第14章广域网

1、第十四章 广域网,广域网概述 WAN技术之物理层 WAN技术之数据链路层 Internet接入方式 PPP 帧中继 VPN,WAN (广域网)概述,WAN是一种地域上超过局域网的数据通信网络 WAN与LAN区别之一在于需要向外界的WAN服务提供商（通常是电信公司）申请广域网服务，而 LAN 通常归使用 LAN 的公司或组织所有。 用户所需要的WAN服务依据用户需求、所需成本和实用性三个角度来考虑,WAN (广域网)概述,WAN 有三大特性： WAN 中连接设备跨越的地理区域通常比 LAN 的作用区域更广； WAN 使用运营商提供的服务； WAN 使用各种类型的串行连接提供对大范围地理区域带宽的

2、访问功能。,WAN (广域网)概述,为何需要 WAN？ 分区或分支机构的员工需要与总部通信并共享数据。 组织经常需要与其它组织远距离共享信息。 经常出差的员工需要访问公司网络信息。,WAN 技术概述,WAN 操作主要集中在第 1 层和第 2 层上。 物理层（OSI 第 1 层）协议描述连接通信服务提供商提供的服务所需的电气、机械、操作和功能特性。 数据链路层（OSI 第 2 层）协议定义如何封装传向远程位置的数据以及最终数据帧的传输机制。,WAN 物理层概念,WAN 物理层概念,WAN 物理层概念,WAN 物理层协议描述连接 WAN 服务所需的电气、机械、操作和功能特性。WAN 物理层还描述

3、DTE 和 DCE 之间的接口。,WAN 线缆连接器,Data Terminal Equipment 数据终端设备 WAN连接中用户方的最后设备,Data Communications Equipment 数据通讯设备 WAN服务商方的最后通讯设备 DCE提供时钟,DCE,DTE,调制解调器 通道服务单元/ 数据服务单元,DTE,DTE,DCE,DCE,串行连接中的DTE和 DCE比较,DTE/DCE责任分界点,串行点到点连接,V.35规程的机械特性,DB34（外接网络端）-DB50（路由器端） DTE端为34针型插头 DCE端为34孔型插头,连接类型： 点到点专线 Leased Line,H

4、DLC、PPP封装,ISDN 拔号 ADSL,电路交换 Circuit-Switched,异步串口,X.25 帧中继 ATM,包交换或分组交换 Packet-Switched,同步串口,广域网数据链路层,WAN 数据链路层概念,数据链路层会根据网络层数据构造数据帧，以便可以对数据进行必要的校验和控制。 所有 WAN 连接都使用第 2 层协议对在 WAN 链路上传输的数据包进行封装。 为确保使用正确的封装协议，必须为每个路由器的串行接口配置所用的第 2 层封装类型。 封装协议的选择取决于 WAN 技术和设备。,典型的WAN封装协议,HDLC High-Level Data-Link Contro

5、l Protocol，高级数据链路控制协议 PPP Point-to-Point Protocol，点对点协议，是一个工业标准协议 帧中继 包交换技术，是一个提供高性能数据链路层和物理层的规范,WAN 数据链路层概念,地址字段和控制字段合称为帧头。 控制字段依赖于具体的协议. PPP 和 Cisco 版的 HDLC 在帧头均有一个附加字段，用于识别已封装数据的网络层协议。,HDLC封装,HDLC 是由国际标准化组织 (ISO) 开发的、面向比特的同步数据链路层协议。 HDLC 定义的第 2 层帧结构采用确认机制进行流量控制和错误控制。 HDLC 使用帧定界符（或标志）来标记每个帧的开头和结尾。

6、 Cisco 已经扩展了 HLDC 协议，解决了无法支持多协议的问题。,配置 HDLC 封装,Cisco HDLC 是 Cisco 设备在同步串行线路上使用的默认封装方法。 如果连接的不是 Cisco 设备，则应使用同步 PPP。, 启用 HDLC 封装,DDN专线,Digital Data Network Leased Line 预先布置好的通信路径，提供24*7的服务，非常适合多业务的网络。 通过从电信公司租用而来，所以就叫做租用线路。这种线路方式一般由带宽和距离来定价，价格相对昂贵，适合于企业用户 传输质量高、速度快、带宽利用率高等一系列优点，速度最高可以达到T3的45Mbps或E3的3

