|
|
6.1 培训目标
广域网协议概述、HDLC协议原理及配置、PPP、MP协议原理、配置及维护
X.25协议原理、配置及维护、帧中继协议原理及维护
6.2 6.2广域网协议概述
l 广域网简称WAN (wide area network),是在一个广泛范围内建立的计算机通信网
l 广域网是一种跨地区的数据通讯网络,使用电信运营商提供的设备作为信息传输平台
l 广域网主要用来将距离较远的局域网彼此连接起来
对于OSI参考模型,广域网技术主要位于底层的3个层次,分别是物理层、数据链路层和网络层。
OSI参考模型 WAN技术
Network Layer(网络层) X.25
Data link layer(数据链路层) LAPB、Frame Relay、HDLC、PPP、SDLC
Phsical Layer (物理层) x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530
广域网连接方式:
一、 点到点连接:主要形式有拨号电话线路、ISDN拨号线路、DDN专线、E1线路等。链路层上的封装协议有两种:PPP和HDLC、PPP协议是华为路由器上的确省封装。
二、 分组交换方式:多个网络设备在传输数据时共享一个点到点的连接,也就是说这条连接不是被某个设备独占,而是由多个设备共享使用。网络在进行数据传输时使用“虚电路VC”来提供端到端的连接。通常这种连接要经过分作交换网络,而这种网络一般都由电信运营商来提供。常见的广域网分组形式有X.25、帧中继(Frame Relay)、ATM等。
分组交换设备将用户信息封装在分组或数据帧中进行传输,在分组头或帧头中包含用于路由选择、差错控制和流量控制的信息。
6.3HDLC协议原理及配置
6.3.1 HDLC协议原理
标志 地址 控制 信息 帧校验 标志
l 面向比特
l 透明传输-----零比特填充法
l 运行于同步串行线路
高级数据链路控制HDLC是一种面向比特的链路层协议,其最大的特点是不需要数据必须是规定的字符集,对任何一种比特流,均可以实现透明的传输。只要数据流中不存在同标志的字段F相同的数据就不至于引起帧边界的错误判断。万一出现同边界标志字段F相同的数据,即数据流中出现六个连1的情况,可以用零比特填充法解决。
标准HDLC协议族中的协议都是运行于同步串行线路之上,如:DDN
HDLC的地址字段是8个比特,在平衡方式是时总是写入应答站的地址。
控制子段8比特,用来实现HDLC协议的各种控制信息,并标志本帧的类型。
在标准HDLC协议格式中我们可以看到,他没有包含标识所承载的上层协议信息的字段,所以在链路层封装标准HDLC协议的单一链路上只能承载单一的网络层协议。
6.3 6.3.2 HDLC协议配置
l 在接口上封装HDLC协议
link-protocol hdlc
l 设置存活时间以探寻链路及对端路由器的工作状况
timer hold
VRP支持HDLC协议封装,可与市场流行设备的HDLC协议互通。
在同步接口配置模式下进行下列配置。
*作 命令
配置接口封装HDLC Link-protocol hdlc
缺省情况下,接口封装的链路层协议为PPP.
需要注意的是:
(1) 只有当接口工作在同步方式下时,才能封装HDLC.
(2) 当接口封装了SLIP时,接口的物理属性不能被修改为同步模式。此时,必须先将接口的链路层封装改为PPP后,才能将接口的属性改为同步模式。
HDLC协议中的keepalive时延,用于设定状态*询定时器的*询时间间隔。
在同步接口配置模式下进行下列配置。
*作 命令
设置keepalive时延 Timer hold [seconds]
缺省情况下,keepalive时延为10秒,屈指范围为0~32767秒。
注意:链路两端设备设置的keepalive时延值必须相同。
6.4 6.4 PPP、MP协议原理及配置
6.4.1 PPP 协议简介
l PPP协议是在SLIP的基础上发展起来的。
l PPP协议是数据链路层协议,位于第二层
l 物理层可以是同步电路或一部电路
PPP(Point-to-Point)协议是在SLIP的基础上发展起来的,由于SLIP只支持异步传输方式,无协商过程,它逐渐被PPP协议所替代。PPP协议作为一种提供在点到点链路上的封装、传输网络层数据包的数据链路层协议,处于OSI参考模型的第二层,主要被设计用来在支持全双工的异步链路上进行点到点之间的数据传输。
PPP由于能够提供验证,易扩充,支持同异步而获得较广泛的应用。
PPP协议特点:
PPP协议是数据链路层协议;
支持点到点的连接(不同于X.25,Frame Relay等数据链路层协议);
物理层可以是同步电路或异步电路(如Frame Relay必须为同步电路);
具有各种NCP协议,如IPCP、IPXCP更好的支持了网络层协议;
具有验证协议PAP/CHAP,更好的保证了网络的安全性。
6.4.2 PPP的组成部分
l PPP协议主要由链路控制协议(LCP),网络控制协议族(NCPs)和用于网络安全方面的验证协议族(PAP和CHAP)组成
LCP主要用于建立,拆除和监控PPP数据链路,NCPs主要用于协商在数据链路上所传输的数据包的格式与类型。同时,PPP还提供了用于网络安全方面的验证协议族(PAP和CHAP)。
链路控制协议(LCP):建立、配置、测试PPP数据链路连接;
网络控制协议族(NCPS):协商在该链路上所传输的数据包的格式与类型,建立、配置不同网络层协议;
PPP扩展协议族:提供对PPP功能的进一步支持。
6.4.3 PPP协议栈
PPP是一个分层结构。在底层,它能使用同步媒体(如ISDN或同步DDN专线),也能使用异步媒介(如基于modem拨号的PSTN网络)。
在数据链路层,PPP在链路方面提供了丰富的服务,这些服务以LCP协商选项的形式提供。
在上层,PPP通过NCPs提供对多种网络层协议的支持。PPP对于每一种网络层协议都有一种封装格式来区别他们的报文。
6.4.4 PPP协商流程
PPP协商分为几个阶段:Dead阶段、Establish阶段、Authenticate阶段、Network阶段和Terminate阶段,在不同的阶段进行不同协议的协商。只有前面的协议协商出结果后,才能转入下一个阶段,进行下一个协议的协商。
1) 当物理层不可用时,PPP链路处于Dead阶段,链路必须从这个阶段开始和结束。当物理层可用时,PPP在建立链路之前先进行LCP协商,协商内容包括工作方式是SP还是MP、验证方式和最大传输单元等。
2) LCP协商过后就进入Establish阶段,此时LCP状态为Opened,表示链路已经建立。
3) 如果配置了验证(远端验证本地或本地验证远端)就进入Authenticate阶段,开始CHAP或PAP验证。
