工作单元5 利用广域网实现企业网络互联

1、工作单元工作单元5利用广域网实现企业网络互联利用广域网实现企业网络互联 广域网通常使用电信运营商建立和经营的网络。电广域网通常使用电信运营商建立和经营的网络。电 信运营商将其网络分次（拨号线路）或分块（租用专线）信运营商将其网络分次（拨号线路）或分块（租用专线） 出租给用户以收取服务费用。企业网络在利用广域网实出租给用户以收取服务费用。企业网络在利用广域网实 现网络互联时，其所采用的连接技术在很大程度上决定现网络互联时，其所采用的连接技术在很大程度上决定 了企业网络与外部网络之间的通信速度。本单元的主要了企业网络与外部网络之间的通信速度。本单元的主要 目标是了解常用的广域网技术，能够完成利用广

2、域网实目标是了解常用的广域网技术，能够完成利用广域网实 现企业网络互联的基本配置。现企业网络互联的基本配置。 本单元主要内容本单元主要内容 任务任务5.1利用利用PPP实现企业网络互联实现企业网络互联 任务任务5.2利用帧中继实现企业网络互联利用帧中继实现企业网络互联 任务任务5.1利用利用PPP实现企业网络互联实现企业网络互联 【任务目的】【任务目的】 （1）理解广域网技术标准；）理解广域网技术标准； （2）熟悉）熟悉HDLC和和PPP的基本运行机制；的基本运行机制； （3）掌握利用）掌握利用PPP实现企业网络互联的基本配置方法。实现企业网络互联的基本配置方法。 【任务导入】【任务导入】 广

3、域网可以使用多种类型的连接方案，不同类型的连接方案之间存在技广域网可以使用多种类型的连接方案，不同类型的连接方案之间存在技 术、速度和成本方面的差异。租用线路连接主要是指点对点连接或专线连接，术、速度和成本方面的差异。租用线路连接主要是指点对点连接或专线连接， 是从本地客户端设备经过是从本地客户端设备经过DCE设备到远端目标网络的一条预先建立的广域网设备到远端目标网络的一条预先建立的广域网 通信路径，可以在数据收发双方之间建立起永久性的固定连接。租用线路连通信路径，可以在数据收发双方之间建立起永久性的固定连接。租用线路连 接通常使用同步串行线路。在图接通常使用同步串行线路。在图5-1所示的网络

4、中，两台路由器所示的网络中，两台路由器Router0和和 Router1通过通过S1/0串行接口相连，其中路由器串行接口相连，其中路由器Router0为为DTE，路由器，路由器 Router1为为DCE。默认情况下，。默认情况下，Cisco路由器的串行口是采用数据链路层协议路由器的串行口是采用数据链路层协议 Cisco HDLC进行数据封装的。进行数据封装的。Cisco HDLC是是Cisco的专有协议，缺少对链的专有协议，缺少对链 路的安全保护。若路的安全保护。若Cisco设备与非设备与非Cisco设备进行连接，或者对链路的安全性设备进行连接，或者对链路的安全性 有要求，则应使用有要求，则应

5、使用PPP进行数据封装。进行数据封装。PPP 也是串行线路上的一种数据链路也是串行线路上的一种数据链路 层封装格式，可以提供对多种网络层协议的支持，并且支持认证、多链路捆层封装格式，可以提供对多种网络层协议的支持，并且支持认证、多链路捆 绑、回拨、压缩等功能。请对图绑、回拨、压缩等功能。请对图5-1所示的网络进行配置，启用所示的网络进行配置，启用PPP封装数据，封装数据， 实现路由器间的连通。实现路由器间的连通。 【工作环境与条件】【工作环境与条件】 （1）路由器和交换机（本部分以）路由器和交换机（本部分以Cisco 系列产品为例，系列产品为例， 也可选用其他品牌型号的产品或使用也可选用其他品

6、牌型号的产品或使用Cisco Packet Tracer、 Boson Netsim等网络模拟和建模工具）；等网络模拟和建模工具）； （2）Console线缆和相应的适配器；线缆和相应的适配器； （3）安装）安装Windows操作系统的操作系统的PC； （4）组建网络所需的其他设备。）组建网络所需的其他设备。 5.1.1广域网标准广域网标准 1. 广域网物理层标准广域网物理层标准 广域网物理层标准主要描述了如何面对广域网服务提广域网物理层标准主要描述了如何面对广域网服务提 供电气、机械、规程和功能特性，以及供电气、机械、规程和功能特性，以及DTE和和DCE之间之间 的接口。通常企业网络用来与广

