網(wǎng)絡(luò)設(shè)備安裝與調(diào)試-神碼版（第2版） 課件 項目6、7 廣域網(wǎng)技術(shù)的配置、中小型企業(yè)網(wǎng)絡(luò)工程案列

*網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版

“十二五”職業(yè)教育國家規(guī)劃教材經(jīng)全國職業(yè)教育教材審定委員會審定*項目6廣域網(wǎng)技術(shù)的配置

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版*項目6廣域網(wǎng)技術(shù)的配置

項目描述隨著云化和網(wǎng)絡(luò)SDN等新技術(shù)的蓬勃發(fā)展，信息化的巨大變革正在重構(gòu)傳統(tǒng)的廣域網(wǎng)，廣域網(wǎng)正經(jīng)歷著云時代的變革。第一代廣域網(wǎng)關(guān)注的是連接，用戶只關(guān)心網(wǎng)絡(luò)的連通性問題；第二代廣域網(wǎng)更關(guān)注網(wǎng)絡(luò)業(yè)務(wù)的豐富性和多業(yè)務(wù)處理能力；而在當(dāng)前的云時代和全連接時代，廣域網(wǎng)正向著更敏捷、更安全、更注重用戶體驗的方向發(fā)展，當(dāng)今的網(wǎng)絡(luò)需求對傳統(tǒng)的廣域網(wǎng)提出了越來越高的要求。廣域網(wǎng)（WideAreaNetwork，WAN）也稱遠(yuǎn)程網(wǎng)，是一種運行地域超過局域網(wǎng)的數(shù)據(jù)通信網(wǎng)絡(luò)，通常跨接很大的物理范圍，所覆蓋的范圍從幾十千米到幾千千米，它能連接多個城市或國家，或者橫跨幾個大洲并能提供遠(yuǎn)距離通信，形成國際性的遠(yuǎn)程網(wǎng)絡(luò)。廣域網(wǎng)和局域網(wǎng)的主要區(qū)別之一是需要向外部的廣域網(wǎng)服務(wù)提供商申請訂購廣域網(wǎng)電信網(wǎng)絡(luò)服務(wù)，一般使用電信運營商提供的數(shù)據(jù)鏈路在廣域網(wǎng)范圍內(nèi)訪問網(wǎng)絡(luò)。

本項目重點介紹路由器的廣域網(wǎng)HDLC封裝、路由器的廣域網(wǎng)PPP封裝、路由器的廣域網(wǎng)PPP封裝PAP驗證和路由器的廣域網(wǎng)PPP封裝CHAP驗證。*項目6廣域網(wǎng)技術(shù)的配置*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置

項目6廣域網(wǎng)技術(shù)的配置任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置廣域網(wǎng)協(xié)議是在OSI參考模型最下面三層的操作，定義了在不同的廣域網(wǎng)介質(zhì)上的通信。本任務(wù)分為以下兩個活動展開介紹。本任務(wù)分為以下兩個活動展開介紹?；顒?廣域網(wǎng)的HDLC協(xié)議封裝活動2廣域網(wǎng)的PPP協(xié)議封裝*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置活動1廣域網(wǎng)的HDLC協(xié)議封裝

活動1廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)情境HDLC協(xié)議工作在數(shù)據(jù)鏈路層中，是ISO以IBM公司系統(tǒng)網(wǎng)絡(luò)架構(gòu)的SDLC協(xié)作為基礎(chǔ)開發(fā)出來的。該協(xié)議具有無差錯數(shù)據(jù)傳輸和流量控制兩種功能。作為面向比特的同步通信協(xié)議，HDLC協(xié)議不僅支持全雙工、點對點的透明傳輸，還支持對等鏈路。

某公司成功搭建了總公司和分公司的局域網(wǎng)，并且運行良好?，F(xiàn)在海成公司購置了兩臺路由器和高速同步串行模塊，準(zhǔn)備通過專線將總公司和分公司連接起來，以便公司內(nèi)部數(shù)據(jù)的通信?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

情境分析

HDLC是一種標(biāo)準(zhǔn)的、用于在同步網(wǎng)絡(luò)中傳輸數(shù)據(jù)的、面向比特的數(shù)據(jù)鏈路層協(xié)議。將兩臺路由器通過高速同步串行模塊連接起來，使用HDLC協(xié)議對其進(jìn)行數(shù)據(jù)封裝和傳輸。HDLC協(xié)議不僅提供了無差錯的按序數(shù)據(jù)傳輸功能，還提供了流量控制、差錯檢測和恢復(fù)功能，以保證數(shù)據(jù)的完整性。下面通過兩臺型號為DCR-2655的路由器來模擬公網(wǎng)，讀者可以由此學(xué)習(xí)和掌握路由器廣域網(wǎng)HDLC的配置方法。廣域網(wǎng)HDLC封裝的拓?fù)浣Y(jié)構(gòu)如圖6.1.1所示。活動1廣域網(wǎng)的HDLC協(xié)議封裝

情境分析具體要求如下。（1）根據(jù)圖6.1.1所示的拓?fù)浣Y(jié)構(gòu)，在兩臺路由器之間使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩臺路由器之間做HDLC協(xié)議封裝，并測試兩臺路由器的連通性?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。（2）路由器R1的配置?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（3）查看R1的配置。在回顯信息中，可以看到“l(fā)ineprotocolisdown”，“down”表示兩臺路由器之間沒有協(xié)商成功?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)實施（4）路由器R2的配置。

任務(wù)驗收在路由器R1上執(zhí)行showinterfaceserial0/1命令，查看HDLC封裝情況。在回顯信息中，可以看到“l(fā)ineprotocolisup”，“up”表示兩臺路由器之間協(xié)商成功。“EncapsulationprotocolHDLC”表示封裝的是HDLC協(xié)議，由此說明，在HDLC鏈路上已經(jīng)可以傳遞IP報文了?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