4) 如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down,如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而IPCP状态从Initial转到Request。
5) NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。通过NCP协商来选择和配置一个网络层协议。当选中的网络层协议配置成功后,该网络层协议就可以通过这条链路发送报文了。
6) PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(如用户的干预)。
6.4.5 PAP/CHAP验证
l PAP是两次握手验证协议,口令以明文传送,被验证方首先发起验证请求
验证过程如下:
被验证方发送用户名和口令到验证方:
验证方根据用户配置信息查看是否有此用户己口令是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。
如正确则会给对端发送ACK报文,通告对端已被允许进入下一阶段协商;否则发送NCK报文,通高对端验证失败。此时,并不会直接将链路关闭。只有当验证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传、网络干扰等造成不必要的LCP重新协商过程。
PAP的特点是在网络上以文明的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。因此,它适用于对网络安全要求相对较低的环境。
l CHAP是三次握手验证协议,不发送口令,主验证方首先发起验证请求,安全性比PAP高
CHAP验证为三次握手验证,口令为密文(密匙),CHAP验证过程:
l 验证方向被验证方发送一些随机产生的报文,并同时将本端的主机名附带上一起发送给被验证方;
l 被验证方得到对端对本端的验证请求(Challenge)时,便根据此报文中验证方的主机名和本端的用户表查找用户口令,如找到用户表中与验证方主机名相同的用户,便利用接受到的随机报文、此用户的密匙用Md5算法生成应答(Response),随后将应答和自己的主机名送回;
l 验证方接到此应答后,利用对端的用户名在本端的用户表中查找本方保留的口令字,用本方保留的口令字(密匙)和随机报文用Md5算法得出结果,与被验证方应答比较,根据比较结果返回相应的结果(ACK or NAK)。
它的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。
6.4.6 PPP协议配置命令
l 封装PPP link-protocol ppp
l 设置验证类型 ppp authentication-mode{pap|chap}
l 设置用户名、口令 local-user username password {simple|cipher} password
link-protocol ppp 命令是接口配置命令,它指定一个广域网的接口封装类型为PPP。缺省情况下,封装的链路层协议即为PPP.
ppp authentication-mode命令是接口配置命令,它指定验证方式,可选的验证方式为PAP和CHAP。需注意的是:验证是单项的,配置这条命令的一方作为验证方来验证对方。如果通讯的双方都要验证对方,则双方都应配置PPP authentication-mode 命令。
Local-user 命令是全局配置命令,他配置验证所需的用户名和口令。命令字password后的可选参数中,simple表示以明文的方式显示后面的口令,cipher表示以加密的方式显示后面的口令。
PAP 配置命令
l 验证方配置
配置验证方式 ppp authentication-mode pap
配置用户列表 local-user username password{simple|cipher} password
l 被验证方配置
配置PAP用户名 ppp pap local-user username password {simple|cipher} password
验证方配置
*作 命令
配置本地验证对端(方式为PAP) ppp authentication-mode pap [call-in] [scheme {default|name-list}]
将对端用户名和密码加入本地用户列表 Local-user username password {simple|cipher} password
被验证方配置
*作 命令
配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令 ppp pap local-user username password {simple|cipher} password
被验证方通过ppp pap local-user username password {simple|cipher} password将用户名和密码送给验证方,验证方通过查找本地用户列表(user列表)检查被验证方送来的用户名和密码是否完成正确,根据结果通过验证或拒绝对方。
CHAP配置命令
l 主验证方配置
*作 命令
配置本地验证对端 ppp authentication-mode chap
配置本地名称 Ppp chap host hostname
将对端用户名和密码加入本地用户列表 Local-user username password {simple|cipher} password
l 被验证方配置
*作 命令
配置本地名称 Ppp chap user username
将对端用户名和口令加入本地用户列表 Local-user username password {simple|cipher} password
6.4.7 PPP典型配置举例
l PAP验证举例
1. 配置需求
路由器Quidway1和Quidway2之间用接口Serial0互连,要求路由器Quidway1用PAP方式验证路由器Quidway2。
2. 配置步骤
配置路由器Quidway1:
[Quidway]local-user quidway2 password simple quidway
[Quidway-Serial0]interface serial 0
[Quidway-Serial0]ppp authentication-mode pap
配置路由器Quidway2
[Quidway] interface serial 0
[Quidway-Serial0]ppp pap loacal-user quidway2 password simple quidway
l CHAP验证举例
1. 配置需求
要求路由器Quidway1用CHAP方式验证路由器Quidway2。
2. 配置步骤
配置路由器Quidway1:
