廣域網協議概述、HDLC協議原理及配置、PPP、MP協議原理、配置及維護
X. 25協議原理、配置及維護、幀中繼協議原理及維護
l廣域網簡稱WAN (wide area network),是在一個廣泛範圍內建立的計算機通信網
l廣域網是一種跨地區的數據通訊網絡,使用電信運營商提供的設備作為信息傳輸平台
l廣域網主要用來將距離較遠的局域網彼此連接起來
對於OSI參考模型,廣域網技術主要位於底層的3個層次,分別是物理層、數據鏈路層和網絡層。
OSI參考模型WAN技術
Network Layer(網絡層) X.25
Data link layer(數據鏈路層) LAPB、Frame Relay、HDLC、PPP、SDLC
Physical Layer (物理層) x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530
廣域網連接方式:
一、點到點連接:主要形式有撥號電話線路、ISDN撥號線路、DDN專線、E1線路等。鏈路層上的封裝協議有兩種:PPP和HDLC、PPP協議是華為路由器上的確省封裝。
二、分組交換方式:多個網絡設備在傳輸數據時共享一個點到點的連接,也就是說這條連接不是被某個設備獨占,而是由多個設備共享使用。網絡在進行數據傳輸時使用“虛電路VC”來提供端到端的連接。通常這種連接要經過分作交換網絡,而這種網絡一般都由電信運營商來提供。常見的廣域網分組形式有X.25、幀中繼(Frame Relay)、ATM等。
分組交換設備將用戶信息封裝在分組或數據幀中進行傳輸,在分組頭或幀頭中包含用於路由選擇、差錯控制和流量控制的信息。
6.3HDLC協議原理及配置
6.3.1 HDLC協議原理
標誌地址控制信息幀校驗標誌
l面向比特
l透明傳輸—–零比特填充法
l運行於同步串行線路
高級數據鏈路控制HDLC是一種面向比特的鏈路層協議,其最大的特點是不需要數據必須是規定的字符集,對任何一種比特流,均可以實現透明的傳輸。只要數據流中不存在同標誌的字段F相同的數據就不至於引起幀邊界的錯誤判斷。萬一出現同邊界標誌字段F相同的數據,即數據流中出現六個連1的情況,可以用零比特填充法解決。
標準HDLC協議族中的協議都是運行於同步串行線路之上,如:DDN
HDLC的地址字段是8個比特,在平衡方式是時總是寫入應答站的地址。
控制子段8比特,用來實現HDLC協議的各種控制信息,並標誌本幀的類型。
在標準HDLC協議格式中我們可以看到,他沒有包含標識所承載的上層協議信息的字段,所以在鏈路層封裝標準HDLC協議的單一鏈路上只能承載單一的網絡層協議。
6.3 6.3.2 HDLC協議配置
l在接口上封裝HDLC協議
link-protocol hdlc
l設置存活時間以探尋鏈路及對端路由器的工作狀況
timer hold
VRP支持HDLC協議封裝,可與市場流行設備的HDLC協議互通。
在同步接口配置模式下進行下列配置。
*作命令
配置接口封裝HDLC Link-protocol hdlc
缺省情況下,接口封裝的鏈路層協議為PPP.
需要注意的是:
(1)只有當接口工作在同步方式下時,才能封裝HDLC.
(2)當接口封裝了SLIP時,接口的物理屬性不能被修改為同步模式。此時,必須先將接口的鏈路層封裝改為PPP後,才能將接口的屬性改為同步模式。
HDLC協議中的keepalive時延,用於設定狀態*詢定時器的*詢時間間隔。
在同步接口配置模式下進行下列配置。
*作命令
設置keepalive時延Timer hold [seconds]
缺省情況下,keepalive時延為10秒,屈指範圍為0~32767秒。
注意:鏈路兩端設備設置的keepalive時延值必須相同。
6.4 6.4 PPP、MP協議原理及配置
6.4.1 PPP協議簡介
l PPP協議是在SLIP的基礎上發展起來的。
l PPP協議是數據鏈路層協議,位於第二層
l物理層可以是同步電路或一部電路
PPP (Point-to-Point)協議是在SLIP的基礎上發展起來的,由於SLIP只支持異步傳輸方式,無協商過程,它逐漸被PPP協議所替代。 PPP協議作為一種提供在點到點鏈路上的封裝、傳輸網絡層數據包的數據鏈路層協議,處於OSI參考模型的第二層,主要被設計用來在支持全雙工的異步鏈路上進行點到點之間的數據傳輸。
PPP由於能夠提供驗證,易擴充,支持同異步而獲得較廣泛的應用。
PPP協議特點:
PPP協議是數據鏈路層協議;
支持點到點的連接(不同於X.25,Frame Relay等數據鏈路層協議);
物理層可以是同步電路或異步電路(如Frame Relay必須為同步電路);
具有各種NCP協議,如IPCP、IPXCP更好的支持了網絡層協議;
具有驗證協議PAP/CHAP,更好的保證了網絡的安全性。
6.4.2 PPP的組成部分
l PPP協議主要由鏈路控制協議(LCP),網絡控制協議族(NCPs)和用於網絡安全方面的驗證協議族(PAP和CHAP)組成
LCP主要用於建立,拆除和監控PPP數據鏈路,NCPs主要用於協商在數據鏈路上所傳輸的數據包的格式與類型。同時,PPP還提供了用於網絡安全方面的驗證協議族(PAP和CHAP)。
鏈路控制協議(LCP):建立、配置、測試PPP數據鏈路連接;
網絡控制協議族(NCPS):協商在該鏈路上所傳輸的數據包的格式與類型,建立、配置不同網絡層協議;
PPP擴展協議族:提供對PPP功能的進一步支持。
6.4.3 PPP協議棧
PPP是一個分層結構。在底層,它能使用同步媒體(如ISDN或同步DDN專線),也能使用異步媒介(如基於modem撥號的PSTN網絡)。
在數據鏈路層,PPP在鏈路方面提供了豐富的服務,這些服務以LCP協商選項的形式提供。
在上層,PPP通過NCPs提供對多種網絡層協議的支持。 PPP對於每一種網絡層協議都有一種封裝格式來區別他們的報文。
6.4.4 PPP協商流程
PPP協商分為幾個階段:Dead階段、Establish階段、Authenticate階段、Network階段和Terminate階段,在不同的階段進行不同協議的協商。只有前面的協議協商出結果後,才能轉入下一個階段,進行下一個協議的協商。
1)當物理層不可用時,PPP鏈路處於Dead階段,鏈路必須從這個階段開始和結束。當物理層可用時,PPP在建立鏈路之前先進行LCP協商,協商內容包括工作方式是SP還是MP、驗證方式和最大傳輸單元等。
2) LCP協商過後就進入Establish階段,此時LCP狀態為Opened,表示鏈路已經建立。
3)如果配置了驗證(遠端驗證本地或本地驗證遠端)就進入Authenticate階段,開始CHAP或PAP驗證。
4)如果驗證失敗進入Terminate階段,拆除鏈路,LCP狀態轉為Down,如果驗證成功就進入Network協商階段(NCP),此時LCP狀態仍為Opened,而IPCP狀態從Initial轉到Request。
5) NCP協商支持IPCP協商,IPCP協商主要包括雙方的IP地址。通過NCP協商來選擇和配置一個網絡層協議。當選中的網絡層協議配置成功後,該網絡層協議就可以通過這條鏈路發送報文了。
6) PPP鏈路將一直保持通信,直至有明確的LCP或NCP幀關閉這條鏈路,或發生了某些外部事件(如用戶的干預)。
6.4.5 PAP/CHAP驗證
l PAP是兩次握手驗證協議,口令以明文傳送,被驗證方首先發起驗證請求
驗證過程如下:
被驗證方發送用戶名和口令到驗證方:
驗證方根據用戶配置信息查看是否有此用戶己口令是否正確,然後返回不同的響應(Acknowledge or Not Acknowledge)。
如正確則會給對端發送ACK報文,通告對端已被允許進入下一階段協商;否則發送NCK報文,通高對端驗證失敗。此時,並不會直接將鏈路關閉。只有當驗證不通過次數達到一定值(缺省為4)時,才會關閉鏈路,來防止因誤傳、網絡干擾等造成不必要的LCP重新協商過程。
PAP的特點是在網絡上以文明的方式傳遞用戶名及口令,如在傳輸過程中被截獲,便有可能對網絡安全造成極大的威脅。因此,它適用於對網絡安全要求相對較低的環境。
l CHAP是三次握手驗證協議,不發送口令,主驗證方首先發起驗證請求,安全性比PAP高
CHAP驗證為三次握手驗證,口令為密文(密匙),CHAP驗證過程:
l驗證方向被驗證方發送一些隨機產生的報文,並同時將本端的主機名附帶上一起發送給被驗證方;
l被驗證方得到對端對本端的驗證請求(Challenge)時,便根據此報文中驗證方的主機名和本端的用戶表查找用戶口令,如找到用戶表中與驗證方主機名相同的用戶,便利用接受到的隨機報文、此用戶的密匙用Md5算法生成應答(Response),隨後將應答和自己的主機名送回;
l驗證方接到此應答後,利用對端的用戶名在本端的用戶表中查找本方保留的口令字,用本方保留的口令字(密匙)和隨機報文用Md5算法得出結果,與被驗證方應答比較,根據比較結果返回相應的結果(ACK or NAK)。
它的特點是只在網絡上傳輸用戶名,而並不傳輸用戶口令,因此它的安全性要比PAP高。
6.4.6 PPP協議配置命令
l封裝PPP link-protocol ppp
l設置驗證類型ppp authentication-mode{pap|chap}
l設置用戶名、口令local-user username password {simple|cipher} password
link-protocol ppp命令是接口配置命令,它指定一個廣域網的接口封裝類型為PPP。缺省情況下,封裝的鏈路層協議即為PPP.
