《网络设备配置与调试案例教程》-第四章 路由设备配置4.6

CONTENTS教学目标路由器是网络的核心，负责在网络间将数据包从初始源位置转发到最终目的地；路由器可以实现路由、网络访问控制、防止广播风暴，提高网络安全等功能；路由器的安装和调试比较复杂，相对其他网络互连设备的价格较高。【知识目标】Ø了解路由器的类型。Ø掌握路由器基本原理。Ø掌握各种路由的常用命令。【技能目标】Ø能够配置静态路由、动态路由，是网络畅通。Ø能够用OSPF路由完成路由配置，使网络畅通。Ø能够配置标准ACL实现网络基本流量控制。Ø能够配置DHCP服务实现内部网络地址动态获取。Ø能够配置静态NAT、动态NAT，实现内网和外网的互访。Ø能够配置三层交换机实现VLAN间的路由转发。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7静态路由动态路由访问控制列表DHCP与NAT广域网链路三层交换机配置4.6广域网链路网络设备配置与调试案例教程4.6.1项目背景1.需求分析

广域网(WAN)不同于局域网(LAN)。局域网只在很小的地址范围内连接工作站、终端及其他设备，而广域网是由多个局域网相互连接而成的，其所建立的数据连接将跨越一个广阔的区域，一般翌盖的范围可从几百公里到几千公里，因此，人们通常需要租用电信和数据通信公司的通信线路，而不是自己铺设线路。

当前常见的广域网接入方式包括HDLC、PPP、帧中继等，本节以PPP和

帧中继两种技术来实现公司网络的广域网接入链路配置。2.环境准备

Ø设备路由器4台，PC2台。Ø线缆：串口线缆4根，以太网线缆2根。4.6广域网链路网络设备配置与调试案例教程3.技能准备(1)了解PPP

在每个广域网连接上，数据在通过广域网链路传输之前都会封装成帧。要确保使用正确的协议，需要配置适当的第2层封装类型。PPP是串行链路上的一种帧封装格式，可以提供对多种网络层协议的支持，为不同厂商的设备互连提供了可能，并且支持验证、多链路捆绑、回拨和压缩等功能。PPP包含3个主要组件：用于在点对点链路上封装数据报的HDLC协议；用于建立、配置和测试数据链路连接的可扩展链路控制协议(LCP)；用于建立和配置各种网络层协议的一系列网络控制协议(NCP)。创建PPP会话需要3个阶段：链路建立和配置协商；链路质量确认以及网络层协议配置协商。4.6广域网链路网络设备配置与调试案例教程(2)PPP身份验证协议PPP身份验证是指对等路由器交换身份验证消息的过程。验证方法有两种：口令验证协议(PAP)和挑战握手验证协议(CHAP)。PAP是非常基本的双向过程，未经任何加密，用户名和口令以纯文本格式发送。如果通过此验证，则允许连接；CHAP比PAP更安全，它通过三次握手交换共享密钥，与一次性身份验证的PAP不同，CHAP定期执行消息询问，以确保远程节点仍然拥有有效的口令值。PPP会话的身份验证是可选的。如果使用了身份验证，就可以在LCP建立链路并选择身份验证协议之后验证对等点的身份，此活动将在网络层协议配置阶段开始之前进行。4.6广域网链路网络设备配置与调试案例教程(3)帧中继（二层技术）

帧中继是一种网络与数据终端设备（DTE）的接口标准，工作在物理层和数据链路层。帧中继指定本地环路上如何在DTE和DCE之间传输数据，并不指定WAN上各个DCE之间是如何传输数据帧的，帧中继WAN是通过干线互连的交换机网。

帧中继是应用最广泛的WAN协议之一。这主要是因为它的成本比专用线路低；此外，在帧中继网络中配置用户设备非常简单。通过配置路由器或其他设备使之与服务提供商的帧中继交换机通信，即可建立帧中继连接。服务提供商负责配置帧中继交换机，这有助于最大限度地减少最终用户的配置任务。4.6广域网链路网络设备配置与调试案例教程(4)帧中继术语Ø虚电路VC是指两个DTE之间通过帧中继网络实现的连接，这种连接是一种逻辑连接，并没有直连的电路连接。虚电路包括交换虚电路SVC和永久虚电路PVC两种。SVC是通过向网络发送信令消息动态建立的；而PVC是运营商预配置的电路。Ø数据链路连接标识符DLCI用于标识虚电路的数字，DLCI通常仅具有本地意义，并且在虚电路的每一端可能不同。通常，DLCI0～15和1008～11023到1023留作特殊用途，因此，服务提供商分配的DLCI范围通常为16～11007。Ø本地管理接口LMI是一种keepalive（保持连接）的机制，提供路由器(DTE)和帧中继交换机(DCE)之间的帧中继连接的状态信息。终端设备每10s（或大概如此）轮询一次网络，请求通道状态信息。4.6广域网链路网络设备配置与调试案例教程(5)帧中继映射DLCI是帧中继网络中的第2层地址，当路由器通过帧中继网络把LP数据包发到下一跳路由期时，它必须知道IP和DLCI的映射关系才能进行帧的封装。有两种方法可以获得该映射：静态映射，由管理员手工配置；动态映射，即逆向ARP。默认时，路由器帧中继接口是幵启动态映射的。Ø静态映射。静态映射的建立应根据网络需求而定。要在下一跳协议地址和DLCI目的地址之间进行映射，可使用以下命令：frame-relaymapprotocolprotocol-addressdlci[broadcast]

