搜索
第十一章广域网WAN术语WAN连接类型•从本地CPE经过DCE交换机到远程CPE的一条预先建立的WAN通信路径。租用线路通常使用HDLC和PPP封装类型。•成本太高,他是最好的选择类型租用线路•在端到端连接之前不能传输数据。电路交换使用拨号调制解调或ISDN,用于低带宽数据传输•成本低电路交换•一种看起来像租用线路,但费用像电路交换的一种网络允许和其他公司共向带宽•如果需要经常传输数据,则不要考虑这种类型,应当使用租用线路包交换WANHDLCHDLC(HighLevelDataLinkControlprotocol)高级数据链路控制协议是基于数据链路层协议,促进传送到下一层的数据在传输过程中能够准确地被接收。另一个重要功能是流量控制。该协议是cisco私有协议,默认思科设备接口上封装为该类型。任务命令设置HDLC封装encapsulationhdlc设置DCE端线路速度clockratespeed复位一个硬件接口clearinterfaceserialunit显示接口状态showinterfacesserial[unit]任务命令进入controller配置模式controller{t1|e1}number选择帧类型framing{crc4|no-crc4}选择line-code类型linecode{ami|b8zs|hdb3}建立逻辑通道组与时隙的映射channel-groupnumbertimeslotsrange1显示controllers接口状态showcontrollerse1[slot/port]2使用E1线路实现多个64K专线连接:PPP(PointToPointProtocol)PPP是OSI参考模型层2协议,可以使用在异步串行连接比如拨号(dial-up)或者同步串行连接比如ISDN上。它使用链路控制协议(LinkControlProtocol,LCP)来建立和保持连接。PPP的主要目的是通过数据链路层点对点的传输OSI参考模型层3数据包。它不是一格专有协议。注意PPP的协议栈只定义在OSI参考模型的层1和层2。NCP用于建立和配置多种网络层协议。PPP允许采用多种网络层协议。PPP可以工作在任何DCE/DTE接口比如EIA/TIA-323-C(以前为RS-232-C),ITU-T(原CCITT)V.35等,惟一要求是必须提供全双工线路。PPPLCP配置选项LCP用于就封装格式选项自动达成一致,处理数据包大小限制的变化,探测环路链路和其他普通的配置错误,以及终止链路。包括内容如下:Authentication(认证):告诉链路的呼叫方发送可以确定其用户身份的信息。有PAP和CHAP两种方法。Compression(压缩):用于通过传输之前压缩数据或负载来增加PPP连接的吞吐量。Errordetection(错误检测):PPP使用Quality(质量)和MagicNumber(魔术号码)选项确保可靠的、无环路的数据链路。Multilink(多链路):允许几个不同的物理路径在第三层表现为一条逻辑路径。PPP回叫:PPP认证成功后进行回叫。PPP回叫对于账户记录是个很好的功能,因为可以根据访问费用跟踪使用情况。启动回叫后,呼叫路由器将和远程路由器取得联系,并进行认证。两个路由器必须都配置回叫。一旦完成认证,远程路由器将中断连接并从远程路由器重新初始化到呼叫路由器的连接。PPP会话(连接)建立LinkDead阶段连接建立阶段验证阶段网络协议阶段连接结束阶段PPP认证方法PPP配置PPPPPP封装必须在串行线连接的两端接口上都配置才能工作:Router(config)#ints0Router(config-if)#encapsulationpppRouter(config-if)#^ZRouter#PPP配置认证将串行接口配置为支持PPP封装后,可以使用PPP在路由器之间配置认证:RouterA(config)#usernameRouterBpasswordCUITRouterA(config)#ints0RouterA(config-if)#pppauthenticationchappapRouterA(config-if)#^Z上例配置了两种方法,那么在链路协商阶段只使用第一种方法。如果第一种方法失败,将使用第二种方法。帧中继工作过程网络主机在本地网络发送一个帧路由器获得此帧,提取出数据包,丢弃剩下的帧路由器转发此数据信道服务单元/数据服务单元(CSU/DSU)接收数字信号,并将信号编码为包交换机(PSE)可以理解的数字信号类型。CSU/DSU连接分界,分解由服务提供商安装并且位于服务提供商的第一个负责点典型的分解时连接到本地回路的双绞线电缆CO接收帧并通过帧中继“网云”发送到他的目的地一旦帧到达最靠近目的交换局,就发送到本地回路上帧中继封装当在Cisco路由器上配置帧中继时,需要在串行接口上将帧中继指定为一种封装。但不能使用HDLC和PPP封装帧中继。当配置帧中继时,要指定一种帧中继封装类型(如下例所示)。帧中继有两种封装类型——Cisco和IETF。RouterA(config)#ints0RouterA(config-if)#encapsulationframe-relay?ietfUseRFC1490/RFC2427encapsulationcr除非手的输入ietf,否则默认的封装是Cisco,而且连接两个Cisco设备时使用Cisco类型。帧中继虚电路帧中继使用虚电路工作方式。这些虚电路是连接到提供商“网云”上的几千个设备构成的链路。帧中继为两个DTE设备之间提供建立虚电路,使它们就像通过一个电路连接起来一样,实际上将帧放入一个很大的共享设施里。应为有了虚电路,我们永远都不会看到网云内部所发生的复杂操作。虚电路分为永久虚电路和交换虚电路。永久虚电路(PermanentVirtualCircuits,PVC)是目前通用的类型。永久的意识是电信公司在内部创建映射,并且只要你付费,虚电路就是有效的。