第六章 廣域網(wǎng)接入
6.1 廣域網(wǎng)協(xié)議概述
廣域網(wǎng)簡(jiǎn)稱WAN (wide area network),是在一個(gè)廣泛范圍內(nèi)建立的計(jì)算機(jī)通信網(wǎng),是一種跨地區(qū)的數(shù)據(jù)通訊網(wǎng)絡(luò),使用電信運(yùn)營(yíng)商提供的設(shè)備作為信息傳輸平臺(tái),主要用來(lái)將距離較遠(yuǎn)的局域網(wǎng)彼此連接起來(lái)。
對(duì)于OSI參考模型,廣域網(wǎng)技術(shù)主要位于底層的3個(gè)層次,分別是物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層,如表3-1所示。
表3-1 廣域網(wǎng)技術(shù)與OSI參考模型
OSI參考模型 |
WAN技術(shù) |
Network Layer(網(wǎng)絡(luò)層) |
X.25 |
Data link layer(數(shù)據(jù)鏈路層) |
LAPB、Frame Relay、HDLC、PPP、SDLC |
Phsical Layer (物理層) |
x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530 |
6.2 廣域網(wǎng)連接方式
1.點(diǎn)到點(diǎn)連接
主要形式有撥號(hào)電話線路、ISDN撥號(hào)線路、DDN專線、E1線路等。鏈路層上的封裝協(xié)議有兩種:PPP和HDLC。Cisco路由器上的缺省封裝是HDLC協(xié)議。
2.分組交換方式
多個(gè)網(wǎng)絡(luò)設(shè)備在傳輸數(shù)據(jù)時(shí)共享一個(gè)點(diǎn)到點(diǎn)的連接,也就是說(shuō)這條連接不是被某個(gè)設(shè)備獨(dú)占,而是由多個(gè)設(shè)備共享使用。網(wǎng)絡(luò)在進(jìn)行數(shù)據(jù)傳輸時(shí)使用“虛電路VC”來(lái)提供端到端的連接。通常這種連接要經(jīng)過(guò)分組交換網(wǎng)絡(luò),而這種網(wǎng)絡(luò)一般都由電信運(yùn)營(yíng)商來(lái)提供。常見(jiàn)的廣域網(wǎng)分組形式有X.25、幀中繼(Frame Relay)、ATM等。
分組交換設(shè)備將用戶信息封裝在分組或數(shù)據(jù)幀中進(jìn)行傳輸,在分組頭或幀頭中包含用于路由選擇、差錯(cuò)控制和流量控制的信息。
6.3 廣域網(wǎng)的一些技術(shù)
6.3.1 幀中繼(Frame Relay)
1.概述
幀中繼(FrameRelay)是一種包交換的技術(shù),高性能,運(yùn)行在OSI的最下2層即物理層和數(shù)據(jù)鏈路層。它其實(shí)是X.25技術(shù)的簡(jiǎn)化版本,省略了X.25技術(shù)的一些功能比如窗口技術(shù)和數(shù)據(jù)重發(fā)功能,這是因?yàn)閹欣^工作在性能更好的WAN設(shè)備上;而且它比X.25有更好的傳輸效率,速度可以從64Kbps達(dá)到T3的45Mbps。它還提供帶寬的動(dòng)態(tài)分配和擁塞控制功能。幀中繼采用虛電路技術(shù),能充分利用網(wǎng)絡(luò)資源,因而幀中繼具有吞吐量高、時(shí)延低、適合突發(fā)性業(yè)務(wù)等特點(diǎn)。作為一種新的承載業(yè)務(wù),幀中繼具有很大的潛力,主要應(yīng)用在廣域網(wǎng)(WAN)中,支持多種數(shù)據(jù)型業(yè)務(wù),如局域網(wǎng)(LAN)互連、計(jì)算機(jī)輔助設(shè)計(jì)(CAD)和計(jì)算機(jī)輔助制造(CAM)、文件傳送、圖象查詢業(yè)務(wù)、圖象監(jiān)視等。
幀中繼技術(shù)適用于以下三種情況:
- 當(dāng)用戶需要數(shù)據(jù)通信,其帶寬要求為64kbit/s~2Mbit/s,而參與通信的各方多于兩個(gè)的時(shí)候使用幀中繼是一種較好的解決方案。
- 通信距離較長(zhǎng)時(shí),應(yīng)優(yōu)選幀中繼。應(yīng)為幀中繼的高效性使用戶可以享有較好的經(jīng)濟(jì)性。
- 當(dāng)數(shù)據(jù)業(yè)務(wù)量為突發(fā)性時(shí),由于幀中繼具有動(dòng)態(tài)分配帶寬的功能,選用幀中繼可以有效地處理突發(fā)性數(shù)據(jù)。
2.幀中繼業(yè)務(wù)
幀中繼網(wǎng)絡(luò)提供的業(yè)務(wù)有兩種:永久虛電路和交換虛電路。永久虛電路是指在幀中繼終端用戶之間建立固定的虛電路連接,并在其上提供數(shù)據(jù)傳送業(yè)務(wù)。交換虛電路是指在兩個(gè)幀中繼終端用戶之間通過(guò)虛呼叫建立虛電路連接,網(wǎng)絡(luò)在建好的虛電路上提供數(shù)據(jù)信息的傳送服務(wù),終端用戶通過(guò)呼叫清除操作終止虛電路。目前已建成的幀中繼網(wǎng)絡(luò)大多只提供永久虛電路業(yè)務(wù),而交換虛電路及有關(guān)用戶可選業(yè)務(wù)正在研究中。
由于幀中繼業(yè)務(wù)不提供錯(cuò)幀通知、錯(cuò)幀恢復(fù)及出錯(cuò)幀的重傳服務(wù),因此業(yè)務(wù)的開(kāi)展必須具有兩個(gè)基本條件:
- 必須采用智能化的用戶終端,在其上運(yùn)行高層通信協(xié)議,以完成糾錯(cuò)、流量控制等功能。
- 中繼線必須具有較好的傳輸性能,以避免因傳輸差錯(cuò)造成過(guò)多的幀丟失,影響網(wǎng)絡(luò)服務(wù)質(zhì)量。
3.幀中繼術(shù)語(yǔ)
- 虛電路:兩個(gè)DTE設(shè)備 (如路由器)之間的邏輯鏈路稱為虛電路 (VC),幀中繼用虛電路來(lái)提供端點(diǎn)之間的連接。由服務(wù)提供商預(yù)先設(shè)置的虛電路稱為永久虛電路(PVC);另外一種虛電路是交換虛電路(SVC),它是動(dòng)態(tài)設(shè)置的虛電路。
- DLCI:即數(shù)據(jù)鏈路標(biāo)識(shí)符(Data-Link Connection Identifier),是在源和目的設(shè)備之間標(biāo)識(shí)邏輯電路的一個(gè)數(shù)值。幀中繼交換機(jī)通過(guò)在一對(duì)路由器之間映射DLCI來(lái)創(chuàng)建虛電路。
- 非廣播多訪問(wèn)(NBMAL)指不支持廣播包,但可以連接多于兩個(gè)設(shè)備的網(wǎng)絡(luò)。
- 本地訪問(wèn)速率:連接到幀中繼的時(shí)鐘速度 (端口速度),是數(shù)據(jù)流入或流出網(wǎng)絡(luò)的速率。
- 本地管理接口(LMI):是用戶設(shè)備和幀中繼交換機(jī)之間的信令標(biāo)準(zhǔn),它負(fù)責(zé)管理設(shè)備之間的連接。維護(hù)設(shè)備之間的連接狀態(tài)。
- 承諾信息速率 (CIR):指服務(wù)提供商承諾提供的有保證的速率。
- 幀中繼映射:作為第二層的協(xié)議,幀中繼協(xié)議必須有一個(gè)和第三層協(xié)議之間建立關(guān)聯(lián)的手段,才能用它來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)層的通信,幀中繼映射即實(shí)現(xiàn)這樣的功能,它把網(wǎng)絡(luò)層地址和DLCI之間進(jìn)行映射。
- 逆向ARP:幀中繼網(wǎng)中的路由器通過(guò)逆向ARP可以自動(dòng)建立幀中繼映射,從而實(shí)現(xiàn)IP協(xié)議和DLCI之間的映射。
- 幀中繼的子接口:所謂子接口(Subinterface),是在幀中繼的物理接口中定義的邏輯接口。幀中繼有兩種于接口類型,即點(diǎn)到點(diǎn)于接口(Point-to-Point Subinterface)和多點(diǎn)于接口(Multipoint Subinterface)。點(diǎn)到點(diǎn)于接口適合于星型拓?fù)?,多點(diǎn)子接口適合于部分網(wǎng)狀或全網(wǎng)狀拓?fù)洵h(huán)境。
4.幀中繼子接口
子接口(Subinterface)是一個(gè)物理接口上的多個(gè)虛接口,可以用于在同一個(gè)物理接口上連接多個(gè)網(wǎng)。我們知道為了避免路由循環(huán),路由器支持split horizon(水平分割)法則,它只允許路由更新被分配到路由器的其它接口,而不會(huì)再分配路由更新回到此路由被接收的接口。
無(wú)論如何,在廣域網(wǎng)環(huán)境使用基于連接的接口(如 X.25和Frame Relay),同一接口通過(guò)虛電路(vc)連接多臺(tái)遠(yuǎn)端路由器時(shí),從同一接口來(lái)的路由更新信息不可以再被發(fā)回到相同的接口,除非強(qiáng)制使用分開(kāi)的物理接口連接不同的路由器。Cisco提供子接口(subinterface)作為分開(kāi)的接口對(duì)待。你可以將路由器邏輯地連接到相同物理接口的不同子接口, 這樣來(lái)自不同子接口的路由更新就可以被分配到其他子接口,同時(shí)又滿足split horizon法則??梢耘渲米咏涌跒辄c(diǎn)到點(diǎn)和多點(diǎn)類型。
