《網(wǎng)絡工程設計與項目實訓》-05 廣域網(wǎng)設計

*第1頁第5章廣域網(wǎng)設計*第2頁學習目標理解：廣域網(wǎng)及其協(xié)議掌握：HDLC和PPP的封裝掌握：PPP的認證學習完本次課程，您應該能夠：*第3頁課程內容

廣域網(wǎng)協(xié)議及封裝PPP認證*第4頁1廣域網(wǎng)協(xié)議及封裝學習內容廣域網(wǎng)協(xié)議HDLC的封裝PPP的封裝*第5頁1.1廣域網(wǎng)1）廣域網(wǎng)的定義廣域網(wǎng)（WideAreaNetwork，WAN）是指覆蓋范圍很廣的一種跨地區(qū)的數(shù)據(jù)通信網(wǎng)絡，其距離沒有限制。它能連接多個城市或國家，或橫跨幾個洲并能提供遠距離通信，形成國際性的遠程網(wǎng)絡。廣域網(wǎng)技術主要體現(xiàn)在OSI參考模型的物理層和數(shù)據(jù)鏈路層。大部分廣域網(wǎng)都采用存儲轉發(fā)方式進行數(shù)據(jù)交換。廣域網(wǎng)的通信子網(wǎng)主要使用分組交換技術。廣域網(wǎng)的通信子網(wǎng)可以利用公用分組交換網(wǎng)、衛(wèi)星通信網(wǎng)和無線分組交換網(wǎng)，它將分布在不同地區(qū)的局域網(wǎng)或計算機系統(tǒng)互連起來，達到資源共享的目的。如因特網(wǎng)（Internet）是世界范圍內最大的廣域網(wǎng)。*第6頁2）廣域網(wǎng)連接類型廣域網(wǎng)的連接類型主要有三種：（1）租用線路(專線)：租用線路指點到點連接或專線連接。租用線路是從本地CPE經(jīng)過DCE交換機到遠程CPE的一條預先建立的WAN通信路徑。允許DTE網(wǎng)絡在任何時候不用設備就可以傳輸數(shù)據(jù)進行通信。當不考慮使用成本時，它是最好的選擇類型。它使用同步串行線路，速率最高可達T3級帶寬(45Mb/s)。租用線路通常使用HDLC和PPP封裝類型。（2）電路交換：當你聽到電路交換這個術語時，就想一想電話呼叫。它最大的優(yōu)勢是成本低。在建立端到端連接之前不能傳輸數(shù)據(jù)。電路交換使用撥號調制解調器或ISDN，用于低帶寬數(shù)據(jù)傳輸。（3）包交換(分組交換)：這是一種WAN交換方法，允許和其他公司共享帶寬以節(jié)省資金?？梢詫粨Q想象為一種看起來像租用線路但費用更像電路交換的一種網(wǎng)絡。不利因素是：如果要經(jīng)常傳輸數(shù)據(jù)，則不要考慮這種類型，應當使用租用線路。如果是偶然突發(fā)性的數(shù)據(jù)傳輸，則包交換可以滿足需要。幀中繼和X.25是包交換技術。速率從56K/s到T3。*第7頁3）廣域網(wǎng)傳輸類型和傳輸設備

