廣域網(wǎng)簡介及配置.doc

第8章 廣域網(wǎng)簡介及配置8.1 廣域網(wǎng)簡介廣域網(wǎng)是一種跨地區(qū)的數(shù)據(jù)通訊網(wǎng)絡(luò)，使用電信運營商提供的設(shè)備作為信息傳輸平臺。廣域網(wǎng)對通信的要求高、復(fù)雜性也高。在企業(yè)網(wǎng)中，廣域網(wǎng)主要用來將距離較遠(yuǎn)的局域網(wǎng)彼此連接起來，來實現(xiàn)局域網(wǎng)之間的通訊。對照OSI參考模型，廣域網(wǎng)技術(shù)主要位于底層的3個層次，分別是物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。如圖8-1所示。廣域網(wǎng)數(shù)據(jù)鏈路層定義了數(shù)據(jù)如何封裝以傳輸?shù)竭h(yuǎn)程站點，廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議描述了幀在系統(tǒng)之間建立的單一數(shù)據(jù)路徑上傳輸。數(shù)據(jù)鏈路層協(xié)議包括：幀中繼、點到點（PPP)、HDLC, ISDN等，圖8-2描述了數(shù)據(jù)鏈路協(xié)議與廣域網(wǎng)線路的聯(lián)系。 廣域網(wǎng)常見的封裝協(xié)議有HDLC和PPP等。數(shù)據(jù)鏈路封裝協(xié)議為第三層網(wǎng)絡(luò)層提供服務(wù)。它將網(wǎng)絡(luò)層的數(shù)據(jù)封裝為相應(yīng)的幀格式，向下一節(jié)點轉(zhuǎn)發(fā)。為了更清晰地描述這一點，我們可以看一看網(wǎng)絡(luò)層設(shè)備-路由器的數(shù)據(jù)轉(zhuǎn)發(fā)流程，路由器通過識別數(shù)據(jù)包中第三層包頭中的目標(biāo)網(wǎng)絡(luò)ID,并查詢路由表轉(zhuǎn)發(fā)數(shù)據(jù)包。路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時只會查詢第三層的包頭，一般不會對它的主要部分進(jìn)行修改。但對于數(shù)據(jù)包中第二層的包頭（如 PPP的包頭），轉(zhuǎn)發(fā)它的每臺路由器都會對它進(jìn)行修改。路由器是用修改第二層包頭的方法把數(shù)據(jù)包傳到下一臺路由器或目標(biāo)主機(jī)的。圖8-3給出了數(shù)據(jù)包從1.1.1.2被轉(zhuǎn)發(fā)到3.3.3.2的情況。為了使路由器可以向指定的數(shù)據(jù)鏈路上轉(zhuǎn)發(fā)數(shù)據(jù)，必須在路由器上進(jìn)行數(shù)據(jù)鏈路協(xié)議的配置。本章將以思科和華為為例介紹這些數(shù)據(jù)鏈路協(xié)議的配置，包括有：HDLC配置、PPP配置等。8.2 HDLC協(xié)議的配置8.2.1 HDLC協(xié)議簡介HDLC(High-Level Data Link Control)即高層數(shù)據(jù)鏈路控制協(xié)議，是一個點對點的數(shù)據(jù)傳輸協(xié)議，工作在鏈路層，其幀結(jié)構(gòu)有兩種類型，一種是ISO HDLC幀結(jié)構(gòu)，它由IBM SDLC協(xié)議演化過來，采用SDLC的幀格式，支持同步、全雙工操作，分為物理層及LLC兩個子層；另一種是Cisco HDLC幀結(jié)構(gòu)，無LLC子層，從而Cisco HDLC對上層數(shù)據(jù)只進(jìn)行物理幀封裝，沒有應(yīng)答、重傳機(jī)制，所有的糾錯處理由上層協(xié)議處理。因此ISOHDLC與Cisco HDLC是兩種不兼容的協(xié)議。HDLC和PPP都是點對點的廣域網(wǎng)傳輸協(xié)議，在具體組網(wǎng)時，這兩種協(xié)議的選擇主要基于以下原則：在Cisco路由器之間用專線連接時，采用Cisco HDLC協(xié)議，因為它的效率比PPP協(xié)議高得多，在Cisco路由器與非Cisco路由器用專線連接時，不能用CiscoHDLC，因為非Cisco路由器不支持Cisco HDLC,這時應(yīng)采用PPP協(xié)議。8.2.2 思科路由器的配置1、封裝HDLC協(xié)議encapsulation hdlc默認(rèn)情況下Cisco路由器的HDLC協(xié)議是激活的，是Cisco路由器的默認(rèn)封裝協(xié)議，不需要進(jìn)行顯式的封裝。但如果端口已被封裝為其他協(xié)議時，則應(yīng)使用該命令進(jìn)行顯式封裝。2、設(shè)置DCE端線路速度clockrate speed在實際應(yīng)用中, Cisco路由器接DDN專線時，同步串口需要通過V.35或V.24 DTE線纜連接CSU/DSU,這時Cisco路由器為DTE,CSU/DSU為DCE,由CSU/DSU提供時鐘。如兩臺路由器直接通過DTE/DCE線纜連接，一臺路由器作為DTE，一臺路由器作為DCE,就必須由作為DCE的路由器提供時鐘，因此，必須使用該命令設(shè)置時鐘頻率。3、設(shè)置壓縮算法compress stac對于HDLC協(xié)議，Cisco路由器只支持STAC一種壓縮算法。壓縮雖然可以減少傳輸?shù)臄?shù)據(jù)量，但由于Cisco的壓縮是通過軟件完成的，將影響系統(tǒng)性能。建議當(dāng)路由器CPU利用率長時間超過65（通過show process命令查看CPU利用率）時，就不要使用壓縮。4.配置步驟配置IP地址。