工作单元5利用广域网实现企业网络互联

1、工作单元工作单元5利用广域网实现企业网络互联利用广域网实现企业网络互联 广域网通常使用电信运营商建立和经营的网络。电广域网通常使用电信运营商建立和经营的网络。电信运营商将其网络分次（拨号线路）或分块（租用专线）信运营商将其网络分次（拨号线路）或分块（租用专线）出租给用户以收取服务费用。企业网络在利用广域网实出租给用户以收取服务费用。企业网络在利用广域网实现网络互联时，其所采用的连接技术在很大程度上决定现网络互联时，其所采用的连接技术在很大程度上决定了企业网络与外部网络之间的通信速度。本单元的主要了企业网络与外部网络之间的通信速度。本单元的主要目标是了解常用的广域网技术，能够完成利用广域网实目标

2、是了解常用的广域网技术，能够完成利用广域网实现企业网络互联的基本配置。现企业网络互联的基本配置。 本单元主要内容本单元主要内容任务任务5.1利用利用PPP实现企业网络互联实现企业网络互联 任务任务5.2利用帧中继实现企业网络互联利用帧中继实现企业网络互联任务任务5.1利用利用PPP实现企业网络互联实现企业网络互联 【任务目的】【任务目的】（1）理解广域网技术标准；）理解广域网技术标准；（2）熟悉）熟悉HDLC和和PPP的基本运行机制；的基本运行机制；（3）掌握利用）掌握利用PPP实现企业网络互联的基本配置方法。实现企业网络互联的基本配置方法。【任务导入】【任务导入】 广域网可以使用多种类型的连

3、接方案，不同类型的连接方案之间存在技广域网可以使用多种类型的连接方案，不同类型的连接方案之间存在技术、速度和成本方面的差异。租用线路连接主要是指点对点连接或专线连接，术、速度和成本方面的差异。租用线路连接主要是指点对点连接或专线连接，是从本地客户端设备经过是从本地客户端设备经过DCE设备到远端目标网络的一条预先建立的广域网设备到远端目标网络的一条预先建立的广域网通信路径，可以在数据收发双方之间建立起永久性的固定连接。租用线路连通信路径，可以在数据收发双方之间建立起永久性的固定连接。租用线路连接通常使用同步串行线路。在图接通常使用同步串行线路。在图5-1所示的网络中，两台路由器所示的网络中，两台

4、路由器Router0和和Router1通过通过S1/0串行接口相连，其中路由器串行接口相连，其中路由器Router0为为DTE，路由器，路由器Router1为为DCE。默认情况下，。默认情况下，Cisco路由器的串行口是采用数据链路层协议路由器的串行口是采用数据链路层协议Cisco HDLC进行数据封装的。进行数据封装的。Cisco HDLC是是Cisco的专有协议，缺少对链的专有协议，缺少对链路的安全保护。若路的安全保护。若Cisco设备与非设备与非Cisco设备进行连接，或者对链路的安全性设备进行连接，或者对链路的安全性有要求，则应使用有要求，则应使用PPP进行数据封装。进行数据封装。PP

5、P 也是串行线路上的一种数据链路也是串行线路上的一种数据链路层封装格式，可以提供对多种网络层协议的支持，并且支持认证、多链路捆层封装格式，可以提供对多种网络层协议的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。请对图绑、回拨、压缩等功能。请对图5-1所示的网络进行配置，启用所示的网络进行配置，启用PPP封装数据，封装数据，实现路由器间的连通。实现路由器间的连通。 【工作环境与条件】【工作环境与条件】 （1）路由器和交换机（本部分以）路由器和交换机（本部分以Cisco 系列产品为例，系列产品为例，也可选用其他品牌型号的产品或使用也可选用其他品牌型号的产品或使用Cisco Packet Tra

6、cer、Boson Netsim等网络模拟和建模工具）；等网络模拟和建模工具）；（2）Console线缆和相应的适配器；线缆和相应的适配器；（3）安装）安装Windows操作系统的操作系统的PC；（4）组建网络所需的其他设备。）组建网络所需的其他设备。 5.1.1广域网标准广域网标准 1. 广域网物理层标准广域网物理层标准广域网物理层标准主要描述了如何面对广域网服务提广域网物理层标准主要描述了如何面对广域网服务提供电气、机械、规程和功能特性，以及供电气、机械、规程和功能特性，以及DTE和和DCE之间之间的接口。通常企业网络用来与广域网连接的设备是路由器，的接口。通常企业网络用来与广域网连接的设