任務(wù)資訊1．廣域網(wǎng)的基本概念廣域網(wǎng)（WideAreaNetwork，WAN）是指跨越很大地域范圍的數(shù)據(jù)通信網(wǎng)絡(luò)。廣域網(wǎng)通常使用ISP提供的設(shè)備作為信息傳輸平臺，對網(wǎng)絡(luò)通信的要求較高。在企業(yè)網(wǎng)中，廣域網(wǎng)主要用來連接距離較遠(yuǎn)的多個局域網(wǎng)以實現(xiàn)網(wǎng)絡(luò)通信，它對應(yīng)OSI參考模型的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層，如圖6.1.2所示?；顒?廣域網(wǎng)的HDLC協(xié)議封裝2．廣域網(wǎng)的鏈路類型廣域網(wǎng)可以分為寬帶廣域網(wǎng)和窄帶廣域網(wǎng)。寬帶廣域網(wǎng)包括異步傳輸模式（AsynchronousTransferMode，ATM）網(wǎng)和同步數(shù)字系列（SynchronousDigitalHierarchy，SDH）網(wǎng)，窄帶廣域網(wǎng)包括綜合業(yè)務(wù)數(shù)字網(wǎng)（IntegratedServiceDigitalNetwork，ISDN)、數(shù)字?jǐn)?shù)據(jù)網(wǎng)（DigitalDataNetwork，DDN）、幀中繼（FrameRelay）網(wǎng)、X.25公用分組交換網(wǎng)和公共交換電話網(wǎng)（PublicSwitchedTelephoneNetwork，PSTN）。廣域網(wǎng)的接口類型主要包括同步串口和異步串口。同步串口有數(shù)據(jù)終端設(shè)備（DataTerminalEquipment，DTE）和數(shù)據(jù)通信設(shè)備（DataCommunicationEquipment，DCE）這兩種工作方式，既可以支持多種鏈路層協(xié)議，也可以支持網(wǎng)絡(luò)層的IP協(xié)議和IPX協(xié)議，還可以支持多種類型的線纜。異步串口分為手動設(shè)置的異步串口和專用異步串口，可以設(shè)置為專線方式和撥號方式。DTE：數(shù)據(jù)終端設(shè)備，是廣義的概念，PC也可以是終端。一般廣域網(wǎng)常用的DTE有路由器、終端主機。DCE：數(shù)據(jù)通信設(shè)備，如Modem、連接DTE的通信設(shè)備。一般廣域網(wǎng)常用的DCE有CSU/DSU、廣域網(wǎng)交換機、Modem。DTE和DCE的區(qū)別：DCE提供時鐘，DTE不提供時鐘，但它依靠DCE提供的時鐘工作，如計算機和Modem之間。數(shù)據(jù)傳輸通常先經(jīng)過DTE-DCE的路徑，再經(jīng)過DCE-DTE的路徑。其實，對于標(biāo)準(zhǔn)的串行端口，通常從外觀就能判斷是DTE還是DCE。DTE是針頭（俗稱公頭），DCE是孔頭（俗稱母頭），這樣兩種接口才能連接在一起?；顒?廣域網(wǎng)的HDLC協(xié)議封裝3．廣域網(wǎng)的協(xié)議廣域網(wǎng)的協(xié)議通常是指在Internet上負(fù)責(zé)路由器的連接工作的數(shù)據(jù)鏈路層協(xié)議。廣域網(wǎng)數(shù)據(jù)封裝協(xié)議既包括點到點型的PPP協(xié)議、PPPoE協(xié)議和HDLC協(xié)議（即高級數(shù)據(jù)鏈路控制協(xié)議)，又包括逐漸被淘汰的電路交換型的ISDN協(xié)議、分組交換型的ATM和幀中繼協(xié)議。其中，HDLC協(xié)議工作在數(shù)據(jù)鏈路層中，是ISO以IBM公司系統(tǒng)網(wǎng)絡(luò)架構(gòu)的SDLC協(xié)議作為基礎(chǔ)開發(fā)出來的協(xié)議。PPP協(xié)議和PPPoE協(xié)議將在后面的內(nèi)容中進(jìn)行詳細(xì)介紹。4．HDLC簡介高級數(shù)據(jù)鏈路控制（High-levelDataLinkControl，HDLC）是一種鏈路層協(xié)議，運行在同步串行鏈路上。HDLC協(xié)議最大的特點是不需要規(guī)定數(shù)據(jù)必須是字符集，對任何一種比特流均可以實現(xiàn)透明傳輸。HDLC協(xié)議是由ISO制定的，曾廣泛應(yīng)用于通信領(lǐng)域。但是隨著技術(shù)的進(jìn)步，目前通信信道的可靠性比過去已經(jīng)有了非常大的改進(jìn)，已經(jīng)沒有必要在數(shù)據(jù)鏈路層中使用很復(fù)雜的協(xié)議（包括編號、檢錯重傳等技術(shù)）來實現(xiàn)數(shù)據(jù)的可靠傳輸了。因此作為窄帶通信的HDLC協(xié)議，在公網(wǎng)中的應(yīng)用逐漸消失，應(yīng)用范圍逐漸減小，只是在部分專網(wǎng)中用來封裝透傳業(yè)務(wù)數(shù)據(jù)?；顒?廣域網(wǎng)的HDLC協(xié)議封裝

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的HDLC協(xié)議封裝的配置。路由器在封裝廣域網(wǎng)協(xié)議時，必須具有相應(yīng)的廣域網(wǎng)功能模塊。路由器兩端封裝的協(xié)議必須一致，否則無法建立鏈路。活動1廣域網(wǎng)的HDLC協(xié)議封裝*任務(wù)6.1路由器廣域網(wǎng)協(xié)議的配置活動2廣域網(wǎng)的PPP協(xié)議封裝

活動2廣域網(wǎng)的PPP協(xié)議封裝PPP協(xié)議是一種比HDLC協(xié)議功能更加豐富、更加安全的廣域網(wǎng)封裝協(xié)議，具有身份認(rèn)證、多鏈路捆綁等功能。

