青年通信技术业务培训第二讲.ppt

铁通网络基础培训 第二讲 中国铁通广东分公司 邓晓云,邓晓云(中国铁通广东分公司省网管中心） 手机：13570001555 座机 ：020-61323516（057-23516） 邮箱：dengxycttgd.com QQ:40045428,主要课程内容,一 IP配置 1.1 IP配置命令与辅助寻址 1.2 配置静态路由 1.3 配置默认路由 1.4 配置RIP路由选择 1.5 配置IGRP路由选择 1.6 配置EIGRP路由选择 1.7 配置OSPF路由选择 1.8 配置IP主机表 1.9 配置DNS 和DHCP穿透,主要课程内容,二 用访问列表管理流量 2.1 标准IP访问列表 2.2 扩展IP访问列表 2.3 名称访问列表 2.4 检查访问列表,主要课程内容,三、广域网 3.1 HDLC 3.2 PPP 3.3 帧中继,主要课程内容,四、 虚拟局域网 4.1 生成树协议 4.2 交换和VLAN 4.3 配置VLAN,主要课程内容,五、NAT 5.1NAT介绍 5.2 NAT的配置,一、IP 配 置,一、IP配置,T C P / I P是现在使用的最流行的网络协议。本部分课程的I P配置部分，主要涉及路由器接口、路由器之间利用IP进行互通。,一、IP配置,1.1 IP配置命令与辅助地址 为路由器接口配置主要的IP地址的命令格式： ip address 分配的IP地址 掩码 举例： config t interface ethernet 0 ip address 172.16.1.1 255.255.255.0,一、IP配置,1.1 IP配置命令与辅助地址 在以太网接口上，允许在同一接口上配置多个不同子网的IP地址，其中有一个地址称为primary address，其他的IP都称为 secondary address，配置时需要添加secondary参数。 举例： config t interface ethernet 0 ip address 172.16.1.1 255.255.255.0 （主IP） ip address 172.16.2.1 255.255.255.0 secondary,一、IP配置,1.1 IP配置命令与辅助地址 Cisco的点对点接口支持借用I P（）,使该接口借用另一个出口到IP地址生成IP报文，从而使得I P穿越接口，而不指定一个明确的接口I P地址，其优点是不用为链路分配IP从而节约宝贵的IP地址资源。 举例： config t interface ethernet 0 ip address 172.16.1.1 255.255.255.0 interface serail1 Ip unnumbered ethernet 0 例中的点对点连接serial 1使用E t h e r n e t0接口地址而在链路上进行通信,一、IP配置,1.2 静态路由配置 静态路由就是手工配置各网段的路由 优点：(1)路由器的日常开销较低，因为它并不实时计算和发送路由器更新。 (2)在两个目的地之间的路径总是已知的时候有利于减少故障点 缺点:可扩展性很差,不适用于大中型网络。,一、IP配置,1.2 静态路由配置 命令格式 例： Config t Ip route 172.16.1.0 255.255.255.0 10.0.0.1 Ip route 172.16.1.0 255.255.255.0 serail1 Ip route 172.16.1.0 255.255.255.0 10.0.0.1 150,一、IP配置,1.2 静态路由配置 静态路由的管理距离为1 （在同样的一个网段的各种路由协议产生的路由中，管理距离数值较小的路由会优先放进全局路由表中),一、IP配置,1.2 静态路由配置 如图网络,一 IP配置,1.2 静态路由配置,一 IP配置,1.2 静态路由配置,一 IP配置,1.2 静态路由配置,一、IP配置,1.3 配置默认路由 默认路由规定了将非本地数据包发往何处。路由器假设它可以将数据包发往默认路由器，并且那个路由器知道如何处理。这个特性仅仅在关闭I P路由选择时才使用。通常仅仅用在S t u b网络中。 Ip default route 下一跳地址 Ip default-gateway下一跳地址,Stub网络,Internet,默认路由,一、IP配置,1.3 配置默认路由 默认路由扩展用法：无具体路由匹配的数据包发往上行路由器，上行路由器知道如何处理。可以简化路由配置 配置命令： Ip route 0.0.0.0 0.0.0.0 下一跳地址,Internet,默认路由,一、IP配置,1.4 配置RIP路由选择 启用R I P路由协议： Router rip 停用Rip路由协议 No router rip 指定版本 Version 1/2 在路由协议中宣告路由 Network 网络前缀 （version1只支持自然掩码） 在接口上抑制rip更新报文的发送 Passive interface 接口 例： Router rip Version 2 Network 192.168.1.0 Passive interface ethernet 0,一、IP配置,1.4 配置RIP路由选择 R I P时间间隔的配置： Timers basic 更新间隔（update） 无效时间（unvalid) 抑制时间（holddown） 更新路由表时间(flush) 默认情况下，每隔3 0秒发送R I P更新。