广域网

广域网是连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。它能连接多个地区，城市和国家，或横跨几个洲提供远距离通信。

广域网可以被划分成以下几个区域：

中心区域：通常是指广域网的核心节点和主干网络，负责整个广域网的管理控制和安全保障等重要任务。

边缘区域：通常是指广域网的边缘节点和接入网络，负责接收、处理和传输用户数据，同时也是广域网与其他局域网或广域网之间的接口。

DMZ区域：通常是指位于边缘区域和中心区域之间的“半开放”区域，既可以与内部网络相通，又可以与外部网络相连，用于提供一定程度的访问控制和安全防护。

分支区域：通常是指广域网的分支节点和地域性网络，如公司分部、分支机构、远程办公室等，可以通过VPN或专线等方式与中心区域或边缘区域相连。

服务区域：通常是指广域网上提供各种网络服务的节点和服务器，包括Web、FTP、DNS、邮件等，可以为用户提供丰富的网络资源和应用服务。

广域网络设备基本角色有三种，CE（Customer Edge，用户边缘设备） 、PE （Provider Edge，服务提供商边缘设备） 和P（Provider ，服务提供商设备） 。具体定义是：

CE：用户端连接服务提供商的边缘设备。CE连接一个或多个PE，实现用户接入。 PE：服务提供商连接CE的边缘设备。PE同时连接CE和P设备，是重要的网络节点。 P：服务提供商不连接任何CE的设备。

早期的广域网技术主要是针对不同的物理链路类型，在数据链路层进行不同的二层封装。在CE与PE之间常用的广域网封装协议有PPP/HDLC/FR等，用于解决用户接入广域网的长距离传输问题。在ISP内部常用的广域网协议主要是ATM，它用于解决骨干网高速转发的问题。

PPP（Point-to-Point Protocol，点到点协议）是一种常见的广域网数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。

PPP提供了安全认证协议族PAP（Password Authentication Protocol，密码验证协议）和CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）。

PPP协议具有良好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。

PPP协议提供LCP（Link Control Protocol，链路控制协议），用于各种链路层参数的协商，例如最大接收单元，认证模式等。

PPP协议提供各种NCP（Network Control Protocol，网络控制协议），如IPCP（IP Control Protocol ，IP控制协议），用于各网络层参数的协商，更好地支持了网络层协议。

PPP链路的建立有三个阶段的协商过程，链路层协商、认证协商（可选）和网络层协商。

链路层协商：通过LCP报文进行链路参数协商，建立链路层连接。

认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证。

网络层协商 ：通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

正常PPP链路建立需要经历链路建立阶段、认证阶段和网络层协商阶段，详细过程如下： 1.通信双方开始建立PPP链路时，先进入到Establish阶段。

2.在Establish阶段，进行LCP协商：协商通信双方的MRU（Maximum Receive Unit，最大接收单元）、认证方式和魔术字（Magic Number）等选项。协商成功后进入Opened状态，表示底层链路已建立。

3.如果配置了认证，将进入Authenticate阶段。否则直接进入Network阶段。

4.在Authenticate阶段，会根据连接建立阶段协商的认证方式进行链路认证。认证方式有两种：PAP和CHAP。如果认证成功，进入Network阶段，否则进入Terminate阶段，拆除链路，LCP状态转为Down。

5.在Network阶段，PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。最常见的NCP协议是IPCP，用来协商IP参数。

