集团企业网组建项目(五)――广域网技术

1、2009/9,Mail: ,构建中小企业网络,集团企业网组建项目(一),目录,工作任务布置 广域网基本概念 如何在交换机上配置VLAN 任务实施（一） VLAN间通信的方法 任务实施（二）,2009/9,Mail: ,工作任务布置,2009/9,Mail: ,任务背景,公司总部在北京，因为业务发展壮大，在上海建立了一家分公司，为了便于管理及日常工作顺利开展，总部决定和分公司之间采用广域网线路连接。,2009/9,Mail: ,拓扑图,R3640,RG-S68082,RG-S3550,RG-S4909,RG-S3550,RG-S3550,RG-S3550,RG-R6806E,RG-S2126S,

2、RG-S2126S,FR,分公司,公司总部,2009/9,Mail: ,广域网基本概念,2009/9,Mail: ,广域网的作用,基于电信运营商的通信网络设施建立远程连接 在相距遥远的局域网之间建立连接性,WAN,运营商通信网,北京,西安,1000km,2009/9,Mail: ,广域网与OSI参考模型,OSI参考模型,广域网,2009/9,Mail: ,广域网连接方式,X.25/帧中继/ATM,PSTN/ISDN,分组交换方式,电路交换方式,专线方式,异步/同步专线,2009/9,Mail: ,专线连接模型,运营商 传输设备,运营商通信网,运营商 传输设备,DTE,DTE,DCE,DCE,远

3、程线路,点到点永久性独占线路，固定带宽 典型技术：异步模拟专线、同步数字专线 链路层常使用SDLC、HDLC、PPP等,本地线缆,本地线缆,接入线路,接入线路,用户路由器,用户路由器,2009/9,Mail: ,电路交换连接模型,按需拨号建立连接，独占线路，带宽固定 典型技术：PSTN、ISDN 链路层通常采用PPP,广域网 交换机,运营商通信网,广域网 交换机,DTE,DTE,DCE,DCE,远程交换电路,本地线缆,本地线缆,接入线路,接入线路,用户路由器,用户路由器,2009/9,Mail: ,分组交换连接模型,一个端系统设备可以通过虚电路连接到多个通信对端 典型技术：X.25、帧中继、A

4、TM,分组交换机,运营商分组交换网,分组交换机,虚电路,接入链路,接入链路,用户路由器,用户路由器,2009/9,Mail: ,常用接口和线缆,接口和线缆 V.24、V.35、X.21、RS-232、RS-449、RS-530、RJ-11、RJ-45、双绞线等 设备 调制解调器、同步CSU/DSU等,运营商 设备,运营商通信网,串口,串口线缆,接入线缆,用户路由器,2009/9,Mail: ,V.24接口线缆,V.24 DTE电缆,支持同步和异步两种方式 异步方式下最高速率为115200bps 同步方式下最高速率为64000bps,2009/9,Mail: ,V.35接口线缆,V.35 DTE

5、电缆,只能工作在同步方式下 同步方式下最大速率2Mbps,2009/9,Mail: ,HDLC协议与配置,2009/9,Mail: ,HDLC概述,HDLC封装,面向比特 透明传输 运行于同步串行线路,同步串行线路,2009/9,Mail: ,HDLC帧格式,标志字段：标志帧的起始（01111110） 地址字段：用来寻址目的设备 控制字段：构成各种命令以及响应 信息字段：有效信息或者数据 帧校验：校验帧错误,2009/9,Mail: ,HDLC状态检测,HDLC设备以轮询时间间隔为周期，向链路上发送Keepalive消息 3个周期内无法收到对方发出的Keepalive消息，HDLC设备就认为链

6、路不可用 同一链路两端设备的轮询时间间隔应设为相同的值,每10秒发送keepalive,每10秒发送keepalive,2009/9,Mail: ,HDLC协议特点,对于任何一种比特流都可透明传输 较高的数据链路传输效率 所有的帧（包括响应帧）都有FCS，传输可靠性高 用统一的帧格式来实现传输,2009/9,Mail: ,HDLC协议使用限制,只支持点到点连接，不支持点到多点 只能工作于同步方式 不支持验证，缺乏安全性 不支持IP地址协商,2009/9,Mail: ,2009/9,Mail: ,Router(config-if)# encapsulation hdlc,启用HDLC 封装 同步

7、串行接口默认使用HDLC封装,配置HDLC 封装,任务实施（一）,2009/9,Mail: ,任务布置,在广域网接口封装HDLC协议,使总公司与分公司ping通;,RTA,RTB,PCB,PCA,S0/0,S0/0,f0/0,f0/0,2009/9,Mail: ,PPP协议,2009/9,Mail: ,PPP基本概念,PPP协议支持同步和异步线路 PPP协议支持验证和地址协商,同步/异步专线,接入服务器,PPP,PSTN/ISDN,PSTN/ISDN,PPP,PPP,PPP,PPP,PPP,2009/9,Mail: ,PPP的特点,可以工作在同异步方式下 能够控制数据链路的建立 支持验证，更加