通过U P D AT E参数可以改变这个时间。 当在特定的时间后没有从某个路由接收到更新，则声明该路由无效。是用I N VA L I D参数设置的。这个数通常是发送R I P更新周期的三倍。 现在当路由非法时，它进入了抑制周期，缺省秒，在抑制的间隔内，路由器不允许加入其他路径发过来的此条路由的信息，只允许最初的更新源发送过来的通告该网络又可达，或者其他路由器发送过来的到达该网络的并且比该路由器以前的metric更好的的通告。 最后的一个设置， F L U S H，规定了从路由选择表中刷新路由所需要的时间。它必需至少与I N VA L I D和H O L D D O W N的和相等,一、IP配置,1.配置IGRP路由选择 启用路由协议： Router igrp as号 停用路由协议 No router igrp as号 在路由协议中宣告路由 Network 网络前缀 在接口上抑制rip更新报文的发送 Passive interface 接口 例： Router igrp 20 Network 192.168.1.0 IGRP路由也可以配置Timers basic各时间阀值,一、IP配置,1.配置IGRP路由选择,一、IP配置,1.配置IGRP路由选择,一、IP配置,1.配置IGRP路由选择,一、IP配置,1.6配置EIGRP路由选择 启用E路由协议： Router eigrp as号 停用E路由协议 No router eigrp as号 在路由协议中宣告路由 Network 网络前缀 关闭自动汇总 No auto-summary 在接口上抑制rip更新报文的发送 Passive interface 接口 重发布（引入）其他路由协议的路由 Redistribute 其他路由协议 metric route-map EIGRP路由也可以配置Timers basic各时间阀值,一、IP配置,1.6配置EIGRP路由选择,一、IP配置,1.7配置ospf路由选择 启用ospf路由协议： Router ospf 进程号 停用ospf路由协议 No router ospf 进程号 在路由协议中宣告路由 Network 网络前缀 反掩码 Area 区域号 关闭自动汇总 No auto-summary 重发布（引入）其他路由协议的路由 Redistribute 其他路由协议 metric route-map,一、IP配置,1.8配置IP主机表 Cisco路由器提供本地主机名地址映射表。 当建立使用这个映射表，可以指定在建立连接时使用的T C P端口号。默认值是Te l n e t端口2 3。 可以将多个I P地址绑定在主机名上，直至达到最大值8。访问时按顺序访问。 配置命令： Ip host hostname tcp-port-number address1 address2-address8 使用列表时直接输入hostname即可利用原先配置号的tcp端口与目标地址建立连接。,一、IP配置,1.9 配置DNS与DHCP DNS配置：ip host只是本地的主机名映射表，在路由器上配置DNS可以做网络域名的解释 配置： 启动域名查询功能 ip domain-lookup 配置域名服务器 ip name-server server1 server2 server6 关闭域名查询功能 no ip domain-lookup,一、IP配置,1.9 配置DNS与DHCP 转发DHCP请求 默认情况下，C i s c o路由器(或者这方面的其他任何路由器)都不会转发基于广播的 U D P数据包。如果需要传递U D P类型的数据报文，则可使用I P helper-address 语句中加入主机地址。助手地址语句将把在那个接口上接受的选定协议转发到指定的主机地址。 这个命令要使用在接受客户的广播请求的接口上。当转发广播时，路由器修改其目标地址为IP HELPER-ADDRESS命令指定的地址。如果那个地址是一个主机地址，请求将作为单播而转发。