電子教案廣域網(wǎng)接入技術

電子教案廣域網(wǎng)接入技術第一頁，共七十四頁，編輯于2023年，星期一第10章廣域網(wǎng)接入技術

學習目的與要求：廣域網(wǎng)是將地理位置相距較遠的多個計算機系統(tǒng)按照網(wǎng)絡協(xié)議通過通信線路連接起來實現(xiàn)計算機之間相互通信的計算機系統(tǒng)的集合。廣域網(wǎng)覆蓋的地理范圍很廣，小到一個城市，大到一個國家甚至全球。廣域網(wǎng)技術主要體現(xiàn)在OSI參考型的物理層及數(shù)據(jù)鏈路層，有時也會涉及到網(wǎng)絡層。當前存在各種各樣的廣域網(wǎng)協(xié)議，如X.25，HDLC，PPP，DDN，ISDN等。本章主要介紹了廣域網(wǎng)的常見接入方式，包括HDLC、PPP、幀中繼等常見的廣域網(wǎng)協(xié)議及其配置，另外對NAT技術進行了介紹。

第二頁，共七十四頁，編輯于2023年，星期一第10章廣域網(wǎng)接入技術

學完本章，你將能夠：描述常見的廣域網(wǎng)接入方法掌握HDLC協(xié)議及其配置掌握PPP協(xié)議的封裝及其驗證掌握NAT技術及其應用掌握幀中繼技術及其配置第三頁，共七十四頁，編輯于2023年，星期一第10章廣域網(wǎng)接入技術10.1廣域網(wǎng)概述10.2高級數(shù)據(jù)鏈路控制協(xié)議(HDLC)的配置10.3點對點協(xié)議(PPP)配置10.4NAT技術10.5幀中繼技術本章小結本章實訓本章習題第四頁，共七十四頁，編輯于2023年，星期一10.1廣域網(wǎng)概述本節(jié)主要介紹了廣域網(wǎng)的連接、廣域網(wǎng)串行線路的標準以及廣域網(wǎng)的第2層封裝等相關知識。第五頁，共七十四頁，編輯于2023年，星期一10.1.1廣域網(wǎng)的連接

廣域網(wǎng)(WAN)不同于局域網(wǎng)(LAN)。局域網(wǎng)只在一座建筑或者其他很小的地址范圍內連接工作站、終端及其他設備，而廣域網(wǎng)是由多個局域網(wǎng)相互連接而成的，其所建立的數(shù)據(jù)連接將跨越一個廣闊的區(qū)域，一般覆蓋的范圍可從幾百公里到幾千公里，因此，人們通常需要租用電信和數(shù)據(jù)通信公司的通信線路，而不是自己鋪設線路。廣域網(wǎng)所能提供的帶寬可以從幾Kbps到幾千Mbps。

第六頁，共七十四頁，編輯于2023年，星期一10.1.1廣域網(wǎng)的連接

第七頁，共七十四頁，編輯于2023年，星期一10.1.2廣域網(wǎng)串行線路標準

廣域網(wǎng)技術主要體現(xiàn)在OSI參考型的物理層及數(shù)據(jù)鏈路層。

Cisco的設備支持如下串行標準或接口類型：EIA/TIA-232、V.35、EIA/TIA-530等。當為路由器定購一條串行線纜時，會收到一條DB-60屏蔽串行傳輸線，這條線纜有適合上述標準的連接器。這條屏蔽串行傳輸線靠近路由器的那一端有一個DB60連接頭，它能接到串行廣域網(wǎng)接口卡的DB-60端口上；串行傳輸線的另一端是符合要求的標準連接頭。連接頭樣式取決于DCE的連接類型，各種設備的文檔會指出自身的使用標準。

第八頁，共七十四頁，編輯于2023年，星期一10.1.2廣域網(wǎng)串行線路標準

第九頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝

廣域網(wǎng)的數(shù)據(jù)鏈路層則描述了幀是如何在系統(tǒng)之間單一路徑上進行傳輸、如何進行幀的封裝，如圖10-3所示。常用的幀封裝格式有HDLC(高級數(shù)據(jù)鏈路控制)、PPP(點到點)、幀中繼、ISDN等，協(xié)議的選擇取決于廣域網(wǎng)技術和通信設備。

第十頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝

廣域網(wǎng)第2層封裝

第十一頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝廣域網(wǎng)鏈路主要有4類：專用線路、電路交換線路、包交換線路和信元交換線路。(1) 專線也通稱點對點，就是ISP為用戶兩端保留專用線路或通道，用戶可以以穩(wěn)定的速度隨時傳輸數(shù)據(jù)。這種方法費用很昂貴，DDN就是一個例子。(2) 包交換線路使用的是能提供端到端連通的虛電路，物理連接由被編程的交換設備提供。包交換線路的典型是幀中繼(FrameRelay)，不同用戶的數(shù)據(jù)幀到了同一幀中繼交換網(wǎng)絡中，幀中繼交換機根據(jù)幀中繼路由表進行交換，把幀發(fā)給目的設備。通常包交換線路價格比專線低，通信質量也能得到用戶的認可，使用比較普遍。