任務(wù)情境某公司的兩臺路由器在實現(xiàn)廣域網(wǎng)線路時采用的是默認(rèn)的PPP協(xié)議封裝。PPP是功能更加豐富且更加安全的廣域網(wǎng)封裝協(xié)議，能夠提供用戶驗證功能，且易于擴(kuò)充。

情境分析PPP協(xié)議主要用來在支持全雙工的同步/異步鏈路上進(jìn)行點到點的數(shù)據(jù)傳輸。PPP是一種適合調(diào)制解調(diào)器、點到點專線、HDLC比特串行線路和其他物理層的多協(xié)議幀機制，它支持錯誤檢測、選項協(xié)商、頭部壓縮等機制，在當(dāng)今的網(wǎng)絡(luò)中得到了廣泛應(yīng)用。下面以兩臺型號為DCR-2655的路由器來模擬公網(wǎng)，讀者可以由此學(xué)習(xí)和掌握路由器廣域網(wǎng)PPP協(xié)議封裝的配置方法。廣域網(wǎng)PPP協(xié)議封裝的拓?fù)浣Y(jié)構(gòu)如圖6.1.3所示。具體要求如下。（1）根據(jù)圖6.1.3所示的拓?fù)浣Y(jié)構(gòu)，在兩臺路由器之間使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩臺路由器之間做PPP協(xié)議封裝，并測試兩臺路由器的連通性?；顒?廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）設(shè)置R1的主機名稱和端口配置?；顒?廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（3）查看R1的接口配置信息?；顒?廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)實施（4）設(shè)置R2的主機名稱和端口配置?；顒?廣域網(wǎng)的PPP協(xié)議封裝活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)驗收在R1上執(zhí)行showinterfaces0/1命令，查看PPP封裝情況。在回顯信息中，“Internetaddressis/24”表示路由器R2的S0/1接口的IP地址為/24；“EncapsulationprotocolPPP”表示路由器R2的S0/1接口的數(shù)據(jù)鏈路層協(xié)議為PPP協(xié)議；“LCPopened,IPCPopened”表示LCP和IPCP協(xié)商已經(jīng)成功。注意，既然NCP采用的是IPCP，就說明在PPP鏈路上已經(jīng)可以傳遞IP報文了。活動2廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)資訊PPP協(xié)議位于OSI模型的數(shù)據(jù)鏈路層，按照功能可以劃分為兩個子層：LCP、NCP。LCP主要負(fù)責(zé)鏈路的協(xié)商、建立、回?fù)?、認(rèn)證、數(shù)據(jù)的壓縮、多鏈路捆綁等工作。NCP主要負(fù)責(zé)和上層的協(xié)議進(jìn)行協(xié)商，為網(wǎng)絡(luò)層協(xié)議提供服務(wù)。PPP的認(rèn)證功能是指在建立PPP鏈路的過程中進(jìn)行密碼的驗證，驗證通過則建立連接，驗證不通過則拆除連接。PPP的應(yīng)用范圍：PPP是一種多協(xié)議幀機制，它適合在調(diào)制解調(diào)器、HDLC位序列線路、SONET（SynchronousOpticalNetwork，同步光纖網(wǎng)）和其他物理層上使用。它支持錯誤檢測、選項協(xié)商、頭部壓縮以及使用HDLC類型幀格式（可選）的可靠傳輸?；顒?廣域網(wǎng)的PPP協(xié)議封裝

任務(wù)資訊PPP提供了以下三類功能。（1）成幀：可以毫無歧義地分割出每幀的起始和結(jié)束。（2）鏈路控制：LCP支持同步和異步線路，也支持面向字節(jié)的和面向位的編碼方式，可用于啟動線路、測試線路、協(xié)商參數(shù)、關(guān)閉線路。（3）網(wǎng)絡(luò)控制：具有協(xié)商網(wǎng)絡(luò)層選項的方法，并且協(xié)商方法獨立于使用的網(wǎng)絡(luò)層協(xié)議。PPP的工作流程：當(dāng)用戶撥號接入ISP時，路由器的調(diào)制解調(diào)器對撥號做出確認(rèn)，并建立一條物理連接。PC向路由器發(fā)送一系列的LCP分組（封裝成多個PPP幀）。這些分組及其響應(yīng)選擇一些PPP參數(shù)來進(jìn)行網(wǎng)絡(luò)層的配置，NCP給新接入的PC分配一個臨時的IP地址，使該PC成為因特網(wǎng)中的一個主機。通信完畢時，NCP釋放網(wǎng)絡(luò)層連接，收回原來分配的IP地址，LCP先釋放數(shù)據(jù)鏈路層連接，然后釋放物理層連接?；顒?路由器的廣域網(wǎng)PPP封裝

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的PPP協(xié)議封裝的配置。路由器封裝廣域網(wǎng)協(xié)議時，必須具有相應(yīng)的廣域網(wǎng)功能模塊，分辨出線纜的DCE和DTE。路由器兩端封裝的協(xié)議必須一致，否則無法建立鏈路。*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置

項目6廣域網(wǎng)技術(shù)的配置任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置廣域網(wǎng)協(xié)議的PPP具有PAP和CHAP兩種認(rèn)證方式，PAP認(rèn)證只在鏈路建立的初期進(jìn)行，只有兩次信息的交換，因此被稱為兩次握手。CHAP認(rèn)證比PAP認(rèn)證安全。本學(xué)習(xí)任務(wù)分成以下兩個學(xué)習(xí)活動進(jìn)行?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)情境保障通信線路的數(shù)據(jù)安全，需要在路由器上配置安全認(rèn)證，以實現(xiàn)總公司路由器對分公司路由器的身份驗證。