如果它是一个直接广播地址，它将作为一个直接广播而转发 配置命令： Interface Ethernet0 Ip helper-address 192.168.1.2,一、IP配置,1.9 配置DNS与DHCP 转发DHCP请求 当调用IP HELPER-ADDRESS语句时，来自某个端口的U D P数据包将按照默认值转发，以下UDP广播在默认情况下是被转发的: Trivial File Transfer (TFTP) (port 69) Domain Name System (port 53) Time service (port 37) NetBIOS Name Server (port 137) NetBIOS Datagram Server (port 138) Boot Protocol (BootP) client and server datagrams (port 67) TACACS service (port 49) DHCP协议是调用Bootp协议实现的， Bootp协议使用的UDP端口号是67和68，因此要转发67、68的UDP数据报文 配置命令： Ip forward-protocol udp 67/ bootps Ip forward-protocol udp 68/ bootpc,一、IP配置,1.7 配置DNS与DHCP,二、访问控制列表,二、用访问列表管理流量,2.1访问控制列表 数据包过滤用来控制跨越网络的数据流。通过实现它，可以限制网络通信量，限制网络访问到特定的用户和设备。在C i s c o路由器上，可通过使用访问列表来执行数据包过滤。,虚拟会话 (IP),端口上的数据传输,二、用访问列表管理流量,2.1访问控制列表 访问列表可用来控制网络上数据包的传递，限制虚拟终端线路的通信量或者控制路由选择更新。使用时先配置访问规则，再吧规则应用在路由器的接口上，可在接口上对出方向和入方向的数据报文分别进行控制。 入方向：对进入路由器的数据报文检查接口是否存在访问控制列表，存在时进行规则匹配，允许的则进行报文转发，禁止的则丢弃报文。,Inbound Interface Packets,N,Y,Packet Discard Bucket,Y,Access List?,Test Access List Statements,Permit ?,N,Routing Table Entry ?,二、用访问列表管理流量,2.1访问控制列表 出方向：对需要路由器转发的数据报文，进行路由表匹配后查询到要转发的出方向接口，再检查出方向检查是否存在访问控制列表，存在时进行规则匹配，允许的则进行报文转发，禁止的则丢弃报文。,二、用访问列表管理流量,2.1访问控制列表 对于每个访问列表，可输入规则来允许或者禁止数据包，访问列表用号码来标识 IP standard access list IP extended access list Protocol type-code access list 48-bit MAC address access list Extended 48-bit MAC address access list IP standard access list (expanded range) IP extended access list (expanded range) MPLS access list,二、用访问列表管理流量,2.1访问控制列表 访问控制列表工作机制 路由器使用反掩码（wildcard mask）与源或目标地址一起来分辨匹配的地址范围。在子网掩码中，将掩码的一位设成1表示I P地址对应的位属于网络地址部分。 相反，在访问列表中将反掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们。掩码位设成0则表示I P地址中相对应的位必须精确匹配。,do not check address(ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits(match all),ignore last 4 address bits,check last 2 address bits,Examples,二、用访问列表管理流量,2.1访问控制列表 访问控制列表工作机制 反掩码可以看成子网掩码取反 例 124.220.7.0 0.0.0.255 匹配从124.220.7.0到124.220.7.255所有I P地址 193.62.0.0 0.0.255.255 匹配193.62.0.0到193.62.255.255中所有的I P地址 172.16.16.0 0.0.7.255 匹配172.16.16.0到172.16.24.255中所有的I P地址 192.168.1.64 0.0.0.31 匹配192.168.1.64到192.168.1.91中所有的IP地址 Host 111.110.1.2 匹配主机111.110.1.2，等于111.110.1.2 0.0.0.0 Any 匹配任意一个IP地址,等于0.0.0.0 255.255.255.255,二、用访问列表管理流量,2.1访问控制列表 访问控制列表工作机制 I P访问列表是应用于I P地址的允许permit和禁止deny规则的集合。对于每个数据包，路由器顺序执行每个访问列表中的规则。如果路由器到达了访问列表的底端而没有找到与该数据包相匹配的语句，则遗弃该数据包(这叫作隐式DENY NY)。因此，每个访问列表都必须包含至少一个允许的语句是十分重要的。 由于第一个匹配的语句将执行，所以顺序是十分重要的。最严格控制的访问控制列表应该放在最上面，同时要注意访问列表不能过滤由路由器自己产生的数据 以下配置的结果是不允许源地址192.168.1.1的数据包通过，而192.168.1.2-192.168.1.255地址允许通过。 