第十二頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝(3)電路交換就是發(fā)送者與接收者在呼叫期間必須存在一條專用的電路路徑。典型的電路交換線路的例子就是電話服務和綜合業(yè)務數(shù)字網(wǎng)(ISDN)，通信雙方首先進行呼叫，ISP根據(jù)呼叫臨時建立一條線路或通道，之后可以開始數(shù)據(jù)通信，通信完畢后拆除線路。通常電路交換線路速率低、質量較差、按時收費、價格低廉。

(4)信元交換線路的典型例子是異步傳輸控制ATM，它需要把各種服務類型的數(shù)據(jù)轉成定長的小單元(信元)，信元允許用硬件進行處理，減少了傳輸延時。這種交換方式現(xiàn)在使用較少。

第十三頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝廣域網(wǎng)封裝類型：(1) 高級數(shù)據(jù)鏈路控制協(xié)議(High-LevelDataLinkControl，HDLC)：該協(xié)議是點對點專用鏈路和電路交換連接的默認封裝類型。HDLC是一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它典型地用于路由器設備之間的通信。(2) 點對點協(xié)議(Point-Point-Protocol,PPP):通過同步和異步電路提供路由器到路由器和主機到網(wǎng)絡的連接。PPP被設計成和幾個網(wǎng)絡層協(xié)議，如IP和IPX一起工作。它還有內置的安全機制，比如密碼驗證協(xié)議(PAP)和競爭握手驗證協(xié)議(CHAP)。(3) 串行線路網(wǎng)際協(xié)議(SerialLineInternetProtocol,SLIP):它使用TCP/IP的點到點串行連接的標準協(xié)議。SLIP有很多方面已經被PPP替代了。

第十四頁，共七十四頁，編輯于2023年，星期一10.1.3廣域網(wǎng)的第2層封裝(4) X．25/平衡鏈路訪問過程(LinkAccessProcedureBalanced,LAPB):這是一個ITU-T標準，它定義了怎樣連接維護公用數(shù)據(jù)網(wǎng)絡上遠程終端訪問和計算機通信的DTE和DCE。(5) 幀中繼：這是一個交換式數(shù)據(jù)鏈層協(xié)議的工業(yè)標準，它處理多個虛電路。幀不繼是X.25的下一代，它經過改進消除了X.25中的一些消耗時間的處理，如糾錯和流控制等。

第十五頁，共七十四頁，編輯于2023年，星期一10.2高級數(shù)據(jù)鏈路控制協(xié)議(HDLC)的配置本節(jié)主要介紹了高級數(shù)據(jù)鏈路控制協(xié)議(HDLC)的相關知識及其基本配置方法。第十六頁，共七十四頁，編輯于2023年，星期一10.2.1HDLC簡介高級數(shù)據(jù)鏈路控制(High-LevelDataLinkControl，HDLC)，是一個在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議，它是由國際標準化組織(ISO)根據(jù)IBM公司的SDLC(SynchronousDataLinkControl)協(xié)議擴展開發(fā)而成的。HDLC是一個點對點的數(shù)據(jù)傳輸協(xié)議，其幀的結構有兩種類型，一種是ISOHDLC幀結構，一種是CiscoHDLC幀結構。ISOHDLC采用SDLC的幀格式，支持同步，全雙工操作，分為物理層及LLC兩個子層，其幀結構如圖10-4所示，整個HDLC的幀由標志字段、地址字段、控制字段、數(shù)據(jù)字段、幀校驗序列字段等組成。由于HDLC是點到點串行線路上的幀封裝格式，所以其幀格式和以前介紹的以太網(wǎng)幀格式有很大差別，HDLC沒有源MAC地址和目的MAC地址。所謂點到點線路是指該線路只有兩個主機存在，那么從線路一端進入的數(shù)據(jù)一定是到達對端的，所以理論上可以不需要第二層地址。

第十七頁，共七十四頁，編輯于2023年，星期一10.2.1HDLC簡介幀標志序列(F)地址(A)控制(C)數(shù)據(jù)(D)校驗和(FCS)幀標志序列(F)幀標志序列(F)地址(A)控制(C)專有位(P)

數(shù)據(jù)(D)校驗和(FCS)幀標志序列(F)

ISOHDLC幀格式

CiscoHDLC幀格式

第十八頁，共七十四頁，編輯于2023年，星期一10.2.1HDLC簡介CiscoHDLC的幀結構在ISOHDLC的基礎上增加了一個Cisco專有位(Proprietary),如圖10-5所示。它無LLC子層，從而CiscoHDLC對上層數(shù)據(jù)只進行物理封裝，沒有應答、重傳機制，所有的糾錯處理由上層協(xié)議處理。由于CiscoHDLC和ISOHDLC的幀結構不同，所以兩者互不兼容。在具體組網(wǎng)時，如果鏈路的兩端都是Cisco設備，則可采用CiscoHDLC協(xié)議，其效率比PPP協(xié)議高得多；但如果Cisco設備與非Cisco設備連接，則不能采用HDLC協(xié)議，而應采用PPP協(xié)議。第十九頁，共七十四頁，編輯于2023年，星期一10.2.2HDLC的配置