7、域网连接的设备是路由器，的接口。通常企业网络用来与广域网连接的设备是路由器， 该设备将被认为是该设备将被认为是DTE，而与其连接的由电信运营商提，而与其连接的由电信运营商提 供的接口则为供的接口则为DCE。广域网的各种连接类型在物理层都。广域网的各种连接类型在物理层都 使用同步或异步串行连接。使用同步或异步串行连接。 5.1.1广域网标准广域网标准 2. 广域网的数据链路层标准广域网的数据链路层标准 PPP（Point to Point Protocol，点对点协议）：通过，点对点协议）：通过 同步电路和异步电路提供路由器到路由器和主机到网络的同步电路和异步电路提供路由器到路由器和主机到网络的

8、 连接。连接。PPP可以和多种网络层协议协同工作。可以和多种网络层协议协同工作。 SLIP（Serial Line Internet Protocol，串行线路互连，串行线路互连 协议）：使用协议）：使用TCP/IP实现点对点串行连接的标准协议，实现点对点串行连接的标准协议， 已经基本上被已经基本上被PPP 取代。取代。 HDLC（High-Level Data Link Control，高级数据链，高级数据链 路控制协议）：按位访问的同步数据链路层协议，定义了路控制协议）：按位访问的同步数据链路层协议，定义了 同步串行链路上使用帧标识和校验和的数据封装方法。当同步串行链路上使用帧标识和校验和

9、的数据封装方法。当 链路两端均为链路两端均为Cisco设备时，它是点对点专用链路和电路设备时，它是点对点专用链路和电路 交换连接上默认的封装类型，是同步交换连接上默认的封装类型，是同步PPP的基础。的基础。 5.1.1广域网标准广域网标准 X.25平衡式链路访问程序（平衡式链路访问程序（LAPB）：定义）：定义DTE与与 DCE间如何连接的间如何连接的ITU-T标准，用于在公用数据网络上维标准，用于在公用数据网络上维 护远程终端访问与计算机的通信，已被帧中继取代。护远程终端访问与计算机的通信，已被帧中继取代。 帧中继（帧中继（Frame Relay）：一种高性能的分组交换式）：一种高性能的分组

10、交换式 广域网协议，可以被应用于各种类型的网络接口中。由于广域网协议，可以被应用于各种类型的网络接口中。由于 帧中继是一种面向连接，无内在纠错机制的协议，因此适帧中继是一种面向连接，无内在纠错机制的协议，因此适 合高可靠性的数字传输设备使用。合高可靠性的数字传输设备使用。 ATM（Asynchronous Transfer Mode，异步传输模，异步传输模 式）：信元交换的国际标准，在定长（式）：信元交换的国际标准，在定长（53字节）的信元中字节）的信元中 能传输多种类型的服务，适于高速传输（如能传输多种类型的服务，适于高速传输（如SONET）。）。 5.1.1广域网标准广域网标准 MPLS（

11、Multi-Protocol Label Switching，多协议标，多协议标 签交换协议）：签交换协议）：MPLS独立于独立于ATM、IP等数据链路层和网等数据链路层和网 络层协议，可在任何现有基础架构上运行。络层协议，可在任何现有基础架构上运行。MPLS将将IP地地 址映射为简单的具有固定长度的标签，用于不同的包转发址映射为简单的具有固定长度的标签，用于不同的包转发 和包交换技术。和包交换技术。MPLS可作为一种经济的解决方案，用于可作为一种经济的解决方案，用于 传输电路交换网络和分组交换网络的流量。传输电路交换网络和分组交换网络的流量。 3. 广域网的网络层标准广域网的网络层标准 网络

12、层的主要任务是设法将源节点发出的数据包传送网络层的主要任务是设法将源节点发出的数据包传送 到目的节点，从而向传输层提供最基本的端到端的数据传到目的节点，从而向传输层提供最基本的端到端的数据传 送服务。常见的广域网网络层协议有送服务。常见的广域网网络层协议有CCITT的的X.25协议协议 （定义了（定义了OSI参考模型的下三层）和参考模型的下三层）和TCP/IP协议中的协议中的IP协协 议等。议等。 5.1.2HDLC HDLC是点到点串行线路上的数据链路层封装格式，是点到点串行线路上的数据链路层封装格式， 其帧格式和以太网有很大差别，其帧格式和以太网有很大差别，HDLC帧没有源帧没有源MAC地