7、4Mbps,帧中继Frame Relay,包交换技术,提供高性能数据链路层和物理层规范 提供动态分配带宽和拥塞控制特性 比专线更经济，64Kbps45Mbps 随着连接地域不同，费用也不同,服务器,公司网络,永久虚电路Permanent Virtual Circuit (PVC),帧中继网络,ISDN 综合业务数据网,Integrated Service Digital Network，利用现有的模拟电话线，采用数字传输技术 使用时需要拔号，最高128Kbps的数据传输速率 一个信道打电话，一个信道用于上网，可同时进行 作为其他连接类型（例如帧中继或T1连接）的备份链路,DSL,Digital

8、 subscriber line，数字用户线路 传统的电话公司通过双绞线铜质电话线提供高速率数据传输、专线连接方式 根据上、下行速度相同或不同分为对称DSL和非对称DSL ADSL（Asymmetric Digital Subscriber Line ）下行最大速率8Mbps，上行最大1Mbps ADSL采用频分复用技术,Cable Modem,利用有线电视线路，目前国内开通有线通的城市还不多，主要集中在北京、上海和广州等大城市 Cable线路带宽是共享的，在用户达到一定规模后实际上无法提供宽带数据业务 无须拨号上网，不占用电话线，可提供随时在线的永久连接 网络仍需改造，费用较高,PLC,Po

9、wer Line Communication，利用电线实现电力线通信 利用传输电流的电力线作为通信载体，使得PLC具有极大的便捷性。此外，除了利用电力上网外，还可将房屋内的电话、电视、音响、冰箱等家电利用PLC连接起来，进行集中控制，实现“智能家庭”的梦想。 目前，PLC主要是作为一种新的接入技术，适用于居民小区，学校，酒店，写字楼等领域。,小区宽带,FTTB+LAN方式 大中城市目前较普及的一种宽带接入方式，网络服务商采用光纤接入到楼，再通过网线接入用户家 可以说是目前家庭用户速度最快的接入方式，用户端无需特殊设备,PPP协议是数据链路层协议，位于第二层 物理层可以是同步电路也可以是异步电路

10、 PPP 可以通过 NCP 携带多个协议的数据包 PPP 可以通过 LCP 建立和控制连接 PPP还提供了用于网络安全方面的验证协议族(PAP和CHAP),PPP 综述,同步或异步物理介质 EIA/TIA-232-C、V.24、V.35、ISDN,Link Control Protocol,验证，其它选项,Network Control Protocol,PPP,数据链路层,物理层,网络层,IPCP,IPXCP,Many Others,IP,IPX,Layer 3 Protocols,PPP协议栈,PPPA data link with network-layer services,PPP会话

11、建立,每台PPP设备发送LCP包来配置和测试链路。LCP包有“配置选项”字书 段，允许查看数据的大小、压缩和认证。 如果配置验证，可以使用CHAP或PAP两种方法。 NCP针对每一种网络层协议都有一种封装格式来区别它们的报文,PPP 会话的建立1链路建立 2验证阶段（可选） 3 网路层协议连接,Dialup or Circuit-Switched Network,PPP验证,在PPP会话中，验证是可选的。 如果需要验证，则须通信双方的路由器要交换彼此的验证信息。 可以选择使用口令验证协议（Password Authentication Protocol，PAP）或问答握手验证协议（Challe

12、nge Authentication Protocol，CHAP）；在一般情况下，CHAP是首选协议。,PAP是两次握手验证协议，口令以明文传递,被验证方首先发起验证请求。,PAP(口令认证协议)验证,被验证方,用户名密码,通过 / 拒绝,主验证方,在链路中传递的是HASH(散列值)，不是明文密码。CHAP是三次握手验证协议，不发送口令，主验证方首先发起验证请求（也就是挑战信息），安全性比PAP高。 要求两端的密码必须相同，否则根据原理两端的HASH值不相同。,CHAP：问答握手验证协议,Router(config-if)#encapsulation ppp,在接口上封装PPP,配置PPP封装