Acess-list 1 deny host 192.168.1.1 Access-list 1 permit host 192.168.1.0 0.0.0.255 以下配置的结果则允许源地址192.168.1.1的数据包通过，而192.168.1.2-192.168.1.255地址则不允许通过。 Access-list 1 permit host 192.168.1.1 Acess-list 1 deny host 192.168.1.0 0.0.0.255 以下配置的结果是允许源地址192.168.1.0-192.168.1.255的数据包通过,deny语句没有被匹配上 Access-list 1 permit host 192.168.1.0 0.0.0.255 Acess-list 1 deny host 192.168.1.1,二、用访问列表管理流量,2.1访问控制列表 有三种基本的I P访问列表：标准型、扩展型和动态扩展型。 标准访问列表：仅匹配源地址作为使用规则。 扩展访问列表：同时使用源地址和目标地址、协议类型来过滤。 动态扩展访问列表：通过认证过程对每个用户确定对目标的访问权。,二、用访问列表管理流量,2.2 标准访问控制列表 配置命令： 配置规则 ACCESS-LIST access-list-number D E N Y | P E R M I T HOST SOURCE | S O U R C E s o u rc e - w i l d c a rd | A N Y access-list-number配置范围是1-99 1300-1999 在接口上应用 Interface ethernet 0 IP ACCESS-GROUP access-list-number IN|OUT,二、用访问列表管理流量,2.2 标准访问控制列表 例一：,在E0和E1接口上，只允许源地址为172.16.0.0-172.16.255.255 的数据包转发，其他地址数据包不能转发,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,二、用访问列表管理流量,2.2 标准访问控制列表 例二：,在E0接口上，不允许源地址为172.16.4.13的数据包转发,其他任意地址的数据包可转发,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,二、用访问列表管理流量,2.2 标准访问控制列表 例三：,在E0接口上，不允许源地址为172.16.4.0-172.16.4.255的数据包转发，其他源地址段的数据包可以转发,access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,二、用访问列表管理流量,2.2 标准访问控制列表 在vty虚拟终端接口上也可配置访问控制列表，从而控制登录路由器的IP地址的合法性，需要在所有vty通道上设置相同的限制条件。,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),Router#,e0,access-list 1 permit 172.16.4.0 0.0.0.255 access-list 1 permit host 192.168.1.172 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) Line vty 0 4 access-classs 1 in,二、用访问列表管理流量,2.3 扩展访问控制列表 配置命令： 配置规则 access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log access-list-number配置范围是100-199 2000-2699 protocolip, tcp, udp, icmp, igrp, eigrp, ospf and etc ip = any internet protocol operatorlt, gt, eq, neq porta port number or application name (i.e. “23” or “telnet”) Established -only allow established tcp session coming in (ack or rst bit must be set) log-generates a console message when a packet matches the access-list statement 在接口上应用 Interface ethernet 0 IP ACCESS-GROUP access-list-number IN|OUT,二、用访问列表管理流量,2.3 扩展访问控制列表 例一：,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,二、用访问列表管理流量,2.3 