電子教案廣域網(wǎng)接入技術(shù)

1、電子教案廣域網(wǎng)接入技術(shù)第1頁，共74頁，2022年，5月20日，20點8分，星期四第10章 廣域網(wǎng)接入技術(shù) 學(xué)習(xí)目的與要求：廣域網(wǎng)是將地理位置相距較遠(yuǎn)的多個計算機系統(tǒng)按照網(wǎng)絡(luò)協(xié)議通過通信線路連接起來實現(xiàn)計算機之間相互通信的計算機系統(tǒng)的集合。廣域網(wǎng)覆蓋的地理范圍很廣，小到一個城市，大到一個國家甚至全球。廣域網(wǎng)技術(shù)主要體現(xiàn)在OSI參考型的物理層及數(shù)據(jù)鏈路層，有時也會涉及到網(wǎng)絡(luò)層。當(dāng)前存在各種各樣的廣域網(wǎng)協(xié)議，如X.25，HDLC，PPP，DDN，ISDN等。本章主要介紹了廣域網(wǎng)的常見接入方式，包括HDLC、PPP、幀中繼等常見的廣域網(wǎng)協(xié)議及其配置，另外對NAT技術(shù)進(jìn)行了介紹。 第2頁，共74頁，2

2、022年，5月20日，20點8分，星期四第10章 廣域網(wǎng)接入技術(shù) 學(xué)完本章，你將能夠：描述常見的廣域網(wǎng)接入方法掌握HDLC協(xié)議及其配置掌握PPP協(xié)議的封裝及其驗證掌握NAT技術(shù)及其應(yīng)用掌握幀中繼技術(shù)及其配置第3頁，共74頁，2022年，5月20日，20點8分，星期四第10章 廣域網(wǎng)接入技術(shù)10.1 廣域網(wǎng)概述 10.2 高級數(shù)據(jù)鏈路控制協(xié)議(HDLC)的配置 10.3 點對點協(xié)議(PPP)配置 10.4 NAT技術(shù)10.5 幀中繼技術(shù) 本章小結(jié)本章實訓(xùn)本章習(xí)題第4頁，共74頁，2022年，5月20日，20點8分，星期四10.1 廣域網(wǎng)概述本節(jié)主要介紹了廣域網(wǎng)的連接、廣域網(wǎng)串行線路的標(biāo)準(zhǔn)以及廣域

3、網(wǎng)的第2層封裝等相關(guān)知識。第5頁，共74頁，2022年，5月20日，20點8分，星期四10.1.1 廣域網(wǎng)的連接 廣域網(wǎng)(WAN)不同于局域網(wǎng)(LAN)。局域網(wǎng)只在一座建筑或者其他很小的地址范圍內(nèi)連接工作站、終端及其他設(shè)備，而廣域網(wǎng)是由多個局域網(wǎng)相互連接而成的，其所建立的數(shù)據(jù)連接將跨越一個廣闊的區(qū)域，一般覆蓋的范圍可從幾百公里到幾千公里，因此，人們通常需要租用電信和數(shù)據(jù)通信公司的通信線路，而不是自己鋪設(shè)線路。廣域網(wǎng)所能提供的帶寬可以從幾Kbps到幾千Mbps。 第6頁，共74頁，2022年，5月20日，20點8分，星期四10.1.1 廣域網(wǎng)的連接 第7頁，共74頁，2022年，5月20日，20

4、點8分，星期四10.1.2 廣域網(wǎng)串行線路標(biāo)準(zhǔn) 廣域網(wǎng)技術(shù)主要體現(xiàn)在OSI參考型的物理層及數(shù)據(jù)鏈路層。 Cisco的設(shè)備支持如下串行標(biāo)準(zhǔn)或接口類型：EIA/TIA-232、V.35、EIA/TIA-530等。 當(dāng)為路由器定購一條串行線纜時，會收到一條DB-60屏蔽串行傳輸線，這條線纜有適合上述標(biāo)準(zhǔn)的連接器。這條屏蔽串行傳輸線靠近路由器的那一端有一個DB60連接頭，它能接到串行廣域網(wǎng)接口 卡的DB-60端口上；串行傳輸線的另一端是符合要求的標(biāo)準(zhǔn)連接頭。連接頭樣式取決于DCE的連接類型，各種設(shè)備的文檔會指出自身的使用標(biāo)準(zhǔn)。 第8頁，共74頁，2022年，5月20日，20點8分，星期四10.1.2

5、廣域網(wǎng)串行線路標(biāo)準(zhǔn) 第9頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝 廣域網(wǎng)的數(shù)據(jù)鏈路層則描述了幀是如何在系統(tǒng)之間單一路徑上進(jìn)行傳輸、如何進(jìn)行幀的封裝，如圖10-3所示。常用的幀封裝格式有HDLC(高級數(shù)據(jù)鏈路控制)、PPP(點到點)、幀中繼、ISDN等，協(xié)議的選擇取決于廣域網(wǎng)技術(shù)和通信設(shè)備。 第10頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝 廣域網(wǎng)第2層封裝 第11頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝廣域網(wǎng)鏈路主要有4類： 專用線路、電路交換線路、包交