情境分析串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過PAP認(rèn)證使鏈路的建立更安全。PAP認(rèn)證通過用戶名和密碼進(jìn)行認(rèn)證。網(wǎng)絡(luò)管理員決定在總公司和分公司之間的廣域網(wǎng)鏈路上啟用PAP認(rèn)證，用于分公司的安全接入。下面以兩個型號為DCR-2655的路由器來模擬公網(wǎng)，學(xué)習(xí)和掌握路由器的廣域網(wǎng)PPP封裝PAP認(rèn)證的配置方法，拓?fù)浣Y(jié)構(gòu)如圖6.2.1所示。圖6.2.1廣域網(wǎng)PPP封裝PAP認(rèn)證的拓?fù)浣Y(jié)構(gòu)具體要求如下。（1）兩臺路由器使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩個路由器之間做PPP協(xié)議封裝，實現(xiàn)PAP方式認(rèn)證，需要配置aaa認(rèn)證方式，路由器的數(shù)據(jù)庫中必須設(shè)置好要進(jìn)行認(rèn)證的用戶名和密碼，并測試兩個路由器的連通性?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）路由器R1的基本配置?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（3）路由器R2的基本配置?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（4）在路由器R1上配置PAP認(rèn)證?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（5）在路由器R2上配置PAP驗證?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)實施（6）查看R1的鏈路狀態(tài)信息?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)驗收在R2上查看端口的鏈路狀態(tài)?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)驗收在R1上pingR2，測試路由器之間的連通性，發(fā)現(xiàn)結(jié)果是互通的?；顒?廣域網(wǎng)PPP封裝PAP認(rèn)證活動1廣域網(wǎng)PPP封裝PAP認(rèn)證

任務(wù)資訊PPP支持兩種認(rèn)證方式——PAP和CHAP。PAP是指驗證雙方通過兩次握手完成驗證過程，它是一種用于對試圖登錄到點對點協(xié)議服務(wù)器上的用戶進(jìn)行身份驗證的方式。被驗證方主動發(fā)出驗證請求，發(fā)送的驗證信息包含用戶名和密碼。驗證方驗證后做出回復(fù)，即通過驗證或驗證失敗。在驗證過程中，用戶名和密碼以明文的方式在鏈路上傳輸。PAP是一種簡單的明文認(rèn)證方式。NAS（NetworkAccessServer，網(wǎng)絡(luò)接入服務(wù)器）要求用戶提供用戶名和密碼，PAP以明文認(rèn)證方式返回用戶信息。很明顯，這種認(rèn)證方式的安全性較差，第三方可以很容易地獲取被傳送的用戶名和密碼，并利用這些信息與NAS建立連接，獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP將無法提供能避免受到第三方攻擊的保障措施。

學(xué)習(xí)小結(jié)本活動實現(xiàn)了廣域網(wǎng)鏈路中的PPP的PAP安全認(rèn)證。PAP是一種簡單的身份認(rèn)證，適合對安全性要求不是很高的網(wǎng)絡(luò)環(huán)境，其原理和工作過程比較簡單。配置時需要注意兩端的用戶名和密碼必須保持一致。PAP本身并不是一種很安全的認(rèn)證方式，其明文傳輸方式有一定的安全隱患。活動1廣域網(wǎng)PPP封裝PAP認(rèn)證*任務(wù)6.2路由器廣域網(wǎng)協(xié)議PPP的配置活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)情境某公司的管理員發(fā)現(xiàn)PAP驗證方式的安全性能不高，為了進(jìn)一步提高網(wǎng)絡(luò)安全性，他決定在總公司和分公司之間的廣域網(wǎng)鏈路上啟用

CHAP認(rèn)證方式，以實現(xiàn)總公司路由器對分公司路由器的身份驗證。

情境分析串行鏈路默認(rèn)采用PPP封裝協(xié)議，可以通過CHAP認(rèn)證使鏈路的建立更安全。CHAP使用三次握手機制來啟動一條鏈路和周期性的遠(yuǎn)程驗證結(jié)點。與PAP認(rèn)證相比，CHAP認(rèn)證更具有安全性。CHAP認(rèn)證是由NAS向被認(rèn)證方提出認(rèn)證需求，通過用戶名和密碼進(jìn)行驗證。因此安全性更高。下面以兩個型號為DCR-2655的路由器來模擬公網(wǎng)，學(xué)習(xí)和掌握路由器的廣域網(wǎng)PPP封裝CHAP認(rèn)證的配置方法，拓?fù)浣Y(jié)構(gòu)如圖6.2.2所示。任務(wù)要求如下。（1）兩臺路由器使用DCE串口線互連，來模擬與公網(wǎng)互連。（2）在兩個路由器之間做PPP協(xié)議封裝，實現(xiàn)CHAP方式認(rèn)證，需要配置aaa認(rèn)證方式，路由器的數(shù)據(jù)庫中必須設(shè)置好要進(jìn)行認(rèn)證的用戶名和密碼，并測試兩個路由器的連通性?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）路由器R1的基本配置?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（3）路由器R2的基本配置?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（4）在R1上配置CHAP認(rèn)證?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（5）查看R1的鏈路狀態(tài)信息?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)實施（6）在R2上配置CHAP認(rèn)證。活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)驗收在R2上執(zhí)行showinterfaces0/1命令，查看鏈路狀態(tài)?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)驗收在R1上pingR2，測試路由器之間的連通性。發(fā)現(xiàn)結(jié)果是互通的。活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

任務(wù)資訊CHAP是一種加密的認(rèn)證方式，能夠避免在建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令，其中包括會話ID和一個隨機生成的挑戰(zhàn)字串。遠(yuǎn)程用戶必須使用MD5單向哈希算法返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶密碼，其中用戶名以非哈希的方式發(fā)送。CHAP對PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是通過哈希算法返回挑戰(zhàn)口令來了加密口令。因為服務(wù)器端存有用戶的明文口令，所以服務(wù)器可以重復(fù)客戶端的操作，并將結(jié)果與用戶返回的口令進(jìn)行對照。CHAP通過為每一次驗證隨機生成一個挑戰(zhàn)字串來防止受到在線攻擊。在整個連接過程中，CHAP將不定時地向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第三方冒充遠(yuǎn)程用戶進(jìn)行攻擊。圖6.2.4CHAP驗證過程活動2廣域網(wǎng)PPP封裝CHAP認(rèn)證