扩展访问控制列表 例二：,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,二、用访问列表管理流量,2.4 名称访问控制列表 配置命令： 配置规则 Router(config)# ip access-list standard | extended name Router(config std- | ext-nacl)# permit | deny ip access list test conditions Router(config std- | ext-nacl)# permit | deny ip access list test conditions Router(config std- | ext-nacl)# no permit | deny ip access list test conditions 允许和拒绝语句不需要指定访问列表编号,由路由器自动分配访问列表编号 可以直接删除列表中的规则，使用访问列表编号标准和扩展的使用no命令时将整个访问控制列表删除 在接口上应用 Interface ethernet 0 IP ACCESS-GROUP name IN|OUT,二、用访问列表管理流量,2.5 检查访问控制列表 检查接口上配置的访问控制列表： wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled ,二、用访问列表管理流量,2.5 检查访问控制列表 检查访问控制列表内容 Show access-list,三、广域网,三、 广域网,广域网的定义： 广域网WAN的定义随着现在技术的发展而变得模糊。广域网可以看为把各种DTE连接起来的那部分网络，即通过运营商提供的DCE网络。,Service Provider,三、 广域网,广域网连接类型： 租用线路(Leased lines)：从本地设备租用传输电路到达远端设备，常使用HDLC和PPP封装类型 电路交换(Circuit switching) ：电路交换使用拨号调制解调器或ISDN, DSL等技术，来进行数据传输。 包交换(Packet switching)： 这是一种WAN交换方法,允许和其他公司共享带宽以节省资金。帧中继和X.25是包交换技术，MPLS 也属于这种范畴。,同步串口,Telephone Company,异步串口,Service Provider,同步串口,三、 广域网,广域网技术: 广域网连接技术： HDLC高级数据链路控制(High Level Data Link Control,HDLC)是从同步数据链路控制(SDLC)演变来的。HDLC是位于数据链路层的协议,协议开销很小。HDLC不能在同一个链路上封装多种网络层协议。HDLC报头在封装内不携带任何协议类型标识。因为这个原因,每个厂商使用自己的方法标识网络层协议, 因此每个厂商的HDLC只能专用于自己的设备，不通厂商之间不能互通。 PPP 点到点协议(Pont to Point Protocol,PPP)是一个工业标准协议。它使用数据链路层报头中的网络控制协议Network Contro1 Protocol字段来标识网络层协议。允许认证和多链路连接,并且可以在同步和异步链路上运行。 帧中继 帧屮继是一种在 世纪90年代初期形成的包交换技术,是一个提供高性能的数据链路层和物理层的规范。帧中继是X.25的后继协议,但没有使用X.25来补偿物理层出错(线路躁声)所使用的技术。帧中继比点到点链路更划算,并且可以运行在64Kbs45Mb/s(T3)之间。帧中继提供动态分配带宽和拥塞控制特性。,三、 广域网,广域网技术: PPPoE ：将PPP帧封装在以太帧内,它常用于连接DSL服务。它拥有许多类似PPP协议的特点,如认证、加密和压缩;但由于二层封装PPPoE最大的传输单元(MTU)比标准的以太网传输单元要小。 CabIe ：把光纤和同轴电缆合并在一起形成了一个宽频带网络（HFC），通过电缆TV(CATV)线路接入,网络服务的上传和下载的带宽分别达到.5Mb/s和27Mb/s。 DSL ：数字用户线路(Digital subsciber line,DSL)应用在传统双绞铜质电话线上提供高速率数据和视频传输,数据的传输速度受到线路长度和质量的限制。数字用户线路一种如拨号、电缆或者无线技术的物理层的传输技术。DSL连接建立在用户末端的调制解调器,电话线分布在用户modem和数字用户线路接入复用器DSLAM)之间。,三、 广域网,广域网技术: MPLS 多协议标记交换(MultiProtocol Label Switching,MPLS)是一种在包交换网络上模仿电路交换网络一些性能的数据传输机制。MPLS是一种交换机制,它为每个数据包提供一个标记(Label）并使用这个标记转发数据包。标记放置在MPLS的头部,并且是MPLS网络内转发的唯一标识。标记通常对应于到达第3层目的地址(相当于基于IP地址的路由)的一条路径。MPIE支持不同于TCP/IP协议的转发。正因如此,在网络中,标记交换扮演着第3层协议的角色。