ppp authentication-mode命令是接口配置命令,它指定驗證方式,可選的驗證方式為PAP和CHAP。需注意的是:驗證是單項的,配置這條命令的一方作為驗證方來驗證對方。如果通訊的雙方都要驗證對方,則雙方都應配置PPP authentication-mode命令。
Local-user命令是全局配置命令,他配置驗證所需的用戶名和口令。命令字password後的可選參數中,simple表示以明文的方式顯示後面的口令,cipher表示以加密的方式顯示後面的口令。
PAP配置命令
l驗證方配置
配置驗證方式ppp authentication-mode pap
配置用戶列表local-user username password{simple|cipher} password
l被驗證方配置
配置PAP用戶名ppp pap local-user username password {simple|cipher} password
驗證方配置
*作命令
配置本地驗證對端(方式為PAP) ppp authentication-mode pap [call-in] [scheme {default|name-list}]
將對端用戶名和密碼加入本地用戶列表Local-user username password {simple|cipher} password
被驗證方配置
*作命令
配置本地被對端以PAP方式驗證時本地發送的PAP用戶名和口令ppp pap local-user username password {simple|cipher} password
被驗證方通過ppp pap local-user username password {simple|cipher} password將用戶名和密碼送給驗證方,驗證方通過查找本地用戶列表(user列表)檢查被驗證方送來的用戶名和密碼是否完成正確,根據結果通過驗證或拒絕對方。
CHAP配置命令
l主驗證方配置
*作命令
配置本地驗證對端ppp authentication-mode chap
配置本地名稱Ppp chap host hostname
將對端用戶名和密碼加入本地用戶列表Local-user username password {simple|cipher} password
l被驗證方配置
*作命令
配置本地名稱Ppp chap user username
將對端用戶名和口令加入本地用戶列表Local-user username password {simple|cipher} password
6.4.7 PPP典型配置舉例
l PAP驗證舉例
1.配置需求
路由器Quidway1和Quidway2之間用接口Serial0互連,要求路由器Quidway1用PAP方式驗證路由器Quidway2。
2.配置步驟
配置路由器Quidway1:
[Quidway]local-user quidway2 password simple quidway
[Quidway-Serial0]interface serial 0
[Quidway-Serial0]ppp authentication-mode pap
配置路由器Quidway2
[Quidway] interface serial 0
[Quidway-Serial0]ppp pap loacal-user quidway2 password simple quidway
l CHAP驗證舉例
1.配置需求
要求路由器Quidway1用CHAP方式驗證路由器Quidway2。
2.配置步驟
配置路由器Quidway1:
[Quidway]local-user quidway2 password simple simple hello
[Quidway]interface serial 0
[Quidway-Serial0]ppp chap user quidway1
[Quidway-Serial0]ppp authentication-mode chap
配置路由器Quidway2
[Quidway]local-user quidway1 password simple simple hello
[Quidway] interface serial 0
[Quidway-Serial0]ppp chap user quidway2
6.4.8 MP協議簡介
MP是Multilink PPP的簡寫,是人們出於增加帶寬的考慮,將多個PPP鏈路捆綁使用產生的,簡稱MP,Multilink PPP允許將報文分片,分片將從多個點對點鏈路上送到同一個目的地。
l MP方式下鏈路協商過程
1)首先和對端進行LCP協商,協商過程中,除了協商一般的LCP參數外,還驗證對端接口是否也工作在MP方式下。如果對端不工作在MP方式下,則在LCP協商成功後,進行一般的NCP協商步驟,不進行MP捆綁。
2)然後對PPP進行驗證,得到對方的用戶名。如果在LCP驗證中得知對端也工作在MP方式下,則根據用戶名找到為該用戶指定的虛擬接口模板,並以該虛擬模板的各項NCP參數(如IP地址等)為參數進行NCP協商,物理接口配置的NCP參數不起作用NCP協商通過後,即可建立MP鏈路,用更大的寬帶傳輸數據。
一個PPP通道如果在LCP中協商瞭如下參數,則它能被綁定為MP的一個子通道:
l MRRU(Maximum Received Reconstructed Unit):最大接受重組單元,與普通PPP中的MRU參數類似。
l SSNHF(Short Sequence Number Header Format):短序列號MP報文頭。這是可選參數。
l終端描述符(Endpoint Discriminator):唯一標誌一個網路實體(路由器、主機等)的字符串。只有終端描述符相同的PPP通道可以綁定到同一個MP。如PPP配置了用戶驗證功能,則MP子通道在驗證通過後,就要把自己綁定到一個MP上。用於綁定的標誌有兩個:用戶名和終端描述符。
6.4.9 MP協議配置命令
在配置MP之前,需要先完成虛擬接口模板的配置,關於虛擬接口的具體配置方法,請參考虛擬接口配置部分,被幫定在虛擬接口模板下的接口首先還必須配置和對端進行雙向驗證( CHAP或PAP),配置步驟見PPP基本配置任務。
MP的基本配置任務
l配置封裝PPP的接口工作在MP方式
在接口模式,執行以下命令
*作命令
配置封裝PPP的接口工作在MP方式ppp mp
l建立虛擬接口模板與MP用戶的聯繫
在全局模式下,執行以下命令
*作命令
建立虛擬接口模板與MP用戶的聯繫ppp mp user user-name bind virtual-template number
完成以上配置後,MP基本配置已經完成。用戶可以根據自己的需要,進行其他針對MP的可選參數配置,如配置MP最大幫定鏈路數。 MP的高級配置任務
l配置MP的最大綁定鏈路數
在全局模式下,執行以下命令
*作命令
配置MP最大綁定鏈路數ppp mp max-bind binds
Binds取值範圍為1到100在實際配置基本參數時,應考慮實際的需求情況,因為綁定的鏈路過多會guo’duo的佔用系統資源,降低系統性能。
6.4.10 MP典型配置舉例
1、配置需求
路由器router-a的E1口有兩個B信道綁定到路由器router-b的B信道上,另外兩個B信道綁定到路由器router-c上,假定路由器router- a上的四個B信道為:serial0、serial1、serial2、serial3,路由器router-b上的兩個B信道為: serial0、serial1,路由器router-c上的兩個B信道為:serial0 、serial1。
2、配置步驟
配置路由器router-a:
!增加兩個用戶router-b和router-c。
[Quidway]local-user router-b password simple router-b
[Quidway]local-user router-c password simple router-c
!為這兩個用戶指定虛擬接口模板,將使用該模板的NCP信息進行PPP協商。
[Quidway]ppp mp user router-b bind virtual-template 1
[Quidway]ppp mp user router-c bind virtual-template 2
!配置虛擬接口模板
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.166.1 255.255.255.0
[Quidway]interface virtual-template 2
[Quidway-Virtual-Template2]ip address 202.38.168.1 255.255.255.0
!將接口serial0、serial1、serial2、serial3加入MP通道,以serial0為例,其他接口作同樣配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-a password simple router-a
配置路由器router-b:
!增加一個用戶router-a。
[Quidway]local-user router-a password simple router-a
!為這個用戶指定虛擬接口模板,將使用該模板的NCP信息進行PPP協商。
[Quidway]ppp mp user router-b bind virtual-template 1
!配置虛擬接口模板的工作參數
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.166.2 255.255.255.0
!將接口serial0、serial1加入MP通道,以serial0為例,其他接口作同樣配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-b password simple router-b
配置路由器router-c:
!增加一個用戶router-a。
[Quidway]local-user router-a password simple router-a
!為這個用戶指定虛擬接口模板,將使用該模板的NCP信息進行PPP協商。
[Quidway]ppp mp user router-b bind virtual-template 1
!配置虛擬接口模板的工作參數
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.168.2 255.255.255.0
!將接口serial0、serial1加入MP通道,以serial0為例,其他接口作同樣配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-b password simple router-b
6.4.11 PPP的監控與維護
*作命令
顯示PPP驗證的本地用戶Display user
顯示接口的ppp配置和運行狀態Display interface interface-name
其中命令display interface serial 0用來顯示接口的PPP配置和運行狀態,例如:
[Quidway]display interface serial 0
………………
6.4.12 PPP故障的診斷與排除
1.故障一:鏈路始終不能為UP狀態。
故障排除:可能是由於PPP驗證參數配置不正確,導致PPP驗證失敗。
打開PPP的調試開關,會看到LCP協商成功並轉為UP狀態後進行PAP或CHAP協商,然後LCP轉為Down狀態。
2.故障二:物理鏈路不能轉為UP狀態。
故障排除:可以執行display interface serial number命令來查看接口當前狀態。
接口有五種狀態:
serial number is administratively down,line protocol is down
表示該接口被shutdown
serial number is down , line protocol is down
表示該接口沒有被激活或物理層沒有轉為UP狀態。
Serial number is up,line protocol is up(spoofing)
表示該接口是撥號口,沒有呼通。
Serial number is up,line protocol is up
表示該接口已可以進行數據傳輸。
Serial number is up,line protocol is down
表示該接口已激活,但鏈路協商仍沒有通過。
6.5 X.25協議原理及配置
6.5.1 X.25概述
X.25協議是數據終端設備(DTE)和數據電路終接設備(DCE)之間接口規程,起主要功能是描述如何在DTE和DCE之間建立虛電路、傳輸分組、建立鏈路、傳輸數據、拆除鏈路、拆數虛電路,同時進行差錯控制、流量控制、情況統計等,並且為用戶提供了一些可選的業務功能和配置功能。
X.25協議是CCIT在70年代製定的,以後又進行了多次修改。
X.25可以通過虛電路傳送多種上層協議(如IP、IPX等)數據
注意:這裡所說的DTE和DCE與物理接口的DTE和DCE不是一個服務。這裡的DTE通常是指路由器等用戶設備,DCE是指交換機等設備。路由器也可以作為DCE。
6.5.2 X.25網絡模型
X.25使得兩台數據終端設備DTE可以通過現有的分組交換網絡進行通信。為了進行一次通信,通信的一端必須首先呼叫另一端,請求在他們之間建立一個會話連接;被呼叫的一端可以可以根據自己的情況接收或拒絕這個連接請求。一旦這個連接建立,兩端的設備可以全雙工地進行信息傳輸,並且任何一端在任何的時候均有權拆除這個連接。
X.25是DTE與DCE進行點到點交互的規程。 DTE通常指的是用戶側的主機或終端等,DCE則常指同步調製解調器等設備;DTE與DCE直接連接,DCE連接至分組交換機的某個端口,分組交換機之間建立若干連接,這樣,便形成了DTE與DCE之間的通路。在一個X.25網絡中,各實體之間關係如圖所示。
6.5.3 X.25協議分層結構
X.25協議分為分組層、數據鏈路層、物理層三層,與OSI參考模型的下三層一一對應。對等層之間的通信通過對等層間的規程實現。
物理層定義了DTE和DCE之間的電氣接口,以及建立物理的信息傳輸通道的過程。
數據鏈路層採用平衡型鏈路訪問規程LAPB、LAPB定義了DTE-DCE鏈路之間的幀交換的過程及幀格式。鏈路層進行幀的檢錯和恢復。
分組層則定義了分組的格式和在分組層實體之間交換分組的過程,同時也定義瞭如何進行流控、差錯處理等規程。鏈路層和分組層都有分組機制,保證了信息傳輸的正確性並有效地進行流量控制。 X.25協議制定時由於技術條件的限制,終端和網絡節點沒有很強的智能,數據線路速率低、誤碼率高,因此X.25協議必須執行很繁重的任務處理。隨著低誤碼率的光線網和高智能終端的出現,產生了幀中繼等新的技術,將檢錯、恢復和流量控制等任務交給上層協議和智能終端處理,為用戶提供高速的傳輸。
6.5.4 IP包通過X.25網絡傳送
IP包傳輸到路由器後,路由器分析下一跳地址,決定通過某接口發送出去,這個接口封裝了X.25協議。在路由器中IP包先傳到分組層,分組層將IP包放在一個分組的數據區,在它前面加上分組頭,然後傳給鏈路層。鏈路層看到的只是一個分組。鏈路層將分組當作幀的信息字段,加上幀頭和幀尾封裝成一個幀,而最終在物理鏈路上傳送的是二進制的比特流。
數據通過X.25網絡傳到對端的路由器,路由器的各層協議將自己的結構層層剝離,將數據發送給上層協議處理。
6.5.5 X.25的虛電路
統計時分複用
SVC(交換虛電路)和PVC(永久虛電路)
一個接口最多可以配置4095條虛電路
6.5.6 X.25的鏈路層協議LAPB
鏈路層的主要功能
l在DTE和DCE之間有效的傳輸數據
l確保接收器和發送器之間信息的同步
l檢測和糾正傳輸中產生的差錯
l識別並向高層協議報告規程性錯誤
l向分組層通知鏈路層的狀態
6.5.7 X.25的配置
只在兩台路由器之間進行數據傳輸,只需選用LAPB串行接口封裝;路由器要通過X.25公共網進行數據傳輸,選用X.25協議進行串口封裝,並且按照網絡接入服務商提供的參數來配置X.25協議。
第2頁
1.配置X.25工作模式
Link-protocol x25 [[dte|dce]|[nonstandardietf]]
Quidway系列路由器所支持的X.25可以工作在DTE和DCE模式,同時還可以指定數據報封裝的格式,可選用的封裝格式有BFE、Cisco兼容、DDN、IETF四種格式。
注意:一般,X.25公共分組網均要求路由器作為DTE側接入,且要求IETF封裝格式。所以,在此時應該選擇X.25在DTE工作模式下的IETF封裝。如果只是簡單的將兩台路由器的一對串口背靠背直聯進行數據傳輸,此時只要保證傳輸的兩端分別為DTE和DCE,並且封裝格式一致即可。
缺省下,工作模式為DTE,封裝格式為IETF。
2.配置接口的X.121地址
x25 x121-address x.121-address
使用Quidway系列路由器目的是為了X.25交換,可忽略此任務;如果將Quidway系列路由器接入X.25公共分組交換網,那麼必須為接入的X.25接口按照接入服務提供商的要求來設置一個地址。但當路由器的某X.25接口工作於BFE或DDN封裝格式時,這個接口的X.121地址是根據其IP地址動態轉換得到的,不用手工配置;而且,這時的X.121地址也是不允許改動的。一般,用戶只需按照IETF格式及Cisco兼容格式封裝的X.25接口指定X.121地址。
3.創建協議地址到X.121地址的映射
x25 map protocol-address x121-address x.121-address [option]
