網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第7章-廣域網(wǎng)技術(shù)( 華三版-02 )

第7章廣域網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

廣域網(wǎng)是指跨越上百公里的兩座城市乃至跨越上千公里的大洋間的數(shù)據(jù)通信網(wǎng)絡(luò)。通常需要借助因特服務(wù)提供商ISP提供的設(shè)備和線路才能實(shí)現(xiàn)兩地的連接。廣域網(wǎng)技術(shù)主要對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層，支持IP、IPX等網(wǎng)絡(luò)層協(xié)議。廣域網(wǎng)物理層標(biāo)準(zhǔn)包括同步/異步方式的V.24規(guī)程接口、同步方式的V.35規(guī)程接口、E1/T1線路的G.703接口、同步數(shù)字線路上的串行接口X.21等。廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議有面向比特的、只支持同步方式的HDLC；有支持驗(yàn)證的、支持同步和異步方式的點(diǎn)對點(diǎn)協(xié)議PPP；有作為X.25的數(shù)據(jù)鏈路層被定義的、且能承載非X.25上層協(xié)議的LAPB；有采用虛電路和快速分組交換技術(shù)的幀中繼（FrameRelay）等。7.1廣域網(wǎng)連接方式

一、廣域網(wǎng)連接方式的分類

廣域網(wǎng)連接的方式有專線（LeasedLine）方式、電路交換方式、分組交換方式和VPN方式等。專線方式：用戶可永久獨(dú)占一條異步/同步專用線路，有帶寬大、費(fèi)用高、部署簡單、安全可靠等特點(diǎn)；電路交換方式：用戶可通過PSTN/ISDN按需建立連接、用完斷開，有帶寬小、費(fèi)用低、延遲大等特點(diǎn)；分組交換方式：用戶數(shù)據(jù)被劃分為帶有發(fā)送方和接收方地址標(biāo)識的分組（Packet），交由X.25/幀中繼/ATM網(wǎng)絡(luò)轉(zhuǎn)發(fā)，有結(jié)構(gòu)靈活、遷移方便、費(fèi)用適中、延遲較大等特點(diǎn)；VPN方式：用戶先通過寬帶接入互聯(lián)網(wǎng)，再通過加密通道借助互聯(lián)網(wǎng)與對端連接，雙方就象處在同一局域網(wǎng)中，是靈活、安全、低成本的連接方式。二、運(yùn)營商DCE和用戶DTE間的連接1.CSU/DSU作為DCE（數(shù)據(jù)電路終止設(shè)備），為用戶路由器提供網(wǎng)絡(luò)通信服務(wù)接口和時(shí)鐘信號，控制傳輸速率。2.用戶路由器作為DTE（數(shù)據(jù)終端設(shè)備），接受DCE提供的時(shí)鐘信號，獲得網(wǎng)絡(luò)通信。3.CSU/DSU再通過數(shù)百米至上千米的接入線路（如雙絞線）接入專線方式或電路交換方式的運(yùn)營商傳輸網(wǎng)絡(luò)。三、運(yùn)營商負(fù)責(zé)廣域網(wǎng)兩端的物理層連接1.專線方式的廣域網(wǎng)連接可以是數(shù)字的，也可以是模擬的。2.電路交換方式的廣域網(wǎng)則通過PSTN或ISDN連接兩端。四、兩端的用戶路由器負(fù)責(zé)數(shù)據(jù)鏈路層的連接廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議主要包括用于專線方式和電路交換方式的SLIP（串行線路互聯(lián)網(wǎng)協(xié)議）、SDLC（同步數(shù)據(jù)鏈路控制協(xié)議）、HDLC（高級數(shù)據(jù)鏈路控制）、PPP（點(diǎn)對點(diǎn)協(xié)議）等協(xié)議，還包括分組交換方式采用的幀中繼、ATM等協(xié)議，也包括通過寬帶接入因特網(wǎng)（為VPN方式提供環(huán)境和條件）常采用的PPPoE協(xié)議等。7.2廣域網(wǎng)封裝協(xié)議

HDLC（High-LevelDataLinkControl，高級數(shù)據(jù)鏈路控制）協(xié)議是ISO開發(fā)的一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它從IBM的SDLC（SynchronousDataLinkControl，同步數(shù)據(jù)鏈路控制）協(xié)議演變而來，無流量控制和認(rèn)證機(jī)制，采用同步串行傳輸，實(shí)現(xiàn)簡單，效率高。華為、華三采用標(biāo)準(zhǔn)HDLC；思科對標(biāo)準(zhǔn)HDLC進(jìn)行了擴(kuò)展，增加了對多種網(wǎng)絡(luò)層協(xié)議的識別，與其他廠商采用的標(biāo)準(zhǔn)HDLC不兼容。思科設(shè)備采用HDLC作為其同步串行接口的默認(rèn)封裝協(xié)議。7.2.1HDLC協(xié)議7.2.2PPP協(xié)議

