工作单元5 利用广域网实现企业网络互联.ppt

工作单元5利用广域网实现企业网络互联,广域网通常使用电信运营商建立和经营的网络。电信运营商将其网络分次（拨号线路）或分块（租用专线）出租给用户以收取服务费用。企业网络在利用广域网实现网络互联时，其所采用的连接技术在很大程度上决定了企业网络与外部网络之间的通信速度。本单元的主要目标是了解常用的广域网技术，能够完成利用广域网实现企业网络互联的基本配置。,本单元主要内容,任务5.1利用PPP实现企业网络互联任务5.2利用帧中继实现企业网络互联,任务5.1利用PPP实现企业网络互联,【任务目的】（1）理解广域网技术标准；（2）熟悉HDLC和PPP的基本运行机制；（3）掌握利用PPP实现企业网络互联的基本配置方法。,【任务导入】,广域网可以使用多种类型的连接方案，不同类型的连接方案之间存在技术、速度和成本方面的差异。租用线路连接主要是指点对点连接或专线连接，是从本地客户端设备经过DCE设备到远端目标网络的一条预先建立的广域网通信路径，可以在数据收发双方之间建立起永久性的固定连接。租用线路连接通常使用同步串行线路。在图5-1所示的网络中，两台路由器Router0和Router1通过S1/0串行接口相连，其中路由器Router0为DTE，路由器Router1为DCE。默认情况下，Cisco路由器的串行口是采用数据链路层协议CiscoHDLC进行数据封装的。CiscoHDLC是Cisco的专有协议，缺少对链路的安全保护。若Cisco设备与非Cisco设备进行连接，或者对链路的安全性有要求，则应使用PPP进行数据封装。PPP也是串行线路上的一种数据链路层封装格式，可以提供对多种网络层协议的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。请对图5-1所示的网络进行配置，启用PPP封装数据，实现路由器间的连通。,【工作环境与条件】,（1）路由器和交换机（本部分以Cisco系列产品为例，也可选用其他品牌型号的产品或使用CiscoPacketTracer、BosonNetsim等网络模拟和建模工具）；（2）Console线缆和相应的适配器；（3）安装Windows操作系统的PC；（4）组建网络所需的其他设备。,5.1.1广域网标准,1.广域网物理层标准广域网物理层标准主要描述了如何面对广域网服务提供电气、机械、规程和功能特性，以及DTE和DCE之间的接口。通常企业网络用来与广域网连接的设备是路由器，该设备将被认为是DTE，而与其连接的由电信运营商提供的接口则为DCE。广域网的各种连接类型在物理层都使用同步或异步串行连接。,5.1.1广域网标准,2.广域网的数据链路层标准PPP（PointtoPointProtocol，点对点协议）：通过同步电路和异步电路提供路由器到路由器和主机到网络的连接。PPP可以和多种网络层协议协同工作。SLIP（SerialLineInternetProtocol，串行线路互连协议）：使用TCP/IP实现点对点串行连接的标准协议，已经基本上被PPP取代。HDLC（High-LevelDataLinkControl，高级数据链路控制协议）：按位访问的同步数据链路层协议，定义了同步串行链路上使用帧标识和校验和的数据封装方法。当链路两端均为Cisco设备时，它是点对点专用链路和电路交换连接上默认的封装类型，是同步PPP的基础。,5.1.1广域网标准,X.25平衡式链路访问程序（LAPB）：定义DTE与DCE间如何连接的ITU-T标准，用于在公用数据网络上维护远程终端访问与计算机的通信，已被帧中继取代。帧中继（FrameRelay）：一种高性能的分组交换式广域网协议，可以被应用于各种类型的网络接口中。由于帧中继是一种面向连接，无内在纠错机制的协议，因此适合高可靠性的数字传输设备使用。ATM（AsynchronousTransferMode，异步传输模式）：信元交换的国际标准，在定长（53字节）的信元中能传输多种类型的服务，适于高速传输（如SONET）。,5.1.1广域网标准,MPLS（Multi-ProtocolLabelSwitching，多协议标签交换协议）：MPLS独立于ATM、IP等数据链路层和网络层协议，可在任何现有基础架构上运行。