新版HCNE笔记Word下载.docx
《新版HCNE笔记Word下载.docx》由会员分享,可在线阅读,更多相关《新版HCNE笔记Word下载.docx(93页珍藏版)》请在冰豆网上搜索。
网络在进行数据传输时使用
“虚电路VC”来提供端到端的连接。
通常这种连接要经过分作交换网络,而这种网络一般都由电信运营商来提供。
常见的广域网分组形式有X.25、帧中继(Frame
Relay)、ATM等。
分组交换设备将用户信息封装在分组或数据帧中进行传输,在分组头或帧头中包含用于路由选择、差错控制和流量控制的信息。
6.3HDLC协议原理及配置
6.3.1HDLC协议原理
标志地址控制信息帧校验
标志
l面向比特
l透明传输-----零比特填充法
l运行于同步串行线路
高级数据链路控制HDLC是一种面向比特的链路层协议,其最大的特点是不需要数据必须是规定的字符集,对任何一种比特流,均可以实现透明的传输。
只要数据流中不存在同标志的字段F相同的数据就不至于引起帧边界的错误判断。
万一出现同边界标志字段F相同的数据,即数据流中出现六个连1的情况,可以用零比特填充法解决。
标准HDLC协议族中的协议都是运行于同步串行线路之上,如:
DDN
HDLC的地址字段是8个比特,在平衡方式是时总是写入应答站的地址。
控制子段8比特,用来实现HDLC协议的各种控制信息,并标志本帧的类型。
在标准HDLC协议格式中我们可以看到,他没有包含标识所承载的上层协议信息的字段,所以在链路层封装标准HDLC协议的单一链路上只能承载单一的网络层协议。
6.3.2HDLC协议配置
l在接口上封装HDLC协议
link-protocolhdlc
l设置存活时间以探寻链路及对端路由器的工作状况
timerhold
VRP支持HDLC协议封装,可与市场流行设备的HDLC协议互通。
在同步接口配置模式下进行下列配置。
*作命令
配置接口封装HDLCLink-protocolhdlc
缺省情况下,接口封装的链路层协议为PPP.
需要注意的是:
(1)只有当接口工作在同步方式下时,才能封装HDLC.
(2)
当接口封装了SLIP时,接口的物理属性不能被修改为同步模式。
此时,必须先将接口的链路层封装改为PPP后,才能将接口的属性改为同步模式。
HDLC协议中的keepalive时延,用于设定状态*询定时器的*询时间间隔。
设置keepalive时延Timerhold[seconds]
缺省情况下,keepalive时延为10秒,屈指范围为0~32767秒。
注意:
链路两端设备设置的keepalive时延值必须相同。
6.46.4PPP、MP协议原理及配置
6.4.1PPP协议简介
lPPP协议是在SLIP的基础上发展起来的。
lPPP协议是数据链路层协议,位于第二层
l物理层可以是同步电路或一部电路
PPP
(Point-to-Point)协议是在SLIP的基础上发展起来的,由于SLIP只支持异步传输方式,无协商过程,它逐渐被PPP协议所替代。
PPP
协议作为一种提供在点到点链路上的封装、传输网络层数据包的数据链路层协议,处于OSI参考模型的第二层,主要被设计用来在支持全双工的异步链路上进行点到点之间的数据传输。
PPP由于能够提供验证,易扩充,支持同异步而获得较广泛的应用。
PPP协议特点:
PPP协议是数据链路层协议;
支持点到点的连接(不同于X.25,FrameRelay等数据链路层协议);
物理层可以是同步电路或异步电路(如FrameRelay必须为同步电路);
具有各种NCP协议,如IPCP、IPXCP更好的支持了网络层协议;
具有验证协议PAP/CHAP,更好的保证了网络的安全性。
6.4.2PPP的组成部分
l
PPP协议主要由链路控制协议(LCP),网络控制协议族(NCPs)和用于网络安全方面的验证协议族(PAP和CHAP)组成
LCP主要用于建立,拆除和监控PPP数据链路,NCPs主要用于协商在数据链路上所传输的数据包的格式与类型。
同时,PPP还提供了用于网络安全方面的验证协议族(PAP和CHAP)。
链路控制协议(LCP):
建立、配置、测试PPP数据链路连接;
网络控制协议族(NCPS):
协商在该链路上所传输的数据包的格式与类型,建立、配置不同网络层协议;
PPP扩展协议族:
提供对PPP功能的进一步支持。
6.4.3PPP协议栈
PPP是一个分层结构。
在底层,它能使用同步媒体(如ISDN或同步DDN专线),也能使用异步媒介(如基于modem拨号的PSTN网络)。
在数据链路层,PPP在链路方面提供了丰富的服务,这些服务以LCP协商选项的形式提供。
在上层,PPP通过NCPs提供对多种网络层协议的支持。
PPP对于每一种网络层协议都有一种封装格式来区别他们的报文。
6.4.4PPP协商流程
PPP协商分为几个阶段:
Dead阶段、Establish阶段、Authenticate阶段、Network阶段和Terminate阶段,在不同的阶段进行不同协议的协商。
只有前面的协议协商出结果后,才能转入下一个阶段,进行下一个协议的协商。
1)
当物理层不可用时,PPP链路处于Dead阶段,链路必须从这个阶段开始和结束。
当物理层可用时,PPP在建立链路之前先进行LCP协商,协商内容包括工作方式是SP还是MP、验证方式和最大传输单元等。
2)
LCP协商过后就进入Establish阶段,此时LCP状态为Opened,表示链路已经建立。
3)
如果配置了验证(远端验证本地或本地验证远端)就进入Authenticate阶段,开始CHAP或PAP验证。
4)
如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down,如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request。
5)
NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。
通过NCP协商来选择和配置一个网络层协议。
