学习目标:
1、了解广域网技术产生背景
2、了解PPP原理pap和chap认证、以及建立过程
3、了解PPPoE原理
4、广域网技术的历史发展
一、广域网技术产生背景
1、广域网技术产生背景:
1、随着经济全球化与数字化变革加速,企业规模不断扩大,越来越多的分支机构出现在不同的地域,每个分支的网络被认为是一个LAN,总部和分支机构之间通信需要跨越地理位置,因此需要WAN广域网技术将这些分散在不同地理位置的分支机构连接起来,以便业务的开展。
2、广域网技术早些出现的x.25只能提供64Kbit/s的带宽,后边又有DDN数字数据网和FR帧中继把带宽提高到2Mbit/s,随后又有SDH同步数字结构和ATM异步传输模式将带宽提升到10Gbit/s,最后发展到现在以IP为基础的10Gbit/s的广域网络(之前的技术基本都淘汰了)。
广域网做的前提:(运营商没问题,企业很难)往往是运营商提供给企业的
1、资金
2、资质
PPP点对点协议和PPPoE,把这个广域网接入技术拿到广域网中讲。
企业边缘和运营商连接的链路通常跑PPP,接入使用PPP协议。
现在谈广域网接入技术,不能代表广域网本身。
广域网分支机构互通:
1、租裸纤(贼贵)
2、VPLS、MPLS、基于Vxlan的、基于HR分段路由的广域网技术(现在流行的VPN技术)
局域网:覆盖地理范围小的计算机网络。
广域网:通过租用ISP网络或自建专用网络来构件的覆盖地理范围比较广的计算机网络(一般都租用运营商的)。
现在以太网也可以作为广域网的接入技术。
2、广域网设备角色:
广域网设备基本角色有三种:
1、CE:用户端连接服务提供商的边缘设备,CE连接一个或多个PE,实现用户接入。
2、PE:服务提供商连接CE的边缘设备,PE同时连接CE和P设备,是重点网络节点。
3、P:服务提供商不连接任何CE的设备(根据网络规模,可有可无)。
企业只需要管CE这端配置。
帧中继(90年代,最火广域网技术)的问题就是最大只能提供2M带宽,银行还在用。
ATM缺点:
1、贵
2、标准复杂:不是每个厂家都能玩的动
二、了解PPP原理pap和chap认证、以及建立过程
1、PPP原理
1、广域网数据链路层协议,全双工点到点传输封装。
2、提供安全认证,PAP(密码认证协议)和CHAP认证(挑战握手认证)
3、具有良好的扩展性,以太网链路承载PPP协议时,PPP能扩展为PPPoE(以太网没有认证机制,谁接了都能通,PPP安全和以太网接入结合形成PPPoE)。
Lt2p:VPN接入技术,出差用户可以用自己笔记本装LT2p客户端,连接公司,为了安全会使用LT2P vpn ppp实现远程客户端使用安全身份认证接入公司网络。
4、提供了LCP链路控制协议,用于各种链路层参数的协商(最大接收单元、认证模式等)。
5、提供了NCP网络控制协议,IPCP(ip控制协议),用于网络参数协商,更好的支持网络层协议,链路两边地址不在同一个网段也能通信。
2、PPP链路建立流程:
三步建立,第二步是可选了,任何一步有问题,链路就无法通信。
PPP链路接口状态机:
IE面试重点问题:
PPP链路的建立过程
7步:
1、接口被shutdown、没接线就是Dead状态。
2、接口up起来就会进入Establish协商,(1)、LCP协商单链路PPP(SP)还是多链路PPP(MP)、(2)、最大接口单元MRU的协商(两边不一样,最后以小为准)、(3)、是否需要认证、(4)、魔术字(用来做PPP的环路检测一般不会有环)。
3、如果配置了认证就会进入Authenticate阶段,开始CHAP或PAP认证,没有配认证直接到network阶段(选择配置一网络层协议,网络层协商)。
3、LCP报文格式
Flag:每一个PPP报文都是以帧起始结束0x7E开始和结束。
Address:由于PPP链路不是你就是我,他报文中Address地址无意义,固定全1(0XFF),是一个广播地址。
Control控制帧:务虚会帧。
protocol:PP封装的协议报文类型,
通过TLV这三个参数可以定义一个功能(IS-IS也有)。
两个TLV:
LCP协商双方协商都是独立的
没配认证只能看到魔术字和MRU。
配认证的话华为有带MRU(默认携带)、认证、魔术字(默认有)。
如果MRU比较大,会回复NAK,告诉你你的有点大我接受不了,并且我会告诉你我能支持多大的,你修改完参数再发我。
发来参数不能识别就发Reject拒绝报文:然后把不识别参数删掉再发
协商五次不成功,参数直接禁用,不带不识别的参数
认证不能协商的,配置了一定要成功,不成功直接凉凉。
4、PPP认证模式
1、PAP:双方两次握手,协商报文以明文形式在链路上传输。
被认证方发起认证请求
PPP可以单向认证,R1认为R2合法就认证成功了,双向认证的话R2既是认证也是被认证方。
认证成功后进行NCP协商。
家里PPPoE上网,运营商单向认证成功就可以建立会话。
认证成功ACK报文,会回复一串字符串,失败回复NAK报文,也会回复字符串提示账号或密码错误:
message这块可编程
PAP用户名密码明文传输,不安全,但是快。
2、CHAP三次握手认证
三个报文:
1、认证方发起Challenge挑战报文
MD5哈希值,没有发密码,只发了用户名
ID号131
认证方要提前配置好被认证方用户名密码。
过程:
1、报文ID号和随机数拿出来,被认证方接口配置用户名密码,被认证方的ID号要和挑战认证方发的一致,通过哈希计算密码,相同输入=相同输出,输出一样就认证成功(是双向的)。
