區域網封裝:ethent 2 ieee 802.3
廣域網封裝:hdlc ppp (幀中繼 fr* atm*)
1、hdlc:高階資料鏈路控制協議
cisco 廣域網鏈路的預設封裝
cisco私有hdlc,加入控制字段(可以描述上層使用協議)
工業標準hdlc(僅僅支援上層使用ip協議)
定義介面封裝為hdlc
r1
(config)#int s1/1r1
(config-
if)#encapsulation hdlc
2、ppp:點對點協議
lcp:鏈路控制協議:用於檢測物理鏈路的封裝
ppp認證:pap(密碼認證協議)、chap(質檢握手挑戰協議)
ncp協商:網路控制協議,用於協商上層使用協議,cdpcp、ipcp會自動傳送自己的主機路由
(1)pap認證
是一種簡單的一次性認證,受到攻擊不能自動測檢
主認證方:
定義金鑰資料庫,介面啟用pap
r1
(config)#username r2 password 123
r1(config)#int s1/1r1
(config-
if)#encapsulation ppp
r1(config-
if)#ppp authentication pap
被認證方:
傳送pap的使用者名稱和密碼
r1
(config)#int s1/0r1
(config-
if)#encapsulation ppp
r1(config-
if)#ppp pap sent-username r2 password 123
支援雙方認證,認證使用者名稱和密碼可以不一致
(2)chap認證
進行ppp chap三次握手複雜多次認證(基於md5),能夠受到攻擊自動檢測ppp會話
(在chap 雙向認證中,雙方密碼必須保持一致,否則認證失敗 )
主認證方:
r1
(config)#int s1/1r1
(config-
if)#encapsulation ppp
r1(config-
if)#ppp authentication chap
被認證方:
傳送主機名和密碼的md5值
r1
(config)#int s1/0r1
(config-
if)#encapsulation ppp
r1(config-
if)#ppp chap hostname r1
r1(config-
if)#ppp chap password 123
r1(config-
if)#exit
阻止對應主機路由加表:
r1
(config)#int s1/1r1
(config-
if)#no peer neighbor-route
r1(config-
if)#exit
檢測題:
(1)簡述ppp協議的優點,支援同步或一部序列鏈路的傳輸
支援多種網路層協議
支援錯誤檢測
支援網路層的位址協商
支援使用者認證
允許進行資料壓縮
(2)簡述pap和chap認證的區別:
pap是一種簡單的明文認證方式,nas要求使用者提供使用者名稱和口令,pap以明文方式返回使用者資訊,很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳輸的使用者名稱和口令,並利用這些資訊與nas提供的所有資源。所以,一旦使用者密碼被第三方竊取,pap無法提供避免到第三方攻擊的保障措施。
chap是一種加密的驗證方式,能夠避免建立連線時傳送使用者的真實密碼。nas向遠端使用者傳送乙個挑戰口令,其中包括會話id和乙個任意生成的挑戰字串。遠端客戶必須使用md5單向雜湊演算法返回使用者名稱和密碼的挑戰口令,會話id以及使用者口令,其中使用者名稱以非雜湊方式傳送。
chap和pap進行了改進,不再直接通過鏈路傳送明文口令,而是使用挑戰口令以雜湊演算法對口令進行加密。因為伺服器端有客戶的明文口令,所以伺服器可以重複客戶端進行的操作,並將結果與使用者返回的口令進行對照。chap為每乙個驗證任意生成乙個挑戰字串來防止受到再現攻擊。在整個連線過程中,chap將不定時的向客戶端重**送挑戰口令,從而第三方冒充遠端客戶進行攻擊。
Cisco交換機 鏈路聚合
我們在交換機之間提供多條鏈路,這種設計具有冗餘性和彈性 如果兩台交換機之間有多條鏈路,那麼stp會阻斷其中一條鏈路 為了充分利用交換機之間的多條鏈路,可使用埠通道化技術,ether channel就是一種,cisco開發它的初衷是用於在交換機之間將多條快速乙太網或吉位元乙太網鏈路組合成一條邏輯通道 ...
鏈路備份技術
為了保持網路的穩定性,在多台交換機組成的網路環境中,通常都使用一些備份連線以提高網路的穩定性,健壯性,這樣的鏈結稱之為備份鏈路或冗餘鏈路。在骨幹裝置連線中,單一鏈路的鏈結很容易實現,但乙個簡單的鼓掌就會就會造成網路的中斷,因此在實際網路的組建過程中,為了保持網路的穩定性,在多台交換機組成的網路環境中...
鏈路聚合技術
隨著網路規模的不斷擴大,使用者對骨幹鏈路的頻寬和可靠性提出了越來越高的要求。在傳統技術中,常用更換高速率的介面卡或者更換支援高速率介面板的裝置的方式來增加頻寬,但是這種方式往往需要付出高額的費用,而且不夠靈活。採用鏈路聚合技術可以在不進行硬體公升級的條件下,通過將多個物理介面 為乙個邏輯介面,來達到...