WAN技术华为数通HCIE.docx

1、WAN技术华为数通HCIE按照地理位置对网络的划分： 局域网：园区、企业内部网络 城域网：按照城市来划分 广域网：国内运营商网络的集合一、广域网接口： 路由器广域网接口演进： 路由器物理接口带宽演进： 路由器POS/Ethernet接口演进趋势： Ethernet接口：以太网接口 以太网由Xerox公司PARC研究中心于1973年5月22日首次提出 以太网类型： 10M以太网（标准以太网） 100M以太网（快速以太网）： 10M/100M以太网物理层按照速率等级和传输介质来划分常见的类型： 10BASE-T: 采用电话双绞线 100BASE-T: 所有的100Mb/s介质的统称 100BASE

2、-X: 100BASE-TX和100BASE-FX的统称 100BASE-TX: 采用两对屏蔽双绞线或高质量的5类非屏蔽双绞线 100BASE-FX: 采用两根光纤，一根用于发送，一根用于接收 1000M以太网（千兆以太网）： 1000BASE-T: IEEE802.3ab，5类非屏蔽双绞线 1000BASE-X: IEEE802.3z，多模光纤、单模光纤和150欧平衡屏蔽式双绞线 1000BASE-CX: 由于最大长度25米，现在应用已经很少 1000BASE-SX: 短波850nm，激光范围（770860nm）只用于多模光纤 1000BASE-LX: 长波1310nm，激光范围（12701

3、355nm）主要用于单模光纤，但也可以用于多模光纤 10G以太网（万兆以太网）： 标准：IEEE802.3ae 10Gbs/s 以太网有两类： 串行的10GBase-S/L/E-R/W ： 10GBase-S：短距；850nm；多模 10GBase-L：长距；1310nm；单模 10GBase-E：超长距；1550nm；单模W = WAN PHY广域网物理层, 9.95328Gb/s 码率, 采用SONET STS-192cVC-4-64C封装，可以使用DWDM或SDH/SONET光传输网作传送，使10G以太网无缝接入SDHR = LAN PHY局域网物理层, 10.3125Gb/s码率 4路

4、并行WDM (波分复用)的10GBase-LX4： 10GBase-LX4：1310nm；多模 10GBase-LX4：1310nm；单模 100G以太网（100G以太网）： 100G以太网（100GE）标准从开始讨论制订到正式获批发布，经历了长达4年之久：2010年6月，IEEE正式对外宣布IEEE 802.3ba标准在当前正式发布的802.3ba标准中，对于100Gbps MAC速率，提供了如下物理层规范： 40km单模光纤（SMF）: 对应的PHY为100GBASE-ER4，由4个WDM（1310nm, 800GHz波长间隔）通道组成 10km单模光纤: 对应的PHY为100GBASE-

5、LR4，由4个WDM（1310nm,800GHz波长间隔）通道组成 100m OM3多模光纤: 对应的PHY为100GBASE-SR10，由10条独立的多模光纤通道（850nm）组成 7m铜线: 对应的PHY为100GBASE-CR10，由10条独立的铜缆通道组成 POS接口：Packet Over SONET/SDH：在SONET/SDH上承载IP包或其他数据包的传输技术 POS将长度可变的数据包直接映射进SONET同步载荷中，使用SONET物理层传输标准， 提供了一种高速、可靠、点到点的数据连接。采用光纤进行传输 POS常用接口速率： OC-3/STM-1: 155.52Mbps OC-1

6、2/STM-4: 622.08Mbps OC48/STM-16: 2488.32Mbps OC192/STM-64: 9953.28Mbps OC768/STM-256:39813.12Mbps SONET（Synchronous Optical Network）同步光网络，OC-n/STM-n序列 SDH（Synchronous Digital Hierarchy）同步数字系列，是CCITT定义的，它使用了SONET速率的一个子集，STM-n序列 OC-n: Optical Carrier level n（光载体等级）是光纤传输的一种单位，最小的单位为OC-1，其传输数据量约为51.84 M