6、換線路和信元交換線路。(1)專線也通稱點對點，就是ISP為用戶兩端保留專用線路或通道，用戶可以以穩(wěn)定的速度隨時傳輸數(shù)據(jù)。這種方法費用很昂貴，DDN就是一個例子。(2)包交換線路使用的是能提供端到端連通的虛電路，物理連接由被編程的交換設(shè)備提供。包交換線路的典型是幀中繼(Frame Relay)，不同用戶的數(shù)據(jù)幀到了同一幀中繼交換網(wǎng)絡(luò)中，幀中繼交換機根據(jù)幀中繼路由表進(jìn)行交換，把幀發(fā)給目的設(shè)備。通常包交換線路價格比專線低，通信質(zhì)量也能得到用戶的認(rèn)可，使用比較普遍。 第12頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝 (3)電路交換就是發(fā)送者與接收者在呼叫期

7、間必須存在一條專用的電路路徑。典型的電路交換線路的例子就是電話服務(wù)和綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)，通信雙方首先進(jìn)行呼叫，ISP根據(jù)呼叫臨時建立一條線路或通道，之后可以開始數(shù)據(jù)通信，通信完畢后拆除線路。通常電路交換線路速率低、質(zhì)量較差、按時收費、價格低廉。 (4)信元交換線路的典型例子是異步傳輸控制ATM，它需要把各種服務(wù)類型的數(shù)據(jù)轉(zhuǎn)成定長的小單元(信元)，信元允許用硬件進(jìn)行處理，減少了傳輸延時。這種交換方式現(xiàn)在使用較少。 第13頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝廣域網(wǎng)封裝類型：(1) 高級數(shù)據(jù)鏈路控制協(xié)議(High-Level Data Li

8、nk Control，HDLC)：該協(xié)議是點對點專用鏈路和電路交換連接的默認(rèn)封裝類型。HDLC是一種面向比特的同步數(shù)據(jù)鏈路層協(xié)議，它典型地用于路由器設(shè)備之間的通信。(2)點對點協(xié)議(Point-Point-Protocol,PPP):通過同步和異步電路提供路由器到路由器和主機到網(wǎng)絡(luò)的連接。PPP被設(shè)計成和幾個網(wǎng)絡(luò)層協(xié)議，如IP和IPX一起工作。它還有內(nèi)置的安全機制，比如密碼驗證協(xié)議(PAP)和競爭握手驗證協(xié)議(CHAP)。(3)串行線路網(wǎng)際協(xié)議(Serial Line Internet Protocol,SLIP):它使用TCP/IP的點到點串行連接的標(biāo)準(zhǔn)協(xié)議。SLIP有很多方面已經(jīng)被PPP替

9、代了。 第14頁，共74頁，2022年，5月20日，20點8分，星期四10.1.3 廣域網(wǎng)的第2層封裝(4)X25/平衡鏈路訪問過程(Link Access Procedure Balanced,LAPB):這是一個ITU-T標(biāo)準(zhǔn)，它定義了怎樣連接維護公用數(shù)據(jù)網(wǎng)絡(luò)上遠(yuǎn)程終端訪問和計算機通信的DTE和DCE。(5)幀中繼：這是一個交換式數(shù)據(jù)鏈層協(xié)議的工業(yè)標(biāo)準(zhǔn)，它處理多個虛電路。幀不繼是X.25的下一代，它經(jīng)過改進(jìn)消除了X.25中的一些消耗時間的處理，如糾錯和流控制等。 第15頁，共74頁，2022年，5月20日，20點8分，星期四10.2 高級數(shù)據(jù)鏈路控制協(xié)議(HDLC)的配置本節(jié)主要介紹了高級

10、數(shù)據(jù)鏈路控制協(xié)議(HDLC)的相關(guān)知識及其基本配置方法 。第16頁，共74頁，2022年，5月20日，20點8分，星期四10.2.1 HDLC簡介高級數(shù)據(jù)鏈路控制(High-Level Data Link Control，HDLC)，是一個在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議，它是由國際標(biāo)準(zhǔn)化組織(ISO)根據(jù)IBM公司的SDLC(Synchronous Data Link Control)協(xié)議擴展開發(fā)而成的。HDLC是一個點對點的數(shù)據(jù)傳輸協(xié)議，其幀的結(jié)構(gòu)有兩種類型，一種是ISO HDLC幀結(jié)構(gòu)，一種是Cisco HDLC幀結(jié)構(gòu)。ISO HDLC采用SDLC的幀格式，支持同步，全雙工操

11、作，分為物理層及LLC兩個子層，其幀結(jié)構(gòu)如圖10-4所示，整個HDLC的幀由標(biāo)志字段、地址字段、控制字段、數(shù)據(jù)字段、幀校驗序列字段等組成。由于HDLC是點到點串行線路上的幀封裝格式，所以其幀格式和以前介紹的以太網(wǎng)幀格式有很大差別，HDLC沒有源MAC地址和目的MAC地址。所謂點到點線路是指該線路只有兩個主機存在，那么從線路一端進(jìn)入的數(shù)據(jù)一定是到達(dá)對端的，所以理論上可以不需要第二層地址。 第17頁，共74頁，2022年，5月20日，20點8分，星期四10.2.1 HDLC簡介幀標(biāo)志序列(F)地址(A)控制(C)數(shù)據(jù)(D)校驗和(FCS)幀標(biāo)志序列(F)幀標(biāo)志序列(F)地址(A)控制(C)專有位(

12、P) 數(shù)據(jù)(D)校驗和(FCS)幀標(biāo)志序列(F) ISO HDLC幀格式 Cisco HDLC幀格式 第18頁，共74頁，2022年，5月20日，20點8分，星期四10.2.1 HDLC簡介 Cisco HDLC的幀結(jié)構(gòu)在ISO HDLC的基礎(chǔ)上增加了一個Cisco專有位(Proprietary),如圖10-5所示。它無LLC子層，從而Cisco HDLC對上層數(shù)據(jù)只進(jìn)行物理封裝，沒有應(yīng)答、重傳機制，所有的糾錯處理由上層協(xié)議處理。 由于Cisco HDLC和ISO HDLC的幀結(jié)構(gòu)不同，所以兩者互不兼容。在具體組網(wǎng)時，如果鏈路的兩端都是Cisco設(shè)備，則可采用Cisco HDLC協(xié)議，其效率比

