任務(wù)一構(gòu)建某公司廣域網(wǎng)任務(wù)二集團(tuán)公司廣域網(wǎng)互聯(lián)任務(wù)三公司安全互連任務(wù)四公司接入互聯(lián)網(wǎng)任務(wù)一構(gòu)建某公司廣域網(wǎng)一、任務(wù)描述某公司因業(yè)務(wù)擴(kuò)展在異地設(shè)立了分公司，需要將分公司通過專線互連組成一個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)總公司與分公司之間的互聯(lián)互通，并考慮租用專線連接的安全性。二、任務(wù)目標(biāo)目標(biāo)：通過租用電信運(yùn)營商的專線線路，使總公司與分公司可以通信，路由器上采用PPP協(xié)議安全驗(yàn)證方式，保證網(wǎng)絡(luò)的安全性。目的：通過本任務(wù)進(jìn)行路由器基礎(chǔ)配置、靜態(tài)路由基礎(chǔ)配置、PPP協(xié)議基礎(chǔ)配置的實(shí)訓(xùn)，以幫助讀者掌握路由器基礎(chǔ)配置、靜態(tài)路由，掌握基于PPP協(xié)議及驗(yàn)證配置的方法，初步具備組建廣域網(wǎng)的能力。三、需求分析1.任務(wù)需求公司總部與分公司相距較遠(yuǎn)，需要租用電信專線進(jìn)行連接，公司總部和分公司都是一個(gè)單獨(dú)的局域網(wǎng)，所有設(shè)備需要互聯(lián)互通，能資源共享。2.需求分析需求1：總公司與分公司的計(jì)算機(jī)能相互訪問。分析1：對(duì)兩臺(tái)路由器配置網(wǎng)絡(luò)地址、靜態(tài)路由。需求2：總公司與分公司間連接要求有一定的安全性。分析2：在路由器上進(jìn)行PPP協(xié)議的PAP驗(yàn)證。根據(jù)任務(wù)需求和需求分析，組建公司遠(yuǎn)程連接的網(wǎng)絡(luò)結(jié)構(gòu)如圖4-1所示。四、知識(shí)鏈接1.廣域網(wǎng)技術(shù)廣域網(wǎng)是指覆蓋范圍廣闊(通?？梢愿采w一個(gè)城市、一個(gè)省、一個(gè)國家)的一類通信網(wǎng)絡(luò)，有時(shí)也稱為遠(yuǎn)程網(wǎng)。廣域網(wǎng)由一些節(jié)點(diǎn)交換機(jī)以及連接這些交換機(jī)的鏈路組成，節(jié)點(diǎn)交換機(jī)執(zhí)行將分組存儲(chǔ)、轉(zhuǎn)發(fā)的功能。節(jié)點(diǎn)之間都是點(diǎn)到點(diǎn)連接，一個(gè)節(jié)點(diǎn)交換機(jī)通常和若干個(gè)節(jié)點(diǎn)交換機(jī)相連。廣域網(wǎng)中的最高層是網(wǎng)絡(luò)層，網(wǎng)絡(luò)層服務(wù)的具體實(shí)現(xiàn)是數(shù)據(jù)報(bào)(無連接的網(wǎng)絡(luò)服務(wù))和虛電路(面向連接的服務(wù))的服務(wù)。(1)數(shù)據(jù)報(bào)。主機(jī)可以隨時(shí)向網(wǎng)絡(luò)發(fā)送分組(即數(shù)據(jù)報(bào))，網(wǎng)絡(luò)為每個(gè)分組單獨(dú)選擇路由。網(wǎng)絡(luò)不保證所傳送的分組不丟失，也不保證按源主機(jī)發(fā)送分組的順序以及在多長的時(shí)限內(nèi)必須將分組交給目的主機(jī)。當(dāng)網(wǎng)絡(luò)發(fā)送擁塞時(shí)，網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)可根據(jù)當(dāng)時(shí)的情況將一些分組丟棄。(2)虛電路。兩個(gè)網(wǎng)絡(luò)間傳送數(shù)據(jù)之前，首先通過虛呼叫建立一條虛電路，所有分組沿同一條虛電路傳送，數(shù)據(jù)傳送完畢后，還要將這條虛電路釋放掉，好處是可以在數(shù)據(jù)傳送路徑上的各交換節(jié)點(diǎn)預(yù)先保留一定數(shù)量的資源(如帶寬、緩存)。在虛電路建立后，網(wǎng)絡(luò)向用戶提供的服務(wù)就好像在兩個(gè)主機(jī)之間建立了一對(duì)穿過網(wǎng)絡(luò)的數(shù)字管道，到達(dá)目的站的分組順序就與發(fā)送時(shí)的順序一致，對(duì)服務(wù)質(zhì)量(QoS)有較好的保證。虛電路一般分為交換虛電路(SwitchedVirtualCircuit，SVC)和永久虛電路(PermanentVirtualCircuit，PVC)兩種。1)幀中繼幀中繼(FrameRelay)技術(shù)是在OSI第二層上用簡化的方法傳送和交換數(shù)據(jù)單元的一種技術(shù)。它是由X.25分組交換技術(shù)演進(jìn)而來的，幀中繼網(wǎng)絡(luò)向上提供面向連接的虛電路服務(wù)。幀中繼在數(shù)據(jù)鏈路層實(shí)現(xiàn)分組交換，使用永久虛電路(PVC)來建立通信連接，并通過虛電路實(shí)現(xiàn)多路復(fù)用，用鏈路層的幀來封裝各種不同的高層協(xié)議，如IP、IPX、AppleTalk等。