封裝HDLC協(xié)議。如果路由器作為DCE,要配置DCE時鐘，否則省略此步。啟用端口。5.配置實例如圖8-4所示，兩臺路由器通過DTE/DCE線路直接連接起來，其配置為：（1) Router1的配置！進(jìn)人配置模式Router1# configure terminal！進(jìn)人端口配置模式Router1（config)interface Serial0！設(shè)置端口1P地址Router1（config-if)ip address 192. 200. 10. 1 255. 255. 255.0！封裝HDLC協(xié)議routerl（config-if)encapsulation hdlc！設(shè)W DCE時鐘Router1 (config-if)clock rate 1000000！啟用端口Router1（config-if)no shutdown(2)Router2的配置！進(jìn)人配置模式router2configure terminal！進(jìn)人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) #ip address 192. 200. 10. 2 255. 255. 255. 0！封裝HDLG協(xié)議router2（config-if)#encapsulation hdlc！啟用端口router2（config-if)no shutdown8.2.3 華為HDLC協(xié)議封裝配置在同步接口視圖下進(jìn)行下列配置：Quidway-Serial0 link-protocol hdlc/在路由器的接口1上綁定HDLC協(xié)議；需要注意的是：只有當(dāng)接口工作在同步方式下時，才能封裝HDLC。當(dāng)接口封裝了SLIP時，接口的物理屬性不能被修改為同步模式。此時，必須先將接口的鏈路層封裝改為PPP后，才能將接口屬性改為同步模式。接口封裝HDLC后，上層仍然能承載IP與IPX協(xié)議。8.3 PPP協(xié)議的配置8.3.1 PPP協(xié)議簡介PPP(Point-to-Point Protocol）即點對點協(xié)議，是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議。該協(xié)議提供在鏈路層的全雙工操作，并按照順序傳遞數(shù)據(jù)包。目前，它已經(jīng)成為各種主機(jī)、網(wǎng)橋和路由器之間通過撥號或?qū)＞€方式建立點對點連接的首選方案。由于PPP協(xié)議具有協(xié)議簡單、動態(tài)IP地址分配、可對傳輸數(shù)據(jù)進(jìn)行壓縮和人網(wǎng)用戶的認(rèn)證等優(yōu)點，因而成為廣域網(wǎng)上使用非常廣泛的協(xié)議之一。其主要用于家庭撥號上網(wǎng)、ADSL上網(wǎng)、局域網(wǎng)的點對點連接等。8.3.2 PPP的認(rèn)證協(xié)議PPP的認(rèn)證是可選的。通信雙方在建立起鏈路連接后，進(jìn)行認(rèn)證協(xié)議選擇，然后再進(jìn)行認(rèn)證。一旦通過認(rèn)證，雙方將建立網(wǎng)絡(luò)層的連接，否則將斷開連接。最常用的認(rèn)證協(xié)議有口令驗證協(xié)議PAP(Password Authentication Protocol）和挑戰(zhàn)握手驗證協(xié)議CHAP（Challenge-Handshake Authentication Protocol）。1口令驗證協(xié)議PAPPAP是一種簡單的明文驗證方式。網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)要求用戶提供用戶名和口令，用戶反復(fù)在鏈路上發(fā)送用戶名和密碼，直至認(rèn)證通過，否則連接終止。由于用戶名和密碼以明文形式傳輸，很容易被非法用戶截取，因而這種協(xié)議的安全性很差。2挑戰(zhàn)握手驗證協(xié)議CHAPCHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令，其中包括會話ID和一個任意生成的挑戰(zhàn)字串( arbitrarychallengestring) 。遠(yuǎn)程客戶必須使用MD5單向哈希算法返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶口令，其中用戶名以非哈希方式發(fā)送。由于CHAP以密文方式傳送口令，因而具有較大的安全性。8.3.3 思科路由器PPP的配置1、封裝PPP協(xié)議encapsulation PPP2、設(shè)置對端撥號的用戶名和口令username username1 password password1其中username1為對端的用戶名,password1為對端用戶名對應(yīng)的口令。3、配置認(rèn)證方式ppp authenticationchapchap pappap chappapList-namecalling兩端的路由器必須使用相同的用戶認(rèn)證協(xié)議。建議使用chap協(xié)議，這樣更安全4、設(shè)置本地路由器名和口令Hostname hostnamelenable secret secret-string其中hostnamel是設(shè)置路由器的名字secret-stripg是設(shè)置路由器的口令。5、設(shè)置壓縮算法compress mppcpredictorstacCisco路由器支持PPP協(xié)議的壓縮算法有：STAC，Predictor和微軟的點到點壓縮算法MPPC。