6.3.2 ISDN(綜合業(yè)務(wù)數(shù)字網(wǎng))
1.概述
ISDN(Integrated Service Digital NeTwork)中文名稱是綜合業(yè)務(wù)數(shù)字網(wǎng),通俗稱為“一線通”。目前電話網(wǎng)交換和中繼已經(jīng)基本上實(shí)現(xiàn)了數(shù)字化,即電話局和電話局之間從傳輸?shù)浇粨Q全部實(shí)現(xiàn)了數(shù)字化,但是從電話局到用戶則仍然是模擬的,向用戶提供的仍只是電話這一單純業(yè)務(wù)。綜合業(yè)務(wù)數(shù)字網(wǎng)的實(shí)現(xiàn),使電話局和用戶之間仍然采用一對(duì)銅線,也能夠做到數(shù)字化,并向用戶提供多種業(yè)務(wù),除了撥打電話外,還可以提供諸如可視電話、數(shù)據(jù)通信、會(huì)議電視等等多種業(yè)務(wù),從而將電話、傳真、數(shù)據(jù)、圖像等多種業(yè)務(wù)綜合在一個(gè)統(tǒng)一的數(shù)字網(wǎng)絡(luò)中進(jìn)行傳輸和處理。
2. 綜合業(yè)務(wù)數(shù)字網(wǎng)兩種類型:窄帶和寬帶
窄帶綜合業(yè)務(wù)數(shù)字網(wǎng)向用戶提供的有基本速率(2B+D,144kbps)和一次群速率(30B+D,2Mbps)兩種接口?;舅俾式涌诎▋蓚€(gè)能獨(dú)立工作的B信道(64Kbps)和一個(gè)D信道(16kbps),其中B信道一般用來(lái)傳輸話音、數(shù)據(jù)和圖像,D信道用來(lái)傳輸信令或分組信息。寬帶可以向用戶提供155Mbps以上的通信能力。
3. ISDN(2B+D)具有普通電話無(wú)法比擬的優(yōu)勢(shì)
綜合的通信業(yè)務(wù):利用一條用戶線路,就可以在上網(wǎng)的同時(shí)撥打電話、收發(fā)傳真,就像兩條電話線一樣。通過(guò)配置適當(dāng)?shù)慕K端設(shè)備,您也可以實(shí)現(xiàn)會(huì)議電視功能,把您和親人朋友之間的距離縮到最短。高速的數(shù)據(jù)傳輸:在數(shù)字用戶線中,存在多個(gè)復(fù)用的信道,比現(xiàn)有電話網(wǎng)中的數(shù)據(jù)傳輸速率提高了2-8倍。
高的傳輸質(zhì)量:由于采用端到端的數(shù)字傳輸,傳輸質(zhì)量明顯提高。接收端聲音失真很小。數(shù)據(jù)傳輸?shù)谋忍卣`碼特性比電話線路至少改善了10倍。使用靈活方便:只需一個(gè)入網(wǎng)接口,使用一個(gè)統(tǒng)一的號(hào)碼,就能從網(wǎng)絡(luò)得到您所需要使用的各種業(yè)務(wù)。統(tǒng)一的接口。
適宜的費(fèi)用:由于使用單一的網(wǎng)絡(luò)來(lái)提供多種業(yè)務(wù),ISDN大大地提高了網(wǎng)絡(luò)資源的利用率,以低廉的費(fèi)用向用戶提供業(yè)務(wù);同時(shí)用戶不必購(gòu)買和安裝不同的設(shè)備和線路接入不同的網(wǎng)絡(luò),因而只需要一個(gè)接口就能夠得到各種業(yè)務(wù),大大節(jié)省了投資。
4. ISDN(30B+D)業(yè)務(wù)
在一個(gè)PRA(30B+D)接口中,有30個(gè)B通路和1個(gè)D通路,每個(gè)B通路和D通路均為64Kbit/s,共1.920Kbit/s。每一個(gè)PRI接口可以獨(dú)立成為一個(gè)PRA用戶群,也可以多個(gè)PRA 接口組成一個(gè)用戶群。 30B+D的應(yīng)用:
- INTERNET的高速連接
- 遠(yuǎn)程教育、視頻會(huì)議和遠(yuǎn)程醫(yī)療
- 連鎖店的銷售管理(POS)
- 終端的遠(yuǎn)程登陸、局域網(wǎng)互連
- 連接PBX,提供語(yǔ)音通信
6.3.3 平衡鏈路訪問(wèn)過(guò)程(LAPB)
Link Access Procedure(LAP)鏈路訪問(wèn)規(guī)程首先是CCITT為使用X.25分組交換網(wǎng)絡(luò)建議的一種數(shù)據(jù)鏈路層協(xié)議。LAP是高級(jí)數(shù)據(jù)鏈路控制(HDLC)的一個(gè)子集。后來(lái),CCITT建議采用LAP-B(B:平衡)協(xié)議。
LAPB工作在OSI參考模型的數(shù)據(jù)鏈路層,是一種面向連接的協(xié)議,能夠確保幀的差錯(cuò)釋放和正確排序。一般和X.25技術(shù)一起進(jìn)行數(shù)據(jù)傳輸。
LAPB負(fù)責(zé)管理在 X.25 中 DTE 設(shè)備與 DCE 設(shè)備之間的通信和數(shù)據(jù)包幀的組織過(guò)程,是源于 HDLC 的一種面向位的協(xié)議,它實(shí)際上是 BAC (平衡的異步方式類別)方式下的 HDLC。LAPB 能夠確保傳輸幀的無(wú)差錯(cuò)和正確排序。因?yàn)樗袊?yán)格的窗口和超時(shí)功能,所以使得代價(jià)很高。
6.3.4 高級(jí)數(shù)據(jù)鏈路控制(HDLC)
HDLC是在數(shù)據(jù)鏈路層中最廣泛最使用的協(xié)議之一?,F(xiàn)在作為ISO的標(biāo)準(zhǔn),HDLC是基于IBM創(chuàng)建的同步數(shù)據(jù)鏈路控制(Synchronous Data Link Control,SDLC)衍生而來(lái)的。SDLC被廣泛用于IBM的大型機(jī)環(huán)境之中。工作在OSI參考模型的數(shù)據(jù)鏈路層。
它是一組用于在網(wǎng)絡(luò)結(jié)點(diǎn)間傳送數(shù)據(jù)的協(xié)議。在HDLC中,數(shù)據(jù)被組成一個(gè)個(gè)的單元(稱為幀)通過(guò)網(wǎng)絡(luò)發(fā)送,并由接收方確認(rèn)收到。HDLC協(xié)議也管理數(shù)據(jù)流和數(shù)據(jù)發(fā)送的間隔時(shí)間。在HDLC中,屬于SDLC的被稱為通響應(yīng)模式(NRM)。在通常響應(yīng)模式中,基站(通常是大型機(jī))發(fā)送數(shù)據(jù)給本地或遠(yuǎn)程的二級(jí)站。
相比LAPB,HDLC成本較低。HDLC不會(huì)把多種網(wǎng)絡(luò)層的協(xié)議封裝在同一個(gè)連接上。各個(gè)廠商的HDLC都有他自己鑒定網(wǎng)絡(luò)層協(xié)議的方式,所以各個(gè)廠商的HDLC是不同的,私有化的。不同類型的HDLC被用于使用X.25協(xié)議的網(wǎng)絡(luò)和幀中繼網(wǎng)絡(luò),這種協(xié)議可以在局域網(wǎng)或廣域網(wǎng)中使用,無(wú)論此網(wǎng)是公共的還是私人的。
HDLC是Cisco路由器上ISDN和串口的缺省封裝。盡管HDLC是缺省配置,但是Cisco的HDLC與其他廠商的HDLC實(shí)現(xiàn)方式不兼容,當(dāng)在一個(gè)多廠商設(shè)備環(huán)境中進(jìn)行配置串口鏈路時(shí),PPP是首選協(xié)議。
6.3.5 點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)
1.概述
點(diǎn)到點(diǎn)協(xié)議(Point to Point Protocol PPP)是IETF(Internet Engineering Task Force,因特網(wǎng)工程任務(wù)組)推出的點(diǎn)到點(diǎn)類型線路的數(shù)據(jù)鏈路層協(xié)議。它解決了SLIP中的問(wèn)題,并成為正式的因特網(wǎng)標(biāo)準(zhǔn)。PPP是標(biāo)準(zhǔn)化協(xié)議,支持不同廠家產(chǎn)品之間的互相操作性。
PPP是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡(jiǎn)單鏈路設(shè)計(jì)的鏈路層協(xié)議。這種鏈路提供全雙工操作,并按照順序傳遞數(shù)據(jù)包。設(shè)計(jì)目的主要是用來(lái)通過(guò)撥號(hào)或?qū)>€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù),使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡(jiǎn)單連接的一種共通的解決方案。
2.PPP功能
PPP主要完成了以下功能:
- 鏈路控制
PPP為用戶發(fā)起呼叫以建立鏈路;在建立鏈路時(shí)協(xié)商參數(shù)選擇;通信過(guò)程中隨時(shí)測(cè)試線路,當(dāng)線路空閑時(shí)釋放鏈路等。PPP中完成上述工作的組件是鏈路控制協(xié)議LCP(Link Control Protocol,LCP)。