幀中繼網(wǎng)絡(luò)包括物理部分和邏輯電路部分，物理部分包括以下設(shè)備：(1)幀中繼網(wǎng)接入設(shè)備(FrameRelayAccessDevice，F(xiàn)RAD)，指用戶設(shè)備，如支持幀中繼的主機(jī)、橋接器、路由器等。(2)接入電路，包括基帶傳輸、光纖、SDH、DDN。(3)幀中繼網(wǎng)交換設(shè)備(FrameRelaySwitch，F(xiàn)RS)，是網(wǎng)絡(luò)服務(wù)提供者設(shè)備，如T1/E1一次群復(fù)用設(shè)備和幀交換節(jié)點(diǎn)機(jī)。邏輯電路部分主要包括永久虛電路，其帶寬控制通過CIR(承諾的信息速率)、Bc(承諾的突發(fā)大小)和Be(超過的突發(fā)大小)等參數(shù)設(shè)定完成。幀中繼比較典型的應(yīng)用有兩種：幀中繼接入和幀中繼交換。幀中繼接入即用戶端承載上層報(bào)文，接入到幀中繼網(wǎng)絡(luò)中。幀中繼交換指在幀中繼網(wǎng)絡(luò)中，直接在鏈路層通過PVC交換轉(zhuǎn)發(fā)用戶的報(bào)文。幀中繼網(wǎng)提供了用戶設(shè)備(如路由器、橋、主機(jī)等)之間進(jìn)行數(shù)據(jù)通信的能力。用戶設(shè)備被稱作數(shù)據(jù)終端設(shè)備(DateTerminalEquipment，DTE)，為用戶設(shè)備提供接入的設(shè)備屬于網(wǎng)絡(luò)設(shè)備，被稱為數(shù)據(jù)通信設(shè)備(DataCommunicationEquipment，DCE)。DTE和DCE之間的接口被稱為用戶網(wǎng)絡(luò)接口(UserNetworkInterface，UNI)；網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的接口被稱為網(wǎng)間網(wǎng)接口(NetworktoNetworkInterface，NNI)。幀中繼網(wǎng)絡(luò)可以是公用網(wǎng)絡(luò)或者是某一企業(yè)的私有網(wǎng)絡(luò)，也可以是直接連接。幀中繼網(wǎng)絡(luò)的組成結(jié)構(gòu)如圖4-2所示。幀中繼協(xié)議是一種簡化X.25的廣域網(wǎng)協(xié)議，在控制面上提供虛電路的管理、帶寬管理和防止阻塞等功能。在用戶面上它僅完成物理層和鏈路層的功能，在鏈路層完成統(tǒng)計(jì)復(fù)用、幀透明傳輸和錯(cuò)誤檢測(cè)，但是不提供錯(cuò)誤后重傳操作。幀中繼協(xié)議是一種統(tǒng)計(jì)復(fù)用協(xié)議，它在單一物理傳輸線路上能夠提供多條虛電路。幀中繼網(wǎng)絡(luò)用戶接口最多可支持1024條虛電路，DLCI(DataLinkConnectionIdentifier，數(shù)據(jù)鏈路連接標(biāo)識(shí)符)號(hào)碼0至15和DLCI號(hào)碼1008至1023是保留作特殊用途的，電信分配給用戶的DLCI一般在16至1007的邏輯數(shù)字。幀中繼的每條虛電路是用DLCI來標(biāo)識(shí)的。虛電路的DLCI只在本地接口和與之直接相連的對(duì)端接口有效，只具有本地意義，不具有全局有效性，即在幀中繼網(wǎng)絡(luò)中，不同的物理接口上相同的DLCI并不表示同一個(gè)虛連接。在幀中繼中支持子接口的概念，在一個(gè)物理接口上可以定義多個(gè)子接口，子接口和主接口共同對(duì)應(yīng)一個(gè)物理接口。子接口只是邏輯上的接口，在邏輯上與主接口的地位是平等的，在子接口上可以配置IP地址、DLCI和MAP。在同一個(gè)物理接口下的主接口和子接口不能指定相同的DLCI，因?yàn)槊總€(gè)物理接口上的DLCI必須是唯一的。2)異步傳輸模式異步傳輸模式(AsynchronousTransferMode，ATM)是建立在電路交換和分組交換的基礎(chǔ)上的一種面向連接的快速分組交換技術(shù)。ATM采用定長分組作為傳輸和交換的單位，這種定長分組叫作信元(cell)。ATM的“異步”是指將ATM信元“異步插入”到同步的SDH比特流中。ATM具有以下特點(diǎn)：(1)選擇固定長度的短信元作為信息傳輸?shù)膯挝?，有利于寬帶高速交換。信元長度為53?B，其首部(可簡稱為信頭)為5?B。(2)能支持不同速率的各種業(yè)務(wù)，例如25?Mb/s、45?Mb/s、155?Mb/s、625?Mb/s。(3)所有信息在最低層是以面向連接的方式傳送的，保持了電路交換的實(shí)時(shí)性和服務(wù)質(zhì)量。(4)?ATM使用光纖信道傳輸。在ATM網(wǎng)內(nèi)不必在數(shù)據(jù)鏈路層進(jìn)行差錯(cuò)控制和流量控制(放在高層處理)，因而明顯地提高了信元在網(wǎng)絡(luò)中的數(shù)據(jù)傳輸速率。在企業(yè)網(wǎng)絡(luò)實(shí)際應(yīng)用中，ATM主要適用于以下幾種情況：(1)適用于高速信息傳送和對(duì)服務(wù)質(zhì)量(QoS)的支持，還具備了綜合多種業(yè)務(wù)的能力，以及動(dòng)態(tài)帶寬分配與連接管理能力和對(duì)已有技術(shù)的兼容性。(2)在ATM網(wǎng)上進(jìn)行局域網(wǎng)的模擬，把分布在不同區(qū)域的網(wǎng)絡(luò)互聯(lián)起來，在廣域網(wǎng)上實(shí)現(xiàn)局域網(wǎng)的功能。