在大型的网络中, 仅有的实现路由查找只有边缘路由器，所有的核心路由器转发包都是基于标记的,可以在服务提供商的网络上更快地转发包(当今,大部分公司都用MPLS取代帧中继网络)。 ATM 异步传输模式(Asynchronous Transfer Mode）是为对实时性要求很高的流量创建的协议,提供同时传输声音、视频和数据的能力。ATM使用信元代替包,具有固定的53字节长度。也使用同步时钟(扩展时钟)帮助数据更快地传输。一般来说,今天所使用的帧中继,实际上就是在ATM上运行的。,三、 广域网,广域网技术: MPLS 多协议标记交换(MultiProtocol Label Switching)是一种在包交换网络上模仿电路交换网络一些性能的数据传输机制。MPLS是一种交换机制,它为每个数据包提供一个标记(Label）并使用这个标记转发数据包。标记放置在MPLS的头部,并且是MPLS网络内转发的唯一标识。标记通常对应于到达第3层目的地址(相当于基于IP地址的路由)的一条路径。MPIE支持不同于TCP/IP协议的转发。正因如此,在网络中,标记交换扮演着第3层协议的角色。在大型的网络中, 仅有的实现路由查找只有边缘路由器，所有的核心路由器转发包都是基于标记的,可以在服务提供商的网络上更快地转发包(当今,大部分公司都用MPLS取代帧中继网络)。 ATM 异步传输模式(Asynchronous Transfer Mode）是为对实时性要求很高的流量创建的协议,提供同时传输声音、视频和数据的能力。ATM使用信元代替包,具有固定的53字节长度。也使用同步时钟(扩展时钟)帮助数据更快地传输。一般来说,今天所使用的帧中继,实际上就是在ATM上运行的。,三、 广域网,3.1 高速链路控制协议HDLC HDLC使用帧特性、效验和规定数据在同步串行数据链路上的封装方法,Flag,Address,Control,Data,FCS,Flag,HDLC,支持单一的协议环境,Flag,Address,Control,Proprietary,Data,FCS,Flag,Cisco HDLC,Cisco的 HDLC 具有proprietary 字节提供对多协议环境的支持， 不能和其他厂商的HDLC通信,三、 广域网,3.1 高速链路控制协议HDLC HDLC使用帧特性、效验和规定数据在同步串行数据链路上的封装方法,Flag,Address,Control,Data,FCS,Flag,HDLC,支持单一的协议环境,Flag,Address,Control,Proprietary,Data,FCS,Flag,Cisco HDLC,Cisco的 HDLC 具有proprietary 字节提供对多协议环境的支持， 不能和其他厂商的HDLC通信,三、 广域网,3.1 高速链路控制协议HDLC 配置命令： Interface serial0 encapsulation hdlc HDLC是cisco同步串口的缺省封装格式，如果需要与其他厂商设备互连，则需要使用PPP协议,三、 广域网,3.2 点对点协议PPP PPP 可以通过 NCP 携带多个协议的数据包，通过 LCP 建立和控制连接，并且提供认证、动态寻址以及回叫功能。,PPP Encapsulation,TCP/IP Novell IPX AppleTalk,Multiple protocol encapsulations using NCPs in PPP,Link setup and control using LCP in PPP,三、 广域网,3.2 点对点协议PPP PPP 可以通过 NCP 携带多个协议的数据包，通过 LCP 建立和控制连接，并且提供认证、动态寻址以及回叫功能。,PPP Encapsulation,TCP/IP Novell IPX AppleTalk,Multiple protocol encapsulations using NCPs in PPP,Link setup and control using LCP in PPP,三、 广域网,3.2 点到点协议PPP PPP协议栈 协议栈只是物理层和数据链路层的规范，包含四部分：1、EIA/ETA-232-C V.24 V.35和ISDN串行通信的物理层国际标准 2、HDLC 在串行链路上封装数据报的方法。3、LCP 一种建立、配置、维护和结束点到点连接的方法。4、NCP 一种建立和配置不同网络层协议的方法,三、 广域网,3.2 点到点协议PPP 链路控制协议(LCP)配置选项: Authentication(认证) 这个选项告诉链路的呼叫方发送可以确定其用户身份的信息，支持两种方法PAP和CHAP。 Compmssion(压缩) 这个选项用于通过传输之前压缩数据或负载来增加PPP连接的吞吐量。PPP在接收端解压数据帧。 Errordetection(错误检测) PPP使用Quality(质量)和MagicNumber(魔术号码)选项确保可靠的、无环路的数据链路。 Multilink(多链路) 从IOS11.1版本开始,Cisco路由器在PPP链路上支持多条链路选项。