广域网简介及配置.doc

第8章 广域网简介及配置8.1 广域网简介广域网是一种跨地区的数据通讯网络，使用电信运营商提供的设备作为信息传输平台。广域网对通信的要求高、复杂性也高。在企业网中，广域网主要用来将距离较远的局域网彼此连接起来，来实现局域网之间的通讯。对照OSI参考模型，广域网技术主要位于底层的3个层次，分别是物理层、数据链路层和网络层。如图8-1所示。广域网数据链路层定义了数据如何封装以传输到远程站点，广域网数据链路层协议描述了帧在系统之间建立的单一数据路径上传输。数据链路层协议包括：帧中继、点到点（PPP)、HDLC, ISDN等，图8-2描述了数据链路协议与广域网线路的联系。 广域网常见的封装协议有HDLC和PPP等。数据链路封装协议为第三层网络层提供服务。它将网络层的数据封装为相应的帧格式，向下一节点转发。为了更清晰地描述这一点，我们可以看一看网络层设备-路由器的数据转发流程，路由器通过识别数据包中第三层包头中的目标网络ID,并查询路由表转发数据包。路由器在转发数据包时只会查询第三层的包头，一般不会对它的主要部分进行修改。但对于数据包中第二层的包头（如 PPP的包头），转发它的每台路由器都会对它进行修改。路由器是用修改第二层包头的方法把数据包传到下一台路由器或目标主机的。图8-3给出了数据包从1.1.1.2被转发到3.3.3.2的情况。为了使路由器可以向指定的数据链路上转发数据，必须在路由器上进行数据链路协议的配置。本章将以思科和华为为例介绍这些数据链路协议的配置，包括有：HDLC配置、PPP配置等。8.2 HDLC协议的配置8.2.1 HDLC协议简介HDLC(High-Level Data Link Control)即高层数据链路控制协议，是一个点对点的数据传输协议，工作在链路层，其帧结构有两种类型，一种是ISO HDLC帧结构，它由IBM SDLC协议演化过来，采用SDLC的帧格式，支持同步、全双工操作，分为物理层及LLC两个子层；另一种是Cisco HDLC帧结构，无LLC子层，从而Cisco HDLC对上层数据只进行物理帧封装，没有应答、重传机制，所有的纠错处理由上层协议处理。因此ISOHDLC与Cisco HDLC是两种不兼容的协议。HDLC和PPP都是点对点的广域网传输协议，在具体组网时，这两种协议的选择主要基于以下原则：在Cisco路由器之间用专线连接时，采用Cisco HDLC协议，因为它的效率比PPP协议高得多，在Cisco路由器与非Cisco路由器用专线连接时，不能用CiscoHDLC，因为非Cisco路由器不支持Cisco HDLC,这时应采用PPP协议。8.2.2 思科路由器的配置1、封装HDLC协议encapsulation hdlc默认情况下Cisco路由器的HDLC协议是激活的，是Cisco路由器的默认封装协议，不需要进行显式的封装。但如果端口已被封装为其他协议时，则应使用该命令进行显式封装。2、设置DCE端线路速度clockrate speed在实际应用中, Cisco路由器接DDN专线时，同步串口需要通过V.35或V.24 DTE线缆连接CSU/DSU,这时Cisco路由器为DTE,CSU/DSU为DCE,由CSU/DSU提供时钟。如两台路由器直接通过DTE/DCE线缆连接，一台路由器作为DTE，一台路由器作为DCE,就必须由作为DCE的路由器提供时钟，因此，必须使用该命令设置时钟频率。3、设置压缩算法compress stac对于HDLC协议，Cisco路由器只支持STAC一种压缩算法。压缩虽然可以减少传输的数据量，但由于Cisco的压缩是通过软件完成的，将影响系统性能。建议当路由器CPU利用率长时间超过65（通过show process命令查看CPU利用率）时，就不要使用压缩。4.配置步骤配置IP地址。封装HDLC协议。如果路由器作为DCE,要配置DCE时钟，否则省略此步。启用端口。5.配置实例如图8-4所示，两台路由器通过DTE/DCE线路直接连接起来，其配置为：（1) Router1的配置！进人配置模式Router1# configure terminal！进人端口配置模式Router1（config)interface Serial0！设置端口1P地址Router1（config-if)ip address 192. 200. 10. 1 255. 255. 255.0！封装HDLC协议routerl（config-if)encapsulation hdlc！设W DCE时钟Router1 (config-if)clock rate 1000000！启用端口Router1（config-if)no shutdown(2)Router2的配置！进人配置模式router2configure terminal！进人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) #ip address 192. 200. 10. 2 255. 255. 255. 0！封装HDLG协议router2（config-if)#encapsulation hdlc！启用端口router2（config-if)no shutdown8.2.3 华为HDLC协议封装配置在同步接口视图下进行下列配置：Quidway-Serial0 link-protocol hdlc/在路由器的接口1上绑定HDLC协议；需要注意的是：只有当接口工作在同步方式下时，才能封装HDLC。当接口封装了SLIP时，接口的物理属性不能被修改为同步模式。此时，必须先将接口的链路层封装改为PPP后，才能将接口属性改为同步模式。接口封装HDLC后，上层仍然能承载IP与IPX协议。8.3 PPP协议的配置8.3.1 PPP协议简介PPP(Point-to-Point Protocol）即点对点协议，是为同等单元之间传输数据包而设计的链路层协议。该协议提供在链路层的全双工操作，并按照顺序传递数据包。目前，它已经成为各种主机、网桥和路由器之间通过拨号或专线方式建立点对点连接的首选方案。由于PPP协议具有协议简单、动态IP地址分配、可对传输数据进行压缩和人网用户的认证等优点，因而成为广域网上使用非常广泛的协议之一。其主要用于家庭拨号上网、ADSL上网、局域网的点对点连接等。8.3.2 PPP的认证协议PPP的认证是可选的。通信双方在建立起链路连接后，进行认证协议选择，然后再进行认证。一旦通过认证，双方将建立网络层的连接，否则将断开连接。最常用的认证协议有口令验证协议PAP(Password Authentication Protocol）和挑战握手验证协议CHAP（Challenge-Handshake Authentication Protocol）。1口令验证协议PAPPAP是一种简单的明文验证方式。网络接入服务器NAS(Network Access Server)要求用户提供用户名和口令，用户反复在链路上发送用户名和密码，直至认证通过，否则连接终止。