路由器間一般采用STAC壓縮算法，在路由器和PC機(jī)間的撥號連接一般采用MPPC壓縮算法。壓縮雖然可以減少傳輸?shù)臄?shù)據(jù)量，但由于Cisco的壓縮是通過軟件完成的，這將影響系統(tǒng)性能。建議當(dāng)路由器CPU利用率長時間超過65（通過show process命令查看CPU利用率）時，就不要使用壓縮。6.配置步驟配置本地路由器名。配置本地路由器口令。配置對端路由器的名和口令。封裝PPP協(xié)議。指定PPP協(xié)議認(rèn)證方式。7.配置實例如圖8-4所示，兩臺路由器通過DTE/DCE線路直接連接起來，其配置為； （1)Routerl的配置！進(jìn)人配置模式Router1configure terminal！設(shè)置router1的名字Router1（config) # hostnamc router1！設(shè)置routerl的口令Router1（config）# enable secret 111111！設(shè)置對端撥號的用戶名和口令Router1（config)username router2 password 222222！進(jìn)人端口配置模式Router1（config)interface Serial0！設(shè)置端口IP地址Router1（config-if) # ip address 192. 200. 10.1 25.5. 255. 255. 0！封裝PPP協(xié)議Router1（config-if) # encapsulation ppp！設(shè)置DCE時鐘Router1（config-if) # clock rate 1000000！設(shè)置認(rèn)證協(xié)議Router1（config-if) # ppp authentication chap！啟用端口Router1（config-if)#no shutdown(2) Router2的配置！進(jìn)人配置模式router2 # configure terminal！設(shè)置router2的名字router2（config）#hostname router2！設(shè)置router2的口令router2（config)enable secret 222222！設(shè)置對端撥號的用戶名和口令router2（config) $ username routerl password 111111！進(jìn)人端口配置模式router2（config)interface Serial0！配置IP地址router2（config-if) # ip address 192. 200. 10. 2 255.255. 255. 0！封裝PPP協(xié)議router2（config-if)encapsulation ppp！設(shè)置認(rèn)證協(xié)議router2（config-if) t ppp authentication chap！啟用端口router2（config-if) # no shutdown8.4 華為路由器PPP的配置1、配置接口封裝的鏈路層協(xié)議為PPP,配置命令：Quidway-Serial0link-protocol ppp缺省情況下，封裝的鏈路層協(xié)議即為PPP1所以許多情形下，無須設(shè)置這條命令。2、配置PPP驗證方式及用戶名、用戶口令。PPP有兩種驗證方式：PAP方式和CHAP方式：一般來說，CHAP驗證更為安全可靠下面分別介紹兩種驗證方式的配置方法。(1）本地以PAP方式驗證對端以下給出了一個在本端路由器上驗證對端的配里案例：配里本地驗證對端（方式為PAP)Quidway-Sedal0ppp authenticabon-mode pap在系統(tǒng)視圖下將對端用戶名和密碼加入本地用戶列表Quidway local-user cuidwavt password simple uic dwav取消配置的PPP驗證方法，即不進(jìn)行PPP驗證的命令為：Quidway-Serial0undo ppp authentication-mode(2)本地驗證對端的CHAP方式配置本地驗證對端（方式為CHAP)。Quidway-Serial0 ppp authentication-mode chap配置本地名稱。Quidway-Serial0 ppp chap user guidway2將對端用戶名和密碼加入本地用戶列表。注意，local-user命令在系統(tǒng)視圖下完成。Quidwey local-user auidwav1 password simple quidway在配置CHAP驗證時，雙方的user互為對方的hostname, password必須一致。(3)本地被對端以PAP方式驗證配置本地被對端以PAP方式驗證時本地發(fā)送的PAP用戶名和口令。Quidway-Serial0 ppp pap local-user quidway1 password simple quidway刪除以上配置的命令為：Quidway-Serial0undo ppp pap local-user(4)本地被對端以CHAP方式驗證配置本地名稱。Quidway-Serial0ppp chap user quidway1將對端用戶名和口令力口入本地用戶列表。Quidwaylocal-user ui a 2 password simple quidway3. PPP典型配置案例PAP驗證案例路由器Quidway1和Quidway2之間用接口Serial0（串口）互連，要求路由器Quidwayl用PAP方式驗證路由器Quidway2,如圖8-5.我們需要確合路由器上進(jìn)行配置，分別如下