7、备是路由器，该设备将被认为是该设备将被认为是DTE，而与其连接的由电信运营商提，而与其连接的由电信运营商提供的接口则为供的接口则为DCE。广域网的各种连接类型在物理层都。广域网的各种连接类型在物理层都使用同步或异步串行连接。使用同步或异步串行连接。5.1.1广域网标准广域网标准 2. 广域网的数据链路层标准广域网的数据链路层标准PPP（Point to Point Protocol，点对点协议）：通过，点对点协议）：通过同步电路和异步电路提供路由器到路由器和主机到网络的同步电路和异步电路提供路由器到路由器和主机到网络的连接。连接。PPP可以和多种网络层协议协同工作。可以和多种网络层协议协同工作

8、。SLIP（Serial Line Internet Protocol，串行线路互连，串行线路互连协议）：使用协议）：使用TCP/IP实现点对点串行连接的标准协议，实现点对点串行连接的标准协议，已经基本上被已经基本上被PPP 取代。取代。HDLC（High-Level Data Link Control，高级数据链，高级数据链路控制协议）：按位访问的同步数据链路层协议，定义了路控制协议）：按位访问的同步数据链路层协议，定义了同步串行链路上使用帧标识和校验和的数据封装方法。当同步串行链路上使用帧标识和校验和的数据封装方法。当链路两端均为链路两端均为Cisco设备时，它是点对点专用链路和电路设备时

9、，它是点对点专用链路和电路交换连接上默认的封装类型，是同步交换连接上默认的封装类型，是同步PPP的基础。的基础。 5.1.1广域网标准广域网标准 X.25平衡式链路访问程序（平衡式链路访问程序（LAPB）：定义）：定义DTE与与DCE间如何连接的间如何连接的ITU-T标准，用于在公用数据网络上维标准，用于在公用数据网络上维护远程终端访问与计算机的通信，已被帧中继取代。护远程终端访问与计算机的通信，已被帧中继取代。帧中继（帧中继（Frame Relay）：一种高性能的分组交换式）：一种高性能的分组交换式广域网协议，可以被应用于各种类型的网络接口中。由于广域网协议，可以被应用于各种类型的网络接口中

10、。由于帧中继是一种面向连接，无内在纠错机制的协议，因此适帧中继是一种面向连接，无内在纠错机制的协议，因此适合高可靠性的数字传输设备使用。合高可靠性的数字传输设备使用。ATM（Asynchronous Transfer Mode，异步传输模，异步传输模式）：信元交换的国际标准，在定长（式）：信元交换的国际标准，在定长（53字节）的信元中字节）的信元中能传输多种类型的服务，适于高速传输（如能传输多种类型的服务，适于高速传输（如SONET）。）。5.1.1广域网标准广域网标准 MPLS（Multi-Protocol Label Switching，多协议标，多协议标签交换协议）：签交换协议）：MPL

11、S独立于独立于ATM、IP等数据链路层和网等数据链路层和网络层协议，可在任何现有基础架构上运行。络层协议，可在任何现有基础架构上运行。MPLS将将IP地地址映射为简单的具有固定长度的标签，用于不同的包转发址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。和包交换技术。MPLS可作为一种经济的解决方案，用于可作为一种经济的解决方案，用于传输电路交换网络和分组交换网络的流量。传输电路交换网络和分组交换网络的流量。3. 广域网的网络层标准广域网的网络层标准网络层的主要任务是设法将源节点发出的数据包传送网络层的主要任务是设法将源节点发出的数据包传送到目的节点，从而向传输层提供最基本的端到

12、端的数据传到目的节点，从而向传输层提供最基本的端到端的数据传送服务。常见的广域网网络层协议有送服务。常见的广域网网络层协议有CCITT的的X.25协议协议（定义了（定义了OSI参考模型的下三层）和参考模型的下三层）和TCP/IP协议中的协议中的IP协协议等。议等。5.1.2HDLC HDLC是点到点串行线路上的数据链路层封装格式，是点到点串行线路上的数据链路层封装格式，其帧格式和以太网有很大差别，其帧格式和以太网有很大差别，HDLC帧没有源帧没有源MAC地地址和目的址和目的MAC地址。地址。HDLC采用确认机制进行流量控制采用确认机制进行流量控制和错误控制，每个帧的格式都相同，无论是数据帧还是