由于用户名和密码以明文形式传输，很容易被非法用户截取，因而这种协议的安全性很差。2挑战握手验证协议CHAPCHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令，其中包括会话ID和一个任意生成的挑战字串( arbitrarychallengestring) 。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令、会话ID及用户口令，其中用户名以非哈希方式发送。由于CHAP以密文方式传送口令，因而具有较大的安全性。8.3.3 思科路由器PPP的配置1、封装PPP协议encapsulation PPP2、设置对端拨号的用户名和口令username username1 password password1其中username1为对端的用户名,password1为对端用户名对应的口令。3、配置认证方式ppp authenticationchapchap pappap chappapList-namecalling两端的路由器必须使用相同的用户认证协议。建议使用chap协议，这样更安全4、设置本地路由器名和口令Hostname hostnamelenable secret secret-string其中hostnamel是设置路由器的名字secret-stripg是设置路由器的口令。5、设置压缩算法compress mppcpredictorstacCisco路由器支持PPP协议的压缩算法有：STAC，Predictor和微软的点到点压缩算法MPPC。路由器间一般采用STAC压缩算法，在路由器和PC机间的拨号连接一般采用MPPC压缩算法。压缩虽然可以减少传输的数据量，但由于Cisco的压缩是通过软件完成的，这将影响系统性能。建议当路由器CPU利用率长时间超过65（通过show process命令查看CPU利用率）时，就不要使用压缩。6.配置步骤配置本地路由器名。配置本地路由器口令。配置对端路由器的名和口令。封装PPP协议。指定PPP协议认证方式。7.配置实例如图8-4所示，两台路由器通过DTE/DCE线路直接连接起来，其配置为； （1)Routerl的配置！进人配置模式Router1configure terminal！设置router1的名字Router1（config) # hostnamc router1！设置routerl的口令Router1（config）# enable secret 111111！设置对端拨号的用户名和口令Router1（config)username router2 password 222222！进人端口配置模式Router1（config)interface Serial0！设置端口IP地址Router1（config-if) # ip address 192. 200. 10.1 25.5. 255. 255. 0！封装PPP协议Router1（config-if) # encapsulation ppp！设置DCE时钟Router1（config-if) # clock rate 1000000！设置认证协议Router1（config-if) # ppp authentication chap！启用端口Router1（config-if)#no shutdown(2) Router2的配置！进人配置模式router2 # configure terminal！设置router2的名字router2（config）#hostname router2！设置router2的口令router2（config)enable secret 222222！设置对端拨号的用户名和口令router2（config) $ username routerl password 111111！进人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) # ip address 192. 200. 10. 2 255.255. 255. 0！封装PPP协议router2（config-if)encapsulation ppp！设置认证协议router2（config-if) t ppp authentication chap！启用端口router2（config-if) # no shutdown8.4 华为路由器PPP的配置1、配置接口封装的链路层协议为PPP,配置命令：Quidway-Serial0link-protocol ppp缺省情况下，封装的链路层协议即为PPP1所以许多情形下，无须设置这条命令。2、配置PPP验证方式及用户名、用户口令。PPP有两种验证方式：PAP方式和CHAP方式：一般来说，CHAP验证更为安全可靠下面分别介绍两种验证方式的配置方法。(1）本地以PAP方式验证对端以下给出了一个在本端路由器上验证对端的配里案例：配里本地验证对端（方式为PAP)Quidway-Sedal0ppp authenticabon-mode pap在系统视图下将对端用户名和密码加入本地用户列表Quidway local-user cuidwavt password simple uic dwav取消配置的PPP验证方法，即不进行PPP验证的命令为：Quidway-Serial0undo ppp authentication-mode(2)本地验证对端的CHAP方式配置本地验证对端（方式为CHAP)。Quidway-Serial0 ppp authentication-mode chap配置本地名称。Quidway-Serial0 ppp chap user guidway2将对端用户名和密码加入本地用户列表。注意，local-user命令在系统视图下完成。Quidwey local-user auidwav1 password simple quidway在配置CHAP验证时，双方的user互为对方的hostname, password必须一致。(3)本地被对端以PAP方式验证配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令。Quidway-Serial0 ppp pap local-user quidway1 password simple quidway删除以上配置的命令为：Quidway-Serial0undo ppp pap local-user(4)本地被对端以CHAP方式验证配置本地名称。Quidway-Serial0ppp chap user quidway1将对端用户名和口令力口入本地用户列表。Quidwaylocal-user ui a 2 password simple quidway3. PPP典型配置案例PAP验证案例路由器Quidway1和Quidway2之间用接口Serial0（串口）互连，要求路由器Quidwayl用PAP方式验证路由器Quidway2,如图8-5.我们需要确合路由器上进行配置，分别如下