13、地 址和目的址和目的MAC地址。地址。HDLC采用确认机制进行流量控制采用确认机制进行流量控制 和错误控制，每个帧的格式都相同，无论是数据帧还是控和错误控制，每个帧的格式都相同，无论是数据帧还是控 制帧。制帧。 Cisco公司对公司对HDLC进行了专有化，解决了其无法支进行了专有化，解决了其无法支 持多协议的问题。默认情况下持多协议的问题。默认情况下Cisco路由器的串行接口将路由器的串行接口将 采用采用Cisco HDLC进行数据封装。进行数据封装。Cisco HDLC与标准与标准 HDLC并不兼容，因此如果链路的两端都是并不兼容，因此如果链路的两端都是Cisco设备，设备， 可以使用可以使

14、用 Cisco HDLC进行数据封装，但如果进行数据封装，但如果Cisco设备与设备与 非非Cisco设备进行连接，则应使用设备进行连接，则应使用PPP进行数据封装。另进行数据封装。另 外，外，HDLC不能提供验证，缺少对链路的安全保护。不能提供验证，缺少对链路的安全保护。 5.1.3PPP PPP也是串行线路上（同步电路或者异步电路）的一也是串行线路上（同步电路或者异步电路）的一 种数据链路层封装格式。种数据链路层封装格式。PPP可以提供对多种网络层协议可以提供对多种网络层协议 的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。 1. P

15、PP的组件的组件 PPP包含包含3个主要组件：个主要组件： 用于在点对点链路上封装数据的用于在点对点链路上封装数据的HDLC协议。协议。 用于建立、配置和测试数据链路连接的可扩展链路控用于建立、配置和测试数据链路连接的可扩展链路控 制协议（制协议（LCP）。）。 用于建立和配置各种网络层协议的网络控制协议用于建立和配置各种网络层协议的网络控制协议 （NCP）。）。PPP可以支持多种网络层协议，较常见的可以支持多种网络层协议，较常见的NCP 有有Internet协议控制协议（支持协议控制协议（支持IP）、）、Appletalk控制协议、控制协议、 Novell IPX控制协议等。控制协议等。 5

16、.1.3PPP 2. PPP的工作过程的工作过程 链路的建立和配置协商：在链路的建立和配置协商：在PPP交换任何网络层数据交换任何网络层数据 包（例如包（例如 IP）之前，通信的发起方将发送）之前，通信的发起方将发送LCP帧来配置帧来配置 和检测通信链路。和检测通信链路。 链路质量检测：链路质量检测： LCP测试链路以确定链路质量是否测试链路以确定链路质量是否 满足网络层协议要求。这一阶段是可选的，在链路已经建满足网络层协议要求。这一阶段是可选的，在链路已经建 立、协调之后进行。立、协调之后进行。 网络层协议配置协调：通信的发起方发送网络层协议配置协调：通信的发起方发送NCP帧以帧以 选择并配

17、置网络层协议。选择并配置网络层协议。 关闭链路：通信链路将一直保持到关闭链路：通信链路将一直保持到LCP或或NCP帧关闭帧关闭 链路或发生一些外部事件。链路或发生一些外部事件。 5.1.3PPP 3. PPP的验证方式的验证方式 PPP提供了提供了PAP和和CHAP两种身份验证方式。两种身份验证方式。 （1）PAP PAP（Password Authentication Protocol，密码验证，密码验证 协议）利用协议）利用2次握手的简单方法进行认证。次握手的简单方法进行认证。PAP验证过程验证过程 是在链路建立完毕后，源节点不停地在链路上反复发送用是在链路建立完毕后，源节点不停地在链路上

18、反复发送用 户名和口令，直到验证通过。在户名和口令，直到验证通过。在PAP验证中，用户名和口验证中，用户名和口 令在链路上是以明文传输的，而且由于是由源节点控制验令在链路上是以明文传输的，而且由于是由源节点控制验 证重试频率和次数，因此证重试频率和次数，因此PAP验证不能防范再生攻击和重验证不能防范再生攻击和重 复的尝试攻击。复的尝试攻击。 5.1.3PPP （2）CHAP CHAP（Challenge Handshake Authentication Protocol，询问握手验证协议）利用，询问握手验证协议）利用3次握手周期地验证次握手周期地验证 源节点的身份。源节点的身份。CHAP验证过

19、程在链路建立之后进行，而验证过程在链路建立之后进行，而 且在以后的任何时候都可以再次进行。且在以后的任何时候都可以再次进行。CHAP不允许连接不允许连接 发起方在没有收到询问消息的情况下进行验证尝试。发起方在没有收到询问消息的情况下进行验证尝试。 CHAP不直接传送口令，只传送一个不可预测的询问消息，不直接传送口令，只传送一个不可预测的询问消息， 以及该询问消息与口令经过以及该询问消息与口令经过MD5加密运算后的加密值。加密运算后的加密值。 所以所以CHAP可以防止再生攻击，其安全性比可以防止再生攻击，其安全性比PAP要高。要高。 【任务实施】【任务实施】 实训实训1PPP基本配置基本配置 实

