学习情境5企业广域网接入配置.ppt
学习情境4 内容回顾,网络安全概述网络安全威胁网络安全攻击方法网络攻击的防御技术管理设备控制台安全管理设备控制台安全保护设备控制台的安全措施配置交换机远程登录的安全措施 交换机端口安全端口安全的配置端口安全的维护ACL标准ACL的配置扩展ACL的配置,企业广域网接入配置,学习情境5,VLAN,帧中继,北京总部,广州分公司,上海分公司,VLAN,VLAN,VLAN,VLAN,VLAN,VLAN,情境三:构建企业交换式局域网,情境四:企业内网安全控制,情境五:企业广域网接入配置,课程综合项目:Center公司网络改造项目实施,Internet,情境一:网络设备选型,课程结构,情境二:企业内部路由配置,本章目标,熟悉建设广域网络的基本知识了解广域网特点和实现掌握广域网封装协议掌握PPP的原理及认证配置方法掌握帧中继技术的原理及配置方法,广域网接入技术,本章结构,企业广域网接入配置,广域网概述,接入技术分类,广域网实现模型,帧中继配置,配置PPP认证,大中型网络接入,小型网络接入,广域网封装协议,广域网设备类型,接入技术分类,广域网实现模型,广域网设备类型,任务分解,任务进度,5.1 广域网概述,广域网(WAN)覆盖较大地理范围的数据通信网络使用网络提供商和电信公司所提供的传输设施传输数据,5.1.1 广域网的接入技术分类,5.1 广域网概述,专线连接,专线连接点到点专用连接提供了一条独享的、预先建立好了的广域网络通信通道通道是永久的和固定的,5.1 广域网概述,电路交换连接根据需要进行连接每一次通信会话期间都要建立、保持,然后拆除在电信运营商网络中建立起来的专用物理电路,电路交换,例如电话网络就是电路交换网络,5.1 广域网概述,虚电路交换,虚电路像一条专用电路永久虚电路(PVC)和交换虚电路(SVC),虚电路,预先定义好的虚电路,不管是否传输数据,这条虚电路都存在并开通,被通信数据激活,临时建立的虚链路,当数据传输完成,链路拆除,5.1 广域网概述,包交换(分组交换机)将传输的数据分组多个网络设备共享实际的物理线路使用虚电路/虚通道(Virtual Channel)传输,分组交换机(包交换),前面学习的IP的网络都是分组交换网络,5.1 广域网概述,5.1.2 广域网服务的实现模型,CO Switch,Local loop,CPE,骨干网和交换机,分界,广域网服务提供商的长途电话网,点到点或电路交换连接,5.1 广域网概述,典型广域网拓朴结构,PSTN,分组交换网络,网络中心,分支机构,家庭办公,分支机构,5.1.3 常见的广域网设备,5.1 广域网概述,接入服务器,接入服务器是广域网中拨入和拨出连接的汇聚点,用户终端可以通过接入服务器接入广域网。,5.1 广域网概述,广域网交换机,广域网交换机是在运营商网络中使用的多端口网络互联设备。广域网交换机一般工作在OSI参模型的数据链路层,主要有如帧中继交换机、ATM交换机、光交换机等,可以对帧中继、ATM等数据流量进行操作。,5.1 广域网概述,调制解调器 Modem,普通Modem基带Modem协议转换器,5.1 广域网概述,CSU/DSU,信道服务单元(CSU)数据服务单元(DSU)类似数据端设备到数据通信设备的复用器,可以提供以下几方面的功能:信号再生、线路调节、误码纠正、信号管理、同步和电路测试等。,CT-2000是一台灵活多业务接入平台,它利用时分复用(TDM)技术提供语音和数据综合应用。利用可拔插的高密度的各种不同的接口模块,在同一平台上可以提供多种业务应用:E&W、ISDN BRI、IDSL、SHDSL、V.35、E1/FE1、T1/FT1。为运营商节省空间和投资成本。强大的时隙交换(TSI)能力和多种的接口模块,使CT-2000可以应用于交叉连接(DXC)、灵活E1/T1多路复用器、机架式CSU/DSU和E1/T1转换器。,ISDN终端设备,网络终端(NT)一类网络终端(NT1),提供2B+D二线双向传输能力,它完成线路传输码型的转换,并实现回波抵消数码传输技术 智能网络终端(NT2)ISDN用户终端ISDN适配卡ISDN适配器ISDN数字电话TA和ISDN卡的区别就像外置Modem和内置Modem的区别。外置的就是TA,内置的就是ISDN卡。,路由器,可以访问获得最新产品信息,800系列,1800系列,2800系列,3800系列,7200系列,5.1.4 广域网与0SI模型,广域网主要工作于OSI模型的下面三层,即物理层、数据链路层和网络层。