第十六章：广域网技术

随着经济全球化与数字化变革加速，企业规模不断扩大，越来越多的分支机构出现在不同的地域。每个分支的网络被认为一个LAN（Local Area Network，局域网），总部和各分支机构之间通信需要跨越地理位置。因此，企业需要通过WAN（Wide Area Network，广域网）将这些分散在不同地理位置的分支机构连接起来，以便更好地开展业务。

1. PPP链路建立流程

• LCP：通过LCP报文进行链路参数协商，建立链路层连接。

协商通信双方的MRU（Maximum Receive Unit，最大接收单元）、认证方式和魔术字（Magic Number）等选项。

• 认证：通过链路建立阶段协商的认证方式进行链路认证。

1. PAP二次握手

第一次握手：被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。

第二次握手：认证方收到被认证方发送的用户名和密码信息之后，根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配；如果匹配，则返回Authenticate-Ack报文，表示认证成功。否则，返回Authenticate-Nak报文，表示认证失败。

1. CHAP三次握手

第一次握手：认证方主动发起认证请求，认证方向被认证方发送Challenge报文，报文内包含随机数（Random）和ID。

第二次握手：被认证方收到此Challenge报文之后，进行一次加密运算，运算公式为MD5{ ID＋随机数＋密码}，意思是将Identifier、随机数和密码三部分连成一个字符串，然后对此字符串做MD5运算，得到一个16 Byte长的摘要信息，然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。

第三次握手：认证方接收到被认证方发送的Response报文之后，按照其中的用户名在本地查找相应的密码信息，得到密码信息之后，进行一次加密运算，运算方式和被认证方的加密运算方式相同；然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较，相同则认证成功，不相同则认证失败。

• NCP：通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

最常见的NCP协议是IPCP，用来协商IP参数。

1. PPPOE

• PPPOE发现：用户接入，创建PPPoE虚拟链路。

1. PPPoE客户端在本地以太网中广播一个PADI报文，此PADI报文中包含了客户端需要的服务信息。
2. 如果服务器端可以提供客户端请求的服务，就会回复一个PADO报文。
3. 客户端可能会收到多个PADO报文，此时将选择最先收到的PADO报文对应的PPPoE服务器端，并发送一个PADR报文给这个服务器端。
4. PPPoE服务器端收到PADR报文后，会生成一个唯一的Session ID来标识和PPPoE客户端的会话，并发送PADS报文。

• PPPOE会话：PPP协商内容包括LCP协商、PAP/CHAP认证、NCP协商等阶段。

1. LCP协商
2. 认证协商
3. NCP协商

• PPPOE终结：用户下线，客户端断开连接或者服务器端断开连接。

1. 当PPPoE客户端希望关闭连接时，会向PPPoE服务器端发送一个PADT报文，用于关闭连接。
2. 同样，如果PPPoE服务器端希望关闭连接时，也会向PPPoE客户端发送一个PADT报文。

1、实验目的

•  串行链路上的封装概念
• PPP封装
• 通过PPP协商获取IP地址

2、实验拓扑：

实验拓扑如图16-1所示：

图16-1 PPP基本功能

3、实验步骤

步骤1：

配置AR1的接口ip并且配置PPP协议

<huawei>system-view

Enter system view, return user view with Ctrl+Z.

[huawei]sysname AR1

[AR1]interface  s4/0/0

[AR1-Serial4/0/0]link-protocol ppp   //链路层协议封装为PPP

[AR1-Serial4/0/0]ip address  10.0.12.1 24

步骤2：

配置为客户端指定地址池

[AR1-Serial4/0/0]remote address pool 1  //客户端地址通过pool 1获取

步骤23：

配置全局地址池

[AR1]ip pool 1   //创建地址池编号为1

[AR1-ip-pool-1]network 10.0.12.0 mask 24   //设置地址和子网掩码

[AR1-ip-pool-1]gateway-list 10.0.12.1  //网关为10.0.12.1

步骤3：

配置为客户端指定地址池

[AR1-Serial4/0/0]remote address pool 1

步骤4：

在AR2配置接口Serial4/0/0的链路层协议和IP地址可协商属性。

<huawei>system-view

Enter system view, return user view with Ctrl+Z.

[huawei]sysname AR2

[AR2]interface  s4/0/0

[AR2-Serial4/0/0]link-protocol ppp

[AR2-Serial4/0/0]ip address ppp-negotiate   //通过ppp协商的方式获取得到IP地址

步骤5：查看接口是否获取到ip地址

[AR2]display ip interface brief

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              unassigned           down       down     

GigabitEthernet0/0/1              unassigned           down       down     

GigabitEthernet0/0/2              unassigned           down       down     

NULL0                             unassigned           up         up(s)    

Serial4/0/0                       10.0.12.254/32       up         up       

Serial4/0/1                       unassigned           down       down

思考：为什么PPP链路上可以通过PPP协商自动获取ip地址？

Ppp的协商阶段分为LCP阶段和NCP阶段，LCP阶段主要是用于链路的建立，而NCP阶段AR1和AR2会协商双方地址的合法性，在本例中，AR2接口没有配置ip地址，因此发送NCP协商报文configure request中携带的ip地址为0.0.0.0，AR1会认为这是个非法的ip地址，并且回复configure nak报文，在此报文中会携带为AR2分配的ip地址，AR2获取新的ip地址后，下次ncp阶段协商才能通过。