20、训实训2配置配置PPP身份验证身份验证 【任务拓展】【任务拓展】 在图在图5-3所示的网络中，所示的网络中，3台路由器通过串行接口相连。网络台路由器通过串行接口相连。网络 组建完成后，请完成以下配置：组建完成后，请完成以下配置： 利用利用PPP实现路由器之间的连接。其中在路由器实现路由器之间的连接。其中在路由器Router0和和 Router1之间进行双向的之间进行双向的PAP验证，在路由器验证，在路由器Router1和和Router2 之间进行双向的之间进行双向的CHAP验证。验证。 为网络中的相关设备分配为网络中的相关设备分配IP地址及相关参数，利用静态路由地址及相关参数，利用静态路由 或

21、动态路由实现网络的连通。或动态路由实现网络的连通。 任务任务5.2利用帧中继实现企业网络互联利用帧中继实现企业网络互联 【任务目的】【任务目的】 （1）理解帧中继的基本运行机制；）理解帧中继的基本运行机制； （2）熟悉利用帧中继实现企业网络互联的基本配置方法。）熟悉利用帧中继实现企业网络互联的基本配置方法。 【任务导入】【任务导入】 租用线路可以提供永久的专用带宽，在不考虑成本的情况下是最租用线路可以提供永久的专用带宽，在不考虑成本的情况下是最 佳的广域网连接方案。但是租用线路的每个端点都需要单独占用路由佳的广域网连接方案。但是租用线路的每个端点都需要单独占用路由 器上的一个物理接口，这会增加

22、设备成本。另外租用线路的带宽是固器上的一个物理接口，这会增加设备成本。另外租用线路的带宽是固 定的，但广域网的数据流量经常是波动性的，这会使得线路的带宽不定的，但广域网的数据流量经常是波动性的，这会使得线路的带宽不 能得到有效利用。在图能得到有效利用。在图5-4所示的网络中，需要租用所示的网络中，需要租用3条线路才能实现条线路才能实现 路由器之间的两两连接，显然若路由器之间的通信流量很少的话，这路由器之间的两两连接，显然若路由器之间的通信流量很少的话，这 是得不偿失的。是得不偿失的。 【任务导入】【任务导入】 分组交换连接是在两个站点之间使用逻辑电路（虚电路）建立连分组交换连接是在两个站点之间

23、使用逻辑电路（虚电路）建立连 接，同一个物理线路上可以建立多个逻辑电路。在分组交换连接中，接，同一个物理线路上可以建立多个逻辑电路。在分组交换连接中， 路由器只需要一条物理线路就可以与多个设备之间建立逻辑连接，这路由器只需要一条物理线路就可以与多个设备之间建立逻辑连接，这 可以有效的降低成本，最大限度的利用带宽，也可以提高网络设计的可以有效的降低成本，最大限度的利用带宽，也可以提高网络设计的 灵活性。帧中继（灵活性。帧中继（Frame Relay，FR）是面向连接的广域网数据交）是面向连接的广域网数据交 换协议，工作于换协议，工作于OSI参考模型的物理层和数据链路层，是典型的分组参考模型的物理

24、层和数据链路层，是典型的分组 交换技术。请对图交换技术。请对图5-4所示的网络进行配置，利用帧中继实现网络的所示的网络进行配置，利用帧中继实现网络的 互联。互联。 【工作环境与条件】【工作环境与条件】 （1）路由器和交换机（本部分以）路由器和交换机（本部分以Cisco 系列产品为例，系列产品为例， 也可选用其他品牌型号的产品或使用也可选用其他品牌型号的产品或使用Cisco Packet Tracer、 Boson Netsim等网络模拟和建模工具）；等网络模拟和建模工具）； （2）Console线缆和相应的适配器；线缆和相应的适配器； （3）安装）安装Windows操作系统的操作系统的PC；

25、（4）组建网络所需的其他设备。）组建网络所需的其他设备。 5.2.1帧中继网络的拓扑结构帧中继网络的拓扑结构 帧中继使用的连接是由虚电路提供的，虚电路是两台帧中继使用的连接是由虚电路提供的，虚电路是两台 设备之间的逻辑连接，因此每个局域网路由器只需要通过设备之间的逻辑连接，因此每个局域网路由器只需要通过 一条物理链路连接到帧中继网络（也称帧中继云），通过一条物理链路连接到帧中继网络（也称帧中继云），通过 该物理连接就可以使用逻辑虚电路连接到远程网络。帧中该物理连接就可以使用逻辑虚电路连接到远程网络。帧中 继网络最简单的拓扑结构为星型结构，即帧中继云中只有继网络最简单的拓扑结构为星型结构，即帧中