(1)CHAP认证的三种玩法:
1)、CHAP认证,被认证方接口没有使用PPP chap password命令时的配置,特点是不同的账号相同的密码做认证。
2)、CHAP认证,被认证方接口使用ppp chap password以及ppp user user1命令时的配置,特殊是使用同一个账号密码做认证。
3)、CHAP认证,认证接口不配置ppp chap user命令时的配置,认证接口使用ppp chap password命令时的配置:
2、认证成功后进行NCP协商,协商在数据链路上锁传输的数据包的格式和类型(例如:常见的IPCP协议分静态IP地址协商和动态IP地址协商。)。
静态地址协商:
[AR1]display interface Serial 4/0/0
LCP opened, IPCP opened代表链路协商成功,在路由可以看到对端的主机路由
静态地址协商成功,会根据对端地址主动形成对端的路由(PPP专属功能)
动态地址协商:
主要是给没有地址的一端配置地址(PPP链路的一端为对端分配地址),PPPoE拨号上网就是借助PPP的动态地址协商(不是使用DHCP)。
过程:
(1)、没有地址的一端主动启用动态地址协商功能。
(2)、分配地址的一方创建地址池
5、PPP的配置:
PAP认证:
被认证方不用3a视图去配置,直接启用就行:
这样是单向认证
6、CHAP认证配置:
问题:
认证成功后,把密码改了,会话不会断开。
如果会话建立成功,再去配认证,不会重新认证。
因为认证是建立一个会话的阶段,建立好后,不会继续去继续认证,除非接口down了,才会进行重新建立,认证只是对链路会话建立认证,不会对建立好后传输的数据进行加密。
三、了解PPPoE原理
1、什么是PPPoE?
PPPoE(ppp over Ethernet)以太网承载协议,是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使用以太网络中的多台主机连接到远端的宽带接入服务器。
PPPoE结合了以太网和PPP两个技术的优点,既有以太网的灵活组网(PPP只能连接一台设备,以太网可以多台),还可以利用PPP协议实现认证、计费功能(以太网不能做认证和计费)。
ppp over Ethernet就是用以太网封装PPP,over是用后边协议封装前面的协议。
以前的PPPoE网络架构:是电话线拨号上网:
PPPoE客户端和PPPoE服务器端建立PPP会话,封装PPP数据报文,为以太网的主机提供接入服务,实现用户控制和计费,在企业网络和运营商网络中应用广泛。
PPPoE常见的应用场景有家庭用户拨号上网,企业用户拨号上网等。
2、PPPoE会话建立:
会话就是Session ID。
拨号技术不是指的某一种早期有:ISDN、ADSC、PSTN等等使用客户端软件拨号上网。
1、PPPoE发现:进行PPPoE的协商,用户接入,创建PPPoE会话。
2、PPPoE会话:进行PPP协商(LCP、NCP)
3、PPPoE终结:PPPoE断开,客户端主动断开或服务器断开。
3、PPPoE报文:
有五种报文,完成第一阶段和第三阶段建立
前四个报文是PPPoE发现报文(类似DHCP基础四种报文),最后一种是中断PPPoE的报文。
PPPoE中也有存在多台PPPoE服务器的情况(类似DHCP服务器多台)
Step1是广播,2和3是单播。PPPoE服务器本地会生成一个Session ID来标识PPPoE客户端会话。
PPP会话建立的过程,通过PPPoE以太网中封装PPP:
PPP对于PPPoE来说就是通过携带PPP来协商PPPoE会话。
会话结构:
抓包软件显示的都是有效字节数
客户端选择了哪台服务器:
PADO服务器发客户机时会携带Host-Uniq字段、AC-Name、AC-cookie标识自己。
PADR客户端回应服务器携带服务器的Host-Uniq字段、AC-Name、AC-cookie。
PADS服务器回应客户端,这个时候Session ID就分配好了。
后续的协商都是携带Session ID标识PPPoE会话产生的报文。
PPPoE协商完就是LCP、有认证的话被认证向认证方发起认证,通过的话认证方回复ACK,然后机芯IPCP的协商。
双向的:
周期发Request和Reply保活维持会话。
4、PPPoE配置:
PPPoE客户端和PPPoE服务器端一定是在同一个广播域。
PPPoE客户端配置:
因为下边服务器是:
不一样协商不起来
先配置拨号规则(触发PPPoE的条件)
创建拨号虚拟接口
创建拨号用户
创建一个拨号组(组号和拨号规则号要一致)
创建一个拨号树
通过PPP动态协商获取地址。
PPPoE服务器端配置:
PPPoe拓扑:
1、PPPoe服务器配置:
| [PPPoE-server]ip pool pppoe | (创建pppoe地址池) |
| [PPPoE-server-ip-pool-pppoe]network 202.1.1.0 mask 255.255.255.0 | (地址池范围) |
| [PPPoE-server-ip-pool-pppoe]gateway-list 202.1.1.1 | (网关) |
可以创建多个虚拟模板接口,在不同的物理接口进行调用(套用)
| [PPPoE-server]interface Virtual-Template 1 | (创建虚拟模板接口) |
