DDN（Digital Data Network，数字数据网） 2Mbit/s

FR（Frame Relay，帧中继） ——已经淘汰了 2Mbit/s

SDH（Synchronous Digital Hierachy，同步数字结构） 10Gbit/s

ATM（Asynchronous Transfer Mode，异步传输模式） 10Gbit/s

早期广域网技术概述

什么是广域网

广域网是连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家，或横跨几个州提供远距离通信，形成国际性的远程网络。

广域网与局域网的区别

局域网：局域网是一种覆盖地理区域比较小的计算机网络。

广域网：广域网是一种通过租用ISP网络或者自建专用网络来构建的覆盖地理区域比较广的计算机网络。

区别：

局域网带宽高但是传输距离短，无法满足广域网长距离传输；
局域网设备通常都是交换机，广域网设备大多都是路由器；
局域网属于某一个单位或者组织，广域网服务大多由ISP提供；
广域网与局域网一般仅在物理层和数据链路层采用不同的协议或技术，其他层次基本没有差异；
银行、政府、军队、大型公司的专用网络也属于广域网，且与Internet实现物理隔离；
Internet只是广域网的一种，小企业借用Internet作为广域网连接。

一般广域网只有运营商有资格自建，一般企业没有资格，也没有资金来自建广域网。所以需要借用运营商来实现广域网的通信。

早期广域网技术介绍

早期广域网与局域网的区别在与数据链路层和物理层的差异性，在TCP/IP参考模型中，其他各层无差异。

广域网常见的数据链路层标准有：HDLC（High-level Data Link Control，高级数据链路控制）、PPP（Point-to-Point Protocol，点到点协议）、FR（Frame Relay，帧中继）、ATM异步传输模式等，其中：

HDLC协议是一种通用的协议，工作在数据链路层。数据报文加上头开销和尾开销后封装成HDLC帧，只支持在点到点的同步链路上的数据传输，不支持IP地址协商与认证，过于追求高可靠性，导致数据帧开销较大，传输效率较低。

PPP协议工作在数据链路层，主要用在支持全双工的同、异步链路上，进行点到点之间的数据传输。由于它能够提供用户认证，易于扩充，并且支持同、异步通信，因而获得广泛应用。

帧中继是一种工业标准的、交换式的数据链路协议，通过使用无差错校验机制，加快了数据转发速度。

ATM是建立在电路交换和分组交换基础上的一种面向连接的交换技术，ATM传送信息的基本载体是53 Byte固定长度ATM信元。

广域网设备角色介绍

广域网络设备基本角色有三种，CE（Customer Edge，用户边缘设备）、PE（Provider Edge，服务提供商边缘设备）和P（Provider，服务提供商设备）。具体定义是：

CE：用户端连接服务提供商的边缘设备。CE连接一个或多个PE，实现用户接入。

PE：服务提供商连接CE的边缘设备。PE同时连接CE和P设备，是重要的网络节点。

P：服务提供商不连接任何CE的设备。

早期广域网技术的应用

早期的广域网技术主要是针对不同的物理链路类型，在数据链路层进行不同的二层封装。在CE与PE之间常用的广域网封装协议有PPP/HDLC/FR等，用于解决接入广域网的长距离传输问题。在ISP内部常用的广域网协议主要是ATM，它用于解决骨干网高速转发的问题。

PPP协议原理与配置

PPP（Point-to-Point Protocol，点到点协议）是一种常见的广域网数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。

PPP提供了安全认证协议族PAP（Password Authentication Protocol，密码验证协议）和CHAP（Chanllenge Handshake Authentication Protocol，挑战握手认证协议）。

PPP协议具有良好的扩展性（TLV架构），例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。

PPP协议提供LCP（Link Control Protocol，链路控制协议），用于各种链路层参数的协商，例如最大接收单元，认证模式等。

PPP协议提供各种NCP（Network Control Protocol，网络控制协议），如IPCP（IP Control Protocol，IP控制协议），用于各网络层参数的协商，更好的支持了网络层协议。

PPP协议有如下优点：

对物理层而言，PPP既支持同步链路又支持异步链路，而X.25、FR（Frame Relay）等数据链路层协议仅支持同步链路，SLIP仅支持异步链路。
PPP协议具有良好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。
提供LCP（Link Control Protocol）协议，用于各种链路层参数的协商。
提供各种NCP（Network Control Protocol）协议（如IPCP、IPXCP），用于各网络层参数的协商，更好地支持了网络层协议。
提供认证协议CHAP（Challenge-Handshake Authentication Protocol）、PAP（Password Authentication Protocol），更好的保证了网络的安全性。
无重传机制，网络开销小，速度快。