一、PPP簡介

PPP（Point-to-pointProtocol，點(diǎn)對點(diǎn)協(xié)議）是一種全雙工的點(diǎn)到點(diǎn)的同步異步數(shù)據(jù)鏈路層協(xié)議，它由SLIP（SerialLineIP，串行線IP協(xié)議）發(fā)展而來的，提供對多種網(wǎng)絡(luò)層協(xié)議的支持，為不同廠商設(shè)備的互連提供了可能。支持用戶驗(yàn)證、多鏈路捆綁、回?fù)芎蛪嚎s等功能，能協(xié)商和遠(yuǎn)程分配包括IP地址在內(nèi)的各種網(wǎng)絡(luò)層地址，安全可靠、易于擴(kuò)展。PPP能運(yùn)行于E1、T1連接的DDN專線網(wǎng)絡(luò)，也能運(yùn)行于串口連接的專線網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò)，是華為設(shè)備串型接口默認(rèn)封裝的協(xié)議。

二、PPP協(xié)議族

PPP不是單一的協(xié)議，而是由鏈路控制協(xié)議族（LCP，LinkControlProtocol）、擴(kuò)展協(xié)議族（PAP和CHAP驗(yàn)證，PasswordAuthenticationProtocol和Challenge-HandshakeAuthenticationProtocol）、網(wǎng)絡(luò)控制協(xié)議族（NCP，NetworkControlProtocol）構(gòu)成。鏈路控制協(xié)議族（LCP）主要用于建立、拆除和監(jiān)控?cái)?shù)據(jù)鏈路；擴(kuò)展協(xié)議族（PAP和CHAP）主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證；網(wǎng)絡(luò)控制協(xié)議族（NCP）主要用來協(xié)商上層（網(wǎng)絡(luò)層）協(xié)議的類型屬性及本層（數(shù)據(jù)鏈路層）數(shù)據(jù)包的類型格式等，包括IPCP、IPXCP和其他NCP。

三、PPP會話的三個(gè)階段

一個(gè)PPP會話包括三個(gè)階段：首先是鏈路建立階段，通過發(fā)送LCP報(bào)文檢測鏈路的可用性并建立鏈路；其次是可選的驗(yàn)證階段，根據(jù)PPP幀的驗(yàn)證選項(xiàng)決定是否進(jìn)行PAP或CHAP驗(yàn)證；最后是網(wǎng)絡(luò)協(xié)商階段，通過NCP報(bào)文協(xié)商網(wǎng)絡(luò)層協(xié)議（如使用IP還是IPX），分配網(wǎng)絡(luò)層地址（如IP地址或IPX地址），建立PPP鏈路。

四、PPP驗(yàn)證

1.驗(yàn)證階段的PAP驗(yàn)證是兩次握手驗(yàn)證。首先被驗(yàn)證方以明文發(fā)送用戶名和密碼給主驗(yàn)證方；隨后主驗(yàn)證方進(jìn)行核驗(yàn)，若驗(yàn)證通過則回復(fù)ACK進(jìn)入下一階段，若驗(yàn)證不通過則回復(fù)NAK表示驗(yàn)證失敗。驗(yàn)證失敗后不會馬上將鏈路關(guān)閉，而是等驗(yàn)證失敗次數(shù)達(dá)到一定數(shù)值后再關(guān)閉，以防誤傳、干擾造成不必要的重協(xié)商。PAP驗(yàn)證可以單向進(jìn)行，也可雙向進(jìn)行。