(3)支持現(xiàn)有電信網(wǎng)逐步從傳統(tǒng)的電路交換技術(shù)向分組(包)交換技術(shù)演變，支持語音技術(shù)的研究。(4)作為Internet骨干傳送網(wǎng)和互連核心路由器，支持IP網(wǎng)的持續(xù)發(fā)展。ATM網(wǎng)絡(luò)的網(wǎng)絡(luò)元素主要由兩部分組成：ATM端點(diǎn)和ATM交換機(jī)。ATM端點(diǎn)又稱為ATM端系統(tǒng)，通過點(diǎn)到點(diǎn)鏈路與ATM交換機(jī)相連。ATM交換機(jī)是一個(gè)快速分組交換機(jī)(交換容量高達(dá)數(shù)百Gb/s)，其主要構(gòu)件有交換結(jié)構(gòu)(switchingfabric)、若干個(gè)高速輸入端口和輸出端口、必要的緩存。ATM網(wǎng)絡(luò)的結(jié)構(gòu)如圖4-3所示。3)?PDH/SDH在數(shù)字通信系統(tǒng)中，傳送的信號(hào)都是數(shù)字化的脈沖序列。這些數(shù)字信號(hào)流在數(shù)字交換設(shè)備之間傳輸時(shí)，其數(shù)據(jù)傳輸速率必須完全保持一致，才能保證信息傳送的準(zhǔn)確無誤，這就叫作同步。在數(shù)字傳輸系統(tǒng)中，有兩種數(shù)字傳輸系列，一種叫準(zhǔn)同步數(shù)字系列(PlesiochronousDigitalHierarchy)，簡稱PDH；另一種叫同步數(shù)字系列(SynchronousDigitalHierarchy)，簡稱SDH。PDH和SDH主要定義了高次群的數(shù)據(jù)傳輸速率，用于構(gòu)造基于光纖的長途傳輸干線。在以往的電信網(wǎng)中多使用PDH設(shè)備，這種系列對(duì)傳統(tǒng)的點(diǎn)到點(diǎn)通信有較好的適應(yīng)性。隨著數(shù)字通信的迅速發(fā)展，點(diǎn)到點(diǎn)的直接傳輸越來越少，大部分?jǐn)?shù)字傳輸都要經(jīng)過轉(zhuǎn)接，因而PDH系列便不能適合現(xiàn)代電信業(yè)務(wù)開發(fā)以及現(xiàn)代化電信網(wǎng)管理的需要，SDH就是適應(yīng)這種新的需要而出現(xiàn)的傳輸體系。SDH是一種將復(fù)接、線路傳輸及交換功能融為一體，并由統(tǒng)一網(wǎng)管系統(tǒng)操作的綜合信息傳送網(wǎng)絡(luò)，是美國貝爾通信技術(shù)研究所提出來的同步光網(wǎng)絡(luò)(SONET)。SDH網(wǎng)絡(luò)是一個(gè)基于時(shí)分多路復(fù)用技術(shù)的數(shù)字傳輸網(wǎng)絡(luò)，由多路復(fù)用器和中繼器組成，并通過光纖進(jìn)行連接。SDH網(wǎng)絡(luò)僅是數(shù)字信號(hào)傳輸網(wǎng)絡(luò)，是目前一些廣域網(wǎng)(如ATM等)的基礎(chǔ)網(wǎng)絡(luò)。從OSI模型的觀點(diǎn)來看，SDH屬于其最底層的物理層，并未對(duì)其高層有嚴(yán)格的限制，便于在SDH上采用各種網(wǎng)絡(luò)技術(shù)，支持ATM或IP傳輸。SDH技術(shù)自從20世紀(jì)90年代引入以來，至今已經(jīng)是一種成熟、標(biāo)準(zhǔn)的技術(shù)。SDH的眾多優(yōu)點(diǎn)使其在廣域網(wǎng)領(lǐng)域和專用網(wǎng)領(lǐng)域得到了巨大的發(fā)展。國內(nèi)眾多電信運(yùn)營商都已經(jīng)大規(guī)模建設(shè)了基于SDH的骨干光傳輸網(wǎng)絡(luò)。利用大容量的SDH環(huán)路承載IP業(yè)務(wù)、ATM業(yè)務(wù)或直接以租用電路的方式出租給企事業(yè)單位。而一些大型的專用網(wǎng)絡(luò)也采用了SDH技術(shù)，架設(shè)系統(tǒng)內(nèi)部的SDH光環(huán)路，以承載各種業(yè)務(wù)。例如電力系統(tǒng)，就利用SDH環(huán)路承載內(nèi)部的數(shù)據(jù)、遠(yuǎn)控、視頻、語音等業(yè)務(wù)。2.路由技術(shù)路由技術(shù)是在傳統(tǒng)的廣域網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展而來的，隨著互聯(lián)網(wǎng)的發(fā)展和企業(yè)規(guī)模的擴(kuò)大，目前在企業(yè)網(wǎng)絡(luò)中路由技術(shù)廣泛應(yīng)用于遠(yuǎn)程網(wǎng)和外聯(lián)網(wǎng)，在局域網(wǎng)特別是三層交換環(huán)境下路由技術(shù)也得到廣泛應(yīng)用。使用路由技術(shù)的路由器(Router)是互聯(lián)網(wǎng)的主要節(jié)點(diǎn)設(shè)備。路由器通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)策略稱為路由選擇。1)路由技術(shù)原理路由器是一種具有多個(gè)輸入端口和多個(gè)輸出端口的專用計(jì)算機(jī)，其任務(wù)就是轉(zhuǎn)發(fā)分組。