學(xué)習(xí)小結(jié)本學(xué)習(xí)任務(wù)實現(xiàn)了廣域網(wǎng)鏈路中的PPP的CHAP安全認(rèn)證。在Internet中傳輸信息時，CHAP表現(xiàn)出了足夠強大的抗攻擊能力，可以用于對安全性要求比較高的網(wǎng)絡(luò)環(huán)境。在驗證過程中，鏈路上傳遞的信息都進(jìn)行了加密處理。配置時需要注意兩端的用戶名和密碼要保持一致?；顒?廣域網(wǎng)PPP封裝CHAP認(rèn)證

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目描述某市政府計劃實現(xiàn)“數(shù)字政務(wù)”，主要目的是搭建數(shù)字化網(wǎng)絡(luò)平臺，實現(xiàn)電子政務(wù)網(wǎng)與各企事業(yè)單位的網(wǎng)絡(luò)互聯(lián)，并提供統(tǒng)一的網(wǎng)絡(luò)信息發(fā)布平臺，共享信息資源。本項目的目標(biāo)是將市政府網(wǎng)絡(luò)與教育局網(wǎng)絡(luò)實現(xiàn)對接。將該市的教育資源統(tǒng)一到數(shù)字化電子政務(wù)平臺上，實現(xiàn)教育資源的統(tǒng)一管理，并實現(xiàn)教育局的管理人員（VLAN10）和信息管理處（VLAN20）之間不能互相訪問，但都能夠訪問市政府網(wǎng)站。根據(jù)設(shè)計要求，網(wǎng)絡(luò)互聯(lián)的拓?fù)浣Y(jié)構(gòu)如圖6.2.3所示，請按圖示要求完成相關(guān)網(wǎng)絡(luò)設(shè)備的連接。項目6廣域網(wǎng)技術(shù)的配置

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目6廣域網(wǎng)技術(shù)的配置

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目6廣域網(wǎng)技術(shù)的配置v 項目要求（1）按圖示結(jié)構(gòu)制作連接電纜并正確連接設(shè)備。（2）按拓?fù)浣Y(jié)構(gòu)搭建市政府園區(qū)網(wǎng)絡(luò)和教育局園區(qū)網(wǎng)絡(luò)。（3）按圖示要求為網(wǎng)絡(luò)設(shè)備命名，并完成相關(guān)基本配置。（4）配置各設(shè)備的遠(yuǎn)程登錄用戶名為admin，密碼為admin123；配置Console口監(jiān)控密碼為dcncloud。（5）市政府與教育局之間采用路由器連接，通過PPP-PAP實現(xiàn)安全的連接。（6）通過靜態(tài)路由協(xié)議實現(xiàn)全網(wǎng)互通。（7）在PC1上架設(shè)Web服務(wù)器（Web服務(wù)器的IP地址為）。（8）在PC1和PC2上實現(xiàn)端口與MAC地址的綁定。（9）教育局管理人員所屬的VLAN10和信息管理處所屬的VLAN20出于安全考慮不能互相訪問，但都能夠訪問市政府網(wǎng)站。

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目6廣域網(wǎng)技術(shù)的配置v 項目評價本項目綜合應(yīng)用到了所學(xué)的安全知識，以及非本項目中的知識，包括計算機的安全接入、通過訪問控制列表實現(xiàn)訪問控制、設(shè)置網(wǎng)絡(luò)設(shè)備權(quán)限、路由器的安全連接和網(wǎng)線制作等，必須要將這些知識點掌握熟練。通過本項目的訓(xùn)練，學(xué)生將進(jìn)一步提高動手能力和綜合素質(zhì)。根據(jù)實際情況填寫項目實訓(xùn)評價表。

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目6廣域網(wǎng)技術(shù)的配置

項目實訓(xùn)某市“數(shù)字政務(wù)”網(wǎng)絡(luò)建設(shè)項目6廣域網(wǎng)技術(shù)的配置*網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版

“十二五”職業(yè)教育國家規(guī)劃教材經(jīng)全國職業(yè)教育教材審定委員會審定*項目7中小型企業(yè)網(wǎng)絡(luò)工程案列

網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版*項目7中小型企業(yè)網(wǎng)絡(luò)工程案列本項目重點針對網(wǎng)絡(luò)設(shè)備的綜合應(yīng)用進(jìn)行講述，為網(wǎng)絡(luò)課程的初學(xué)者提供了設(shè)計、配置、排除網(wǎng)絡(luò)故障的案例，使初學(xué)者能更熟悉網(wǎng)絡(luò)設(shè)備的配置和其在企業(yè)中的綜合應(yīng)用。*項目7中小型企業(yè)網(wǎng)絡(luò)工程案列*項目7中小型企業(yè)網(wǎng)絡(luò)工程案列

項目描述

某公司由一條馬路隔成了南、北兩個廠區(qū)。南、北兩廠區(qū)之間通過路由器VPN專線實現(xiàn)互聯(lián)。南廠區(qū)是公司互聯(lián)網(wǎng)的出口，南、北兩個廠區(qū)均通過該接口訪問互聯(lián)網(wǎng)。公司的主要服務(wù)器放在南廠區(qū)防火墻的DMZ（DemilitarizedZone，非軍事區(qū)）中。在北廠區(qū)中使用兩臺三層交換機作為雙核心，并設(shè)置鏈路聚合以提高交換機之間的帶寬，另外在交換機之間還提供了一條線路作為備份鏈路，以備聚合鏈路出現(xiàn)故障時使用。北廠區(qū)各大樓劃分VLAN管理。兩廠區(qū)之間的數(shù)據(jù)通過VPN實現(xiàn)加密傳輸。優(yōu)化網(wǎng)絡(luò)配置，使整個公司網(wǎng)絡(luò)更加高效、穩(wěn)定、安全。公司需要搭建多種網(wǎng)絡(luò)服務(wù)，提供主頁發(fā)布、文件共享、郵件收發(fā)等常用的功能。