廣域網(wǎng)一般使用串行連接器進行串行傳輸，即一個信道一次只傳輸一位。廣域網(wǎng)的傳輸設備根據(jù)功能的不同，主要可分為有數(shù)據(jù)終端設備(DTE)、數(shù)據(jù)通信設備(DCE)和信道傳輸單元(CSU)、數(shù)據(jù)傳輸單元(DSU)等，路由器接口默認情況下是DTE，連接著DCE。DCE網(wǎng)絡能為路由器提供時鐘速率，如果沒有CSU/DSU設備，那么需要通過clockrate命令為電纜的DCE一端設置時鐘速率，可以通過showcontrollerss0查看是否配置了時鐘速率。DCE設備：CSU/DSU。DTE設備：EIA/TIA-232、EIA/TIA-449、EIA-530、V.35(用于連接CSU/DSU)、X.21(用于連接X.25)、HSSI等。常用的網(wǎng)絡連接方法：DTE---CSU/DSU--DCE--CSU/DSU---DTE。在實驗環(huán)境中一般采用的連接方法為DTE---DCE。*第8頁4）廣域網(wǎng)的協(xié)議廣域網(wǎng)使用的協(xié)議有幀中繼、ISDN、LAPB、LAPD、HDLC、PPP、ATM等。HDLC（High-LevelDataLinkControlProtocol高級數(shù)據(jù)鏈路控制協(xié)議）是一個在同步網(wǎng)上傳輸數(shù)據(jù)、面向比特的、點到點的數(shù)據(jù)鏈路層協(xié)議，它是由國際標準化組織（ISO）根據(jù)IBM公司的SDLC（SynchronousDataLinkControl）協(xié)議擴展開發(fā)而成的。HDLC使用幀特性和校驗以及在同步串行數(shù)據(jù)鏈路上的封裝方法。沒有任何認證可以用于HDLC。HDLC具有效率高、實現(xiàn)簡單的特點。*第9頁HDLC工作過程可以分成建立連接、數(shù)據(jù)傳輸、超時斷連三個階段：（1）協(xié)商建立連接階段：HDLC每隔10秒互相發(fā)送鏈路探測的協(xié)商報文，報文的收發(fā)順序是由序號決定的，序號失序則造成鏈路斷連。這種用來探詢點到點鏈路是否處于激活狀態(tài)的報文稱為?；睿↘eepAlive）報文。（2）數(shù)據(jù)傳輸階段：將數(shù)據(jù)封裝成HDLC報文進行傳輸。在數(shù)據(jù)傳輸過程中，仍然進行?；顖笪牡慕换ィ蕴綔y鏈路的合法有效性。（3）超時斷連階段：當HDLC接口連續(xù)10次無法收到對方的確認信息時，HDLC協(xié)議LineProtocol由UP轉為Down。此時鏈路處于斷開狀態(tài)，數(shù)據(jù)無法通信。*第10頁HDLC的幀結構有兩種類型，一種是ISOHDLC幀結構，一種是CiscoHDLC幀結構。ISOHDLC采用SDLC的幀格式，支持同步，全雙工操作，分為物理層及LLC兩個子層，其幀結構如圖5.1.1所示，ISOHDLC的幀由標志字段、地址字段、控制字段、數(shù)據(jù)字段、幀校驗序列字段等組成。CiscoHDLC是從ISO3309發(fā)展來的，其幀格式比ISOHDLC幀格式多了一個專用字段，以提供對多協(xié)議環(huán)境的支持。ISOHDLC只能支持單協(xié)議環(huán)境。*第11頁圖5.1.1ISOHDLC與CiscoHDLC幀格式

*第12頁銳捷路由器的同步串行口默認封裝CiscoHDLC，所以銳捷路由器可以和Cisco路由器直接相連，但如果把銳捷路由器和不支持CiscoHDLC的路由器相連，就需要采用其它協(xié)議（如PPP）。PPP協(xié)議是一種點對點串行通信協(xié)議。PPP協(xié)議是IETF在1992年制定的，經(jīng)過1993年和1994年的修訂，現(xiàn)在的PPP協(xié)議在1994年就已成為因特網(wǎng)的正式標準[RFC1661]。PPP具有處理錯誤檢測、支持多個協(xié)議、允許在連接時協(xié)商IP地址、允許身份認證等功能。PPP提供了3類功能：成幀；鏈路控制協(xié)議LCP；網(wǎng)絡控制協(xié)議NCP。PPP是面向字符類型的協(xié)議。PPP協(xié)議由于能夠提供用戶驗證、易于擴充和支持同異步而獲得較為廣泛的應用。*第13頁1.2廣域網(wǎng)協(xié)議的配置和案例1）廣域網(wǎng)協(xié)議配置命令廣域網(wǎng)協(xié)議配置的主要命令及格式如下：（1）配置接口的封裝協(xié)議。命令格式：Router(config-if)#encapsulationhdlc|PPP

說明：用來指明此接口上使用封裝的協(xié)議，比如HDLC、PPP、Frame-relay等。同步口上默認值封裝的協(xié)議是HDLC，如果從其他協(xié)議改變封裝到HDLC協(xié)議，需要使用encapsulation命令指定。*第14頁（2）配置?；铋g隔時間。命令格式：Router(config-if)#keepaliveseconds