[Quidway]local-user quidway2 password simple simple hello
[Quidway]interface serial 0
[Quidway-Serial0]ppp chap user quidway1
[Quidway-Serial0]ppp authentication-mode chap
配置路由器Quidway2
[Quidway]local-user quidway1 password simple simple hello
[Quidway] interface serial 0
[Quidway-Serial0]ppp chap user quidway2
6.4.8 MP协议简介
MP是Multilink PPP的简写,是人们出于增加带宽的考虑,将多个PPP链路捆绑使用产生的,简称MP,Multilink PPP允许将报文分片,分片将从多个点对点链路上送到同一个目的地。
l MP方式下链路协商过程
1) 首先和对端进行LCP协商,协商过程中,除了协商一般的LCP参数外,还验证对端接口是否也工作在MP方式下。如果对端不工作在MP方式下,则在LCP协商成功后,进行一般的NCP协商步骤,不进行MP捆绑。
2) 然后对PPP进行验证,得到对方的用户名。如果在LCP验证中得知对端也工作在MP方式下,则根据用户名找到为该用户指定的虚拟接口模板,并以该虚拟模板的各项NCP参数(如IP地址等)为参数进行NCP协商,物理接口配置的NCP参数不起作用NCP协商通过后,即可建立MP链路,用更大的宽带传输数据。
一个PPP通道如果在LCP中协商了如下参数,则它能被绑定为MP的一个子通道:
l MRRU(Maximum Received Reconstructed Unit):最大接受重组单元,与普通PPP中的MRU参数类似。
l SSNHF(Short Sequence Number Header Format):短序列号MP报文头。这是可选参数。
l 终端描述符(Endpoint Discriminator):唯一标志一个网路实体(路由器、主机等)的字符串。只有终端描述符相同的PPP通道可以绑定到同一个MP。如PPP配置了用户验证功能,则MP子通道在验证通过后,就要把自己绑定到一个MP上。用于绑定的标志有两个:用户名和终端描述符。
6.4.9 MP协议配置命令
在配置MP之前,需要先完成虚拟接口模板的配置,关于虚拟接口的具体配置方法,请参考虚拟接口配置部分,被帮定在虚拟接口模板下的接口首先还必须配置和对端进行双向验证(CHAP或PAP),配置步骤见PPP基本配置任务。
MP的基本配置任务
l 配置封装PPP的接口工作在MP方式
在接口模式,执行以下命令
*作 命令
配置封装PPP的接口工作在MP方式 ppp mp
l 建立虚拟接口模板与MP用户的联系
在全局模式下,执行以下命令
*作 命令
建立虚拟接口模板与MP用户的联系 ppp mp user user-name bind virtual-template number
完成以上配置后,MP基本配置已经完成。用户可以根据自己的需要,进行其他针对MP的可选参数配置,如配置MP最大帮定链路数。
MP的高级配置任务
l 配置MP的最大绑定链路数
在全局模式下,执行以下命令
*作 命令
配置MP最大绑定链路数 ppp mp max-bind binds
Binds取值范围为1到100在实际配置基本参数时,应考虑实际的需求情况,因为绑定的链路过多会guo’duo的占用系统资源,降低系统性能。
6.4.10 MP典型配置举例
1、 配置需求
路由器router-a的E1口有两个B信道绑定到路由器router-b的B信道上,另外两个B信道绑定到路由器router-c上,假定路由器router-a上的四个B信道为:serial0、serial1、serial2、serial3,路由器router-b上的两个B信道为:serial0、serial1,路由器router-c上的两个B信道为:serial0、serial1。
2、 配置步骤
配置路由器router-a:
!增加两个用户router-b和router-c。
[Quidway]local-user router-b password simple router-b
[Quidway]local-user router-c password simple router-c
!为这两个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。
[Quidway]ppp mp user router-b bind virtual-template 1
[Quidway]ppp mp user router-c bind virtual-template 2
!配置虚拟接口模板
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.166.1 255.255.255.0
[Quidway]interface virtual-template 2
[Quidway-Virtual-Template2]ip address 202.38.168.1 255.255.255.0
!将接口serial0、serial1、serial2、serial3加入MP通道,以serial0为例,其他接口作同样配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-a password simple router-a
配置路由器router-b:
!增加一个用户router-a。
[Quidway]local-user router-a password simple router-a
!为这个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。
[Quidway]ppp mp user router-b bind virtual-template 1
!配置虚拟接口模板的工作参数
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.166.2 255.255.255.0
!将接口serial0、serial1加入MP通道,以serial0为例,其他接口作同样配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-b password simple router-b
配置路由器router-c:
!增加一个用户router-a。
[Quidway]local-user router-a password simple router-a
!为这个用户指定虚拟接口模板,将使用该模板的NCP信息进行PPP协商。