7、bps STM: Synchronous Transport Module，同步传输模块 Ethernet接口与POS接口比较： 速率上：两者都可以达到10G、40G。在100G Ethernet标准发布后，速率上Ethernet接口更胜一筹 POS端口里采用PPP或HDLC的二层封装来承载IP，二层报头开销最长9个字节，也可能是7个字节。而10G LAN和WAN都是以太封装，二层报头开销是18个字节。由此看出，POS接口对IP报文的传输效率更高 成本上：Ethernet接口/Ethernet单板价格更低。例如10GE Ethernet，近似10G POS价格的一半 接口LAN/WAN模式：

8、10G XFP多模光收发模块可以工作在LAN或WAN两种模式，需要根据实际的应用来选择合适的模式 10G LAN/WAN的区别在于封装不同。10G LAN是纯Ethernet封装，10G WAN接口链路层采用Ethernet封装，但是在物理层把封装好的数据直接映射到SDH的序列中 无论是LAN或是WAN模式，都可以用来作为WAN口实现广域网长距离传输。在广域网的两端，两台路由设备接口模式必须相同 在路由器之间存在传输设备的情况下，需要注意与传输设备的配合。一般来说，当传输设备是10G POS时，路由器可以用10G POS、10GE WAN来配合；当传输设备是10G以太时，路由器只能用10GE

9、LAN来配合。需要注意的是，对于当前较新的传输设备而言，无论路由器侧是10GE LAN/WAN还是10G POS都可以支持，只需要更换单板模块和软件配置即可二、PPP原理与配置：PPP基本概念： 三大组件： 数据封装方式：定义封装多协议数据包的方法 链路控制协议（LCP）：定义建立、协商和测试数据链路层连接的方法；LCP可以自动检测链路环境，如是否存在环路；协商链路参数，如最大数据包长度，使用何种认证协议等等。与其他数据链路层协议相比，PPP协议的一个重要特点是可以提供认证功能，链路两端可以协商使用何种认证协议并实施认证过程，只有认证成功才会建立连接。这个特点使PPP协议适合运营商用来接入分散

10、的用户 网络层控制协议（NCP）：包含一组协议，用于对不同的网络层协议进行连接建立和参数协商，每一个协议对应一种网络层协议，用于协商网络层地址等参数，例如IPCP用于协商控制IP，IPXCP用于协商控制IPX协议等 报文结构： PPP报文： Flag字段：起始符和终止符，用来开始接收和终止接收PPP数据帧；字节为0x7E Address字段：可以唯一标识对端。PPP协议是被运用在点对点的链路上，因此，使用PPP协议互连的两个通信设备无须知道对方的数据链路层地址。按照协议的规定将该字节填充为全1的广播地址，对于PPP协议来说，该字段无实际意义 Control字段：标识PPP数据帧为无序帧，说明无

11、重传、确认机制；PPP默认没有采用序列号和确认来实现可靠传输；该字段默认值为0x03 Address和Control域一起标识此报文为PPP报文，即PPP报文头为FF03 Protocol字段：用来区分PPP数据帧中信息域所承载的数据报协议类型（承载IP协议）；LCP/NCP/IP/MPLS LCP报文： Code字段：代码域的长度为一个字节，主要是用来标识LCP数据报文的类型，ACK/NAK/Request/Reject Identifier （id）：标识域，用来标识一组会话，发送请求消息或认证消息；id字段必须和对面响应信息的字段保存一致（请求和响应报文的id必须一致，不一致时为非法，该

12、报文将被丢弃）标识域为1个字节 通常一个配置请求报文的ID是从0x01开始逐步加1的。当对端接收到该配置请求报文后，无论使用何种报文回应对方，但必须要求回应报文中的ID要与接收报文中的ID一致 Length字段：该LCP报文的总字节数据。是代码域、标志域、长度域和数据域四个域长度的总和。长度域所指示字节数之外的字节将被当作填充字节而忽略掉，而且该域的内容不能超过MRU的值 Data字段：Type为协商选项类型 Length为协商选项长度，它是指Data域的总长度，也就是包含Type、Length和Data Data为协商的选项具体内容 建链过程： 链路不可用阶段（Dead）：是PPP工作开始和