說明：Seconds：同步口的HDLC可以配置的參數(shù)只有KeepAlive的間隔時間，默認值是10s，可以根據(jù)鏈路的流量來設置這個時間。*第15頁（3）設置時鐘速率命令格式：Router(config-if)#clockrateclockrate

說明：Clockrate：取值范圍：從1200-4000000中選取。（4）打開同步口接口的報文調試開關，實現(xiàn)對HDLC協(xié)議的監(jiān)控Router(config)#debugserialinterface

debugserialinterface命令來觀察所有端口上所接收的保活信息。*第16頁2）案例某網(wǎng)絡的拓撲結構與各設備的IP地址如圖5.1.2所示，二個路由器之間使用串行線路。如果現(xiàn)在要求二個路由器之間使用HDLC協(xié)議進行封裝，且時鐘速率為64000bps，請配置，并驗證。*第17頁（1）路由器Router0上的協(xié)議封裝配置主要是指明封裝的協(xié)議為HDLC，并設置速率為64000bps。Router0(config)#interfaceserial1/0

Router0(config-if)#encapsulationhdlc

Router0(config-if)#clockrate64000（2）路由器Router1上的協(xié)議封裝配置主要是指明封裝的協(xié)議為HDLC。Router1(config)#interfaceserial1/0

Router1(config-if)#encapsulationhdlc

（3）驗證在PC0上ping通PC1，切換到模擬狀態(tài)下，查看包的傳輸情況，當ICMP包傳到Router0時，打開數(shù)據(jù)包，如圖5.1.3所示。圖5.1.3廣域網(wǎng)協(xié)議數(shù)據(jù)包*第18頁圖5.1.4廣域網(wǎng)協(xié)議封裝查看可以看到，ICMP包進入路由器時，在第二層是EthernetII的幀格式，從路由器串口出去時，已變?yōu)镠DLC的幀格式。*第19頁*第20頁課程內容

廣域網(wǎng)協(xié)議及封裝PPP認證*第21頁2PPP認證主要內容PPP協(xié)議認證PPPPAP認證PPPCHAP認證*第22頁2.1PPP協(xié)議及其工作機制PPP協(xié)議是一種應用廣泛的點到點鏈路協(xié)議，主要用于點到點連接的路由器間的通信。PPP協(xié)議是為了同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設計的鏈路層協(xié)議。設計的目的是用來通過撥號或專線方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網(wǎng)橋和路由器之間簡單連接的一種共通的解決方案。*第23頁1）PPP的工作流程（1）PPP在建立鏈路之前將首先進行LCP協(xié)商，協(xié)商內容包括工作方式是SP還是MP、驗證方式和最大傳輸單元等項目；（2）LCP協(xié)商過后就進入了Eastablish階段，此時LCP狀態(tài)為opened，表示鏈路已經(jīng)建立；（3）如果配置了驗證（遠端驗證本地或者本地驗證遠端）就進入Authenticate階段，開始CHAP或PAP驗證；*第24頁（4）如果驗證失敗，進入Terminate階段，拆除鏈路，LCP狀態(tài)轉為closed；如果驗證成功，就進入Network協(xié)商階段（NCP），此時LCP狀態(tài)仍為opened，而IPCP和IPXCP狀態(tài)從closed轉為opened；（5）NCP支持IPCP、IPXCP和BRIDGECP協(xié)商，IPCP協(xié)商主要包括雙方的IP地址，IPXCP協(xié)商主要包括雙方的網(wǎng)絡號和節(jié)點號，BRIDGECP協(xié)商主要包括雙方的MAC地址、MAC地址類型、生成樹和Bridge標識。通過NCP協(xié)商來選擇和配置一個或多個網(wǎng)絡層協(xié)議。每個選中的網(wǎng)絡層協(xié)議配置成功后，該網(wǎng)絡層協(xié)議就可通過這條鏈路發(fā)送報文了。（6）該鏈路將一直保持通信，直至有明確的LCP或NCP幀關閉這條鏈路，或發(fā)生了某些外部事件。*第25頁2）PPP的驗證方式

