WAN
WAN是一种超于LAN地理范围的数据通信网络
企业必须向WAN服务提供商购买服务。而LAN通常归为使用LAN的公司货组织
WAN中连接的设备跨越地理区域比LAN更广。
企业选择跨地域在wan网时,建议两地选择相同的运营商,可以保证流量带宽质量。
专线(私有网络)价格昂贵,带宽有保证,安全。
CN2:包交换技术,保证带宽质量,费用也较专线便宜但也比普通internet昂贵。
广域网连接类型
点到的 同步串口(低速T1 1.544M;E1 2.048M)常见协议PPP
电路交换 异步串口(电话网络)
分组(包)交换 同步串口(运营商应用)
WAN技术概述
操作主要集中在1,2,3层。专线2层。CN23层(ipsec)
WAN 接入方式
无线,传统有线ADSL,同轴电缆(电视信号转换网络数字),以太接入
×××:
是公共网络之上多个私有网络之间的连接
优势:成本低,可扩展向好,与宽带技术的兼容性
连接方式多种:IPsec,GRE,MPLS ×××,L2×××
$####################################################################################################################################################################################
PPP
HDLC思科私有
思科设备串口,默认封装时HDLC.encapsulation hdlc
PPP协议
提供了一种标准的方式在点到的的链路上传输的多种网络层写的数据报
对应osi7层模型的 第二层 数据链路层。物理层要特种支持PPP的线缆。
帧结构
PPP协议链路建立过程
1,链路建立(LCP)
2,验证阶段(PAP/CHAP)
3,网络层协议连接(NCP)
■创建LCP
LCP负责创建链路,在这个阶段,将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文(configure packets)。一旦一个配置成功信息报(configure-ack packet)被发送且被接收,就完成了交换,进入LCP开启阶段。
就路由器A发送一个request,若得到B的ACK就通,建立了。没收到就不通。
记住前两种。
■认证阶段(PAP/CHAP)
在这个阶段,客户端会将自己的身份发给远端的接入服务器。该阶段使用一种安全认证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前,禁止从认证阶段前进到网络层协议阶段。如果认证失败,认证者应该跃迁到链路终止阶段。
该阶段,只有链路控制协议,认证协议,链路质量监控协议的packets时被允许的。其他packet会被丢弃。
常用的认证:口令认证协议PAP。挑战握手验证CHAP
认证阶段,需要手工配置PPP认证方式。
■网络协商阶段(链路开启NCP)
经历第一阶段(链路创建)和第二阶段(认证)之后,PPP将进入第三阶段(链路开启),由NCP协议负责传输PPP链路上的数据。由NCP来解决三层以上的流量如何传输。此阶段还由IPCP协议来给客户端分配IP地址。
这样,经过三个阶段,一条完整的PPP链路就建立了。
PPP可以通过NCP携带多个协议(IP)的数据包
PPP可以通过LCP建立和控制连接
◆PAP/CHAP认证
PPP会话中,验证时可选的
若需要验证,则需通信双方的路由器交换彼此的验证信息。
可选密码验证PAP或询问握手验证协议CHAP。一般CHAP是首选
PAP(明文)通过两次握手。因验证重试频率和次数都是远程节点控制,所有不能放止回放工具和重复的 尝试攻击。
CHAP(哈希算法)使用三次握手机制启动一条链路并周期性的验证远程节点。
验资方向被验证方发起挑战
被验证方发送加密应答
验证方返回最终认证结果
只在网络上传输用户名,而不传输口令
扩展 MD5 不定长输入定长输出128位 唯一性(相同数据哈西的结果一致):MD5可以哈西任何数据。例如哈西配置 verify /md5 system: running-configure
◆配置:
一,不认证 双方路由器S口no shut
接口下 encapsulation ppp
sho int s1/0查看LCP开启状态,配置接口地址,查看IPCP开启状态。
二。认证
第一步 拨号者发起CHAP呼叫
ppp authentication chap
LCP协商CHAP认证方式和MD5算法
第二步 向拨号者发送挑战信息
1,建立挑战数据包:ID 随机数 认证名
2,将id 随机数 认证名对应的pass进行哈西
3,拨号者将自己的哈希值返回给认证方,认证方比较哈西值
例:PAP
R1客户端 R2服务器端 R1 向R2认证
R2:int s1/2
ip add 12.1.1.2 255.255.255.0
encapsulation ppp
ppp authentication pap
no shut
username cisco password ciso(此处用来给R1作认证用的)
R1: int s1/2
ip add 12.1.1.1 255.255.255.0
ppp pap sent-username cisco password cisco
CHAP
R1服务端 R2客户端
R1: int s1/2
ppp authentication chap
username R2 pass cisco
R2: username R1 pass cisco
######################################################################################################################################################################################
PPPoE
重点了解,现实应用非常广(ADSL 小区宽带的认证)
提供在Ethernet链路上的PPP链接
PPPOE封装层析
简介:(认证,点到点连接,统计和计费,分配IP(拨号时分配的))
◆ PPPoE时point-to-point protocol over ethernet的简称,可以使以太网的主机通过一个简单的桥 接设备连到一个远端的接入集中器上。
◆通过PPPoE协议,远端接入设备能实现对每个接入用户的控制和计费
◆在小区组网等一系列建设中被广泛采用,目前流行的宽带接入方式ADSL就是使用了PPPoE
包括连个阶段
1, 发现阶段:通过以太网帧协议,找到一个点到点的通信链路
2,回话阶段:采用PPP方式,在多路访问建立并进行点到点的数据传输
1,首先,在广播网络上寻找一个访问集中器(AC一种专用设备),网络上存在多个访问集中器时,对于 主机而言则会根据各AC所能提供的服务或用户的预先的一些配置来进行相应的选择。