2.驗(yàn)證階段的CHAP驗(yàn)證是三次握手驗(yàn)證。首先，主驗(yàn)證方將一個(gè)隨機(jī)數(shù)和本端用戶名發(fā)送給被驗(yàn)證方，這是第一次握手，稱為Challenge；其次，如果被驗(yàn)證方接口配置了默認(rèn)CHAP密碼，就選用這個(gè)密碼，否則根據(jù)主驗(yàn)證方的用戶名查找對應(yīng)的密碼，然后利用MD5算法對“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取數(shù)字指紋（也稱摘要），并將提取到的指紋和自己的用戶名發(fā)給主驗(yàn)證方，這是第二次握手，稱為Response；最后，主驗(yàn)證方根據(jù)被驗(yàn)證方的用戶名查找到對應(yīng)的密碼，對“報(bào)文ID、隨機(jī)數(shù)和密碼”的聯(lián)合體提取指紋，將得到的指紋與被驗(yàn)證方發(fā)來的指紋進(jìn)行對比，若相同則發(fā)送Acknowledge表示驗(yàn)證通過，否則發(fā)送NotAcknowledge表示驗(yàn)證不通過，這是第三次握手。CHAP驗(yàn)證可以單向進(jìn)行也可以雙向進(jìn)行。

3.由于PAP驗(yàn)證會將密碼以明文的方式在網(wǎng)絡(luò)上傳送，黑客可以截獲并利用，而CHAP驗(yàn)證只在網(wǎng)絡(luò)上傳送用戶名和數(shù)字指紋，不傳送密碼，根據(jù)指紋的不可逆推性，黑客無法從指紋反推出密碼。因此，CHAP驗(yàn)證的安全性比PAP驗(yàn)證的安全性高。7.3.2華為設(shè)備的PPP配置

如圖7-4所示，在eNSP中拖出兩臺AR2220，為它們添加2SA模塊。

圖7-4華為路由器AR1的物理屬性配置如圖7-5所示，通過串口線將兩臺AR2220連接，完成華為設(shè)備的PPP配置。

一、PPP基本配置

1.PPP基本配置，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ipaddress192.168.1.124[R1-Serial1/0/0]link-protocolppp[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ipaddress192.168.1.224[R2-Serial1/0/0]link-protocolppp

圖7-5華為設(shè)備PPP配置的拓?fù)?/p>

2.配置結(jié)果測試，命令如下：[R1]ping192.168.1.2//R1pingR2測試互通情況PING192.168.1.2:56databytes,pressCTRL_CtobreakReplyfrom192.168.1.2:bytes=56Sequence=1ttl=255time=80ms//ping通了[R1]displayinterfaceSerial1/0/0//查看路由器R1的PPP封裝情況Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPInternetAddressis192.168.1.1/24//IP地址LinklayerprotocolisPPP//接口的數(shù)據(jù)鏈路層協(xié)議為PPPLCPopened,IPCPopened//LCP和NCP協(xié)商已經(jīng)成功。其中，NCP采用的是IPCP，PPP鏈路上可以傳遞IP報(bào)文了。

二、PAP驗(yàn)證

1.R1作為主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)PAP單向驗(yàn)證，命令如下：[R1]aaa//R1的配置[R1-aaa]local-userR2passwordcipher654321[R1-aaa]local-userR2service-typeppp[R1-aaa]quit[R1]interfaceSerial1/0/0[R1-Serial1/0/0]pppauthentication-modepap[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]ppppaplocal-userR2passwordcipher654321[R2-Serial1/0/0]quit

2.R2作為主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)PAP雙向驗(yàn)證[R2]aaa//R2的配置[R2-aaa]local-userR1passwordcipher123456[R2-aaa]local-userR1service-typeppp[R2-aaa]quit[R2]interfaces1/0/0[R2-Serial1/0/0]pppauthentication-modepap[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]ppppaplocal-userR1passwordcipher123456

3.先通過ping命令測試互通性，再在路由器R2上使用命令DebuggingPPPPAPall查看PAP認(rèn)證的詳細(xì)信息。

三、CHAP驗(yàn)證

在PAP認(rèn)證實(shí)驗(yàn)的基礎(chǔ)上，繼續(xù)完成CHAP認(rèn)證實(shí)驗(yàn)。先配置R2為主驗(yàn)證方、R1為被驗(yàn)證方；再配置R1為主驗(yàn)證方、R2為被驗(yàn)證方，實(shí)現(xiàn)雙向CHAP驗(yàn)證。

1.R1作為CHAP驗(yàn)證主驗(yàn)證方，R2作為被驗(yàn)證方，實(shí)現(xiàn)單向CHAP驗(yàn)證，命令如下：[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undopppauthentication-mode

//取消R1作為PAP驗(yàn)證的主驗(yàn)證方[R1-Serial1/0/0]pppauthentication-modechap//配置R1作為CHAP驗(yàn)證的主驗(yàn)證方[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undoppppaplocal-user//取消R2作為PAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0/0]pppchapuserR2//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方[R2-Serial1/0/0]pppchappasswordcipher654321//配置R2作為CHAP驗(yàn)證的被驗(yàn)證方