8、安全 可同时支持多种网络层协议 可以对网络层地址进行协商，能够远程分配IP地址 无重传机制，网络开销小,2009/9,Mail: ,2009/9,Mail: ,LCP(连接控制协议),NCP(网络控制协议),2,1,(IP, IPX, AppleTalk),3,PPP协议结构,物理介质（同步异步）,PPP协议主要由LCP、NCP以及用于网络安全的可选验证协议族组成,PPP帧格式,标志字段：标志帧的起始（01111110） 地址字段：总设成11111111,表明主从端的状态都为接收状态 控制字段：其缺省为00000011，表明是一个无序号的帧，默认情况下，没有采用序列号来进行可靠传输 协议字段：

9、这些协议包括了LCP和针对所支持的每种网络层协议而定的不同NCP。 信息字段：有效信息或者数据 帧校验：校验帧错误,标志F,控制C,地址A,帧校验TCS,标志F,信息I,协议P,2009/9,Mail: ,PPP会话建立过程,PSTN/ISDN,PPP链路,链路的建立和配置协调阶段,可选的验证阶段，选择PAP或者CHAP,网络层协议配置协商阶段,2009/9,Mail: ,PPP会话流程,Dead阶段,Establish阶段,Network阶段,Authenticate阶段,Terminate阶段,关闭,验证失败,LCP Opened,验证通过或无验证,链路建立失败,Down,底层up,200

10、9/9,Mail: ,PAP验证,用户名密码,通过/拒绝,被验证方首先发起验证请求，两次握手验证 密码以明文传送,被验证方,主验证方,用户列表,2009/9,Mail: ,CHAP验证,主机名加密后报文,通过/拒绝,主机名随机报文,被验证方,主验证方,主验证方首先发起验证请求，三次握手验证 不发送密码，安全性比PAP高,用户列表,2009/9,Mail: ,PPP验证对比,PAP是两次握手，CHAP是三次握手 PAP密码以明文方式在链路上发送，缺乏安全性 CHAP只在网络上传输用户名，而并不传输用户密码 PAP和CHAP都支持双向身份验证,2009/9,Mail: ,PPP MP简介,MP（M

11、ultilink PPP）将多个PPP链路捆绑后当作一条链路使用 MP可以实现增加带宽、负载分担、链路备份以及降低报文时延的目的,2009/9,Mail: ,PPP MP实现方式,一种是通过配置虚拟模板接口（Virtual-Template，VT）来实现MP 可利用用户名确定捆绑 一个VT接口可派生多个捆绑 一种是利用MP-Group接口实现MP Mp-Group是MP专用接口，一个MP-group只能对应一个绑定,2009/9,Mail: ,PPP配置,2009/9,Mail: ,PPP的配置,路由器上的配置 RA(config)#interface seriel 1/2 RA(config

12、-if)# encapsulation ppp 注：路由器广域网默认封装方式为HDLC,2009/9,Mail: ,PAP验证的配置,客户端（被验证方） RA(config)#interface seril 1/2 RA(config-if)# encapsulation ppp RA(config-if)#ppp pap sent-username ruijie password 123,2009/9,Mail: ,PAP验证的配置,服务端（验证方） RB(config)#username ruijie password 123 RB(config)#interface seril 1/2

13、RB(config-if)# encapsulation ppp RB(config-if)#ppp authentication pap,2009/9,Mail: ,2009/9,Mail: ,CHAP 配置实例,2009/9,Mail: ,Router# show interface s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, loa

14、d 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input 00:00:05, output 00:00:05, output hang never Last clearing of show interface counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bi

15、ts/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 38021 packets input, 5656110 bytes, 0 no buffer Received 23488 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 38097 packets output, 2135697 bytes, 0 underruns 0 output error

16、s, 0 collisions, 6045 interface resets 0 output buffer failures, 0 output buffers swapped out 482 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up,检查HDLC和PPP封装,2009/9,Mail: ,debug ppp authentication shows successful CHAP output.,检查PPP验证,任务实施（二）,2009/9,Mail: ,任务布置,实验目的 在路由器上配置PAP和CHAP两种认证方式 实验检