但是,由于目前网络层普遍采用了IP协议,因此广域网技术标准也开始转向主要关注物理层和数据链路层的功能及其实现方法。因此,与局域网技术相似,不同广域网技术的差异也在于它们在物理层和数据链路层实现方式的不同。,5.1 广域网概述,5.2 广域网接入技术,广域网采用的传输技术主要有电路交换、分组交换等技术。它常借助一些电信部门的公用网络系统作为它的通信链路,使用双绞线、光缆、微波、卫星、无线电波等有线传输介质和无线传输介质。,1.公用分组交换数据网(X.25网)是一种以分组(Packet)为基本数据单元进行数据交换的通信网络。它采用分组交换(包交换)传输技术,是一种包交换的公共数据网。由于公用分组交换数据网使用X.25协议标准,故通常也称它为X.25网。,大中型局域网连接WAN的方式,5.2 广域网接入技术,64kb/s,X.25,64kb/s,LAN1,路由器,LAN2,路由器,同步Modem,同步Modem,大中型局域网连接WAN的方式,5.2 广域网接入技术,2.DDN属于专线连接方式DDN(Digital Data Network,数字数据网)是利用数字信道传输数据信号的数据传输网传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线DDN是物理层的全透明网络,可以在它上面运行各种协议,大中型局域网连接WAN的方式,5.2 广域网接入技术,实例:通过DDN实现局域网互连,5.2 广域网接入技术,3.Frame Relay帧中继(Frame Relay)是80年代出现、近几年才兴起的一种新的公用数据交换网,它是由X.25发展起来的快速分组交换技术。帧中继与X.25有基本相同之处是它们都用分组交换技术,都是对等式的点对点通信。但在它们之间也存在着一些差异,其主要差别是:X.25协议包括低三层协议,Frame Relay仅包含物理层和数据链路层协议。从设计思想上看,帧中继与X.25的差异是,帧中继注重快速传输,而X.25强调高可靠性,所以在X.25网内,对传输的数据进行校验,并具有出错处理机制,而帧中继省略了这个功能,因此,帧中继传输速度快(64Kbps-2.048Mbps)。,大中型局域网连接WAN的方式,5.2 广域网接入技术,实例:帧中继组网实例,实例1,5.2 广域网接入技术,4.微波无线网 微波通信是利用微波波段的电磁波在对流层的视距范围内进行信息传输的一种通信方式,是现代化通信的一种重要传输手段。利用微波通信技术可以实现局域网的远程互连。微波通信需要在通信双方各架设一个天线,且接收天线与发射天线必须精确地对准。天线有定向和全向两种类型,定向天线主要实现点到点的通信,而全向天线可以实现一点对多点的通信。微波沿着直线传播,它不能很好地穿过建筑物,因此,使用微波无线网互连局域网时,要求在两个通信站点的直线范围内不能有遮挡物(建筑物),否则它将不能正确地传输数据。,大中型局域网连接WAN的方式,5.2 广域网接入技术,实例:微波无线网互连远程局域网,5.2 广域网接入技术,5.卫星通信网 卫星通信利用人造地球卫星作为空中微波中继站,实现地球上两个或多个地球站之间的通信。卫星通信不仅可以为全球提供远距离的电视广播、移动通信服务,而且可以提供数据广播和定点式数据通信,利用卫星通信网可以实现更大范围的局域网互连。它具有覆盖地域广、传输距离长、传输质量好、通信速率快等特点,因此,卫星通信通常在覆盖面积广、规模大的互联网主干网的环境中使用。使用卫星通信互连远距离局域网的实例很多,例如,我国教育科研示范网(CERNET)就使用2Mbps卫星通信信道,作为CERNET主干网的传输线路。,大中型局域网连接WAN的方式,5.2 广域网接入技术,小型局域网连接WAN的方式,1.ISDN综合业务数字网ISDN提供端到端的数字连接,支持一系列广泛的业务(包括话音和非话音业务)能够通过电话网络承载数据、话音以及其他信息流 ISDN提供了BRI和PRI两种接口BRI:2B+DPRI:30B+D/23B+DD信道进行呼叫和控制,B信道进行数据传输,5.2 广域网接入技术,2、不对称式数字用户线(ADSL)xDSL是ADSL、SDSL、HDSL、IDSL和 VDSL技术的总称。