- 網(wǎng)絡(luò)控制
當(dāng)LCP將鏈路建立好了以后,PPP要開(kāi)始根據(jù)不同用戶的需要,配置上層協(xié)議所需的環(huán)境。PPP使用網(wǎng)絡(luò)控制協(xié)議NCP(Network Control Protocol,NCP)來(lái)為上層提供服務(wù)接口。針對(duì)上層不同的協(xié)議類型,會(huì)使用不同的NCP組件。如對(duì)于IP提供IPCP接口,對(duì)于IPX提供IPXCP接口,對(duì)于APPLETALK提供ATCP接口等。
3.PPP工作過(guò)程
從開(kāi)始發(fā)起呼叫到最終通信完成后釋放鏈路,PPP的工作經(jīng)歷了一系列的過(guò)程。下面,是這一過(guò)程的描述。
當(dāng)一個(gè)PC終端撥號(hào)用戶發(fā)起一次撥號(hào)后,此PC終端首先通過(guò)調(diào)制解調(diào)器呼叫遠(yuǎn)程訪問(wèn)服務(wù)器,如提供撥號(hào)服務(wù)的路由器。
當(dāng)路由器上的遠(yuǎn)程訪問(wèn)模塊應(yīng)答了這個(gè)呼叫后,就建立起一個(gè)初始的物理連接。
接下來(lái),PC終端和遠(yuǎn)程訪問(wèn)服務(wù)器之間開(kāi)始傳送一系列經(jīng)過(guò)PPP封裝的LCP分組,用于協(xié)商選擇將要采用的PPP參數(shù)。
如果上一步中有一方要求認(rèn)證,接下來(lái)就開(kāi)始認(rèn)證過(guò)程。如果認(rèn)證失敗,如錯(cuò)誤的用戶名、密碼,則鏈路被終止,雙方負(fù)責(zé)通信的設(shè)備或模塊(如用戶端的調(diào)制解調(diào)器或服務(wù)器端的遠(yuǎn)程訪問(wèn)模塊)關(guān)閉物理鏈路回到空閑狀態(tài)。如果認(rèn)證成功則進(jìn)行下一步。
在這步驟中,通信雙方開(kāi)始交換一系列的NCP分組來(lái)配置網(wǎng)絡(luò)層。對(duì)于上層使用的是IP協(xié)議的情形來(lái)說(shuō),此過(guò)程是由IPCP完成的。
當(dāng)NCP配置完成后,雙方的邏輯通信鏈路就建立好了,雙方可以開(kāi)始在此鏈路上交換上層數(shù)據(jù)。
當(dāng)數(shù)據(jù)傳送完成后,一方會(huì)發(fā)起斷開(kāi)連接的請(qǐng)求。這時(shí),首先使用NCP來(lái)釋放網(wǎng)絡(luò)層的連接,歸還IP地址;然后利用LCP來(lái)關(guān)閉數(shù)據(jù)鏈路層連接;最后,雙方的通信設(shè)備或模塊關(guān)閉物理鏈路回到空閑狀態(tài)。
4.LCP協(xié)商選項(xiàng)
LCP用來(lái)在通信鏈路建立初期,在通信雙方之間協(xié)議功能選項(xiàng)。表1列出了其中主要的選項(xiàng)。它們是身份驗(yàn)證、壓縮、回叫、多鏈路,如表3-2所示。
表3-2 PPP LCP協(xié)商選項(xiàng)
特 性 |
解釋 |
協(xié)議 |
身份驗(yàn)證 |
鏈路建立成功前要求提供正確的密碼 |
PAP,CHAP |
壓縮 |
在帶寬有限的鏈路提供對(duì)數(shù)據(jù)壓縮功能 |
Predictor,Stacker, MPPC |
回叫 |
由被叫方重新呼叫原呼叫發(fā)起方 |
Cisco Callback,MS Callback |
多鏈路 |
需要的時(shí)候進(jìn)行多鏈路捆綁、負(fù)載均衡 |
MP |
5.PPP兩種認(rèn)證方式
- 口令驗(yàn)證協(xié)議(PAP)
PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS(網(wǎng)絡(luò)接入服務(wù)器,Network Access Server)要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗(yàn)證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無(wú)法提供避免受到第三方攻擊的保障措施。
- 挑戰(zhàn)-握手驗(yàn)證協(xié)議(CHAP)
CHAP是一種加密的驗(yàn)證方式,能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令(challenge),其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串(arbitrary challengestring)。遠(yuǎn)程客戶必須使用MD5單向哈希算法(one-way hashing algorithm)返回用戶名和加密的挑戰(zhàn)口令,會(huì)話ID以及用戶口令,其中用戶名以非哈希方式發(fā)送。
CHAP對(duì)PAP進(jìn)行了改進(jìn),不再直接通過(guò)鏈路發(fā)送明文口令,而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令,所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作,并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊(replay attack)。在整個(gè)連接過(guò)程中,CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令,從而避免第3方冒充遠(yuǎn)程客戶(remote client impersonation)進(jìn)行攻擊。
6.PPP協(xié)議配置
配置端口中涉及到的命令如表3-3所示:
表3-3 PPP端口設(shè)置
任務(wù) |
命令 |
設(shè)置PPP封裝 |
encapsulation ppp |
設(shè)置認(rèn)證方法 |
ppp authentication {chap | chap pap | pap chap | pap} |
指定口令 |
username name password secret |
設(shè)置DCE端線路速度 |
clockrate speed |
注:要使用CHAP/PAP必須使用PPP封裝。在與非Cisco路由器連接時(shí),一般采用PPP封裝,其它廠家路由器一般不支持Cisco的HDLC封裝協(xié)議。
6.3.6 X.25協(xié)議
1.概述
X.25是定義終端和數(shù)據(jù)包交換網(wǎng)絡(luò)之間連接的一種標(biāo)準(zhǔn)。換言之,X.25是一個(gè)接口技術(shù)規(guī)格。它不規(guī)定PSN(Packet Switching Network包交換網(wǎng)絡(luò))本身的特征。網(wǎng)絡(luò)界一般用X.25這一名詞指代整個(gè)X.25協(xié)議集。
X.25技術(shù)起源于20世紀(jì)70年代初,工程師們將X.25設(shè)計(jì)用于通過(guò)模擬電話線在字母數(shù)字型“啞”終端之間時(shí)行數(shù)據(jù)傳輸和接收。X.25使啞終端能夠遠(yuǎn)程訪問(wèn)大型機(jī)和小型機(jī)上有應(yīng)用。后來(lái)X.25加強(qiáng)了支持各種網(wǎng)絡(luò)協(xié)議的功能,IP、Novell IPX和AppleTalk。
X.25定義了數(shù)據(jù)通信的電話網(wǎng)絡(luò)。在通信前一方首先通過(guò)請(qǐng)求通訊進(jìn)程呼叫另一方,被呼叫方接受或拒絕該呼叫。如果呼叫建立,兩個(gè)系統(tǒng)可以開(kāi)始進(jìn)行全雙工數(shù)據(jù)傳輸,任何一方都可以在任何時(shí)候中斷連接。
X.25網(wǎng)絡(luò)設(shè)備分為數(shù)據(jù)終端設(shè)備(DTE)、數(shù)據(jù)電路終端設(shè)備(DCE)及分組交換設(shè)備(PSE)。DTE是X.25的末端系統(tǒng),如終端、計(jì)算機(jī)或網(wǎng)絡(luò)主機(jī),一般位于用戶端,Cisco路由器就是DTE設(shè)備。DCE設(shè)備是專用通信設(shè)備,如調(diào)制解調(diào)器和分組交換機(jī)。PSE是公共網(wǎng)絡(luò)的主干交換機(jī)。
X.25規(guī)范對(duì)應(yīng)OSI三層,X.25的第三層描述了分組的格式及分組交換的過(guò)程。X.25的第二層由LAPB(Link Access Procedure, Balanced)實(shí)現(xiàn),它定義了用于DTE/DCE連接的幀格式。X.25的第一層定義了電氣和物理端口特性。
DTE之間端對(duì)端的通信(在這里,指Cisco路由器之間的通信)通過(guò)虛電路建立,虛電路可分為PVC(永入虛電路)和SVC(臨時(shí)虛電路),PVC通常用于經(jīng)常有大量數(shù)據(jù)傳輸?shù)膱?chǎng)合,SVC通常用于有間斷數(shù)據(jù)傳輸?shù)膱?chǎng)合。
