廣域網(wǎng)簡介及配置.doc

第8章 廣域網(wǎng)簡介及配置8.1 廣域網(wǎng)簡介廣域網(wǎng)是一種跨地區(qū)的數(shù)據(jù)通訊網(wǎng)絡(luò)，使用電信運(yùn)營商提供的設(shè)備作為信息傳輸平臺(tái)。廣域網(wǎng)對(duì)通信的要求高、復(fù)雜性也高。在企業(yè)網(wǎng)中，廣域網(wǎng)主要用來將距離較遠(yuǎn)的局域網(wǎng)彼此連接起來，來實(shí)現(xiàn)局域網(wǎng)之間的通訊。對(duì)照OSI參考模型，廣域網(wǎng)技術(shù)主要位于底層的3個(gè)層次，分別是物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。如圖8-1所示。廣域網(wǎng)數(shù)據(jù)鏈路層定義了數(shù)據(jù)如何封裝以傳輸?shù)竭h(yuǎn)程站點(diǎn)，廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議描述了幀在系統(tǒng)之間建立的單一數(shù)據(jù)路徑上傳輸。數(shù)據(jù)鏈路層協(xié)議包括：幀中繼、點(diǎn)到點(diǎn)（PPP)、HDLC, ISDN等，圖8-2描述了數(shù)據(jù)鏈路協(xié)議與廣域網(wǎng)線路的聯(lián)系。 廣域網(wǎng)常見的封裝協(xié)議有HDLC和PPP等。數(shù)據(jù)鏈路封裝協(xié)議為第三層網(wǎng)絡(luò)層提供服務(wù)。它將網(wǎng)絡(luò)層的數(shù)據(jù)封裝為相應(yīng)的幀格式，向下一節(jié)點(diǎn)轉(zhuǎn)發(fā)。為了更清晰地描述這一點(diǎn)，我們可以看一看網(wǎng)絡(luò)層設(shè)備-路由器的數(shù)據(jù)轉(zhuǎn)發(fā)流程，路由器通過識(shí)別數(shù)據(jù)包中第三層包頭中的目標(biāo)網(wǎng)絡(luò)ID,并查詢路由表轉(zhuǎn)發(fā)數(shù)據(jù)包。路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)只會(huì)查詢第三層的包頭，一般不會(huì)對(duì)它的主要部分進(jìn)行修改。但對(duì)于數(shù)據(jù)包中第二層的包頭（如 PPP的包頭），轉(zhuǎn)發(fā)它的每臺(tái)路由器都會(huì)對(duì)它進(jìn)行修改。路由器是用修改第二層包頭的方法把數(shù)據(jù)包傳到下一臺(tái)路由器或目標(biāo)主機(jī)的。圖8-3給出了數(shù)據(jù)包從1.1.1.2被轉(zhuǎn)發(fā)到3.3.3.2的情況。為了使路由器可以向指定的數(shù)據(jù)鏈路上轉(zhuǎn)發(fā)數(shù)據(jù)，必須在路由器上進(jìn)行數(shù)據(jù)鏈路協(xié)議的配置。本章將以思科和華為為例介紹這些數(shù)據(jù)鏈路協(xié)議的配置，包括有：HDLC配置、PPP配置等。8.2 HDLC協(xié)議的配置8.2.1 HDLC協(xié)議簡介HDLC(High-Level Data Link Control)即高層數(shù)據(jù)鏈路控制協(xié)議，是一個(gè)點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳輸協(xié)議，工作在鏈路層，其幀結(jié)構(gòu)有兩種類型，一種是ISO HDLC幀結(jié)構(gòu)，它由IBM SDLC協(xié)議演化過來，采用SDLC的幀格式，支持同步、全雙工操作，分為物理層及LLC兩個(gè)子層；另一種是Cisco HDLC幀結(jié)構(gòu)，無LLC子層，從而Cisco HDLC對(duì)上層數(shù)據(jù)只進(jìn)行物理幀封裝，沒有應(yīng)答、重傳機(jī)制，所有的糾錯(cuò)處理由上層協(xié)議處理。因此ISOHDLC與Cisco HDLC是兩種不兼容的協(xié)議。HDLC和PPP都是點(diǎn)對(duì)點(diǎn)的廣域網(wǎng)傳輸協(xié)議，在具體組網(wǎng)時(shí)，這兩種協(xié)議的選擇主要基于以下原則：在Cisco路由器之間用專線連接時(shí)，采用Cisco HDLC協(xié)議，因?yàn)樗男时萈PP協(xié)議高得多，在Cisco路由器與非Cisco路由器用專線連接時(shí)，不能用CiscoHDLC，因?yàn)榉荂isco路由器不支持Cisco HDLC,這時(shí)應(yīng)采用PPP協(xié)議。