DSL包括以下几种技术:ADSL 非对称数字用户线(我国使用最广泛)RADSL 速率自适应非对称数字用户线HDSL 高比特率数字用户线VDSL 甚高比特率数字用户线SDSL 单线对HDSL数字用户线(HDSL2),小型局域网连接WAN的方式,5.2 广域网接入技术,XDSL比较,5.2 广域网接入技术,3.Cabel Modem Cabel Modem是近几年发展起来的又一种家庭电脑入网的新技术,它是一种以有线电视使用的 宽带同轴电缆作为传输介质,利用有线电视网(CATV)提供高速的数据传输的广域网连接技术。Cabel Modem除了提供视频信号业务外,还能提供语音、数据等宽带多媒体信息业务。这种技术也具有不对称的特性,其上、下行速率各不相同。Cabel Modem的上行速率是768Kbps,下行速率最高可以达到38Mbps。,小型局域网连接WAN的方式,5.2 广域网接入技术,阶段总结,广域网的连接方式专线连接、电路交换连接、分组交换连接广域网的接入方式X.25、DDN、帧中继、微波无线网、卫星通信网、ISDN、ADSL、Cable Modem,任务进度,5.3 广域网数据链路层协议,HDLCPPP帧中继Frame RelayATM,HDLC协议,HDLC协议High-Level Data Link Control,高级数据链路控制用于点到点同步串行链路,PPP协议,PPP协议Point to Point Protocol,点对点协议支持IP地址协商支持用户验证,帧中继协议,帧中继协议在X.25分组交换技术的基础上发展起来的一种快速分组交换技术,是改进了的X.25协议,DLCI,DLCI,DCE,DCE,DTE,DTE,帧中继网络,帧中继DLCI,DLCI(Data Link Connection Identifier,数据链路连接标识)用来表示帧中继的每条虚电路只在本地接口和与之直接相连的对端接口有效,不具有全局有效性映射对端的网络地址到DLCI从帧中继网络服务商处得到分配的DLCI,FR,DLCI,DLCI=48,DCE,DCE,DTE,DTE,ATM协议,ATM(Asynchronous Transfer Mode,异步传输模式)ATM的特点面向连接网络接点功能简单信元长度小而固定转发时延小,传输速率高支持完善的QoS功能ATM与IP之争,阶段总结,广域网的封装协议类型HDLC、PPP、Frame-Relay、ATM广域网的协议结构HDLC、PPP、Frame-Relay,任务进度,PPP(Point to Point Protocol)协议是在点对点链路上运行的数据链路层协议用户使用拨号电话线接入Internet时,一般都是使用 PPP 协议,PSTN,PPP协议,5.4 配置PPP协议,PPP协议的产生-SLIP协议,SLIP协议(Serial Line Internet Protocol)是在串行线路上对IP数据报进行封装的简单协议产生于二十世纪八十年代中期SLIP协议的缺点封装格式十分简单,无法进行IP地址等参数的协商只支持IP协议不具备校验功能,IP数据报文,+,END字符,=,HDLC:高级数据链路层协议。HDLC是CISCO串行线路缺省封装协议,只允许CISCO设备连接,与其他供应商设备不兼容。与没有运行CISOC IOS的设备连接,使用PPP。,Page 49/34,PPP协议的产生-HDLC协议,PPP协议的优点,支持同步或异步串行链路的传输支持多种网络层协议支持错误检测支持网络层的地址协商支持用户认证允许进行数据压缩,PPP的组成,PPP主要包括三个部分在串行链路上封装上层数据报文的方法采用LCP(Link-Control Protocol,链路控制协议)来建立、控制数据链路采用NCP(Network-Control Protocol,网络控制协议)来支持多种网络协议,物理介质(同/异步),LCP,NCP,PPP,IP,IPX,其它网络协议,IPCP,IPXCP,其它NCP,网络层,数据链路层,物理层,LCP协议,用来建立、配置、维护、终止一条点对点链路LCP协议协商选项MRU,最大接收单元认证协议多链路捆绑,NCP协议,用来建立、配置不同的网络层协议包括IPCP、IPXCP等协议IPCP协议协商选项IP地址协商TCP/IP头压缩,PPP链路的建立,PPP链路的建立共有五个阶段,链路不可用阶段,链路建立阶段,认证阶段,网络层协议阶段,链路终止阶段,物理层 UP,链路UP,认证通过或无认证,认证失败,关闭,失败,PPP帧格式,协议域,信息域,0 x7E,0 xFF,0 x03,帧校验,0 x7E,1Byte,2Bytes,2Bytes,1Byte,1Byte,1Byte,信息域:根据协议域的内容而定 当协议域为LCP协议时,信息域内为LCP协商参数 当协议域为NCP协议时,信息域内为NCP协商参数 当协议域为IP协议时,信息域内为用户数据,地址域:对方的数据链路层地址。