当选中的网络层协议配置成功后,该网络层协议就可以通过这条链路发送报文了。
6)
PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(如用户的干预)。
6.4.5PAP/CHAP验证
lPAP是两次握手验证协议,口令以明文传送,被验证方首先发起验证请求
验证过程如下:
被验证方发送用户名和口令到验证方:
验证方根据用户配置信息查看是否有此用户己口令是否正确,然后返回不同的响应(Acknowledge
orNotAcknowledge)。
如正确则会给对端发送ACK报文,通告对端已被允许进入下一阶段协商;
否则发送NCK报文,通高对端验证失败。
此时,并不会直接将链路关闭。
只有当验证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传、网络干扰等造成不必要的LCP重新协商过程。
PAP的特点是在网络上以文明的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。
因此,它适用于对网络安全要求相对较低的环境。
CHAP是三次握手验证协议,不发送口令,主验证方首先发起验证请求,安全性比PAP高
CHAP验证为三次握手验证,口令为密文(密匙),CHAP验证过程:
验证方向被验证方发送一些随机产生的报文,并同时将本端的主机名附带上一起发送给被验证方;
被验证方得到对端对本端的验证请求(Challenge)时,便根据此报文中验证方的主机名和本端的用户表查找用户口令,如找到用户表中与验证方主机名相同的用户,便利用接受到的随机报文、此用户的密匙用Md5算法生成应答(Response),随后将应答和自己的主机名送回;
验证方接到此应答后,利用对端的用户名在本端的用户表中查找本方保留的口令字,用本方保留的口令字(密匙)和随机报文用Md5算法得出结果,与被验证方应答比较,根据比较结果返回相应的结果(ACK
orNAK)。
它的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。
6.4.6PPP协议配置命令
l封装PPPlink-protocolppp
l设置验证类型ppp
authentication-mode{pap|chap}
l设置用户名、口令local-userusername
password{simple|cipher}password
link-protocolppp
命令是接口配置命令,它指定一个广域网的接口封装类型为PPP。
缺省情况下,封装的链路层协议即为PPP.
ppp
authentication-mode命令是接口配置命令,它指定验证方式,可选的验证方式为PAP和CHAP。
需注意的是:
验证是单项的,配置这条命令的一方作为验证方来验证对方。
如果通讯的双方都要验证对方,则双方都应配置PPP
authentication-mode命令。
Local-user
命令是全局配置命令,他配置验证所需的用户名和口令。
命令字password后的可选参数中,simple表示以明文的方式显示后面的口令,cipher表示以加密的方式显示后面的口令。
PAP配置命令
l验证方配置
配置验证方式pppauthentication-modepap
配置用户列表local-userusername
password{simple|cipher}password
l被验证方配置
配置PAP用户名ppppaplocal-userusername
验证方配置
配置本地验证对端(方式为PAP)pppauthentication-mode
pap[call-in][scheme{default|name-list}]
将对端用户名和密码加入本地用户列表Local-userusername
被验证方配置
配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令ppppap
local-userusernamepassword{simple|cipher}
password
被验证方通过ppppaplocal-userusernamepassword
{simple|cipher}
password将用户名和密码送给验证方,验证方通过查找本地用户列表(user列表)检查被验证方送来的用户名和密码是否完成正确,根据结果通过验证或拒绝对方。
CHAP配置命令
l主验证方配置
配置本地验证对端pppauthentication-modechap
配置本地名称Pppchaphosthostname
配置本地名称Pppchapuserusername
将对端用户名和口令加入本地用户列表Local-userusername
6.4.7PPP典型配置举例
lPAP验证举例
1.配置需求
路由器Quidway1和Quidway2之间用接口Serial0互连,要求路由器Quidway1用PAP方式验证路由器Quidway2。
2.配置步骤
配置路由器Quidway1:
[Quidway]local-userquidway2passwordsimple
quidway
[Quidway-Serial0]interfaceserial0
[Quidway-Serial0]pppauthentication-modepap
配置路由器Quidway2
[Quidway]interfaceserial0
[Quidway-Serial0]ppppaploacal-userquidway2
passwordsimplequidway
lCHAP验证举例
要求路由器Quidway1用CHAP方式验证路由器Quidway2。
simplehello
[Quidway]interfaceserial0
[Quidway-Serial0]pppchapuserquidway1
[Quidway-Serial0]pppauthentication-modechap
[Quidway]local-userquidway1passwordsimple
