学习情境4 内容回顾 网络安全概述 管理设备控制台安全 交换机端口安全 ACL 网络安全威胁 网络安全攻击方法 网络攻击的防御技术 保护设备控制台的安全措施 配置交换机远程登录的安全措施 交换机端口安全 端口安全的配置 端口安全的维护 ACL 标准ACL的配置 扩展ACL的配置

学习情境5 企业广域网接入配置

课程结构 帧中继 课程综合项目：Center公司网络改造项目实施 北京总部 上海分公司 广州分公司 情境二：企业内部路由配置 情境三：构建企业交换式局域网 VLAN VLAN VLAN VLAN VLAN VLAN VLAN 情境二：企业内部路由配置 情境四：企业内网安全控制 北京总部 情境五：企业广域网接入配置 Internet 帧中继 上海分公司 广州分公司 情境一：网络设备选型 课程综合项目：Center公司网络改造项目实施

本章目标 熟悉建设广域网络的基本知识 了解广域网特点和实现 掌握广域网封装协议 掌握PPP的原理及认证配置方法 掌握帧中继技术的原理及配置方法

本章结构 接入技术分类 广域网概述 广域网实现模型 广域网设备类型 大中型网络接入 广域网接入技术 小型网络接入 企业广域网接入配置 广域网封装协议 广域网实现模型 广域网设备类型 配置PPP认证 帧中继配置

任务分解 广域网接入技术 1 广域网通讯协议 2 配置广域网PPP认证技术 3 配置广域网帧中继技术 4

任务进度 广域网接入技术 1

5.1 广域网概述 广域网（WAN） 覆盖较大地理范围的数据通信网络 使用网络提供商和电信公司所提供的传输设施传输数据 Internet 广州办事处 北京总公司 网管工作站 分组交换网 Internet

5.1 广域网概述 5.1.1 广域网的接入技术分类 HDLC, PPP 专线 PPP, HDLC 电路交换 服务供应商 分组交换 HDLC, PPP PPP, HDLC X.25, Frame-Relay 服务供应商

5.1 广域网概述 专线连接 专线连接 点到点专用连接 提供了一条独享的、预先建立好了的广域网络通信通道 通道是永久的和固定的

5.1 广域网概述 电路交换 电路交换连接 根据需要进行连接 每一次通信会话期间都要建立、保持，然后拆除 在电信运营商网络中建立起来的专用物理电路 例如电话网络就是电路交换网络 电路交换网络 Modem

被通信数据激活，临时建立的虚链路，当数据传输完成，链路拆除 预先定义好的虚电路，不管是否传输数据，这条虚电路都存在并开通 5.1 广域网概述 虚电路交换 虚电路像一条专用电路 永久虚电路（PVC）和交换虚电路（SVC） 被通信数据激活，临时建立的虚链路，当数据传输完成，链路拆除 预先定义好的虚电路，不管是否传输数据，这条虚电路都存在并开通 分组交换机 虚电路

5.1 广域网概述 分组交换机（包交换） 包交换（分组交换机） 将传输的数据分组 多个网络设备共享实际的物理线路 使用虚电路/虚通道（Virtual Channel）传输 前面学习的IP的网络都是分组交换网络 分组交换机

5.1 广域网概述 5.1.2 广域网服务的实现模型 广域网服务提供商的长途电话网 S S S S 分界 S S S 骨干网和交换机 CO Switch CPE 广域网服务提供商的长途电话网 S S S S 分界 S S S 骨干网和交换机 图要重画 Local loop 点到点或 电路交换连接

5.1 广域网概述 5.1.3 常见的广域网设备 典型广域网拓朴结构 网络中心 家庭办公 PSTN 分组交换网络 分支机构 分支机构

5.1 广域网概述 接入服务器 接入服务器是广域网中拨入和拨出连接的汇聚点，用户终端可以通过接入服务器接入广域网。

5.1 广域网概述 广域网交换机 广域网交换机是在运营商网络中使用的多端口网络互联设备。广域网交换机一般工作在OSI参模型的数据链路层,主要有如帧中继交换机、ATM交换机、光交换机等，可以对帧中继、ATM等数据流量进行操作。