6.在Terminate阶段，如果所有的资源都被释放，通信双方将回到Dead阶段。

PPP运行过程中，可以随时中断连接，物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。

PPP帧格式： Flag字段标识一个物理帧的起始和结束，该字节为二进制序列01111110（0X7E）。

PPP帧的Address字段字节固定为11111111 （0XFF），是一个广播地址。

PPP数据帧的Control字段默认为00000011（0X03），表明为无序号帧。

帧校验序列（FCS）字段是个16 bit的校验和，用于检查PPP帧的完整性。

Protocol字段用来说明PPP所封装的协议报文类型，0XC021代表LCP报文，0XC023代表PAP报文，0XC223代表CHAP报文。

Information字段包含Protocol字段中指定协议的内容，该字段的最大长度被称为最大接收单元MRU，缺省值为1500。

当Protocol字段为0XC021时，Information结构如下：

Identifier字段为1个字节，用来匹配请求和响应。

Length域的值就是该LCP报文的总字节数据。

Data字段则承载各种TLV（Type/Length/Value）参数用于协商配置选项，包括最大接收单元，认证协议等等。

LCP报文携带的一些常见的配置参数有MRU、认证协议和魔术字。

在VRP（Versatile Routing Platform，通用路由平台）平台上，MRU参数使用接口上配置的MTU（Maximum Transmission Unit，最大传输单元）值来表示。

常用的PPP认证协议有PAP和CHAP，一条PPP链路的两端可以使用不同的认证协议认证对端，但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等认证信息。

LCP使用魔术字来检测链路环路和其他异常情况。魔术字是随机产生的一个数字，随机机制需要保证两端产生相同魔术字的可能性几乎为0。

链路协商成功后，进行认证协商（此过程可选）。认证协商有两种模式，PAP和CHAP。

PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。

LCP协商完成后，认证方要求被认证方使用PAP进行认证。 PAP认证协议为两次握手认证协议，密码以明文方式在链路上发送，过程如下： 被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。 认证方收到被认证方发送的用户名和密码信息之后，根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配；如果匹配，则返回Authenticate-Ack报文，表示认证成功。否则，返回Authenticate-Nak报文，表示认证失败。

CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。

LCP协商完成后，认证方要求被认证方使用CHAP进行认证。

CHAP认证过程需要三次报文的交互。过程如下： 认证方主动发起认证请求，认证方向被认证方发送Challenge报文，报文内包含随机数（Random）和ID。 被认证方收到此Challenge报文之后，进行一次加密运算，运算公式为MD5{ ID＋随机数＋密码}，意思是将Identifier、随机数和密码三部分连成一个字符串，然后对此字符串做MD5运算，得到一个16 Byte长的摘要信息，然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。 认证方接收到被认证方发送的Response报文之后，按照其中的用户名在本地查找相应的密码信息，得到密码信息之后，进行一次加密运算，运算方式和被认证方的加密运算方式相同；然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较，相同则认证成功，不相同则认证失败。 使用CHAP认证方式时，被认证方的密码是被加密后才进行传输的，这样就极大的提高了安全性。 加密算法声明 使用加密算法时，MD5（数字签名场景和口令加密）加密算法安全性低，存在安全风险，在协议支持的加密算法选择范围内，建议使用更安全的加密算法，例如AES/RSA（2048位以上）/SHA2/HMAC-SHA2。

（发送自己的ip，询问对端是否能接收）

PPP认证协商后，双方进入NCP协商阶段，协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例，它分为静态IP地址协商和动态IP地址协商。 静态IP地址协商需要手动在链路两端配置IP地址。

NCP主要用来建立和配置不同的网络层协议，协商在该数据链路上所传输的数据包的格式与类型。常见的有IPCP等。 静态IP地址协商过程如下： 每一端都要发送Configure-Request报文，在此报文中包含本地配置的IP地址； 每一端接收到此Configure-Request报文之后，检查其中的IP地址，如果IP地址是一个合法的单播IP地址，而且和本地配置的IP地址不同（没有IP冲突），则认为对端可以使用该地址，回应一个Configure-Ack报文。

（你认为我用那个ip好）

动态协商IP地址的过程如下： R1向R2发送一个Configure-Request报文，此报文中会包含一个IP地址0.0.0.0，表示向对端请求IP地址；

R2收到上述Configure-Request报文后，认为其中包含的地址（0.0.0.0）不合法，使用Configure-Nak回应一个新的IP地址10.1.1.1；

R1收到此Configure-Nak报文之后，更新本地IP地址，并重新发送一个Configure-Request报文，包含新的IP地址10.1.1.1；

R2收到Configure-Request报文后，认为其中包含的IP地址为合法地址，回应一个Configure-Ack报文；

同时，R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2，R1认为此地址合法，回应Configure-Ack报文。