它工作在OSI模型中的第三層，即網(wǎng)絡(luò)層。路由器利用網(wǎng)絡(luò)層定義的“邏輯”上的網(wǎng)絡(luò)地址(即IP地址)來區(qū)別不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的互連和隔離，保持各個(gè)網(wǎng)絡(luò)的獨(dú)立性。路由器不轉(zhuǎn)發(fā)廣播消息，而把廣播消息限制在各自的網(wǎng)絡(luò)內(nèi)部。發(fā)送到其他網(wǎng)絡(luò)的數(shù)據(jù)先被送到路由器，再由路由器轉(zhuǎn)發(fā)出去。路由包含兩個(gè)基本的動(dòng)作：路由選擇和分組轉(zhuǎn)發(fā)。路由選擇是判定到達(dá)目的地的最佳路徑，由路由選擇算法來實(shí)現(xiàn)。路由選擇算法將收集到的不同信息填入路由表中，根據(jù)路由表可將目的網(wǎng)絡(luò)與下一站的關(guān)系告訴路由器。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓⒂陕酚善鞲鶕?jù)量度來決定最佳路徑。分組轉(zhuǎn)發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發(fā)送到下一個(gè)站點(diǎn)，如果路由器不知道如何發(fā)送分組，通常將該分組丟棄；否則就根據(jù)路由表的相應(yīng)表項(xiàng)將分組發(fā)送到下一個(gè)站點(diǎn)，如果目的網(wǎng)絡(luò)直接與路由器相連，路由器就把分組直接送到相應(yīng)的端口上。典型的路由器結(jié)構(gòu)與工作原理如圖4-4所示。2)路由選擇路由器的主要工作就是為經(jīng)過路由器的每個(gè)數(shù)據(jù)幀尋找一條最佳傳輸路徑，并將該數(shù)據(jù)幀有效地傳送到目的站點(diǎn)。為了完成這項(xiàng)工作，在路由器中保存著各種傳輸數(shù)據(jù)路徑的相關(guān)數(shù)據(jù)——路由表，供路由選擇時(shí)使用。路由表中保存著子網(wǎng)的標(biāo)志信息、路由器的數(shù)量和下一個(gè)路由器的名字等內(nèi)容。路由表中保存的典型的路由選擇方式有兩種：靜態(tài)路由和動(dòng)態(tài)路由。靜態(tài)路由是在路由器中由網(wǎng)絡(luò)管理員事先設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由表的過程，它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由器感知到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變，路由器的路由選擇程序就會(huì)重新計(jì)算路由，并向其他路由器發(fā)出新的路由更新信息。這些信息通過網(wǎng)絡(luò)傳遞到其他路由器，各路由器重新進(jìn)行路由計(jì)算，并更新各自的路由表，以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于規(guī)模大、拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。3)路由器的特點(diǎn)路由器主要具有以下特點(diǎn)：(1)互連性。路由器工作在網(wǎng)絡(luò)層，它與網(wǎng)絡(luò)層協(xié)議有關(guān)。多協(xié)議路由器可以支持多種網(wǎng)絡(luò)層協(xié)議(如TCP/IP、IPX、DECNET等)，轉(zhuǎn)發(fā)多種網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)包。路由器可以互連不同的MAC協(xié)議、不同的傳輸介質(zhì)、不同的拓?fù)浣Y(jié)構(gòu)和不同的數(shù)據(jù)傳輸速率的異種網(wǎng)，因此它有很強(qiáng)的異種網(wǎng)互連能力，被廣泛地應(yīng)用于LAN-WAN-LAN的網(wǎng)絡(luò)互聯(lián)環(huán)境。(2)隔離性。路由器互連不同的邏輯子網(wǎng)，每一個(gè)子網(wǎng)都是一個(gè)獨(dú)立的廣播域，因此，路由器不在子網(wǎng)之間轉(zhuǎn)發(fā)廣播信息，它具有很強(qiáng)的隔離廣播信息的能力，可以隔離沖突域和廣播域。路由器不僅可以在中、小型局域網(wǎng)中應(yīng)用，也適合在廣域網(wǎng)和大型、復(fù)雜的互聯(lián)網(wǎng)絡(luò)環(huán)境中應(yīng)用。(3)可控制性。路由器具有流量控制、擁塞控制功能，能夠?qū)Σ煌瑪?shù)據(jù)傳輸速率的網(wǎng)絡(luò)進(jìn)行速度匹配，以保證數(shù)據(jù)包的正確傳輸。路由器檢查網(wǎng)絡(luò)層地址，轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)分組。因此，路由器能夠基于IP地址進(jìn)行數(shù)據(jù)包過濾，路由器使用ACL(訪問控制列表)控制各種協(xié)議封裝的數(shù)據(jù)包，同樣也會(huì)對(duì)TCP、UDP協(xié)議的端口號(hào)進(jìn)行數(shù)據(jù)過濾。