1.配置命令

(1) 設置HDLC封裝

Cisco路由器的串口在默認時使用CiscoHDLC協(xié)議封裝的，所以不需要配置。如果串口的封裝不是HDLC，則需使用encapsulation命令進行配置。命令格式如下：

Router(config-if)#encapsulationhdlc

第二十頁，共七十四頁，編輯于2023年，星期一10.2.2HDLC的配置

(2)設置DCE端線路速率Cisco路由器接DDN專線時，同步串口需要通過V.35或V.24DTE線纜連接CSU/DSU,這時Cisco路由器為DTE，CSU/DSU為DCE，由CSU/DSU提供時鐘。如兩臺路由器直接通過DET/DCE線纜連接，一臺路由器作為DTE，另一臺路由器作為DCE，就必須由作為DCE的路由器提供。因此，必須設置時鐘頻率。命令格式如下：

Router(config-if)#clockratespeed

此外，與HDLC配置相關的命令還有：Clearinterfaceserialunit：復位指定的硬件接口Showinterfaceserial[unit]：顯示接口狀態(tài)第二十一頁，共七十四頁，編輯于2023年，星期一10.2.2HDLC的配置

2.配置實例

HDLC封裝配置拓撲圖(具體配置見圖)

第二十二頁，共七十四頁，編輯于2023年，星期一10.3點對點協(xié)議(PPP)配置本節(jié)主要介紹了點對點協(xié)議(PPP)的相關知識及其基本配置方法。第二十三頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP(Point-to-Point-Protocol)是提供在點到點鏈路上承載網(wǎng)絡層數(shù)據(jù)包的一種鏈路層協(xié)議。在廣域網(wǎng)中，其他廠商的路由器如果不支持CiscoHDLC封裝，則當非Cisco路由器之間和Cisco與非Cisco路由器連接時,在專線連接或撥號連接時，PPP協(xié)議成為必選的協(xié)議。

PPP定義了一整套的協(xié)議，包括鏈路控制協(xié)議(LCP)、網(wǎng)絡層控制協(xié)議(NCP)和認證協(xié)議(PAP和CHAP)。由于PPP協(xié)議具有協(xié)議簡單、動態(tài)IP地址分配、可對傳輸數(shù)據(jù)進行壓縮、支持更多的網(wǎng)絡層協(xié)議(如IP、IPX、AppleTalk、DECnet等)、提供用戶認證、易于擴充以及支持同異步等優(yōu)點，因而成為廣域網(wǎng)上使用非常廣泛的協(xié)議之一。目前，它已成為各種主機、網(wǎng)橋和路由器之間通過撥號或專線方式建立點對點連接的首先方案，主要用于家庭撥號上網(wǎng)、ADSL上網(wǎng)、局域網(wǎng)的點對點連接等。第二十四頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP幀格式PPP幀格式(如圖10-7所示)和HDLC幀格式相似。二者主要區(qū)別在于：PPP是面向字符的，而HDLC是面向位的。

第二十五頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介

可以看出，PPP幀的前3個字段和最后兩個字段與HDLC的格式是一樣的。標志字段F為01111110(即0x7E)表示幀的開始或結束；地址字段A和控制字段C都是固定不變的，分別為0xFF、0x03。PPP協(xié)議不是面向比特的，因而所有的PPP幀長度都是整數(shù)個字節(jié)。與HDLC不同的是協(xié)議字段。該字段為2個字節(jié)，用于表示封裝在幀中的數(shù)據(jù)字段的協(xié)議類型。如：

0x0021表示信息字段是IP數(shù)據(jù)報

0xC021表示信息字段是鏈路控制數(shù)據(jù)LCP0x8021表示信息字段是網(wǎng)絡控制數(shù)據(jù)NCP0xC023表示信息字段是安全性認證PAP0xC223表示信息字段是安全性認證CHAP等等。數(shù)據(jù)字段包含協(xié)議字段中指定的協(xié)議的數(shù)據(jù)包，長度為0~1500字節(jié)。第二十六頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP鏈路工作過程PPP鏈路的工作過程可用圖10-8來說明。整個過程包括4個階段：鏈路建立階段、鏈路認證階段、網(wǎng)絡層控制協(xié)議階段和鏈路終止階段。第二十七頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介(1) 鏈路建立階段：PPP通信雙方發(fā)送LCP數(shù)據(jù)包來交換配置信息，一旦配置信息交換成功，鏈路即宣告建立。LCP數(shù)據(jù)包包含一個配置選項域，該域允許設備協(xié)商配置選項，例如最大接收單元數(shù)目、特定PPP域的壓縮和鏈路認證協(xié)議等。如果LCP數(shù)據(jù)包中不包括某個配置選項，那么將采用該配置選項的默認值。

