CONTENTS教學目標路由器是網絡的核心，負責在網絡間將數(shù)據(jù)包從初始源位置轉發(fā)到最終目的地；路由器可以實現(xiàn)路由、網絡訪問控制、防止廣播風暴，提高網絡安全等功能；路由器的安裝和調試比較復雜，相對其他網絡互連設備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網絡暢通。?能夠用OSPF路由完成路由配置，使網絡暢通。?能夠配置標準ACL實現(xiàn)網絡基本流量控制。?能夠配置DHCP服務實現(xiàn)內部網絡地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內網和外網的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網鏈路三層交換機配置4.6廣域網鏈路網絡設備配置與調試案例教程4.6.1項目背景1.需求分析

廣域網(WAN)不同于局域網(LAN)。局域網只在很小的地址范圍內連接工作站、終端及其他設備，而廣域網是由多個局域網相互連接而成的，其所建立的數(shù)據(jù)連接將跨越一個廣闊的區(qū)域，一般翌蓋的范圍可從幾百公里到幾千公里，因此，人們通常需要租用電信和數(shù)據(jù)通信公司的通信線路，而不是自己鋪設線路。

當前常見的廣域網接入方式包括HDLC、PPP、幀中繼等，本節(jié)以PPP和

幀中繼兩種技術來實現(xiàn)公司網絡的廣域網接入鏈路配置。2.環(huán)境準備

?設備路由器4臺，PC2臺。?線纜：串口線纜4根，以太網線纜2根。4.6廣域網鏈路網絡設備配置與調試案例教程3.技能準備(1)了解PPP

在每個廣域網連接上，數(shù)據(jù)在通過廣域網鏈路傳輸之前都會封裝成幀。要確保使用正確的協(xié)議，需要配置適當?shù)牡?層封裝類型。PPP是串行鏈路上的一種幀封裝格式，可以提供對多種網絡層協(xié)議的支持，為不同廠商的設備互連提供了可能，并且支持驗證、多鏈路捆綁、回撥和壓縮等功能。PPP包含3個主要組件：用于在點對點鏈路上封裝數(shù)據(jù)報的HDLC協(xié)議；用于建立、配置和測試數(shù)據(jù)鏈路連接的可擴展鏈路控制協(xié)議(LCP)；用于建立和配置各種網絡層協(xié)議的一系列網絡控制協(xié)議(NCP)。創(chuàng)建PPP會話需要3個階段：鏈路建立和配置協(xié)商；鏈路質量確認以及網絡層協(xié)議配置協(xié)商。4.6廣域網鏈路網絡設備配置與調試案例教程(2)PPP身份驗證協(xié)議PPP身份驗證是指對等路由器交換身份驗證消息的過程。驗證方法有兩種：口令驗證協(xié)議(PAP)和挑戰(zhàn)握手驗證協(xié)議(CHAP)。PAP是非?；镜碾p向過程，未經任何加密，用戶名和口令以純文本格式發(fā)送。如果通過此驗證，則允許連接；CHAP比PAP更安全，它通過三次握手交換共享密鑰，與一次性身份驗證的PAP不同，CHAP定期執(zhí)行消息詢問，以確保遠程節(jié)點仍然擁有有效的口令值。PPP會話的身份驗證是可選的。如果使用了身份驗證，就可以在LCP建立鏈路并選擇身份驗證協(xié)議之后驗證對等點的身份，此活動將在網絡層協(xié)議配置階段開始之前進行。4.6廣域網鏈路網絡設備配置與調試案例教程(3)幀中繼（二層技術）

幀中繼是一種網絡與數(shù)據(jù)終端設備（DTE）的接口標準，工作在物理層和數(shù)據(jù)鏈路層。幀中繼指定本地環(huán)路上如何在DTE和DCE之間傳輸數(shù)據(jù)，并不指定WAN上各個DCE之間是如何傳輸數(shù)據(jù)幀的，幀中繼WAN是通過干線互連的交換機網。