这个选项允许几条不同的物理路径在第3层捆绑一条逻辑路径。例如,运行PPP多链路的两条T1线路在第3层路由协议中以一条3MVs路径的形式出现。 PPP callback(PPP回叫) PPP可以配置为认证成功后进行回叫。启动回叫后,呼叫路由器(客户端)将和远程路由器(服务器端)取得联系,并像前面描述的那样进行认证。两台路由器必须都配置回叫。一旦完成认证,远程路由器将中断连接,并从远程路由器重新初始化到呼叫路由器的连接。,三、 广域网,3.2 点到点协议PPP PPP会话建立： 当PPP连接开始时,链路经过3个会话建立阶段 链路建立阶段： 每台PPP设各发送LCP包来配置和测试链路。LCP包包括“配置选项”的字段,允许每台设各查看数据的大小、压缩和认证。如果没有设置“配置选项”字段,则使用默认的配置。 认证阶段： 如果配置了 认证,在认证链路时可以 用CHAP或PAP。认证 发生在读取网络层协议 信息之前，同时可能发 生链路质量决策。 网络层协议阶段：使用网络 控制协议(Network Colltrol Protocol）, 允许封装成多种网络层协议并在PPP数 据链路上发送。每个上层网络层协议 (例如IP、IPX、AppleTalk） 都建立和NCP的服务关系。,PPP 会话的建立 1 链路建立 验证阶段 网路层协议连接,Dialup or Circuit-Switched Network,三、 广域网,3.2 点到点协议PPP PPP认证方式： 口令认证协议(Password Authentication Protocol,PAP) 安全程度较低的一种。在PPP链路首次建立时,远程路由器向发起路由器回送明文的用户名和口令,以获得认证。只在首次建立时验证。,三、 广域网,3.2 点到点协议PPP PPP认证方式： 问答握手认证协议（Challenge Authentication Protocol,CHAP) 在PPP结束了初始阶段后,本地路由器向远程路由器发送一个盘问请求。远程设备发送一个用MD5函数加密计算出来的值。本地路由器要检查加密值,确定它是否匹配。如果这个值不匹配,该链路立即结束，匹配则认证通过。CHAP不但在链路初始启动,并且为了证实路由器连接的仍然是同一台主机,要进行周期性的链路检查。,三、 广域网,3.2 点到点协议PPP PPP配置: 激活配置 Interface Serial0 Encapsulation PPP 配置认证： Interface Serial0 ppp authentication chap | chap pap | pap chap | pap 配置认证的主机名，用户名和密码（两边路由器都要配置） Hostname 本地路由器名称 Username 远端路由器名称 远端路由器密码 （注意：配置username命令时,必须为远程路由器的hostname。远端路由器也必须配置一个username为本地路由器hostname。主机名是大小写敏感的,而且双方路由器的密码必须相同）,三、 广域网,3.2 点到点协议PPP CHAP的配置举例：,hostname left username right password sameone ! int serial 0 ip address 10.0.1.1 255.255.255.0 encapsulation ppp ppp authentication CHAP,hostname right username left password sameone ! int serial 0 ip address 10.0.1.2 255.255.255.0 encapsulation ppp ppp authentication CHAP,Left router,Right router,PSTN/ISDN,三、 广域网,3.2 点到点协议PPP 检查PPP状态,Router#show interface s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) 显示封装为PPP, LCP Open 显示LCP是打开的,意思是它已经协商完成了会话的建立过程并在正常运行。 Open: IPCP, CDPCP 这行告诉我们NCP正在l监听IP和CDP协议 Last input 00:00:05, output 00:00:05, output hang never Last clearing of “show interface“ counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 38021 packets input, 5656110 bytes, 0 no buffer Received 23488 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 38097 packets output, 2135697 bytes, 0 underruns 0 output errors, 0 collisions, 6045 interface resets 0 output buffer failures, 0 output buffers swapped out 482 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up,三、 广域网,3.3 帧中继 帧中继是从X。