(2)鏈路認證階段：LCP負責測試鏈路的質量是否能承載網(wǎng)絡層的協(xié)議。鏈路質量測試是PPP協(xié)議提供的一個可選項，也可不執(zhí)行。同時，如果用戶選擇了認證協(xié)議，那么本階段將完成認證過程。

(3)網(wǎng)絡層控制協(xié)議階段：在完成上兩個階段后，進入該階段。PPP開始使用相應的網(wǎng)絡層控制協(xié)議配置網(wǎng)絡層的協(xié)議，如IP、IPX等，配置成功后，該網(wǎng)絡層協(xié)議就可通過這條鏈路發(fā)送報文了。

(4)鏈路終止階段：認證失敗、鏈路質量失敗、載波丟失或管理員關閉鏈路后進入該階段。此時，LCP用交換鏈路終止包的方法終止鏈路。第二十八頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP認證功能

PPP的認證功能是指在建立PPP鏈路的過程中進行密碼的驗證，驗證通過建立連接，驗證不通過拆除鏈路。

PPP支持兩種認證協(xié)議：密碼認證協(xié)議(PAP)和詢問握手認證協(xié)議(CHAP)。第二十九頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP認證功能

(1)PAP(PasswordAuthenticationProtocol)認證協(xié)議認證雙方通過兩次握手完成認證過程(如圖10-9)。它是一種用于對試圖登錄到PPP服務器上的用戶進行身份驗證的方法。首先由被認證方發(fā)送用戶名和口令到認證方，認證方根據(jù)用戶配置是否有此用戶以及口令是否正確，返回不同的響應(通過認證或認證失敗)。PAP協(xié)議僅在連接建立階段進行，在數(shù)據(jù)傳輸階段不進行PAP認證。在PAP認證過程中用戶名和密碼以明文的方式在鏈中處傳輸。而且由于遠程節(jié)點控制認證重試頻率和次數(shù)，因此不能防范再生攻擊和重復的嘗試攻擊。第三十頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介

PAP認證過程第三十一頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介PPP認證功能

(2)CHAP(ChallengeHandshakeAuthenticationProtocol認證協(xié)議

CHAP由認證方主動發(fā)出隨機報文，由被認證方應答，通過三次握手完成源端節(jié)點的認證過程(如圖10-10)。在整個過程中，鏈路上傳遞的信息都進行了加密處理。

CHAP認證工作過程：當A機(被認證方)欲通過PPP協(xié)議連接B機(認證方)，而B機設置了CHAP認證，則當A機撥通B機后，由B機將一段隨機數(shù)據(jù)和自身的名字發(fā)給A機，A機根據(jù)此名字查到自己的口令，用該口令和MD5算法對收到的隨機數(shù)據(jù)進行摘要，得到16字節(jié)的密文，并將該密文和A機自身的名字一起發(fā)送給B機。B機收到該密文后，首先查到A的口令，同樣用此口令對以前發(fā)送的隨機數(shù)據(jù)，通過MD5算法進行加密并將自己算出的加密結果與從A中收到的加密結果相比較，如果一致，A與B可繼續(xù)進行協(xié)商，否則B將切斷線路。第三十二頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介

CHAP認證過程第三十三頁，共七十四頁，編輯于2023年，星期一10.3.1點對點協(xié)議(PPP)簡介CHAP協(xié)議不僅僅在鏈路建立階段進行，而且在以后的任何時候都可以周期性地進行。CHAP的這種周期性認證的特性使得鏈路更為安全，并且CHAP不允許連接發(fā)起方在沒有收到詢問消息的情況下進行認證嘗試。CHAP每次使用不同的詢問消息，每個消息都是不可預測的惟一的值。并且CHAP不直接傳送密碼，只傳送一個不可預測的詢問消息，以及該詢問消息與密碼經過MD5加密運算后的加密值。所以CHAP可以防止再生攻擊，其安全性比PAP要高。第三十四頁，共七十四頁，編輯于2023年，星期一10.3.2PPP協(xié)議的配置1．PPP協(xié)議配置相關命令(1) 封裝PPP協(xié)議

Router(config-if)#encapsulationppp

注意：同一條鏈路的兩端封裝方式應該是一樣的，都為PPP，否則將無法正常通信。(2)在本路由器上記錄對端路由器名字和口令

Router(config)#usernameusernamepasswordpassword

其中的username和password是指對端的用戶名和口令。(3) 設置本地路由器名字和口令

Router(config)#hostnamehostname

Router(config)#enablesecretsecret-string第三十五頁，共七十四頁，編輯于2023年，星期一10.3.2PPP協(xié)議的配置

(4) 配置認證方式

Router(config-if)#pppauthentication[chap|chappap|papchap|pap]