13、PPP協(xié)議高得多；但如果Cisco設(shè)備與非Cisco設(shè)備連接，則不能采用HDLC協(xié)議，而應(yīng)采用PPP協(xié)議。第19頁，共74頁，2022年，5月20日，20點8分，星期四10.2.2 HDLC的配置 1. 配置命令 (1)設(shè)置HDLC封裝 Cisco路由器的串口在默認(rèn)時使用Cisco HDLC協(xié)議封裝的，所以不需要配置。如果串口的封裝不是HDLC，則需使用encapsulation命令進(jìn)行配置。命令格式如下： Router(config-if)# encapsulation hdlc 第20頁，共74頁，2022年，5月20日，20點8分，星期四10.2.2 HDLC的配置 (2)設(shè)置DCE端線

14、路速率Cisco路由器接DDN專線時，同步串口需要通過V.35或V.24DTE線纜連接CSU/DSU,這時Cisco路由器為DTE，CSU/DSU為DCE，由CSU/DSU提供時鐘。如兩臺路由器直接通過DET/DCE線纜連接，一臺路由器作為DTE，另一臺路由器作為DCE，就必須由作為DCE的路由器提供。因此，必須設(shè)置時鐘頻率。命令格式如下：Router(config-if)# clock rate speed 此外，與HDLC配置相關(guān)的命令還有：Clear interface serial unit：復(fù)位指定的硬件接口Show interface serial unit：顯示接口狀態(tài)第21頁，

15、共74頁，2022年，5月20日，20點8分，星期四10.2.2 HDLC的配置 2. 配置實例 HDLC封裝配置拓?fù)鋱D (具體配置見圖) 第22頁，共74頁，2022年，5月20日，20點8分，星期四10.3 點對點協(xié)議(PPP)配置本節(jié)主要介紹了點對點協(xié)議(PPP)的相關(guān)知識及其基本配置方法 。第23頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 PPP(Point-to-Point-Protocol)是提供在點到點鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議。在廣域網(wǎng)中，其他廠商的路由器如果不支持Cisco HDLC封裝，則當(dāng)非Cisco路由器之

16、間和Cisco與非Cisco路由器連接時,在專線連接或撥號連接時，PPP協(xié)議成為必選的協(xié)議。 PPP定義了一整套的協(xié)議，包括鏈路控制協(xié)議(LCP)、網(wǎng)絡(luò)層控制協(xié)議(NCP)和認(rèn)證協(xié)議(PAP和CHAP)。由于PPP協(xié)議具有協(xié)議簡單、動態(tài)IP地址分配、可對傳輸數(shù)據(jù)進(jìn)行壓縮、支持更多的網(wǎng)絡(luò)層協(xié)議(如IP、IPX、AppleTalk、DECnet等)、提供用戶認(rèn)證、易于擴充以及支持同異步等優(yōu)點，因而成為廣域網(wǎng)上使用非常廣泛的協(xié)議之一。目前，它已成為各種主機、網(wǎng)橋和路由器之間通過撥號或?qū)＞€方式建立點對點連接的首先方案，主要用于家庭撥號上網(wǎng)、ADSL上網(wǎng)、局域網(wǎng)的點對點連接等。第24頁，共74頁，202

17、2年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介PPP幀格式 PPP幀格式(如圖10-7所示)和HDLC幀格式相似。二者主要區(qū)別在于：PPP是面向字符的，而HDLC是面向位的。 第25頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 可以看出，PPP幀的前3個字段和最后兩個字段與HDLC的格式是一樣的。標(biāo)志字段F為01111110(即0 x7E)表示幀的開始或結(jié)束；地址字段A和控制字段C都是固定不變的，分別為0 xFF、0 x03。PPP協(xié)議不是面向比特的，因而所有的PPP幀長度都是整數(shù)個字節(jié)。 與HDLC不同的是協(xié)議字段

18、。該字段為2個字節(jié)，用于表示封裝在幀中的數(shù)據(jù)字段的協(xié)議類型。如： 0 x0021表示信息字段是IP數(shù)據(jù)報 0 xC021表示信息字段是鏈路控制數(shù)據(jù)LCP 0 x8021表示信息字段是網(wǎng)絡(luò)控制數(shù)據(jù)NCP 0 xC023表示信息字段是安全性認(rèn)證PAP 0 xC223表示信息字段是安全性認(rèn)證CHAP等等。 數(shù)據(jù)字段包含協(xié)議字段中指定的協(xié)議的數(shù)據(jù)包，長度為01500字節(jié)。 第26頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介PPP鏈路工作過程 PPP鏈路的工作過程可用圖10-8來說明。整個過程包括4個階段：鏈路建立階段、鏈路認(rèn)證階段、網(wǎng)絡(luò)層控制協(xié)議階段和