13、结束的阶段 链路检测对端硬件设备可用（检测链路上的载波信号） 物理层向PPP的LCP协议发出UP事件 当物理层变为可用状态（UP）之后，PPP进入Establish阶段 LCP协商阶段（Establish）：PPP在此阶段使用LCP协商链路层参数；（在链路不可用LCP的状态机是初始化状态，当LCP收到UP事件由初始化状态变为request-sent状态，开始发送configuration-request，只有收到对端的确认消息，进入opened） 如果链路层参数协商不成功（FAIL），则PPP连接建立不成功，PPP退回到Dead阶段 如果链路层参数协商成功（OPENED），则PPP进入Auth

14、enticate阶段 PPP认证阶段（Authenticate）：PPP在此阶段认证对端（可选）；LCP阶段协商完成认证协议，认证才会发生，默认LCP不协商认证协议 如果认证失败（FAIL），则PPP进入Terminate阶段 如果认证成功（SUCCESS）或者没配置认证（NONE），则PPP进入Network阶段 NCP协商阶段（Network）：PPP在此阶段使用NCP进行网络层参数协商；LCP协商完后，NCP可以在任何时间开始协商；（NCP协商针对的是PPP链路上需要传输的上层协议去进行协商） 协商成功则PPP连接建立成功，开始传输网络层数据包 协商失败则一直停留在此阶段 当上层协议认为

15、应当关闭此连接（例如按需电路）或者管理员手工关闭PPP连接（CLOSING），则PPP进入Terminate 链路终结阶段（Terminate）：PPP在此阶段使用LCP关闭PPP连接。PPP连接关闭（Down）后，PPP进入Dead阶段 认证失败、管理员手工关闭端口，PPP会发送Terminate消息去关闭链路（同时DOWN掉PPP协议和物理层链路） 注意：此处列出的是PPP的工作阶段，并非PPP的协议状态。由于PPP是由一组协议组成的，因此PPP本身没有协议状态。只有特定的的协议如LCP和NCP等才有协议状态和状态转换（协议状态机） PPP链路维护的工作由LCP协议的echo-reques

16、t和echo-reply消息LCP协议： 作用： 1.协商PPP链路参数 2.检测PPP链路的正常运行 3.关闭PPP链路 报文类型： Configure-Request：包含发送者试图使用的、没有使用默认值的参数列表 Configure-Ack：表示完全接受对端发送的Configure-Request的参数取值 Configure-Nak：表示对端发送的Configure-Request中的参数取值在本地不合法 Configure-Reject：表示对端发送的Configure-Request中的参数本地不能识别链路配置包，用于建立和配置链路：Configure-Request（匹配请求）、

17、Configure-Ack（匹配确认）、Configure-Nak（匹配否认）、Configure-Reject（匹配拒绝）链路结束包，用于结束一个链路：Terminate-Request（终止请求）、Terminate-Ack（终止确认）链路维修包，用于管理和调试一个链路：Code-Reject（代码拒绝）、Protocol-Reject（协议拒绝）、Echo-Request（回波请求）、Echo-Reply（回波应答）、Discard-Request（抛弃请求） 用于协商的参数：参数名称功能描述协商规则默认值最大接收单元MRUPPP数据帧中Information字段的总长度使用两端设置的较

18、小的值1500认证协议认证对端使用的认证协议，常用的PPP认证协议有PAP和CHAP一条PPP链路的两端可以使用不同的认证协议认证对端，但被认证方必须支持认证方使用的认证协议并正确配置用户名和密码等认证信息，否则协商不成功，对端不接受，回应reject消息不认证魔术字Magic-Number用于检测链路环路，收到的LCP报文（Configure-Request报文）中的魔术字和本地产生的魔术字比较魔术字为一个随机产生的数字，随机机制需要保证两端产生相同魔术字的可能性几乎为0 如果不同，为链路无环路，则使用Confugure-Ack报文确认（其他参数也协商成功），表示魔术字协商成功。在后续发送的