MPLS将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。MPLS可作为一种经济的解决方案，用于传输电路交换网络和分组交换网络的流量。3.广域网的网络层标准网络层的主要任务是设法将源节点发出的数据包传送到目的节点，从而向传输层提供最基本的端到端的数据传送服务。常见的广域网网络层协议有CCITT的X.25协议（定义了OSI参考模型的下三层）和TCP/IP协议中的IP协议等。,5.1.2HDLC,HDLC是点到点串行线路上的数据链路层封装格式，其帧格式和以太网有很大差别，HDLC帧没有源MAC地址和目的MAC地址。HDLC采用确认机制进行流量控制和错误控制，每个帧的格式都相同，无论是数据帧还是控制帧。Cisco公司对HDLC进行了专有化，解决了其无法支持多协议的问题。默认情况下Cisco路由器的串行接口将采用CiscoHDLC进行数据封装。CiscoHDLC与标准HDLC并不兼容，因此如果链路的两端都是Cisco设备，可以使用CiscoHDLC进行数据封装，但如果Cisco设备与非Cisco设备进行连接，则应使用PPP进行数据封装。另外，HDLC不能提供验证，缺少对链路的安全保护。,5.1.3PPP,PPP也是串行线路上（同步电路或者异步电路）的一种数据链路层封装格式。PPP可以提供对多种网络层协议的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。1.PPP的组件PPP包含3个主要组件：用于在点对点链路上封装数据的HDLC协议。用于建立、配置和测试数据链路连接的可扩展链路控制协议（LCP）。用于建立和配置各种网络层协议的网络控制协议（NCP）。PPP可以支持多种网络层协议，较常见的NCP有Internet协议控制协议（支持IP）、Appletalk控制协议、NovellIPX控制协议等。,5.1.3PPP,2.PPP的工作过程链路的建立和配置协商：在PPP交换任何网络层数据包（例如IP）之前，通信的发起方将发送LCP帧来配置和检测通信链路。链路质量检测：LCP测试链路以确定链路质量是否满足网络层协议要求。这一阶段是可选的，在链路已经建立、协调之后进行。网络层协议配置协调：通信的发起方发送NCP帧以选择并配置网络层协议。关闭链路：通信链路将一直保持到LCP或NCP帧关闭链路或发生一些外部事件。,5.1.3PPP,3.PPP的验证方式PPP提供了PAP和CHAP两种身份验证方式。（1）PAPPAP（PasswordAuthenticationProtocol，密码验证协议）利用2次握手的简单方法进行认证。PAP验证过程是在链路建立完毕后，源节点不停地在链路上反复发送用户名和口令，直到验证通过。在PAP验证中，用户名和口令在链路上是以明文传输的，而且由于是由源节点控制验证重试频率和次数，因此PAP验证不能防范再生攻击和重复的尝试攻击。,5.1.3PPP,（2）CHAPCHAP（ChallengeHandshakeAuthenticationProtocol，询问握手验证协议）利用3次握手周期地验证源节点的身份。CHAP验证过程在链路建立之后进行，而且在以后的任何时候都可以再次进行。CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。CHAP不直接传送口令，只传送一个不可预测的询问消息，以及该询问消息与口令经过MD5加密运算后的加密值。所以CHAP可以防止再生攻击，其安全性比PAP要高。,【任务实施】,实训1PPP基本配置实训2配置PPP身份验证,【任务拓展】,在图5-3所示的网络中，3台路由器通过串行接口相连。网络组建完成后，请完成以下配置：利用PPP实现路由器之间的连接。其中在路由器Router0和Router1之间进行双向的PAP验证，在路由器Router1和Router2之间进行双向的CHAP验证。为网络中的相关设备分配IP地址及相关参数，利用静态路由或动态路由实现网络的连通。,任务5.2利用帧中继实现企业网络互联,【任务目的】（1）理解帧中继的基本运行机制；（2）熟悉利用帧中继实现企业网络互联的基本配置方法。,【任务导入】,租用线路可以提供永久的专用带宽，在不考虑成本的情况下是最佳的广域网连接方案。但是租用线路的每个端点都需要单独占用路由器上的一个物理接口，这会增加设备成本。