19、鏈路終止階段。第27頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 (1)鏈路建立階段：PPP通信雙方發(fā)送LCP數(shù)據(jù)包來交換配置信息，一旦配置信息交換成功，鏈路即宣告建立。LCP數(shù)據(jù)包包含一個配置選項域，該域允許設(shè)備協(xié)商配置選項，例如最大接收單元數(shù)目、特定PPP域的壓縮和鏈路認(rèn)證協(xié)議等。如果LCP數(shù)據(jù)包中不包括某個配置選項，那么將采用該配置選項的默認(rèn)值。 (2)鏈路認(rèn)證階段：LCP負(fù)責(zé)測試鏈路的質(zhì)量是否能承載網(wǎng)絡(luò)層的協(xié)議。鏈路質(zhì)量測試是PPP協(xié)議提供的一個可選項，也可不執(zhí)行。同時，如果用戶選擇了認(rèn)證協(xié)議，那么本階段將完成認(rèn)證過程。 (3)網(wǎng)絡(luò)層控

20、制協(xié)議階段：在完成上兩個階段后，進(jìn)入該階段。PPP開始使用相應(yīng)的網(wǎng)絡(luò)層控制協(xié)議配置網(wǎng)絡(luò)層的協(xié)議，如IP、IPX等，配置成功后，該網(wǎng)絡(luò)層協(xié)議就可通過這條鏈路發(fā)送報文了。 (4)鏈路終止階段：認(rèn)證失敗、鏈路質(zhì)量失敗、載波丟失或管理員關(guān)閉鏈路后進(jìn)入該階段。此時，LCP用交換鏈路終止包的方法終止鏈路。 第28頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介PPP認(rèn)證功能 PPP的認(rèn)證功能是指在建立PPP鏈路的過程中進(jìn)行密碼的驗證，驗證通過建立連接，驗證不通過拆除鏈路。 PPP支持兩種認(rèn)證協(xié)議：密碼認(rèn)證協(xié)議(PAP)和詢問握手認(rèn)證協(xié)議(CHAP)。 第29頁

21、，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介PPP認(rèn)證功能 (1)PAP(Password Authentication Protocol)認(rèn)證協(xié)議 認(rèn)證雙方通過兩次握手完成認(rèn)證過程(如圖10-9)。它是一種用于對試圖登錄到PPP服務(wù)器上的用戶進(jìn)行身份驗證的方法。首先由被認(rèn)證方發(fā)送用戶名和口令到認(rèn)證方，認(rèn)證方根據(jù)用戶配置是否有此用戶以及口令是否正確，返回不同的響應(yīng)(通過認(rèn)證或認(rèn)證失敗)。PAP協(xié)議僅在連接建立階段進(jìn)行，在數(shù)據(jù)傳輸階段不進(jìn)行PAP認(rèn)證。 在PAP認(rèn)證過程中用戶名和密碼以明文的方式在鏈中處傳輸。而且由于遠(yuǎn)程節(jié)點控制認(rèn)證重試頻率和次數(shù)，

22、因此不能防范再生攻擊和重復(fù)的嘗試攻擊。 第30頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 PAP認(rèn)證過程 第31頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介PPP認(rèn)證功能 (2) CHAP(Challenge Handshake Authentication Protocol認(rèn)證協(xié)議 CHAP由認(rèn)證方主動發(fā)出隨機報文，由被認(rèn)證方應(yīng)答，通過三次握手完成源端節(jié)點的認(rèn)證過程(如圖10-10)。在整個過程中，鏈路上傳遞的信息都進(jìn)行了加密處理。 CHAP認(rèn)證工作過程：當(dāng)A機(被認(rèn)證方)欲通過PPP協(xié)議連

23、接B機(認(rèn)證方)，而B機設(shè)置了CHAP認(rèn)證，則當(dāng)A機撥通B機后，由B機將一段隨機數(shù)據(jù)和自身的名字發(fā)給A機，A機根據(jù)此名字查到自己的口令，用該口令和MD5算法對收到的隨機數(shù)據(jù)進(jìn)行摘要，得到16字節(jié)的密文，并將該密文和A機自身的名字一起發(fā)送給B機。B機收到該密文后，首先查到A的口令，同樣用此口令對以前發(fā)送的隨機數(shù)據(jù)，通過MD5算法進(jìn)行加密并將自己算出的加密結(jié)果與從A中收到的加密結(jié)果相比較，如果一致，A與B可繼續(xù)進(jìn)行協(xié)商，否則B將切斷線路。 第32頁，共74頁，2022年，5月20日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 CHAP認(rèn)證過程 第33頁，共74頁，2022年，5月20

24、日，20點8分，星期四10.3.1 點對點協(xié)議(PPP)簡介 CHAP協(xié)議不僅僅在鏈路建立階段進(jìn)行，而且在以后的任何時候都可以周期性地進(jìn)行。CHAP的這種周期性認(rèn)證的特性使得鏈路更為安全，并且CHAP不允許連接發(fā)起方在沒有收到詢問消息的情況下進(jìn)行認(rèn)證嘗試。CHAP每次使用不同的詢問消息，每個消息都是不可預(yù)測的惟一的值。并且CHAP不直接傳送密碼，只傳送一個不可預(yù)測的詢問消息，以及該詢問消息與密碼經(jīng)過MD5加密運算后的加密值。所以CHAP可以防止再生攻擊，其安全性比PAP要高。第34頁，共74頁，2022年，5月20日，20點8分，星期四10.3.2 PPP協(xié)議的配置 1PPP協(xié)議配置相關(guān)命令(

25、1)封裝PPP協(xié)議Router(config-if)# encapsulation ppp注意：同一條鏈路的兩端封裝方式應(yīng)該是一樣的，都為PPP，否則將無法正常通信。(2)在本路由器上記錄對端路由器名字和口令Router(config)# username username password password其中的username和password是指對端的用戶名和口令。(3)設(shè)置本地路由器名字和口令Router(config)# hostname hostname Router(config)# enable secret secret-string第35頁，共74頁，2022年，5月20日