(4)可管理性。路由器對(duì)大型網(wǎng)絡(luò)進(jìn)行微段化，將分段后的網(wǎng)段用路由器連接起來。這樣可以提高網(wǎng)絡(luò)性能，而且便于網(wǎng)絡(luò)的管理和維護(hù)。這也是共享式網(wǎng)絡(luò)為解決帶寬問題所經(jīng)常采用的方法。3.?PPP協(xié)議PPP協(xié)議(Point-to-PointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議)是在點(diǎn)到點(diǎn)鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議，由于它能夠提供用戶驗(yàn)證，且易于擴(kuò)充、支持同/異步物理鏈路，因而獲得廣泛應(yīng)用。PPP最初設(shè)計(jì)是為兩個(gè)對(duì)等節(jié)點(diǎn)之間的IP流量傳輸提供一種封裝協(xié)議。在TCP-IP協(xié)議集中它是一種用來同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議(OSI模式中的第二層)，替代了原來非標(biāo)準(zhǔn)的第二層協(xié)議，即SLIP。除了IP以外PPP還可以攜帶其他協(xié)議，包括DECnet和Novell的Internet網(wǎng)包交換(IPX)。PPP協(xié)議是IETF在1992年制訂的，經(jīng)過1993年和1994年的修訂，現(xiàn)在的PPP協(xié)議已成為因特網(wǎng)的正式標(biāo)準(zhǔn)[RFC1661]。PPP協(xié)議常用于廣域網(wǎng)連接，可用于各種物理介質(zhì)(包括雙絞線、光纜和衛(wèi)星傳輸)以及虛擬連接。現(xiàn)在用戶使用撥號(hào)電話線接入因特網(wǎng)時(shí)，一般都是使用PPP協(xié)議，使用ADSL方式連接因特網(wǎng)也多采用基于PPP的PPPoe協(xié)議(Point-to-PointProtocoloverethernet，以太網(wǎng)上的PPP)。PPP定義了一整套的協(xié)議，包括鏈路控制協(xié)議(LCP)、網(wǎng)絡(luò)層控制協(xié)議(NCP)和驗(yàn)證協(xié)議(PAP和CHAP)等。鏈路控制協(xié)議(LinkControlProtocol，LCP)：用來協(xié)商鏈路的一些參數(shù)，負(fù)責(zé)創(chuàng)建并維護(hù)鏈路。網(wǎng)絡(luò)層控制協(xié)議(NetworkControlProtocol，NCP)：用來協(xié)商網(wǎng)絡(luò)層協(xié)議的參數(shù)。密碼認(rèn)證協(xié)議(PasswordAuthenticationProtocol，PAP)：是PPP協(xié)議集中的一種鏈路控制協(xié)議，主要通過使用二次握手提供一種對(duì)等節(jié)點(diǎn)的建立認(rèn)證的簡單方法，是建立在初始鏈路確定的基礎(chǔ)上的。詢問握手認(rèn)證協(xié)議(ChallengeHandshakeAuthenticationProtocol，CHAP)：該協(xié)議可通過三次握手周期性地校驗(yàn)對(duì)端的身份，可在初始鏈路建立時(shí)完成，在鏈路建立之后重復(fù)進(jìn)行。通過遞增改變的標(biāo)識(shí)符和可變的詢問值，可防止來自端點(diǎn)的重放攻擊，限制暴露于單個(gè)攻擊的時(shí)間。4.配置命令路由器的基本管理方式和配置模式與交換機(jī)類似，請(qǐng)參照第3章交換機(jī)的配置模式和配置命令。在銳捷系列和H3C系列路由器上配置靜態(tài)路由和PPP協(xié)議的相關(guān)命令如表4-1所示。任務(wù)二集團(tuán)公司廣域網(wǎng)互聯(lián)一、任務(wù)描述某集團(tuán)公司有4個(gè)分公司，現(xiàn)根據(jù)集團(tuán)總部要求，各分公司的內(nèi)部網(wǎng)絡(luò)要通過專線構(gòu)建公司的廣域網(wǎng)，公司之間相互連通(不需要考慮各分公司內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu))，同時(shí)考慮未來各地分公司的平滑擴(kuò)展。二、任務(wù)目標(biāo)目標(biāo)：本項(xiàng)目需要將集團(tuán)公司與4個(gè)分公司進(jìn)行互聯(lián)，并考慮未來的平滑擴(kuò)展，使公司各地之間能夠相互進(jìn)行通信。目的：通過本任務(wù)進(jìn)行路由器動(dòng)態(tài)路由的配置實(shí)訓(xùn)，以幫助讀者掌握路由器主要?jiǎng)討B(tài)路由協(xié)議的區(qū)別和配置的方法。三、需求分析1.任務(wù)需求總公司和分公司之間連接線路較多，結(jié)構(gòu)較復(fù)雜，同時(shí)考慮未來各地分公司的平滑擴(kuò)展，用靜態(tài)路由實(shí)現(xiàn)遠(yuǎn)程互聯(lián)不能滿足變化的需求，所以本任務(wù)分別采用RIP、OSPF協(xié)議進(jìn)行網(wǎng)絡(luò)間的互聯(lián)，通過兩種常用的動(dòng)態(tài)路由協(xié)議進(jìn)行對(duì)比。