X.25的地址,(即X.121地址)最大可以為14位10進(jìn)制數(shù)。X.121地址在SVC進(jìn)行呼叫建立時(shí)才用到。當(dāng)虛電路建立后,只通過(guò)邏輯通道標(biāo)識(shí)符,標(biāo)識(shí)遠(yuǎn)端DTE設(shè)備。
2.X.25虛電路操作過(guò)程
- 呼叫建立過(guò)程
- 數(shù)據(jù)傳輸過(guò)程
- 呼叫連接清除過(guò)程
對(duì)于PVC只有數(shù)據(jù)傳輸過(guò)程,因?yàn)镻VC就如同DDN專線一樣,一旦建立,就會(huì)永入保持該虛電路連接。對(duì)于SVC,包含以上全部三個(gè)過(guò)程。
以上只是簡(jiǎn)要介紹一下X.25協(xié)議,總之,X.25協(xié)議是一種糾錯(cuò)能力很強(qiáng)的同步傳輸協(xié)議,一般最高帶寬為640和156K兩種,國(guó)內(nèi)采用64K的最高帶寬。
3.X.25協(xié)議的配置步驟
在端口配置狀態(tài)下:
- 封裝X.25
encapsulation x25 [ dte | dce ] | [ bfe | ddn | ietf ]
路由器可以是一臺(tái)X.25DTE設(shè)備,通常是在X.25PDN來(lái)傳輸各種協(xié)議數(shù)據(jù)時(shí)。路由器也可以被配置作一個(gè)X.25DCE設(shè)備,通常是在路由器被用作一臺(tái)X.25交換機(jī)時(shí)。你可以選擇兩種封裝方法:cisco和IETF。缺省為Cisco,不由關(guān)鍵詞指定。如果兩臺(tái)Cisco路由器通過(guò)V.35或RS232線纜直連時(shí),進(jìn)行X.25的配置時(shí),其中連接DCE線纜一方要encapsulation X.25 dce的配置。且該路由器要提供同步時(shí)鐘 :
bandwith 帶寬
clockrate 同步時(shí)鐘
- 設(shè)置申請(qǐng)到的本端口的X.121
地址 X.25 address 本端X.121地址
- 將需要通信的對(duì)方的路由器或其它X.25設(shè)備的IP地址進(jìn)行映射
X.25 map ip 對(duì)方路由器或其它X.25設(shè)備的IP地址 對(duì)方X.121地址 {broadcast}
broadcast參數(shù)表示在X.25虛電路中可以傳送路由廣播信息,原則上 ,可以根據(jù)需要,進(jìn)行多個(gè)映射。
- 設(shè)置虛電路編號(hào)(可選)
X.25 htc 申請(qǐng)的X.25的最大的雙向虛電路編號(hào)
國(guó)內(nèi)的X.25可以按帶寬申請(qǐng),其中最高可申請(qǐng)64K,每個(gè)X.25線路可以最多同時(shí)有16個(gè)虛電路 ,編號(hào)為1-16,因此,該處配置一般為X.25 htc 16。缺省情況下,Cisco路由器的最低的雙向虛電路號(hào)為1。
- 設(shè)置虛電路數(shù)(可選)
X.25 nvc 進(jìn)行一次X.25連接時(shí)可以同時(shí)建立的虛電路數(shù)
其中,該參數(shù)最大為8,且要為2的倍數(shù)。
- 設(shè)置分鐘數(shù)(可選)
X.25 idle 分鐘數(shù)
當(dāng)申請(qǐng)的線路為SVC時(shí),該配置表示如果在指定的分鐘數(shù)內(nèi)沒(méi)有任何數(shù)據(jù)傳輸(包括動(dòng)態(tài)路由數(shù)據(jù)),路由器將清除該X.25連接。
- 設(shè)置本端口IP地址
ip address 本端口IP地址 子網(wǎng)掩碼
一般的,對(duì)于X.25配置以上參數(shù)既可,在某些情況下,X.25無(wú)法建立通訊,需要和電信管理部門協(xié)商,調(diào)整路由器X.25其它參數(shù)及LAPB層參數(shù)與其一致,可以通過(guò)show interface命令看到端口X.25 LAPB的參數(shù)。
6.3.7 異步傳輸模式(ATM)
1.概述
異步傳輸模式(ATM)是國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)委員會(huì)(ITU-T)制定的信元(cell)中繼續(xù)標(biāo)準(zhǔn)。ATM使用固定長(zhǎng)度的53字節(jié)長(zhǎng)的信元方式進(jìn)行傳輸, 固定大小的包可以確??焖偾胰菀椎貙?shí)現(xiàn)交換和多路復(fù)用。 ATM 是一種面向連接的技術(shù),也就是說(shuō),兩個(gè)網(wǎng)絡(luò)系統(tǒng)要建立相互間的通信,需要通知中間介質(zhì)服務(wù)需求和流量參數(shù)。
2.ATM 的三層參考模式及各層功能
- ATM 適配層(AAL)
- ATM 層
- 物理層
AAL 連接更高層協(xié)議到 ATM 層,其主要負(fù)責(zé)上層與 ATM 層交換 ATM 信元。當(dāng)從上層收到信息后, AAL 將數(shù)據(jù)分割成 ATM 信元;當(dāng)從 ATM 層收到信息后, AAL 必須重新組合數(shù)據(jù)形成一個(gè)上層能夠辨識(shí)的格式,上述過(guò)程即稱之為分段與重組(SAR)。不同的 AAL 用于支持在 ATM 網(wǎng)絡(luò)上使用的不同的流量或服務(wù)類型。
ATM 層主要負(fù)責(zé)將信元從 AAL 轉(zhuǎn)發(fā)給物理層便于傳輸和將信元從物理層轉(zhuǎn)發(fā)給 AAL 便于其在終端系統(tǒng)的使用。 ATM 層能夠決定進(jìn)來(lái)的信元應(yīng)該被轉(zhuǎn)發(fā)至哪里;重新設(shè)置相應(yīng)的連接標(biāo)識(shí)符并且轉(zhuǎn)發(fā)信元給下一個(gè)鏈接、緩沖信元以及處理各種流量管理功能,如信元丟失優(yōu)先權(quán)標(biāo)記、擁塞標(biāo)注和通用流控制訪問(wèn)。此外 ATM 層還負(fù)責(zé)監(jiān)控傳輸率和服從服務(wù)約定(流量策略)。
ATM 的物理層定義了位定時(shí)及其它特征,將數(shù)據(jù)編碼并解碼為適當(dāng)?shù)碾姴ɑ蚬獠ㄐ问?,用于在特定物理媒體上傳輸和接收。此外它還提供了幀適配功能,包括信元描繪、信頭錯(cuò)誤校驗(yàn)(HEC)的生成和處理、性能監(jiān)控以及不同傳輸格式的負(fù)載率匹配。物理層通常使用的介質(zhì)有 SONET 、DS3 、光纖、雙絞線等。
3. I.321建議中的ATM協(xié)議參考模型
在ITU-T的I.321建議中定義了B-ISDN協(xié)議參考模型,如下圖。它包括三個(gè)面:用戶面、控制面和管理面,而在每個(gè)面中又是分層的,分為物理層、ATM層、AAL層和高層。
協(xié)議參考模型中的三個(gè)面分別完成不同的功能:
用戶平面:采用分層結(jié)構(gòu),提供用戶信息流的傳送,同時(shí)也具有一定的控制功能,如流量控制、差錯(cuò)控制等;
控制平面:采用分層結(jié)構(gòu),完成呼叫控制和連接控制功能,利用信令進(jìn)行呼叫和連接的建立、監(jiān)視和釋放;
管理平面:包括層管理和面管理。其中層管理采用分層結(jié)構(gòu),完成與各協(xié)議層實(shí)體的資源和參數(shù)相關(guān)的管理功能,如元信令。同時(shí)層管理還處理與各層相關(guān)的OAM信息流;面管理不分層,它完成與整個(gè)系統(tǒng)相關(guān)的管理功能,并對(duì)所有平面起協(xié)調(diào)作用。
ATM網(wǎng)絡(luò)技術(shù)的目的是給出一套對(duì)網(wǎng)絡(luò)用戶的服務(wù)。通常這些服務(wù)是由ATM協(xié)議參考模型(如圖)的定義給出,它與網(wǎng)絡(luò)傳輸?shù)念愋蜔o(wú)關(guān)。ATM提供的服務(wù)由ATM參考模型定義了對(duì)高層的服務(wù)以及操作和維護(hù)ATM網(wǎng)絡(luò)所需的功能。
4. ATM 的益處
ATM 為支持多種信息類型(例如,數(shù)據(jù)、語(yǔ)音和實(shí)時(shí)視頻和音頻)的網(wǎng)絡(luò)中服務(wù)質(zhì)量的不斷增長(zhǎng)的需要提供靈活而可伸縮的解決方案。使用 ATM,每種信息類型都可通過(guò)單個(gè)網(wǎng)絡(luò)連接來(lái)傳送。ATM 可提供下列益處:高速通信面向連接的服務(wù),與傳統(tǒng)電話類似 快速的基于硬件的交換 單一、統(tǒng)一且可互操作的網(wǎng)絡(luò)傳輸 可靠地混合語(yǔ)音、視頻和數(shù)據(jù)的單一網(wǎng)絡(luò)連接 靈活而高效的網(wǎng)絡(luò)帶寬分配。
5.ATM的發(fā)展