13、,Router(config)#hostname name,设定路由器的主机名，由于PPP在进行CHAP认证时，对端 路由器使用此名字进行口令的查找，因此，主机名的大小 写都不要搞错，否则就查无此机。,Router(config)#username name password password,把对端路由器的用户名和密码加入到本地验证数据库中。这里的name 指的是对端路由器的主机名，同样大小写不要搞错。,配置PPP验证,Router(config-if)#ppp authenticationchap | chap pap | pap chap | pap,使能PAP 和/或CHAP 验证。如

14、果两种验证方法都 写的话表示不知道对端的PPP验证方法；那么在LCP 中先协商第一种验证，如果不成功，再协商第二种。,配置PPP验证(继续),CHAP 配置举例,配置PAP身份验证,Router#show interface s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopb

15、ack not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input 00:00:05, output 00:00:05, output hang never Last clearing of show interface counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute o

16、utput rate 0 bits/sec, 0 packets/sec 38021 packets input, 5656110 bytes, 0 no buffer Received 23488 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 38097 packets output, 2135697 bytes, 0 underruns 0 output errors, 0 collisions, 6045 interface

17、resets 0 output buffer failures, 0 output buffers swapped out 482 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up,检查HDLC和PPP封装的配置信息,debug ppp authentication展示了成功的PPP验证信息.,检查PPP的验证过程,帧中继简介,帧中继是一种高效而灵活的 WAN 技术. 帧中继具有成本低、灵活性高的优点。,帧中继简介,帧中继不提供纠错机制. 帧中继节点在检测到错误时只是丢弃数据包，而不发出任何通知。 帧中继在单个物理电路上提供多个逻辑连

18、接，允许网络通过这些连接将数据发送到目的地。,帧中继简介,虚电路,两个 DTE 之间通过帧中继网络实现的连接叫做虚电路 (VC)。 利用虚电路，帧中继允许多个用户共享带宽，而无需使用多条专用物理线路， 虚电路是以 DLCI 标识的。DLCI 值通常由帧中继服务提供商（例如电话公司）分配。 帧中继 DLCI 仅具有本地意义,虚电路,同一物理线路上的多条虚电路可以相互区分，因为每条虚电路都有自己的 DLCI。,帧中继的术语（1）,帧中继的术语（2）,PVC（Permanent Virtual Circuit）：永久虚电路，所谓“虚”是相对于租用线路使用的真正电路而言，这些虚电路是由连接到提供商“网

19、云”上的几千台设备构成的链路。 LAR（Local Access Rate）：本地接入速率，每个帧中继接口可以传输的最大带宽。 DLCI（Data Link Connection Identifier ）：数据链路连接标识，一个在路由器和帧中继交换机之间标识逻辑电路的数值，帧中继交换机通过在一对路由器之间映射DLCI来创建永久虚电路。相当于MAC地址。 CIR（committed information rate）： 承诺信息速率，正常情况下，帧中继网络传输数据的速率，它是在最小单位时间内的传输数据平均值，单位为bps。 LMI（Local Management Interface）：是在DT

20、E设备和FR之间的一种信令标准，它负责管理链路连接和保持设备间的状态。,配置基本的帧中继,启用帧中继封装 步骤 1. 设置接口的 IP 地址 步骤 2. 配置封装 步骤 3. 设置带宽 步骤 4. 设置 LMI 类型（可选） 步骤 5 show interfaces serial 命令的输出可用来检验配置,帧中继的基本配置,图中默认使用inverse arp来找寻本地DLCI所对应的远程IP地址。,配置静态帧中继映射,使用 frame-relay map 命令配置静态帧中继映射 使用 show frame-relay map 命令验证帧中继映射 使用 no frame-relay invers

21、e-arp命令关闭帧中继动态映射,配置静态Frame Relay映射,如果你手工指定到某个DLCI的静态映射，那么针对那个DLCI的逆向ARP自动关闭， 因为，静态映射优先于动态的inverse arp. 出于管理的考虑，推荐使用静态映射。,配置静态帧中继映射,配置帧中继子接口,某个虚拟接口上接收的数据包可转发到另一个虚拟接口上，即使这两个虚拟接口位于同一物理接口上。,配置帧中继子接口,步骤 1. 删除为该物理接口指定的任何网络层地址。如果该物理接口带有地址，本地子接口将无法接收数据帧。 步骤 2. 使用 encapsulation frame-relay 命令在该物理接口上配置帧中继封装。