19、报文中，如果报文含有魔术字字段，则该字段设置为协商成功的魔术字，LCP不再产生新的魔术字如果相同，则认为链路有环路，发送一个Configure-Nak报文，携带一个新的魔术字。然后，不管新收到的Configure-Nak报文中是否携带相同的魔术字，LCP都发送一个新的Configure-Request报文，携带一个新的魔术字。如果链路有环路，则这个过程会不停的持续下去，如果链路没有环路，则报文交互会很快恢复正常启用MP/SP多链路捆绑/单链路协商不通过，发送NAK消息，最终双方使用SP方式 压缩格式：对PPP头部去压缩 链路协商：最少4个报文 链路协商成功： R1向R2发送Configure-

20、Request报文，此报文包含在发送者（R1）上配置的链路层参数，每个链路层参数使用“类型，长度，取值”的结构表示 R2收到此Configure-Request报文后，若能识别此报文中的所有链路层参数，并对每个参数的取值可以接受，回应一个Configure-Ack报文 在没有收到Configure-Ack报文时，每隔3秒重传一次Configure-Request报文，若连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文，则认为对端不可用，停止发送Configure-Request报文 R2向R1发送Configure-Request报文，此报文包含在

21、发送者（R2）上配置的链路层参数，每个链路层参数使用“类型，长度，取值”的结构表示 R1收到此Configure-Request报文后，若能识别此报文中的所有链路层参数，并对每个参数的取值可以接受，回应一个Configure-Ack报文链路协商参数不成功： 当R2收到R1发送的Configure-Request报文之后，如果R2能识别此报文中携带的所有链路层参数，但是认为部分或全部参数的取值不能接受，即参数的取值协商不成功，则R2需要向R1回应一个Configure-Nak报文 在这个Configure-Nak报文中，只包含不能接受的那部分链路层参数列表，每一个包含在此报文中链路层参数的取值均

22、被修改为此报文的发送者（R2）上可以接受的取值（或取值范围） 在收到Configure-Nak报文之后，R1需要根据此报文中的链路层参数重新选择本地使用的相关参数，并重新发送一个Configure-Request 连续五次协商仍然不成功的参数将被禁用，不再继续协商链路协商参数不能识别： 当R2收到R1发送的Configure-Request报文后，若R2不能识别此报文中携带的部分或全部链路层参数，则R2要向R1回应一个Configure-Reject报文 在此Configure-Reject报文中，只包含不被识别的那部分链路层参数列表 在收到Configure-Reject报文后，R1需要向R

23、2重新发送一个Configure-Request报文，在新的Configure-Request报文中，不再包含不被对端（R2）识别的参数 检测链路状态： LCP建立连接后，可以使用Echo-Request报文和Echo-Reply报文检测链路状态，收到一个Echo-Request报文之后应当回应一个Echo-Reply报文，表示链路状态正常（用于维护链路的连通性） VRP平台默认每隔10秒发送一次Echo-Request报文连接关闭： 认证不成功或者管理员手工关闭等原因可以使LCP关闭已经建立的连接 LCP关闭连接使用Terminate-Request报文和Terminate-Ack报文，Te

24、rminate-Request报文用于请求对端关闭连接，一旦收到一个Terminate-Request报文，LCP必须回应一个Terminate-Ack报文确认连接关闭 在没有收到Terminate-Ack报文的情况下，每隔3秒重传一次Terminate-Request报文，连续两次重传没有收到Terminate-Ack报文，则认为对端不可用，连接关闭 PAP认证协议： 特点： 明文传输用户名和密码 工作过程简单，对设备压力较小 报文类型：PAP报文直接封装在PPP报文中报文类型功能描述Authenticate-Request用于被验证方发送用户名和密码，Data字段包含明文用户名和密码信息A

25、uthenticate-Ack用于验证方发送验证成功信息，Data字段可以包含文本提示信息Authenticate-Nak用于验证方发送验证失败信息，Data字段可以包含文本提示信息 工作原理： 被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方，本例中，用户名为“huawei”，密码为“hello” 认证方收到被认证方发送的用户名和密码信息之后，根据本地配置的用户名和密码数据库检查用户名和密码信息是否正确匹配，如果正确，则返回Authenticate-Ack报文，表示认证成功，如果不能正确匹配，则返回Authenticate-Nak报文，表