13、控和错误控制，每个帧的格式都相同，无论是数据帧还是控制帧。制帧。Cisco公司对公司对HDLC进行了专有化，解决了其无法支进行了专有化，解决了其无法支持多协议的问题。默认情况下持多协议的问题。默认情况下Cisco路由器的串行接口将路由器的串行接口将采用采用Cisco HDLC进行数据封装。进行数据封装。Cisco HDLC与标准与标准HDLC并不兼容，因此如果链路的两端都是并不兼容，因此如果链路的两端都是Cisco设备，设备，可以使用可以使用 Cisco HDLC进行数据封装，但如果进行数据封装，但如果Cisco设备与设备与非非Cisco设备进行连接，则应使用设备进行连接，则应使用PPP进行数

14、据封装。另进行数据封装。另外，外，HDLC不能提供验证，缺少对链路的安全保护。不能提供验证，缺少对链路的安全保护。5.1.3PPP PPP也是串行线路上（同步电路或者异步电路）的一也是串行线路上（同步电路或者异步电路）的一种数据链路层封装格式。种数据链路层封装格式。PPP可以提供对多种网络层协议可以提供对多种网络层协议的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。的支持，并且支持认证、多链路捆绑、回拨、压缩等功能。1. PPP的组件的组件PPP包含包含3个主要组件：个主要组件：用于在点对点链路上封装数据的用于在点对点链路上封装数据的HDLC协议。协议。用于建立、配置和测试数据链路连接的可

15、扩展链路控用于建立、配置和测试数据链路连接的可扩展链路控制协议（制协议（LCP）。）。用于建立和配置各种网络层协议的网络控制协议用于建立和配置各种网络层协议的网络控制协议（NCP）。）。PPP可以支持多种网络层协议，较常见的可以支持多种网络层协议，较常见的NCP有有Internet协议控制协议（支持协议控制协议（支持IP）、）、Appletalk控制协议、控制协议、Novell IPX控制协议等。控制协议等。5.1.3PPP 2. PPP的工作过程的工作过程链路的建立和配置协商：在链路的建立和配置协商：在PPP交换任何网络层数据交换任何网络层数据包（例如包（例如 IP）之前，通信的发起方将发送

16、）之前，通信的发起方将发送LCP帧来配置帧来配置和检测通信链路。和检测通信链路。链路质量检测：链路质量检测： LCP测试链路以确定链路质量是否测试链路以确定链路质量是否满足网络层协议要求。这一阶段是可选的，在链路已经建满足网络层协议要求。这一阶段是可选的，在链路已经建立、协调之后进行。立、协调之后进行。网络层协议配置协调：通信的发起方发送网络层协议配置协调：通信的发起方发送NCP帧以帧以选择并配置网络层协议。选择并配置网络层协议。关闭链路：通信链路将一直保持到关闭链路：通信链路将一直保持到LCP或或NCP帧关闭帧关闭链路或发生一些外部事件。链路或发生一些外部事件。5.1.3PPP 3. PPP

17、的验证方式的验证方式PPP提供了提供了PAP和和CHAP两种身份验证方式。两种身份验证方式。（1）PAPPAP（Password Authentication Protocol，密码验证，密码验证协议）利用协议）利用2次握手的简单方法进行认证。次握手的简单方法进行认证。PAP验证过程验证过程是在链路建立完毕后，源节点不停地在链路上反复发送用是在链路建立完毕后，源节点不停地在链路上反复发送用户名和口令，直到验证通过。在户名和口令，直到验证通过。在PAP验证中，用户名和口验证中，用户名和口令在链路上是以明文传输的，而且由于是由源节点控制验令在链路上是以明文传输的，而且由于是由源节点控制验证重试频率

18、和次数，因此证重试频率和次数，因此PAP验证不能防范再生攻击和重验证不能防范再生攻击和重复的尝试攻击。复的尝试攻击。5.1.3PPP （2）CHAPCHAP（Challenge Handshake Authentication Protocol，询问握手验证协议）利用，询问握手验证协议）利用3次握手周期地验证次握手周期地验证源节点的身份。源节点的身份。CHAP验证过程在链路建立之后进行，而验证过程在链路建立之后进行，而且在以后的任何时候都可以再次进行。且在以后的任何时候都可以再次进行。CHAP不允许连接不允许连接发起方在没有收到询问消息的情况下进行验证尝试。发起方在没有收到询问消息的情况下进行