PPP链路建立流程

PPP链路的建立有三个阶段的协商过程，链路层协商、认证协商（可选）和网络层协商。

链路层协商：通过LCP报文进行链路参数协商，建立链路层连接。

认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证。

网络层协商：通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

PPP的运行过程

通信双方开始建立PPP链路时，先进入到Establish阶段。
在Establish阶段，PPP链路进行LCP协商。协商内容包括工作方式是SP（Single-link PPP，单链路PPP）还是MP（Multilink PPP，多链路PPP）、最大接收单元MRU（Maximum Receive Unit）、验证方式和魔术字（magic number，用来防环检测）等选项。LCP协商成功后进入Opened状态，表示底层链路已经建立。

LCP 协商工作内容：单链路PPP还是多链路PPP，链路上数据帧的最大接收单元MRU，是否启用认证，魔术字防环检测。

如果配置了验证，将进入Authenticate阶段，开始CHAP或PAP验证。如果没有配置验证，则直接进入Network阶段（NCP阶段）。
在Authenticate阶段，如果验证失败，进入Terminate阶段，拆除链路，LCP状态转为Down。如果验证成功，进入Network阶段，此时LCP状态仍未Opened。
在Network阶段，PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。只有相应的网络层协议协商成功后，该网络层协议才可以通过这条PPP链路发送报文。

NCP协商包括IPCP（IP Control Protocol）、MPLSCP（MPLS Control Protocol）等协商。IPCP协商内容主要包括双方的IP地址。

NCP协商成功后，PPP链路将一直保持通信。PPP运行过程中，可以随时中断连接，物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。额
在Terminate阶段，如果所有的资源都被释放，通信双方将回到Dead阶段，直到双方重新建立PPP连接，开始新的PPP链路建立。

PPP的建链过程链接

PPP的应用场景

介绍PPP的应用场景。

路由器作为企业出口网关时，LAN侧连接内网主机，WAN侧连接运营商网络设备，根据WAN侧接口不同，运营商网络设备可能为DSLAM、OLT、无线基站。

PPP主要有以下应用：

RouterA通过PPP链路与RouterB的WAN侧接口相连，RouterA通过PPP的IPCP协商获取IP地址，与广域网络建立连接。主要运用于企业分支机构和总部间可以通过PPP链路实现园区网间的互联。图1 通过PPP链路通信示意图
PPP和其他技术结合，可以提供多种业务。设备支持的业务有PPPoE、PPPoA、PPPoEoA、PPPoFR、PPPoMFR和PPPoISDN。

LCP报文格式

链路控制协议族LCP（Link Control Protocol）：主要用来建立、拆除和监控PPP数据链路。

网络层控制协议族NCP（Network Control Protocol）：主要用来协商在该数据链路上所传输的数据包的格式与类型。

扩展协议族CHAP和PAP：主要用于网络安全方面的验证。

PPP报文可由Protocol字段标识不同类型的PPP报文。例如当Protocol字段为0xc021时，代表是LCP报文。

0xc023代表PAP报文，0xc223代表CHAP报文。

LCP协商

LCP协商过程-正常协商

LCP协商由不同的LCP报文交互完成。协商由任意一方发送Configure-Request（配置请求）报文发起。如果对端接收此报文且参数匹配，则通过回复Configure-Ack响应协商成功。

R1和R2使用串行链路相连，运行PPP协议。当物理层链路变为可用状态之后，R1和R2使用LCP协商链路参数。

本例中，R1首先发送一个Configure-Request报文，比报文中包含R1上配置的链路层参数。当R2收到比Configure-Request报文之后，如果R2能识别并接受比报文中的所有参数，则向R1回应一个Configure-Ack报文。同样的，R2也需要向R1发送Configure-Request报文，使R1检测R2上的参数是不是可接受的。

R1在没有收到Configure-Ack报文的情况下，会每隔3秒重传一次Configure-Request报文，如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文，则认为对端不可用，停止发送Configure-Request报文。

LCP协商过程-参数不匹配

在LCP报文交互中出现LCP参数不匹配时，接收方回复Configure-Nak响应告知对端修改参数然后重新协商。

当R2收到R1发送的Configure-Request报文之后，如果R2能识别此报文中携带的所有链路层参数，但是认为部分或全部参数的取值不能接受，即参数的取值协商不成功，则R2需要向R1回应一个Configure-Nak报文。