[Quidway-Serial0]pppchapuserquidway2
6.4.8MP协议简介
MP是Multilink
PPP的简写,是人们出于增加带宽的考虑,将多个PPP链路捆绑使用产生的,简称MP,Multilink
PPP允许将报文分片,分片将从多个点对点链路上送到同一个目的地。
lMP方式下链路协商过程
首先和对端进行LCP协商,协商过程中,除了协商一般的LCP参数外,还验证对端接口是否也工作在MP方式下。
如果对端不工作在MP方式下,则在LCP协商成功后,进行一般的NCP协商步骤,不进行MP捆绑。
然后对PPP进行验证,得到对方的用户名。
如果在LCP验证中得知对端也工作在MP方式下,则根据用户名找到为该用户指定的虚拟接口模板,并以该虚拟模板的各项NCP参数(如IP地址等)为参数进行NCP协商,物理接口配置的NCP参数不起作用NCP协商通过后,即可建立MP链路,用更大的宽带传输数据。
一个PPP通道如果在LCP中协商了如下参数,则它能被绑定为MP的一个子通道:
lMRRU(MaximumReceivedReconstructed
Unit):
最大接受重组单元,与普通PPP中的MRU参数类似。
lSSNHF(ShortSequenceNumberHeader
Format):
短序列号MP报文头。
这是可选参数。
l终端描述符(Endpoint
Discriminator):
唯一标志一个网路实体(路由器、主机等)的字符串。
只有终端描述符相同的PPP通道可以绑定到同一个MP。
如PPP配置了用户验证功能,则MP子通道在验证通过后,就要把自己绑定到一个MP上。
用于绑定的标志有两个:
用户名和终端描述符。
6.4.9MP协议配置命令
在配置MP之前,需要先完成虚拟接口模板的配置,关于虚拟接口的具体配置方法,请参考虚拟接口配置部分,被帮定在虚拟接口模板下的接口首先还必须配置和对端进行双向验证(CHAP或PAP),配置步骤见PPP基本配置任务。
MP的基本配置任务
l配置封装PPP的接口工作在MP方式
在接口模式,执行以下命令
配置封装PPP的接口工作在MP方式pppmp
l建立虚拟接口模板与MP用户的联系
在全局模式下,执行以下命令
建立虚拟接口模板与MP用户的联系pppmpuseruser-name
bindvirtual-templatenumber
完成以上配置后,MP基本配置已经完成。
用户可以根据自己的需要,进行其他针对MP的可选参数配置,如配置MP最大帮定链路数。
MP的高级配置任务
l配置MP的最大绑定链路数
配置MP最大绑定链路数pppmpmax-bindbinds
Binds取值范围为1到100在实际配置基本参数时,应考虑实际的需求情况,因为绑定的链路过多会guo’duo的占用系统资源,降低系统性能。
6.4.10MP典型配置举例
1、配置需求
路由器router-a的E1口有两个B信道绑定到路由器router-b的B信道上,另外两个B信道绑定到路由器router-c上,假定路由器
router-a上的四个B信道为:
serial0、serial1、serial2、serial3,路由器router-b上的两个B信道为:
serial0、serial1,路由器router-c上的两个B信道为:
serial0、serial1。
2、配置步骤
配置路由器router-a:
!
增加两个用户router-b和router-c。
[Quidway]local-userrouter-bpasswordsimple
router-b
[Quidway]local-userrouter-cpasswordsimple
router-c
!
为这两个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。
[Quidway]pppmpuserrouter-bbind
virtual-template1
[Quidway]pppmpuserrouter-cbind
virtual-template2
配置虚拟接口模板
[Quidway]interfacevirtual-template1
[Quidway-Virtual-Template1]ipaddress
202.38.166.1255.255.255.0
[Quidway]interfacevirtual-template2
[Quidway-Virtual-Template2]ipaddress
202.38.168.1255.255.255.0
将接口serial0、serial1、serial2、serial3加入MP通道,以serial0为例,其他接口作同样配置
[Quidway]interfaceserial0
[Quidway-serial0]link-protocolppp
[Quidway-serial0]pppmp
[Quidway-serial0]pppauthentication-modepap
[Quidway-serial0]ppppaplocal-userrouter-a
passwordsimplerouter-a
配置路由器router-b:
增加一个用户router-a。
[Quidway]local-userrouter-apasswordsimple
router-a
为这个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。
配置虚拟接口模板的工作参数
202.38.166.2255.255.255.0
将接口serial0、serial1加入MP通道,以serial0为例,其他接口作同样配置
[Quidway-serial0]ppppaplocal-userrouter-b
passwordsimplerouter-b
配置路由器router-c:
202.38.168.2255.255.255.0
6.4.11PPP的监控与维护
显示PPP验证的本地用户Displayu