幀中繼是應用最廣泛的WAN協(xié)議之一。這主要是因為它的成本比專用線路低；此外，在幀中繼網絡中配置用戶設備非常簡單。通過配置路由器或其他設備使之與服務提供商的幀中繼交換機通信，即可建立幀中繼連接。服務提供商負責配置幀中繼交換機，這有助于最大限度地減少最終用戶的配置任務。4.6廣域網鏈路網絡設備配置與調試案例教程(4)幀中繼術語?虛電路VC是指兩個DTE之間通過幀中繼網絡實現(xiàn)的連接，這種連接是一種邏輯連接，并沒有直連的電路連接。虛電路包括交換虛電路SVC和永久虛電路PVC兩種。SVC是通過向網絡發(fā)送信令消息動態(tài)建立的；而PVC是運營商預配置的電路。?數(shù)據(jù)鏈路連接標識符DLCI用于標識虛電路的數(shù)字，DLCI通常僅具有本地意義，并且在虛電路的每一端可能不同。通常，DLCI0～15和1008～11023到1023留作特殊用途，因此，服務提供商分配的DLCI范圍通常為16～11007。?本地管理接口LMI是一種keepalive（保持連接）的機制，提供路由器(DTE)和幀中繼交換機(DCE)之間的幀中繼連接的狀態(tài)信息。終端設備每10s（或大概如此）輪詢一次網絡，請求通道狀態(tài)信息。4.6廣域網鏈路網絡設備配置與調試案例教程(5)幀中繼映射DLCI是幀中繼網絡中的第2層地址，當路由器通過幀中繼網絡把LP數(shù)據(jù)包發(fā)到下一跳路由期時，它必須知道IP和DLCI的映射關系才能進行幀的封裝。有兩種方法可以獲得該映射：靜態(tài)映射，由管理員手工配置；動態(tài)映射，即逆向ARP。默認時，路由器幀中繼接口是幵啟動態(tài)映射的。?靜態(tài)映射。靜態(tài)映射的建立應根據(jù)網絡需求而定。要在下一跳協(xié)議地址和DLCI目的地址之間進行映射，可使用以下命令：frame-relaymapprotocolprotocol-addressdlci[broadcast]

幀中繼是非廣播多路訪問網絡(NBMA),NBMA網絡不支持組播或廣播流量，因此，一個數(shù)據(jù)包不能同時到達所有目的地?？梢允褂藐P鍵字broadcast將數(shù)據(jù)包手動復制到所有目的地。這在轉發(fā)路由更新時是非常有用的。?動態(tài)映射。動態(tài)映射通過逆向ARP功能來完成。由于逆向ARP為默認啟用的配置，因此無需另外執(zhí)行任何命令即可在接口上配置動態(tài)映射。4.6廣域網鏈路網絡設備配置與調試案例教程4.6.2項目設計

任務1：在兩個不同地點的公司網絡路由器R1和R2和R3上配置PPP并配置PPP驗證。

任務2：R3和R4相連的接口類型配置為幀中繼。

任務3：R1、R2、R3、R4上啟用OSPF路由協(xié)議，四個路由器全部采用同一個進程號，

同一個區(qū)域。

任務4：R2為PPP的服務端，R1的s4/0/0接口與R3的s4/0/0接口的IP地址配置為通過

ppp的NCP報文（PPPIPCP）來獲取ip地址，不需要手動配置。

任務5：將R2作為認證方，R1與R3作為被認證方，R1與R2之間才用PPP的pap認證，R2

與R3之間才用PPP的chap認證。

任務6：在幀中繼網絡中，默認無法使用ospf路由協(xié)議，請修改某些配置，使得ospf

協(xié)議在幀中繼網絡中正常運行。

任務7：最終網絡可以全部互相訪問。4.6廣域網鏈路網絡設備配置與調試案例教程1.拓撲設計

本項目的網絡拓撲如圖所示。4.6廣域網鏈路網絡設備配置與調試案例教程2.IP地址設計

為了簡化網絡實現(xiàn)而設計的設備接口地址方案見下表。設備接口IP地址子網掩碼R1GO/0/0192.168.10.1255.255.255.0S4/O/O10.1.1.2255.255.255.252S4/0/110.3.3.2255.255.255.252R3GO/0/1192.168.30.1255.255.255.0S4/0/010.2.2.2255.255.255.252R2S4/0/010.1.1.1255.255.255.252S4/0/110.2.2.1255.255.255.252R4S4/0/010.3.3.1255.255.255.252PC1網卡192.168.10.10255.255.255.0PC3網卡192.168.30.10255.255.255.0設備接口IP地址表4.6廣域網鏈路網絡設備配置與調試案例教程4.6.3項目實施1.PPP

