2009/9Mail:xuanyuan.yang@gmail.com构建中小企业网络集团企业网组建项目(一)2009/9Mail:xuanyuan.yang@gmail.com目录•工作任务布置•广域网基本概念•如何在交换机上配置VLAN•任务实施(一)•VLAN间通信的方法•任务实施(二)2009/9Mail:xuanyuan.yang@gmail.com•工作任务布置2009/9Mail:xuanyuan.yang@gmail.com任务背景•公司总部在北京,因为业务发展壮大,在上海建立了一家分公司,为了便于管理及日常工作顺利开展,总部决定和分公司之间采用广域网线路连接。2009/9Mail:xuanyuan.yang@gmail.com拓扑图R3640RG-S6808×2RG-S3550RG-S4909RG-S3550RG-S3550RG-S3550RG-R6806ERG-S2126SRG-S2126SFR分公司公司总部2009/9Mail:xuanyuan.yang@gmail.com•广域网基本概念2009/9Mail:xuanyuan.yang@gmail.com广域网的作用•基于电信运营商的通信网络设施建立远程连接•在相距遥远的局域网之间建立连接性WAN运营商通信网北京西安1000km2009/9Mail:xuanyuan.yang@gmail.com广域网与OSI参考模型网络层数据链路层物理层IP、IPX等网络层协议HDLCPPP帧中继LAPBV.24、V.35、X.21、RS-232、RS-449、RS-530、G.703、E1/T1OSI参考模型广域网2009/9Mail:xuanyuan.yang@gmail.com广域网连接方式X.25/帧中继/ATMPSTN/ISDN分组交换方式电路交换方式专线方式异步/同步专线2009/9Mail:xuanyuan.yang@gmail.com专线连接模型运营商传输设备运营商通信网运营商传输设备DTEDTEDCEDCE远程线路•点到点永久性独占线路,固定带宽•典型技术:异步模拟专线、同步数字专线•链路层常使用SDLC、HDLC、PPP等本地线缆本地线缆接入线路接入线路用户路由器用户路由器2009/9Mail:xuanyuan.yang@gmail.com电路交换连接模型•按需拨号建立连接,独占线路,带宽固定•典型技术:PSTN、ISDN•链路层通常采用PPP广域网交换机运营商通信网广域网交换机DTEDTEDCEDCE远程交换电路本地线缆本地线缆接入线路接入线路用户路由器用户路由器2009/9Mail:xuanyuan.yang@gmail.com分组交换连接模型•一个端系统设备可以通过虚电路连接到多个通信对端•典型技术:X.25、帧中继、ATM分组交换机运营商分组交换网分组交换机虚电路接入链路接入链路用户路由器用户路由器2009/9Mail:xuanyuan.yang@gmail.com常用接口和线缆•接口和线缆–V.24、V.35、X.21、RS-232、RS-449、RS-530、RJ-11、RJ-45、双绞线等•设备–调制解调器、同步CSU/DSU等运营商设备运营商通信网串口串口线缆接入线缆用户路由器2009/9Mail:xuanyuan.yang@gmail.comV.24接口线缆V.24DTE电缆波特率(bps)最大传输距离(米)24006048006096003019200303840020640002011520010•支持同步和异步两种方式•异步方式下最高速率为115200bps•同步方式下最高速率为64000bps2009/9Mail:xuanyuan.yang@gmail.comV.35接口线缆V.35DTE电缆波特率(bps)最大传输距离(m)240012504800625960031219200156384007856000606400050204800030•只能工作在同步方式下•同步方式下最大速率2Mbps2009/9Mail:xuanyuan.yang@gmail.com•HDLC协议与配置2009/9Mail:xuanyuan.yang@gmail.comHDLC概述HDLC封装•面向比特•透明传输•运行于同步串行线路同步串行线路2009/9Mail:xuanyuan.yang@gmail.comHDLC帧格式•标志字段:标志帧的起始(01111110)•地址字段:用来寻址目的设备•控制字段:构成各种命令以及响应•信息字段:有效信息或者数据•帧校验:校验帧错误标志F控制C地址A帧校验TCS标志F信息I2009/9Mail:xuanyuan.yang@gmail.comHDLC状态检测•HDLC设备以轮询时间间隔为周期,向链路上发送Keepalive消息•3个周期内无法收到对方发出的Keepalive消息,HDLC设备就认为链路不可用•同一链路两端设备的轮询时间间隔应设为相同的值HDLC链路每10秒发送keepalive每10秒发送keepalive2009/9Mail:xuanyuan.yang@gmail.comHDLC协议特点•对于任何一种比特流都可透明传输•较高的数据链路传输效率•所有的帧(包括响应帧)都有FCS,传输可靠性高•用统一的帧格式来实现传输2009/9Mail:xuanyuan.yang@gmail.comHDLC协议使用限制•只支持点到点连接,不支持点到多点•只能工作于同步方式•不支持验证,缺乏安全性•不支持IP地址协商2009/9Mail:xuanyuan.yang@gmail.comRouter(config-if)#encapsulationhdlc•启用HDLC封装•同步串行接口默认使用HDLC封装配置HDLC封装2009/9Mail:xuanyuan.yang@gmail.com•任务实施(一)2009/9Mail:xuanyuan.yang@gmail.com任务布置•在广域网接口封装HDLC协议,使总公司与分公司ping通;RTARTBPCBPCAS0/0S0/0f0/0f0/02009/9Mail:xuanyuan.yang@gmail.com•PPP协议2009/9Mail:xuanyuan.yang@gmail.comPPP基本概念•PPP协议支持同步和异步线路•PPP协议支持验证和地址协商同步/异步专线接入服务器PPPPSTN/ISDNPSTN/ISDNPPPPPPPPPPPPPPP2009/9Mail:xuanyuan.yang@gmail.comPPP的特点•可以工作在同异步方式下•能够控制数据链路的建立•支持验证,更加安全•可同时支持多种网络层协议•可以对网络层地址进行协商,能够远程分配IP地址•无重传机制,网络开销小2009/9Mail:xuanyuan.yang@gmail.comLCP(连接控制协议)NCP(网络控制协议)21(IP,IPX,AppleTalk)3PPP协议结构物理介质(同步/异步)•PPP协议主要由LCP、NCP以及用于网络安全的可选验证协议族组成2009/9Mail:xuanyuan.yang@gmail.comPPP帧格式•标志字段:标志帧的起始(01111110)•地址字段:总设成11111111,表明主从端的状态都为接收状态.•控制字段:其缺省为00000011,表明是一个无序号的帧,默认情况下,没有采用序列号来进行可靠传输.•协议字段:这些协议包括了LCP和针对所支持的每种网络层协议而定的不同NCP。•信息字段:有效信息或者数据•帧校验:校验帧错误标志F控制C地址A帧校验TCS标志F信息I协议P2009/9Mail:xuanyuan.yang@gmail.comPPP会话建立过程PSTN/ISDNPPP链路链路的建立和配置协调阶段可选的验证阶段,选择PAP或者CHAP网络层协议配置协商阶段2009/9Mail:xuanyuan.yang@gmail.comPPP会话流程Dead阶段Establish阶段Network阶段Authenticate阶段Terminate阶段关闭验证失败LCPOpened验证通过或无验证链路建立失败Down底层up2009/9Mail:xuanyuan.yang@gmail.comPAP验证用户名+密码通过/拒绝•被验证方首先发起验证请求,两次握手验证•密码以明文传送被验证方主验证方用户列表2009/9Mail:xuanyuan.yang@gmail.comCHAP验证主机名+加密后报文通过/拒绝主机名+随机报文被验证方主验证方•主验证方首先发起验证请求,三次握手验证•不发送密码,安全性比PAP高用户列表2009/9Mail:xuanyuan.yang@gmail.comPPP验证对比•PAP是两次握手,CHAP是三次握手•PAP密码以明文方式在链路上发送,缺乏安全性•CHAP只在网络上传输用户名,而并不传输用户密码•PAP和CHAP都支持双向身份验证2009/9Mail:xuanyuan.yang@gmail.comPPPMP简介•MP(MultilinkPPP)将多个PPP链路捆绑后当作一条链路使用•MP可以实现增加带宽、负载分担、链路备份以及降低报文时延的目的ppppppppppppBundleinterface2009/9Mail:xuanyuan.yang@gmail.comPPPMP实现方式•一种是通过配置虚拟模板接口(Virtual-Template,VT)来实现MP–可利用用户名确定捆绑–一个VT接口可派生多个捆绑•一种是利用MP-Group接口实现MP–Mp-Group是MP专用接口,一个MP-group只能对应一个绑定2009/9Mail:xuanyuan.yang@gmail.com•PPP配置2009/9Mail:xuanyuan.yang@gmail.comPPP的配置•路由器上的配置–RA(config)#interfaceseriel1/2–RA(config-if)#encapsulationppp•注:路由器广域网默认封装方式为HDLC2009/9Mail:xuanyuan.yang@gmail.comPAP验证的配置•客户端(被验证方)•RA(config)#interfaceseril1/2•RA(config-if)#encapsulationppp•RA(config-if)#ppppapsent-usernameruijiepassword1232009/9Mail:xuanyuan.yang@gmail.comPAP验证的配置•服务端(验证方)•RB(config)#usernameruijiepassword123•RB(config)#interfaceseril1/2•RB(config-if)#encapsulationppp•RB(config-if)#pppauthenticationpap2009/9Mail:xuanyuan.yang@gmail.comCHAP配置实例2009/9Mail:xuanyuan.yang@gmail.comRouter#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570Internetaddressis10.140.1.2/24MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPCPLastinput00:00:05,output00:00:05,outputhangneverLastclearingofshowinterfacecountersneverQueueingstrategy:fifoOutputqueue0/40,0drops;inp