5.1 广域网概述 调制解调器 Modem 普通Modem 基带Modem 协议转换器

CSU/DSU 信道服务单元（CSU）数据服务单元（DSU）类似数据端设备到数据通信设备的复用器，可以提供以下几方面的功能：信号再生、线路调节、误码纠正、信号管理、同步和电路测试等。 CT-2000是一台灵活多业务接入平台，它利用时分复用（TDM）技术提供语音和数据综合应用。利用可拔插的高密度的各种不同的接口模块，在同一平台上可以提供多种业务应用：E&W、ISDN BRI、IDSL、SHDSL、V.35、E1/FE1、T1/FT1。为运营商节省空间和投资成本。强大的时隙交换（TSI）能力和多种的接口模块，使CT-2000可以应用于交叉连接（DXC）、灵活E1/T1多路复用器、机架式CSU/DSU和E1/T1转换器。

ISDN终端设备 网络终端(NT) ISDN用户终端 TA和ISDN卡的区别就像外置Modem和内置 一类网络终端（NT1），提供2B+D二 线双向传输能力，它完成线路传输码型的 转换，并实现回波抵消数码传输技术 智能网络终端（NT2） ISDN用户终端 ISDN适配卡 ISDN适配器 ISDN数字电话 TA和ISDN卡的区别就像外置Modem和内置 Modem的区别。外置的就是TA，内置的就是 ISDN卡。 NT1 TA128适配器 ISDN适配卡 ISDN 数字话机

路由器 可以访问www.cisco.com获得最新产品信息 7200系列 3800系列 2800系列 1800系列 800系列

5.1 广域网概述 5.1.4 广域网与0SI模型 广域网主要工作于OSI模型的下面三层，即物理层、数据链路层和网络层 。 但是，由于目前网络层普遍采用了IP协议，因此广域网技术标准也开始转向主要关注物理层和数据链路层的功能及其实现方法。因此，与局域网技术相似，不同广域网技术的差异也在于它们在物理层和数据链路层实现方式的不同。

5.2 广域网接入技术 广域网采用的传输技术主要有电路交换、分组交换等技术。 它常借助一些电信部门的公用网络系统作为它的通信链路，使用双绞线、光缆、微波、卫星、无线电波等有线传输介质和无线传输介质。

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 1.公用分组交换数据网（X.25网） 是一种以分组（Packet）为基本数据单元进行数据交换的通信网络。它采用分组交换（包交换）传输技术，是一种包交换的公共数据网。由于公用分组交换数据网使用X.25协议标准，故通常也称它为X.25网。

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 X.25 LAN1 LAN2 64kb/s 64kb/s 同步Modem 路由器 路由器 LAN1 LAN2

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 2.DDN属于专线连接方式 DDN（Digital Data Network，数字数据网）是利用数字信道传输数据信号的数据传输网 传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线 DDN是物理层的全透明网络，可以在它上面运行各种协议

5.2 广域网接入技术 实例：通过DDN实现局域网互连 64k-2.048M DDN 路由器 LAN1 LAN2

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 3.Frame Relay 帧中继（Frame Relay）是80年代出现、近几年才兴起的一种新的公用数据交换网，它是由X.25发展起来的快速分组交换技术。帧中继与X.25有基本相同之处是它们都用分组交换技术，都是对等式的点对点通信。但在它们之间也存在着一些差异，其主要差别是：X.25协议包括低三层协议，Frame Relay仅包含物理层和数据链路层协议。 从设计思想上看，帧中继与X.25的差异是，帧中继注重快速传输，而X.25强调高可靠性，所以在X.25网内，对传输的数据进行校验，并具有出错处理机制，而帧中继省略了这个功能，因此，帧中继传输速度快（64Kbps-2.048Mbps）。