如果PAP和CHAP都被啟用，鏈路協(xié)商期間將請求第一種認證方法。如果對等路由器建議使用第二種方法或簡單地拒絕第一種方法，將使用第二種方法。(5)向對端路由器發(fā)送認證信息

Router(config-if)#ppppapsent-usernamename

passwordpassword

在本地路由器上配置以什么用戶名和口令在遠程路由器上登錄。第三十六頁，共七十四頁，編輯于2023年，星期一10.3.2PPP協(xié)議的配置2．PPP協(xié)議配置實例如圖10-11所示，串行鏈路兩端的封裝方式均為PPP，且都采用PAP認證。(實際配置見教材)

第三十七頁，共七十四頁，編輯于2023年，星期一10.4NAT技術本節(jié)主要介紹了網(wǎng)絡地址轉換協(xié)議（NAT）的相關知識及其基本配置方法。第三十八頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述1、NAT概述

NAT(NetworkAddressTranslation，網(wǎng)絡地址轉換)是一種將一個IP地址域(如Intranet)轉換到另一個IP地址域(如Internet)的技術。NAT技術的出現(xiàn)是為了解決IP地址日益短缺的問題，將多個內部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址,這樣就可以實現(xiàn)內部網(wǎng)絡中的主機(通常使用私有地址)透明地訪問外部網(wǎng)絡中的資源；同時，外部網(wǎng)絡中的主機也可以有選擇地訪問內部網(wǎng)絡。而且，NAT能使得內外網(wǎng)絡隔離，提供一定的網(wǎng)絡安全保障。第三十九頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述1、NAT術語

(1)內部網(wǎng)絡(Inside)：指那些由機構或企業(yè)所擁有的網(wǎng)絡，與NAT路由器上被定義為inside的接口相連接。

(2)外部網(wǎng)絡(Outside)：指除了內部網(wǎng)絡之外的所有網(wǎng)絡，常為Internet網(wǎng)絡，與NAT路由器上被定義為outside的接口相連接。

(3)內部本地地址(InsideLocalAddress)：內部網(wǎng)絡主機使用的IP地址。這些地址一般為私有IP地址，它們不能直接在Internet上路由，因而也就不能直接用于對Internet的訪問，必須通過網(wǎng)絡地址轉換，以合法的IP地址的身份來訪問Internet。第四十頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述1、NAT術語

(4)內部全局地址(InsideGlobalAddress):內部網(wǎng)絡使用的公有IP地址，這些地址是向ICANN申請才可取得的公有IP地址。當使用內部本地地址的主機要與Internet通信時，NAT轉換時使用的地址。(5)外部本地地址(OutsideLocalAddress):外部網(wǎng)絡主機使用的IP地址，這些地址不一定是公有IP地址。(6)外部全局地址(OutsideGlobalAddress):外部網(wǎng)絡主機使用的IP地址。這些地址是全局可路由的公有IP地址。第四十一頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述2、NAT的工作原理

如圖10-12所示，在局域網(wǎng)內部網(wǎng)絡中使用內部地址，當內部節(jié)點PC1要訪問外部的HOST主機時，PC1發(fā)送源地址為192.168.1.100,目的地址是210.32.166.58的IP報文,該IP報文將被路由到邊界路由器。路由器收到這個IP報文后，將源地址改變?yōu)楣械刂?02.10.65.3，并記錄私有地址192.168.1.100與公有地址202.10.65.3間的地址映射關系存入地址映射表，然后發(fā)出修改后的IP報文；當HOST主機收到報文后，回復報文到達路由器后，路由表再根據(jù)地址映射表中的地址的對應關系，把目的地址轉換為PC1的地址，這樣就完成了私有地址主機與Internet主機的通信。第四十二頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述2、NAT的工作原理

第四十三頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述3、NAT的主要作用

NAT的主要作用是節(jié)約地址空間。在任一時刻，如果內部網(wǎng)絡中只有少數(shù)節(jié)點與外界建立連接，那么就只有少數(shù)的內部地址需要被轉化成全局地址，可以減少對合法地址的需求。同時，NAT還可以使多個內部節(jié)點共享一個外部地址，從而使多臺計算機共享Internet連接。當多個內部主機共享一個合法的Internet上的IP地址時，地址轉換是通過端口多路利用，即改變外出數(shù)據(jù)包的源端口并進行端口映射(NAPT)來完成的。這一功能很好地解決了公共IP地址緊缺的問題，通過這種方法，用戶可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。除了節(jié)約地址，NAT還能簡化配置，增加網(wǎng)絡規(guī)劃的靈活性。使用NAT，可以在規(guī)劃地址時有更大的靈活性，從而簡化內部網(wǎng)的設計。另外，當兩個有地址重疊的私有內部網(wǎng)要相互連接時，可以使用NAT來防止地址沖突，而避免逐個改變節(jié)點地址這項繁雜的工作。