對於一個X.25接口,它擁有自己的X.121地址和自己的網絡協議。當X.25通過這個接口發起呼叫時,它在呼叫請求分組中攜帶的源地址就是這個接口的X.121地址。
說明:命令行中的protocol-address和x.121-address指的是目的地的協議地址和x.121地址,而非本地的。
4.創建永久虛電路
x25 pvc-number protocol protocol-address x121-address x.121-address [option]
X. 25的分組層參數配置
1.配置X.25虛電路範圍
x25 vc-range {in-channel hic lic | bi-channel htc ltc | out-channel hoc loc}
配置分組大小
x25 packet-size in-packets (缺省值為128)
x25 packet-size out-packets (缺省值為128)
配置窗口大小
x25 window-size in-packets (缺省值為2)
x25 window-size in-packets (缺省值為2)
配置編號方式
x25 modulo {8| 128} (缺省值為8)
配置X.25子接口
l子接口是一個虛擬接口,它有自己的協議地址和虛電路
l在一個物理接口上可以創建多個子接口
l子接口有兩種類型:點到點和點到多點
*作命令
進入主接口Interface serial number
封裝x25協議Link-protocol x25
創建X.25子接口Interface serial number subinterface-number [multipoint|point-to-point]
配置地址映射X25 map protocol protocol-address x121-address x.121-address [option]
配置永久虛電路x25 pvc-number protocol protocol-address x121-address x.121-address [option]
當接口封裝成LAPB、HDLC或者PPP時不能創建子接口。
6.5.8 X.25典型配置舉例
1.組網需求
如只將兩台路由器簡單的背靠背連接,直連串口之間封裝X.25協議並承載IP數據報進行傳輸,只需配置兩台路由器即可。
2.配置步驟
(1)配置Router A
!選定接口
[Quidway]interface serial 0
!為該接口指定IP地址
[Quidway-serial0]ip address 202.38.160.1 255.255.255.0
!將該接口封裝為X.25接口,並指定其工作方式在DTE方式
[Quidway-serial0]link-protocol x25 dte
!指定該接口的X.121地址
[Quidway-serial0]x25 x121-address 20112451
!指定到對端的地址映射
[Quidway-serial0]x25 map ip 202.38.160.2 x121-address 20112452
!因為直連,可以將流量控制參數設置稍大一些
[Quidway-serial0]x25 packet-size 1024 1024
[Quidway-serial0]x25 window-size 5 5
(2)配置Router B
!選定接口
[Quidway]interface serial 0
!為該接口指定IP地址
[Quidway-serial0]ip address 202.38.160.2 255.255.255.0
!將該接口封裝為X.25接口,並指定其工作方式在DCE方式
[Quidway-serial0]link-protocol x25 dce
!指定該接口的X.121地址
[Quidway-serial0]x25 x121-address 20112452
!指定到對端的地址映射
[Quidway-serial0]x25 map ip 202.38.160.1 x121-address 20112451
!因為直連,可以將流量控制參數設置稍大一些
[Quidway-serial0]x25 packet-size 1024 1024
[Quidway-serial0]x25 window-size 5 5
6.5.9X.25的監控與維護
*作命令
查看接口信息Display interface [type number]
查看X.25別名表Display x25 alias-police
查看X.25地址映射表Display x25 map
查看X.25交換路由表Display x25 switch-vc-teble svc
查看X.25交換虛電路表Display x25 switch-vc-table pvc
查看X.25虛電路Display x25 vc lci-number
打開所有x25報文的調試開關Debug x25 all [interface type number]
打開x25的調試開關Debug x25 event [interface type number]
打開x25報文調試開關Debug x25 packet [interface type number]
6.5.10 X.25故障的診斷與排除
l LAPB已經出於連接狀態,但X.25協議不能UP
故障排除:可能是本地的工作方式配置錯誤,檢查DCE/DTE配置是否正確
l X.25協議已經UP,但是卻無法建立虛電路,即無法Ping通
故障排除:1。未配置本地X.121地址2。未配置到對端的地址映射3。未配置對端X.121地址3。未配置對端到本地的地址映射4。信道範圍不正確5。攜帶了網絡不允許的設施選項(4、5原因應向網絡管理部門諮詢正確的信道範圍和允許的設施選項)
l可以建立虛電路,但是在數據傳輸的過程中卻頻繁的複位或消除。
故障排除:流量參數設置是否正確(如果接入到公網內,應向網絡管理部門諮詢正確地流量參數)
l設置永久虛電路的請求被拒絕
故障排除:開啟永久虛電路信道區間
6.6幀中繼協議原理及配置
6.6.1幀中繼協議簡介
l幀中繼協議是在X.25分組交換技術的基礎上發展起來得一種快速分組交換技術,是改進了的X.25協議。
l幀中繼是基於虛電路的。
DLCI(數據鏈路連接標識)用於標識每一個PVC。通過幀中繼幀中的地址字段的DLCI,可以分出該幀屬於哪一條虛電路。
LMI(本地管理接口)協議用於建立和維護路由器和交換機之間的連接。 LMI協議還用於維護虛電路,包括虛電路的建立、刪除和狀態改變。
6.6.2幀中繼協議棧
幀中繼的核心對應OSI參考模型的下兩層。採用現代的物理設施。與傳統的廣域網報文交換有相同之處,不同之處在於幀中繼提供相對快速的服務。
6.6.3幀中繼的特點
1.幀中繼技術主要用於傳遞數據業務,將數據信息以幀的形式進行傳送。
2.幀中繼傳送數據使用的傳輸鏈路是邏輯連接,而不是物理連接,在一個物理連接上可以復用多個邏輯連接,可以實現帶寬的複用和動態分配。
3.幀中繼協議簡化了X.25的第三層功能,使網絡節點的處理大大簡化,提高了網絡對信息的處理效率。採用物理層和鏈路層的兩級結構,在鏈路層也只保留了核心子集部分。
4.在鏈路層完成統計復用、幀透明傳輸和錯誤檢測,但不提供發現錯誤後的重傳*作。省去了幀編號、流量控制、應答和監視等機制,大大節省了交換機的開銷,提高了網絡吞吐量、降低了通信時延。一般幀中繼用戶的接入速率在64kbps-2Mbps。
5.交換單元――幀的信息長度比X.25分組長度要長,預約的最大幀長度至少要達到1600字節/幀,適合封裝局域網的數據單元。
6.提供一套合理的帶寬管理和防止擁塞的機制,用戶有效的利用預約的寬帶,即承諾的信息速率(CIR),還允許用戶的突發數據佔用未預定的帶寬,以提高網絡資源的利用率。
7.與分組交換一樣,幀中繼採用面向連接的交換技術,可以提供SVC和PVC業務,但目前已應用的幀中繼網絡中,一般只採用PVC業務。
6.6.4幀中繼術語
幀中繼網絡中的每一個連接都使用DLCI(Data Link Connection Identifier)來標識。
幀中繼是統計復用協議,實現動態分配。
幀中繼網絡為每個幀中繼用戶分配三個寬帶控制參數:BC、Be和CIR。同時,每隔Tc時間間隔對虛電路上的數據流量進行監視和控制。 CIR是網絡與用戶約定的用戶信息傳送速率,即承諾信息速率。如果用戶以小於等於CTR的速率傳送信息,應保證這部分信息的傳送。 BC是網絡允許用戶以CIR速率在Tc時間間隔傳送的數據量,即Tc=Bc/CIR。 Bc是網絡允許用戶在Tc時間間隔內傳送的超過Bc的數據量。
網絡對每條虛電路進行帶寬控制,採用如下策略:
在Tc內:
當用戶數據傳送量<=Bc時,繼續傳送收到的幀;
當用戶數據傳送量>Bc但<=Bc+Be時,將Be範圍內傳送的幀DE比特置“1”,若網絡未發生嚴重擁塞,則繼續傳送,否則將這些幀丟棄;
當Tc內用戶數據傳送量>Bc+Be時,將超過範圍的幀丟棄。
舉例:約定一條PVC的CIR=128Kbit/s,Bc=128kbit,Be=64kbit,則Tc=Bc/CIR=1s。在這一段時間內,用戶可以傳送的突發數據量可以達到Bc+Be=192kbit,傳送數據的平均速率為192kbit/s,其中,正常情況下,Bc範圍內的128kbit的幀在擁塞情況下,這些幀也會被送達終點用戶,若發生了嚴重擁塞,這些幀會被丟棄。
Be範圍內的64kbit的幀的DE比特被置為“1”,在無擁塞情況下,這些幀會被送達終點用戶,如發生擁塞,則這些幀會被丟棄。
當轉發隊列中的報文長度超過一個閥值,可以認為發生了擁塞。當擁塞發生,在該隊列中的報文的FECN位將被置位。如果擁塞持續下去,相反方向的報文的BECN位將被置位。
幀中繼地址映射是把對端設備的協議地址與對端設備的幀中繼地址(本地的DLCI)關聯起來以便高層協議能通過對端設備的協議地址尋址到對端設備。幀中繼主要用來承載IP協議,在發送IP報文時,由於路由表只知道報文的下一跳地址,所以發送前必須由該地址確定它對應的DLCI。這個過程可以通過查找幀中繼地址映射表來完成,因為地址映射表存放的是對端IP地址和下一跳的DLCI的映射關係。地址映射表可以由手工配置,也可以由Inverse ARP協議動態維護。
6.6.6用於網絡發現的Inverse ARP協議
逆向地址解析(Inverse ARP)主要功能是求解每條虛電路連接的對端設備的協議地址,包括IP地址和IPX地址等。
基本過程:發現一條虛電路時(前提本地接口已配置了協議地址),Inverse ARP就在該虛電路上發送Inverse ARP請求報文給對端,該請求報文包含有本地的協議地址,對端設備收到該請求時,可以獲得本地的協議地址,從而生成地址映射,並發送Inverse ARP響應報文進行響應,這樣本地同樣生成地址映射。
只有在沒有MAP的情況下才會向對端發送Inverse ARP請求報文。
如果在Inverse ARP請求報文的接收端發現對端的協議地址與本地配置的MAP中的協議地址相同,則不會生成該動態MAP。
6.6.7 Quidway支持的LMI
本地管理接口LMI(Local Management Interface)協議就是用來建立與維護路由器和交換機之間的連接。 LMI協議還用於維護虛電路,包括虛電路的建立、刪除和狀態改變。
VRP支持三種LMI協議:遵從ITU-T Q.933建議附錄A的LMI協議、遵從ANSIT1.617建議附錄D的LMI協議以及與CISCO“Gang of Four”標準兼容的LMI協議。它們的基本工作方式是:DTE設備每隔一定的時間間隔發送以一個狀態請求報文(Status Enquiry報文)去查詢虛電路的狀態,DCE設備收到狀態請求報文後,立即用狀態報文(Status報文)通知DTE當前接口上所有虛電路的狀態。
對於DTE側設備,永久虛電路的狀態完全由DCE側設備決定。對於DCE側設備,永久虛電路的狀態由網絡來決定。在兩台網絡設備直接連接的情況下,DCE側設備的虛電路狀態由設備管理員來設置的。在VRP中,虛電路的個數和狀態既可以在設置地址映射(fr map命令)的同時設置,也可以用配置幀中繼本地虛電路命令(fr dlci命令):或用幀中繼接口虛電路命令(fr dlci命令)來配置。
6.6.8幀中繼子接口
l幀中繼網絡拓撲結構
幀中繼網絡可以將分散在不同地點的網絡連接起來,可能的網絡結構有星型結構、部分網狀相連(Partial-meshed)和全網狀相連(Full-meshed)。
l水平分割與幀中繼
為減少路由器環路的產生,水平分割不允許路由器把從一個接口進來的更新信息再從該接口發送出去。如圖所示,路由器B告訴路由器A一條路由信息,由於水平分割機制,路由器A不能通過接收此路由信息的S0將這條信息告訴路由器C和D。解決的方法:一個是使用多個物理接口連接多個相鄰節點,這需要路由器具備多個物理接口,增加了用戶的成本;另外一個方法是使用子接口,也就是再一個物理接口上配置多個邏輯接口,每個子接口都有自己的網絡地址,就好像一個物理接口一樣;或者是關閉水平分割,當然這需要路由協議的支持,另外關閉水平分割增加了產生路由環路的機率。
l幀中繼子接口
子接口可以解決水平分割問題
可以在串口線路上定義這些邏輯子接口。每一個子接口使用一個或多個DLCI連接到對端的路由器。在子接口上配置了DLCI後,還需要建立目的端協議地址和該DLCI的映射。
一個物理接口可以包含多個邏輯子接口
雖然在路由器A上僅擁有一個物理串口S0,但是在物理串口S0上現在定義了S0.1子接口上的DLCI到路由器B,S0.2子接口上的DLCI到路由器C,和S0.3子接口上的DLCI到路由器D。
路由器之間需要經過幀中繼的網絡相連
在物理接口上定義了邏輯子接口後,幀中繼的連接就可以成為部分網狀連接。
通過配置子接口,路由器可以實現相互連接,並能轉發更新信息。這樣在路由器的一個物理接口上就可以避免水平分割帶來的影響。
6.6.9幀中繼的配置
1.封裝幀中繼協議
link-protocol frame-relay [MFR|nonstandard|ietf]
當接口封裝的鏈路層協議為幀中繼時,缺省的封裝格式為ietf。
注意:(1)只有當接口工作在同步方式下,才能封裝幀中繼。
(2)當接口封裝了SLIP時,接口的物理屬性不能被修改為同步模式。此時,必須先將接口的鏈路層封裝改為PPP後,才能將接口的屬性改為同步模式。
(3)接口封裝幀中繼後,上層仍能承載IP和IPX協議。
2.配置幀中繼接口的終端類型
fr interface-type {dce | dte | nni}
在幀中繼中,通信雙方被區分為用戶側和網絡側。用戶側稱為DTE,網絡側被稱為DCE。接口需要根據自己在網絡中的位置配置為DTE或DCE格式;在幀中繼網絡中,幀中繼交換機之間為NNI接口,相應接口採用NNI格式。
缺省情況下,幀中繼接口類型為DTE。
注意:若幀中繼接口的中斷類型改為DCE或NNI,必須先要在全局配置模式?蔥惺鼓苤≈屑探換唬╢r switching)。
3.選擇LMI類型
fr lmi type {ansi | cisco-compation | q933a}
LMI協議用於維護當前幀中繼鏈路狀況和幀中繼協議的PVC表,包括:增加PVC記錄、刪除已斷掉的PVC記錄、監控PVC狀態的變更、鏈路完整性驗證。 VRP支持三種標準LMI協議類型:ITU-T的Q.933附錄A、ANSI的T1.617附錄D、CISCO標準。
當幀中繼接口類型為DCE或NNI時,接口缺省的LMI協議類型為q933a;當幀中繼接口類型為DTE時,本命令將設置接口和對端協商LMI協議類型。
幀中繼地址映射
幀中繼地址映射是建立對端協議地址與本地DLCI的映射關係,該地址映射可靜態配置,也可動態建立。
1.手工配置靜態映射:
fr map {ip | ipx} protocol-address dlci [broadcast]
配置幀中繼靜態地址映射就是手工建立對端協議地址與本地DLCI的映射關係,一般適用於對端主機較少或者缺省路由的情況。
當對端路由器不支持逆向動態地址解析協議時,必須配置幀中繼的靜態地址映射。
缺省情況下,所有接口使能逆向動態地址解析協議。當幀中繼靜態地址映射後,在指定的DLCI上,動態地址映射功能將自動被禁用。
2.動態建立:使能動態逆向地址解析協議
fr inarp [ip | ipx] [dlci]
運行了逆向地址解析協議(Inverse ARP)後,就能動態建立對端協議地址與本地DLCI的映射關係。
缺省情況下,接口使能動態逆向地址解析協議。
配置幀中繼本地虛電路
為主接口分配一條虛電路號
fr dlci dlci
注意:(1)命令fr dlci dlci可為主接口和子接口分配虛電路號。
(2)虛電路號是本地有效地,也就是說,鏈路兩端的虛電路號是可以相同的。也可為多個接口指定相同的虛電路號。但在一個物理接口上,虛電路號必須是唯一的。
(3)當接口類型為DCE或NNI時,必須為接口(不論主接口還是子接口)配置虛電路號。當接口類型為DTE時,若為主接口,系統可根據對端設備自動確定本端的虛電路號;若為子接口,也必須手動為子接口配置虛電路號。
配置幀中繼子接口
幀中繼接口屬於NBMA(Non-Broadcast Multi-Access)類型接口,支持接口的概念。有兩種類型接口:主接口和子接口。其中子接口是一個邏輯結構,可以配置協議地址和虛電路PVC等,一個物理接口可以有多個子接口。
子接口有兩種類型:點到點和點到多點。點到點接口用於連接單個對端,點到多點子接口用於連接同一個網段的多個對端。
創建幀中繼子接口,進入子接口配置模式
interface type number.subinterface-number [multipoint | point-to-point]
配置幀中繼子接口的虛電路號
fr dlci dlci