另外租用线路的带宽是固定的，但广域网的数据流量经常是波动性的，这会使得线路的带宽不能得到有效利用。在图5-4所示的网络中，需要租用3条线路才能实现路由器之间的两两连接，显然若路由器之间的通信流量很少的话，这是得不偿失的。,【任务导入】,分组交换连接是在两个站点之间使用逻辑电路（虚电路）建立连接，同一个物理线路上可以建立多个逻辑电路。在分组交换连接中，路由器只需要一条物理线路就可以与多个设备之间建立逻辑连接，这可以有效的降低成本，最大限度的利用带宽，也可以提高网络设计的灵活性。帧中继（FrameRelay，FR）是面向连接的广域网数据交换协议，工作于OSI参考模型的物理层和数据链路层，是典型的分组交换技术。请对图5-4所示的网络进行配置，利用帧中继实现网络的互联。,【工作环境与条件】,（1）路由器和交换机（本部分以Cisco系列产品为例，也可选用其他品牌型号的产品或使用CiscoPacketTracer、BosonNetsim等网络模拟和建模工具）；（2）Console线缆和相应的适配器；（3）安装Windows操作系统的PC；（4）组建网络所需的其他设备。,5.2.1帧中继网络的拓扑结构,帧中继使用的连接是由虚电路提供的，虚电路是两台设备之间的逻辑连接，因此每个局域网路由器只需要通过一条物理链路连接到帧中继网络（也称帧中继云），通过该物理连接就可以使用逻辑虚电路连接到远程网络。帧中继网络最简单的拓扑结构为星型结构，即帧中继云中只有一台帧中继交换机来提供主要服务与应用。为了保证数据传输质量，在大型的帧中继网络中更多采用全网状拓扑结构或部分网状拓扑结构,5.2.2虚电路与DLCI,1.虚电路虚电路（VirtualCircuit，VC）是一种分组交换传输方式，分为永久虚电路（PVC）和交换虚电路（SVC）两种类型。PVC与租用线路类似，由运营商预先配置，只要存在一条从发送站到接收站的物理链路就可以一直保持连通状态。SVC与电路交换连接类似，当需要发送数据时SVC会被动态创建，数据发送完毕后电路将立刻被拆除。由于PVC简单、高效，因此更适合于进行数据通信。,5.2.2虚电路与DLCI,2.DLCI帧中继使用DLCI（DataLinkConnectionIdentifier，数据链路连接标识符）来区分网络中的不同虚电路。实际上DLCI就是IP数据包在帧中继链路上进行封装时所需的数据链路层地址，其长度一般为10bit，也可扩展为16bit。DLCI通常由帧中继服务提供商统一分配，其范围一般为161007（015和10081023留作特殊用途）。帧中继的DLCI仅具有本地意义，只在其所在物理链路上是唯一的。,5.2.2虚电路与DLCI,5.2.3帧中继的地址映射,DLCI是帧中继网络中的数据链路层地址。路由器要通过帧中继网络把IP数据包发到下一跳路由器时，它必须知道IP地址和DLCI的映射才能进行数据帧的封装。路由器有两种方法可以获得地址映射，一种是静态映射，即由管理员手工输入；另一种是利用IARP（InverseARP，逆向地址解析协议）动态建立帧中继映射。默认情况下，Cisco路由器帧中继接口将采用动态映射。I,5.2.4LMI,LMI（LocalManagementInterface，本地管理接口）提供了一个帧中继交换机和路由器之间的简单信令，用于建立和维护帧中继DTE和DCE设备之间的连接，维护虚电路的状态。LMI有多种类型，如ITU-T的Q.933附录A、ANSI的T1.617附录D、Cisco非标准兼容协议等。在帧中继交换机和路由器之间必须采用相同的LMI类型，Cisco路由器在较高版本的IOS中具有自动检测LMI类型的功能。对于DTE设备，PVC的状态完全由DCE设备决定。路由器从帧中继交换机收到LMI信息后，可以得知PVC状态。,5.2.5帧中继子接口,为了满足某些需求，适应各种拓扑结构，有时需要为运行帧中继协议的路由器接口创建子接口。子接口是一个逻辑接口，每个物理接口可以衍生出多个子接口。子接口有点到点和点到多点两种类型。采用点到点子接口时，每个子接口只能连接一条PVC，因为每条PVC只有唯一的对端地址，所以不必配置动态或静态地址映射，点到点子接口就像一个连接了同步专线的串口一样工作。点到多点子接口被用来建立多条PVC，每条PVC都需要和其连接的远端网络地址建立一个