PPP支持二種驗證方式，即PAP和CHAP。（1）PAPPAP是一種簡單的明文驗證方式。PAP為2次握手驗證，口令為明文，PAP驗證過程如下：被驗證方發(fā)送用戶名和口令到驗證方；驗證方根據(jù)用戶配置查看是否有此用戶以及口令是否正確，然后返回不同的響應。*第26頁（2）CHAPCHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。CHAP為3次握手驗證，口令為密文（密鑰）。CHAP驗證過程如下：驗證方向被驗證方發(fā)送一些隨機產(chǎn)生的報文；被驗證方用自己的口令字和MD5算法對該隨機報文進行加密，將生成的密文發(fā)回驗證方；驗證方用自己保存的被驗證方口令字和MD5算法對原隨機報文加密，比較二者的密文，根據(jù)比較結果返回不同的響應。*第27頁2.2配置PAP驗證1）配置PAP服務端服務端需要配置一個數(shù)據(jù)庫，保存客戶端的用戶名和密碼。（1）在服務器上配置PAP驗證命令格式：Router(config)#usernameusernamepassword

password

Router(config)#interfaceinterface-id

Router(config-if)#encapsulationppp

Router(config-if)#pppauthenticationpap

參數(shù)說明：Username與password分別表示用于向數(shù)據(jù)庫中添加客戶端的用戶名和密碼。interface命令用于指定要配置的接口，必須是Serial口，interface-id是接口號。encapsulationppp命令指定該接口采用PPP協(xié)議封裝。pppauthenticationpap命令用于在該接口上啟用PAP驗證。*第28頁（2）取消配置的PAP驗證：命令格式：Router(config)#interfaceinterface-id

Router(config-if)#nopppauthenticationpap

*第29頁配置舉例1：網(wǎng)絡中的二個路由器Router0與Router1之間需要配置PAP認證，現(xiàn)已知路由器Router0作為服務器，使用串口serial1/0連向客戶端路由器Router1?，F(xiàn)假設用戶名為bob，密碼為abcde。服務器端（路由器Router0）方的配置如下：*第30頁Router0>enableRouter0#configure

terminalRouter0(config)#usernamebobpasswordabcdeRouter0(config)#interfaceserial1/0Router0(config-if)#encapsulationpppRouter0(config-if)#pppauthenticationpap*第31頁2）配置PAP客戶端在PAP驗證中，客戶端需要向服務端發(fā)送用戶名和密碼，由服務端檢查用戶的合法性。在客戶端配置PAP驗證：命令格式：Router(config)#interfaceinterface-id

Router(config-if)#encapsulationppp

Router(config-if)#ppppapsent-usernameusernamepasswordpassword

參數(shù)說明：interface命令用于指定要配置的接口，必須是Serial口，interface-id是接口號。encapsulationppp命令指定該接口采用PPP協(xié)議封裝。ppppapsent-username命令配置PAP驗證發(fā)送的用戶名和密碼，該名字和密碼必須和服務端數(shù)據(jù)庫中的名字和密碼相同。*第32頁配置舉例2：下面是例1中客戶端的配置。它在Serial1/0口配置了PPP協(xié)議以及PAP驗證所需的用戶名和密碼，這里的用戶名和密碼由服務端提供。Router1>enableRouter1#configureterminalRouter1(config)#interfaces1/0Router1(config-if)#encapsulationpppRouter1(config-if)#ppppapsent-usernamebobpasswordabcde*第33頁3）配置雙向PAP驗證PAP驗證可以配置為雙向的，兩端都需要驗證對方的身份，只有雙方的驗證都通過了，PPP連接才會建立。*第34頁配置舉例3：下面ROUTER0和ROUTER1之間的PPP連接采用PAP驗證，驗證的用戶名都為aaa，密碼都為123。ROUTER0>enableROUTER0#configureterminalROUTER0(config)#usernameaaapassword123ROUTER0(config)#interfaces1/0ROUTER0(config-if)#encapsulationpppROUTER0(config-if)#ppppapsent-usernameaaapassword123ROUTER0(config-if)#pppauthenticationpap*第35頁ROUTER1>enableROUTER1#configureterminalROUTER1(config)#usernameaaapassword123ROUTER1(config)#interfaces1/0ROUTER1(config-if)#encapsulationpppROUTER1(config-if)#ppppapsent-usernameaaapassword123ROUTER1(config-if)#pppauthenticationpap為了簡化PAP驗證的配置，我們通常把兩端驗證的用戶名和密碼設置成相同的。如果一臺路由器需要配置多個接口的PAP驗證，通常也只配置一個公用用戶名和公用密碼，這已經(jīng)可以起到驗證效果，而配置過程可以簡化許多。*第36頁2.3配置CHAP驗證1）配置CHAP服務端服務端需要配置一個數(shù)據(jù)庫，保存客戶端的用戶名和密碼。（1）配置服務器端的CHAP驗證的命令配置命令格式：Router(config)#usernameusernamepasswordpassword