建立地址映射的命令和物理接口相同,可以使用靜態或動態地址映射。地址映射只有在點到多點的情況下才需配置。
幀中繼的子接口之間的地址映射關係可用於手工配置,或利用逆向地址解析協議來動態建立。對於點到點的子接口,因為只有一個對端設備,只要在該子接口上配置一條PVC就可以了,而不用配置靜態地址映射就可唯一的確定對端設備。
缺省情況下,所有子接口使能動態逆向地址解析協議。
配置幀中繼交換
允許幀中繼進行PVC交換
fr switching
設置幀中繼接口類型
fr interface-type {dce |dte |nni}
配置幀中繼PVC交換的路由
fr dlci-switch pvc in-dlci interface serial number outer-dlci
注意:如果使用幀中繼交換,接口類型必須為dce或nni
除“允許/禁止幀中繼PVC交換”在全局配置模式下進行以外,其它命令請在同步接口配置模式下進行。
缺省情況下,禁止幀中繼PVC交換。
注意:(1)只有接口類型為NNI或DCE時,配置的PVC交換才會起作用。
(2)必須在用於幀中繼交換路由器的兩個或兩個以上接口上都進行了配置,PVC交換才會棄作用。
(3)在配置了允許幀中繼DCE或NNI接口進行PVC交換之後,還要配置一條PVC交換的路由。
6.6.10幀中繼典型配置舉例
通過專線互連局域網
1.組網需求
兩台Quidway路由器通過串口直連,Router A工作在幀中繼的DCE方式,Router B工作在幀中繼的DTE方式。
2.配置步驟
(1)配置Router A
!在全局配置模式下配置幀中繼交換。
[Quidway]fr switching
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.251 255.255.255.0
!配置接口封裝為幀中繼
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dce
!配置本地虛電路
[Quidway-serial1]fr dlci 100
!如果對端路由器支持逆向地址解析功能,則配置動態地址映射
[Quidway-serial1]fr inarp
!否則配置靜態地址映射
[Quidway-serial1]fr map ip 202.38.163.252 dlci 100
(2)配置Router B
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封裝為幀中繼
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果對端路由器支持逆向地址解析功能,則配置動態地址映射
[Quidway-serial1]fr inarp
!否則配置靜態地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 100
通過幀中繼網絡互連局域網
1.組網需求:通過公用幀中繼網絡互連局域網,在這種方式下,路由器只能作為用戶設備工作在幀中繼DTE方式。
2.配置步驟
(1)配置Router A
!在全局配置模式下配置幀中繼交換
[Quidway]fr switching
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.251 255.255.255.0
!配置接口封裝為幀中繼
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果對端路由器支持逆向地址解析功能,則配置動態地址映射
[Quidway-serial1]fr inarp
!否則配置靜態地址映射
[Quidway-serial1]fr map ip 202.38.163.252 dlci 50
[Quidway-serial1]fr map ip 202.38.163.253 dlci 60
(2)配置Router B
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封裝為幀中繼
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果對端路由器支持逆向地址解析功能,則配置動態地址映射
[Quidway-serial1]fr inarp
!否則配置靜態地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 70
(3)配置Router C
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封裝為幀中繼
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果對端路由器支持逆向地址解析功能,則配置動態地址映射
[Quidway-serial1]fr inarp
!否則配置靜態地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 80
6.6.11幀中繼的監控與維護
*作命令
顯示幀中繼LMI類型報文的收發統計Display fr lmi-info [interface type number]
顯示協議地址與幀中繼地址映射表Display fr map-info
顯示幀中繼PVC統計信息Display fr pvc-info [serial interface-number] [dlci dlci-number]
顯示幀中繼PVC路由表Display fr dlci-switch
顯示各種接口的幀中繼協議狀態Display fr interface
清除所有動態建立的幀中繼地址映射Reset fr inarp-info
打開幀中繼的所有報文調試開關Debugging fr all [interface type number]
打開幀中繼ARP報文信息調試開關Debugging fr arp [interface type number]
打開幀中繼事件信息調試開關Debugging fr event [interface type number]
打開幀中繼LMI協議信息調試開關Debugging fr lmi [interface type number]
6.6.12幀中繼故障診斷與排除
故障之一:物理層DOWN
l檢查物理線路是否正常
l檢查對端設備是否正常
故障之二:物理層UP,但鏈路層DOWN
l檢查封裝
l DTE/DCE是否對應
l監控LMI消息收發情況
故障之三:鏈路層協議出於UP,但不能PING通對方
l檢查兩端設備的鏈路層協議是否UP
l檢查地址映射是否正確
l檢查路由表,是否有到達對端的路由。
6.7小結
l使用本地DLCI作為到達目的端的幀中繼PVC的標識
l Quidway支持三種LMI類型:
ANSI(Annex D)
CCITT(Annex A)
CISCO兼容
l定義靜態的幀中繼MAP
l定義子接口來避免路由更新的水平分割問題
l缺省情況下,Inverse ARP協議可以為本地DLCI自動的發現遠端的協議地址
l用display和debugging命令來監視幀中繼
路由是指導IP報文發送的路徑信息。
根據路由的目的地不同,可劃分為:子網路由:目的地為子網;主機路由:目的地為主機。
根據目的地是否與該路由器直接相連。可劃分:直接路由:目的地所在網絡與路由器直接相連;
間接路由:目的地所在網絡與路由器不直接相連。
路由器轉發數據包的關鍵是路由表。每個路由器都包存一張路由表。
路由表包含:目的地址(Destination):用來標識IP包的目的地址或目的網絡。
網絡掩碼(mask):與目的地址一起來標識目的主機或路由器所在的網段的地址。將目的地址和網絡掩碼“邏輯與”後可得到目的主機或路由器所在網段的地址。
輸出接口(Interface)說明IP包將從該路由器哪個接口轉發。
下一跳IP地址(Nexthop):說明IP包所經由的下一個路由器的接口地址。
在路由表中有一個Protocol字段:指明了路由的來源,即路由是如何生成的。路由的來源有三種:
l鏈路層協議發現的路由(Direct)
開銷小,配置簡單,無需人工維護,只能發現本接口所屬網段拓撲的路由。
l手工配置的靜態路由(Static)
無開銷,配置簡單,需人工維護,適合簡單拓撲結構的網絡。
l動態路由協議發現的路由
開銷大,配置複雜,無需人工維護,適合複雜拓撲結構的網絡。
7.3靜態路由及配置
7.3.1靜態路由配置
[Quidway]ip router-static ip-address {mask |masklen} {interface-type interface-name | nexthop-address} [preference value] [reject | blackhole]
注意:只有下一跳所屬的接口是點對點(PPP、HDLC)的接口時,才可以填寫interface-name,否則必須填寫nexthop-address。
靜態路由還有一下屬性:(1)可達路由(2)目的地不可達的路由(3)目的地為黑洞的路由
7.3.2靜態路由配置示例
在路由器QuidwayA上配置一條目的網段129.1.0.0/16的靜態路由,下一跳地址為路由器QuidwayB的S0接口的IP地址10.0.0.2。如果鏈路的封裝是PPP或HDLC,也可一指定本路由器的轉發地址。
靜態路由配置命令:
[Quidway]ip route 129.1.0.0 16 serial 0或
[Quidway]ip route 129.1.0.0 16 10.0.0.2或
[Quidway]ip route 129.1.0.0 255.255.0.0 10.0.0.2。
7.3.3缺省路由配置
[Quidway]ip route-static 0.0.0.0. 0.0.0.0 10.0.0.2
7.3.4路由自環
“路由自環”是指某個報文從一台路由器發出,經過幾次轉發後又回到初始的路由器。原因是其中部分路由器的路由表出現錯誤。產生的原因可能是配置靜態路由有誤,或者是動態路由協議錯誤的計算路由。當產生路由自環時,報文會在幾個路由器之間循環轉發,直至TTL=0時才被丟棄,極大的浪費了網絡資源,因此應該盡量避免“路由自環”的產生。
7.4動態路由協議概述
OSPF將協議報文直接封裝在IP報文中,協議號89。
BGP使用TCP作為傳輸協議,提高了協議的可靠性,TCP的端口號是179。
RIP使用UDP作為傳輸協議,端口號520。
按照工作區域,路由協議可分為IGP和EGP:
IPG(Interior Gateway Protocols)內部網關協議
在同一個自治系統內交換路由信息,RIP、ODPF和IS-IS都屬於IGP。 IGP的主要目的是發現和計算自治域內的路由信息。
EGP(Exterior Gateway Protocols)外部網關協議
用於連接不同的自治系統,在不同的自治系統之間交換路由信息,主要使用路由策略和路由過濾等控制路由信息在自治域間的傳播,應用的一個實例是BGP。按照路由的尋徑算法和交換路由信息的方式,路由協議可分為距離矢量的協議(distant-vector)和鏈路狀態協議。距離矢量狀態協議包括RIP和BGP,鏈路狀態協議包括OSPF、IS-IS。
7.5距離矢量路由協議概述
距離矢量(Distance-Vector簡稱DV)算法(也稱Bellman-Ford算法)週期性地將路由表信息的拷貝在路由器之間傳送。當網絡拓撲變化時,也會將更新信息及時傳送給路由器。每一個路由器只能接收到網絡中相鄰路由器的路由表。
距離矢量算法的數學模型:
我們用D(i,j)來表示從實體i到j的最佳路由的metric,i,j可以是系統中的任意一對實體,用d(i,j)來表示單個跳數的花費,也就是從i直接到j的花費,如果i與j不是直接相鄰的,則d(i,j)為無窮大。這樣任意兩個實體間的最佳metric可以表示如下:
D(i,j)=0對所有的i
D(i,j)=min [d(i,j)+ D(k,j)] i不等於k時
K
由於我們把非相鄰的兩實體間的d(i,k)定義為無窮大,當表達式中k不是i的相鄰主機或路由器時,D(i,j)永遠不可能為最小,故我們也可以把k限定為與i相鄰。由此我們得出算法:實體i接收它的鄰居們k發送給它的到目標主機j的距離評價D(k,j)並加上d(i,k)在這裡d(i,k)是通過i,k之間網絡所需的cost值,接下來i比較來自所需鄰居的信息,並選擇其中最小的。可以證明,在拓撲結構不變的情況下該算法在有限時間內收斂於正確的D(i, j)。
7.6環路路由問題
產生:由於網絡故障可能會引起路徑與實際網絡拓撲結構不一致而導致網絡不能快速收斂,
避免方案:1.水平分割2.路由中毒和抑制時間3.觸發更新
7.7RIP路由協議
7.7.1 RIP協議概述
RIP是Routing Information Protocol(路由信息協議)的簡稱。是一種基於D-V算法的路由協議,通過UDP交換路由信息,每隔30秒向外發送一次更新報文。
RIP使用跳數(HOP Count)來衡量到達的網絡的距離,稱為路由權(Routing Metric)。在RIP中,路由器到與它直接相連網絡的跳數為0,通過一個路由器可達的網絡跳數為1。 RIP規定metric取值0-15之間的整數,大於或者等於16的跳數被定義為無窮大,即目的主機或網絡不可達。
為提高性能,防止產生路由環路,RIP支持水平分割(Split Horizon)與路由中毒(Poison Reverse),並在路由中毒時採用觸發更新(Triggered Update)。
RIP包括RIP-1和RIP-2兩個版本,RIP-1不支持變長子網掩碼(VLSM),RIP-2支持變長子網掩碼(VLSM),同時RIP-2支持明文認證和MD5密文認證。 RIP-1使用廣播發送報文,RIP-2有兩種傳送方式:廣播方式和組播方式,缺省將採用組播發送報文,RIP-2的組播地址為224.0.0.9。組播好處是在同一網絡中那些沒有運行RIP的網段可以避免接收RIP的廣播報文;另外,組播發送報文還可以使運行RIP-1的網段避免錯誤的接收和處理RIP-2中帶有子網掩碼的路由。
RIP協議處於UDP協議的上層,RIP所接收的路由信息都封裝在UDP的數據報文中,RIP在520號端口上接收來自遠程路由器的路由修改信息,並對本地的路由表做相應的修改,同時通知其它路由。以達到全局路由的同步。
7.7.2路由協議的實現
RIP啟動時,初始路由表僅包含路由器的一些直聯接口路由。
RIP協議啟動後向各個接口廣播一個Request報文。
鄰居路由器的RIP協議從某個接口收到Request報文後,根據自己的路由表,形成Reponse報文向該接口對應的網絡廣播。
RIP接收鄰居路由器回复的包含鄰居路由器路由表reponse報文,形成自己的路由表。
RIP根據DV算法,將協議的參加者分為主動機和被動機。
Rip路由表更新原則:
對本路由表已有的路由項,當發送報文的網關相同時,不論度量值增大或是減少,都更新該路由項(度量值相同時只將其老化定時器消零) ;
對本路由表已有的路由項,當發送報文的網關相同時,只在度量值減少時,更新該路由項;
對本路由表不存在的路由項,在度量值小於不可達(16)時,在路由表中增加該路由項;
路由表中的每一路由項都對應一老化定時器,當路由項在180秒內沒有任何更新時,定時器超時,該路由的度量值變為不可達(16)。
某路由項的度量值變為不可達後,以該度量值在Response報文中發布四次(120秒),之後從路由表中清除。
7.7.3 RIP協議配置命令
在各項配置任務中,必須先啟動RIP、使能RIP網絡後,才能配置其它的功能特性。
在全局模式下,用Rip命令啟動rip協議並進入rip協議配置模式。
啟動rip協議,進入rip協議配置視圖[Quidway]rip
在指定網絡上使能rip [Quidway-rip]network {network-number | all}
配置報文的定點傳送(不支持廣播時) [Quidway-rip]peer ip-address
指定接口版本(接口模式下) rip version 1 rip version 2 [broadcast | multicast]
rip任務啟動後還必須指定其工作網段,rip只在指定網段上的接口工作;對於不在指定網段上的接口,rip既不在它上面接收和發送路由,也不將他的接口路由轉發出去,就像這個接口不存在一樣。
Rip是一個廣播發送報文的協議,為與非廣播網絡交換路由信息,就必須採用定點傳送的方式peer。通常我們不建議使用該命令,因為對端並不需要一次收到兩份相同的報文。需注意的是:peer在發送報文時也要受rip work、rip output、rip input和network等的限制。
可指定接口所處理rip報文的版本。
當接口運行rip-1時只接收與發送rip-1與rip-2廣播報文,不接收rip-2多播報文;當接口運行在rip-2廣播方式下,只接收與發送rip- 1和rip-2廣播報文,不接收rip-2多播報文;當接口運行在rip-2多播方式下,只接收與發送rip-2多播報文,不接收rip-1和rip-2多播報文。
缺省情況下,接口運行rip-1報文,即只能接收與發送rip-1報文。
指定接口的工作模式(接口模式) rip work rip input rip output
配置rip-2路由聚合summary
配置rip-2報文的認證(接口模式下)
rip authentication-mode simple password
rip authentication-mode md5 key-string string
rip authentication-mode md5 type [nonstandard-compatible | usual]