本網絡中，路由器R1和R3與R2之間都是PPP鏈路，進行配置之前，完成以下任務。?按照拓撲圖連接網絡。?在R1、R2和R3上啟用OSPF路由，以1作為進程ID。

檢查網絡是否完全連通，在網絡連通的情況下開始以下配置。(1)配置路由器R1

華為路由器上的默認串行封裝是ppp,配置當前的封裝類型，配置如下：interfaceSerial4/0/0

link-protocolppp//配置接口鏈路類型為PPP

ipaddressppp-negotiate配置IP地址為ppp自動協(xié)商獲取interfaceGigabitEthernet0/0/0ipaddress192.168.10.1255.255.255.0ospf1router-id1.1.1.1area0.0.0.0network10.1.1.20.0.0.0network10.3.3.20.0.0.0network192.168.10.10.0.0.04.6廣域網鏈路網絡設備配置與調試案例教程(2)配置路由器R2ippoolaagateway-list10.1.1.1network10.1.1.0mask255.255.255.252#ippoolbbgateway-list10.2.2.1network10.2.2.0mask255.255.255.252interfaceSerial4/0/0link-protocolpppremoteaddresspoolaaipaddress10.1.1.1255.255.255.252#interfaceSerial4/0/1link-protocolpppremoteaddresspoolbbipaddress10.2.2.1255.255.255.252ospf1router-id2.2.2.2area0.0.0.0network10.1.1.10.0.0.0network10.2.2.10.0.0.04.6廣域網鏈路網絡設備配置與調試案例教程(3)配置路由器R3

(4)實驗調試?displayinterface,該命令顯示路由器上配置的所有接口的統(tǒng)計信息。?ping測試。從PC1主機pingPC3主機，應該是通的。interfaceSerial4/0/0link-protocolpppipaddressppp-negotiateinterfaceGigabitEthernet0/0/1ipaddress192.168.30.1255.255.255.0ospf1router-id3.3.3.3area0.0.0.0network10.2.2.20.0.0.0network192.168.30.00.0.0.2554.6廣域網鏈路網絡設備配置與調試案例教程2.PPP驗證PPP定義了兩種身份驗證協(xié)議：口令驗證協(xié)議(PAP)和挑戰(zhàn)握手驗證協(xié)議(CHAP)。PAP是非?；镜碾p向過程，未經任何加密，用戶名和口令以純文本格式發(fā)送，如果通過此驗證，則允許連接。CHAP比PAP更安全，它通過3次握手交換共享密鑰。與一次性身份驗證的PAP不同，CHAP定期執(zhí)行消息詢問，以確保遠程節(jié)點仍然擁有有效的口令值，口令值是個變量，在鏈路存在時該值不斷改變，并旦這種改變是不可預知的。4.6廣域網鏈路網絡設備配置與調試案例教程下面分別在R1與R2、R2與R3間的兩段串行鏈路上配置PAP和CHAP身份驗證協(xié)議。(1)在R2和R3間的串行鏈路上配置PPPCHAP身份驗證。R2配置：aaalocal-userchappasswordcipher456local-userchapservice-typepppinterfaceSerial4/0/1

pppauthentication-modechap//開啟認證R3配置：interfaceSerial4/0/0pppchapuserchappppchappasswordcipher4564.6廣域網鏈路網絡設備配置與調試案例教程(2)在R1和R2間的串行鏈路上配置PPPPAP身份驗證。R1配置：aaalocal-userpappasswordcipher123 local-userpapservice-typeppp

interfaceSerial4/0/0

pppauthentication-modepap//開啟認證R2配置：interfaceSerial4/0/0ppppaplocal-userpappasswordsimple123(3)從PC1pingPC3,測試連通性，結果應該是通的。4.6廣域網鏈路網絡設備配置與調試案例教程3.FR幀中繼

：framerelay（二層技術）R1配置：interfaceSerial4/0/1

link-protocolfr//配置接口鏈路類型為幀中繼 ipaddress10.3.3.2255.255.255.252

ospfnetwork-typebroadc