1、实验目的

• 掌握PAP认证的配置

2、实验拓扑：

实验拓扑如图16-2所示：

图16-2 PAP

3、实验步骤：

步骤1：配置AR1的接口ip地址

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR1 

[AR1]interface s4/0/0

[AR1-Serial4/0/0]link-protocol ppp

[AR1-Serial4/0/0]ip address  10.0.12.1 24

步骤2：配置认证账户密码

[AR1]aaa

[AR1-aaa]local-user huawei password cipher huawei //配置认证时使用的用户密码

[AR1-aaa]local-user huawei service-type ppp //将用户名为huawei的服务类型改为PPP

步骤3：在接口配置认证模式为PAP认证

[AR1]interface s4/0/0

[AR1-Serial4/0/0]ppp authentication-mode pap

步骤3：配置AR2的接口ip地址

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR2

[AR2]interface s4/0/0  

[AR2-Serial4/0/0]link-protocol ppp       

[AR2-Serial4/0/0]ip address  10.0.12.2 24

步骤4：在AR2的接口配置认证用户名及密码

[AR2]interface s4/0/0

[AR2-Serial4/0/0]ppp pap local-user huawei password cipher huawei

步骤5：在AR2设备上查看接口状态

<AR2>display interface Serial4/0/0

Serial4/0/0 current state : UP

Line protocol current state : UP

Last line protocol up time : 2022-04-07 16:40:02 UTC-08:00

Description:HUAWEI, AR Series, Serial4/0/0 Interface

Route Port,The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 10.0.12.2/24

Link layer protocol is PPP

LCP opened, IPCP opened

Last physical up time   : 2022-04-07 16:40:01 UTC-08:00

Last physical down time : 2022-04-07 16:39:57 UTC-08:00

Current system time: 2022-04-07 16:47:59-08:00

Physical layer is synchronous, Virtualbaudrate is 64000 bps

Interface is DTE, Cable type is V11, Clock mode is TC

Last 300 seconds input rate 6 bytes/sec 48 bits/sec 0 packets/sec

Last 300 seconds output rate 2 bytes/sec 16 bits/sec 0 packets/sec

Input: 487 packets, 15742 bytes

  Broadcast:              0,  Multicast:              0

  Errors:                 0,  Runts:                  0

  Giants:                 0,  CRC:                    0

  Alignments:             0,  Overruns:               0

  Dribbles:               0,  Aborts:                 0

  No Buffers:             0,  Frame Error:            0

Output: 484 packets, 5950 bytes

  Total Error:            0,  Overruns:               0

  Collisions:             0,  Deferred:               0

    Input bandwidth utilization  :    0%

    Output bandwidth utilization :    0%

可以发现LCP及IPCP状态为opened，并且物理状态和协议状态都为up。

1、实验目的

• 掌握CHAP认证的配置方法

2、实验拓扑：

实验拓扑如图16-3所示：

图16-3 CHAP

3、实验步骤：

步骤1：配置AR1的接口ip地址

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR1 

[AR1]interface s4/0/0

[AR1-Serial4/0/0]link-protocol ppp

[AR1-Serial4/0/0]ip address  10.0.12.1 24

步骤2：配置AR2的接口ip地址

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR2 

[AR2]interface  s4/0/0

[AR2-Serial4/0/0]ip address  10.0.12.2 24

[AR2-Serial4/0/0]link-protocol ppp

步骤3：在认证方AR1配置用户名和密码，用于被认证方用户登录

[AR1]aaa

[AR1-aaa]local-user huawei password cipher huawei

[AR1-aaa]local-user huawei service-type ppp

步骤4：在认证方接口配置PPP的认证模式为chap认证

[AR1]interface  s4/0/0

[AR1-Serial4/0/0]ppp  authentication-mode chap

步骤5：在被认证方接口配置chap认证的用户名和密码

[AR2]interface  s4/0/0

[AR2-Serial4/0/0]ppp chap user huawei

[AR2-Serial4/0/0]ppp chap password cipher huawei

步骤6：在AR2设备上查看接口状态

[AR2]display  interface  s4/0/0

Serial4/0/0 current state : UP

Line protocol current state : UP

Last line protocol up time : 2022-04-12 14:26:24 UTC-08:00

Description:HUAWEI, AR Series, Serial4/0/0 Interface

Route Port,The Maximum Transmit Unit is 1500, Hold timer is 10(sec)

Internet Address is 10.0.12.2/24

Link layer protocol is PPP

LCP opened, IPCP opened

Last physical up time   : 2022-04-12 14:26:24 UTC-08:00

Last physical down time : 2022-04-12 14:26:19 UTC-08:00

Current system time: 2022-04-12 14:26:37-08:00

Physical layer is synchronous, Virtualbaudrate is 64000 bps

Interface is DTE, Cable type is V11, Clock mode is TC

Last 300 seconds input rate 7 bytes/sec 56 bits/sec 0 packets/sec

Last 300 seconds output rate 2 bytes/sec 16 bits/sec 0 packets/sec

Input: 139 packets, 4510 bytes

  Broadcast:              0,  Multicast:              0

  Errors:                 0,  Runts:                  0

  Giants:                 0,  CRC:                    0

  Alignments:             0,  Overruns:               0

  Dribbles:               0,  Aborts:                 0

  No Buffers:             0,  Frame Error:            0

Output: 139 packets, 1718 bytes

  Total Error:            0,  Overruns:               0

  Collisions:             0,  Deferred:               0

    Input bandwidth utilization  :    0%

Output bandwidth utilization :    0%

可以发现LCP及IPCP状态为opened，并且物理状态和协议状态都为up。