26、示认证失败CHAP认证协议： 报文类型：报文类型功能描述Challenge用于验证方向被验证方发送Challenge，发起验证过程，Data字段包含ChallengeResponse用于被验证方向验证方返回用户信息，Data字段含有返回的用户名以及加密运算之后的密码信息Success用于验证方向被验证方发送认证成功信息，Data字段可以包含文本提示信息Failure用于验证方向被验证方发送认证失败信息，Data字段可以包含文本提示信息 使用Challenge对密码做加密运算的算法为MD5 Identifier密码Challenge ，意思是将Identifier、密码和Challenge三部分

27、连成一个字符串整体，然后对此字符串做MD5运算，得到一个16字节长的摘要信息，在Response报文中Data字段包含的加密运算之后的密码信息就是此摘要信息 特点：用户的密码不会出现在网络中 工作原理：CHAP的认证过程需要三次报文的交互。为了匹配请求报文和回应报文，报文中含有Identifier字段，一次认证过程所使用的报文均使用相同的Identifier信息。CHAP单向验证过程分为两种情况：1.认证方没有配置用户名，被认证方接口下一定要配置用户名、密码（即接口没有配置命令ppp chap user username） a.认证方主动发起认证请求，向被认证方发送一些随机产生的报文（Chal

28、lenge） b.被认证方接到认证方的认证请求后，利用Identifier、ppp chap password命令配置的CHAP密码和随机数进行MD5算法，将生成的密文和自己的用户名发回认证方（Response） c.认证方将自己本身保存的密码、Identifier和随机数进行MD5算法，和收到respone中的密文进行比较，以验证认证是否正确，结果一致，认证通过；结果不一致，认证失败2.认证方配置了用户名，被认证方必须配置用户名，密码可配可不配（可以对认证方的用户名进行确认）（即接口配置命令ppp chap user username） a.认证方主动发起认证请求发给被认证方：challen

29、ge id + 随机数+本端用户名 b.被认证方收到后，首先检查自己接口是否配置密码： 若没有配置，使用challenge的用户名在本端用户表寻找对应密码，将密文（Identifier密码随机数）的MD5）和被认证方自己的用户名发回认证方（Response） 若有配置，直接加密，将生成的密文（Identifier密码随机数）的MD5）和自己的用户名发回认证方（Response） c.被认证方向认证方回应Response消息，id（要和challenge）一样+用户名+（id+随机数、密码、进入MD5运算后产生的密文） d.认证方收到Response消息后，首先根据response消息中的id找

30、到随机数，然后根据Response中的用户名找到对应密码，把id+找到的随机数+密码（自己本身保存的密码、Identifier和随机数进行MD5算法），加密运算，将得到的结果和收到的Response中的密文比较，结果一致，认证通过；结果不一致，认证失败在挑战握手认证中id的作用：1.标识一组认证会话的2.认证方根据收到的Response消息中的id找到对应随机数 （Challenge中：id、随机数、用户名；Response消息中携带：id、密文、用户名）NCP协议：作用：确定链路两端能传输的上层协议类型 NCP能够协商的上层协议类型：IPv4的IPCP、IPv6的IPCP、MPLSCP 以太

31、网链路上，在接口下配置了IP地址就会生成直连路由，同一条以太网链路上，接口地址必须处于同一个网段 数据转发，不同网段要查看IP路由表；NCP的重要任务-形成直连路由 PPP接口下形成的路由信息： 1.自身接口32位的主机路由 2.对端接口32位的主机路由 3.自身接口子网广播路由 4.自身接口网段的直连路由 PPP链路环路： 产生原因：双方IP地址在同一个网段（若在以太网链路上不会产生环路：消息是发不出去的：因为有ARP，若没有该IP路由，广播请求直接丢弃） ping一个同网段的IP： 现象：数据包在网络中产生环路，直到TTL值为0 根本原因：PPP链路不需要ARP机制来获取目的IP的MAC地址 IPCP静态协商IP地址：IPCP，用于协商控制IP参数，使PPP可用于传输IP数据包 IPCP使用和LCP相同的协商机制、报文类型，但IP