ATM技術(shù)是一項(xiàng)優(yōu)秀的傳輸、交換、復(fù)用、交叉連接技術(shù)。目前,ATM技術(shù)以一種更務(wù)實(shí)的姿態(tài)進(jìn)入實(shí)用中,對(duì)ATM技術(shù)的理解也應(yīng)在思想上更新?;ヂ?lián)網(wǎng)的可持續(xù)發(fā)展需要ATM支持,以提高服務(wù)質(zhì)量和擴(kuò)容;ATM也需要互聯(lián)網(wǎng)來(lái)發(fā)展、應(yīng)用、展示自己。隨著能充分利用ATM的應(yīng)用增加,ATM的優(yōu)勢(shì)日漸突出。Internet的發(fā)展正是一個(gè)機(jī)遇,尤其是互聯(lián)網(wǎng)業(yè)務(wù)的多媒體化需求,對(duì)ATM技術(shù)將是一個(gè)巨大的推動(dòng)。
6.4 PPP協(xié)議配置實(shí)驗(yàn)
6.4.1實(shí)驗(yàn)?zāi)康?/h3>
- 加深對(duì)PPP協(xié)議工作過(guò)程的理解,掌握PPP協(xié)議的配置
- 掌握PPP兩種認(rèn)證協(xié)議的配置
6.4.2 背景描述
某公司為了滿足業(yè)務(wù)需求,申請(qǐng)了專線接入,為了與ISP進(jìn)行鏈路協(xié)商時(shí)驗(yàn)證身份,網(wǎng)絡(luò)管理員需要在路由器上配置驗(yàn)證,來(lái)保障鏈路的安全通信。
6.4.3 實(shí)驗(yàn)設(shè)備
- RG-R1700系列路由器二臺(tái)
- PC 一臺(tái),必須能夠打開(kāi)管理端網(wǎng)頁(yè),進(jìn)行設(shè)備配置
- V.35電纜線一根
6.4.4 實(shí)驗(yàn)拓?fù)鋱D
實(shí)驗(yàn)拓?fù)淙鐖D3-1所示
圖3-1 PPP協(xié)議配置
6.4.5 實(shí)驗(yàn)步驟
在實(shí)驗(yàn)中,R1和R2通過(guò)V.35線連接,其中R1設(shè)置成DCE設(shè)備,只需在R1上配置時(shí)鐘頻率即可。
1. PAP認(rèn)證
- 對(duì)路由器R1的配置
R1>en 14
Password:
R1#conf t
R1(config)#username R2 password R2 (在本地路由器上建立遠(yuǎn)程路由器的用戶名和
密碼)
R1(config)#int s1/2 (進(jìn)入接口配置模式)
R1(config-if)#clock rate 64000 (設(shè)置時(shí)鐘,使之成為DCE設(shè)備)
R1(config-if)#encapsulation ppp (封裝PPP協(xié)議)
R1(config-if)#ppp authentication pap (用PAP進(jìn)行驗(yàn)證)
R1(config-if)#ip address 10.1.1.1 255.255.255.0 (為接口配置IP)
R1(config-if)#no shut (激活端口)
R1(config-if)# R1(config-if)#ppp pap sent-username R1 password 0 R1 (在建立連接時(shí),發(fā)送本地路由器的用戶名和密碼)
R1(config-if)#exit
R1(config)#exit
R1#
注意:這里發(fā)送的用戶名和密碼必須和在另一臺(tái)機(jī)器上設(shè)置的用戶名和密碼一致。
- 對(duì)路由器R2的配置
R2>en 14
Password:
R2#conf t
R2(config)#username R1 password R1
R2(config)#int s1/2
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)# ppp pap sent-username R2 password 0 R2
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP (此時(shí)經(jīng)過(guò)設(shè)置好的PPP自動(dòng)認(rèn)證后鏈路建立)
R2(config-if)#exit
R2(config)#exit
R2#
- 配置完后,可通過(guò)Ping命令檢查配置是否成功。
測(cè)試成功!
(4)用debug ppp authentication查看PPP鏈路的建立過(guò)程。
- 在R1中開(kāi)啟debug調(diào)試
R1#debug ppp authentication
- 把R2的S1/2口shutdown掉,再no shutdown激活
R2(config)#int s1/2
R2(config-if)#shut
R2(config-if)#
%LINK CHANGED: Interface serial 1/2, changed state to administratively down
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWN
R2(config-if)#
R2(config-if)#no shut
R2(config-if)#
%LINK CHANGED: Interface serial 1/2, changed state to up
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP
R2 CON0 is now available
- 此時(shí)在R1上將會(huì)顯示出PPP認(rèn)證的過(guò)程信息,如下
PPP: serial1/2 authentication event enqueue ,message type = [RECV_PAP_REQUEST]
PPP: dispose authentication message [RECV_PAP_REQUEST](顯示PAP請(qǐng)求/接受信息)
PPP: serial 1/2 PAP authenticating peer R2 (PAP認(rèn)證對(duì)端設(shè)備為R2)
PPP: serial 1/2 Remote passed PAP authentication sending Auth-Ack to peer.(向?qū)Χ税l(fā)送帶有密碼的PAP請(qǐng)求認(rèn)證數(shù)據(jù),要求得到確認(rèn))
PPP: serial 1/2 PAP ACK received (收到PAP確認(rèn)數(shù)據(jù),包含有R2的通信密碼)
PPP: serial 1/2 Passed PAP authentication with remote (向遠(yuǎn)端進(jìn)行認(rèn)證連接)
PPP: serial 1/2 lcp authentication OK! (鏈路控制連接建立完成)
PPP: ppp_clear_author(), protocol = TYPE_IPCP (網(wǎng)絡(luò)層連接接口所承載
的協(xié)議是IP)
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP
R1#
R1 CON0 is now available
2. CHAP認(rèn)證
- 對(duì)路由器R1配置
R1(config)#username R2 password 0 rgr1700 (設(shè)置認(rèn)證密碼為rgr1700)
R1(config)#int s1/2
R1(config-if)#clock rate 64000
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap (用CHAP進(jìn)行認(rèn)證)
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#ppp chap hostname R1
R1(config-if)#ppp chap password 0 rgr1700
R1(config-if)#exit
R1(config)#exit
R1#
- 對(duì)路由器R2配置
R2(config)#username R1 password 0 rgr1700 (設(shè)置認(rèn)證密碼為rgr1700)
R2(config)#int s1/2
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ppp chap hostname R2
R2(config-if)#ppp chap password 0 rgr1700 (設(shè)置認(rèn)證密碼為rgr1700)
R2(config-if)#exit
R2(config)#exit
R2#
注意:用CHAP進(jìn)行認(rèn)證時(shí),雙方的密鑰都必須相同。
說(shuō)明:在配置R2的命令中,可以不添加ppp chap hostname R2 和ppp chap password 0 rgr1700,CHAP 認(rèn)證過(guò)程仍然可以建立完成,這是銳捷產(chǎn)品的一個(gè)特性。
(3)配置完后,通過(guò)Ping命令檢查配置是否成功。
測(cè)試成功!