25技术发展来的数据链路层协议。它和在HDLC和PPP协议中学到的简单租用线路网络相比非常复杂。由运营商提供一个帧中继的交换网，在交换网中虚拟多条电路，并完成虚电路上数据包的交换。 帧中继默认情况下为非广播多路访问(NBMA)网络, 不在网络上发送广播包。,三、 广域网,3.3 帧中继 帧中继术语与技术 1、承诺信息速率：Committed Information Rate（CIR）数据传输承诺的最大速率，即是运营商承诺传输的平均速率,与接入带宽无关，在网络不拥塞时运营商保证能提供的带宽。 2、虚电路：virtual circuits，虚电路就是在运营商的帧中继交换网络上给客户提供的虚拟点对点电路。有PVC和SVC两种。 永久虚电路(Permanent Virtual Circuits,PVC) 永久的意思是电信公司在内部创建映射,并且只要你付费,虚电路就一直有效。 交换虚电路(switched Virtual Circuits,SVC) 当数据需要传输时,建立虚电路，数据传输完成后,拆除虚电路。,三、 广域网,3.3 帧中继 帧中继术语与技术 3、数据链路连接标识符：Data Link Connection Identifiers（DLCI），用来标识DTE设备。由运营商分配DLCI值，帧中继用DLCI 值区分网络上的不同虚电路。在一个多点帧中继接口上可以有多个虚电路, 一个接口可以有多个DLCI值。 DLCI是本地有效的，取值范围是16-1007。 4、帧中继封装类型：帧中继封装类型有两种，cisco和IETF(Intemet Engineering Task Force因特网工程任务组)，默认为cisco。 5、反向地址转换协议：Inverse ARP，为帧中继接口找出本地DLCI与远端设备IP地址的对应关系的协议，在不支持IARP的非cisco设备上，需要手工使用frame-relay map命令配置这个对应关系。,三、 广域网,3.3 帧中继 帧中继术语与技术 6、本地管理接口：Local Managerment Interface (LMI) 路由器和它所连接的第一个帧中继交换机之间使用的信令标准.有3种不同的LMI信息格式:cisco、Ansi和Q933A。 路由器从服务提供商的帧中继交换机的帧封装接口上接收LMI信息,并将虚电路状态更新为下列3种状态之一： Active state(活动状态) 正常路由器可以交换信息。 Inactive state(非活动状态) 路由器的接口是活动的,并和所连接的交换局正常工作,但是远端路由器没有正常工作。 Deleted state(删除状态) 接口没有接收到交换机的任何LMI信息。可能是映射问题或线路问题。,三、 广域网,3.3 帧中继 帧中继术语 LMI与IARP工作过程,3,Local DLCI 100=Active,4,Local DLCI 400=Active,2,Status Inquiry,2,Status Inquiry,Frame Relay Cloud,1,DLCI=100,DLCI=400,3,172.168.5.5,172.168.5.7,三、 广域网,3.3 帧中继 LMI与IARP工作过程,4,Hello, I am 172.168.5.5.,Frame Relay Cloud,DLCI=100,DLCI=400,172.168.5.5,172.168.5.7,Hello, I am 172.168.5.7.,4,5,Frame Relay Map 172.168.5.5 DLCI 400 Active,Frame Relay Map 172.168.5.7 DLCI 100 Active,5,Hello, I am 172.168.5.5.,6,Keepalives,Keepalives,7,7,三、 广域网,3.3 帧中继 帧中继拥塞技术 7、丢弃合格:Discard EligibiIity(DE) 如果服务提供商的网络发生拥塞,则任何超过CIR的包都有可能被丢弃。将网络中多余或优先级比较低的数据用帧中继报头中的丢弃合格(DE)位来标记。如果发生拥塞,帧中继交换机将首先丢弃设置了DE位的包。所以如果将承诺信息率CIR配置为零,DE将一直是打开的。 8、前向显式拥塞通知：Forward Exp1ict Congestion Notification （FECN) 当帧中继网络认为网络中发生拥塞时,交换机将数据包报头中的前向显式拥塞通知位设置为1,指示目的DCE经过的路径发生了拥塞。 9、后向显式拥塞通知:Backward Explicit Congestion NotifiCation (BECN) 当交换机探测到帧中继网络中发生拥