19、验证尝试。CHAP不直接传送口令，只传送一个不可预测的询问消息，不直接传送口令，只传送一个不可预测的询问消息，以及该询问消息与口令经过以及该询问消息与口令经过MD5加密运算后的加密值。加密运算后的加密值。所以所以CHAP可以防止再生攻击，其安全性比可以防止再生攻击，其安全性比PAP要高。要高。【任务实施】【任务实施】 实训实训1PPP基本配置基本配置实训实训2配置配置PPP身份验证身份验证【任务拓展】【任务拓展】 在图在图5-3所示的网络中，所示的网络中，3台路由器通过串行接口相连。网络台路由器通过串行接口相连。网络组建完成后，请完成以下配置：组建完成后，请完成以下配置：利用利用PPP实现路由

20、器之间的连接。其中在路由器实现路由器之间的连接。其中在路由器Router0和和Router1之间进行双向的之间进行双向的PAP验证，在路由器验证，在路由器Router1和和Router2之间进行双向的之间进行双向的CHAP验证。验证。为网络中的相关设备分配为网络中的相关设备分配IP地址及相关参数，利用静态路由地址及相关参数，利用静态路由或动态路由实现网络的连通。或动态路由实现网络的连通。任务任务5.2利用帧中继实现企业网络互联利用帧中继实现企业网络互联 【任务目的】【任务目的】（1）理解帧中继的基本运行机制；）理解帧中继的基本运行机制；（2）熟悉利用帧中继实现企业网络互联的基本配置方法。）熟悉

21、利用帧中继实现企业网络互联的基本配置方法。【任务导入】【任务导入】 租用线路可以提供永久的专用带宽，在不考虑成本的情况下是最租用线路可以提供永久的专用带宽，在不考虑成本的情况下是最佳的广域网连接方案。但是租用线路的每个端点都需要单独占用路由佳的广域网连接方案。但是租用线路的每个端点都需要单独占用路由器上的一个物理接口，这会增加设备成本。另外租用线路的带宽是固器上的一个物理接口，这会增加设备成本。另外租用线路的带宽是固定的，但广域网的数据流量经常是波动性的，这会使得线路的带宽不定的，但广域网的数据流量经常是波动性的，这会使得线路的带宽不能得到有效利用。在图能得到有效利用。在图5-4所示的网络中，

22、需要租用所示的网络中，需要租用3条线路才能实现条线路才能实现路由器之间的两两连接，显然若路由器之间的通信流量很少的话，这路由器之间的两两连接，显然若路由器之间的通信流量很少的话，这是得不偿失的。是得不偿失的。 【任务导入】【任务导入】 分组交换连接是在两个站点之间使用逻辑电路（虚电路）建立连分组交换连接是在两个站点之间使用逻辑电路（虚电路）建立连接，同一个物理线路上可以建立多个逻辑电路。在分组交换连接中，接，同一个物理线路上可以建立多个逻辑电路。在分组交换连接中，路由器只需要一条物理线路就可以与多个设备之间建立逻辑连接，这路由器只需要一条物理线路就可以与多个设备之间建立逻辑连接，这可以有效的降

23、低成本，最大限度的利用带宽，也可以提高网络设计的可以有效的降低成本，最大限度的利用带宽，也可以提高网络设计的灵活性。帧中继（灵活性。帧中继（Frame Relay，FR）是面向连接的广域网数据交）是面向连接的广域网数据交换协议，工作于换协议，工作于OSI参考模型的物理层和数据链路层，是典型的分组参考模型的物理层和数据链路层，是典型的分组交换技术。请对图交换技术。请对图5-4所示的网络进行配置，利用帧中继实现网络的所示的网络进行配置，利用帧中继实现网络的互联。互联。 【工作环境与条件】【工作环境与条件】 （1）路由器和交换机（本部分以）路由器和交换机（本部分以Cisco 系列产品为例，系列产品为

24、例，也可选用其他品牌型号的产品或使用也可选用其他品牌型号的产品或使用Cisco Packet Tracer、Boson Netsim等网络模拟和建模工具）；等网络模拟和建模工具）；（2）Console线缆和相应的适配器；线缆和相应的适配器；（3）安装）安装Windows操作系统的操作系统的PC；（4）组建网络所需的其他设备。）组建网络所需的其他设备。 5.2.1帧中继网络的拓扑结构帧中继网络的拓扑结构 帧中继使用的连接是由虚电路提供的，虚电路是两台帧中继使用的连接是由虚电路提供的，虚电路是两台设备之间的逻辑连接，因此每个局域网路由器只需要通过设备之间的逻辑连接，因此每个局域网路由器只需要通过一