8.2.2 思科路由器的配置1、封裝HDLC協(xié)議encapsulation hdlc默認(rèn)情況下Cisco路由器的HDLC協(xié)議是激活的，是Cisco路由器的默認(rèn)封裝協(xié)議，不需要進(jìn)行顯式的封裝。但如果端口已被封裝為其他協(xié)議時(shí)，則應(yīng)使用該命令進(jìn)行顯式封裝。2、設(shè)置DCE端線路速度clockrate speed在實(shí)際應(yīng)用中, Cisco路由器接DDN專線時(shí)，同步串口需要通過V.35或V.24 DTE線纜連接CSU/DSU,這時(shí)Cisco路由器為DTE,CSU/DSU為DCE,由CSU/DSU提供時(shí)鐘。如兩臺(tái)路由器直接通過DTE/DCE線纜連接，一臺(tái)路由器作為DTE，一臺(tái)路由器作為DCE,就必須由作為DCE的路由器提供時(shí)鐘，因此，必須使用該命令設(shè)置時(shí)鐘頻率。3、設(shè)置壓縮算法compress stac對(duì)于HDLC協(xié)議，Cisco路由器只支持STAC一種壓縮算法。壓縮雖然可以減少傳輸?shù)臄?shù)據(jù)量，但由于Cisco的壓縮是通過軟件完成的，將影響系統(tǒng)性能。建議當(dāng)路由器CPU利用率長時(shí)間超過65（通過show process命令查看CPU利用率）時(shí)，就不要使用壓縮。4.配置步驟配置IP地址。封裝HDLC協(xié)議。如果路由器作為DCE,要配置DCE時(shí)鐘，否則省略此步。啟用端口。5.配置實(shí)例如圖8-4所示，兩臺(tái)路由器通過DTE/DCE線路直接連接起來，其配置為：（1) Router1的配置！進(jìn)人配置模式Router1# configure terminal！進(jìn)人端口配置模式Router1（config)interface Serial0！設(shè)置端口1P地址Router1（config-if)ip address 192. 200. 10. 1 255. 255. 255.0！封裝HDLC協(xié)議routerl（config-if)encapsulation hdlc！設(shè)W DCE時(shí)鐘Router1 (config-if)clock rate 1000000！啟用端口Router1（config-if)no shutdown(2)Router2的配置！進(jìn)人配置模式router2configure terminal！進(jìn)人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) #ip address 192. 200. 10. 2 255. 255. 255. 0！封裝HDLG協(xié)議router2（config-if)#encapsulation hdlc！啟用端口router2（config-if)no shutdown8.2.3 華為HDLC協(xié)議封裝配置在同步接口視圖下進(jìn)行下列配置：Quidway-Serial0 link-protocol hdlc/在路由器的接口1上綁定HDLC協(xié)議；需要注意的是：只有當(dāng)接口工作在同步方式下時(shí)，才能封裝HDLC。當(dāng)接口封裝了SLIP時(shí)，接口的物理屬性不能被修改為同步模式。此時(shí)，必須先將接口的鏈路層封裝改為PPP后，才能將接口屬性改為同步模式。接口封裝HDLC后，上層仍然能承載IP與IPX協(xié)議。8.3 PPP協(xié)議的配置8.3.1 PPP協(xié)議簡介PPP(Point-to-Point Protocol）即點(diǎn)對(duì)點(diǎn)協(xié)議，是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計(jì)的鏈路層協(xié)議。該協(xié)議提供在鏈路層的全雙工操作，并按照順序傳遞數(shù)據(jù)包。目前，它已經(jīng)成為各種主機(jī)、網(wǎng)橋和路由器之間通過撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接的首選方案。由于PPP協(xié)議具有協(xié)議簡單、動(dòng)態(tài)IP地址分配、可對(duì)傳輸數(shù)據(jù)進(jìn)行壓縮和人網(wǎng)用戶的認(rèn)證等優(yōu)點(diǎn)，因而成為廣域網(wǎng)上使用非常廣泛的協(xié)議之一。