5.2 广域网接入技术 实例：帧中继组网实例 实例1 帧中继 同步Modem 路由器 清华大学 江西信息学院 校园网

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 4.微波无线网 微波通信是利用微波波段的电磁波在对流层的视距范围内进行信息传输的一种通信方式，是现代化通信的一种重要传输手段。利用微波通信技术可以实现局域网的远程互连。 微波通信需要在通信双方各架设一个天线，且接收天线与发射天线必须精确地对准。天线有定向和全向两种类型，定向天线主要实现点到点的通信，而全向天线可以实现一点对多点的通信。 微波沿着直线传播，它不能很好地穿过建筑物，因此，使用微波无线网互连局域网时，要求在两个通信站点的直线范围内不能有遮挡物（建筑物），否则它将不能正确地传输数据。

5.2 广域网接入技术 实例：微波无线网互连远程局域网 路由器 清华大学 同步Modem 江西信息学院

5.2 广域网接入技术 5.2.1大中型局域网连接WAN的方式 5.卫星通信网 卫星通信利用人造地球卫星作为空中微波中继站，实现地球上两个或多个地球站之间的通信。卫星通信不仅可以为全球提供远距离的电视广播、移动通信服务，而且可以提供数据广播和定点式数据通信，利用卫星通信网可以实现更大范围的局域网互连。 它具有覆盖地域广、传输距离长、传输质量好、通信速率快等特点，因此，卫星通信通常在覆盖面积广、规模大的互联网主干网的环境中使用。 使用卫星通信互连远距离局域网的实例很多，例如，我国教育科研示范网（CERNET）就使用2Mbps卫星通信信道，作为CERNET主干网的传输线路。

5.2 广域网接入技术 5.2.2小型局域网连接WAN的方式 1.ISDN综合业务数字网 能够通过电话网络承载数据、话音以及其他信息流 ISDN提供了BRI和PRI两种接口 BRI：2B+D PRI：30B+D / 23B+D D信道进行呼叫和控制，B信道进行数据传输

5.2 广域网接入技术 5.2.2小型局域网连接WAN的方式 2、不对称式数字用户线（ADSL） xDSL是ADSL、SDSL、HDSL、IDSL和 VDSL技术的总称。 DSL包括以下几种技术： ADSL 非对称数字用户线（我国使用最广泛） RADSL 速率自适应非对称数字用户线 HDSL 高比特率数字用户线 VDSL 甚高比特率数字用户线 SDSL 单线对HDSL数字用户线（HDSL2）

5.2 广域网接入技术 XDSL比较 类型 最大速率 (b/s) 距离 对称 典型应用 POTS并存 ADSL/ RADSL 下行8M 上行768k 3.5～5.5km 否 因特网访问、视频点播、 远程访问 是 HDSL/ SDSL 1.544M或 2.048M 5km T1/E1专线、无线基站互连、高速LAN互连、因特网接入、视频应用 VDSL 下行52M 上行26M 0.3～1.5km 均可 高清晰度电视、多媒体传输、 高速LAN互连、因特网接入

5.2 广域网接入技术 5.2.2小型局域网连接WAN的方式 3.Cabel Modem Cabel Modem是近几年发展起来的又一种家庭电脑入网的新技术，它是一种以有线电视使用的 宽带同轴电缆作为传输介质，利用有线电视网（CATV）提供高速的数据传输的广域网连接技术。Cabel Modem除了提供视频信号业务外，还能提供语音、数据等宽带多媒体信息业务。这种技术也具有不对称的特性，其上、下行速率各不相同。Cabel Modem的上行速率是768Kbps,下行速率最高可以达到38Mbps。

阶段总结 广域网的连接方式 广域网的接入方式 专线连接、电路交换连接、分组交换连接 X.25、DDN、帧中继、微波无线网、卫星通信网、ISDN、ADSL、Cable Modem