26、，20點8分，星期四10.3.2 PPP協(xié)議的配置 (4)配置認(rèn)證方式Router(config-if)# ppp authentication chap | chap pap | pap chap | pap 如果PAP和CHAP都被啟用，鏈路協(xié)商期間將請求第一種認(rèn)證方法。如果對等路由器建議使用第二種方法或簡單地拒絕第一種方法，將使用第二種方法。(5)向?qū)Χ寺酚善靼l(fā)送認(rèn)證信息Router(config-if)# ppp pap sent-username name password password在本地路由器上配置以什么用戶名和口令在遠(yuǎn)程路由器上登錄。 第36頁，共74頁，2022年，5月

27、20日，20點8分，星期四10.3.2 PPP協(xié)議的配置 2PPP協(xié)議配置實例 如圖10-11所示，串行鏈路兩端的封裝方式均為PPP，且都采用PAP認(rèn)證。(實際配置見教材) 第37頁，共74頁，2022年，5月20日，20點8分，星期四10.4 NAT技術(shù) 本節(jié)主要介紹了網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議（NAT）的相關(guān)知識及其基本配置方法 。第38頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述1、NAT概述 NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)是一種將一個IP地址域(如Intranet)轉(zhuǎn)換到另一個IP地址域(如Internet)的技

28、術(shù)。NAT技術(shù)的出現(xiàn)是為了解決IP地址日益短缺的問題，將多個內(nèi)部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址,這樣就可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(通常使用私有地址)透明地訪問外部網(wǎng)絡(luò)中的資源；同時，外部網(wǎng)絡(luò)中的主機也可以有選擇地訪問內(nèi)部網(wǎng)絡(luò)。而且，NAT能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。 第39頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述1、NAT術(shù)語 (1)內(nèi)部網(wǎng)絡(luò)(Inside)：指那些由機構(gòu)或企業(yè)所擁有的網(wǎng)絡(luò)，與NAT路由器上被定義為inside的接口相連接。 (2)外部網(wǎng)絡(luò)(Outside)：指除了內(nèi)部網(wǎng)絡(luò)之外的所有網(wǎng)絡(luò)，常為Internet網(wǎng)絡(luò)，與NA

29、T路由器上被定義為outside的接口相連接。 (3)內(nèi)部本地地址(Inside Local Address)：內(nèi)部網(wǎng)絡(luò)主機使用的IP地址。這些地址一般為私有IP地址，它們不能直接在Internet上路由，因而也就不能直接用于對Internet的訪問，必須通過網(wǎng)絡(luò)地址轉(zhuǎn)換，以合法的IP地址的身份來訪問Internet。第40頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述1、NAT術(shù)語 (4)內(nèi)部全局地址(Inside Global Address):內(nèi)部網(wǎng)絡(luò)使用的公有IP地址，這些地址是向ICANN申請才可取得的公有IP地址。當(dāng)使用內(nèi)部本地地址的主機要與Int

30、ernet通信時，NAT轉(zhuǎn)換時使用的地址。(5)外部本地地址(Outside Local Address):外部網(wǎng)絡(luò)主機使用的IP地址，這些地址不一定是公有IP地址。(6)外部全局地址(Outside Global Address):外部網(wǎng)絡(luò)主機使用的IP地址。這些地址是全局可路由的公有IP地址。第41頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述2、NAT的工作原理 如圖10-12所示，在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，當(dāng)內(nèi)部節(jié)點PC1要訪問外部的HOST主機時，PC1發(fā)送源地址為192.168.1.100,目的地址是的IP報文,該IP報文將被路由到邊界路由器

31、。路由器收到這個IP報文后，將源地址改變?yōu)楣械刂罚⒂涗浰接械刂放c公有地址間的地址映射關(guān)系存入地址映射表，然后發(fā)出修改后的IP報文；當(dāng)HOST主機收到報文后，回復(fù)報文到達(dá)路由器后，路由表再根據(jù)地址映射表中的地址的對應(yīng)關(guān)系，把目的地址轉(zhuǎn)換為PC1的地址，這樣就完成了私有地址主機與Internet主機的通信。第42頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述2、NAT的工作原理 第43頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述3、NAT的主要作用 NAT的主要作用是節(jié)約地址空間。在任一時刻，如果內(nèi)部網(wǎng)絡(luò)中只有少數(shù)節(jié)點與外界

32、建立連接，那么就只有少數(shù)的內(nèi)部地址需要被轉(zhuǎn)化成全局地址，可以減少對合法地址的需求。同時，NAT還可以使多個內(nèi)部節(jié)點共享一個外部地址，從而使多臺計算機共享Internet連接。當(dāng)多個內(nèi)部主機共享一個合法的Internet上的IP地址時，地址轉(zhuǎn)換是通過端口多路利用，即改變外出數(shù)據(jù)包的源端口并進(jìn)行端口映射(NAPT)來完成的。這一功能很好地解決了公共IP地址緊缺的問題，通過這種方法，用戶可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。 除了節(jié)約地址，NAT還能簡化配置，增加網(wǎng)絡(luò)規(guī)劃的靈活性。使用NAT，可以在規(guī)劃地址時有更大的靈活性，從而簡化內(nèi)部網(wǎng)的設(shè)計。另外，當(dāng)兩個有地

33、址重疊的私有內(nèi)部網(wǎng)要相互連接時，可以使用NAT來防止地址沖突，而避免逐個改變節(jié)點地址這項繁雜的工作。 第44頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述4、NAT的類型 NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)NAT(Pooled NAT)和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation )。 第45頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述4、NAT的類型 (1)靜態(tài)NAT是設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某