[Quidway]ppp mp user router-b bind virtual-template 1
!配置虚拟接口模板的工作参数
[Quidway]interface virtual-template 1
[Quidway-Virtual-Template1]ip address 202.38.168.2 255.255.255.0
!将接口serial0、serial1加入MP通道,以serial0为例,其他接口作同样配置
[Quidway]interface serial0
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp mp
[Quidway-serial0]ppp authentication-mode pap
[Quidway-serial0]ppp pap local-user router-b password simple router-b
6.4.11 PPP的监控与维护
*作 命令
显示PPP验证的本地用户 Display user
显示接口的ppp配置和运行状态 Display interface interface-name
其中命令display interface serial 0 用来显示接口的PPP配置和运行状态,例如:
[Quidway]display interface serial 0
………………
6.4.12 PPP故障的诊断与排除
1.故障一:链路始终不能为UP状态。
故障排除:可能是由于PPP验证参数配置不正确,导致PPP验证失败。
打开PPP的调试开关,会看到LCP协商成功并转为UP状态后进行PAP或CHAP协商,然后LCP转为Down状态。
2.故障二:物理链路不能转为UP状态。
故障排除:可以执行display interface serial number命令来查看接口当前状态。
接口有五种状态:
serial number is administratively down,line protocol is down
表示该接口被shutdown
serial number is down , line protocol is down
表示该接口没有被激活或物理层没有转为UP状态。
Serial number is up,line protocol is up(spoofing)
表示该接口是拨号口,没有呼通。
Serial number is up,line protocol is up
表示该接口已可以进行数据传输。
Serial number is up,line protocol is down
表示该接口已激活,但链路协商仍没有通过。
6.5 X.25协议原理及配置
6.5.1 X.25概述
X.25协议是数据终端设备(DTE)和数据电路终接设备(DCE)之间接口规程,起主要功能是描述如何在DTE和DCE之间建立虚电路、传输分组、建立链路、传输数据、拆除链路、拆数虚电路,同时进行差错控制、流量控制、情况统计等,并且为用户提供了一些可选的业务功能和配置功能。
X.25协议是CCIT在70年代制定的,以后又进行了多次修改。
X.25可以通过虚电路传送多种上层协议(如IP、IPX等)数据
注意:这里所说的DTE和DCE与物理接口的DTE和DCE不是一个服务。这里的DTE通常是指路由器等用户设备,DCE是指交换机等设备。路由器也可以作为DCE。
6.5.2 X.25网络模型
X.25使得两台数据终端设备DTE可以通过现有的分组交换网络进行通信。为了进行一次通信,通信的一端必须首先呼叫另一端,请求在他们之间建立一个会话连接;被呼叫的一端可以可以根据自己的情况接收或拒绝这个连接请求。一旦这个连接建立,两端的设备可以全双工地进行信息传输,并且任何一端在任何的时候均有权拆除这个连接。
X.25是DTE与DCE进行点到点交互的规程。DTE通常指的是用户侧的主机或终端等,DCE则常指同步调制解调器等设备;DTE与DCE直接连接,DCE连接至分组交换机的某个端口,分组交换机之间建立若干连接,这样,便形成了DTE与DCE之间的通路。在一个X.25网络中,各实体之间关系如图所示。
6.5.3 X.25 协议分层结构
X.25协议分为分组层、数据链路层、物理层三层,与OSI参考模型的下三层一一对应。对等层之间的通信通过对等层间的规程实现。
物理层定义了DTE和DCE之间的电气接口,以及建立物理的信息传输通道的过程。
数据链路层采用平衡型链路访问规程LAPB、LAPB定义了DTE-DCE链路之间的帧交换的过程及帧格式。链路层进行帧的检错和恢复。
分组层则定义了分组的格式和在分组层实体之间交换分组的过程,同时也定义了如何进行流控、差错处理等规程。链路层和分组层都有分组机制,保证了信息传输的正确性并有效地进行流量控制。X.25协议制定时由于技术条件的限制,终端和网络节点没有很强的智能,数据线路速率低、误码率高,因此X.25协议必须执行很繁重的任务处理。随着低误码率的光线网和高智能终端的出现,产生了帧中继等新的技术,将检错、恢复和流量控制等任务交给上层协议和智能终端处理,为用户提供高速的传输。
6.5.4 IP包通过X.25网络传送
IP包传输到路由器后,路由器分析下一跳地址,决定通过某接口发送出去,这个接口封装了X.25协议。在路由器中IP包先传到分组层,分组层将IP包放在一个分组的数据区,在它前面加上分组头,然后传给链路层。链路层看到的只是一个分组。链路层将分组当作帧的信息字段,加上帧头和帧尾封装成一个帧,而最终在物理链路上传送的是二进制的比特流。
数据通过X.25网络传到对端的路由器,路由器的各层协议将自己的结构层层剥离,将数据发送给上层协议处理。
6.5.5 X.25 的虚电路
统计时分复用
SVC(交换虚电路)和PVC(永久虚电路)
一个接口最多可以配置4095条虚电路
6.5.6 X.25的链路层协议LAPB
链路层的主要功能
l 在DTE和DCE之间有效的传输数据
l 确保接收器和发送器之间信息的同步
l 检测和纠正传输中产生的差错
l 识别并向高层协议报告规程性错误
l 向分组层通知链路层的状态
6.5.7 X.25的配置
只在两台路由器之间进行数据传输,只需选用LAPB串行接口封装;路由器要通过X.25公共网进行数据传输,选用X.25协议进行串口封装,并且按照网络接入服务商提供的参数来配置X.25协议。
1. 配置X.25工作模式
Link-protocol x25 [[dte|dce]|[nonstandardietf]]
Quidway系列路由器所支持的X.25可以工作在DTE和DCE模式,同时还可以指定数据报封装的格式,可选用的封装格式有BFE、Cisco兼容、DDN、IETF四种格式。
注意:一般,X.25公共分组网均要求路由器作为DTE侧接入,且要求IETF封装格式。所以,在此时应该选择X.25在DTE工作模式下的IETF封装。如果只是简单的将两台路由器的一对串口背靠背直联进行数据传输,此时只要保证传输的两端分别为DTE和DCE,并且封装格式一致即可。