任务进度 广域网接入技术 1 √ 广域网通讯协议 2

5.3 广域网数据链路层协议 HDLC PPP 帧中继Frame Relay ATM

HDLC协议 HDLC协议 High-Level Data Link Control，高级数据链路控制 用于点到点同步串行链路

PPP协议 PPP协议 Point to Point Protocol，点对点协议 支持IP地址协商 支持用户验证

帧中继协议 帧中继协议 在X.25分组交换技术的基础上发展起来的一种快速分组交换技术，是改进了的X.25协议 帧中继网络 DLCI DLCI DCE DLCI 帧中继网络 DTE DTE DCE

帧中继DLCI DLCI（Data Link Connection Identifier，数据链路连接标识）用来表示帧中继的每条虚电路 只在本地接口和与之直接相连的对端接口有效，不具有全局有效性 映射对端的网络地址到DLCI 从帧中继网络服务商处得到分配的DLCI 即在帧中继网络中，不同的物理接口上相同的 DLCI 并不表示是同一个虚连接 ，即在帧中 继网络中，不同的物理接口上相同的 DLCI 并 不表示是同一个虚连接 DLCI 48 Network Address 172.16.11.3 DLCI DCE FR DLCI=48 DTE 172.16.11.3 DTE DCE

ATM协议 ATM（Asynchronous Transfer Mode，异步传输模式） ATM的特点 ATM与IP之争 面向连接 网络接点功能简单 信元长度小而固定 转发时延小，传输速率高 支持完善的QoS功能 ATM与IP之争

阶段总结 广域网的封装协议类型 HDLC、PPP、Frame-Relay、ATM 广域网的协议结构 HDLC、PPP、Frame-Relay

任务进度 广域网接入技术 1 √ 广域网通讯协议 2 √ 配置广域网PPP认证技术 3

5.4 配置PPP协议 PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议 用户使用拨号电话线接入Internet时，一般都是使用 PPP 协议 PSTN PPP协议

PPP协议的产生-SLIP协议 SLIP协议（Serial Line Internet Protocol） SLIP协议的缺点 产生于二十世纪八十年代中期 SLIP协议的缺点 封装格式十分简单，无法进行IP地址等参数的协商 只支持IP协议 不具备校验功能 IP数据报文 + END字符 = SLIP数据帧

PPP协议的产生-HDLC协议 HDLC：高级数据链路层协议。 HDLC是CISCO串行线路缺省封装协议，只允许CISCO设备连接，与其他供应商设备不兼容。 与没有运行CISOC IOS的设备连接, 使用PPP。 Page 49/34

PPP协议的优点 支持同步或异步串行链路的传输 支持多种网络层协议 支持错误检测 支持网络层的地址协商 支持用户认证 允许进行数据压缩 同步：面向位的同步数据块的传送 异步：起始位+数据位+奇偶校验位+停止位 50

PPP的组成 PPP主要包括三个部分 在串行链路上封装上层数据报文的方法 采用LCP（Link-Control Protocol，链路控制协议）来建立、控制数据链路 采用NCP（Network-Control Protocol，网络控制协议）来支持多种网络协议 IP IPX 其它网络协议 NCP IPCP IPXCP 其它NCP 网络层 PPP LCP 数据链路层 物理介质（同/异步） 物理层 51

LCP协议 用来建立、配置、维护、终止一条点对点链路 LCP协议协商选项 MRU，最大接收单元 认证协议 多链路捆绑 52

NCP协议 用来建立、配置不同的网络层协议 包括IPCP、IPXCP等协议 IPCP协议协商选项 IP地址协商 TCP/IP头压缩 53

PPP链路的建立 PPP链路的建立共有五个阶段 物理层 UP 链路UP 链路不可用 阶段 链路建立 阶段 认证阶段 认证通过或无认证 失败 认证失败 链路终止 阶段 网络层协议 阶段 关闭 54