Router(config)#interfaceinterface-id

Router(config-if)#encapsulationppp

Router(config-if)#pppauthenticationchap

參數(shù)說明：Username與password分別表示用于向數(shù)據(jù)庫中添加客戶端的用戶名和密碼。interface命令用于指定要配置的接口，必須是Serial口，interface-id是接口號。encapsulationppp命令指定該接口采用PPP協(xié)議封裝。pppauthenticationchap命令用于在該接口上啟用CHAP驗證。*第37頁（2）取消配置的CHAP驗證命令格式：Router(config)#interfaceinterface-id

Router(config-if)#nopppauthenticationchap*第38頁配置舉例4：網(wǎng)絡中的二個路由器ROUTER0與ROUTER1之間需要配置CHAP認證，現(xiàn)已知路由器ROUTER0作為服務器，使用串口serial1/0連向路由器ROUTER1?，F(xiàn)假設用戶名為bob，密碼為abcde。服務器端（路由器ROUTER0）方的配置如下：*第39頁ROUTER0>enableROUTER0#configureterminalROUTER0(config)#usernamebobpasswordabcdeROUTER0(config)#interfaces1/0ROUTER0(config-if)#encapsulationpppROUTER0(config-if)#pppauthenticationchap*第40頁2）配置CHAP客戶端CHAP客戶端有配置有二種方式，一種是顯式地指明服務器注冊好的用戶名；另一種是以自己的主機名作為用戶名，向服務器進行認證。（當然，客戶端的用戶名事先已在服務器端進行注冊）*第41頁（1）顯示指明用戶名如果服務端要求進行CHAP驗證，客戶端需要使用服務端提供的用戶名和密碼加密詢問消息。命令格式：Router(config)#interfaceinterface-id

Router(config-if)#encapsulationpppRouter(config-if)#pppchaphostnameusername

Router(config-if)#pppchappasswordpassword

參數(shù)說明：interface命令用于指定要配置的接口，必須是Serial口，interface-id是接口號。encapsulationppp命令指定該接口采用PPP協(xié)議封裝。pppchaphostname命令配置CHAP驗證使用的用戶名，該名字必須和服務端數(shù)據(jù)庫中的名字相同。pppchappassword命令配置CHAP驗證使用的密碼，該密碼必須和服務端數(shù)據(jù)庫中的密碼相同。*第42頁配置舉例5：本例中ROUTER1是客戶端，它在Serial1/0口配置了PPP協(xié)議以及CHAP驗證所需的用戶名和密碼，這里的用戶名和密碼由服務端提供。ROUTER1>enableROUTER1#configureterminalROUTER1(config)#interfaces1/0ROUTER1(config-if)#encapsulationpppROUTER1(config-if)#pppchaphostnamebobROUTER1(config-if)#pppchappasswordabcde*第43頁（2）使用客戶端的主機名作為用戶名在默認情況下，客戶端把自己的主機名作為CHAP驗證的用戶名使用，所以可以把服務端提供的用戶名設置為主機名進行CHAP驗證。*第44頁配置舉例6：本例把ROUTER1路由器的名字設置為驗證使用的用戶名，在Serial1/0口只需配置PPP協(xié)議以及CHAP驗證所需的密碼即可。ROUTER1>enableROUTER