(4)用debug ppp authentication查看PPP鏈路CHAP認(rèn)證的建立過(guò)程。
1.在R1中開(kāi)啟debug調(diào)試
R1#debug ppp authentication
2.把R2的S1/2口shutdown掉,再no shutdown激活
3.觀察R1窗口中的顯示信息
PPP: serial 1/2 Using CHAP hostname R1.
PPP: serial 1/2 Send CHAP challenge id=18 to remote host
PPP: serial 1/2 authentication event enqueue ,message type = [RECV_CHAP_RESPONSE]
PPP: dispose authentication message [RECV_CHAP_RESPONSE]
PPP: serial 1/2 CHAP response id=18 ,received from R2
PPP: serial 1/2 Send CHAP success id=18 to remote
PPP: serial 1/2 remote router passed CHAP authentication.
PPP: serial 1/2 lcp authentication OK!
PPP: ppp_clear_author(), protocol = TYPE_IPCP
說(shuō)明:如果在創(chuàng)建密碼的時(shí)候,兩個(gè)路由器上配置的認(rèn)證密碼不一樣,或者配置有錯(cuò)誤,那么PPP CHAP的LCP認(rèn)證過(guò)程將會(huì)失敗,在R1上將會(huì)有如下顯示:
PPP: serial 1/2 Using CHAP hostname R1.
PPP: serial 1/2 Send CHAP challenge id=3 to remote host (3是進(jìn)行建立認(rèn)證連接的次數(shù))
PPP: serial 1/2 authentication event enqueue ,message type = [RECV_CHAP_RESPONSE]
PPP: dispose authentication message [RECV_CHAP_RESPONSE]
PPP: serial 1/2 CHAP response id=3 ,received from R2
PPP: serial 1/2 Send CHAP failure to remote router (發(fā)送CHAP認(rèn)證失?。?/p>
PPP: ppp_clear_author(), protocol = TYPE_LCP
PPP: ppp_clear_author(), protocol = TYPE_LCP
3. PAP和CHAP認(rèn)證
可以在接口上同時(shí)使用PAP和CHAP認(rèn)證。在鏈路協(xié)商階段,請(qǐng)求使用第一個(gè)種方法;如果對(duì)方建議使用第二種方法,或拒絕使用第一種方法,那么會(huì)試圖使用第二種方法。這種配置很有用,因?yàn)橛羞h(yuǎn)程設(shè)備只支持CHAP,而有些只支持PAP。實(shí)現(xiàn)這種配置的命令如下:
R1(config-if)#ppp authentication pap chap
不建議采用上述配置,因?yàn)檫@樣將首先嘗試以明文方式傳輸密碼PAP,而不是更安全的CHAP。因此應(yīng)采用下述配置;
R1(config-if)#ppp authentication chap pap
當(dāng)配置完P(guān)PP協(xié)議認(rèn)證后,可使用debug ppp event查看PPP協(xié)議動(dòng)態(tài)信息。
也可使用debug ppp packet查看鏈路底層PPP協(xié)議協(xié)議包的顯示信息如下
R2#debug ppp packet
PPP: serial 1/2 [S] LCP ECHOREQ id 183 len 12 magic 0x6f9f0c
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b7 00 0c 00 c0 98 fb 3f 01 65 47
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b7 00 0c 00 c0 98 fb 3f 01 65 47
PPP: ppp_skb_enqueue [R] pd_type= 6
[len=10] ff 03 c0 21 0a b7 00 0c 00 c0
PPP: serial 1/2 [R] LCP ECHOREP id 183 len 12 magic 0xc098fb
PPP: serial 1/2 received echo id 183, sent echo id 183, line protocol up
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 09 b7 00 0c 00 c0 98 fb 3f 01 65 47
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 09 b7 00 0c 00 c0 98 fb 3f 01 65 47
PPP: ppp_skb_enqueue [R] pd_type= 6
[len=10] ff 03 c0 21 09 b7 00 0c 00 c0
PPP: serial 1/2 [R] LCP ECHOREQ id 183 len 12 magic 0xc098fb
PPP: serial 1/2 [S] LCP ECHOREP id 183 len 12 magic 0x6f9f
PPP: serial 1/2 [S] LCP ECHOREQ id 184 len 12 magic 0x6f9f0c
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b8 00 0c 00 c0 98 fb 3f 01 65 47
不過(guò)此命令最好不要打開(kāi),因?yàn)榭赡軙?huì)有很多不斷的包數(shù)據(jù)顯示,出現(xiàn)刷屏的后果,這時(shí)候你就不得不使用undebug all命令手動(dòng)關(guān)掉調(diào)試引擎。
PPP還有一些LCP協(xié)商其他的選項(xiàng)的配置,如壓縮、回叫、多鏈路。在本實(shí)驗(yàn)中就不再詳細(xì)介紹,讀者可以查看相關(guān)書(shū)籍進(jìn)一步了解PPP協(xié)議的配置。
6.5 幀中繼基本配置實(shí)驗(yàn)(選做)
6.5.1 實(shí)驗(yàn)?zāi)康?/h3>
- 配置幀中繼實(shí)現(xiàn)網(wǎng)絡(luò)互連
- 查看幀中繼pvc信息
- 監(jiān)測(cè)幀中繼相關(guān)信息
6.5.2 背景描述
為了使大家更深入了解廣域網(wǎng)環(huán)境,提高動(dòng)手能力。本實(shí)驗(yàn)?zāi)M了使用幀中繼來(lái)完成廣域網(wǎng)通信的環(huán)境。
6.5.3 實(shí)驗(yàn)設(shè)備
- 3臺(tái)RG-R1700系列路由器,其中一臺(tái)作為幀中繼交換機(jī)(DCE),其余兩臺(tái)為DTE設(shè)備(建議用機(jī)架組上的第四臺(tái)路由器做為幀中繼交換機(jī))
- 2條V.35 線纜
- PC 一臺(tái),必須能夠打開(kāi)管理端網(wǎng)頁(yè),進(jìn)行設(shè)備配置
6.5.4 實(shí)驗(yàn)拓?fù)鋱D
實(shí)驗(yàn)拓?fù)淙鐖D3-3所示:
圖3-3 幀中繼基本配置
6.5.5 實(shí)驗(yàn)步驟
在實(shí)驗(yàn)中我們首先把一臺(tái)RG-R1700路由器配置為幀中繼交換機(jī)(FR_Switch)來(lái)提供幀中繼的鏈路環(huán)境。然后針對(duì)連接在幀中繼線路上的路由器進(jìn)行設(shè)置,以實(shí)現(xiàn)端到端的連通性。在實(shí)際的網(wǎng)絡(luò)項(xiàng)目中,我們并不調(diào)試幀申繼交換機(jī),而是調(diào)試連在幀中繼線路兩端的路由器。
幀中繼交換機(jī)的S1/2和S1/3接口分別用一組DCE、DTE電纜與R1和R2實(shí)現(xiàn)連接。實(shí)驗(yàn)中,以太網(wǎng)接口不需要連接任何設(shè)備。配置為幀中繼交換機(jī)(FR_Switch)的路由器的接口不需要配置IP地址。
本實(shí)驗(yàn)通過(guò)對(duì)幀中繼的配置實(shí)現(xiàn)R1的E0網(wǎng)段到R2的E0網(wǎng)段的連通性。
- 配置幀中繼交換機(jī)
在作為幀中繼交換機(jī)使用的路由器上,首先使用Frame-relay switching命令,啟動(dòng)該路由器的幀申繼交換功能,使它可以被配置成為幀中繼交換機(jī)。
Router(config)#hostname FR_switch
FR_switch(config)#frame-relay switching (在全局配置狀態(tài)下,打開(kāi)幀中繼交換)
FR_switch(config)#
FR_switch(config)#int s1/2
FR_switch(config-if)#clockrate 64000
FR_switch(config-if)#encapsulation frame-relay ietf(為端口選擇封裝類型,默認(rèn)為cisco)
FR_switch(config-if)#frame-relay lmi-type cisco (指定LMI類型,其中默認(rèn)為q933a (CCITT標(biāo)準(zhǔn)) )
FR_switch(config-if)#frame-relay intf-type dce (定義幀中繼的接口類型為DCE類型)
FR_switch(config-if)#frame-relay route 102 interface s1/1 201 (定義本接口的DLCI值為102,與S1/3接口的值為201的DLCI形成1個(gè)虛電路)
FR_switch(config-if)#no shut
FR_switch(config-if)#exit
FR_switch(config)#
S1/3口的配置同S1/2類似。只需用frame-relay route 201 interface Serial2 102將本接口的DLCI值定義為201,與S1/2接口的值為102的DLCI形成1個(gè)虛電路。
查看接口配置狀況以及frame-relay的有關(guān)信息
FR-Switch#sh ip int b
