一、局域网和广域网
局域网是指在某一区域内由多台计算机互联成的计算机组,一般是方圆几千米以内;广域网通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连接多个城市或国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。
运行在两端设备所连接的线缆之上的协议,对于局域网而言,有以太网,令牌环,FDDI等;而对于广域网而言,有HDLC、PPP、FR、ATM、ISDN等。
二、局域网和广域网的组建方式
局域网是企业、组织,公司内部自行组建的网络,其所有设备归组织所有,其目的是实现内部用户的办公需求;而广域网则是需要通过向运营商购买不同的广域网连接(带宽、费用),目的是让一家公司能够通过广域网访问远程用户,分公司、以及合作伙伴。
三、广域网的连接方式
lP2P
一个广域网链路只能支持两个场点间的通信
lMA(ATM,帧中继)
Hub→Spoke(中心结点到分支结点,中心结点一般是公司总部,而分支结点一般是企业分公司或者分部,hub结点可以和任意spoke结点通信,而spoke结点间的通信需要借助hub结点)
四、局域网和广域网的特点
五、广域网在OSI参考模型中的层次
广域网主要涉及的是OSI中的数据链路层和物理层,数据链路层描述广域网的协议,而物理层则规定广域网所使用的线缆。
l终端设备:放在园区网用户这一端的
1)CSU/DSU (Channel Service Unit,通道服务单元;Data Service Unit,数据服务单元)用于连接终端和数字专线的设备,目前CSU/DSU通常都被集成在路由器的同步串口之上,属于DCE端。
2)路由器
3)调制解调器(modems)
l局端设备:存在于运营商机房
1)WAN交换机(ATM交换机、帧中继交换机、PSTN)
六、广域网物理层线缆
DTE (Data Terminal Equipment): 数据终端设备
DCE (Data Communications Equipment):数据通信设备
EIA/TIA-232:俗称串行线缆,提供的最大带宽只有1.544Mbit/s
七、广域网分类及配置
Ø广域网的主要分类
电路交换(PSTN公共交换电话网):当使用电路交换的时候,想要建立会话,需要先建立一个连接,而这个连接是使用信令组建的,即在通信之前,需要先通过交互信令建立信道,并且当信道内有流量占用时,其他外部流量则无法再进入(例如打电话),提供的带宽偏低(64kbit/s)。
数据包交换(PPP、HDLC、帧中继):在传输数据之前不需要信令建立通道,但该线缆并不是被你自己所占有,即你在发包的时候,别人也可以通过这条线缆发包。
信元交换又叫ATM(异步传输模式),是一种面向连接的快速分组交换技术,它是通过建立虚电路来进行数据传输的。
信元交换技术是一种快速分组交换技术,它结合了电路交换技术延迟小和分组交换技术灵活的优点。信元是固定长度的分组,ATM采用信元交换技术
Ø串行线路的配置
ØHDLC 和cisco HDLC
默认情况下,使用串行线缆连接路由器的时候,广域网的封装就是HDLC
·标准HDLC支持单协议环境
·cisco HDLC支持多协议环境
Address :不管发包给谁,该字段都是全1
ØPPP
公有协议,唯一一款支持AAA(认证、授权、审计)的广域网协议
uLCP
LCP链路控制协议(Link control protocol)赋予PPP以多功能性,考虑到包格式、包大小和认证的协商。它还使PPP具有确定何时线路为失败、何时正常运行的功能。
LCP用于配置和测试数据链路,工作方式如下:
1)链路建立阶段----首先打开连接,然后确定相关通信参数(包括MTU、compress type、及链路认证类型)。链路设置完后确认帧,然后是可选的链路质量确认阶段,LCP确定链路质量
2)可选的认证阶段----两种认证方式:质询应答握手认证协议(chap)和密码认证协议(pap)。PPP本身不需要认证,cisco路由器异步线需要认证,建议使用chap认证。
3)网络层协议阶段----LCP引导NCP激活和配置网络层协议。这一阶段结束后即可传输数据包
4)链路终止阶段----LCP指导NCP关闭layer3
LCP使用3种类型LCP数据帧完成上述步骤:
链路建立帧(link establishment frames)----建立链路
链路终止帧 (link terminateon frame) ----关闭链路
链路维护帧 (link maintenance frame) ----维护链路
uNCP
NCP网络控制协议(network control protocol)实际上是一套协议。每个子协议都是为处理各自网络层协议所需的错综复杂的配置而设计的。
当LCP将链路建立好了之后,PPP要开始根据不同用户的需要,配置上层协议所需的环境。PPP使用网络控制协议NCP来为上层提供服务接口。针对上层不同的协议类型,会使用不同的NCP组件。如对于IP提供IPCP接口,对于IPX提供IPXCP接口等,同时对于IP网络,提供IP地址,子网掩码和默认网关等地址的配置。
Ø启用PPP封装
ØPPP的认证方式
1)口令验证协议(PAP)
PAP是一种简单的明文验证方式。NAS(网络接入服务器,network access server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性比较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
2)挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字符串(arbitrary challenge string)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字符串来防止受到攻击。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免了第三方冒充远程客户(remote client impersonation)进行攻击。
ØPPP的多链路(multi-link)
逻辑地把多根PPP链路进行捆绑,增加广域网的链路带宽。
Router(config-if)#ppp multilink
Router(config-if)# ppp multilink group 12
注:本地端捆绑的两条链路的编号要一致
Router(config)#interface multilink 12
Router(config-if)#encapsulation ppp
Router(config-if)# ppp multilink group 12
Router(config-if)# ip address 1.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Ø认识PPPOE
PPPOE(Point to Point Protocol over Ethernet)以太网点到点协议,简单的说,是以太网协议和PPP协议结合后所产生的协议,是在PPP协议的基础上发展而来的。因为PPP协议只能直接封装在点到点链路上,因此要在以太网上链路上封装PPP协议,必须借助于PPPOE协议。这种技术目前广泛的应用在ADSL接入方式中。
配置实例:
1)配置VPDN(虚拟专用拨号网)
Router (config) #vpdn enable
Router (config) #vpdn-group youhj
Router (config-vpdn) #accept-dialin
Router (config-vpdn-acc-in) #protocol pppoe
Router (config-vpdn-acc-in) #virtual-template 1
2)本地创建认证用户名和密码
Router (config) #username you password cisco
3)本地创建地址分配池
Router (config) #ip local pool ccna 202.101.1.1 202.101.1.100
4)配置模版接口
Router (config) #interface virtual-Template 1
Router (config-if) #ip unnumbered f0/0
Router (config-if) #peer default ip address pool ccna
Router (config-if) #ppp authentication chap
5)配置f0/0接口,启用pppoe认证
Router (config) #interface f0/0
Router (config-if) #pppoe enable
Router (config-if) #ip address 202.101.1.254 255.255.255.0
6)实验测试结果,认证成功