缺省下,工作模式为DTE,封装格式为IETF。
2. 配置接口的X.121地址
x25 x121-address x.121-address
使用Quidway系列路由器目的是为了X.25交换,可忽略此任务;如果将Quidway系列路由器接入X.25公共分组交换网,那么必须为接入的X.25接口按照接入服务提供商的要求来设置一个地址。但当路由器的某X.25接口工作于BFE或DDN封装格式时,这个接口的X.121地址是根据其IP地址动态转换得到的,不用手工配置;而且,这时的X.121地址也是不允许改动的。一般,用户只需按照IETF格式及Cisco兼容格式封装的X.25接口指定X.121地址。
3. 创建协议地址到X.121地址的映射
x25 map protocol-address x121-address x.121-address [option]
对于一个X.25接口,它拥有自己的X.121地址和自己的网络协议。当X.25通过这个接口发起呼叫时,它在呼叫请求分组中携带的源地址就是这个接口的X.121地址。
说明:命令行中的protocol-address和x.121-address指的是目的地的协议地址和x.121地址,而非本地的。
4.创建永久虚电路
x25 pvc-number protocol protocol-address x121-address x.121-address [option]
X.25的分组层参数配置
1.配置X.25虚电路范围
x25 vc-range {in-channel hic lic | bi-channel htc ltc | out-channel hoc loc}
配置分组大小
x25 packet-size in-packets (缺省值为128)
x25 packet-size out-packets (缺省值为128)
配置窗口大小
x25 window-size in-packets (缺省值为2)
x25 window-size in-packets (缺省值为2)
配置编号方式
x25 modulo {8| 128} (缺省值为8)
配置X.25子接口
l 子接口是一个虚拟接口,它有自己的协议地址和虚电路
l 在一个物理接口上可以创建多个子接口
l 子接口有两种类型:点到点和点到多点
*作 命令
进入主接口 Interface serial number
封装x25协议 Link-protocol x25
创建X.25子接口 Interface serial number subinterface-number [multipoint|point-to-point]
配置地址映射 X25 map protocol protocol-address x121-address x.121-address [option]
配置永久虚电路 x25 pvc-number protocol protocol-address x121-address x.121-address [option]
当接口封装成LAPB、HDLC或者PPP时不能创建子接口。
6.5.8 X.25典型配置举例
1. 组网需求
如只将两台路由器简单的背靠背连接,直连串口之间封装X.25协议并承载IP数据报进行传输,只需配置两台路由器即可。
2. 配置步骤
(1) 配置Router A
!选定接口
[Quidway]interface serial 0
!为该接口指定IP地址
[Quidway-serial0]ip address 202.38.160.1 255.255.255.0
!将该接口封装为X.25接口,并指定其工作方式在DTE方式
[Quidway-serial0]link-protocol x25 dte
!指定该接口的X.121地址
[Quidway-serial0]x25 x121-address 20112451
!指定到对端的地址映射
[Quidway-serial0]x25 map ip 202.38.160.2 x121-address 20112452
!因为直连,可以将流量控制参数设置稍大一些
[Quidway-serial0]x25 packet-size 1024 1024
[Quidway-serial0]x25 window-size 5 5
(2) 配置Router B
!选定接口
[Quidway]interface serial 0
!为该接口指定IP地址
[Quidway-serial0]ip address 202.38.160.2 255.255.255.0
!将该接口封装为X.25接口,并指定其工作方式在DCE方式
[Quidway-serial0]link-protocol x25 dce
!指定该接口的X.121地址
[Quidway-serial0]x25 x121-address 20112452
!指定到对端的地址映射
[Quidway-serial0]x25 map ip 202.38.160.1 x121-address 20112451
!因为直连,可以将流量控制参数设置稍大一些
[Quidway-serial0]x25 packet-size 1024 1024
[Quidway-serial0]x25 window-size 5 5
6.5.9X.25的监控与维护
*作 命令
查看接口信息 Display interface [type number]
查看X.25别名表 Display x25 alias-police
查看X.25地址映射表 Display x25 map
查看X.25交换路由表 Display x25 switch-vc-teble svc
查看X.25交换虚电路表 Display x25 switch-vc-table pvc
查看X.25虚电路 Display x25 vc lci-number
打开所有x25报文的调试开关 Debug x25 all [interface type number]
打开x25的调试开关 Debug x25 event [interface type number]
打开x25报文调试开关 Debug x25 packet [interface type number]
6.5.10 X.25故障的诊断与排除
l LAPB已经出于连接状态,但X.25协议不能UP
故障排除:可能是本地的工作方式配置错误,检查DCE/DTE配置是否正确
l X.25协议已经UP,但是却无法建立虚电路,即无法Ping通
故障排除:1。未配置本地X.121地址 2。未配置到对端的地址映射 3。未配置对端X.121地址 3。未配置对端到本地的地址映射 4。信道范围不正确 5。携带了网络不允许的设施选项(4、5原因应向网络管理部门咨询正确的信道范围和允许的设施选项)