第四十四頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述4、NAT的類型

NAT有三種類型：靜態(tài)NAT(StaticNAT)、動態(tài)NAT(PooledNAT)和網(wǎng)絡地址端口轉換NAPT(NetworkAddressPortTranslation)。

第四十五頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述4、NAT的類型

(1)靜態(tài)NAT是設置起來最為簡單和最容易實現(xiàn)的一種，內部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。它在NAT表中為每一個需要轉換的內部地址創(chuàng)建了固定的轉換條目，映射了唯一的全局地址。內部地址與全局地址一一對應。每當內部節(jié)點與外界通信時，內部地址就會轉化為對應的全局地址。如圖10-13所示。第四十六頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述靜態(tài)NAT工作示意圖第四十七頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述4、NAT的類型

（2）動態(tài)NAT則是將可用的全局地址地址集定義成NAT池(NATpool)，對于要與外界進行通信的內部節(jié)點，如果還沒有建立轉換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內部地址進行轉換。每個轉換條目在連接建立時動態(tài)建立，而在連接終止時會被回收。這樣，網(wǎng)絡的靈活性大大增強了，所需要的全局地址進一步地減少。值得注意的是，當NAT池中的全局地址被全部占用以后，以后的地址轉換的申請會被拒絕。這樣會造成網(wǎng)絡連通性的問題。所以應該使用超時操作選項來回收NAT池的全局地址。另外，由于每次的地址轉換是動態(tài)的，所以同一個節(jié)點在不同的連接中的全局地址是不同的，這會使SNMP的操作復雜化。第四十八頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述4、NAT的類型

(3) 地址端口轉換是動態(tài)轉換的一種變形。它可以使多個內部節(jié)點共享一個全局IP地址，而使用源和目的地址的TCP/UDP的端口號來區(qū)分NAT表中的轉換條目及內部地址，這樣，就更節(jié)省了地址空間。比如說，假設內部節(jié)點10.1.1.3，10.1.1.2都用源端口1723向外發(fā)送數(shù)據(jù)包，NAPT路由器把這兩個內部地址都轉換成全局地址202.168.2.2，而使用不同的源端口號：1492和1723。當接收方收到的源端口號為1492，則返回的數(shù)據(jù)包在邊緣網(wǎng)關處，目的地址和端口被轉換為10.1.1.3:1723；而當接收方收到的源端口號為1723時，目的地址和端口被轉換為10.1.1.2:1723。第四十九頁，共七十四頁，編輯于2023年，星期一10.4.1NAT概述NAPT工作示意圖第五十頁，共七十四頁，編輯于2023年，星期一10.4.2NAT配置1.靜態(tài)NAT配置步驟（實例見教材）

步驟命令說明第1步ipnatinsidesourcestaticlocal-ipglobal-ip配置內部本地地址和內部全局地址間的轉換關系第2步interfaceiftypemod/port進入內部接口配置模式第3步ipnatinside

定義該接口連接內部網(wǎng)絡第4步interfaceiftypemod/port進入外部接口配置模式第5步ipnatoutside定義該接口連接外部網(wǎng)絡第五十一頁，共七十四頁，編輯于2023年，星期一10.4.2NAT配置2.動態(tài)NAT配置步驟（實例見教材）

步

驟命令說明第1步ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定義一個用于動態(tài)NAT轉換的內部全局地址池第2步access-listaccess-list-numberpermitsource[source-wildcard]定義標準ACL，匹配該ACL的內部本地地址可以動態(tài)轉換第3步ipnatinsidesource{list{access-list-number|name}poolname}配置內部本地地址和內部全局地址間的轉換關系第4步interfaceiftypemod/port進入內部接口配置模式第5步ipnatinside

定義該接口連接內部網(wǎng)絡第6步interfaceiftypemod/port進入外部接口配置模式第7步ipnatoutside定義該接口連接外部網(wǎng)絡第五十二頁，共七十四頁，編輯于2023年，星期一10.4.2NAT配置3.NAPT配置步驟（實例見教材）

步驟命令說明第1步ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}

定義一個用于動態(tài)NAT轉換的內部全局地址池第2步access-listaccess-list-numberpermitsource[source-wildcard]定義標準ACL，匹配該ACL的內部本地地址可以動態(tài)轉換第3步ipnatinsidesource{list{access-list-number|name}poolnameoverload}配置內部本地地址和內部全局地址間的轉換關系第4步interfaceiftypemod/port進入內部接口配置模式第5步ipnatinside

定義該接口連接內部網(wǎng)絡第6步interfaceiftypemod/port進入外部接口配置模式第7步ipnatoutside

定義該接口連接外部網(wǎng)絡第五十三頁，共七十四頁，編輯于2023年，星期一10.5幀中繼技術本節(jié)主要介紹了幀中繼技術的相關知識及其基本配置方法。第五十四頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述1、幀中繼的概念