2,当主机选择完了所需的AC后,就开始和AC建立一个PPPoE回话进程。此过程AC会为每个PPPoE回话分配 一个唯一的进程ID
3,回话建立起来后,就开始了PPPoE的回话阶段,在此阶段中已建立好点到点连接的双方(这种点到点 的结构和PPP不同,他是一只逻辑上的点到点关系)就采用PPP协议来交换数据报文,从而完成一些列 PPP的过程,最终将这点到点的逻辑链路上进行网络层的数据报的传输。
◆PPPoE发现阶段(拨号阶段)
四个步骤,四个报文:
1,初始化广播报文(PADI)
用户主机广播方式发送PADI,请求建立连接
2,回应报文(PADO)
AC以单播发送PADO对主机的请求做应答
3,单播请求报文(PADR)
收到应答后,发送请求建立连接
4, 会话ID报文(PADS)
当AC收到PADR报文时,就准备开始一个PPP的会话了。他为PPPoE会话创建一个唯一的会话ID并用单播一个PADS给主机作出相应。
PADT:用来种植一个PPPoE会话
PADT报文可能在会话进行开始之后的人选时间内被发送,主要是用来终止PPPoE
PPPoE基本原理(会话阶段)
配置
服务端:三层嵌套的配置;定义地址池,定义一个模板并调用地址池,pppoe group调用模板,pppoe group应用到接口下
int f1/0
no shu
pppoe enable group cisco 开启pppoe能力,并调用名为cisco的group
bba-group pppoe cisco 定义PPPOE组 名 cisco
virtual-template 1 调用模板 名1
int virtual-template 1 配合模板 1
ip add 12.1.1.1 255.255.255.0
ip tcp adjust-mss 1452
peer default ip address pool yeslab
ppp authentication chap 选配 通常都配
ip local pool yeslab 12.1.1.100 12.1.1.200
username R1 pass cisco
客户端:
int f1/0
no shu
pppoe enable
pppo-client dial-pool-number 1 开启pppoe client 能力并加入dialer组 1中。会自动 产生 pppoe enable
int dialer 1
ip address negotiated
ip mtu 1492
encapsulation ppp
ppp chap password cisco
ip tcp adjust-mss 1452
dialer pool 1
show ip int bri 可看到服务端分配的IP
show pppoe session 看拨号状态 UP
MTU问题,MTU指的是2层以上的数据,二层以太帧18字节+1500=1518
客户接口mtu1492,默认1500,PC--》最大的是1500,到达客户路由器,数据先从dialer出去,dialer封装为ppp,接口封装为pppoe。dialer口出来的数据时1500+8字节的pppoe,到达物理接口时(默认1500)增加物理口传输压力,不能承载dialer过来的1508的数据,就会丢包。为了配置物理口的1500所以把dialer口的MTU改为1492。如果把物理口mtu改为1508,虽然dialer口数据可以从物理口出去了,但是对方路由器物理口还是可能为1500.。
adjust-mss 1452::当把dialer口改为1492,但是用户PC一直是默认1500的数据发到dialer,所有数据会一直切片,切片后导致很多tcp的应用失效。这条命令的作用就是告诉PC切片时最大分片时1452(1452+20TCP头+20IP头=1492)正好是设置的pppoe的mtu1492+pppoe8=以太默认mtu1500.
| 以太 | pppoe8 | mtu1500 |
dialer口设置1492 目的是,dialer数据到达物理口,而此时物理封装为pppoe,pppoe长8字节, 为保证数据包以默认1500MTU发送到server端,所以设置dialer出去的mtu最大1492.
######################################################################################################################################################################################
◆ PPP multilink
ppp multiling 是将多个物理链路合并成一个逻辑链路
作用是增加带宽,减少延时,线路备份以及将不同类型的接口捆绑为一个逻辑接口。
MP 是由LCP在初始化时设置的一个功能选项。MP 将packe 分成多个小块的片段同时发送到远端 router,LCP再将它们恢复成完整的packed
◆ppp multiling 是ppp 的扩展;;他具有绑定多条同步并行连接的能力。所产生的虚拟连接拥有各个 物理链路带宽之和
为保证多条链路合并一条逻辑链路后数据以正确的顺序组合,两端必须都要有遵从MP协议的设备
◆ppp multilink处理流程
源端的MP收到数据包
将数据切割分片(可选)
决定下一条可用路径
添加一个包含顺序号和其他信息的ppp multilink包头
把数据包或碎片发送到可用链路上
接收端的MP 收到数据包或碎片
移除MP 包头
组合碎片成包
转发包到相应的IP
结果是:不管这些链路的容量有多大差别,也不管可用带宽浮动多厉害;也能在可用的链路上平滑的分 配流量
◆MP 工作过程
ppp 物理链路在协商网LCP 的一般参数后,再发起MP 请求,若对端支持MP并且正确应答,就会和其 他物理链路捆绑到逻辑口上
下一步进行NCP (比如IPCP)协商,若协商成功,所有的MP物理链路都将使用同一个逻辑口的网络 IP
设定多链路PPP 必须在逻辑口上设置PPP MULTILINK命令
配置
实例:
R1: int s0/0
ip add 12.1.1.1 255.255.255.0
encap ppp
no shu
int lo0
ip add 1.1.1.1 255.255.255.255
router ei 10
no auto
net 0.0.0.0
R2: int s0/2
ip add 12.1.1.2 255.255.255.0
en ppp
no shu
int multi 1
ip add 23.1.1.2 255.255.255.0
en ppp
ppp multi
no shu
int s0/1
en ppp
ppp mul group 1
no shu
同理配置s0/0
结果 R1 Lo0 ping 通 R4 lo0
查看捆绑 show ppp multilink