undo rip work與undo network相同點:接口都不再收發rip路由。不同點:undo rip work下,其它接口對使用該命令的路由仍然轉發,而在undo network下,其他接口對使用該命令的接口的路由不再轉發,見到的效果就像少了一個端口。
另外:rip work從功能上等價於rip input與rip output兩個命令。
路由聚合是指:同一自然網段內的不同子網的路由在向外(其它網段)發送時聚合成一條自然掩碼的路由發送。路由聚合減少了路由表中的路由信息量,也減少了路由交換的信息量。
Rip1-只發送自然掩碼的路由,即總是以路由聚合形式向外發送路由,關閉路由聚合對rip-1將不起做用。 Rip-2支持無類別路由,當需要將子網的路由廣播出去時,可關閉rip-2的路由聚合功能。
缺省情況下,允許rip-2進行路由聚合。
Rip-1不支持報文認證,但當接口運行rip-2時,可以進行報文的認證。
Rip -2支持兩種認證方式:明文認證siimple和MD5密文認證。 MD5密文認證的報文格式有兩種:一種遵循RFC1723(rip version 2 carrying additional information)規定;另一種遵循RFC2083(rip-2 MD5 authentication)規定。
nonstandard-compatible:指定MD5認證報文使用RFC2082標準的報文格式。
Usual:指定MD5認證報文使用RFC1723標準的報文格式,此報文格式是業界多數路由器通用的。
缺省情況下,接口不對報文進行認證。若配置了MD5認證模式,缺省情況下,採用使用nonstandard-compatible的報文格式。
7.7.4RIP協議配置舉例
RTA和RTB之間鏈路層封裝PPP協議,RTB與RTC之間鏈路層封裝FR協議,所有路由器啟動RIP路由協議。 RTA和RTB之間做MD5驗證。
配置如下:
RTA:
[RTA]rip
[RTA-rip]network all
[RTA-ethernet0]ip address 11.1.1.1 255.255.255.0
[RTA-ethernet0]rip version 2 broadcast
[RTA-serial0]link-protocol ppp
[RTA-serial0]ip address 1.1.1.1 255.255.255.0
[RTA-serial0]rip version 2 broadcast
[RTA-serial0]rip authentication-mode md5 key-string quidway //MD5
RTB:
[RTB]rip
[RTB-rip]network all
[RTB-rip]peer 2.1.1.1 //配置報文指定發送
[RTB-ethernet0]ip address 12.1.1.1 255.255.255.0
[RTB-ethernet0]rip version 2 broadcast
[RTB-serial0]link-protocol ppp
[RTB-serial0]ip address 12.1.1.2 255.255.255.0
[RTB-serial0]rip version 2 broadcast
[RTB-serial0]rip authentication-mode md5 key-string quidway //MD5
[RTB-serial1]link-protocol fr
[RTB-serial1]ip address 2.1.1.2 255.255.255.0
[RTB-serial1]rip version 2 broadcast
RTC:
[RTC]fr switching //使能幀中繼交換
[RTC]rip
[RTC-rip]network all
[RTC-rip]peer 2.1.1.2
[RTC-ethernet0]ip address 13.1.1.1 255.255.255.0
[RTC-ethernet0]rip version 2 broadcast
[RTC-serial0]link-protocol fr
[RTC-serial0]fr interface-type DCE //封裝幀中繼接口類型
[RTC-serial0]fr dlci 20 //分配DLCI
[RTC-serial0]ip address 2.1.1.1 255.255.255.0
[RTA-serial0]rip version 2 broadcast
7.7.5顯示RIP協議配置信息
[Quidway]display rip
7.7.6RIP協議的debug信息
第一步:設置debug信息輸出到console口
[Quidway]info-center console debugging
第二步:打開RIP的調試開關
[Quidway]debugging rip packet
實際顯示的rip信息
rip:receiv response from 120.0.0.2
packet:vers 1,cmd response,length 24
dest 110.0.0.0, metric 1
rip:send 20.0.0.1 to 255.255.255.255
packet:vers 1,cmd respons,length 44
dest 110.0.0.0, metric 2
dest 120.0.0.0 metric 1
7.8OSPF簡介
OSPF是Open Shortest Path First(開放最短路由優先協議),具有以下特點:
1.適應範圍:支持多種規模網絡,最多可支持幾百台路由器。
2.快速收斂: 3.無自環4.子網掩碼: 5.區域劃分: 6.等值路由
7.路由分級:按優先順序為區域內路由、區域間路由、第一類外部路由、第二類外部路由。
8.支持驗證9.組播發送。
7.8.2基本概念
一台路由器要運行OSPF協議,必須存在Router ID,可以使用[Quidway]router id 1.2.3.4手工配置。
如果沒有配置,則係統會優先選擇Lookback接口的ip地址作為ID(Lookback接口總是處於UP狀態),如果沒有配置Lookback接口,OSPF會從當前接口的IP地址中自動選擇一個IP地址作為ID。
如果一台路由器的Router ID在運行中改變,必須重啟OSPF協議或者重啟路由器才能使新的Router ID生效。
查看路由器的Router ID,執行命令display ospf。
協議號:OSPF協議用IP報文直接封裝協議報文,協議號是89。
7.8.3鏈路狀態
OSPF將不同的網絡拓撲抽象為以下四種類型:
該接口所連的網段中只有本路由自己。 (sub network)
該接口通過點到點的網絡與一台路由相連。 (point-to-point)
該接口通過廣播或NBMA的網絡與多台路由器相連。 (broadcast or NBMA networks)
該接口通過點到多點的網絡與多台路由器相連。 (point-to-multipoint)
NBMA與點到多點的區別:在OSPF協議中NBMA和點到多點都是指非廣播多點可達的網絡,但NBMA網絡必須滿足全連同(full meshed)的要求。急任意兩點都可以不經轉發而使報文直達對端。否則,我們稱該網絡是點到多點網絡。
7.8.4計算路由
OSPF協議計算出路由主要有以下三個主要步驟:
描述本路由器周邊的網絡拓撲結構,並生成LSA。
將自己生成LSA在自治系統中傳播。並同時收集所有的其它路由器生成的LSA。
根據收集的所有的LSA計算路由。
7.8.5OSPF協議報文
OSPF協議報文有五種:
HELLO報文(hello packet):最常用的一種,週期性的發送給本路由器的鄰居。內容包括一些定時器的數值,DR,BDR,以及自己已知的鄰居。
DD報文(database description packet):兩台路由器的數據庫同步時,用DD報文來描述自己的LSDB,內容包括LSDB中每一條LSA的摘要(摘要是指LSA的HEAD,通過該HEAD可以唯一的標識一條LSA)。
LSR報文(link state request packet):兩台路由器相互交換過DD報文後,知道對端的路由器有哪些LSA是本地的LSDB所缺少的或是對端更新的LSA,這時需要發送LSR報文向對方請求所需的LSA。內容包括所需要的LSA的摘要。
LSU報文(link state updata packet):用來向對端路由器發送所需的LSA,內容是多條LSA的集合。
LSAck報文(link state acknowledgment packet):用來對接收到的LSU報文進行確認。內容是需要確認的LSA的HEAD(一個報文可對多個LSA進行確認)。
7.8.6區域劃分。
網絡中多個路由器都運行OSPF協議時,出現以下問題:
l每個路由器都保存著整個網絡中其它所有路由器生成的LSA,這些LSA集合組成LSDB,路由器數量的增多會導致LSDB非常龐大,會佔用大量的存儲空間。
l LSDB的龐大會增加運行SPF算法的複雜度,導致CPU負擔很重。
l網絡規模增大,拓撲結構發生變化的概率也增大,為同步這種變化,網絡中會有大量的OSPF報文在傳遞,降低了網絡帶寬利用率。每一次變化都會導致網絡中所有路由器重新進行路由計算。
解決方法:減少LSA的數量;屏蔽網絡變化波及的範圍。
OSPF通過自治系統劃分不同區域來解決上述問題。
l每個網段必須屬於一個區域,或者說每個運行OSPF協議的接口必須指明屬於某一個特定的區域,區域用區域號來標識。區域號是一個從0開始的32為整數。
l不同的區域之間通過ABR來傳遞路由信息。
7.8.7骨幹區域與虛連接
骨幹區域:OSPF劃分區域後,區域號為0的,稱為骨幹區域。
劃分區域後,區域之間是通過ABR將一個區域那的已計算出的路由封裝成type3類的LSA發送到另一個區域之中來傳遞路由信息。此時LSA所包含的不再是鏈路狀態信息,而是純粹的路由信息。這樣涉及到一個問題:路由自環。
解決方法:所有的ABR將本區域內的路由信息封裝成LSA後,統一的發送給一個特定的區域,再由該區域將這些信息發送給其他區域。在這個特定的區域內,每一條LSA都確切的知道生成者信息。在其他區域內所有的到區域外的路由都會發送到這個特定區域中,所以就不會產生路由自環。特定區域就是骨幹區域。每一個ABR連接區域中至少有一個骨幹區域,且骨幹區域自身也必須是連同的。
虛連接:在兩台ACR之間,穿過一個非骨幹區域,建立的一條邏輯上的連接通道。 “邏輯通道”指兩台ABR之間的多台運行OSPF的路由器只是起到一個轉發報文的作用。
注意:如果自治系統北劃分為一個以上的區域,則必須有一個區域是骨幹區域,並且保證其他區域與骨幹區域直接相連或者邏輯上相連,且骨幹區域自身也必須是連通的。
7.8.8OSPF協議的基本配置
l配置路由器的Router ID
[Quidway]router id A.B.C.D
l啟動OSPF協議:必須在全局模式下
[Quidway]ospf enabled
l配置OSPF區域:必須為每一個OSPF協議的接口制定一個區域
[Quidway]ospf enable area area_id (在接口模式下)
7.9小結
l路由和路由表
l靜態路由的配置
l動態路由協議的概述
l距離矢量路由協議的概述
l路由環路的產生和解決措施
l RIP路由協議的原理、配置和調試
l OSPF路由協議簡介
第八章訪問控制列表及地址轉換
8.1培訓目標
訪問控制列表的基本原理標準和擴展訪問控制列表的配置方法地址轉換的基本原理和配置方法
8.2訪問控制列表概述
8.2.1IP包過濾技術介紹
對路由器需要轉發的數據包,先獲取包頭信息(包括IP層所承載的上層協議的協議號,數據包的源地址、目的地址、源端口號和目的端口號等)然後和設定的規則進行比較,根據比較的結果對數據包進行轉發或者丟棄。實現包過濾的核心技術是訪問控制列表。
8.2.2訪問控制列表的作用
訪問控制列表具有區分數據包的功能。
訪問控制列表可以用於防火牆;
訪問控制列表可以用於Qos(Quality of Service),對數據流量進行控制;
在DCC(撥號控制中心)中,訪問控制列表還可以用來規定觸發撥號的條件;
訪問控制列表還可以用於地址轉換;
在配置路由策略時,可以利用訪問控制列表來作路由信息的過濾。
8.2.3訪問控制列表原理
路由器將在使能訪問控制列表的接口上對所有的數據包進行規則的匹配檢查。
IP數據包具有一定的特徵,所承載的上層協議為TCP/UDP。 IP數據包包括(IP報頭(協議號、源地址、目的地址)、TCP/UDP報頭(源端口、目的端口)、數據)。
例如,我們可以定義以下規則:
l允許202.38.0.0、16網段主機使用協議HTTP訪問129.10.10.1
acl 101
rule permit tcp source 202.38.0.0. 0.0.255.255 destination 192.10.10.1 0.0.0.0 destination-port equal www
l禁止從202.110.0.0、16網段發出的所有訪問
acl 1
rule deny source 202.110.0.0 0.0.255.255
l不讓任何主機使用Telnet登錄
acl 101
rule deny tcp source any destination any destination-port equal telnet
l某台主機10.0.0.1、16能通過SMTP把郵件發給我們,但沒有其他主機能這樣做
acl 101
rule permit tcp source 10.0.0.1 0.255.255.255 destination any destination-port equal smtp
rule deny tcp source any destination any destination-port equal smtp
8.2.4訪問控制列表的分類
l利用數字標識訪問控制列表
l利用數字範圍標識訪問控制列表的種類
列表種類數字標識範圍
IP standard list 1—99
IP extended list 100–199
例如:
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
表示序號為1的訪問控制列表,它是標準訪問列表。
acl 100
rule deny tcp source any destination any destination-port equal smtp
表示序號為100的訪問控制列表,它是擴展訪問列表。
8.3標準訪問控制列表
8.3.1標準訪問控制列表概況
標準訪問控制列表隻隻是根據數據包的源地址對數據包進行區分,表明允許還是拒絕。
如:允許202.110.10.0網段的數據包通過,拒絕192.100.10.0網段的數據通過,則可以用標準訪問控制列表表示:
第5頁
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
rule deny ip source 192.110.10.0 0.0.0.255
8.3.2標準訪問控制列表的配置命令
acl acl-number [match-order auto | config]
rule {normal | special} {permit | deny} [source source-addr source-wildcard | any]
8.3.3反掩碼簡介
反掩碼也稱通配符,作用和子網掩碼相似。在反掩碼中相應位為1的地址中的位在比較中被忽略,為0的必須被檢查。
對於任何地址(255.255.255.255)可以用通配符any來代替。
8.4擴展訪問控制列表
8.4.1擴展訪問控制列表概況
擴展訪問控制列表使用除源地址外更多的信息描述數據包,表明允許還是拒絕。
對於使用TCP、UDP協議傳輸的數據包還可以同時使用端口號來對數據包做出區分。
8.4.2擴展訪問控制列表的配置
l配置TCP/UDP協議的擴展訪問列表
rule {normal | special } {permit | deny} {tcp |udp} [source source-addr source-wildcard |any] [source-port operator port1 [port2]] [destination dest-addr dest-wildcard |any] [destination -port operator port1 [port2] ][logging]
l配置ICMP協議的擴展訪問列表
rule {normal | special } {permit | deny} icmp [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [icmp-type icmp-type icmp-code] [logging]
l配置其它協議的擴展訪問列表
rule {normal | special } {permit | deny} {ip | ospf |igmp |gre} [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [logging]
8.4.3擴展訪問控制列表的*作符operator定義
*作符及語法意義
Equal portnumber等於端口號portnumber
Greater-than portnumber大於端口號portnumber
Less-than portnumber小於端口號portnumber
Not-equal portnumber不等於端口號portnumber
Rang portnumber1 portnumber2介於端口號portnumber1和portnumber2間
8.4.4擴展訪問控制列表的舉例