幀中繼(FrameRelay,FR)是面向連接的廣域網(wǎng)數(shù)據(jù)交換協(xié)議，它工作在OSI參考模型的物理層和數(shù)據(jù)鏈路層上，屬于典型的包交換技術。幀中繼的操作與X.25類似，但比X.25更有效，普遍認為它是X.25的替代物。X.25基于模擬線路，網(wǎng)絡設施質量較差，為保證網(wǎng)絡數(shù)據(jù)傳輸?shù)目煽啃?，鏈路層的每個節(jié)點都要對收到的數(shù)據(jù)做大量的檢查和處理，如差錯校驗等，同時還要保留原始幀的副本，直到它們收到來自下一個節(jié)點的確認消息，所以導致延遲較長，傳輸速率較慢。而幀中繼建立在大容量、低損耗、低誤碼率的數(shù)字線路之上，噪音較小，它舍去了x.25復雜的第三層查錯和重發(fā)機制，中間節(jié)點只轉發(fā)幀而不回送確認幀，只是在目的節(jié)點收到一幀后才回送端到端的確認，從而加快了網(wǎng)絡的傳輸速率。

第五十五頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述2、幀中繼的工作原理

節(jié)點收到幀的目的地址后立即轉發(fā)，無需等待收到整個幀并做相應的處理后再轉發(fā)。如果幀在傳輸過程中出現(xiàn)差錯，當節(jié)點檢測到差錯時，可能該幀的大部分內容已被轉發(fā)到了下一個節(jié)點。這使得幀中繼被歸為一種“不可靠”服務，但連接兩端的幀中繼設備負責使幀中繼成為一種可靠的服務，它們?yōu)閹欣^執(zhí)行查錯和重發(fā)機制：當檢測到該幀有錯誤時，節(jié)點立即停止轉發(fā)，并發(fā)一個指示到下一個節(jié)點，下一個節(jié)點接到指示后立即終止轉發(fā)，將該幀丟棄，并請求源節(jié)點重發(fā)。這種正在接收一個幀時就對其轉發(fā)的方式稱為快速分組交換。幀中繼的最大帶寬可達到2Mbps。第五十六頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述3、幀中繼的虛電路

幀中繼傳輸是基于虛電路的。根據(jù)建立虛電路的不同方式，可以將虛電路分為兩種類型：永久虛電路(PVC)和虛電路(SVC)。永久虛電路是永久建立的鏈路，由ISP在其幀中繼交換機靜態(tài)配置交換表實現(xiàn)，不管電路兩端的設備是否連接上，它總是為它保留相應的帶寬。PVC減少了與虛電路的建立和終止相聯(lián)系的帶寬占用，但因為需要經常性地保持虛電路有效，所以也相應地增加了費用。交換虛電路是通過某協(xié)議協(xié)商產生的虛電路，這種虛電路根據(jù)需要動態(tài)建立而在數(shù)據(jù)傳輸完成后就斷開，主要用于數(shù)據(jù)傳輸是偶爾發(fā)生的情況。目前在幀中繼中使用得最多的方式是永久虛電路方式。第五十七頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述4、幀中繼地址DLCI

幀中繼協(xié)議是一種統(tǒng)計方式的多路復用服務，它允許在同一物理連接中共存多個邏輯連接(通常也叫做信道)，這就是說，它在單一物理傳輸線路上能夠提供多條虛電路。每條虛電路是用數(shù)據(jù)鏈路連接標識符DLCI(DataLinkConnectionIdentifer)來標識的。DLCI只具有本地的意義，也就是在DTE-DCE之間有效，不具有端到端的DTE-DTE之間的有效性，即在幀中繼網(wǎng)絡中，不同的物理接口上相同的DLCI并不表示是同一個虛連接。DLCI的長度為10比特，其最大值可達1024，因此幀中繼網(wǎng)絡用戶接口上最多可支持1024條虛電路，其中用戶可用的DLCI范圍是16~991。由于幀中繼虛電路是面向連接的，本地不同的DLCI連接到不同的對端設備，因此我們可以認為DLCI就是DCE提供的“幀中繼地址”。第五十八頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述5、靜態(tài)地址映射幀中繼的地址映射是把對端設備的IP地址與本地的DLCI相關聯(lián)，以使得網(wǎng)絡層協(xié)議使用對端設備的IP地址能夠尋址到對端設備。幀中繼主要用來承載IP，在發(fā)送IP報文時，根據(jù)路由表只知道提出報文的下一跳IP地址。發(fā)送前必須由下一跳IP地址確定它對應的DLCI。這個過程通過查找?guī)欣^地址映射表來完成，因為地址映射表中存放的是下一跳IP地址和DLCI的映射關系。地址映射表的每一項由服務商在幀中繼交換機中手工配置。當交換機收到一個數(shù)據(jù)幀時，它首先進行CRC校驗，如果正確，就從幀中取出DLCI地址，然后與地址映射表比較，該表將告訴交換機哪個輸出端口對應于該DLCI，也就是對應于PVC，找到對應的輸出端口后，交換機就將該幀通過這個端口發(fā)送出去。發(fā)蜾校驗錯誤，交換機就將該幀丟棄。第五十九頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述6、本地管理信息LMI