帧中继是非广播多路访问网络(NBMA),NBMA网络不支持组播或广播流量，因此，一个数据包不能同时到达所有目的地。可以使用关键字broadcast将数据包手动复制到所有目的地。这在转发路由更新时是非常有用的。Ø动态映射。动态映射通过逆向ARP功能来完成。由于逆向ARP为默认启用的配置，因此无需另外执行任何命令即可在接口上配置动态映射。4.6广域网链路网络设备配置与调试案例教程4.6.2项目设计

任务1：在两个不同地点的公司网络路由器R1和R2和R3上配置PPP并配置PPP验证。

任务2：R3和R4相连的接口类型配置为帧中继。

任务3：R1、R2、R3、R4上启用OSPF路由协议，四个路由器全部采用同一个进程号，

同一个区域。

任务4：R2为PPP的服务端，R1的s4/0/0接口与R3的s4/0/0接口的IP地址配置为通过

ppp的NCP报文（PPPIPCP）来获取ip地址，不需要手动配置。

任务5：将R2作为认证方，R1与R3作为被认证方，R1与R2之间才用PPP的pap认证，R2

与R3之间才用PPP的chap认证。

任务6：在帧中继网络中，默认无法使用ospf路由协议，请修改某些配置，使得ospf

协议在帧中继网络中正常运行。

任务7：最终网络可以全部互相访问。4.6广域网链路网络设备配置与调试案例教程1.拓扑设计

本项目的网络拓扑如图所示。4.6广域网链路网络设备配置与调试案例教程2.IP地址设计

为了简化网络实现而设计的设备接口地址方案见下表。设备接口IP地址子网掩码R1GO/0/0192.168.10.1255.255.255.0S4/O/O10.1.1.2255.255.255.252S4/0/110.3.3.2255.255.255.252R3GO/0/1192.168.30.1255.255.255.0S4/0/010.2.2.2255.255.255.252R2S4/0/010.1.1.1255.255.255.252S4/0/110.2.2.1255.255.255.252R4S4/0/010.3.3.1255.255.255.252PC1网卡192.168.10.10255.255.255.0PC3网卡192.168.30.10255.255.255.0设备接口IP地址表4.6广域网链路网络设备配置与调试案例教程4.6.3项目实施1.PPP

本网络中，路由器R1和R3与R2之间都是PPP链路，进行配置之前，完成以下任务。Ø按照拓扑图连接网络。Ø在R1、R2和R3上启用OSPF路由，以1作为进程ID。

检查网络是否完全连通，在网络连通的情况下开始以下配置。(1)配置路由器R1

华为路由器上的默认串行封装是ppp,配置当前的封装类型，配置如下：interfaceSerial4/0/0

link-protocolppp//配置接口链路类型为PPP

ipaddressppp-negotiate配置IP地址为ppp自动协商获取interfaceGigabitEthernet0/0/0ipaddress192.168.10.1255.255.255.0ospf1router-id1.1.1.1area0.0.0.0network10.1.1.20.0.0.0network10.3.3.20.0.0.0network192.168.10.10.0.0.04.6广域网链路网络设备配置与调试案例教程(2)配置路由器R2ippoolaagateway-list10.1.1.1network10.1.1.0mask255.255.255.252#ippoolbbgateway-list10.2.2.1network10.2.2.0mask255.255.255.252interfaceSerial4/0/0link-protocolpppremoteaddresspoolaaipaddress10.1.1.1255.255.255.252#interfaceSerial4/0/1link-protocolpppremoteaddresspoolbbipaddress10.2.2.1255.255.255.252ospf1router-id2.2.2.2area0.0.0.0network10.1.1.10.0.0.0network10.2.2.10.0.0.04.6广域网链路网络设备配置与调试案例教程(3)配置路由器R3

(4)实验调试Ødisplayinterface,该命令显示路由器上配置的所有接口的统计信息。Øping测试。从PC1主机pingPC3主机，应该是通的。interfaceSerial4/0/0link-protocolpppipaddressppp-negotiateinterfaceGigabitEthernet0/0/1ipaddress192.168.30.1255.255.255.0ospf1router-id3.3.3.3area0.0.0.0network10.2.2.20.0.0.0network192.168.30.00.0.0.2554.6广域网链路网络设备配置与调试案例教程2.PPP验证PPP定义了两种身份验证协议：口令验证协议(PAP)和挑战握手验证协议(CHAP)。PAP是非常基本的双向过程，未经任何加密，用户名和口令以纯文本格式发送，如果通过此验证，则允许连接。CHAP比PAP更安全，它通过3次握手交换共享密钥。与一次性身份验证的PAP不同，CHAP定期执行消息询问，以确保远程节点仍然拥有有效的口令值，口令值是个变量，在链路存在时该值不断改变，并旦这种改变是不可预知的。4.6广域网链路网络设备配置与调试案例教程下面分别在R1与R2、R2与R3间的两段串行链路上配置PAP和CHAP身份验证协议。(1)在R2和R3间的串行链路上配置PPPCHAP身份验证。R2配置：aaalocal-userchappasswordcipher456local-userchapservice-typepppinterfaceSerial4/0/1

pppauthentication-modechap//开启认证R3配置：interfaceSerial4/0/0pppchapuserchappppchappasswordcipher4564.6广域网链路网络设备配置与调试案例教程(2)在R1和R2间的串行链路上配置PPPPAP身份验证。R1配置：aaalocal-userpappasswordcipher123 local-userpapservice-typeppp

interfaceSerial4/0/0

pppauthentication-modepap//开启认证R2配置：interfaceSerial4/0/0ppppaplocal-userpappasswordsimple123(3)从PC1pingPC3,测试连通性，结果应该是通的。4.6广域网链路网络设备配置与调试案例教程3.FR帧中继

：framerelay（二层技术）R1配置：interfaceSerial4/0/1

link-protocolfr//配置接口链路类型为帧中继 ipaddress10.3.3.2255.255.255.252

ospfnetwork-typebroadc