2.需求分析需求1：各公司能相互通信，并考慮未來的平滑擴(kuò)展。分析1：路由器進(jìn)行動(dòng)態(tài)路由的配置。需求2：各公司能相互通信，動(dòng)態(tài)路由協(xié)議的區(qū)別和配置。分析2：路由器進(jìn)行RIP、OSPF配置。根據(jù)上述需求，組建公司廣域網(wǎng)互聯(lián)網(wǎng)絡(luò)的結(jié)構(gòu)如圖4-6所示。四、知識(shí)鏈接1.路由算法路由協(xié)議規(guī)定在路由器之間如何交換路由信息和路由器采用何種方法計(jì)算出路由。路由器根據(jù)一定的準(zhǔn)則從路由信息中獲得路由，這就是路由算法。路由算法規(guī)定了選擇路由的準(zhǔn)則，同時(shí)也影響到路由協(xié)議規(guī)定怎樣傳遞和傳遞哪些路由信息。典型的路由算法有兩類：距離向量算法和鏈路狀態(tài)算法。有的路由協(xié)議綜合了這兩種算法，稱為復(fù)合算法。1)路由算法使用的度量路由算法使用不同的度量，以確定最佳路徑。復(fù)雜的路由算法可以基于多個(gè)度量選擇路由，并把它們結(jié)合成一個(gè)復(fù)合度量。常用的度量有：(1)路徑長度。路徑長度是最為常用的一種路由度量標(biāo)準(zhǔn)，它常常是所有有關(guān)鏈路的路由成本的總和以及數(shù)據(jù)包從源地址到目的地所經(jīng)過的路由器的個(gè)數(shù)(跳數(shù))。(2)延時(shí)。路由延時(shí)是指通過網(wǎng)絡(luò)把數(shù)據(jù)包從源地址發(fā)送到目的地所需要的時(shí)間總和。因?yàn)槁酚裳訒r(shí)是多項(xiàng)重要變量的綜合反映，所以被普遍采用為路由算法的度量。(3)帶寬。帶寬是指一條網(wǎng)絡(luò)鏈路所能提供的流量吞吐能力。雖然帶寬反映了一條網(wǎng)絡(luò)鏈路所能提供的最大數(shù)據(jù)傳輸速率，但有時(shí)使用寬帶連接的路由并不一定是最優(yōu)路徑。(4)負(fù)載。負(fù)載是指路由器這樣的網(wǎng)絡(luò)資源和設(shè)備的繁忙程度，對(duì)路由負(fù)載進(jìn)行長期的監(jiān)控可以更加有效地管理和配置網(wǎng)絡(luò)資源。(5)可靠性。在路由算法的范疇內(nèi)，可靠性主要指每一條網(wǎng)絡(luò)連接的可使用性(通常用誤碼率表示)。一些網(wǎng)絡(luò)連接可能比其他連接更容易出現(xiàn)問題或恢復(fù)速度更快、更方便，可以把可靠性因素考慮在內(nèi)，并據(jù)此為每一條網(wǎng)絡(luò)連接指定相應(yīng)的可靠值。(6)通信成本。通信成本是另外一種非常重要的度量標(biāo)準(zhǔn)，特別對(duì)于關(guān)注運(yùn)行成本超過網(wǎng)絡(luò)性能的企業(yè)來說，通信成本的重要性更加明顯，例如有時(shí)企業(yè)會(huì)為了節(jié)省公用線路的使用成本而改用延遲更大的專用線路。2)距離向量算法距離向量算法采用路徑長度作為度量，例如RIP協(xié)議采用路由器之間的跳數(shù)為度量。每一個(gè)路由器接收到相鄰路由器到達(dá)目標(biāo)網(wǎng)絡(luò)的度量之后，再加上本路由器到達(dá)相鄰路由器的度量值，然后選擇度量最小的路由作為自己的路由。距離向量算法要求每一個(gè)路由器把它的整個(gè)路由表發(fā)送給與它直接連接的其他路由器。路由表中的每一條記錄都包括目標(biāo)邏輯地址、相應(yīng)的網(wǎng)絡(luò)接口和該條路由的向量距離。當(dāng)一個(gè)路由器從它的鄰居那里收到更新信息時(shí)，它將更新信息與本身的路由表相比較，如果它能從鄰居那里找到一條它以前不曾知道的新的路由或是找到一條比當(dāng)前路由更好的路由，路由器會(huì)對(duì)路由表進(jìn)行更新：將從該路由器到鄰居之間的向量距離與更新信息中的向量距離相加作為新路由的向量距離。3)鏈路狀態(tài)算法基于鏈路狀態(tài)的路由算法也稱為最短路徑優(yōu)先(ShortestPathFirst，SPF)算法，該算法要求將鏈路狀態(tài)信息傳給域內(nèi)所有的路由器，路由器利用這些信息構(gòu)建網(wǎng)絡(luò)拓?fù)鋱D，并用最短路徑優(yōu)先算法決定路由。鏈路狀態(tài)算法把路由信息散布到網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)，每個(gè)路由器只發(fā)送與其相連接的鏈路狀態(tài)信息。而距離向量算法中每個(gè)路由器發(fā)送路由表的全部給其鄰居，因此鏈路狀態(tài)算法發(fā)送的更新信息較少。鏈路狀態(tài)算法中每一個(gè)路由器使用相同的原始路由信息單獨(dú)計(jì)算路由，并不依賴中間的路由器，因此鏈路狀態(tài)算法減小了路由環(huán)路的產(chǎn)生，加速了網(wǎng)絡(luò)的收斂。4)混合路由算法距離向量算法和鏈路狀態(tài)算法各有特點(diǎn)，適合不同的場(chǎng)合?