集团企业网组建项目(六)广域网技术

构建中小企业网络

集团企业网组建项目(六)——广域网技术2009/9Mail:xuanyuan.yang@目录工作任务布置广域网基本概念HDLC协议与配置任务实施（一）PPP协议PPP配置任务实施（二）帧中继协议帧中继配置任务实施（三）2009/9Mail:xuanyuan.yang@工作任务布置2009/9Mail:xuanyuan.yang@任务背景公司总部在北京，因为业务发展壮大，在上海建立了一家分公司，为了便于管理及日常工作顺利开展，总部决定和分公司之间采用广域网线路连接。2009/9Mail:xuanyuan.yang@拓扑图R3640RG-S6808×2RG-S3550RG-S4909RG-S3550RG-S3550RG-S3550RG-R6806ERG-S2126SRG-S2126SFR分公司公司总部2009/9Mail:xuanyuan.yang@广域网基本概念

2009/9Mail:xuanyuan.yang@广域网的作用基于电信运营商的通信网络设施建立远程连接在相距遥远的局域网之间建立连接性WAN运营商通信网北京西安1000km2009/9Mail:xuanyuan.yang@广域网与OSI参考模型网络层数据链路层物理层IP、IPX等网络层协议HDLCPPP帧中继LAPBV.24、V.35、X.21、RS-232、RS-449、RS-530、G.703、E1/T1OSI参考模型广域网2009/9Mail:xuanyuan.yang@广域网连接方式X.25/帧中继/ATMPSTN/ISDN分组交换方式电路交换方式专线方式异步/同步专线2009/9Mail:xuanyuan.yang@专线连接模型运营商传输设备运营商通信网运营商传输设备DTEDTEDCEDCE远程线路点到点永久性独占线路，固定带宽典型技术：异步模拟专线、同步数字专线链路层常使用SDLC、HDLC、PPP等本地线缆本地线缆接入线路接入线路用户路由器用户路由器2009/9Mail:xuanyuan.yang@电路交换连接模型按需拨号建立连接，独占线路，带宽固定典型技术：PSTN、ISDN链路层通常采用PPP广域网交换机运营商通信网广域网交换机DTEDTEDCEDCE远程交换电路本地线缆本地线缆接入线路接入线路用户路由器用户路由器2009/9Mail:xuanyuan.yang@分组交换连接模型一个端系统设备可以通过虚电路连接到多个通信对端典型技术：X.25、帧中继、ATM分组交换机运营商分组交换网分组交换机虚电路接入链路接入链路用户路由器用户路由器2009/9Mail:xuanyuan.yang@常用接口和线缆接口和线缆V.24、V.35、X.21、RS-232、RS-449、RS-530、RJ-11、RJ-45、双绞线等设备调制解调器、同步CSU/DSU等运营商设备运营商通信网串口串口线缆接入线缆用户路由器2009/9Mail:xuanyuan.yang@V.24接口线缆V.24DTE电缆波特率（bps）最大传输距离（米）24006048006096003019200303840020640002011520010支持同步和异步两种方式异步方式下最高速率为115200bps同步方式下最高速率为64000bps2009/9Mail:xuanyuan.yang@V.35接口线缆V.35DTE电缆波特率（bps）最大传输距离（m）240012504800625960031219200156384007856000606400050204800030只能工作在同步方式下同步方式下最大速率2Mbps2009/9Mail:xuanyuan.yang@HDLC协议与配置2009/9Mail:xuanyuan.yang@HDLC概述HDLC封装面向比特透明传输运行于同步串行线路同步串行线路2009/9Mail:xuanyuan.yang@HDLC帧格式标志字段：标志帧的起始（01111110）地址字段：用来寻址目的设备控制字段：构成各种命令以及响应信息字段：有效信息或者数据帧校验：校验帧错误标志F控制C(8bit)地址A(8bit)帧校验TCS(16bit)标志F信息I(Nbit)2009/9Mail:xuanyuan.yang@HDLC状态检测HDLC设备以轮询时间间隔为周期，向链路上发送Keepalive消息3个周期内无法收到对方发出的Keepalive消息，HDLC设备就认为链路不可用同一链路两端设备的轮询时间间隔应设为相同的值HDLC链路每10秒发送keepalive每10秒发送keepalive2009/9Mail:xuanyuan.yang@HDLC协议特点对于任何一种比特流都可透明传输较高的数据链路传输效率所有的帧（包括响应帧）都有FCS，传输可靠性高用统一的帧格式来实现传输2009/9Mail:xuanyuan.yang@HDLC协议使用限制只支持点到点连接，不支持点到多点只能工作于同步方式不支持验证，缺乏安全性不支持IP地址协商2009/9Mail:xuanyuan.yang@Router(config-if)#encapsulationhdlc启用HDLC封装同步串行接口默认使用HDLC封装配置HDLC封装Router(config-if)#keepaliveseconds设置hdlckeepalive的间隔时间任务实施（一）2009/9Mail:xuanyuan.yang@任务布置在广域网接口封装HDLC协议,使总公司与分公司ping通;RTARTBPCBPCAS0/0S0/0f0/0f0/02009/9Mail:xuanyuan.yang@PPP协议2009/9Mail:xuanyuan.yang@PPP基本概念PPP协议支持同步和异步线路PPP协议支持验证和地址协商同步/异步专线接入服务器PPPPSTN/ISDNPSTN/ISDNPPPPPPPPPPPPPPP2009/9Mail:xuanyuan.yang@PPP的特点可以工作在同异步方式下能够控制数据链路的建立支持验证，更加安全可同时支持多种网络层协议可以对网络层地址进行协商，能够远程分配IP地址无重传机制，网络开销小2009/9Mail:xuanyuan.yang@LCP(连接控制协议)NCP(网络控制协议)21(IP,IPX,AppleTalk)3PPP协议结构物理介质（同步／异步）PPP协议主要由LCP、NCP以及用于网络安全的可选验证协议族组成PPP帧格式标志字段：标志帧的起始（01111110）地址字段：总设成11111111,表明主从端的状态都为接收状态．控制字段：其缺省为00000011，表明是一个无序号的帧，默认情况下，没有采用序列号来进行可靠传输．协议字段：这些协议包括了LCP和针对所支持的每种网络层协议而定的不同NCP。信息字段：有效信息或者数据帧校验：校验帧错误标志F控制C(8bit)地址A(8bit)帧校验TCS(16bit)标志F信息I(Nbit)协议P(16bitor8bit)2009/9Mail:xuanyuan.yang@PPP会话建立过程PSTN/ISDNPPP链路链路的建立和配置协调阶段可选的验证阶段，选择PAP或者CHAP网络层协议配置协商阶段2009/9Mail:xuanyuan.yang@PPP会话流程Dead阶段Establish阶段Network阶段Authenticate阶段Terminate阶段关闭验证失败LCP