25、条物理链路连接到帧中继网络（也称帧中继云），通过一条物理链路连接到帧中继网络（也称帧中继云），通过该物理连接就可以使用逻辑虚电路连接到远程网络。帧中该物理连接就可以使用逻辑虚电路连接到远程网络。帧中继网络最简单的拓扑结构为星型结构，即帧中继云中只有继网络最简单的拓扑结构为星型结构，即帧中继云中只有一台帧中继交换机来提供主要服务与应用。为了保证数据一台帧中继交换机来提供主要服务与应用。为了保证数据传输质量，在大型的帧中继网络中更多采用全网状拓扑结传输质量，在大型的帧中继网络中更多采用全网状拓扑结构或部分网状拓扑结构构或部分网状拓扑结构 5.2.2虚电路与虚电路与DLCI 1. 虚电路虚电路虚电路

26、（虚电路（Virtual Circuit，VC）是一种分组交换传输）是一种分组交换传输方式，分为永久虚电路（方式，分为永久虚电路（PVC）和交换虚电路（）和交换虚电路（SVC）两种类型。两种类型。PVC与租用线路类似，由运营商预先配置，与租用线路类似，由运营商预先配置，只要存在一条从发送站到接收站的物理链路就可以一直保只要存在一条从发送站到接收站的物理链路就可以一直保持连通状态。持连通状态。SVC与电路交换连接类似，当需要发送数与电路交换连接类似，当需要发送数据时据时SVC会被动态创建，数据发送完毕后电路将立刻被会被动态创建，数据发送完毕后电路将立刻被拆除。由于拆除。由于PVC简单、高效，因此

27、更适合于进行数据通简单、高效，因此更适合于进行数据通信。信。5.2.2虚电路与虚电路与DLCI 2. DLCI帧中继使用帧中继使用DLCI（Data Link Connection Identifier，数据链路连接标识符）来区分网络中的不同虚电路。实际数据链路连接标识符）来区分网络中的不同虚电路。实际上上DLCI就是就是IP数据包在帧中继链路上进行封装时所需的数据包在帧中继链路上进行封装时所需的数据链路层地址，其长度一般为数据链路层地址，其长度一般为10bit，也可扩展为，也可扩展为16bit。DLCI通常由帧中继服务提供商统一分配，其范围一般为通常由帧中继服务提供商统一分配，其范围一般为1

28、61007（015和和10081023留作特殊用途）。帧中继留作特殊用途）。帧中继的的DLCI仅具有本地意义，只在其所在物理链路上是唯一仅具有本地意义，只在其所在物理链路上是唯一的。的。5.2.2虚电路与虚电路与DLCI 5.2.3帧中继的地址映射帧中继的地址映射 DLCI是帧中继网络中的数据链路层地址。路由器要是帧中继网络中的数据链路层地址。路由器要通过帧中继网络把通过帧中继网络把IP数据包发到下一跳路由器时，它必须数据包发到下一跳路由器时，它必须知道知道IP地址和地址和DLCI的映射才能进行数据帧的封装。的映射才能进行数据帧的封装。路由器有两种方法可以获得地址映射，一种是静态映路由器有两种

29、方法可以获得地址映射，一种是静态映射，即由管理员手工输入；另一种是利用射，即由管理员手工输入；另一种是利用IARP（Inverse ARP，逆向地址解析协议）动态建立帧中继映射。默认，逆向地址解析协议）动态建立帧中继映射。默认情况下，情况下，Cisco路由器帧中继接口将采用动态映射。路由器帧中继接口将采用动态映射。I 5.2.4LMI LMI（Local Management Interface，本地管理接，本地管理接口）提供了一个帧中继交换机和路由器之间的简单信令，口）提供了一个帧中继交换机和路由器之间的简单信令，用于建立和维护帧中继用于建立和维护帧中继DTE和和DCE设备之间的连接，维设备之间的连接，维护虚电路的状态。护虚电路的状态。LMI有多种类型，如有多种类型，如ITU-T的的Q.933附录附录A、ANSI的的T1.617附录附录D、Cisco非标准兼容协议等。在非标准兼容协议等。在帧中继交换机和路由器之间必须采用相同的帧中继交换机和路由器之间必须采用相同的LMI类型，类型，Cisco路由器在较高版本的路由器在较高版本的IOS中具有自动检测中具有自动检测LMI类型类型的功能。对于的功能。对于DTE设备，设备，PVC的状态完全由的状态完全由DCE设备决设备决定。路由器从帧中继交换机收