2.R2作為CHAP驗(yàn)證主驗(yàn)證方，R1作為被驗(yàn)證方，實(shí)現(xiàn)雙向CHAP驗(yàn)證，命令如下：[R2]interfaceSerial1/0/0//R2的配置[R2-Serial1/0/0]undopppauthentication-mode//取消R2作為PAP驗(yàn)證的主驗(yàn)證方[R2-Serial1/0/0]pppauthentication-modechap//配置R2作為CHAP驗(yàn)證的主驗(yàn)證方[R1]interfaceSerial1/0/0//R1的配置[R1-Serial1/0/0]undoppppaplocal-user//取消R1作為PAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0/0]pppchapuserR1//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方[R1-Serial1/0/0]pppchappasswordcipher123456//配置R1作為CHAP驗(yàn)證的被驗(yàn)證方

3.先使用ping命令測試連通性，再在路由器R2上使用“DebuggingPPPPAPall”命令查看PAP認(rèn)證的詳細(xì)信息。7.4PPPoE的配置

多臺用戶主機(jī)連接到同一臺遠(yuǎn)程接入設(shè)備進(jìn)行計(jì)費(fèi)上網(wǎng)時(shí)，往往需要接入設(shè)備具有訪問控制和計(jì)費(fèi)等功能。PPP能提供良好的訪問控制和計(jì)費(fèi)功能、以太網(wǎng)技術(shù)為多臺主機(jī)經(jīng)濟(jì)快捷的接入提供了方便，結(jié)合這兩種技術(shù)的PPPoE（Point-to-PointProtocoloverEthernet,以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議）就是這樣一種能實(shí)現(xiàn)在以太網(wǎng)上傳輸PPP報(bào)文的技術(shù)。

如圖7-9所示，路由器R1是公司的出口路由器，路由器R2是ISP的PPPoE服務(wù)器，路由器R1和R2間通過以太網(wǎng)連接。路由器R1通過PPPoE撥號連接到路由器R2，并接入Internet。7.4.2華為設(shè)備配置PPPoE

圖7-9華為設(shè)備配置PPPoE的拓?fù)?/p>

一、PPPoE服務(wù)端R2的配置

1.在R2上配置Virtual-Template虛擬模板接口，命令如下：[R2]interfaceVirtual-Template1//創(chuàng)建VT接口，編號為1[R2-Virtual-Template1]pppauthentication-modechap//定義PPP采用CHAP方式認(rèn)證[R2-Virtual-Template1]remoteaddresspoolpool01//為PPPoE客戶端指定IP地址池[R2-Virtual-Template1]ipaddress100.0.0.25424//設(shè)置VT接口的IP

2.在R2上配置PPP的其他選項(xiàng)，命令如下：[R2]ippoolpool01//為客戶端創(chuàng)建IP地址池[R2-ip-pool-pool01]gateway-list100.0.0.254//為地址池指定網(wǎng)關(guān)[R2-ip-pool-pool01]network100.0.0.0mask24//為地址池指定分配的IP地址范圍[R2-ip-pool-pool01]dns-list114.114.114.114//為地址池指定DNS[R2-ip-pool-pool01]quit[R2]aaa//進(jìn)入AAA本地用戶數(shù)據(jù)庫[R2-aaa]local-useruser1passwordcipher123//創(chuàng)建用于PPP認(rèn)證的用戶[R2-aaa]local-useruser1service-typeppp//指定創(chuàng)建的用戶用于PPP認(rèn)證

3.將VT虛擬接口和PPPoE服務(wù)端以太口綁定，命令如下：[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1//將G0/0/0接口與VT1接口綁定

4.配置從PPPoEServer到PPPoEClient的靜態(tài)路由，實(shí)現(xiàn)網(wǎng)絡(luò)互通，命令如下：[R2]iproute-static192.168.1.024Virtual-Template1

二、PPPoE客戶端R1的配置

1.配置路由器R1的GE0/0/1接口的IP地址，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress192.168.1.25424

2.DCC（撥號控制中心）虛擬撥號接口（dialer）的配置，命令如下：[R1]interfaceDialer1//創(chuàng)建DCC的dialer接口，編號為1[R1-Dialer1]link-protocolppp//封裝PPP[R1-Dialer1]pppchapuseruser1//配置PPP的chap認(rèn)證用戶名[R1-Dialer1]pppchappasswordsimple123//配置PPP的chap認(rèn)證密碼[R1-Dialer1]ipaddressppp-negotiate//設(shè)置PPPo