Opened验证通过或无验证链路建立失败Down底层up2009/9Mail:xuanyuan.yang@PAP验证用户名＋密码通过/拒绝被验证方首先发起验证请求，两次握手验证密码以明文传送被验证方主验证方用户列表2009/9Mail:xuanyuan.yang@CHAP验证主机名＋加密后报文通过/拒绝主机名＋随机报文被验证方主验证方主验证方首先发起验证请求，三次握手验证不发送密码，安全性比PAP高用户列表2009/9Mail:xuanyuan.yang@PPP验证对比PAP是两次握手，CHAP是三次握手PAP密码以明文方式在链路上发送，缺乏安全性CHAP只在网络上传输用户名，而并不传输用户密码PAP和CHAP都支持双向身份验证2009/9Mail:xuanyuan.yang@PPP配置2009/9Mail:xuanyuan.yang@PPP的配置路由器上的配置RA(config)#interfaceseriel1/2RA(config-if)#encapsulationppp注：路由器广域网默认封装方式为HDLC2009/9Mail:xuanyuan.yang@PAP验证的配置客户端（被验证方）RA(config)#interfaceseril1/2RA(config-if)#encapsulationpppRA(config-if)#ppppapsent-usernameruijiepassword1232009/9Mail:xuanyuan.yang@PAP验证的配置服务端（验证方）RB(config)#usernameruijiepassword123RB(config)#interfaceseril1/2RB(config-if)#encapsulationpppRB(config-if)#pppauthenticationpap2009/9Mail:xuanyuan.yang@CHAP配置实例Router#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570Internetaddressis/24MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPLastinput00:00:05,output00:00:05,outputhangneverLastclearingof"showinterface"countersneverQueueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec38021packetsinput,5656110bytes,0nobufferReceived23488broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored,0abort38097packetsoutput,2135697bytes,0underruns0outputerrors,0collisions,6045interfaceresets0outputbufferfailures,0outputbuffersswappedout482carriertransitionsDCD=upDSR=upDTR=upRTS=upCTS=up