| [PPPoE-server-Virtual-Template1]ppp authentication-mode chap | (配置ppp链路的chap认证) |
| [PPPoE-server-Virtual-Template1]ip address 202.1.1.1 24 | (链路ip) |
| [PPPoE-server-Virtual-Template1]remote address pool pppoe | (指定分配的地址池) |
| [PPPoE-server-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1 | (进入g0/0/0接口绑定模板1) |
| [PPPoE-server]aaa | (进入3a视图) |
| [PPPoE-server-aaa]local-user huawei password cipher huawei@123 | (创建用户名和密码) |
| [PPPoE-server-aaa]local-user huawei service-type ppp | (修改类型为ppp) |
2、PPPoE客户端配置:
| [pppoe-clinet]dialer-rule | (创建拨号规则) |
| [pppoe-clinet-dialer-rule]dialer-rule 1 ip permit | (放行IP) |
| [pppoe-clinet]interface Dialer 1 | (拨号口) |
| [pppoe-clinet-Dialer1]ppp chap user huawei | chap认证用户名 |
| [pppoe-clinet-Dialer1]ppp chap password cipher huawei@123 | chap认证密码 |
| [pppoe-clinet-Dialer1]ip address ppp-negotiate | IP地址的获取是通过ppp协商动态获取 |
| [pppoe-clinet-Dialer1]dialer user enterprise@huawei | (拨号用户)可以任意,跟做认证的账号名没有关系 |
| [pppoe-clinet-Dialer1]dialer-group 1 | (拨号组需要和拨号规则一致)只具有本地意义 |
| [pppoe-clinet-Dialer1]dialer bundle 1 | (拨号树),只具有本地意义 |
接口绑定拨号树
| [pppoe-clinet-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1 | 接口绑定拨号树 |
先敲第一个下边2和3才能敲(不敲拨号用户名,拨号组合树敲不了)
客户端拨号端口获取到IP(客户端发送请求报文的时候源IP是0.0.0.0)
客户端成功获取PPPoe拨号地址:
内网用户通过Easy-NAT转换拨号上网:
pppoe客户端
| [pppoe-clinet]ip route-static 0.0.0.0 0 Dialer 1 | (默认路由指向拨号口) |
| [pppoe-clinet-GigabitEthernet0/0/1]ip address 192.168.1.254 24 | 配置内网口ip |
| [pppoe-clinet]dhcp enable | 启用DHCP |
| [pppoe-clinet-GigabitEthernet0/0/1]dhcp select interface | 内网接口启用DHCP |
拨号口做NAT
1、创建ACL规则
| [pppoe-clinet]acl 2000 | 创建ACL2000规则 |
| [pppoe-clinet-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 | 放行的流量 |
2、拨号口启用easy-NAT,
| [pppoe-clinet-Dialer1]nat outbound 2000 | 拨号接口启用Easy-NAT |
配置验证:
四、广域网技术的历史发展:
1、分组转发:
帧模式的IP网络(数据以帧为单位)。
2、电路交换:
每一根电话准备一根物理链路(代价很高,通信质量好)。
虚电路(两台设备间物理链路上虚拟出逻辑电路,用户通过虚拟链路连接)ATM和帧中继以前使用。
帧中继交换机
3、MPLS
MPLS(还需要额外运行标签分发协议LDP/TDP):分配标签,通过标签来转发,始发路由产生标签(出、入标签),形成一个标签和路由的映射表(不需要最长匹配查找,根据标签转发)。
MPLS在VPN、流量工程、QOS应用比较多。
MPLS标签转发
MPLS存在问题:(无法产生路由)
4、SR分段路由技术(Segment Routing)
分段路由技术(比较牛的,思科的基于标签转发,不需要运行LDP)
1、分段路由技术Segment Routing:
2、SR转发原理:
SR将网络中每条链路分成一个端,类似于SDN(集中控制),但不是转发和控制层面分离
软件定义网络,应用(软件)提出需求,控制器来生成路径(基于应用的路径)。
两本SR书籍:两卷
3、SR部署:
1、人工部署:
2、华为有自己的控制器(银行、腾讯、阿里数据中心)
2275
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