l 可以建立虚电路,但是在数据传输的过程中却频繁的复位或消除。
故障排除:流量参数设置是否正确(如果接入到公网内,应向网络管理部门咨询正确地流量参数)
l 设置永久虚电路的请求被拒绝
故障排除:开启永久虚电路信道区间
6.6 帧中继协议原理及配置
6.6.1 帧中继协议简介
l 帧中继协议是在X.25分组交换技术的基础上发展起来得一种快速分组交换技术,是改进了的X.25协议。
l 帧中继是基于虚电路的。
DLCI(数据链路连接标识)用于标识每一个PVC。通过帧中继帧中的地址字段的DLCI,可以分出该帧属于哪一条虚电路。
LMI(本地管理接口)协议用于建立和维护路由器和交换机之间的连接。LMI协议还用于维护虚电路,包括虚电路的建立、删除和状态改变。
6.6.2 帧中继协议栈
帧中继的核心对应OSI参考模型的下两层。采用现代的物理设施。与传统的广域网报文交换有相同之处,不同之处在于帧中继提供相对快速的服务。
6.6.3 帧中继的特点
1.帧中继技术主要用于传递数据业务,将数据信息以帧的形式进行传送。
2.帧中继传送数据使用的传输链路是逻辑连接,而不是物理连接,在一个物理连接上可以复用多个逻辑连接,可以实现带宽的复用和动态分配。
3.帧中继协议简化了X.25的第三层功能,使网络节点的处理大大简化,提高了网络对信息的处理效率。采用物理层和链路层的两级结构,在链路层也只保留了核心子集部分。
4.在链路层完成统计复用、帧透明传输和错误检测,但不提供发现错误后的重传*作。省去了帧编号、流量控制、应答和监视等机制,大大节省了交换机的开销,提高了网络吞吐量、降低了通信时延。一般帧中继用户的接入速率在64kbps-2Mbps。
5.交换单元――帧的信息长度比X.25分组长度要长,预约的最大帧长度至少要达到1600字节/帧,适合封装局域网的数据单元。
6.提供一套合理的带宽管理和防止拥塞的机制,用户有效的利用预约的宽带,即承诺的信息速率(CIR),还允许用户的突发数据占用未预定的带宽,以提高网络资源的利用率。
7.与分组交换一样,帧中继采用面向连接的交换技术,可以提供SVC和PVC业务,但目前已应用的帧中继网络中,一般只采用PVC业务。
6.6.4 帧中继术语
帧中继网络中的每一个连接都使用DLCI(Data Link Connection Identifier)来标识。
帧中继是统计复用协议,实现动态分配。
帧中继网络为每个帧中继用户分配三个宽带控制参数:BC、Be和CIR。同时,每隔Tc时间间隔对虚电路上的数据流量进行监视和控制。CIR是网络与用户约定的用户信息传送速率,即承诺信息速率。如果用户以小于等于CTR的速率传送信息,应保证这部分信息的传送。BC是网络允许用户以CIR速率在Tc时间间隔传送的数据量,即Tc=Bc/CIR。Bc是网络允许用户在Tc时间间隔内传送的超过Bc的数据量。
网络对每条虚电路进行带宽控制,采用如下策略:
在Tc内:
当用户数据传送量<=Bc时,继续传送收到的帧;
当用户数据传送量>Bc但<=Bc+Be时,将Be范围内传送的帧DE比特置“1”,若网络未发生严重拥塞,则继续传送,否则将这些帧丢弃;
当Tc内用户数据传送量>Bc+Be时,将超过范围的帧丢弃。
举例:约定一条PVC的CIR=128Kbit/s,Bc=128kbit,Be=64kbit,则Tc=Bc/CIR=1s。在这一段时间内,用户可以传送的突发数据量可以达到Bc+Be=192kbit,传送数据的平均速率为192kbit/s,其中,正常情况下,Bc范围内的128kbit的帧在拥塞情况下,这些帧也会被送达终点用户,若发生了严重拥塞,这些帧会被丢弃。
Be范围内的64kbit的帧的DE比特被置为“1”,在无拥塞情况下,这些帧会被送达终点用户,如发生拥塞,则这些帧会被丢弃。
当转发队列中的报文长度超过一个阀值,可以认为发生了拥塞。当拥塞发生,在该队列中的报文的FECN位将被置位。如果拥塞持续下去,相反方向的报文的BECN位将被置位。
6.6.5 帧中继DLCI的分配和地址映射
帧中继是一种统计复用协议,每条虚电路用数据链路连接标识DLCI来标识。通过帧中继中的地址字段的DLCI,可区分出该帧属于哪一条虚电路。DLCI只在本地接口和与之直接相连的对端接口有效,不具有全局有效性,即在帧中继网络中,不同物理接口上相同的电路,其中用户可用的DLCI范围是16~1007。由于帧中继虚电路是面向连接的,本地不同的DLCI连接到不同对端设备,所以可认为本地DLCI就是对端设备的“帧中继地址”。
帧中继地址映射是把对端设备的协议地址与对端设备的帧中继地址(本地的DLCI)关联起来以便高层协议能通过对端设备的协议地址寻址到对端设备。帧中继主要用来承载IP协议,在发送IP报文时,由于路由表只知道报文的下一跳地址,所以发送前必须由该地址确定它对应的DLCI。这个过程可以通过查找帧中继地址映射表来完成,因为地址映射表存放的是对端IP地址和下一跳的DLCI的映射关系。地址映射表可以由手工配置,也可以由Inverse ARP协议动态维护。
6.6.6 用于网络发现的Inverse ARP 协议
逆向地址解析(Inverse ARP)主要功能是求解每条虚电路连接的对端设备的协议地址,包括IP地址和IPX地址等。
基本过程:发现一条虚电路时(前提本地接口已配置了协议地址),Inverse ARP就在该虚电路上发送Inverse ARP请求报文给对端,该请求报文包含有本地的协议地址,对端设备收到该请求时,可以获得本地的协议地址,从而生成地址映射,并发送Inverse ARP响应报文进行响应,这样本地同样生成地址映射。
只有在没有MAP的情况下才会向对端发送Inverse ARP请求报文。
如果在Inverse ARP请求报文的接收端发现对端的协议地址与本地配置的MAP中的协议地址相同,则不会生成该动态MAP。
6.6.7 Quidway 支持的LMI
本地管理接口LMI(Local Management Interface)协议就是用来建立与维护路由器和交换机之间的连接。LMI协议还用于维护虚电路,包括虚电路的建立、删除和状态改变。
VRP支持三种LMI协议:遵从ITU-T Q.933建议附录A的LMI协议、遵从ANSIT1.617建议附录D的LMI协议以及与CISCO“Gang of Four”标准兼容的LMI协议。它们的基本工作方式是:DTE设备每隔一定的时间间隔发送以一个状态请求报文(Status Enquiry报文)去查询虚电路的状态,DCE设备收到状态请求报文后,立即用状态报文(Status报文)通知DTE当前接口上所有虚电路的状态。
对于DTE侧设备,永久虚电路的状态完全由DCE侧设备决定。对于DCE侧设备,永久虚电路的状态由网络来决定。在两台网络设备直接连接的情况下,DCE侧设备的虚电路状态由设备管理员来设置的。在VRP中,虚电路的个数和状态既可以在设置地址映射(fr map命令)的同时设置,也可以用配置帧中继本地虚电路命令(fr dlci命令):或用帧中继接口虚电路命令(fr dlci命令)来配置。