Interface IP-Address(Pri) OK? Status
serial 1/2 no address YES DOWN
serial 1/3 no address YES DOWN
FastEthernet 1/0 no address YES DOWN
FastEthernet 1/1 no address YES DOWN
Loopback 1 192.168.30.1/24 YES UP
Null 0 no address YES UP
注意:在這里serial 1/2和serial 1/3端口的Status 值顯示為DOWN。實(shí)際上路由器做為幀中繼交換機(jī)時(shí),在配好了的情況下其幀中繼鏈路將會(huì)是通的,但其接口狀態(tài)將永遠(yuǎn)顯示的是DOWN,因?yàn)槲覀儧](méi)有給接口配置IP。(在這里根本就不需要為這些接口分配IP地址)
FR-Switch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
serial 1/2 102 serial 1/3 201 ACTIVE
serial 1/3 201 serial 1/2 102 ACTIVE
FR-Switch#sh interface
========================== serial 1/2 ========================
serial 1/2 is UP , line protocol is UP
Hardware is PQ2 SCC HDLC CONTROLLER serial
Interface address is: no ip address
MTU 1500 bytes, BW 2000 Kbit
Encapsulation protocol is FRAME RELAY IETF, loopback not set (接口封裝為幀中繼)
Keepalive interval is 10 sec , set
Carrier delay is 2 sec
RXload is 1 ,Txload is 1
LMI enq sent 11, LMI status recvd 0, LMI update recvd 0
LMI enq recvd 351, LMI status sent 351, LMI update sent 0, DCE LMI up
LMI DLCI 1023 LMI type is CISCO, frame relay DCE interface broadcasts 0(LMI類型為cisco)
Queueing strategy: WFQ (數(shù)據(jù)列隊(duì)策略采用WFQ)
5 minutes input rate 9 bits/sec, 0 packets/sec (下面主要就是收發(fā)的幀中繼流量信息)
5 minutes output rate 10 bits/sec, 0 packets/sec
475 packets input, 11493 bytes, 0 no buffer
Received 18 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort
420 packets output, 10918 bytes, 0 underruns
0 output errors, 0 collisions, 7 interface resets
1 carrier transitions
V35 DTE cable (使用V35 DTE線纜)
DCD=up DSR=up DTR=up RTS=up CTS=up
========================== serial 1/3 ========================
--More--
- 配置DTE設(shè)備
R1(config)#int f1/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no keepalive (不監(jiān)測(cè)keepalive信號(hào))
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay ietf (為端口選擇封裝類型,默認(rèn)為cisco)
R1(config-if)#no frame-relay inverse-arp (關(guān)閉ARP逆向機(jī)制)
R1(config-if)# frame-relay intf-type dte (定義幀中繼的接口類型為DTE類型)
R1(config-if)#frame-relay lmi-type cisco (指定LMI類型為cisco)
R1(config-if)#frame-relay map ip 172.16.1.2 102 cisco
R1(config-if)#no shut
R1(config-if)#exit
R2(config)#int f1/0
R2(config-if)#ip address 192.168.2.1 255.255.255.0
R2(config-if)#no keepalive (不監(jiān)測(cè)keepalive信號(hào))
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/2
R2(config-if)#ip address 172.16.1.2 255.255.255.0
R2(config-if)#encapsulation frame-relay ietf
R2(config-if)#no frame-relay inverse-arp
R2(config-if)# frame-relay intf-type dte
R2(config-if)#frame-relay lmi-type cisco
R2(config-if)#frame map ip 172.16.1.1 201 cisco
R2(config-if)#no shut
R2(config-if)#exit
說(shuō)明:以太網(wǎng)接口中的no keepalive能使此接口不監(jiān)測(cè)keepalive(存活)信號(hào),從而在不連接任何設(shè)備的情況下,可以激活此接口。
no frame-relay inverse-arp命令關(guān)閉幀中繼的逆向ARP。這是因?yàn)槲覀兪褂昧巳W(wǎng)狀拓?fù)?,關(guān)閉幀中繼的迎向ARP避免多個(gè)DLCI之間映射的混亂。如果S1/2接口上只有1個(gè)DLCI可以不關(guān)閉此項(xiàng),路由器將自動(dòng)獲取DLCI到IP地址的映射。
Frame map ip 172.16.1.2 102 cisco 命令定義了1個(gè)幀申繼到IP地址的映射,和ISDN中的映射語(yǔ)句一樣,表示通過(guò)DLCI 102可以到達(dá)172.16.1.2的IP地址,應(yīng)特別注意此處的DLCI是本地的DLCI,而不是對(duì)方的DLCI。使用的幀中繼LMI類型為Cisco。
對(duì)于R2路由器的設(shè)置,應(yīng)注意正確使用frame-relay map ip語(yǔ)句,其DLCI為201。
- 幀中繼基本配置驗(yàn)證
配置完成后,我們使用PING命令來(lái)檢測(cè)下網(wǎng)絡(luò)的連接性。
R2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/57/60 ms
可以使用下列命令來(lái)監(jiān)測(cè)
- show interface 查看有關(guān)封裝以及第一層和第二層狀態(tài)的信息和LMI信息
- show frame-relay lmi 查看LMI類型和統(tǒng)計(jì)信息
- show frame-relay map 查看幀中繼地址映射條目以及有關(guān)信息
- show frame-relay pvc 查看PVC狀態(tài)以及有關(guān)數(shù)據(jù)流的統(tǒng)計(jì)信息
- show frame-relay route 查看幀中繼路由的設(shè)置
也可以打開(kāi)debug frame-relay ?調(diào)試信息觀察幀中繼鏈路具體數(shù)據(jù)交換的狀況
- 配置靜態(tài)路由并測(cè)試連通性
在R1上配置目標(biāo)網(wǎng)段為192.168.2.0/24的靜態(tài)路由
R1(config)#ip route 192.168.2.0 255.255.255.0 172.16.1.2
在R2上配置目標(biāo)網(wǎng)段為192.168.1.0/24的靜態(tài)路由。
R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.1
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/57/60 ms
6.6幀中繼子接口配置實(shí)驗(yàn)(選做)
6.6.1 實(shí)驗(yàn)?zāi)康?/h3>
- 配置幀中繼點(diǎn)到點(diǎn)子接口
- 配置幀中繼多點(diǎn)子接口
- 查看幀中繼相關(guān)信息
6.6.2 背景描述
在上個(gè)實(shí)驗(yàn)的幀中繼環(huán)境中,完成幀中繼點(diǎn)對(duì)點(diǎn)和多點(diǎn)通信的構(gòu)建方式。
6.6.3 實(shí)驗(yàn)設(shè)備
- 4臺(tái)路由器,其中一臺(tái)作為幀中繼交換機(jī)(DCE),其余三臺(tái)為DTE設(shè)備。在本實(shí)驗(yàn)室里必須用機(jī)架組上的第四臺(tái)路由器做幀中繼交換機(jī)
- 3條V.35 線纜。
- PC 一臺(tái),必須能夠打開(kāi)管理端網(wǎng)頁(yè),進(jìn)行設(shè)備配置
6.6.4 實(shí)驗(yàn)拓?fù)鋱D
實(shí)驗(yàn)拓?fù)淙鐖D3-4、3-5所示:
圖3-4 幀中繼point to point
圖3-5 幀中繼multipoint
6.6.5 實(shí)驗(yàn)步驟
1.point to point
- 配置幀中繼交換機(jī)
由于在前面的實(shí)驗(yàn)中我們?cè)敿?xì)地給出了幀中繼交換機(jī)的配置,所以在這里就不具體給出配置了。同學(xué)們配置時(shí)請(qǐng)注意每個(gè)端口的PVC定義。命令是frame-route 本地接口DLCI interface 接口名 其它接口DLCI。由于采用點(diǎn)到點(diǎn)配置,所以交換機(jī)中每個(gè)接口應(yīng)該都有到其他接口的PVC。
例如:
FR_switch(config)#frame-relay switching
FR_switch(config)#int s1/2