34、個合法的地址。它在NAT表中為每一個需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對應(yīng)。每當(dāng)內(nèi)部節(jié)點與外界通信時，內(nèi)部地址就會轉(zhuǎn)化為對應(yīng)的全局地址。如圖10-13所示。 第46頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述靜態(tài)NAT工作示意圖 第47頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述4、NAT的類型 （2）動態(tài)NAT則是將可用的全局地址地址集定義成NAT池(NAT pool)，對于要與外界進(jìn)行通信的內(nèi)部節(jié)點，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇

35、全局地址對內(nèi)部地址進(jìn)行轉(zhuǎn)換。每個轉(zhuǎn)換條目在連接建立時動態(tài)建立，而在連接終止時會被回收。這樣，網(wǎng)絡(luò)的靈活性大大增強了，所需要的全局地址進(jìn)一步地減少。值得注意的是，當(dāng)NAT池中的全局地址被全部占用以后，以后的地址轉(zhuǎn)換的申請會被拒絕。這樣會造成網(wǎng)絡(luò)連通性的問題。所以應(yīng)該使用超時操作選項來回收NAT池的全局地址。另外，由于每次的地址轉(zhuǎn)換是動態(tài)的，所以同一個節(jié)點在不同的連接中的全局地址是不同的，這會使SNMP的操作復(fù)雜化。 第48頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述4、NAT的類型 (3)地址端口轉(zhuǎn)換是動態(tài)轉(zhuǎn)換的一種變形。它可以使多個內(nèi)部節(jié)點共享一個全局IP地

36、址，而使用源和目的地址的TCP/UDP的端口號來區(qū)分NAT表中的轉(zhuǎn)換條目及內(nèi)部地址，這樣，就更節(jié)省了地址空間。比如說，假設(shè)內(nèi)部節(jié)點，都用源端口1723向外發(fā)送數(shù)據(jù)包，NAPT路由器把這兩個內(nèi)部地址都轉(zhuǎn)換成全局地址，而使用不同的源端口號：1492和1723。當(dāng)接收方收到的源端口號為1492，則返回的數(shù)據(jù)包在邊緣網(wǎng)關(guān)處，目的地址和端口被轉(zhuǎn)換為10.1.1.3:1723；而當(dāng)接收方收到的源端口號為1723時，目的地址和端口被轉(zhuǎn)換為10.1.1.2:1723。 第49頁，共74頁，2022年，5月20日，20點8分，星期四10.4.1 NAT概述NAPT工作示意圖 第50頁，共74頁，2022年，5月

37、20日，20點8分，星期四10.4.2 NAT配置1. 靜態(tài)NAT配置步驟（實例見教材） 步 驟命 令說 明第1步ip nat inside source static local-ip global-ip配置內(nèi)部本地地址和內(nèi)部全局地址間的轉(zhuǎn)換關(guān)系第2步interface iftype mod/port進(jìn)入內(nèi)部接口配置模式第3步ip nat inside 定義該接口連接內(nèi)部網(wǎng)絡(luò)第4步interface iftype mod/port進(jìn)入外部接口配置模式第5步ip nat outside 定義該接口連接外部網(wǎng)絡(luò)第51頁，共74頁，2022年，5月20日，20點8分，星期四10.4.2 NAT配置

38、2. 動態(tài)NAT配置步驟（實例見教材） 步 驟命 令說 明第1步ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個用于動態(tài)NAT轉(zhuǎn)換的內(nèi)部全局地址池第2步access-list access-list-number permit source source-wildcard定義標(biāo)準(zhǔn)ACL，匹配該ACL的內(nèi)部本地地址可以動態(tài)轉(zhuǎn)換第3步ip nat inside source list access-list-number|name pool name 配置內(nèi)部本地地址和內(nèi)部全局地址

39、間的轉(zhuǎn)換關(guān)系第4步interface iftype mod/port進(jìn)入內(nèi)部接口配置模式第5步ip nat inside 定義該接口連接內(nèi)部網(wǎng)絡(luò)第6步interface iftype mod/port進(jìn)入外部接口配置模式第7步ip nat outside 定義該接口連接外部網(wǎng)絡(luò)第52頁，共74頁，2022年，5月20日，20點8分，星期四10.4.2 NAT配置3. NAPT配置步驟（實例見教材） 步 驟命 令說 明第1步ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個用于動態(tài)

40、NAT轉(zhuǎn)換的內(nèi)部全局地址池第2步access-list access-list-number permit source source-wildcard定義標(biāo)準(zhǔn)ACL，匹配該ACL的內(nèi)部本地地址可以動態(tài)轉(zhuǎn)換第3步ip nat inside source list access-list-number|name pool name overload配置內(nèi)部本地地址和內(nèi)部全局地址間的轉(zhuǎn)換關(guān)系第4步interface iftype mod/port進(jìn)入內(nèi)部接口配置模式第5步ip nat inside 定義該接口連接內(nèi)部網(wǎng)絡(luò)第6步interface iftype mod/port進(jìn)入外部接口配置模式第

41、7步ip nat outside 定義該接口連接外部網(wǎng)絡(luò)第53頁，共74頁，2022年，5月20日，20點8分，星期四10.5 幀中繼技術(shù)本節(jié)主要介紹了幀中繼技術(shù)的相關(guān)知識及其基本配置方法 。第54頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述1、幀中繼的概念 幀中繼(Frame Relay,FR)是面向連接的廣域網(wǎng)數(shù)據(jù)交換協(xié)議，它工作在OSI參考模型的物理層和數(shù)據(jù)鏈路層上，屬于典型的包交換技術(shù)。幀中繼的操作與X.25類似，但比X.25更有效，普遍認(rèn)為它是X.25的替代物。X.25基于模擬線路，網(wǎng)絡(luò)設(shè)施質(zhì)量較差，為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃?，鏈路層的每個節(jié)點