6.6.8 帧中继子接口
l 帧中继网络拓扑结构
帧中继网络可以将分散在不同地点的网络连接起来,可能的网络结构有星型结构、部分网状相连(Partial-meshed)和全网状相连(Full-meshed)。
l 水平分割与帧中继
为减少路由器环路的产生,水平分割不允许路由器把从一个接口进来的更新信息再从该接口发送出去。如图所示,路由器B告诉路由器A一条路由信息,由于水平分割机制,路由器A不能通过接收此路由信息的S0将这条信息告诉路由器C和D。解决的方法:一个是使用多个物理接口连接多个相邻节点,这需要路由器具备多个物理接口,增加了用户的成本;另外一个方法是使用子接口,也就是再一个物理接口上配置多个逻辑接口,每个子接口都有自己的网络地址,就好像一个物理接口一样;或者是关闭水平分割,当然这需要路由协议的支持,另外关闭水平分割增加了产生路由环路的几率。
l 帧中继子接口
子接口可以解决水平分割问题
可以在串口线路上定义这些逻辑子接口。每一个子接口使用一个或多个DLCI连接到对端的路由器。在子接口上配置了DLCI后,还需要建立目的端协议地址和该DLCI的映射。
一个物理接口可以包含多个逻辑子接口
虽然在路由器A上仅拥有一个物理串口S0,但是在物理串口S0上现在定义了S0.1子接口上的DLCI到路由器B,S0.2子接口上的DLCI到路由器C,和S0.3子接口上的DLCI到路由器D。
路由器之间需要经过帧中继的网络相连
在物理接口上定义了逻辑子接口后,帧中继的连接就可以成为部分网状连接。
通过配置子接口,路由器可以实现相互连接,并能转发更新信息。这样在路由器的一个物理接口上就可以避免水平分割带来的影响。
6.6.9 帧中继的配置
1.封装帧中继协议
link-protocol frame-relay [MFR|nonstandard|ietf]
当接口封装的链路层协议为帧中继时,缺省的封装格式为ietf。
注意:(1)只有当接口工作在同步方式下,才能封装帧中继。
(2)当接口封装了SLIP时,接口的物理属性不能被修改为同步模式。此时,必须先将接口的链路层封装改为PPP后,才能将接口的属性改为同步模式。
(3)接口封装帧中继后,上层仍能承载IP和IPX协议。
2.配置帧中继接口的终端类型
fr interface-type {dce | dte | nni}
在帧中继中,通信双方被区分为用户侧和网络侧。用户侧称为DTE,网络侧被称为DCE。接口需要根据自己在网络中的位置配置为DTE或DCE格式;在帧中继网络中,帧中继交换机之间为NNI接口,相应接口采用NNI格式。
缺省情况下,帧中继接口类型为DTE。
注意:若帧中继接口的中断类型改为DCE或NNI,必须先要在全局配置模式?葱惺鼓苤≈屑探换唬╢r switching)。
3.选择LMI类型
fr lmi type {ansi | cisco-compation | q933a}
LMI协议用于维护当前帧中继链路状况和帧中继协议的PVC表,包括:增加PVC记录、删除已断掉的PVC记录、监控PVC状态的变更、链路完整性验证。VRP支持三种标准LMI协议类型:ITU-T的Q.933附录A、ANSI的T1.617附录D、CISCO标准。
当帧中继接口类型为DCE或NNI时,接口缺省的LMI协议类型为q933a;当帧中继接口类型为DTE时,本命令将设置接口和对端协商LMI协议类型。
帧中继地址映射
帧中继地址映射是建立对端协议地址与本地DLCI的映射关系,该地址映射可静态配置,也可动态建立。
1. 手工配置静态映射:
fr map {ip | ipx} protocol-address dlci [broadcast]
配置帧中继静态地址映射就是手工建立对端协议地址与本地DLCI的映射关系,一般适用于对端主机较少或者缺省路由的情况。
当对端路由器不支持逆向动态地址解析协议时,必须配置帧中继的静态地址映射。
缺省情况下,所有接口使能逆向动态地址解析协议。当帧中继静态地址映射后,在指定的DLCI上,动态地址映射功能将自动被禁用。
2. 动态建立:使能动态逆向地址解析协议
fr inarp [ip | ipx] [dlci]
运行了逆向地址解析协议(Inverse ARP)后,就能动态建立对端协议地址与本地DLCI的映射关系。
缺省情况下,接口使能动态逆向地址解析协议。
配置帧中继本地虚电路
为主接口分配一条虚电路号
fr dlci dlci
注意:(1)命令fr dlci dlci 可为主接口和子接口分配虚电路号。
(2)虚电路号是本地有效地,也就是说,链路两端的虚电路号是可以相同的。也可为多个接口指定相同的虚电路号。但在一个物理接口上,虚电路号必须是唯一的。
(3)当接口类型为DCE或NNI时,必须为接口(不论主接口还是子接口)配置虚电路号。当接口类型为DTE时,若为主接口,系统可根据对端设备自动确定本端的虚电路号;若为子接口,也必须手动为子接口配置虚电路号。
配置帧中继子接口
帧中继接口属于NBMA(Non-Broadcast Multi-Access)类型接口,支持接口的概念。有两种类型接口:主接口和子接口。其中子接口是一个逻辑结构,可以配置协议地址和虚电路PVC等,一个物理接口可以有多个子接口。
子接口有两种类型:点到点和点到多点。点到点接口用于连接单个对端,点到多点子接口用于连接同一个网段的多个对端。
创建帧中继子接口,进入子接口配置模式
interface type number.subinterface-number [multipoint | point-to-point]
配置帧中继子接口的虚电路号
fr dlci dlci
建立地址映射的命令和物理接口相同,可以使用静态或动态地址映射。地址映射只有在点到多点的情况下才需配置。
帧中继的子接口之间的地址映射关系可用于手工配置,或利用逆向地址解析协议来动态建立。对于点到点的子接口,因为只有一个对端设备,只要在该子接口上配置一条PVC就可以了,而不用配置静态地址映射就可唯一的确定对端设备。
缺省情况下,所有子接口使能动态逆向地址解析协议。
配置帧中继交换
允许帧中继进行PVC交换
fr switching
设置帧中继接口类型
fr interface-type {dce |dte |nni}
配置帧中继PVC交换的路由
fr dlci-switch pvc in-dlci interface serial number outer-dlci
注意:如果使用帧中继交换,接口类型必须为dce或nni
除“允许/禁止帧中继PVC交换”在全局配置模式下进行以外,其它命令请在同步接口配置模式下进行。
缺省情况下,禁止帧中继PVC交换。
注意:(1)只有接口类型为NNI或DCE时,配置的PVC交换才会起作用。