因为PPP协议是点对点的链路层协议，所以此字节无意义，用0xFF填充 1Byte 1Byte 1Byte 2Bytes 2Bytes 1Byte 0x7E 0xFF 0x03 协议域 帧校验 0x7E 信息域 信息域：根据协议域的内容而定 当协议域为LCP协议时，信息域内为LCP协商参数 当协议域为NCP协议时，信息域内为NCP协商参数 当协议域为IP协议时，信息域内为用户数据 控制域：通常用0x03填充 标志字节：用来标示PPP帧的开始和结束 地址域：对方的数据链路层地址。 因为PPP协议是点对点的链路层协议，所以此字节无意义，用0xFF填充 协议域：用来区分PPP数据帧中信息域所承载的数据报文的内容 常见取值： 0xc021 信息域中承载的是LCP协议数据报文 0xc023 信息域中承载的是PAP协议的认证报文 0xc223 信息域中承载的是CHAP协议的认证报文 0x8021 信息域中承载的是NCP协议数据报文 0x0021 信息域中承载的是IP协议数据报文 55

PPP认证协议 PPP协议支持用户的认证，是广域网接入使用最广泛的协议 PPP协议支持两种认证协议 PAP（Password Authentication Protocol，口令认证协议） CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议） 56

PAP认证 PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。 认证通过/未通过 用户名和密码(user01/pw01) 根据用户数据库认证 用户名密码是否正确 用户名：user01 密 码：pw01 被认证方 主认证方 username password user01 pw01 57

多链路PPP MLP（MultiLink PPP）可以将多条PPP链路捆绑起来 对于MLP链路两端的设备，就好像只有一条PPP连接，只需配置一个IP地址 优点 增加带宽 负载分担 降低时延 58

配置PPP协议 进入串口配置模式 Router(config)# interface serial 0/0 配置接口的链路层协议为PPP Router(config-if)# encapsulation ppp 配置接口的IP地址 Router(config-if)# ip address ip_addr ip_mask 59

配置PAP认证-主认证方 配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用PAP认证 Router(config-if)# ppp authentication pap 0表示密码为明文保存 60

配置PAP认证-被认证方 配置认证用户名和密码 Router(config-if)# ppp pap sent-username user_name password 0 pass_word 主认证方和被认证方配置的用户名和密码必须一致 61

如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名 配置CHAP认证-主认证方 配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 启用CHAP认证 Router(config-if)# ppp authentication chap 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name 如果不配置此命令，默认使用路由器的主机名作为主认证方的用户名

如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名 当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码 配置CHAP认证-被认证方 配置认证用户名和密码 Router(config)# username user_name password 0 pass_word 配置认证用的用户名 Router(config-if)# ppp chap hostname user_name 配置认证用的密码 Router(config-if)# ppp chap password 0 pass_word 如果不配置此命令，默认使用路由器的主机名作为被认证方的用户名 当没有配置认证的用户名和密码时，可以使用此命令配置默认的密码

PPP配置实例 A B RouterB# config terminal RouterA# config terminal RouterB(config)# username benet password 0 best RouterB(config)# interface serial 0/0 RouterB(config-if)# ip address 192.168.1.1 255.255.255.252 RouterB(config-if)# clock rate 2000000 RouterB(config-if)# encapsulation ppp RouterB(config-if)# ppp authentication pap RouterB(config-if)# no shutdown RouterA# config terminal RouterA(config)# interface serial 0/0 RouterA(config-if)# ip address 192.168.1.2 255.255.255.252 RouterA(config-if)# encapsulation ppp RouterA(config-if)# ppp pap sent-username benet password 0 best RouterA(config-if)# no shutdown

LCP、IPCP、CDPCP协议状态都为open PPP的调试和排错 show interface命令 Router#show interface serial 0/1 Serial0/1 is up, line protocol is up Hardware is PowerQUICC Serial Internet address will be negotiated using IPCP MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set LCP Open Open: IPCP, CDPCP 物理层UP，数据链路层UP 此接口的IP地址由IPCP协议协商决定 此接口链路层封装协议为PPP LCP、IPCP、CDPCP协议状态都为open 65