；旌下酚伤惴狭诉@兩種算法的優(yōu)點(diǎn)，例如Cisco公司的EIGRP路由協(xié)議是典型的采用混合路由算法的協(xié)議。2.路由協(xié)議因特網(wǎng)將整個(gè)互聯(lián)網(wǎng)劃分成為許多較小的自治系統(tǒng)(AutonomousSystem，AS)，一個(gè)自治系統(tǒng)是一個(gè)互連網(wǎng)絡(luò)，它是具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)。自治系統(tǒng)最重要的特點(diǎn)就是有權(quán)自主地決定在本系統(tǒng)內(nèi)采用何種路由選擇協(xié)議。根據(jù)是否在一個(gè)自治域內(nèi)部使用，動(dòng)態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。自治域內(nèi)部采用的路由選擇協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，IGP)，常用的有RIP、OSPF；外部網(wǎng)關(guān)協(xié)議(ExteriorGatewayProtocol，EGP)主要用于多個(gè)自治域之間的路由選擇，常用的是BGP和BGP-4。自治系統(tǒng)和內(nèi)部網(wǎng)關(guān)協(xié)議、外部網(wǎng)關(guān)協(xié)議的關(guān)系如圖4-7所示。1)?RIP路由協(xié)議路由信息協(xié)議(RoutingInformationProtocol，RIP)是內(nèi)部網(wǎng)關(guān)協(xié)議IGP中最先得到廣泛使用的協(xié)議。它是一種分布式的基于距離向量算法的路由選擇協(xié)議，其最大優(yōu)點(diǎn)就是簡單。RIP協(xié)議采用跳數(shù)(HopCount)作為距離度量，不考慮鏈路帶寬、延時(shí)、利用率等因素。RIP設(shè)定的距離最大值為16。因此，一條有效的路由信息的度量(metric)不能超過15，這就使得RIP協(xié)議不能應(yīng)用于大型的網(wǎng)絡(luò)。采用RIP協(xié)議的路由器僅和相鄰路由器交換信息，交換的信息是當(dāng)前本路由器所知道的全部信息，即自己的路由表。路由表中最主要的信息就是到某個(gè)網(wǎng)絡(luò)的最短距離以及應(yīng)經(jīng)過的下一跳地址。路由表更新的原則是找出到每個(gè)目的網(wǎng)絡(luò)的最短距離。RIP協(xié)議按固定的時(shí)間間隔(一般為30?s)交換路由信息，即使網(wǎng)絡(luò)未發(fā)生變化。2)開放最短路徑優(yōu)先協(xié)議開放最短路徑優(yōu)先(OpenShortestPathFirst，OSPF)協(xié)議是采用鏈路狀態(tài)路由算法的內(nèi)部網(wǎng)關(guān)路由協(xié)議，OSPF是一個(gè)開放的標(biāo)準(zhǔn)，來自多個(gè)廠家的設(shè)備可以實(shí)現(xiàn)協(xié)議互連。OSPF最主要的特征是使用分布式的鏈路狀態(tài)協(xié)議(LinkStateProtocol，LSP)，選擇路由基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，路由變化被立即廣播到網(wǎng)絡(luò)中的每一個(gè)路由器。與RIP相比，OSPF具有以下三個(gè)重要特點(diǎn)：(1)?OSPF向本自治系統(tǒng)中所有路由器發(fā)送信息。(2)?OSPF發(fā)送的信息就是與本路由器相鄰的所有路由器的鏈路狀態(tài)。(3)只有鏈路狀態(tài)發(fā)生變化時(shí)，路由器才向網(wǎng)絡(luò)發(fā)送此信息。OSPF是在Internet網(wǎng)絡(luò)規(guī)模迅速膨脹時(shí)制定的，因此比較適合大型互連網(wǎng)絡(luò)，在骨干網(wǎng)絡(luò)和大型企業(yè)網(wǎng)絡(luò)中得到廣泛應(yīng)用。3)邊界網(wǎng)關(guān)協(xié)議邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol，BGP)是不同自治系統(tǒng)的路由器之間交換路由信息的協(xié)議。由于因特網(wǎng)的規(guī)模太大，使得自治系統(tǒng)之間路由選擇非常困難，對(duì)于自治系統(tǒng)之間的路由選擇要尋找最佳路由是很不現(xiàn)實(shí)的，同時(shí)自治系統(tǒng)之間的路由選擇必須考慮有關(guān)策略。因此，BGP只能力求尋找一條能夠到達(dá)目的網(wǎng)絡(luò)且比較好的路由，而并非要尋找一條最佳路由。BGP采用了路徑向量(PathVector，PV)路由選擇協(xié)議，它與距離向量和鏈路狀態(tài)選擇都有很大的區(qū)別。BGP的主要功能是在AS之間發(fā)布網(wǎng)絡(luò)路由和協(xié)調(diào)信息，BGP系統(tǒng)可以共享整個(gè)網(wǎng)絡(luò)的AS之間的可到達(dá)信息，利用這些信息創(chuàng)建網(wǎng)絡(luò)拓?fù)鋱D，即路由表。在BGP之間交換的網(wǎng)絡(luò)層可達(dá)信息含有AS路徑、下一跳地址、路由策略等，根據(jù)這些信息可以剪除路由環(huán)路和生產(chǎn)本地路由。