17、测 网络连通 Router#debug ppp authentication,RTA,RTB,PCB,PCA,S0/0,S0/0,Eth0/0,Eth0/0,2009/9,Mail: ,帧中继协议,2009/9,Mail: ,帧中继协议栈,网络层,数据链路层,物理层,1,2,3,OSI参考模型,帧中继协议,EIA/TIA-232、 EIA/TIA-449、 V.24、V.35、X.21等,IP、IPX等网络层协议,2009/9,Mail: ,帧中继基本概念,PVC,PVC,DLCI 20,DLCI 30,DLCI 40,DLCI 30,LMI,DTE,DCE,帧中继网络,NNI,DCE,DTE

18、,NNI,接入线路（64Kbps）,接入线路（128Kbps）,接入线路（256Kbps）,RTA,RTB,RTC,LMI,2009/9,Mail: ,帧中继虚电路,物理线路,DLCI=20,DLCI=30,虚电路,在同一个物理连接上可以复用多条虚电路,2009/9,Mail: ,帧中继网络拓扑,全网状拓扑,部分网状拓扑,星型拓扑,帧中继网络,帧中继网络,帧中继网络,2009/9,Mail: ,帧中继数据链路标识,DLCI=20,DLCI=30,DLCI=40,DLCI=20,DLCI=50,DLCI=30,帧中继网络,帧中继用DLCI标识虚电路 DLCI只具有本地意义，不具备全局意义,RTA

19、,RTB,RTC,2009/9,Mail: ,LMI协议标准,系统支持三种标准的LMI协议 DTE和DCE必须采用相同的LMI协议,2009/9,Mail: ,帧中继地址映射,DLCI=20,DLCI=30,DLCI=40,DLCI=20,DLCI=50,DLCI=30,帧中继网络,目的IP10.10.10.2,帧中继头,帧中继封装,10.10.10.2,10.10.10.1,DLCI 20,目的IP10.10.10.1,帧中继头,帧中继封装,DLCI 50,帧中继地址映射是把对端设备的协议地址与本地的DLCI关联起来 映射可以通过静态配置或Inverse ARP建立,2009/9,Mail:

20、 ,Inverse ARP,RTB向DCLI 48 通告IP 172.16.11.2,RTA向DLCI 66 通告IP 172.16.11.3,通过Inverse ARP可以自动发现对端路由器的网络地址，从而简化了帧中继的配置,Inverse ARP,Inverse ARP,帧中继网络,DCE,DCE,172.16.11.2,DLCI 48,DLCI 66,172.16.11.3,DTE,DTE,RTB,RTA,2009/9,Mail: ,配置RIP peer,帧中继网络不支持RIP更新的广播发送 需要在路由器上配置各个RIP邻居路由器的IP地址，以便通过单播发送更新,RTC,帧中继网络,RT

21、A,RTD,S0/0,RTB,1.1.1.4/24,1.1.1.3/24,1.1.1.2/24,1.1.1.1/24,RTArip RTA-rip-1network 1.0.0.0 RTA-rip-1peer 1.1.1.2 RTA-rip-1peer 1.1.1.3 RTA-rip-1peer 1.1.1.4,RTArip RTA-rip-1network 1.0.0.0 RTA-rip-1peer 1.1.1.1,2009/9,Mail: ,帧中继与水平分割,RTC,水平分割导致RTA不会把RTD发来的路由告知RTB和RTC,帧中继网络,RTA,RTD,S0/0,RTB,10.1.1.0/

22、24,2009/9,Mail: ,帧中继与水平分割（续）,关闭水平分割可能导致环路 解决方案：为每个虚电路配置子接口,RTC,帧中继网络,RTA,RTD,RTB,10.1.1.0/24,S0/0.1,S0/0.2,S0/0.3,2009/9,Mail: ,帧中继配置(Cisco),2009/9,Mail: ,2009/9,Mail: ,配置基本的帧中继,2009/9,Mail: ,配置静态Frame Relay映射,2009/9,Mail: ,配置点到点子接口,2009/9,Mail: ,配置多点子接口,2009/9,Mail: ,检查帧中继配置,Router# show interfaces

23、 s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec) LMI enq sent 19, LMI stat recvd 20, LMI upd recvd 0, DTE LMI up LMI

24、enq recvd 0, LMI stat sent 0, LMI upd sent 0 LMI DLCI 1023 LMI type is CISCO frame relay DTE FR SVC disabled, LAPF state down Broadcast queue 0/64, broadcasts sent/dropped 8/0, interface broadcasts 5 Last input 00:00:02, output 00:00:02, output hang never Last clearing of show interface counters nev

25、er Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops ,Router# show interfaces type number,Displays information about Frame Relay DLCIs and the LMI,2009/9,Mail: ,检查帧中继配置,Router# show frame-relay pvc 100 PVC Statistics for interface Serial0 (Frame Relay DTE) DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 28 output pkts 10 in bytes 8398 out bytes 1198 dropped pkts 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 10 out bcast bytes 1198 pvc create time 00:03:46, last tim