項目要求項目7中小型企業(yè)網(wǎng)絡(luò)工程案列1．網(wǎng)絡(luò)連接根據(jù)項目描述與下列的詳細(xì)要求完成網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計與設(shè)備的連接，畫出完整的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在圖中需要明確列出設(shè)備接線的端口號，以及端口相關(guān)的IP地址。實際接線與配置必須按照拓?fù)浣Y(jié)構(gòu)進(jìn)行。完成網(wǎng)絡(luò)的規(guī)劃設(shè)計后，請按以下要求進(jìn)行網(wǎng)絡(luò)的連接與配置。（1）南廠區(qū)使用一臺防火墻作為網(wǎng)絡(luò)中唯一的出口接入互聯(lián)網(wǎng)，用PC1模擬互聯(lián)網(wǎng)中的計算機；SERVER也接入該防火墻的E0/1上作為公司內(nèi)網(wǎng)服務(wù)器。（2）SERVER作為服務(wù)器主機，所有服務(wù)都在虛擬機中運行。（3）北廠區(qū)使用一臺路由器與南廠區(qū)路由器通過VPN（IPSec）技術(shù)連接；南廠區(qū)的路由器通過F0/0口與防火墻相連；北廠區(qū)的路由器分別下連兩臺三層交換機作為匯聚交換機，分別通過三層連接；兩臺三層聚合交換機之間通過兩條線路進(jìn)行鏈路聚合通信，另外留有一條線路作為備份鏈路。（4）STATION1和STATION2分別接入三層交換機S1和三層交換機S2；STATION1劃歸VLAN10，STATION2劃歸VLAN20。（5）根據(jù)設(shè)計估算所需要的耗材數(shù)量，準(zhǔn)備好領(lǐng)料清單。（6）根據(jù)上述要求完成拓?fù)浣Y(jié)構(gòu)設(shè)計后，制作線纜完成設(shè)備的連接。（7）搭配的跳線使用T568B線序，制作的線纜必須穩(wěn)固耐用。根據(jù)要求畫出公司的網(wǎng)絡(luò)拓?fù)?，如圖7.1.1所示。項目7中小型企業(yè)網(wǎng)絡(luò)工程案列圖7.1.1公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)項目7中小型企業(yè)網(wǎng)絡(luò)工程案列2．網(wǎng)絡(luò)地址劃分（1）路由器R1的S0/1端口地址為/30；路由器R2的S0/1端口地址為/30，作為廠區(qū)間的互聯(lián)地址。（2）南廠區(qū)使用/24作為內(nèi)部網(wǎng)絡(luò)地址段，其中以最后一個有效IP作為網(wǎng)關(guān)。SERVER主機使用第一個有效IP作為地址。（3）南廠區(qū)防火墻接入互聯(lián)網(wǎng)的地址為/30。PC1模擬互聯(lián)網(wǎng)中的計算機，地址為/30。（4）南廠區(qū)路由器的F0/0端口地址為/30；南廠區(qū)防火墻的E0/0端口地址為/30。（5）北廠區(qū)有2棟辦公樓，每棟辦公樓有40～50個用戶。請使用/24網(wǎng)段進(jìn)行子網(wǎng)規(guī)劃，劃分2個VLAN，分別為VLAN10和VLAN20。VLAN10使用/24網(wǎng)段子網(wǎng)劃分后的第一個有效子網(wǎng)。VLAN20使用/24網(wǎng)段子網(wǎng)劃分后的第二個有效子網(wǎng)。使得每棟樓都有一個獨立的網(wǎng)段，每個網(wǎng)段的網(wǎng)關(guān)使用該網(wǎng)段最后一個有效的網(wǎng)絡(luò)地址。（6）三層交換機S1的E1/0/2～E1/0/10號端口劃歸VLAN10。三層交換機S2的E1/0/2～E1/0/10號端口劃歸VLAN20，根據(jù)子網(wǎng)規(guī)劃，在網(wǎng)絡(luò)設(shè)備中設(shè)定VLAN。（7）交換機的端口地址（根據(jù)要求設(shè)定各子網(wǎng)網(wǎng)關(guān)的端口地址）：交換機S1的端口E1/0/24指定網(wǎng)關(guān)路由地址為/24。交換機S2的端口E1/0/24指定網(wǎng)關(guān)路由地址為/24。（8）路由器R2的以太網(wǎng)端口IP地址分別是：端口F0/0:/24和端口G0/3:/24項目7中小型企業(yè)網(wǎng)絡(luò)工程案列項目7中小型企業(yè)網(wǎng)絡(luò)工程案列3．任務(wù)要求（1）設(shè)定各設(shè)備的名稱，格式為：交換機命名為“S1”和“S2”；路由器命名為“R1”和“R2”。（2）R1設(shè)置為Telnet登錄，登錄用戶名為teluser，密碼為admin，防火墻設(shè)置為Telnet登錄。（3）為兩臺三層交換機的特權(quán)用戶增加密碼super123，并以加密方式存儲。（4）將兩個三層交換機手動配置為通過22、23號端口實現(xiàn)鏈路聚合。（5）在兩個三層交換機上開啟生成樹協(xié)議，連接兩個三層交換機的1號端口，設(shè)置聚合鏈路為主鏈路，1號端口間鏈路為備份鏈路。（6）為S1的4號端口設(shè)定端口帶寬限制，出入口均限速為1Mbit/s。（7）在S2的8號端口上配置廣播風(fēng)暴抑制，允許通過的廣播包數(shù)為5000/s。（8）配置串口二層鏈路為PPP封裝模式，采用CHAP認(rèn)證方式實現(xiàn)雙向認(rèn)證，R1上的用戶名為userB，密碼為shenzhou；R2上的用戶名為userA，密碼為shenzhou。（9）利用OSPF路由協(xié)議實現(xiàn)南、北廠區(qū)之間的網(wǎng)絡(luò)互聯(lián)。（10）在R2中配置DHCP服務(wù)，并在交換機上配置DHCP中繼，使得北廠區(qū)中的接入不同VLAN的設(shè)備能夠獲取正確的IP地址、網(wǎng)關(guān)與DNS。將獲取的IP地址范圍分配為各VLAN都可用的IP（網(wǎng)關(guān)除外），租約為3天。項目7中小型企業(yè)網(wǎng)絡(luò)工程案列（11）配置R1，禁止VLAN20訪問互聯(lián)網(wǎng)。（12）在R1和R2上分別建立VPN通道，要求使用IPSec協(xié)議的ISAKMP策略算法保護(hù)數(shù)據(jù)，配置預(yù)共享密鑰，建立IPSEC隧道的報文并使用MD5加密，將IPSEC變換集合定義為“esp-3desah-md5-hmas”。兩臺路由器通過串口進(jìn)行連接，R1作為DCE端。（13）為保證內(nèi)部網(wǎng)絡(luò)安全，防止互聯(lián)網(wǎng)設(shè)備窺探內(nèi)部網(wǎng)絡(luò)，需要利用防火墻隱藏內(nèi)部網(wǎng)絡(luò)地址，使外網(wǎng)用戶不能直接訪問園區(qū)網(wǎng)內(nèi)的設(shè)備。（14）配置防火墻，實現(xiàn)內(nèi)部地址能通過網(wǎng)絡(luò)地址轉(zhuǎn)換的方式訪問互聯(lián)網(wǎng)。（15）在防火墻中使用合法IP為SERVER配置IP映射，允許內(nèi)外網(wǎng)用戶通過外網(wǎng)IP對該SERVER的Web訪問。（16）震蕩波病毒常用的協(xié)議端口為：TCP5554和445，請配置三層交換機以防止病毒在局域網(wǎng)內(nèi)肆虐。（17）配置Qos策略，保證南廠區(qū)中的虛擬服務(wù)器能獲得1Mbit/s以上的網(wǎng)絡(luò)帶寬。（18）在S2上使用DVMRP方式開啟組播，讓VLAN10和VLAN20之間可以傳送組播包。（19）在STATION2中已經(jīng)搭建好了TFTP服務(wù)，將所有網(wǎng)絡(luò)設(shè)備的配置文件通過TFTP服務(wù)備份到STATION2的TFTP服務(wù)器根目錄中。