BGP常運(yùn)行在骨干網(wǎng)絡(luò)的核心位置，一旦出錯(cuò)可能導(dǎo)致大范圍網(wǎng)絡(luò)不可達(dá)。任務(wù)三公司安全互連一、任務(wù)描述某公司的財(cái)務(wù)部、總經(jīng)理辦公室、市場(chǎng)部分別位于不同的地點(diǎn)，各部門使用光纖或?qū)＞€通過路由器進(jìn)行連接。財(cái)務(wù)部建立了WWW服務(wù)器和FTP服務(wù)器。公司從安全考慮要求市場(chǎng)部只能訪問財(cái)務(wù)部的WWW服務(wù)器而不能訪問FTP服務(wù)器，總經(jīng)理辦公室可以訪問財(cái)務(wù)部的所有資源。二、任務(wù)目標(biāo)目標(biāo)：針對(duì)該公司網(wǎng)絡(luò)互連安全進(jìn)行規(guī)劃并實(shí)施。目的：通過本任務(wù)進(jìn)行路由器的訪問控制列表(ACL)配置，以幫助讀者在深入了解路由器的基礎(chǔ)上，具備利用ACL技術(shù)提高網(wǎng)絡(luò)安全性的能力。三、需求分析1.任務(wù)需求該公司的總經(jīng)理辦公室、市場(chǎng)部、財(cái)務(wù)部分別位于三個(gè)不同的辦公區(qū)并通過路由器連接。要求市場(chǎng)部只能訪問財(cái)務(wù)部的WWW服務(wù)器不能訪問FTP服務(wù)器，總經(jīng)理辦公室能訪問財(cái)務(wù)部的所有資源。2.需求分析需求1：市場(chǎng)部可以訪問WWW服務(wù)器，不能訪問FTP服務(wù)器。分析1：利用訪問控制技術(shù)拒絕市場(chǎng)部訪問財(cái)務(wù)部的FTP服務(wù)器。需求2：總經(jīng)理辦公室擁有對(duì)財(cái)務(wù)部的所有訪問權(quán)限。分析2：利用訪問控制技術(shù)允許總經(jīng)理辦公室訪問。根據(jù)上述需求，公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)如圖4-9所示。四、知識(shí)鏈接1.訪問控制列表(ACL)技術(shù)訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實(shí)施ACL有效地部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對(duì)局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕，至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來決定。訪問控制列表從概念上來講并不復(fù)雜，復(fù)雜的是對(duì)它的配置和使用。使用ACL實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的過濾、策略路由以及特殊流量的控制。一個(gè)ACL中可以包含一條或多條針對(duì)特定類型數(shù)據(jù)包的規(guī)則(ACE)，這些規(guī)則告訴路由器，對(duì)于與規(guī)則中規(guī)定的選擇標(biāo)準(zhǔn)相匹配的數(shù)據(jù)包是允許還是拒絕通過。訪問控制規(guī)則ACE根據(jù)以太網(wǎng)報(bào)文的某些字段來標(biāo)識(shí)以太網(wǎng)報(bào)文，這些字段包括：二層字段(Layer2fields)：48位的源MAC地址、48位的目的MAC地址。三層字段(Layer3fields)：源IP地址字段(可以定義源IP地址或?qū)?yīng)的子網(wǎng))、目的IP地址字段(可以定義目的IP地址或?qū)?yīng)的子網(wǎng))。四層字段(Layer4fields)：可以定義TCP的源端口和目的端口、UDP的源端口和目的端口。訪問控制列表的類型主要有：(1)標(biāo)準(zhǔn)IP訪問控制列表。一個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍1～99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。(2)擴(kuò)展IP訪問控制列表。擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口和IP優(yōu)先級(jí)等。編號(hào)范圍100～199的訪問控制列表是擴(kuò)展IP訪問控制列表。(3)命名的IP訪問控制列表。該列表是以列表名代替列表編號(hào)來定義IP訪問控制列表的，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號(hào)方式中相似。ACL的應(yīng)用規(guī)則如下：(1)每種協(xié)議(perprotocol)一個(gè)ACL：要控制接口上的訪問或流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。(2)每個(gè)方向(perdirection)一個(gè)ACL：一個(gè)ACL只能控制接口上一個(gè)方向的訪問或流量。要控制入站流量和出站的訪問或流量，必須分別定義兩個(gè)ACL。(