学习情境5企业广域网接入配置.ppt

1、学习情境4 内容回顾,网络安全概述 网络安全威胁 网络安全攻击方法 网络攻击的防御技术 管理设备控制台安全 管理设备控制台安全 保护设备控制台的安全措施 配置交换机远程登录的安全措施 交换机端口安全 端口安全的配置 端口安全的维护 ACL 标准ACL的配置 扩展ACL的配置,企业广域网接入配置,学习情境5,VLAN,帧中继,北京总部,广州分公司,上海分公司,VLAN,VLAN,VLAN,VLAN,VLAN,VLAN,情境三：构建企业交换式局域网,情境四：企业内网安全控制,情境五：企业广域网接入配置,课程综合项目：Center公司网络改造项目实施,Internet,情境一：网络设备选型,课程结构

2、,情境二：企业内部路由配置,本章目标,熟悉建设广域网络的基本知识 了解广域网特点和实现 掌握广域网封装协议 掌握PPP的原理及认证配置方法 掌握帧中继技术的原理及配置方法,广域网接入技术,本章结构,企业广域网接入配置,广域网概述,接入技术分类,广域网实现模型,帧中继配置,配置PPP认证,大中型网络接入,小型网络接入,广域网封装协议,广域网设备类型,接入技术分类,广域网实现模型,广域网设备类型,任务分解,任务进度,5.1 广域网概述,广域网（WAN） 覆盖较大地理范围的数据通信网络 使用网络提供商和电信公司所提供的传输设施传输数据,5.1.1 广域网的接入技术分类,5.1 广域网概述,专线连接,

3、专线连接 点到点专用连接 提供了一条独享的、预先建立好了的广域网络通信通道 通道是永久的和固定的,5.1 广域网概述,电路交换连接 根据需要进行连接 每一次通信会话期间都要建立、保持，然后拆除 在电信运营商网络中建立起来的专用物理电路,电路交换,例如电话网络就是电路交换网络,5.1 广域网概述,虚电路交换,虚电路像一条专用电路 永久虚电路（PVC）和交换虚电路（SVC）,虚电路,预先定义好的虚电路，不管是否传输数据，这条虚电路都存在并开通,被通信数据激活，临时建立的虚链路，当数据传输完成，链路拆除,5.1 广域网概述,包交换（分组交换机） 将传输的数据分组 多个网络设备共享实际的物理线路 使用

4、虚电路/虚通道（Virtual Channel）传输,分组交换机（包交换）,前面学习的IP的网络都是分组交换网络,5.1 广域网概述,5.1.2 广域网服务的实现模型,CO Switch,Local loop,CPE,骨干网和交换机,分界,广域网服务提供商的长途电话网,点到点或 电路交换连接,5.1 广域网概述,典型广域网拓朴结构,PSTN,分组交换网络,网络中心,分支机构,家庭办公,分支机构,5.1.3 常见的广域网设备,5.1 广域网概述,接入服务器,接入服务器是广域网中拨入和拨出连接的汇聚点，用户终端可以通过接入服务器接入广域网。,5.1 广域网概述,广域网交换机,广域网交换机是在运营商

5、网络中使用的多端口网络互联设备。广域网交换机一般工作在OSI参模型的数据链路层,主要有如帧中继交换机、ATM交换机、光交换机等，可以对帧中继、ATM等数据流量进行操作。,5.1 广域网概述,调制解调器 Modem,普通Modem 基带Modem 协议转换器,5.1 广域网概述,CSU/DSU,信道服务单元（CSU）数据服务单元（DSU）类似数据端设备到数据通信设备的复用器，可以提供以下几方面的功能：信号再生、线路调节、误码纠正、信号管理、同步和电路测试等。,CT-2000是一台灵活多业务接入平台，它利用时分复用（TDM）技术提供语音和数据综合应用。利用可拔插的高密度的各种不同的接口模块，在同一

6、平台上可以提供多种业务应用：E&W、ISDN BRI、IDSL、SHDSL、V.35、E1/FE1、T1/FT1。为运营商节省空间和投资成本。强大的时隙交换（TSI）能力和多种的接口模块，使CT-2000可以应用于交叉连接（DXC）、灵活E1/T1多路复用器、机架式CSU/DSU和E1/T1转换器。,ISDN终端设备,网络终端(NT) 一类网络终端（NT1），提供2B+D二 线双向传输能力，它完成线路传输码型的 转换，并实现回波抵消数码传输技术 智能网络终端（NT2） ISDN用户终端 ISDN适配卡 ISDN适配器 ISDN数字电话 TA和ISDN卡的区别就像外置Modem和内置 Modem