因为PPP协议是点对点的链路层协议,所以此字节无意义,用0 xFF填充,标志字节:用来标示PPP帧的开始和结束,控制域:通常用0 x03填充,协议域:用来区分PPP数据帧中信息域所承载的数据报文的内容常见取值:0 xc021 信息域中承载的是LCP协议数据报文0 xc023 信息域中承载的是PAP协议的认证报文0 xc223 信息域中承载的是CHAP协议的认证报文0 x8021 信息域中承载的是NCP协议数据报文0 x0021 信息域中承载的是IP协议数据报文,PPP认证协议,PPP协议支持用户的认证,是广域网接入使用最广泛的协议PPP协议支持两种认证协议PAP(Password Authentication Protocol,口令认证协议)CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议),PAP认证,PAP是两次握手认证协议,口令以明文传送,被认证方首先发起认证请求。,被认证方,主认证方,用户名和密码(user01/pw01),认证通过/未通过,用户名:user01密 码:pw01,username passworduser01 pw01,根据用户数据库认证用户名密码是否正确,多链路PPP,MLP(MultiLink PPP)可以将多条PPP链路捆绑起来 对于MLP链路两端的设备,就好像只有一条PPP连接,只需配置一个IP地址优点增加带宽负载分担降低时延,配置PPP协议,进入串口配置模式Router(config)#interface serial 0/0配置接口的链路层协议为PPPRouter(config-if)#encapsulation ppp配置接口的IP地址Router(config-if)#ip address ip_addr ip_mask,配置PAP认证-主认证方,配置认证用户名和密码Router(config)#username user_name password 0 pass_word启用PAP认证Router(config-if)#ppp authentication pap,0表示密码为明文保存,配置PAP认证-被认证方,配置认证用户名和密码Router(config-if)#ppp pap sent-username user_name password 0 pass_word,主认证方和被认证方配置的用户名和密码必须一致,配置CHAP认证-主认证方,配置认证用户名和密码Router(config)#username user_name password 0 pass_word启用CHAP认证Router(config-if)#ppp authentication chap配置认证用的用户名Router(config-if)#ppp chap hostname user_name,如果不配置此命令,默认使用路由器的主机名作为主认证方的用户名,配置CHAP认证-被认证方,配置认证用户名和密码Router(config)#username user_name password 0 pass_word配置认证用的用户名Router(config-if)#ppp chap hostname user_name配置认证用的密码Router(config-if)#ppp chap password 0 pass_word,如果不配置此命令,默认使用路由器的主机名作为被认证方的用户名,当没有配置认证的用户名和密码时,可以使用此命令配置默认的密码,PPP配置实例,RouterA#config terminalRouterA(config)#interface serial 0/0RouterA(config-if)#encapsulation pppRouterA(config-if)#ppp pap sent-username benet password 0 bestRouterA(config-if)#no shutdown,RouterB#config terminal RouterB(config)#username benet password 0 bestRouterB(config)#interface serial 0/0RouterB(config-if)#clock