42、都要對收到的數(shù)據(jù)做大量的檢查和處理，如差錯校驗等，同時還要保留原始幀的副本，直到它們收到來自下一個節(jié)點的確認(rèn)消息，所以導(dǎo)致延遲較長，傳輸速率較慢。而幀中繼建立在大容量、低損耗、低誤碼率的數(shù)字線路之上，噪音較小，它舍去了x.25復(fù)雜的第三層查錯和重發(fā)機制，中間節(jié)點只轉(zhuǎn)發(fā)幀而不回送確認(rèn)幀，只是在目的節(jié)點收到一幀后才回送端到端的確認(rèn)，從而加快了網(wǎng)絡(luò)的傳輸速率。 第55頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述2、幀中繼的工作原理 節(jié)點收到幀的目的地址后立即轉(zhuǎn)發(fā)，無需等待收到整個幀并做相應(yīng)的處理后再轉(zhuǎn)發(fā)。如果幀在傳輸過程中出現(xiàn)差錯，當(dāng)節(jié)點檢測到差錯時，可能該幀

43、的大部分內(nèi)容已被轉(zhuǎn)發(fā)到了下一個節(jié)點。這使得幀中繼被歸為一種“不可靠”服務(wù)，但連接兩端的幀中繼設(shè)備負(fù)責(zé)使幀中繼成為一種可靠的服務(wù)，它們?yōu)閹欣^執(zhí)行查錯和重發(fā)機制：當(dāng)檢測到該幀有錯誤時，節(jié)點立即停止轉(zhuǎn)發(fā)，并發(fā)一個指示到下一個節(jié)點，下一個節(jié)點接到指示后立即終止轉(zhuǎn)發(fā)，將該幀丟棄，并請求源節(jié)點重發(fā)。這種正在接收一個幀時就對其轉(zhuǎn)發(fā)的方式稱為快速分組交換。幀中繼的最大帶寬可達(dá)到2Mbps。 第56頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述3、幀中繼的虛電路 幀中繼傳輸是基于虛電路的。根據(jù)建立虛電路的不同方式，可以將虛電路分為兩種類型：永久虛電路(PVC)和虛電路(S

44、VC)。 永久虛電路是永久建立的鏈路，由ISP在其幀中繼交換機靜態(tài)配置交換表實現(xiàn)，不管電路兩端的設(shè)備是否連接上，它總是為它保留相應(yīng)的帶寬。PVC減少了與虛電路的建立和終止相聯(lián)系的帶寬占用，但因為需要經(jīng)常性地保持虛電路有效，所以也相應(yīng)地增加了費用。 交換虛電路是通過某協(xié)議協(xié)商產(chǎn)生的虛電路，這種虛電路根據(jù)需要動態(tài)建立而在數(shù)據(jù)傳輸完成后就斷開，主要用于數(shù)據(jù)傳輸是偶爾發(fā)生的情況。 目前在幀中繼中使用得最多的方式是永久虛電路方式。 第57頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述4、幀中繼地址DLCI 幀中繼協(xié)議是一種統(tǒng)計方式的多路復(fù)用服務(wù)，它允許在同一物理連接

45、中共存多個邏輯連接(通常也叫做信道)，這就是說，它在單一物理傳輸線路上能夠提供多條虛電路。每條虛電路是用數(shù)據(jù)鏈路連接標(biāo)識符DLCI(Data Link Connection Identifer)來標(biāo)識的。DLCI只具有本地的意義，也就是在DTE-DCE之間有效，不具有端到端的DTE-DTE之間的有效性，即在幀中繼網(wǎng)絡(luò)中，不同的物理接口上相同的DLCI并不表示是同一個虛連接。DLCI的長度為10比特，其最大值可達(dá)1024，因此幀中繼網(wǎng)絡(luò)用戶接口上最多可支持1024條虛電路，其中用戶可用的DLCI范圍是16991。由于幀中繼虛電路是面向連接的，本地不同的DLCI連接到不同的對端設(shè)備，因此我們可以認(rèn)

46、為DLCI就是DCE提供的“幀中繼地址”。 第58頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述5、靜態(tài)地址映射 幀中繼的地址映射是把對端設(shè)備的IP地址與本地的DLCI相關(guān)聯(lián)，以使得網(wǎng)絡(luò)層協(xié)議使用對端設(shè)備的IP地址能夠?qū)ぶ返綄Χ嗽O(shè)備。幀中繼主要用來承載IP，在發(fā)送IP報文時，根據(jù)路由表只知道提出報文的下一跳IP地址。發(fā)送前必須由下一跳IP地址確定它對應(yīng)的DLCI。這個過程通過查找?guī)欣^地址映射表來完成，因為地址映射表中存放的是下一跳IP地址和DLCI的映射關(guān)系。地址映射表的每一項由服務(wù)商在幀中繼交換機中手工配置。 當(dāng)交換機收到一個數(shù)據(jù)幀時，它首先進(jìn)行CRC

