配置广域网接入:
PPP协议:点对点协议是作为点对点链路上进行IP特性的封装协议而被开发出来的。
ppp定义了IP地址的分配和管理、异步和面向位的同步封装、网络协议复用、链路配置、链路质量测试和错误检测等标准,以及网络层地址协议和数据压缩协议等协议标准。
ppp通过可扩展的链路协议和网络控制协议NCP实现上述功能。
多协议支持:IP、IPX、DECnet等。
安全认证机制:PAP口令认证协议、CHAP握手挑战协议。(用来认证是否允许对端设备进行拨号连接)
多链路PPP:允许在路由器和路由器之间或路由器和拨号的PC之间建立多条链路,通信量在这些链路之间进行负载均衡,从而提高可用带宽和链路可靠性。
按需拨号路由DCC:利用拨号链路实现网络间互连的一种常用技术,其主要功能是将数据包从被拨号的接口进行路由。
帧中继:高性能的WAN协议,运行在物理层和数据链路层,一种数据包交换技术,是X.25简化版,省略了X.25的一些强健功能。(窗口技术、数据重发技术)
依靠高层协议提供纠错功能。
比X.25具有跟高的性能和更有效的传输速率。
设备:
DTE:数据终端设备。接入网络。
DCE:数据通信设备。
提供面向连接的数据链路层通信,在每对设备之间存在一条定义好的通信链路,且该链路有一个链路标识码DLCI。
这种服务通过帧中继虚电路实现,每个帧中继虚电路都以DLCI标识自己。
DLCI的值一般由帧中继服务提供商知道。
帧中继既支持PVC,也支持SVC。
ISDN:综合业务数字网是电话网络数字化的结果。由数字电话和数据传输服务组成。可以传输声音、数据、视频等多种信息。
组件:终端、终端适配器、网络终端设备、线路终端设备、交换终端设备。
两种类型访问接口:
1.基本速率接口BRI:提供两个B信道和一个D信道。
B信道为承载信道,64kbps,用于传输用户数据。
D信道,16kbps,用于传输控制信息。
2.主要速率接口PRI:提供30个B信道和一个D信道。30B+D
B和D信道的速率均为64kbps。
IPSec:实现的VPN主要多种方式。
IKE动态协商方式是由ACL指定要保护的数据流范围,配置安全策略并将安全策略绑定在实际的接口上完成IPSec的设置。ACL规则。
在采用ACL方式建立IPSec隧道之前,实现源接口与目的接口之间路由可达。
一个IPSec安全策略中只能引用一个ACL。
两个router之间建立点到点的IPSec隧道。
IPSec策略是创建SA的前提。它规定了对哪些数据流采取哪种保护方法。
配置IPSec时,通过引用ACL和IPSec安全提议,将ACL定义的数据流 和IPSec安全提议定义的保护方法联系起来,并可以指定SA的协商方式、IPSec隧道的起点和终点,所需要的密钥、SA的生存周期等。
一个IPSec安全策略由路由名称和序号共同唯一确定,相同名称的IPSec安全策略为一个IPSec安全策略组。
接口上应用IPSec安全策略组。
IPSec安全策略组是具有相同名称,不同序号的IPSec安全策略的集合。
IPSec安全策略应用到的接口一定是建立隧道的接口,且该接口一定是到对端私网路由的出接口,如果将IPSec策略应用到其他接口会导致VPN业务不通。
一个接口只能应用一个IPSec安全策略组,一个IPSec安全策略组也只能应用到一个接口上。
当IPSec安全策略组应用到接口后,不能修改安全策略组引用的ACL,引用的IKE。
使用命令ike-peer peer-name,在IPSec安全策略中引用IPSec安全提议,默认情况下,IPSec安全策略没有引用IKE。
使用命令security acl acl-number【dynamic-source】在IPSec安全策略中引用ACL,默认情况下,IPSec安全策略没有引用ACL。
使用命令proposal proposal-name,在IPSec安全策略中引用IPSec去、安全提议,默认情况下,IPSec安全策略没有引用IPSec安全提议。
IPV6配置与部署:
1.双栈策略:网络节点中同时有IPV4和IPV6两个协议栈,同时可以接收、处理、收发IPV4和IPV6的分组。
优点:概念清晰、易于理解、网络规划相对简单,在IPV6逻辑网络中容易发挥出IPV6的优点(安全性、路由约束、流的支持等)。
缺点:对网元设备要求较高,对IPV4和IPV6都要支持,要维护大量的协议和数据,网络升级改造涉及网络中的所有网元设备,投资大、建设周期长。
2.隧道策略:用一种协议来传输另一种协议的数据的技术。
应用较多的:构造隧道、6 to 4隧道、MPLS隧道。
目前的隧道技术实现了在IPV4数据包中封装IPV6数据包。
在隧道的入口处会出现负载协议数据包的拆分,在隧道的出口处会出现负载协议数据包的重组,增加了隧道出、入口的实现复杂度,不利于大规模应用。
IPV6-over-IPV4 GRE隧道:将IPV6报文封装在IPV4报文中,让IPV6数据包穿过IPV4网络进行通信。
不能实现IPV4主机和IPV6主机直接通信。
使用标准的GRE隧道技术,可以在IPV4的GRE隧道上承载IPV6数据报文,GRE隧道是两点之间的链路,每条链路都是单独的隧道。
GRE隧道把IPV6看作是乘客协议,将GRE作为承载协议。
所配置的IPV6地址是在tunnel口配置的,所配置的IPV4地址是tunnel的源地址和目的地址(隧道的起点和终点)
ISATAP:站内自动隧道寻址协议,是点到点的自动隧道技术。采用了双栈和隧道技术实现从IPV4向IPV6的过渡。
当双栈主机使用ISATAP隧道时,IPV6报文的目的地址和隧道接口的IPV6地址都要采用ISATAP地址。
ISATAP地址格式为:Prefix(64bit):0:5EFE:IPV4ADDR。
其中:0:5EFE是IANA规定的格式,IPV4ADDR是单播IPV4地址,它嵌入到IPV6地址的低32位,ISATAP前64位是通过向ISATAP路由器请求得到的。
如果需要和其他网络通信的ISATAP客户端或者IPV6网络通信,必须通过ISATAP路由器拿到全球单播地址前缀(2001:、2002:、3ffe:开头),通过路由器与其他IPV6主机和网络通信。
ISATAP隧道可以用于IPV4网络中的IPV6路由器与IPV6路由器、主机与路由器的连接。
不要求隧道节点具有全球唯一的IPV4地址,可以用于内部私有网络中的各双栈主机进行IPV6通信。
所以ISATAP隧道适用于IPV4网络中IPV6主机之间的通信或IPV4网络中IPV6主机接入到IPV6网络的通信。
访问控制列表ACL:
根据源地址、目的地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。
编号、命名。permit、deny。
分类:基本ACL、高级ACL、二层ACL、用户ACL。
标准ACL只能根据分组中的IP 源地址进行过滤。
扩展ACL可以根据源地址或目标地址、不同的上层协议和协议信息进行过滤。
ACL过滤功能的差别:P577
ACL配置模式:
1.顺序规则config模式:顺序执行。
2.自动排序规则auto模式:系统使用“深度优先”原则,将规则按照精确定=度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。
规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。
ACL默认的规则匹配顺序位=为config,默认步长是5。
通配符掩码:子网掩码按位取反。