在这个Configure-Nak报文中，只包含不能接受的链路层参数，并且此报文所包含的链路层参数将被修改为R2上可以接受的取值（或取值范围）。

在收到Configure-Nak报文之后，R1需要根据此报文中的链路层参数重新选择本地配置的其他参数，并重新发送一个Configure-Request。

LCP协商过程-参数不识别

在LCP报文交互中出现LCP参数不识别时，接收方回复Configure-Reject响应告知对端删除不识别的参数然后重新协商。

在R2收到R1发送的Configure-Request报文之后，如果R2不能识别此报文中携带的部分或全部链路层参数，则R2需要向一个R1回应一个Configure-Reject报文。在此Configure-Reject报文中，只包含不能被识别的链路层参数。

在收到Configure-Reject报文之后，R1需要向R2重新发送一个Configure-Request报文，在新的Configure-Request报文中，不再包含不被对端（R2）识别的参数。

认证协商

PPP认证模式 - PAP

链路协商成功后，进行认证协商（此过程可选）。认证协商由两种模式PAP和CHAP。

PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。

LCP协商完成后，认证方要求被认证方使用PAP进行认证。

PAP认证协议为两次握手认证协议，密码以明文方式在链路上发送，过程如下：

被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。
认证方收到被认证方发送的用户名和密码信息之后，根据本地配置的用户名和密码数据库查找用户名和密码是匹配；如果匹配，则返回Authenicate-Ack报文，表示认证成功。否则，返回Authenticate-Nak报文，表示认证失败。

PAP认证有PAP单向认证和PAP双向认证：

PAP单向认证是指一端作为认证方，另一端作为被认证方。
双向认证是单向认证的简单叠加，即两端都是既作为认证方又作为被认证方。

配置命令：

配置认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp authentication-mode pap [ [ call-in ] domain domain-name ]，配置PPP认证方式为PAP。缺省情况下，PPP协议不进行认证。如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。

说明：PAP认证时，密码会在网络中以明文形式传输，存在安全风险。推荐使用CHAP认证。

执行命令quit，退回到系统视图。

配置被认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp pap local-user username password { cipher | simple } password，配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。配置的用户名和密码要和认证方配置的用户名和密码一致。缺省情况下，对端采用PAP认证时，本地设备发送的用户名和口令均为空。

说明：选择simple选项时，密码将以明文形式保存在配置文件中，存在安全风险。建议使用cipher选项，将密码加密保存。

后续处理

当您完成配置PAP认证后，必须在接口视图下依次执行命令shutdown和undo shutdown或restart重启接口，PAP认证才能生效。

PAP认证模式 - CHAP

CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。

LCP协商完成后，认证方要求被认证方使用CHAP进行认证。

CHAP认证过程需要三次报文的交互。过程如下：

认证方主动发起认证请求，认证方向被认证方发起Challenge报文，报文内包含随机数（Random）和ID。
被认证方收到此Challenge报文之后，进行一次加密运算，运算公式为MD5（ID+S随机数+密码），意思是将Identifier、随机数和密码三部分连成一个字符串，然后对此字符串做MD5运算，得到一个16Byte长的摘要信息，然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。
认证方接收到被认证方发送的Response报文之后，按照其中的用户名在本地查找相应的密码信息，得到密码信息之后，进行一次加密运算，运算方式和被认证方的加密运算方式相同；然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较，相同则认证成功，不相同则认证失败。

使用CHAP认证方式时，被认证方的密码是被加密后才进行传输的，这样就极大的提高了安全性。

CHAP认证有CHAP单向认证与CHAP双向认证：

CHAP单向认证是指一端作为认证方，另一端作为被认证方。
双向认证是单向认证的简单叠加，即两端都是既作为认证方又作为被认证方。

CHAP认证过程分为两种情况：认证方配置了用户名和认证方没有配置用户名。推荐使用认证方配置用户名的方式，这样可以对认证方的用户名进行确认。

配置命令：

认证方配置用户名

配置认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp authentication-mode chap [ [ call-in ] domain domain-name ]，配置PPP认证方式为CHAP。

说明：PAP认证时，密码会在网络中以明文形式传输，存在安全风险。推荐使用CHAP认证。

缺省情况下，PPP协议不进行认证。

如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。

执行命令ppp chap user username，配置采用CHAP认证时认证方的用户名。在被认证方上为认证方配置的本地用户的用户名必须跟此处配置的一致。
执行命令quit，退回到系统视图。