26、继云中只有 一台帧中继交换机来提供主要服务与应用。为了保证数据一台帧中继交换机来提供主要服务与应用。为了保证数据 传输质量，在大型的帧中继网络中更多采用全网状拓扑结传输质量，在大型的帧中继网络中更多采用全网状拓扑结 构或部分网状拓扑结构构或部分网状拓扑结构 5.2.2虚电路与虚电路与DLCI 1. 虚电路虚电路 虚电路（虚电路（Virtual Circuit，VC）是一种分组交换传输）是一种分组交换传输 方式，分为永久虚电路（方式，分为永久虚电路（PVC）和交换虚电路（）和交换虚电路（SVC） 两种类型。两种类型。PVC与租用线路类似，由运营商预先配置，与租用线路类似，由运营商预先配置， 只要

27、存在一条从发送站到接收站的物理链路就可以一直保只要存在一条从发送站到接收站的物理链路就可以一直保 持连通状态。持连通状态。SVC与电路交换连接类似，当需要发送数与电路交换连接类似，当需要发送数 据时据时SVC会被动态创建，数据发送完毕后电路将立刻被会被动态创建，数据发送完毕后电路将立刻被 拆除。由于拆除。由于PVC简单、高效，因此更适合于进行数据通简单、高效，因此更适合于进行数据通 信。信。 5.2.2虚电路与虚电路与DLCI 2. DLCI 帧中继使用帧中继使用DLCI（Data Link Connection Identifier， 数据链路连接标识符）来区分网络中的不同虚电路。实际数据链

28、路连接标识符）来区分网络中的不同虚电路。实际 上上DLCI就是就是IP数据包在帧中继链路上进行封装时所需的数据包在帧中继链路上进行封装时所需的 数据链路层地址，其长度一般为数据链路层地址，其长度一般为10bit，也可扩展为，也可扩展为16bit。 DLCI通常由帧中继服务提供商统一分配，其范围一般为通常由帧中继服务提供商统一分配，其范围一般为 161007（015和和10081023留作特殊用途）。帧中继留作特殊用途）。帧中继 的的DLCI仅具有本地意义，只在其所在物理链路上是唯一仅具有本地意义，只在其所在物理链路上是唯一 的。的。 5.2.2虚电路与虚电路与DLCI 5.2.3帧中继的地址映

29、射帧中继的地址映射 DLCI是帧中继网络中的数据链路层地址。路由器要是帧中继网络中的数据链路层地址。路由器要 通过帧中继网络把通过帧中继网络把IP数据包发到下一跳路由器时，它必须数据包发到下一跳路由器时，它必须 知道知道IP地址和地址和DLCI的映射才能进行数据帧的封装。的映射才能进行数据帧的封装。 路由器有两种方法可以获得地址映射，一种是静态映路由器有两种方法可以获得地址映射，一种是静态映 射，即由管理员手工输入；另一种是利用射，即由管理员手工输入；另一种是利用IARP（Inverse ARP，逆向地址解析协议）动态建立帧中继映射。默认，逆向地址解析协议）动态建立帧中继映射。默认 情况下，情

30、况下，Cisco路由器帧中继接口将采用动态映射。路由器帧中继接口将采用动态映射。I 5.2.4LMI LMI（Local Management Interface，本地管理接，本地管理接 口）提供了一个帧中继交换机和路由器之间的简单信令，口）提供了一个帧中继交换机和路由器之间的简单信令， 用于建立和维护帧中继用于建立和维护帧中继DTE和和DCE设备之间的连接，维设备之间的连接，维 护虚电路的状态。护虚电路的状态。LMI有多种类型，如有多种类型，如ITU-T的的Q.933附录附录 A、ANSI的的T1.617附录附录D、Cisco非标准兼容协议等。在非标准兼容协议等。在 帧中继交换机和路由器之间必须采用相同的帧中继交换机和路由器之间必须采用相同的LMI类型，类型， Cisco路由器在较高版本的路由器在较高版本的IOS中具有自动检测中具有自动检测LMI类型类型 的功能。对于的功能。对于DTE设备，设备，PVC的状态完全由的状态完全由DCE设备决设备决 定。路由器从帧中继交换机