項目實施項目7中小型企業(yè)網(wǎng)絡(luò)工程案列請教師演示實驗過程或同學(xué)分組完成

項目驗收項目7中小型企業(yè)網(wǎng)絡(luò)工程案列

制作的所有線纜的線序是否正確，是否正常使用。

所有網(wǎng)絡(luò)設(shè)備的配置文件是否正確備份到了TFTP服務(wù)器中。

客戶機是否正確獲取了相應(yīng)的IP地址。

生成樹協(xié)議是否成功開啟，是否實現(xiàn)聚合和主備鏈路的功能。

防火墻是否真正隱藏了內(nèi)部網(wǎng)絡(luò)地址，是否通過NAT方式正確訪問了互聯(lián)網(wǎng)。

項目資訊項目7中小型企業(yè)網(wǎng)絡(luò)工程案列1．VPN簡介VPN的英文全稱是“VirtualPrivateNetwork”，即虛擬專用網(wǎng)。虛擬專用網(wǎng)被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行加密，以達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，它可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可以用于移動用戶不斷增長的全球因特網(wǎng)的接入，從而實現(xiàn)安全連接；可以以作為虛擬專用線路來實現(xiàn)企業(yè)網(wǎng)站之間的安全通信；還可以經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)。VPN可以提供的功能有：防火墻、認(rèn)證、加密、隧道化。

項目資訊項目7中小型企業(yè)網(wǎng)絡(luò)工程案列2．QoS簡介QoS（QualityofService）即服務(wù)質(zhì)量。對于網(wǎng)絡(luò)業(yè)務(wù)，服務(wù)質(zhì)量包括傳輸?shù)膸挕魉偷臅r延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中，可以通過保證傳輸?shù)膸?、降低傳送的時延、降低數(shù)據(jù)的丟包率以及時延抖動等措施來提高服務(wù)質(zhì)量。QoS是網(wǎng)絡(luò)的一種安全機制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，則并不需要QoS，比如Web應(yīng)用或E-mail設(shè)置等。但是對于關(guān)鍵應(yīng)用和多媒體應(yīng)用來說，Qos就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時，QoS能確保重要業(yè)務(wù)不被延遲或丟棄，同時保證網(wǎng)絡(luò)的高效運行。網(wǎng)絡(luò)資源總是有限的，只要存在搶奪網(wǎng)絡(luò)資源的情況，就會出現(xiàn)服務(wù)質(zhì)量的需求。服務(wù)質(zhì)量是相對網(wǎng)絡(luò)業(yè)務(wù)而言的，在保證某類業(yè)務(wù)的服務(wù)質(zhì)量的同時，可能就是在損害其他業(yè)務(wù)的服務(wù)質(zhì)量。例如，在網(wǎng)絡(luò)總帶寬固定的情況下，如果某類業(yè)務(wù)占用的帶寬越多，那么其他業(yè)務(wù)能使用的帶寬就越少，這可能會影響其他業(yè)務(wù)的使用。因此，網(wǎng)絡(luò)管理員需要根據(jù)各種業(yè)務(wù)的特點來對網(wǎng)絡(luò)資源進(jìn)行合理的規(guī)劃和分配，從而使網(wǎng)絡(luò)資源得到高效利用。