7、的区别。外置的就是TA，内置的就是 ISDN卡。,路由器,可以访问获得最新产品信息,800系列,1800系列,2800系列,3800系列,7200系列,5.1.4 广域网与0SI模型,广域网主要工作于OSI模型的下面三层，即物理层、数据链路层和网络层 。 但是，由于目前网络层普遍采用了IP协议，因此广域网技术标准也开始转向主要关注物理层和数据链路层的功能及其实现方法。因此，与局域网技术相似，不同广域网技术的差异也在于它们在物理层和数据链路层实现方式的不同。,5.1 广域网概述,5.2 广域网接入技术,广域网采用的传输技术主要有电路交换、分组交换等技术。 它常借助一些电信部门的公用网络系统作为它

8、的通信链路，使用双绞线、光缆、微波、卫星、无线电波等有线传输介质和无线传输介质。,1.公用分组交换数据网（X.25网） 是一种以分组（Packet）为基本数据单元进行数据交换的通信网络。它采用分组交换（包交换）传输技术，是一种包交换的公共数据网。由于公用分组交换数据网使用X.25协议标准，故通常也称它为X.25网。,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,64kb/s,X.25,64kb/s,LAN1,路由器,LAN2,路由器,同步Modem,同步Modem,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,2.DDN属于专线连接方式 DDN（Digita

9、l Data Network，数字数据网）是利用数字信道传输数据信号的数据传输网 传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线 DDN是物理层的全透明网络，可以在它上面运行各种协议,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,实例：通过DDN实现局域网互连,5.2 广域网接入技术,3.Frame Relay 帧中继（Frame Relay）是80年代出现、近几年才兴起的一种新的公用数据交换网，它是由X.25发展起来的快速分组交换技术。帧中继与X.25有基本相同之处是它们都用分组交换技术，都是对等式的点对点通信。但在它们之间也存在着一些差异，其主要差别是

10、：X.25协议包括低三层协议，Frame Relay仅包含物理层和数据链路层协议。 从设计思想上看，帧中继与X.25的差异是，帧中继注重快速传输，而X.25强调高可靠性，所以在X.25网内，对传输的数据进行校验，并具有出错处理机制，而帧中继省略了这个功能，因此，帧中继传输速度快（64Kbps-2.048Mbps）。,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,实例：帧中继组网实例,实例1,5.2 广域网接入技术,4.微波无线网 微波通信是利用微波波段的电磁波在对流层的视距范围内进行信息传输的一种通信方式，是现代化通信的一种重要传输手段。利用微波通信技术可以实现局域网的远程互

11、连。 微波通信需要在通信双方各架设一个天线，且接收天线与发射天线必须精确地对准。天线有定向和全向两种类型，定向天线主要实现点到点的通信，而全向天线可以实现一点对多点的通信。 微波沿着直线传播，它不能很好地穿过建筑物，因此，使用微波无线网互连局域网时，要求在两个通信站点的直线范围内不能有遮挡物（建筑物），否则它将不能正确地传输数据。,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,实例：微波无线网互连远程局域网,5.2 广域网接入技术,5.卫星通信网 卫星通信利用人造地球卫星作为空中微波中继站，实现地球上两个或多个地球站之间的通信。卫星通信不仅可以为全球提供远距离的电视广播、移动

12、通信服务，而且可以提供数据广播和定点式数据通信，利用卫星通信网可以实现更大范围的局域网互连。 它具有覆盖地域广、传输距离长、传输质量好、通信速率快等特点，因此，卫星通信通常在覆盖面积广、规模大的互联网主干网的环境中使用。 使用卫星通信互连远距离局域网的实例很多，例如，我国教育科研示范网（CERNET）就使用2Mbps卫星通信信道，作为CERNET主干网的传输线路。,5.2.1大中型局域网连接WAN的方式,5.2 广域网接入技术,5.2.2小型局域网连接WAN的方式,1.ISDN综合业务数字网 ISDN提供端到端的数字连接，支持一系列广泛的业务（包括话音和非话音业务） 能够通过电话网络承载数据、

