空。
配置接口封装HDLC 协议
请在接口视图下进行下列配置。缺省情况下，接口封装 PPP 协议。
辽东学院信息技术学院
10
HDLC 协议配置 设置轮询时间间隔
请在接口视图下进行下列配置。 该命令中的seconds 参数，用于设定状态轮询定时器的轮询 时间间隔，应使链路两端设备seconds 设为相同的值。执行 下表中的命令，可完成seconds 参数的设置。缺省情况下， seconds 值为10 秒。
辽东学院信息技术学院
16
PPP协商流程 协商流程
(4) 如果验证失败进入Terminate 阶段，拆除链路，LCP 状态 转为Down；如果验证成功就进入Network 协商阶段 （NCP），此时LCP 状态仍为Opened，而IPCP 状态从Initial 转到Request。 (5) NCP 协商支持IPCP 协商，IPCP 协商主要包括双方的IP 地址。通过NCP 协商来选择和配置一个网络层协议。只有 相应的网络层协议协商成功后，该网络层协议才可以通过这 条PPP 链路发送报文。 (6) PPP 链路将一直保持通信，直至有明确的LCP 或NCP 帧 关闭这条链路，或发生了某些外部事件（例如，用户的干 预）。
辽东学院信息技术学院
缺省情况下，轮询间隔为10 秒。如果将轮询间隔设置为0， 则不进行链路有效性检测。 如果网络的延迟比较大，或拥塞程度较高，可以适当加大轮 询时间间隔，以减少网络震荡的发生。 25
PPP 配置 配置PPP 验证方式及用户名、用户口令
本地和对端之间支持CHAP 和PAP 两种验证方式，以下将根据不同 的验证方式分别介绍需要的配置步骤。 需要说明的是：下面的PPP 验证命令都是在接口视图下进行的， local-user 命令是在系统视图下进行。 配置本地以PAP 方式验证对端：
WAN技术 OSI参考模型 Network Layer(网络层) X.25 Data link layer(数据链 LAPB、Frame Relay、HDLC、 路层) PPP、SDLC Phsical Layer (物理层) x.21bits、EIA/TIA-232、 EIT/TIE-449、v.24、v.35、 EIA-530
辽东学院信息技术学院 17
PPP协商流程 协商流程
底层 up LCP up
Dead 阶段
Establish 阶段
Authenticate 阶段
失败
验证失 败
验证通过 或无验证
down
Terminate 阶段
Network 阶段
关闭1) PAP 验证
用户名＋密码
通过 / 拒绝
PAP是两次握手验证协议，口令以明文传送，被验证方首先 发起验证请求。
20
辽东学院信息技术学院
PPP协议验证 协议验证
(2) CHAP 验证
CHAP 验证为三次握手验证，口令为密文（密钥），CHAP 验证过 程如下： ฀ 验证方主动发起验证请求，验证方向被验证方发送一些随机 产生的报文（Challenge），并同时将本端的用户名附带上一起发送 给被验证方； ฀ 被验证方接到验证方的验证请求后，被验证方根据此报文中 验证方的用户名和本端的用户表查找用户口令字，如找到用户表中 与验证方用户名相同的用户，便利用报文ID、此用户的密钥（口令 字）和MD5 算法对该随机报文进行加密，将生成的密文和自己的 用户名发回验证方（Response）； ฀ 验证方用自己保存的被验证方口令字和MD5 算法对原随机报 文加密，比较二者的密文， 根据比较结果返回不同的响应 （ Acknowledge or Not Acknowledge）。 21
辽东学院信息技术学院 4
广域网连接方式 点到点连接：
主要形式有拨号电话线路、ISDN拨号线路、DDN专线、E1 线路等。链路层上的封装协议有两种：PPP和HDLC、 PPP协议是华为路由器上的确省封装。
点到点方式
辽东学院信息技术学院 5
广域网连接方式 分组交换方式：
多个网络设备在传输数据时共享一个点到点的连接，也 就是说这条连接不是被某个设备独占，而是由多个设备共享 使用。网络在进行数据传输时使用“虚电路VC”来提供端到 端的连接。通常这种连接要经过分作交换网络，而这种网络 一般都由电信运营商来提供。常见的广域网分组形式有X.25、 帧中继（Frame Relay）、ATM等。 分组交换设备将用户信息封装在分组或数据帧中进行传 输，在分组头或帧头中包含用于路由选择、差错控制和流量 控制的信息。
辽东学院信息技术学院
6
广域网连接方式
分组交换方式
辽东学院信息技术学院
7
HDLC 协议 HDLC 协议简介
High-level Data Link Control，高级数据链路控制，简 称HDLC，是一种面向比特的链路层协议。其最大特点是 不需要规定数据必须是字符集，对任何一种比特流，均可 以实现透明的传输。标准HDLC 协议族中的协议都是运行 于同步串行线路之上，如DDN。HDLC 的地址字段是8 个 字节，控制字段是8 比特，用来实现HDLC 协议 的各种控制信息，并标识是否是数据。 系统支持HDLC 协议封装，可与市场上流行设备的HDLC 协议互通。
广域网接入技术 广域网接入技术
厉 鹏
辽东学院信息技术学院
学习目标
广域网协议概述 HDLC协议原理及配置 协议原理及配置 PPP、MP协议原理、配置及维护 、 协议原理、 协议原理 X.25协议原理、配置及维护 协议原理、 协议原理 帧中继协议原理、 帧中继协议原理、配置及维护
辽东学院信息技术学院
2
辽东学院信息技术学院 8
高级数据链路控制HDLC 高级数据链路控制
标志
地址
控制
信息
帧校验
标志
面向比特 透明传输－零比特填充法 运行于同步串行线路
辽东学院信息技术学院
9
HDLC 协议配置
HDLC 协议配置比较简单，只需两条配置命令即可，HDLC 协议配置包括： ฀ ฀ 配置接口封装HDLC 协议 设置轮询时间间隔
辽东学院信息技术学院 29
PPP典型配置举例 1. 配置需求
如图1-4所示，路由器Quidway1 和Quidway2 之间用接口 Serial3/0/0 互连，要求路由器Quidway1 用PAP 方式验证路由 器Quidway2。
2. 组网图
辽东学院信息技术学院
30
PPP典型配置举例
3. 配置步骤 (1) 配置路由器Quidway1 [Quidway] local-user quidway2 [Quidway-luser-quidway2] service-type ppp [Quidway-luser-quidway2] password simple quidway [Quidway] interface serial 3/0/0 [Quidway-Serial3/0/0] link-protocol ppp [Quidway-Serial3/0/0] ppp authentication-mode pap domain system [Quidway-Serial3/0/0] ip address 200.1.1.1 16 [Quidway] domain system [Quidway-isp-system] scheme local