FR_switch(config-if)#clockrate 64000
FR_switch(config-if)#encapsulation frame-relay ietf
FR_switch(config-if)#frame-relay lmi-type cisco
FR_switch(config-if)#frame-relay intf-type dce
FR_switch(config-if)#frame route 102 int s1/1 201
FR_switch(config-if)#frame route 103 int s2/0 301
FR_switch(config-if)#no shut
FR_switch(config-if)#exit
接著在S1/3,S2/0中類似的配置,只是定義frame-relay 路由的時(shí)候不一樣,在這也列出來(lái)
S1/3: # frame-relay route 201 s1/2 102 ,
#frame-relay route 203 s2/0 302
S2/0: #frame-relay route 301 s1/2 103,
#frame-relay route 302 s1/3 203
用命令sh frame-relay route查看
FR_Switch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
serial 1/2 102 serial 1/3 201 ACTIVE
serial 1/2 103 serial 2/0 301 ACTIVE
serial 1/3 201 serial 1/2 102 ACTIVE
serial 1/3 203 serial 2/0 302 ACTIVE
serial 2/0 301 serial 1/2 103 ACTIVE
serial 2/0 302 serial 1/3 203 ACTIVE
- 配置幀中繼點(diǎn)到點(diǎn)子接口
采用點(diǎn)到點(diǎn)配置時(shí),每個(gè)子接口被用來(lái)建立一條PVC,該P(yáng)VC連接到遠(yuǎn)程路由器的一個(gè)接口或子接口,如圖所示。每?jī)蓚€(gè)子接口位于同一個(gè)子網(wǎng)中,其中每個(gè)子接口都只有一個(gè)DLCI。每條點(diǎn)到點(diǎn)連接都是一個(gè)獨(dú)立的子網(wǎng),因此每個(gè)點(diǎn)到點(diǎn)子接口都必須有自己的網(wǎng)絡(luò)/子網(wǎng)地址空間。
配置步驟如下:
- 選擇要在其上配置子接口的物理接口,并進(jìn)入接口配置模式
- 刪除分配給物理接口的所有網(wǎng)絡(luò)層地址。如果物理接口有地址,子接口將不會(huì)接收幀
- 配置幀中繼封裝
- 選擇要配置的子接口, 命令為
interface serial number.subinterface-number {multipoint|point-to-point}
- 配置子接口的網(wǎng)絡(luò)層地址
- 指定接口的DLCI
R1(config)#int s1/2
R1(config-if) #encapsulation frame-relay ietf
R1(config-if)#frame-relay lmi-type cisco
R1(config-if)#frame-relay intf-type dte
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2.1 point-to-point
R1(config-subif)#ip address 172.16.1.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 102
R1(config-fr-dlci)#no shut
R1(config-fr-dlci)exit
R1(config-if)#int s1/2.3 point-to-point
R1(config-subif)#ip address 172.16.2.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 103
R1(config-fr-dlci)#no shut
R1(config-fr-dlci)exit
R2和R3的配置與R1類似。請(qǐng)大家注意子接口IP地址的配置和每個(gè)子接口DLCI的配置。
- 點(diǎn)到點(diǎn)配置驗(yàn)證
首先我們查看下R1各接口的狀況
R1#sh ip int b
Interface IP-Address(Pri) OK? Status
serial 1/2.3 172.16.2.1/24 YES UP
serial 1/2.1 172.16.1.1/24 YES UP
serial 1/2 no address YES DOWN
serial 1/3 no address YES DOWN
FastEthernet 1/0 no address YES DOWN
FastEthernet 1/1 no address YES DOWN
Null 0 no address YES UP
可以看到R1的子接口已被激活。
然后我們查看幀中繼映射
R1#sh frame-relay map
serial 1/2.1 (up): point to point
dlci 102(0x1860), static
broadcast,IETF, status: ACTIVE
serial 1/2.3 (up): point to point
dlci 103(0x1870), static
broadcast,IETF, status: ACTIVE
R1#
注意:必須在這兩個(gè)信息顯示都為情況下,才表示幀中繼映射鏈路建立成功了!
測(cè)試下連通性
R1#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms
R1#ping 172.16.2.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms
證明R1到R2和R3間鏈路的幀中繼子接口配置成功。
2. multipoint
- 配置幀中繼交換機(jī)
配置接口封裝命令與上面一樣,下面只敘述不一樣的命令
FR_switch(config)#int s1/2
FR_switch(config-if)#frame route 102 int s1/1 201
FR_switch(config-if)#frame route 103 int s1/2 301
FR_switch(config)#int s1/3
FR_switch(config-if)#frame route 201 int s1/1 102
FR_switch(config)#int s2/0
FR_switch(config-if)#frame route 301 int s1/1 103
(2) 配置幀中繼點(diǎn)到點(diǎn)子接口
R1(config)#int s1/2
R1(config-if) #encapsulation frame-relay ietf
R1(config-if)#frame-relay lmi-type cisco
R1(config-if)#frame-relay intf-type dte
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2.1 multipoint
R1(config-subif)#ip address 172.16.1.1 255.255.255.0
R1(config-subif)#frame map ip 172.16.1.2 102 broadcast
R1(config-subif)#frame map ip 172.16.1.3 103 broadcast
R1(config-subif)#no shut
R2(config)#int s1/2
R2(config-if) #encapsulation frame-relay ietf
R2(config-if)#frame-relay lmi-type cisco
R2(config-if)#frame-relay intf-type dte
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/2.2 multipoint
R2(config-subif)#ip address 172.16.1.2 255.255.255.0
R2(config-subif)#frame map ip 172.16.1.1 201 broadcast
R2(config-subif)#frame map ip 172.16.1.3 201 broadcast
R2(config-subif)#no shut
R3(config)#int s1/2
R3(config-if) #encapsulation frame-relay ietf
R3(config-if)#frame-relay lmi-type cisco
R3(config-if)#frame-relay intf-type dte
R3 (config-if)#no shut
R3(config-if)#exit
R3(config)#int s1/2.3multipoint
R3(config-subif)#ip address 172.16.1.3 255.255.255.0
R2(config-subif)#frame map ip 172.16.1.1 301 broadcast
R2(config-subif)#frame map ip 172.16.1.2 301 broadcast
R2(config-subif)#no shut
- 多點(diǎn)驗(yàn)證
配置完成后,我們來(lái)測(cè)試下連通性。
R3#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms
3.點(diǎn)到點(diǎn)連接和多點(diǎn)連接的區(qū)別
通過(guò)配置子接口的實(shí)驗(yàn),我們應(yīng)該明確子接口的意義和點(diǎn)到點(diǎn)連接和多點(diǎn)連接的區(qū)別:
點(diǎn)到點(diǎn):
——子接口就像是租用線路;
——每條點(diǎn)到點(diǎn)連接都是一個(gè)獨(dú)立的子網(wǎng);
——適用于星型拓?fù)浜筒糠只ヂ?lián)拓?fù)洹?/p>
多點(diǎn):
——子接口就像是NBMA(非組播多路訪問(wèn)網(wǎng)絡(luò));
——默認(rèn)情況下,物理接口(如S0/0)被視為多點(diǎn)接口;
——可減少子網(wǎng)數(shù),因?yàn)槎帱c(diǎn)接口及其連接的接口位于同一個(gè)子網(wǎng)中;
——適用于全網(wǎng)互聯(lián)拓?fù)洹?/p>