检查HDLC和PPP封装debugpppauthenticationshowssuccessfulCHAPoutput.检查PPP验证任务实施（二）2009/9Mail:xuanyuan.yang@任务布置实验目的在路由器上配置PAP和CHAP两种认证方式实验检测网络连通Router#debugpppauthenticationRTARTBPCBPCAS0/0S0/0Eth0/0Eth0/02009/9Mail:xuanyuan.yang@帧中继协议2009/9Mail:xuanyuan.yang@帧中继协议栈网络层数据链路层物理层123OSI参考模型帧中继协议EIA/TIA-232、EIA/TIA-449、V.24、V.35、X.21等IP、IPX等网络层协议2009/9Mail:xuanyuan.yang@帧中继基本概念PVCPVCDLCI20DLCI30DLCI40DLCI30LMIDTEDCE帧中继网络NNIDCEDTENNI接入线路（64Kbps）接入线路（128Kbps）接入线路（256Kbps）RTARTBRTCLMI2009/9Mail:xuanyuan.yang@帧中继虚电路物理线路DLCI=20DLCI=30虚电路在同一个物理连接上可以复用多条虚电路

2009/9Mail:xuanyuan.yang@帧中继网络拓扑全网状拓扑部分网状拓扑星型拓扑帧中继网络帧中继网络帧中继网络2009/9Mail:xuanyuan.yang@帧中继数据链路标识DLCI=20DLCI=30DLCI=40DLCI=20DLCI=50DLCI=30帧中继网络帧中继用DLCI标识虚电路DLCI只具有本地意义，不具备全局意义RTARTBRTC2009/9Mail:xuanyuan.yang@LMI协议标准系统支持三种标准的LMI协议DTE和DCE必须采用相同的LMI协议ITU-TANSIQ.933AnnexA(CCITT)兼容T1.617AnnexDCiscoGangofFour2009/9Mail:xuanyuan.yang@帧中继地址映射DLCI=20DLCI=30DLCI=40DLCI=20DLCI=50DLCI=30帧中继网络

目的IP帧中继头帧中继封装DLCI

20

目的IP帧中继头帧中继封装DLCI

50帧中继地址映射是把对端设备的协议地址与本地的DLCI关联起来映射可以通过静态配置或InverseARP建立2009/9Mail:xuanyuan.yang@InverseARPRTB向DCLI48通告IPRTA向DLCI66通告IP通过InverseARP可以自动发现对端路由器的网络地址，从而简化了帧中继的配置InverseARPInverseARP帧中继网络DCEDCEDLCI48DLCI66DTEDTERTBRTA2009/9Mail:xuanyuan.yang@帧中继配置(Cisco)2009/9Mail:xuanyuan.yang@配置基本的帧中继FR-SwitchRTARTBDCEDCEDTEDTEInterfaceserial1/0ipaddressencapsulationframe-relayframe-relaymapip102//这种方式是静态映射//或者frame-relayinterface-dlci102//这种方式是动态反转ARP映射Interfaceserial1/0ipaddressencapsulationframe-relayframe-relaymapip201//这种方式是静态映射//或者frame-relayinterface-dlci201//这种方式是动态反转ARP映射2009/9Mail:xuanyuan.yang@配置点到点子接口配置多点子接口检查帧中继配置Router#showinterfacess0Serial0isup,lineprotocolisupHardwareisHD64570Internetaddressis/24MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationFRAME-RELAY,loopbacknotset,keepaliveset(10sec)LMIenqsent19,LMIstatrecvd20,LMIupdrecvd0,DTELMIupLMIenqrecvd0,LMIstatsent0,LMIupdsent0LMIDLCI1023LMItypeisCISCOframerelayDTEFRSVCdisabled,LAPFstatedownBroadcastqueue0/64,broadcastssent/dropped8/0,interfacebroadcasts5Lastinput00:00:02,output00:00:02,outputhangneverLastclearingof"showinterface"countersneverQueueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops<Outputomitted>Router#showinterfacestypenumber显示帧中继DLCI和LMI信息检查帧中继配置Router#showframe-relaypvc100PVCStatisticsforinterfaceSerial0(FrameRelayDTE)DLCI=100,DLCIUSAGE=LOCAL,PVCSTATUS=ACTIVE,INTERFACE=Serial0inputpkts28outputpkts10inbytes8398outbytes1198