其主要用于家庭撥號(hào)上網(wǎng)、ADSL上網(wǎng)、局域網(wǎng)的點(diǎn)對(duì)點(diǎn)連接等。8.3.2 PPP的認(rèn)證協(xié)議PPP的認(rèn)證是可選的。通信雙方在建立起鏈路連接后，進(jìn)行認(rèn)證協(xié)議選擇，然后再進(jìn)行認(rèn)證。一旦通過認(rèn)證，雙方將建立網(wǎng)絡(luò)層的連接，否則將斷開連接。最常用的認(rèn)證協(xié)議有口令驗(yàn)證協(xié)議PAP(Password Authentication Protocol）和挑戰(zhàn)握手驗(yàn)證協(xié)議CHAP（Challenge-Handshake Authentication Protocol）。1口令驗(yàn)證協(xié)議PAPPAP是一種簡單的明文驗(yàn)證方式。網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)要求用戶提供用戶名和口令，用戶反復(fù)在鏈路上發(fā)送用戶名和密碼，直至認(rèn)證通過，否則連接終止。由于用戶名和密碼以明文形式傳輸，很容易被非法用戶截取，因而這種協(xié)議的安全性很差。2挑戰(zhàn)握手驗(yàn)證協(xié)議CHAPCHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令，其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串( arbitrarychallengestring) 。遠(yuǎn)程客戶必須使用MD5單向哈希算法返回用戶名和加密的挑戰(zhàn)口令、會(huì)話ID及用戶口令，其中用戶名以非哈希方式發(fā)送。由于CHAP以密文方式傳送口令，因而具有較大的安全性。8.3.3 思科路由器PPP的配置1、封裝PPP協(xié)議encapsulation PPP2、設(shè)置對(duì)端撥號(hào)的用戶名和口令username username1 password password1其中username1為對(duì)端的用戶名,password1為對(duì)端用戶名對(duì)應(yīng)的口令。3、配置認(rèn)證方式ppp authenticationchapchap pappap chappapList-namecalling兩端的路由器必須使用相同的用戶認(rèn)證協(xié)議。建議使用chap協(xié)議，這樣更安全4、設(shè)置本地路由器名和口令Hostname hostnamelenable secret secret-string其中hostnamel是設(shè)置路由器的名字secret-stripg是設(shè)置路由器的口令。5、設(shè)置壓縮算法compress mppcpredictorstacCisco路由器支持PPP協(xié)議的壓縮算法有：STAC，Predictor和微軟的點(diǎn)到點(diǎn)壓縮算法MPPC。路由器間一般采用STAC壓縮算法，在路由器和PC機(jī)間的撥號(hào)連接一般采用MPPC壓縮算法。壓縮雖然可以減少傳輸?shù)臄?shù)據(jù)量，但由于Cisco的壓縮是通過軟件完成的，這將影響系統(tǒng)性能。建議當(dāng)路由器CPU利用率長時(shí)間超過65（通過show process命令查看CPU利用率）時(shí)，就不要使用壓縮。6.配置步驟配置本地路由器名。配置本地路由器口令。配置對(duì)端路由器的名和口令。封裝PPP協(xié)議。指定PPP協(xié)議認(rèn)證方式。7.配置實(shí)例如圖8-4所示，兩臺(tái)路由器通過DTE/DCE線路直接連接起來，其配置為； （1)Routerl的配置！進(jìn)人配置模式Router1configure terminal！設(shè)置router1的名字Router1（config) # hostnamc router1！設(shè)置routerl的口令Router1（config）# enable secret 111111！設(shè)置對(duì)端撥號(hào)的用戶名和口令Router1（config)username router2 password 222222！進(jìn)人端口配置模式Router1（config)interface Serial0！設(shè)置端口IP地址Router1（config-if) # ip address 192. 