l rule deny icmp source 10.1.0.0. 0.0.255.255 destination any icmp-type host-redirect
l rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging
8.5如何使用訪問控制列表
l啟用防火牆
l定義訪問控制列表
l將訪問控制列表應用在接口上
實際應用中可能用到以下擴展應用:
1.設置防火牆的缺省過濾模式2.允許或禁止時間段3.設定時間段4.允許日誌主機
5.指定日誌主機6.顯示配置狀況
其中,2和4均在配置訪問控制列表中設置,1、3、5和6由專門的命令完成。
8.5.2防火牆的屬性配置命令
l打開或者關閉防火牆firewall {enable | disable}
l設置防火牆的缺省過濾模式firewall default {permit | deny}
l顯示防火牆的狀態信息display firewall
8.5.3在接口上應用訪問控制列表
l將訪問控制列表應用到接口上
l指明在接口上是OUT還是IN方向
l在接口視圖下配置: firewall packet-filter acl-number [inbound | outbound]
8.5.4時間包過濾
l timerange命令timerange {enable | disable }允許|禁止時間段
l settr命令settr begin-time end-time [begin-time end-time ……]設置特殊時間段
undo settr
l顯示isintr命令display isintr顯示當前時間是否在特殊時間段內
l顯示timerange命令display timerange顯示配置的時間段
8.5.5.日誌功能
日誌功能是允許在特定的主機上記錄下來防火牆的*作
開啟系統日誌[Quidway]info-center enable
配置日誌主機地址等相關屬性info-center loghost loghost-number ip-address port….
如將10.110.12.119作為日誌主機[Quidway]info-center loghost 0 10.110.12.119 514
顯示日誌配置信息display debugging
8.5.6訪問控制列表的組合
一條訪問列表可以由多條規則組成,對於這些規則,有兩種順序:auto和config。 Auto表示採用深度優先原則對訪問控制列表進行自動排序; config則表示一句用戶輸入的配置順序進行匹配,現配置的訪問規則一定會先匹配。可以用下列命令來配置訪問控制列表的匹配順序:
acl acl-number match-order [auto | config]
如果有兩條規則衝突,若匹配順序為auto(深度優先),描述的地址範圍越小的規則,將會優先考慮。
Rule deny 202.38.0.0 0.0.255.255
Rule permit 202.38.160.0 0.0.0.255
兩條規則結合則表示禁止一個大網段(202.38.0.0)上的主機但允許其中的一小部分主機(202.38.160.0)的訪問。
規則衝突時,訪問列表的匹配順序為config,這時現配置的訪問列表會被優先考慮。
8.6地址轉換簡介
8.6.1私有地址和公有地址
私有地址:10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
8.6.2地址轉換的原理
局域網利用一個公網的IP進行上網,即做了NAT。
8.6.3地址轉換的方式
利用acl控制地址轉換
8.6.4地址轉換的配置步驟
l定義一個訪問控制列表,規定什麼樣的主機可以訪問internet
l採用EASY IP或地址池方式提供公有地址
l根據選擇的方式(地址池方式還是EASY IP方式),在連接internet接口上允許地址轉換
l根據局域網的協議,定義合適的內部服務器
8.6.5EASY IP特性
在路由器上配置地址轉換通常有兩種方法:一種時配置訪問控制列表和接口的關聯,它是指地址轉換的直接使用接口的IP地址作為轉換後的源地址,適用於兩種情況:
1.在撥號方式下,用戶希望由協商方式得到的接口IP地址作為地址轉換後的源地址。
2.另一種情況時接口的IP地址固定,而用戶希望就使用接口本身的IP地址作為地址轉換的源地址。
配置訪問控制列表和接口的關聯(又稱EASY IP特性)的命令如下:在接口視圖下
nat outbound acl-number interface
缺省情況下,訪問控制列表不與任何接口關聯。
8.6.6使用地址池進行地址轉換
利用地址池進行地址轉換地址池用來動態、透明的為內部網絡的用戶分配地址。它是一些連續的IP地址集合,利用不超過32字節的字符串標識。
地址池可以支持更多的局域網用戶同時上internet
配置命令:
l定義一個地址池(在全局模式下進行)
nat address-group start-addr end-addr pool-name
l在接口上使用地址池方式進行地址轉換
nat outbound acl-number pool-name
每個地址池中的地址必須是連續的,每個地址池內最多可定義64個地址。
注意:當某個地址池已經和某個訪問控制列表相關聯進行地址轉換,是不允許刪除這個地址的。
8.6.7內部服務器應用
內部服務器地址轉換配置命令:
nat server global global-addr {global-port |any |domain |ftp |pop2 |pop3 |smtp |telnet |www } inside inside-addr {inside-port |any |domain |ftp |pop2 |pop3 |smtp |telnet | www} {protocol-number |ip |icmp |tcp |udp}
注意:1.inside-port是必須的,可為0或取值在1-65535之間的整數
2.若未定義global-port,global-port的值就等於inside-port的值。
8.6.8地址轉換的監控和維護
缺省情況下:TCP地址轉換有效時間為240秒;UDP地址轉換有效時間為40秒;ICMP地址轉換有效時間為20秒。
l顯示地址轉換配置
display nat
l設置地址轉換連接有效時間
nat aging-time {tcp |udp |icmp} seconds
nat aging-time default
l清除地址轉換連接
nat reset
8.6.9地址轉換的缺點
l地址轉換對於報文內容中含有有用的地址信息的情況很難處理
l地址轉換不能處理IP報頭加密的情況
l地址轉換由於隱藏了內部主機地址,有時候會使網絡調試變得複雜。
8.7訪問列表和地址轉換的綜合應用舉例
8.7.1組網圖
路由器Quidway2501通過接口serial0訪問internet,公司內部對外提供WWW、ftp、telnet服務,內部子網為129.38.1.0,對外的IP202.38.160.1。在路由器上配置了地址轉換,這樣(129.38.1.4)可以訪問internet,外部可以訪問內部服務器。通過防火牆配置,實現:
外部網絡只有特定主機(202.39.2.3)可以訪內部服務器。
內部網絡只有特定主機(129.38.1.4)可以訪問外部網絡。
8.7.2配置示例
步驟:1.允許防火牆2.定義擴展的訪問列表3.在接口上應用訪問控制列表
4.在接口上利用訪問控制列表定義地址轉換5.配置內部服務器的地址映射關係
配置:
!允許防火牆
[Quidway]firewall enable
!設置防火牆缺省的過濾方式為允許包通過
[Quidway]firewall default permit
!配置訪問規則禁止所有包通過
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
!配置規則允許特定的主機訪問外部網,允許內部服務器訪問外部網
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
!配置規則允許特定的用戶從外部網訪問內部服務器
[Quidway-acl-101]acl 102
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
!配置規則允許特定用戶從外部網取得數據(只允許端口大於1024的包)
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port greater-than 1024
!將規則101作用於從接口Ethernet0進入的包
[Quidway-ethernet0]firwall packet-filter 101 inbound
!將規則102作用於從接口serial0進入的包
[Quidway-serial0]firwall packet-filter 102 inbound
!在接口serial0上使用訪問控制列表101作地址轉換條件(Easy IP):
[Quidway-serial0]nat outbound 101 interface
!設置內部FTP服務器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
!設置內部Telnet服務器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
!設置內部WWW服務器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
其它內容如各端口IP地址,封裝協議等不再贅述。
8.8小結
l包過濾技術的基本規則和原理
l標準和擴展訪問控制列表的配置方法
l訪問控制列表用於防火牆
l地址轉換的基本概念和規則
l地址轉換的配置方法
第九章DCC、ISDN原理及配置
9.1培訓目標
理解DCC的基本功能及概念掌握DCC的基本配置方法
理解ISDN技術的一些基本概念掌握ISDN接口和協議的配置方法
9.2DCC概述
DCC是指路由器之間通過公用分組交換網進行互連時所採用的路由技術。適用於PSTN(公用電話交換網)和ISDN(綜合業務數據網)。
DCC不是協議,也沒有相應的國際標準。
9.2.1DCC相關名詞
物理接口:物理上實際存在的接口,如serial0或bri0。
Dialer接口:為了配置DCC設置的邏輯接口,具體的物理接口可通過捆綁到Dialer接口上而使能DCC。
撥號接口:對於撥號連接的泛指。
撥號串:即PSTN電話號碼或ISDN電話號碼。
Dialer-rule:配置能夠觸發撥號的條件,可以與訪問控制列表關聯使用。
*循DCC:相對於“共享DCC”而言的一種DCC配置方式。
共享DCC:為滿足多種不同撥號配置需靈活使用一些共同的物理接口而提出的。
DCC模塊在整個路由器軟件模塊中,與鏈路層模塊和CC/模擬撥號模塊互相提供服務。 DCC模塊與網絡層協議無關。
9.2.3DCC支持的網絡拓撲
點到點、點到多點、多點到多點
9.2.4DCC的功能
l承載IP、IPX網絡層協議:可以單獨承載,也可同時承載
l設定數據包觸發撥號的條件
l支持端口的優先級配置
l提供自動撥號功能
l提供流量控制
l支持回呼功能:基於PPP的CALLBACK;基於ISDN主叫識別的CALLBACK
l端口的緩衝隊列的設定
l對接如請求進行識別
l對空閒鏈路的時間設定
9.2.5DCC的應用
金融系統中常用DCC作備份線路、POS終端利用DCC遠程接入
9.3DCC配置準備
l網絡中哪些路由器使用DCC(哪些接口、何種傳輸介質、何種拓撲結構、接口是呼叫、接收還是既接收又呼叫)
l確定使用的接口類型(異步串口或ISDN BRI/PRI接口等)
l確定使用的接口封裝(PPP等)
l確定使用的網絡協議(IP或IPX)
l確定需要在DCC接口使用的動態路由協議(RIP等)
l選擇使用*循DCC或共享DCC兩種配置之一來配置
l配置DCC
9.4*循DCC
9.4.1*循DCC概述
一個物理接口可以直接配置成撥號接口,也可以配置成屬於唯一一個邏輯接口dialer口從而繼承該邏輯接口的DCC屬性。
配置:1.根據組網方式決定配置的端口是要單點還是多點呼叫、是要接收單點還是多點呼叫或者既要接受呼叫又要發出呼叫
2.配置開始撥號的觸發條件:Dialer-rule
3.配置DCC接口發出或者接受呼叫(包括Dialer口的配置)
4.配置DCC相關參數
在*循DCC方式中,有兩種方式配置:已是直接在物理接口上使能DCC,另外一種是配置邏輯DCC口:dialer口,並且使物理接口與dialer口綁定在一起。
9.4.2dialer口介紹
Dialer interface是一個邏輯接口,其中包含一組物理接口。
9.4.3配置Dialer-rule
Dialer-rule的作用是區分數據包是需要通過DCC傳送的包。配置Dialer-rule要在全局配置模式下。
Dialer-rule:觸發撥號連接的條件
配置Dialer-rule:
dialer-rule dialer-group protocol-name {permit | deny}
配置方法:
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source any destination any
[Quidway]dialer-rule 1 acl 101
如果這樣配置,主機129.38.1.4將不能觸發撥號。
配置相應的撥號接口使用哪個Dialer-rule
dialer-group group-number
DCC對發送報文處理的情況:
1.對於不是interesting的報文,若當前沒有可發送該報文的撥號鏈路建立,則DCC將丟棄該報文;
2.對於interesting報文,若當前沒有可發送該報文的撥號鏈路,則DCC將進行撥號,病患存該報文。
3.若當前已有發送該報文的撥號鏈路,則無論該報文是否為interesting,DCC都將從此撥號鏈路上發送該報文。
Dialer-rule有兩種配置方式(不能同時使用):
l直接配置到protocol;
l通過access-list來配置
9.4.4配置接口發出呼叫
l在接口上使能DCC通過異步串口進行呼叫,需使用dialer enable-circular命令;對於ISDN接口,系統會自動加載。 dialer enable-circular命令是*循DCC中使能DCC的命令。
l對於點到點的撥號連接,可以使用dialer number或者dialer router命令來定義撥號串口:
當通過該接口只呼叫一個目的地址時,使用
dialer number dial-number [:isdnsubaddress]
對多點進行呼叫時,使用
dialer router protocol next-hop-address [user hostname] [broadcast] [dial-number [:isdnsubaddress]] [autodial] [logic-channel logic-channel-number]
l對於點到多點的撥號連接,只能使用dialer route
如果需要配置驗證(PAP/CHAP),按照PAP/CHAP配置方式配置
以上命令在接口模式下使用,接口包括物理接口和Dialer口。
9.4.5配置接口接收呼叫
接收單點呼叫,使用Dialer enable-circular命令使能DCC,對於ISDN接口不需配置
從多點接收呼叫:
系統試圖下配置用戶列表: local-user user [password {simple | cipher} password]
在接口上使能DCC: dialer enable-circular
封裝PPP協議以及選擇驗證方式: link-protocol ppp pppauthentication-mode {chap |pap}
設置遠端用戶名與協議地址對應關係: dialer route protocol next-hop-address user hostname
9.4.6配置接口發起和接受呼叫
從多點發出和接受呼叫
l在系統試圖下配置用戶列表
local-user user [password {simple | cipher } password]
l在接口上使能DCC dialer enable-circular
l如要進行驗證,選擇驗證方式及配置相應的驗證參數
l配置遠端接口協議地址與用戶名及撥號串對應關係
dialer route protocol next-hop-address user hostname dial-number [:/isdnsubaddress]
9.4.7*循DCC配置舉例
模擬銀行備份示例。 Router A模擬銀行的營業網點側,Router B模擬銀行的地市行主機網絡。 Router A的同/異步串口serial0與Router B的同/異步串口serial0通過電?苯幼魑饗唄罰琑outer A的serial0口IP地址由Router B分配。 Router A的同/異步串口serial1通過modem接入電話網,serial1 IP地址由對端分配,電話號碼時6688001,Router B的同/異步串口serial1通過modem接入電話網,電話號碼時6688002。
配置:
(1)配置路由器A:
[Quidway]dialer-rule 1 ip permit (設定撥號觸發條件)
[Quidway]interface serial 0
[Quidway-serial0]ip address ppp-negotiate (允許接口進行IP地址協商)
[Quidway-serial0]standby interface serial 1 (為主接口指定serial1接口作為備份接口)
[Quidway-serial0]standby timer enable-delay 10 (從主接口切換到備份接口為10秒)
[Quidway-serial0]standby timer disable-delay 10 (從備份接口切換到主接口為10秒)
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async (設置同步物理接口工作模式為異步方式)
[Quidway-serial1]modem (modem [in | out]允許modem呼入和呼出)
[Quidway-serial1]dialer enable-circular
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer number 6688002
[Quidway-serial1]ppp pap local-user quidwaya password simple quidwaya
[Quidway-serial1]ip address ppp-negotiate
(2)配置路由器B:
[Quidway]dialer-rule 1 ip permit
[Quidway]interface serial 0
[Quidway-serial0]ip address 1.0.0.2 255.0.0.0
[Quidway-serial0]remote address 1.0.0.1 (remote address {ip-address |pool [pool-name]}配置為對端接口分配的IP地址)
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]dialer enable-circular
[Quidway-serial1]dialer-group 1
[Quidway-serial1]ppp authentication pap
[Quidway-serial1]ip address 2.0.0.2 255.0.0.0
[Quidway-serial1]remote address 2.0.0.1
9.5共享DCC
9.5.1共享DCC簡介
l為滿足不同用戶定義不同的呼叫服務的需求而提出的
l將物理接口的配置和呼叫的邏輯配置分離開。
9.5.2共享DCC各元素及其之間的關係
一個dialer profiles包括:
l一個dialer interface的配置,是一個邏輯端口的配置,包括一個IP網絡地址,用以表明該接口所建立呼叫的目的網段;和一個dialer number,供撥號使用用於到達一個目的的網絡。
l dialer interface得屬性,如idle-timeout,enable-timeout等
l一個dialer bundle,是物理端口的集合,並且有優先級,由dialer interface使用。
在一個dialer profiles中,dialer interface、dialer bundle和物理端口之間的關係:去往同一個目的的網絡的所有呼叫使用同一個dialer profiles。
每個dialer interface使用一個dialer bundle,一個dialer bundle中的每一個物理端口都具有不同的優先級。一個物理端口可以屬於不同的dialer bundle。
一個dialer interface只能使用同一個dialer bundle,一個物理接口可以是幾個dialer bundle的成員,一個dialer bundle可以包含一個或多個物理端口。
9.5.3共享DCC配置
設置DCC端口的撥號觸發條件:Dialer-rule。
創建一個dialer interface,為其指定IP地址,撥號串,dialer bundle等參數。
定制dialer interface的DCC特性。
配置物理接口,使它成為dialer bundle的成員。
DCC斷口的撥號觸發條件的配置與*循DCC一致。
9.5.4配置dialer interface
l創建一個dialer interface interface dialer number
l設置PPP封裝以及選擇驗證方式link-protocol ppp CHAP or PAP
l使能共享DCC以及設置撥號串dialer user username dialer number dialer-number
由於ISDN接口(BRI口和PRI口),由於缺省配置為使能*循DCC:dialer enable-circular,所以首先要取消使能*循DCC的設置:undo dialer enable-circular;然後才能共享DCC 。
l設置相應的dialer bundle號dialer bundle number
l設置dialer interface屬於一個dialer bundle dialer circular group number
9.5.5為dialer口配置DCC特性
l設置鏈路空閒時間dialer timer idle seconds
l設置忙端口的鏈路空閒時間dialer timer compete seconds
l設置鏈路斷開後重新撥號的時間dialer timer enable seconds
l設置端口數據發送的最大等待時間dialer timer wait-carrier seconds
9.5.6配置物理接口
l進入物理接口配置模式interface interface-type interface-number
l封裝PPP link-protocol ppp
l設置PPP驗證ppp authentication-mode chap | ppp
l指定接口屬於哪個dialer bundle dialer circular-group number
如果在此物理接口上要接收呼叫,必須配置PPP驗證。
9.5.7共享DCC對MP的支持
l dialer口配置流控dialer threshold traffic-percentage [in-out | in | out] (配置流控閥值)
l物理接口上配置MP ppp mp
l系統試圖下配置流量檢測週期flow-interval minutes
9.5.8共享DCC配置舉例
應用共享DCC,我們可以配置一個串口,使其既可用來撥號訪問internet,又可用來撥號連接遠端的路由器。如上圖,微機A可通過路由器A訪問internet或與遠端路由器B撥號相連,在其中我們假定用戶通過163特服號訪問internet,其註冊的用戶名為163,口令為163。在本例中我們可以配置路由器C來模擬接入服務。
配置:
(1)配置路由器A
[Quidway]acl 1
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]rule permit source 20.0.0.0 0.0.0.255
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user userb password simple passb
[Quidway]local-user userc password simple passc
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 20.0.0.1 255.0.0.0
[Quidway-ethernet0]interface dialer 0
[Quidway-dialer0]ip address 1.0.0.1 255.0.0.0
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user userb
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp authertication pap
[Quidway-dialer0]ppp pap local uaera password simple passa
[Quidway-dialer0]dialer number 8810048
[Quidway-dialer0]interface dialer 1
[Quidway-dialer1]ip address ppp-negotiate
[Quidway-dialer1]nat outbound 1 interface
[Quidway-dialer1]ppp authentication pap
[Quidway-dialer1]dialer bundle 2
[Quidway-dialer1]dialer user userc
[Quidway-dialer1]dialer-group 1
[Quidway-dialer1]ppp pap local-user 163 password simple 163
[Quidway-dialer1]dialer number 163
[Quidway-dialer1]interface serial 0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer bundle-member 1
[Quidway-serial0]dialer bundle-number 2
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp authentication pap
(2)配置路由器B
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user usera password simple passa
[Quidway]ip route 20.0.0.0 255.0.0.0
[Quidway]interface dialer 0
[Quidway-dialer0]ip address 1.0.0.2 255.0.0.0
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user usera
[Quidway-dialer0]dialer number 8810052
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp authentication pap
[Quidway-dialer0]ppp pap loacal-user userb password simple passb
[Quidway-dialer0]interface serial 0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer bundle-member 1
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp authtication pap
(3)配置路由器C (模擬接入服務,用*循DCC配置)
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user 163 password simple 163
[Quidway]ip pool 12.0.0.1 255.0.0.0
[Quidway]interface dialer 0
[Quidway-dialer0]ip address 2.0.0.2 255.0.0.0
[Quidway-dialer0]remote address pool 1
[Quidway-dialer0]dialer enable-circular
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]link-protocol ppp
[Quidway-dialer0]ppp authentication pap
[Quidway-dialer0]ppp pap local-user userc password simple passc
[Quidway-dialer0]interface serial0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer circular-group 0
配置關鍵點:
在路由器A上配置邏輯連接口dialer0對應到路由器B的撥號連接,配置邏輯接口dialer1用於撥號上網(對應路由器C)。兩個邏輯接口都使用物理接口serial0,但分別對應於不同的網絡,而且可以配置不同的特性參數。
1. local-user userb password simple passb (local-user user [password {simple |cipher} password])設置用戶口令驗證密碼,userb為對端路由器B發送過來的認證名。
2. dialer user userb (dialer user username)該命令使能共享DCC,並且設置對端用戶名一邊接收呼叫時能驗證請求。
3. ppp authentication pap,設置ppp對對端路由器的驗證方式為PAP;ppp pap local-user usera password simple passa (ppp pap local-user username password {simple |cipher} password),該命令配置本地路由器作為pap方式驗證的被驗證端時發送的用戶名和口令。
4. dialer bundle 1 (dialer bundle number)在共享DCC的配置中,設置一個dialer接口使用的撥號池。
5. dialer bundle-member 1、dialer bundle-member 2 (dialer bundle-member number [priority priority]),在共享一個物理接口屬於拿一個dialer bundle,priority為物理接口在這個dialer bundle中的優先級此命令只用於物理接口。
9.6DCC的監控與維護
顯示DCC端口的信息
display dialer interface [interface-type interface-number]
顯示DCC的調試信息
debugging dialer event (顯示DCC呼叫建立信息)
debugging dialer packet (顯示DCC數據包發送信息)
9.7.DCC配置注意事項
1.必須配置dialer-group 2.同/異步串口應用DCC時的配置3.網絡層地址的配置
4.共享DCC配置方式,接收入呼叫時PPP的配置5.*循DCC配置方式下,接收入呼叫時PPP的配置
9.8ISDN技術
9.8.1概述
綜合業務數字網(integrated services digital network),提供端到端的數字連接,ITU-T的ISN協議模型,ISDN的用戶-網絡接口規範。
ISDN提供多種安全措施:1.呼叫鏈路識別:此功能由服務商提供; 2.PAP:明文傳送的密碼驗證
4. CHAP:密文傳送的密碼驗證4.RADIUS:工業標準的Client/server結構安全訪問協議。
ISDN的兩種信道:1.B信道(64kbps) 2.D信道(16或64kbps)
ISDN用戶接口類型:1.基本速率接口(BRI):2B+D(144kbpd,D信道16kbps)單一物理連接、兩條邏輯連接、客戶端適用
2.基群速率接口(PRI):30B+D(2048kbps,D信道64kbps)單一物理連接、30條邏輯連接、中心點適用
9.8.2ITU-T的ISDN協議模型
由三個平面組成,對應著三種不同類型的信息:
1.控制平面C:關於控制信令的協議,分七層,覆蓋了所有對呼叫和對網絡性能的控制
2.用戶平面U:用戶信息的協議。分七層,覆蓋了在用戶信息傳送的信道上實行數據交換的全部規則
3.管理平面M:不分層,關於終端或ISDN節點內部*作功能的規則。
一般來說,C平面和U平面都可以通過原語和管理平面M進行通信,由M平面中的管理實體來協調C和U之間的動作。 C和U之間不直接通信。
9.8.3ISDN的用戶-網絡接口規範
功能群分為:
l網絡終端1(NT1):實現OSI第一層的功能,包含用戶線傳輸功能、環路測試和D信道競爭等。
l網絡終端2(NT2):又稱智能網絡終端,包含了OSI的1-3層
l 1類終端設備(TE1):又稱ISDN標準終端,符合ISDN接口標準的用戶設備
l 2類終端設備(TE2):又稱非ISDN標準終端,不符合ISDN接口標準的用戶設備
l終端適配器(TA):完成適配功能,使TE2接入ISDN標準接口
參考點包括:
l R參考點:位於非ISDN設備和TA之間
l S參考點:位於用戶終端和NT2之間
l T參考點:位於NT1和NT2之間
l U參考點:位於NT1設備和線路終端設備之間
9.8.4ISDN終端設備的功能
網絡終端(NT):是用戶傳輸線路的終端裝置,是實現在普通電話線上進行數字信號轉送和接收的關鍵設備,是電話局程控交換機和用戶的終端設備之間的接口設備。改設備安裝於用戶處,是實現N-ISDN功能的必備終端。
l一類網絡終端(NT1):一頭接ISDN電話線,另一頭接數字電話、ISDN適配卡等。只能接標準的ISDN設備,模擬電話機等不能接入。
l智能網絡終端(NT2):一頭接ISDN電話線,可以接入數字電話等標準ISDN設備,也可接入模擬電話、傳真機、modem等模擬設備。
ISDN用戶終端:
l ISDN適配卡:內置式插卡,接在NT1或NT1+的S/T口上。用於台式機。
l ISDN適配器(TA):提供RS232接口或USB接口
l ISDN數字電話:標準的ISDN終端,接在NT1或NT1+的S/T口上。
l ISDN可視電話:
若通過ISDN一邊上網,一邊打電話,可採用NT1+以及ISDN適配卡或適配器,電話接在NT1+的模擬口上,通過ISDN適配卡或適配器上網。
9.8.5配置ISDN BRI接口
l配置在ISDN BRI接口上運行IP網絡協議
l配置在ISDN BRI接口上運行IPX網絡協議
l配置通過ISDN BRI接口訪問internet
ISDN BRI接口包含2B+D三個通信信道。 B信道是用戶信道,64kbps;D信道是控制信道,16kbps。
ISDN BRI接口缺省的封裝鏈路層協議為:PPP,支持IP和IPX等網絡層協議。
9.8.6ISDN BRI接口上運行IP協議
l配置ISDN協議工作參數
l配置ISDN BRI接口的IP地址
l配置呼出到目的地的dialer router
l配置封裝鏈路層協議ppp及其驗證
l配置激活呼叫的dialer group和dialer rule
l配置DCC工作參數
l配置相關的IP路由
配置舉例:
Remote Site路由器的BRI口Bri0接入ISDN網,Bri0的IP地址是10.110.0.1。 Central Site路由器的BRI口的IP地址是10.110.0.2,使用號碼是8810124。
配置:
[Quidway]dialer-rule 1 ip permit設置觸發撥號條件
[Quidway]interface bri 0
[Quidway-bri0]ip address 10.110.0.1 255.255.255.0配置ISDN BRI接口IP地址
[Quidway-bri0]dialer toute ip 10.110.0.2 8810124配置到中心路由器的呼出dialer route
[Quidway-bri0]link-protocol ppp在BRI口上封裝鏈路層協議PPP
[Quidway-bri0]dialer-group 1指定dialer group,即指定接口所採用的出發撥號的條件
[Quidway-bri0]undo shutdown重新啟動
[Quidway-bri0]ip route 0.0.0.0 0.0.0.0 10.110.0.2配置到中心路由器的靜態路由
9.8.7配置ISDN協議
l設置數字入呼叫時需檢查的被叫號碼或子地址
[undo] isdn check-called number [called-party] [:subaddress]
l配置ISDN DoV
配置接口發起連接的呼叫方式[undo] dialer data2voice
配置接口對呼叫的處理方式[undo] isdn voice2data
9.8.8ISDN協議的監控和維護
l顯示當前激活的呼叫信息
[Quidway]display isdn active-channel interface bri 0
l顯示ISDN接口當前的狀態
[Quidway]display isdn call-info
l顯示ISDN定時器的值
l ISDN的調試信息
Debugging isdn {cc | q921 |q931 | qsig {alarm | all | call-state |error | information | message}} [interface type number]
以上為打開ISDN的調試開關。
9.8.9ISDN應用配置的舉例
路由器A的一個BRI口通過ISDN連接遠端的接入服務器。要求根據流量實時控制訪問帶寬。假設ROUTER A的連接的局域網網段地址是10.110.10.0/24。本例用共享DCC實現。
(1)配置路由器A
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway]dialer-rule 1 ip permit
[Quidway]flow-interval 1 flow-interval minites統計接口流量時間間隔,單位分鐘
[Quidway]interface dialer 0
[Quidway-dialer0]ip address ppp-negotiate
[Quidway-dialer0]nat outbound 1 interface
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user server
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp pap local-user 163 password simple 163
[Quisway-dialer0]dialer number 8801048
[Quidway-dialer0]ppp mp封裝PPP的接口工作在MP方式
[Quidway-dialer0]dialer threshold 80 dialer threshold traffic-percentage [in-out | in | out]負載閥值
[Quidway-dialer0]interface bri 0
[Quidway-bri0]undo dialer enable-circular取消使能*循DCC
[Quidway-bri0]dialer bundle-member 1
[Quidway-bri0]ip route 0.0.0.0 0.0.0.0 dialer 0
9.9本?氐?br /> l了解DCC的用途及功能
l掌握DCC的基本配置
l了解ISDN技術
l掌握ISDN的基本配置
9.10附錄
9.10.1DCC撥號建立連接的過程
1.鏈路層調用DCC_Routing要求DCC提供二次路由;
2.DCC向CC/模擬撥號模塊發送原語ISDN_CONN_REQ;
3.CC/模擬撥號模塊與遠端通訊;
4.與遠端建立連接後,CC/模擬撥號模塊向DCC發送原語ISDN_CONN_CFM;
5.DCC調用Link_DCC_loCtl,通知鏈路層DCC_Call_Up;
6.鏈路層與遠端進行協商;
7.鏈路層將協商的結果告知DCC
8DCC判斷對端的地址、名稱等信息,確定是否緝拿裡本次連接。並告之鍊路層;
9.若連接建立,鏈路層與遠端通信。
9.10.2回呼(Callback)
回呼:1.增加安全性2.改變話費承擔方
Callback分類:1.ISDN主叫識別回呼2.基於PPP的回呼
Callback的步驟: 1.呼叫端發起呼叫2.接收端接收呼叫,並確定是否回呼3.接收端回呼發起呼叫端
ISDN主叫識別回呼的配置
l進入指定撥號接口的配置模式(系統視圖下使用)
interface interface-type interface-number
l對於與remote-number相匹配的呼入進行回呼或接入(撥號視圖下使用)
dialer call-in remote-number callback
l設置回呼前的延遲時間
dialer timer enable seconds
A.對於一個入呼叫,根據呼入號碼與本端所配置的dialer call-in的匹配情況,分三種不同的處理方式
拒絕該呼入——當設置了dialer call-in,且呼入號碼沒有相匹配的dialer call-in。
接收該呼入——沒有配置dialer call-in,或呼入號碼與一無“callbak”關鍵字的dialer caller相匹配。
回呼——呼入號碼與一含“callback”關鍵字的dialer call-in相匹配。
B.呼入號碼與dialer caller的匹配採用“右端匹配”,用“*”來對應任意字符。
PPP回呼的配置
l設置本端為回呼server/client端
ppp callback {client | server}
l配置根據對端的用戶名查找匹配的dialer route進行回呼
dialer callback-center user
l或配置根據回呼撥號串進行回呼
dialer callback-center dial-number
l如果配置了dialer callback-center dialer-number,需要配置回呼撥號串
local-user name callback-number telephone-number
第十章備份中心原理及配置
10.1培訓目標
1.掌握備份中心的基本功能2.能夠在華為路由器上配置備份中心的功能
10.2什麼是備份中心
10.2.1什麼是備份中心
備份中心是VRP中管理備份功能的模塊,它為路由器的接口提供備份。
10.2.2備份中心的功能
l主接口1.被其他接口備份2.除dialer口外的其他接口
l備份接口1.備份其他接口32.除以太口外的其他接口
l任何接口物理接口,子接口,邏輯接口
10.3備份中心配置任務
10.3.1備份中心配置任務列表
l進入將備份得主接口視圖
l指定主接口使用的備用接口及其優先級
l設置主備接口切換的時延
l配置邏輯通道狀態的判斷條件
l配置備份負載分擔
10.3.2進入主接口配置模式
l主接口是一物理接口
interface interface-type interface-number
l主接口是一邏輯通道
x25 map protocol address x121-address x.121-add [logic-channel logic-channel-num]
fr map protocol address dlci dlci [logic-channel logic-channel-num]
dialer route protocol next-hop dialer-string [logic-channel logic-channel-num]
logic-channel logic-channel-number
10.3.3設定主接口使用的備份接口及優先級
l若備份接口是物理接口,在主接口視圖?付ū阜萁湧?br /> standby interface interface-type interface-num [priority]
l若備份接口是邏輯接口
在主接口視圖下,指定備份邏輯通道號
standby logical-channel number [priority]
在備份接口視圖下,建立邏輯通道與虛電路或dialer route的對應關係
x25 map protocol address x121-address x.121-add [logic-channel logic-channel-num]
fr map protocol address dlci dlci [logic-channel logic-channel-num]
dialer route protocol next-hop dialer-string [logic-channel logic-channel-num]
10.3.4配置主備份接口切換條件
l設置從主接口切換到備用接口的延時
standby timer enable-dlay seconds
l設置從備用接口切換到主接口的時延
standby timer disable-delay seconds
10.3.5設定判斷主接口邏輯通道down和up的條件
若主接口是邏輯通道,還需設置邏輯通道狀態的判斷條件,在主接口試圖下配置
設置主邏輯通道狀態為down條件:若呼叫times次仍未成功,則認為邏輯通道的狀態為down,
standby state-down times
檢測主邏輯通道是否up:為了判定邏輯通道的狀態是否恢復為up,設置時間間隔以定時檢查
standby state-up interval-seconds
10.3.6配置備份負載分擔
負載分擔:當流量超過一定限度時啟動備份接口。
在主視圖下配置:
standby threshold enable-threshold disable-threshold
其中:enable-threshold,流量上限百分比(0-99),超過此上限時啟動備份接口
disable-threshold流量下限百分比(0-99),低於此上限時關閉備份接口
10.4配置舉例
10.4.1配置舉例(一)
1.組網需求:
Router 1的ethernet 0口IP地址為:130.1.1.1,Router 2的ethernet 0口IP地址為131.1.1.1
本配置中,serial0接口配置為PPP封裝,作為主接口。 Serial1接口配置成撥號口,作為備份口。主接口down掉後備份接口自動開始撥號建立連接,主接口恢復後從備份接口切換回主接口。
2.配置步驟:
配置Router 1:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]ip address 129.102.0.1 255.255.0.0
[Quidway-serial0]standby interface serial 1
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]ip address 10.110.0.1 255.255.0.0
[Quidway-serial1]dialer enable-legacy
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer route ip 10.110.0.2 8810026
[Quidway-serial1]quit
[Quidway]dialer-rule 1 ip permit
[Quidway]ip route-static 131.1.1.0 255.255.255.0 129.102.0.2
[Quidway]ip route-static 131.1.1.0 255.255.255.0 10.110.0.2
配置Router 2:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]ip address 129.102.0.2 255.255.0.0
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]ip address 10.110.0.2 255.255.0.0
[Quidway-serial1]dialer enable-legacy
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer route ip 10.110.0.1 8810025
[Quidway-serial1]quit
[Quidway]dialer-rule 1 ip permit
[Quidway]ip route-static 130.1.1.0 255.255.255.0 129.102.0.1
[Quidway]ip route-static 130.1.1.0 255.255.255.0 10.110.0.1
10.4.2配置舉例(二)
使用PPP連接備份X.25邏輯通道的配置實例,serial 1被配置為serial 0上的邏輯通道10的備份接口。
1.組網需求
在serial 0上定義了邏輯通道10,作為主接口。 Serial 1接口配置成PPP封裝,並設置當主邏輯通道down掉後,每隔10秒檢查是否恢復up。
2.配置步驟:
配置Router 1:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]link-protocol x25 dce
[Quidway-serial0] ip address 129.102.0.1 255.255.0.0
[Quidway-serial0]x25 x121-address 1000
[Quidway-serial0]x25 map ip 129.102.0.2 x121-address 2000 logic-channel 10
[Quidway-serial0]quit
[Quidway]logic-channel 10
[Quidway-logic-channel10]standby interface serial 1
[Quidway-logic-channel10]standby state-up 10
[Quidway-logic-channel10]quit
[Quidway]interface serial 1
[Quidway-serial1]ip address 10.110.0.1 255.0.0.0
[Quidway]ip route-static 131.1.1.0 255.255.255.0 129.102.0.2
[Quidway]ip route-static 131.1.1.0 255.255.255.0 10.110.0.2
配置Router 2:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 131.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]link-protocol x25 dte
[Quidway-serial0] ip address 129.102.0.2 255.255.0.0
[Quidway-serial0]x25 x121-address 2000
[Quidway-serial0]x25 map ip 129.102.0.1 x121-address 1000
[Quidway-serial0]quit
[Quidway]interface serial 1
[Quidway-serial1]ip address 10.110.0.2 255.0.0.0
[Quidway]ip route-static 130.1.1.0 255.255.255.0 129.102.0.1
[Quidway]ip route-static 130.1.1.0 255.255.255.0 10.110.0.1