5.5项目一 配置PPP认证实现接入Internet Center公司总部设在北京，该公司在广州和上海分别设有分公司，现在要求整个公司的网络通过总部出口路由器连接到Internet，网络拓扑如图所示，在图中路由器相应接口上配置PPP协议，分别使用PAP和CHAP方式认证用户。 公司总部 Internet 59.52.200.130/29 59.52.200.129/29 PPP专线 S0/0 BJ-R-1

阶段总结 PPP协议由链路层封装方法、LCP协议、NCP协议三部分组成 PPP链路建立的过程 PPP认证配置 PPP的帧格式 PAP配置 CHAP配置

任务进度 广域网接入技术 1 √ 广域网通讯协议 2 √ 配置广域网PPP认证技术 3 √ 配置广域网帧中继技术 4

Local Management Interface (LMI) 5.6 帧中继配置 Local Management Interface (LMI) DCE 局域网 DLCI Purpose: Routers provide access into the corporate network via WAN connections. Emphasize: A main office must be able to support multiple types of connections. Note: The lightning bolt represents a WAN connection. The dotted lines represent DDR connections. The solid bolts can be packet switched or leased lines. 局域网 FR DLCI DTE DTE DCE Permanent Virtual Circuit (PVC) use data link connection identifiers (DLCI) 帧中继协议是在X.25分组交换技术的基础上发展起来的一种快速分组交换技术，是改进了的X.25协议。 帧中继是基于虚电路的。

Frame Relay术语

Frame Relay术语 DTE：客户端设备,数据终端设备。 DCE：数据通信设备或数据电路端接设备。 虚电路（VC）：通过为每一对DTE设备分配一个连接标识 符，实现多个逻辑数据会话在同一条物理链路上进行多路 复用。 数字连接识别号（DLCI）：用以识别在DTE和FR之间的逻 辑虚拟电路。 本地管理接口（LMI）：是在DTE设备和FR之间的一种信令协议。

Frame Relay default: NBMA

Frame Relay 拓扑结构 全网结构：提供最大限度的相互容错能力；物理连接费用最为昂贵。 部分网状结构：对重要结点采取多链路互连方式，有一定的备份能力。 星型结构：最常用的帧中继拓扑结构，由中心节点来提供主要服务与应用，工程费最省。

实现路由信息的可达性 在NBMA环境的网络中使用水平分割可能造成一些问题 划分子端口可以解决水平分割造成的问题 一个物理端口可以被划分成多个逻辑意义上的子端口

帧中继寻址 R1 123.123.123.2→102 123.123.123.3→103 R2 123.123.123.1→201 123.123.123.3→203 R3 123.123.123.1→301 123.123.123.2→302

Frame Relay基本配置

配置 Frame Relay的静态映射

子接口的配置 点到点子接口 多点子接口 子接口看作是专线 每一个点到点连接的子接口要求有自己的子网 适用于星型拓扑结构 一个单独的子接口用来建立多条PVC，这些PVC连接到远端路由器的多点子接口或物理接口 所有加入的接口都处于同一的子网中

配置点到点的子接口

多点子接口配置举例

5.7项目二 通过帧中继实现公司各分部互联 Center公司除了北京总公司外，还有上海和广州分公司，两个分公司之间希望能够申请一条广域网专线进行连接。现在拟在总公司和分公司之间通过配置帧中继技术，实现链路复用，实现总公司和分公司之间的相互联通，如图所示。

总公司与分公司互联拓扑图

阶段总结 帧中继术语 DTE、DCE DLCI、LMI 帧中继寻址 帧中继配置 简单帧中继配置 子接口配置

任务进度 广域网接入技术 1 √ 广域网通讯协议 2 √ 配置广域网PPP认证技术 3 √ 配置广域网帧中继技术 4 √

本章结构 接入技术分类 广域网概述 广域网实现模型 广域网设备类型 大中型网络接入 广域网接入技术 小型网络接入 企业广域网接入配置 广域网封装协议 广域网实现模型 广域网设备类型 配置PPP认证 帧中继配置