項目資訊項目7中小型企業(yè)網(wǎng)絡(luò)工程案列3．策略路由簡介策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。應(yīng)用策略路由時，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進(jìn)行處理，路由圖指定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。應(yīng)用策略路由時，必須要指定策略路由使用的路由圖，并且要創(chuàng)建路由圖。一個路由圖由很多條策略組成，每個策略都定義了一個或多個匹配規(guī)則和對應(yīng)操作。一個接口應(yīng)用策略路由后，路由器將對該接口接收到的所有數(shù)據(jù)包進(jìn)行檢查，不符合路由圖中的任何一個策略的數(shù)據(jù)包將被按照通常的路由轉(zhuǎn)發(fā)進(jìn)行處理，符合路由圖中某個策略的數(shù)據(jù)包被將按照該策略中定義的操作進(jìn)行處理。策略路由可以使數(shù)據(jù)包按照用戶指定的策略進(jìn)行轉(zhuǎn)發(fā)。對于某些管理目的，如QoS需求或VPN拓?fù)浣Y(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑才可以使用策略路由。例如，一個策略可以指定從某個網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能被轉(zhuǎn)發(fā)到某個特定的接口。

項目資訊項目7中小型企業(yè)網(wǎng)絡(luò)工程案列4．?dāng)?shù)據(jù)傳輸方式簡介IP網(wǎng)絡(luò)數(shù)據(jù)傳輸包括三種方式，即單播、組播和廣播方式。單播（Unicast）傳輸：在發(fā)送者和接收者之間實現(xiàn)點對點網(wǎng)絡(luò)連接。如果一個發(fā)送者同時給多個接收者傳輸相同的數(shù)據(jù)，則必須相應(yīng)地復(fù)制多份相同的數(shù)據(jù)包。如果有大量主機希望獲得數(shù)據(jù)包的同一備份，則將導(dǎo)致發(fā)送者工作負(fù)擔(dān)加重、傳送延遲以及網(wǎng)絡(luò)擁塞；為保證一定的服務(wù)質(zhì)量，需增加硬件和帶寬。組播（Multicast）傳輸：在發(fā)送者和接收者之間實現(xiàn)點對多點網(wǎng)絡(luò)連接。如果一個發(fā)送者同時給多個接收者傳輸相同的數(shù)據(jù)，則只需復(fù)制一份相同的數(shù)據(jù)包。它提高了數(shù)據(jù)傳送的效率，降低了骨干網(wǎng)絡(luò)擁塞的可能性。廣播（Broadcast）傳輸：是指在IP子網(wǎng)內(nèi)廣播數(shù)據(jù)包，子網(wǎng)內(nèi)部所有的主機都將收到這些數(shù)據(jù)包。廣播意味著網(wǎng)絡(luò)向子網(wǎng)中的每一個主機都投遞一份數(shù)據(jù)包，不論這些主機是否“樂于”接收該數(shù)據(jù)包。所以廣播的使用范圍非常小，只在本地子網(wǎng)內(nèi)有效，可以通過路由器和交換機等網(wǎng)絡(luò)設(shè)備控制廣播傳輸。

項目資訊項目7中小型企業(yè)網(wǎng)絡(luò)工程案列5．NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)報報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實際應(yīng)用中，NAT主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的功能。使用少量的公有IP地址代表多數(shù)的私有IP地址的方式，有助于減緩可用IP地址空間枯竭的速度；同時給內(nèi)部網(wǎng)絡(luò)提供一種“隱私”保護(hù)，也可以按照用戶的需要提供給外部網(wǎng)絡(luò)一定的內(nèi)網(wǎng)服務(wù)。NAT的主要使用場合有：用少量的公有IP地址代表多數(shù)的私有IP地址訪問外部網(wǎng)絡(luò)。為內(nèi)部網(wǎng)絡(luò)提供一種“隱私”保護(hù)。按照用戶的需要提供給外部網(wǎng)絡(luò)一定的內(nèi)網(wǎng)服務(wù)。在防火墻上配置了SNAT后，內(nèi)部用戶在訪問外網(wǎng)時都隱藏了私有地址，如果需要將防火墻內(nèi)部的一臺服務(wù)器對外網(wǎng)用戶開放，就必須在防火墻上配置DNAT，將數(shù)據(jù)包在防火墻上做目的地址轉(zhuǎn)換，讓外網(wǎng)用戶訪問到該服務(wù)器。由于公網(wǎng)地址有限，在申請線路時，運營商一般只分配一個或幾個公網(wǎng)地址。但是將內(nèi)部服務(wù)器設(shè)置成私有地址后，需要將私有地址映射到公網(wǎng)，才可以使外網(wǎng)用戶通過映射后的公網(wǎng)地址訪問服務(wù)器。映射包括兩種：一種為端口映射，只是映射需要的服務(wù)器端口；一種為IP映射，將私有地址和公網(wǎng)地址做一對一的映射。

項目小結(jié)項目7中小型企業(yè)網(wǎng)絡(luò)工程案列本項目為中小型企業(yè)網(wǎng)絡(luò)工程案例，綜合考察了VLAN、SVI、路由器DHCP服務(wù)配置、NAT、靜態(tài)路由、防火墻、OSPF、PPP、策略路由等知識，有助于讀者了解真實的企業(yè)網(wǎng)絡(luò)工程實施過程和提升綜合水平。項目7中小型企業(yè)網(wǎng)絡(luò)工程案列項目實訓(xùn)某高校網(wǎng)絡(luò)建設(shè)項目實訓(xùn)項目7中小型企業(yè)網(wǎng)絡(luò)工程案列項目描述新校區(qū)剛剛落成，需要你協(xié)助搭建校園的網(wǎng)絡(luò)環(huán)境。請根據(jù)客戶的功能需求，利用兩臺三層交換機和