交换虚电路(SwitchedVirtualCircuits,SVC)就像电话呼叫。当数据需要传输时建立虚电路,数据传输完成后拆除虚电路。帧中继DLCI数据链路连接标识符,它是帧中继帧格式中地字段的一个重要部分之一。DLCI字段的长度一般为10bit,但也可扩展为16bit,前者用二字节地址字段,后者是三字节地址字段。23bit用四字节地址字段。DLCI值用于标识永久虚电路(PVC),呼叫控制或管理信息。DLCI只具有本地意义。FrameRelayRouterARouterBDLCI102DLCI201在图中,DLCI101对RouterA具有本地意义并定义了RouterA和入口帧中继交换机之间的电路。DLCI201定义了RouterB和入口帧中继交换机之间的电路。帧中继LMI帧中继本地管理接口(LMI)是对基本的帧中继标准的扩展。它是路由器和帧中继交换机之间信令标准,提供帧中继管理机制。它提供了许多管理复杂互联网络的特性,其中包括全局寻址、虚电路状态消息和多目发送等功能。CISCO支持的有3种:ansit1.617、ITU-T的q.933a和cisco的这三种。默认是CISCO。任务命令设置FrameRelay封装encapsulationframe-relay[ietf]1设置FrameRelayLMI类型frame-relaylmi-type{ansi|cisco|q}2设置子接口interfaceinterface-typeinterface-number.subinterface-number[multipoint|point-to-point]映射协议地址与DLCIframe-relaymapprotocolprotocol-addressdlci[broadcast]3设置FRDLCI编号frame-relayinterface-dlcidlci[broadcast]有关端口设置命令帧中继子接口可能在一个串行接口上有多条虚电路,并且将每个虚电路视为一个单独的接口,他被认为是子接口。如果要设置子接口,此物理接口不能有IP地址RouterA(config)#ints1/0RouterA(config-if)#encapsulationframe-relayRouterA(config)#ints1/0.12point-to-point帧中继帧中继映射首先在端口上要风装frame-relay的类型和IP地址(在同一网段)frame-relay的类型基本有两种cisco和IETF。默认情况下其他都不用设置DLCI号可以动态学习。配置静态的影射时候可以关掉INARP或者不关都可以。grame-relaymapip10.0.0.1110broadcast(ietf)加上broadcast这个参数后可以在PVC上传输多播和广播数据。帧中继监视帧中继检验frame-relay的配置showinters0不同的LMI会有不同的DLCI号。showframe-relaypvcshowframe-relaymap注意:命令clearframe-relay-inarp可以清除动态学习到的影射关系。VPNVPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处:采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;对于企业,基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系;电话公司通过开展拨号VPN服务可以减轻终端阻塞;通过为公司提供安全的外界远程访问服务,ISP能增加收入;通过Extranet分层和相关竞争服务,ISP也可以提供不同的拨号VPNVPN原理概述virtualprivatenetwork,虚拟专用网络。是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN可分为三大类:企业网与远程(移动)雇员之间的远程访问(RemoteAccessVPN)企业各部门与远程分支之间的IntranetVPN企业与合作伙伴、客户、供应商之间的ExtranetVPNVPN实现的两个关键技术是隧道技术和加密技术,用IPSec进行加密GRE、L2TP和PPTP点到点隧道协议实现隧道技术。123VPN身份验证方法VPNIPSec体系结构IPSec体系结构安全关联和安全策略IPSec协议的运行模式AH协议ESP协议Internet密钥交换协议VPNVPN/IPSec的配置命令创建isakmp策略,定义hash,预共享,密钥交换,时间:Router(config)#cryptoisakmpenable//启用isakmpRouter(config)#cryptoisakmppolicy?//创建加密策略Router(config-isakmp)#encryption?//选择加密算法Router(config-isakmp)#hash?//选择校验算法Router(config-isakmp)#group?//定义hellman组Router(config-isakmp)#authentication?//定义认证方式Router(config-isakmp)#lifetime?//指定IKE策略的生存期Router(config)#cryptoisakmpkeyCUIT?//对isakmp策略进行加密定义转换集过程:Router(config)#cryptoipsectransform-setCUITesp-des?//创建转换集Router(config)#access-list100permitip//允许某一网段创建加密映射过程:Router(config)#cryptomapcuit10ipsec-isakmp//创建加密映射Router(config-crypto-map)#matchad