22、步骤 3. 为已定义的每条永久虚电路创建一个逻辑子接口。指定端口号，后面加上点号 (.) 和子接口号。为方便排除故障，建议将子接口号与 DLCI 号设定一致。 步骤 4. 为该接口配置 IP 地址并设置带宽。 此时，我们将配置 DLCI。前面已讲过，帧中继服务提供商负责分配 DLCI 编号。 步骤 5. 使用 frame-relay interface-dlci 命令在该子接口上配置本地 DLCI。,配置帧中继子接口,配置帧中继子接口,Point-to-point(点到点子接口） 子接口看起来就像专线一样 每个子接口要求有自己的子网 非常适合星型拓扑 Multipoint(多点子接口) 多点子

23、接口默认以NBMA的网络形式进行工作;因此,存在水平分割的问题. 多点子接口能节省大量的地址空间,因为它和其他远程分支站点使用相同的子网,这点上和NBMA类似. 多点子接口适合于部分全互连和全互连的网络拓扑形式.,配置点到点子接口,多点子接口配置范例,检查帧中继的操作,Router#clear frame-relay-inarp,清除由逆向ARP动态创建的帧中继映射,Router#show interfaces type number,检查LMI流量,显示封装类型和OSI参考模型的层2和层3的信息.还包括协议,DLCI等信息,Router#show frame-relay lmi type n

24、umber,提供路由器和交换机LMI交换的统计信息,包含LMI错误信息和LMI类型等等,Router#show frame-relay map,显示OSI参考模型中的网络层到DLCI的映射,Router#show frame-relay pvc type number dlci,显示所有配置了的PVC和DLCI信息,提供每条PVC的连接信息和流量统计,还有每条PVC上接收到的BECN和FECN包的信息.如果具体想显示PVC16的话,就使用showframepvc16命令,Router#show frame-relay traffic,显示帧中继流量统计,show interfaces 范例,检

25、查LMI流量.显示封装类型和OSI参考模型的层2和层3的信息.还包括协议,DLCI等信息,Router#show interfaces s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 10.140.1.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec) L

26、MI enq sent 19, LMI stat recvd 20, LMI upd recvd 0, DTE LMI up LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0 LMI DLCI 1023 LMI type is CISCO frame relay DTE FR SVC disabled, LAPF state down Broadcast queue 0/64, broadcasts sent/dropped 8/0, interface broadcasts 5 Last input 00:00:02, output 00:00

27、:02, output hang never Last clearing of show interface counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops ,提供本地router和帧中继switch的LMI信息交换的统计信息,包含LMI错误信息和LMI类型等,Router#show frame-relay lmi LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = CISCO

28、Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent 113100 Num Status msgs Rcvd 113100 Num Update S

29、tatus Rcvd 0 Num Status Timeouts 0,show frame-relay lmi 范例,显示所有配置了的PVC和DLCI信息,提供每条PVC的连接信息和流量统计,还有每条PVC上接收到的BECN和FECN包的信息.如果具体想显示PVC16的话,就使用showframepvc16命令,show frame-relay pvc 范例,Router#show frame-relay pvc 100 PVC Statistics for interface Serial0 (Frame Relay DTE) DLCI = 100, DLCI USAGE = LOCAL,

30、PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 28 output pkts 10 in bytes 8398 out bytes 1198 dropped pkts 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 10 out bcast bytes 1198 pvc create time 00:03:46, last time pvc status changed 00:03:47,显示OSI参考模型中的网络层到DLCI的映射dynamic:表示此DLCI是从inverse ARP动态学来的 broadcast:表示可以运行路由选择协议这样的多播或广播分组,Router#show frame-relay map Serial0 (up): ip 10.140.1.1 dlci 100(0 x64,0 x1840), dynamic, broadcast, status defined, active,show frame-relay map范例,清除动态学来的帧中继映射,clear