13、话音以及其他信息流 ISDN提供了BRI和PRI两种接口 BRI：2B+D PRI：30B+D / 23B+D D信道进行呼叫和控制，B信道进行数据传输,5.2 广域网接入技术,2、不对称式数字用户线（ADSL） xDSL是ADSL、SDSL、HDSL、IDSL和 VDSL技术的总称。 DSL包括以下几种技术： ADSL 非对称数字用户线（我国使用最广泛） RADSL 速率自适应非对称数字用户线 HDSL 高比特率数字用户线 VDSL 甚高比特率数字用户线 SDSL 单线对HDSL数字用户线（HDSL2）,5.2.2小型局域网连接WAN的方式,5.2 广域网接入技术,XDSL比较,5.2 广域

14、网接入技术,3.Cabel Modem Cabel Modem是近几年发展起来的又一种家庭电脑入网的新技术，它是一种以有线电视使用的 宽带同轴电缆作为传输介质，利用有线电视网（CATV）提供高速的数据传输的广域网连接技术。Cabel Modem除了提供视频信号业务外，还能提供语音、数据等宽带多媒体信息业务。这种技术也具有不对称的特性，其上、下行速率各不相同。Cabel Modem的上行速率是768Kbps,下行速率最高可以达到38Mbps。,5.2.2小型局域网连接WAN的方式,5.2 广域网接入技术,阶段总结,广域网的连接方式 专线连接、电路交换连接、分组交换连接 广域网的接入方式 X.25

15、、DDN、帧中继、微波无线网、卫星通信网、ISDN、ADSL、Cable Modem,任务进度,5.3 广域网数据链路层协议,HDLC PPP 帧中继Frame Relay ATM,HDLC协议,HDLC协议 High-Level Data Link Control，高级数据链路控制 用于点到点同步串行链路,PPP协议,PPP协议 Point to Point Protocol，点对点协议 支持IP地址协商 支持用户验证,帧中继协议,帧中继协议 在X.25分组交换技术的基础上发展起来的一种快速分组交换技术，是改进了的X.25协议,DLCI,DLCI,DCE,DCE,DTE,DTE,帧中继网络,

16、帧中继DLCI,DLCI（Data Link Connection Identifier，数据链路连接标识）用来表示帧中继的每条虚电路 只在本地接口和与之直接相连的对端接口有效，不具有全局有效性 映射对端的网络地址到DLCI 从帧中继网络服务商处得到分配的DLCI,FR,DLCI,DLCI=48,DCE,DCE,DTE,DTE,172.16.11.3,ATM协议,ATM（Asynchronous Transfer Mode，异步传输模式） ATM的特点 面向连接 网络接点功能简单 信元长度小而固定 转发时延小，传输速率高 支持完善的QoS功能 ATM与IP之争,阶段总结,广域网的封装协议类型

17、HDLC、PPP、Frame-Relay、ATM 广域网的协议结构 HDLC、PPP、Frame-Relay,任务进度,PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议 用户使用拨号电话线接入Internet时，一般都是使用 PPP 协议,PSTN,PPP协议,5.4 配置PPP协议,PPP协议的产生-SLIP协议,SLIP协议（Serial Line Internet Protocol） 是在串行线路上对IP数据报进行封装的简单协议 产生于二十世纪八十年代中期 SLIP协议的缺点 封装格式十分简单，无法进行IP地址等参数的协商 只支持IP协议

18、不具备校验功能,IP数据报文,+,END字符,=,HDLC：高级数据链路层协议。 HDLC是CISCO串行线路缺省封装协议，只允许CISCO设备连接，与其他供应商设备不兼容。 与没有运行CISOC IOS的设备连接, 使用PPP。,Page 49/34,PPP协议的产生-HDLC协议,PPP协议的优点,支持同步或异步串行链路的传输 支持多种网络层协议 支持错误检测 支持网络层的地址协商 支持用户认证 允许进行数据压缩,PPP的组成,PPP主要包括三个部分 在串行链路上封装上层数据报文的方法 采用LCP（Link-Control Protocol，链路控制协议）来建立、控制数据链路 采用NCP（

19、Network-Control Protocol，网络控制协议）来支持多种网络协议,物理介质（同/异步）,LCP,NCP,PPP,IP,IPX,其它网络协议,IPCP,IPXCP,其它NCP,网络层,数据链路层,物理层,LCP协议,用来建立、配置、维护、终止一条点对点链路 LCP协议协商选项 MRU，最大接收单元 认证协议 多链路捆绑,NCP协议,用来建立、配置不同的网络层协议 包括IPCP、IPXCP等协议 IPCP协议协商选项 IP地址协商 TCP/IP头压缩,PPP链路的建立,PPP链路的建立共有五个阶段,链路不可用 阶段,链路建立 阶段,认证阶段,网络层协议 阶段,链路终止 阶段,物理