配置域及用户。这里仅介绍缺省域下AAA本地认证的配置方式，关于RADIUS认证及HWTACACS认证的相关配置请参见《HuaweiAR100&AR120&AR150&AR160&AR200&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-安全》中的AAA配置。

执行命令aaa，进入AAA视图。
执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。缺省情况下，本地账号的登录密码为admin@huawei.com。配置的密码要和被认证方配置的认证密码一致。
执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

配置被认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp chap user username，配置CHAP认证的用户名。在认证方上为被认证方配置的本地用户的用户名必须跟此处配置的一致。
执行命令quit，退回到系统视图。
执行命令aaa，进入AAA视图。
执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。缺省情况下，本地账号的登录密码为admin@huawei.com。配置的密码要和认证方配置的认证密码一致。
执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

认证方没有配置用户名

配置认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp authentication-mode chap [ [ call-in ] domain domain-name ]，配置PPP认证方式为CHAP。缺省情况下，PPP协议不进行认证。如果配置domain domain-name，则指定的域必须已经通过命令domain（AAA视图）创建。
执行命令quit，退回到系统视图。
配置域及用户。这里仅介绍缺省域下AAA本地认证的配置方式，关于RADIUS认证及HWTACACS认证的相关配置请参见《Huawei AR100&AR120&AR150&AR160&AR200&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-安全》中的AAA配置。

执行命令aaa，进入AAA视图。
执行命令local-user user-name password，创建本地帐号，并配置本地账号的登录密码。缺省情况下，本地账号的登录密码为admin@huawei.com。配置的用户名和密码要和被认证方配置的认证用户名和密码一致。
执行命令local-user user-name service-type ppp，配置本地用户使用的服务类型为PPP。

配置被认证方

执行命令system-view，进入系统视图。
执行命令interface ，进入指定的接口视图。
执行命令ppp chap user username，配置CHAP认证的用户名。
执行命令ppp chap password { cipher | simple } password，配置CHAP认证的密码。

说明：选择simple选项时，密码将以明文形式保存在0配置文件中，存在安全风险。建议使用cipher选项，将密码加密保存。

后续处理

当您完成配置CHAP认证后，必须在接口视图下依次执行shutdown和undo shutdown或restart重启接口，CHAP认证才能生效。

PPP认证模式：http://localhost:7891/newhdx.cgi?fe=0&lib=AZI0304Q&v=02&homepage=resources/hedex-homepage.html&time=1686483415350

PAP和CHAP协议各自的特点是什么

PAP（Password Authentication Protocol）协议两次握手机制，使用明文方式传输密码，对方控制连接请求，所以对攻击的处理效果不好。

CHAP（Challenge Handshake Authentication Protocol）协议三次握手机制，被验证方将MD5算法生成的密文和自己的用户名发回验证方，有效避免再生攻击和尝试攻击。

NCP协商

NCP协商 - 静态IP地址协商

PPP认证协商后，双方进入NCP协商阶段，协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例，它分为静态IP地址协商和动态IP地址协商。

静态IP地址协商需要手动在链路两端配置IP地址。

NCP主要用来建立和配置不同的网络层协议，协商在该数据链路上所传输的数据包的格式与类型。常见的有IPCP等。

静态IP地址协商过程如下：

每一端都要发送Configure-Request报文，在此报文中包含本地配置的IP地址；
每一端都接收到此Configure-Request报文之后，检查其中的IP地址，如果IP地址是一个合法的单播IP地址，而且和本地配置的IP地址不同（没有IP冲突），则认为对端可以使用该地址，回应一个Configure-Ack报文。

串口链路即使在不同网段下也可以ping通，是因为PPP的NCP协议可以获取对端设备的IP地址，即使两端的IP地址不在同一网段，也可以互相Ping通。

NCP协商 - 动态IP地址协商

动态IP地址协商支持PPP链路一端为对端配置IP地址。

动态协商IP地址的过程如下：

R1向R2发送一个Configure-Request报文，此报文中会包含一个IP地址0.0.0.0，表示向对端请求IP地址。
R2收到上述Configure-Request报文后，认为其中包含的地址（0.0.0.0）不合法，使用Configure-Nak回应一个新的IP地址10.1.1.1；
R1收到此Configure-Nak报文之后，更新本地IP地址，并重新发送一个Configure-Request报文，包含新的IP地址10.1.1.1；
R2收到Configure-Request报文后，认为其中包含的IP地址为合法地址，回应一个Configure-Ack报文；
同时，R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2，R1认为此地址合法，回应Configure-Ack报文。