幀中繼提供了一個幀中繼交換機和DTE(路由器)之間的簡單信令，這個信令就是LMI(LocalManagementInterface)。LMI包括多種路由器和幀中繼交換設備間的信號標準，可用來管理和維護設備間的狀況。LMI的主要目的如下：確定路由器知道的PVC的操作狀態(tài)。發(fā)送維持數(shù)據(jù)包，以保證PVC始終牌滿打滿算狀態(tài)，不因暫時無數(shù)據(jù)發(fā)送而失效。通知路由器哪些PVC可以使用。第六十頁，共七十四頁，編輯于2023年，星期一10.5.1幀中繼協(xié)議概述6、本地管理信息LMILMI有以下3種類型：

Cisco:由Cisco公司和另外三家公司組成的企業(yè)聯(lián)盟定義的類型。

ANSI：由ANSI(美國國家標準協(xié)會)制定的標準。

Q933a:由ITU-TQ.933附錄A制定的標準。在幀中繼交換機和路由器之間必須采用相同的LMI類型。通常用戶在申請PVC時，ISP會通知用戶他們所使用的LMI類型。Cisco路由器在11.2版本以后的IOS中具有自動檢測LMI類型的功能。第六十一頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令(1) 開啟幀中繼交換功能把路由器當成幀中繼交換機，命令如下：

Router(config)#frame-relayswitching

(2) 配置幀中繼數(shù)據(jù)封裝在接口配置模式下使用encapsulationframe-relay

命令進行幀中繼數(shù)據(jù)封裝。命令如下：

Router(config-if)#encapsulationframe-relay[cisco|ietf]

cisco和ietf為幀中繼協(xié)議的封裝格式。cisco是Cisco路由器的默認格式，ietf為遵守IETF標準的數(shù)據(jù)封裝形式。如Cisco路由器與其他廠家路由設備相連，應使用ietf格式。第六十二頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令

(3)設置LMI類型

Router(config-if)#frame-relaylmi-type{ansi|cisco|q933a}

Cisco路由器默認的LMI類型為cisco。從CiscoIOS11.2版本開始，支持本地管理接口LMI自動識別，這使得接口自動確定交換機支持的LMI類型，用戶可以不明確配置LMI接口類型。

(4) 映射協(xié)議地址與DLCI號使用靜態(tài)映射表將指定的下一個中繼協(xié)議地址映射到指定的DLCI。靜態(tài)映射不需要反向ARP請求，反向ARP是在幀中繼網(wǎng)絡中建立動態(tài)地址的一種方法。反向ARP允許路由器或訪問服務器發(fā)現(xiàn)與虛電路相聯(lián)系的設備的網(wǎng)絡協(xié)議地址。提供靜態(tài)映射時，指定DLCI上指定協(xié)議的反向ARP自動無效。第六十三頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令當在另一終端上的路由器根本不支持反向ARP時或當幀中繼上的指定協(xié)議不支持反向ARP時必須使用靜態(tài)映射。定義指定協(xié)議地址與DLCI之間的靜態(tài)路由，命令如下：

Router(config-if)#frame-relaymapprotocolprotocol-address

dlci[broadcast]

protocol參數(shù)指定了所支持的協(xié)議，例如IP協(xié)議、AppleTalk協(xié)議、DECnet協(xié)議以及IPX協(xié)議等；protocol-address參數(shù)指定了該協(xié)議的地址；dlci參數(shù)指定了虛擬電路的DLCI號；Broadcast關鍵字規(guī)定多路廣播無效時應轉發(fā)廣播。例如：將目標IP地址172.16.120.1映射到DLCI100的實例如下：

第六十四頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令

Router(config)#interfaces0/0/1Router(config-if)#frame-relaymapip172.16.120.1100broadcast

(5) 定義子接口

Router(config)#interfaceintrface-typenumber

sub{multipoint|point-to-point}

其中：multipoint為多臺路由器通過一條虛電路連接到本地路由器；point-to-point為一條路由器連接到本地路由器。第六十五頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令

(6) 為子接口定義一個DLCI

Router(config-if)#frame-relayinterface-dlci

dlci[ietf|cisco]

每個子接口都必須用它的DLCI進行標識，如有必要，可以為每個子接口設置封裝類型。沒有設置的話，那么就從主物理接口的類型繼承而來。

(7) 清除動態(tài)創(chuàng)建的幀中繼連接映射

Router#clearframe-relay-inarp

第六十六頁，共七十四頁，編輯于2023年，星期一10.5.2幀中繼協(xié)議的配置1、幀中繼配置的命令

(8) 相關show命令

Router#showinterfaceintrface-typenumber

顯示有關封裝和第一層及第二層的狀態(tài)信息。