200. 10.1 25.5. 255. 255. 0！封裝PPP協(xié)議Router1（config-if) # encapsulation ppp！設(shè)置DCE時(shí)鐘Router1（config-if) # clock rate 1000000！設(shè)置認(rèn)證協(xié)議Router1（config-if) # ppp authentication chap！啟用端口Router1（config-if)#no shutdown(2) Router2的配置！進(jìn)人配置模式router2 # configure terminal！設(shè)置router2的名字router2（config）#hostname router2！設(shè)置router2的口令router2（config)enable secret 222222！設(shè)置對(duì)端撥號(hào)的用戶名和口令router2（config) $ username routerl password 111111！進(jìn)人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) # ip address 192. 200. 10. 2 255.255. 255. 0！封裝PPP協(xié)議router2（config-if)encapsulation ppp！設(shè)置認(rèn)證協(xié)議router2（config-if) t ppp authentication chap！啟用端口router2（config-if) # no shutdown8.4 華為路由器PPP的配置1、配置接口封裝的鏈路層協(xié)議為PPP,配置命令：Quidway-Serial0link-protocol ppp缺省情況下，封裝的鏈路層協(xié)議即為PPP1所以許多情形下，無須設(shè)置這條命令。2、配置PPP驗(yàn)證方式及用戶名、用戶口令。PPP有兩種驗(yàn)證方式：PAP方式和CHAP方式：一般來說，CHAP驗(yàn)證更為安全可靠下面分別介紹兩種驗(yàn)證方式的配置方法。(1）本地以PAP方式驗(yàn)證對(duì)端以下給出了一個(gè)在本端路由器上驗(yàn)證對(duì)端的配里案例：配里本地驗(yàn)證對(duì)端（方式為PAP)Quidway-Sedal0ppp authenticabon-mode pap在系統(tǒng)視圖下將對(duì)端用戶名和密碼加入本地用戶列表Quidway local-user cuidwavt password simple uic dwav取消配置的PPP驗(yàn)證方法，即不進(jìn)行PPP驗(yàn)證的命令為：Quidway-Serial0undo ppp authentication-mode(2)本地驗(yàn)證對(duì)端的CHAP方式配置本地驗(yàn)證對(duì)端（方式為CHAP)。Quidway-Serial0 ppp authentication-mode chap配置本地名稱。Quidway-Serial0 ppp chap user guidway2將對(duì)端用戶名和密碼加入本地用戶列表。注意，local-user命令在系統(tǒng)視圖下完成。Quidwey local-user auidwav1 password simple quidway在配置CHAP驗(yàn)證時(shí)，雙方的user互為對(duì)方的hostname, password必須一致。(3)本地被對(duì)端以PAP方式驗(yàn)證配置本地被對(duì)端以PAP方式驗(yàn)證時(shí)本地發(fā)送的PAP用戶名和口令。Quidway-Serial0 ppp pap local-user quidway1 password simple quidway刪除以上配置的命令為：Quidway-Serial0undo ppp pap local-user(4)本地被對(duì)端以CHAP方式驗(yàn)證配置本地名稱。Quidway-Serial0ppp chap user quidway1將對(duì)端用戶名和口令力口入本地用戶列表。Quidwaylocal-user ui a 2 password simple quidway3. PPP典型配置案例PAP驗(yàn)證案例路由器Quidway1和Quidway2之間用接口Serial0（串口）互連，要求路由器Quidwayl用PAP方式驗(yàn)證路由器Quidway2,如圖8-5.我們需要確合路由器上進(jìn)行配置，分別如下