rate 2000000RouterB(config-if)#encapsulation pppRouterB(config-if)#ppp authentication papRouterB(config-if)#no shutdown,A,B,PPP的调试和排错,show interface命令Router#show interface serial 0/1Serial0/1 is up,line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCPMTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,reliability 255/255,txload 1/255,rxload 1/255 Encapsulation PPP,loopback not set LCP Open Open:IPCP,CDPCP,物理层UP,数据链路层UP,此接口的IP地址由IPCP协议协商决定,此接口链路层封装协议为PPP,LCP、IPCP、CDPCP协议状态都为open,5.5项目一 配置PPP认证实现接入Internet,Center公司总部设在北京,该公司在广州和上海分别设有分公司,现在要求整个公司的网络通过总部出口路由器连接到Internet,网络拓扑如图所示,在图中路由器相应接口上配置PPP协议,分别使用PAP和CHAP方式认证用户。,PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成PPP的帧格式LCP协议用来负责链路的配置NCP协议用来负责网络协议的配置PPP链路建立的过程PPP认证配置PAP配置CHAP配置,阶段总结,任务进度,5.6 帧中继配置,FR,DLCI,DLCI,DCE,DCE,DTE,DTE,Local Management Interface(LMI),Permanent Virtual Circuit(PVC)use data link connection identifiers(DLCI),局域网,局域网,帧中继协议是在X.25分组交换技术的基础上发展起来的一种快速分组交换技术,是改进了的X.25协议。帧中继是基于虚电路的。,Frame Relay术语,Frame Relay术语,DTE:客户端设备,数据终端设备。DCE:数据通信设备或数据电路端接设备。虚电路(VC):通过为每一对DTE设备分配一个连接标识符,实现多个逻辑数据会话在同一条物理链路上进行多路复用。数字连接识别号(DLCI):用以识别在DTE和FR之间的逻 辑虚拟电路。本地管理接口(LMI):是在DTE设备和FR之间的一种信令协议。,Frame Relay 拓扑结构,Frame Relay default:NBMA,Frame Relay 拓扑结构,全网结构:提供最大限度的相互容错能力;物理连接费用最为昂贵。部分网状结构:对重要结点采取多链路互连方式,有一定的备份能力。星型结构:最常用的帧中继拓扑结构,由中心节点来提供主要服务与应用,工程费最省。,实现路由信息的可达性,在NBMA环境的网络中使用水平分割可能造成一些问题划分子端口可以解决水平分割造成的问题一个物理端口可以被划分成多个逻辑意义上的子端口,帧中继寻址,Frame Relay基本配置,配置 Frame Relay的静态映射,子接口的配置,点到点子接口子接口看作是专线 每一个点到点连接的子接口要求有自己的子网 适用于星型拓扑结构 多点子接口一个单独的子接口用来建立多条PVC,这些PVC连接到远端路由器的多点子接口或物理接口所有加入的接口都处于同一的子网中,配置点到点的子接口,多点子接口配置举例,5.7项目二 通过帧中继实现公司各分部互联,Center公司除了北京总公司外,还有上海和广州分公司,两个分公司之间希望能够申请一条广域网专线进行连接。现在拟在总公司和分公司之间通过配置帧中继技术,实现链路复用,实现总公司和分公司之间的相互联通,如图所示。,总公司与分公司互联拓扑图,帧中继术语DTE、DCEDLCI、LMI帧中继寻址帧中继配置简单帧中继配置子接口配置,阶段总结,任务进度,广域网接入技术,本章结构,企业广域网接入配置,广域网概述,接入技术分类,广域网实现模型,帧中继配置,配置PPP认证,大中型网络接入,小型网络接入,广域网封装协议,广域网设备类型,接入技术分类,广域网实现模型,广域网设备类型,