20、层 UP,链路UP,认证通过或无认证,认证失败,关闭,失败,PPP帧格式,协议域,信息域,0 x7E,0 xFF,0 x03,帧校验,0 x7E,1Byte,2Bytes,2Bytes,1Byte,1Byte,1Byte,信息域：根据协议域的内容而定 当协议域为LCP协议时，信息域内为LCP协商参数 当协议域为NCP协议时，信息域内为NCP协商参数 当协议域为IP协议时，信息域内为用户数据,地址域：对方的数据链路层地址。 因为PPP协议是点对点的链路层协议，所以此字节无意义，用0 xFF填充,标志字节：用来标示PPP帧的开始和结束,控制域：通常用0 x03填充,协议域：用来区分PPP数据帧中信

21、息域所承载的数据报文的内容 常见取值： 0 xc021 信息域中承载的是LCP协议数据报文 0 xc023 信息域中承载的是PAP协议的认证报文 0 xc223 信息域中承载的是CHAP协议的认证报文 0 x8021 信息域中承载的是NCP协议数据报文 0 x0021 信息域中承载的是IP协议数据报文,PPP认证协议,PPP协议支持用户的认证，是广域网接入使用最广泛的协议 PPP协议支持两种认证协议 PAP（Password Authentication Protocol，口令认证协议） CHAP（Challenge Handshake Authentication Protocol，质询握手

22、认证协议）,PAP认证,PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。,被认证方,主认证方,用户名和密码(user01/pw01),认证通过/未通过,用户名：user01 密 码：pw01,username password user01 pw01,根据用户数据库认证 用户名密码是否正确,多链路PPP,MLP（MultiLink PPP）可以将多条PPP链路捆绑起来 对于MLP链路两端的设备，就好像只有一条PPP连接，只需配置一个IP地址 优点 增加带宽 负载分担 降低时延,配置PPP协议,进入串口配置模式 Router(config)# interface serial

23、 0/0 配置接口的链路层协议为PPP Router(config-if)# encapsulation ppp 配置接口的IP地址 Router(config-if)# ip address ip_addr ip_mask,配置PAP认证-主认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用PAP认证 Router(config-if)# ppp authentication pap,0表示密码为明文保存,配置PAP认证-被认证方,配置认证用户名和密码 Router(config-if)# ppp

24、 pap sent-username user_name password 0 pass_word,主认证方和被认证方配置的用户名和密码必须一致,配置CHAP认证-主认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用CHAP认证 Router(config-if)# ppp authentication chap 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name,如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名,配置CHAP

25、认证-被认证方,配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name 配置认证用的密码 Router(config-if)# ppp chap password 0 pass_word,如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名,当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码,PPP配置实例,RouterA# config terminal RouterA(config)

26、# interface serial 0/0 RouterA(config-if)# ip address 192.168.1.2 255.255.255.252 RouterA(config-if)# encapsulation ppp RouterA(config-if)# ppp pap sent-username benet password 0 best RouterA(config-if)# no shutdown,RouterB# config terminal RouterB(config)# username benet password 0 best RouterB(con

27、fig)# interface serial 0/0 RouterB(config-if)# ip address 192.168.1.1 255.255.255.252 RouterB(config-if)# clock rate 2000000 RouterB(config-if)# encapsulation ppp RouterB(config-if)# ppp authentication pap RouterB(config-if)# no shutdown,A,B,PPP的调试和排错,show interface命令 Router#show interface serial 0/

28、1 Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCP MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP,物理层UP，数据链路层UP,此接口的IP地址由IPCP

29、协议协商决定,此接口链路层封装协议为PPP,LCP、IPCP、CDPCP协议状态都为open,5.5项目一 配置PPP认证实现接入Internet,Center公司总部设在北京，该公司在广州和上海分别设有分公司，现在要求整个公司的网络通过总部出口路由器连接到Internet，网络拓扑如图所示，在图中路由器相应接口上配置PPP协议，分别使用PAP和CHAP方式认证用户。,PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成 PPP的帧格式 LCP协议用来负责链路的配置 NCP协议用来负责网络协议的配置 PPP链路建立的过程 PPP认证配置 PAP配置 CHAP配置,阶段总结,任务进度,5.6 帧中继配置,FR,DLCI,DLCI,DCE,DCE,DTE,DTE,Local Management Interface (LMI),Permanent Virtual Circuit (PVC) use data link connection identifiers (DLCI),局域网,局域网,帧中继协议是在X.2