47、校驗，如果正確，就從幀中取出DLCI地址，然后與地址映射表比較，該表將告訴交換機哪個輸出端口對應(yīng)于該DLCI，也就是對應(yīng)于PVC，找到對應(yīng)的輸出端口后，交換機就將該幀通過這個端口發(fā)送出去。發(fā)蜾校驗錯誤，交換機就將該幀丟棄。 第59頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述6、本地管理信息LMI 幀中繼提供了一個幀中繼交換機和DTE(路由器)之間的簡單信令，這個信令就是LMI(Local Management Interface)。LMI包括多種路由器和幀中繼交換設(shè)備間的信號標(biāo)準(zhǔn)，可用來管理和維護設(shè)備間的狀況。LMI的主要目的如下： 確定路由器知道的PV

48、C的操作狀態(tài)。 發(fā)送維持?jǐn)?shù)據(jù)包，以保證PVC始終牌滿打滿算狀態(tài)，不因暫時無數(shù)據(jù)發(fā)送而失效。 通知路由器哪些PVC可以使用。第60頁，共74頁，2022年，5月20日，20點8分，星期四10.5.1 幀中繼協(xié)議概述6、本地管理信息LMILMI有以下3種類型： Cisco:由Cisco公司和另外三家公司組成的企業(yè)聯(lián)盟定義的類型。 ANSI：由ANSI(美國國家標(biāo)準(zhǔn)協(xié)會)制定的標(biāo)準(zhǔn)。 Q933a:由ITU-T Q.933附錄A制定的標(biāo)準(zhǔn)。 在幀中繼交換機和路由器之間必須采用相同的LMI類型。通常用戶在申請PVC時，ISP會通知用戶他們所使用的LMI類型。Cisco路由器在11.2版本以后的IOS中具

49、有自動檢測LMI類型的功能。 第61頁，共74頁，2022年，5月20日，20點8分，星期四10.5.2 幀中繼協(xié)議的配置1、幀中繼配置的命令(1)開啟幀中繼交換功能 把路由器當(dāng)成幀中繼交換機，命令如下： Router(config)# frame-relay switching (2)配置幀中繼數(shù)據(jù)封裝 在接口配置模式下使用encapsulation frame-relay 命令進(jìn)行幀中繼數(shù)據(jù)封裝。命令如下： Router(config-if)# encapsulation frame-relay cisco | ietf cisco和ietf為幀中繼協(xié)議的封裝格式。cisco是Cisco路

50、由器的默認(rèn)格式，ietf為遵守IETF標(biāo)準(zhǔn)的數(shù)據(jù)封裝形式。如Cisco路由器與其他廠家路由設(shè)備相連，應(yīng)使用ietf格式。第62頁，共74頁，2022年，5月20日，20點8分，星期四10.5.2 幀中繼協(xié)議的配置1、幀中繼配置的命令 (3)設(shè)置LMI類型 Router(config-if)# frame-relay lmi-type ansi | cisco | q933a Cisco路由器默認(rèn)的LMI類型為cisco。從Cisco IOS 11.2版本開始，支持本地管理接口LMI自動識別，這使得接口自動確定交換機支持的LMI類型，用戶可以不明確配置LMI接口類型。 (4)映射協(xié)議地址與DLC

51、I號 使用靜態(tài)映射表將指定的下一個中繼協(xié)議地址映射到指定的DLCI。靜態(tài)映射不需要反向ARP請求，反向ARP是在幀中繼網(wǎng)絡(luò)中建立動態(tài)地址的一種方法。反向ARP允許路由器或訪問服務(wù)器發(fā)現(xiàn)與虛電路相聯(lián)系的設(shè)備的網(wǎng)絡(luò)協(xié)議地址。提供靜態(tài)映射時，指定DLCI上指定協(xié)議的反向ARP自動無效。第63頁，共74頁，2022年，5月20日，20點8分，星期四10.5.2 幀中繼協(xié)議的配置1、幀中繼配置的命令 當(dāng)在另一終端上的路由器根本不支持反向ARP時或當(dāng)幀中繼上的指定協(xié)議不支持反向ARP時必須使用靜態(tài)映射。定義指定協(xié)議地址與DLCI之間的靜態(tài)路由，命令如下：Router(config-if)# frame-r

52、elay map protocol protocol-address dlci broadcast protocol參數(shù)指定了所支持的協(xié)議，例如IP協(xié)議、AppleTalk協(xié)議、DECnet協(xié)議以及IPX協(xié)議等；protocol-address 參數(shù)指定了該協(xié)議的地址；dlci參數(shù)指定了虛擬電路的DLCI號；Broadcast關(guān)鍵字規(guī)定多路廣播無效時應(yīng)轉(zhuǎn)發(fā)廣播。 例如：將目標(biāo)IP地址映射到DLCI 100的實例如下：第64頁，共74頁，2022年，5月20日，20點8分，星期四10.5.2 幀中繼協(xié)議的配置1、幀中繼配置的命令 Router(config)# interface s0/0/1

53、Router(config-if)# frame-relay map ip 172.16.120.1 100 broadcast(5)定義子接口 Router(config)# interface intrface-type number sub multipoint | point-to-point 其中：multipoint為多臺路由器通過一條虛電路連接到本地路由器；point-to-point為一條路由器連接到本地路由器。第65頁，共74頁，2022年，5月20日，20點8分，星期四10.5.2 幀中繼協(xié)議的配置1、幀中繼配置的命令 (6)為子接口定義一個DLCI Router(config-if)# frame-relay interface-dlci dlci ietf | cisco 每個子接口都必須用它的DLCI進(jìn)行標(biāo)識，如有必要，可以為每個子接口設(shè)置封裝類型。沒有設(shè)置的話，那么就從主物理接口的類型繼承而來。 (7)清除動態(tài)創(chuàng)建的幀中繼連接映射 Router# clear frame-relay-ina