(2)必须在用于帧中继交换路由器的两个或两个以上接口上都进行了配置,PVC交换才会弃作用。
(3)在配置了允许帧中继DCE或NNI接口进行PVC交换之后,还要配置一条PVC交换的路由。
6.6.10 帧中继典型配置举例
通过专线互连局域网
1. 组网需求
两台Quidway路由器通过串口直连,Router A工作在帧中继的DCE方式,Router B工作在帧中继的DTE方式。
2. 配置步骤
(1) 配置Router A
!在全局配置模式下配置帧中继交换。
[Quidway]fr switching
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.251 255.255.255.0
!配置接口封装为帧中继
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dce
!配置本地虚电路
[Quidway-serial1]fr dlci 100
!如果对端路由器支持逆向地址解析功能,则配置动态地址映射
[Quidway-serial1]fr inarp
!否则配置静态地址映射
[Quidway-serial1]fr map ip 202.38.163.252 dlci 100
(2) 配置Router B
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封装为帧中继
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果对端路由器支持逆向地址解析功能,则配置动态地址映射
[Quidway-serial1]fr inarp
!否则配置静态地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 100
通过帧中继网络互连局域网
1. 组网需求:通过公用帧中继网络互连局域网,在这种方式下,路由器只能作为用户设备工作在帧中继DTE方式。
2. 配置步骤
(1)配置Router A
!在全局配置模式下配置帧中继交换
[Quidway]fr switching
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.251 255.255.255.0
!配置接口封装为帧中继
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果对端路由器支持逆向地址解析功能,则配置动态地址映射
[Quidway-serial1]fr inarp
!否则配置静态地址映射
[Quidway-serial1]fr map ip 202.38.163.252 dlci 50
[Quidway-serial1]fr map ip 202.38.163.253 dlci 60
(2)配置Router B
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封装为帧中继
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果对端路由器支持逆向地址解析功能,则配置动态地址映射
[Quidway-serial1]fr inarp
!否则配置静态地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 70
(3)配置Router C
!配置接口IP地址
[Quidway]interface serial 1
[Quidway-serial1] ip address 202.38.163.252 255.255.255.0
!配置接口封装为帧中继
[Quidway-serial1]link-protocol fr
[Quidway-serial1]fr interface-type dte
!如果对端路由器支持逆向地址解析功能,则配置动态地址映射
[Quidway-serial1]fr inarp
!否则配置静态地址映射
[Quidway-serial1]fr map ip 202.38.163.251 dlci 80
6.6.11 帧中继的监控与维护
*作 命令
显示帧中继LMI类型报文的收发统计 Display fr lmi-info [interface type number]
显示协议地址与帧中继地址映射表 Display fr map-info
显示帧中继PVC统计信息 Display fr pvc-info [serial interface-number] [dlci dlci-number]
显示帧中继PVC路由表 Display fr dlci-switch
显示各种接口的帧中继协议状态 Display fr interface
清除所有动态建立的帧中继地址映射 Reset fr inarp-info
打开帧中继的所有报文调试开关 Debugging fr all [interface type number]
打开帧中继ARP报文信息调试开关 Debugging fr arp [interface type number]
打开帧中继事件信息调试开关 Debugging fr event [interface type number]
打开帧中继LMI协议信息调试开关 Debugging fr lmi [interface type number]
6.6.12 帧中继故障诊断与排除
故障之一:物理层DOWN
l 检查物理线路是否正常
l 检查对端设备是否正常
故障之二:物理层UP,但链路层DOWN
l 检查封装
l DTE/DCE是否对应
l 监控LMI消息收发情况
故障之三:链路层协议出于UP,但不能PING通对方
l 检查两端设备的链路层协议是否UP
l 检查地址映射是否正确
l 检查路由表,是否有到达对端的路由。
6.7 小结
l 使用本地DLCI作为到达目的端的帧中继PVC的标识
l Quidway支持三种LMI类型:
ANSI(Annex D)
CCITT(Annex A)
CISCO兼容
l 定义静态的帧中继MAP
l 定义子接口来避免路由更新的水平分割问题
l 缺省情况下,Inverse ARP协议可以为本地DLCI自动的发现远端的协议地址
l 用display 和debugging命令来监视帧中继
第7章 路由协议原理及配置
7.2路由及路由表
路由是指导IP报文发送的路径信息。
根据路由的目的地不同,可划分为:子网路由:目的地为子网;主机路由:目的地为主机。
根据目的地是否与该路由器直接相连。可划分:直接路由:目的地所在网络与路由器直接相连;
间接路由:目的地所在网络与路由器不直接相连。
路由器转发数据包的关键是路由表。每个路由器都包存一张路由表。
路由表包含:目的地址(Destination):用来标识IP包的目的地址或目的网络。
网络掩码(mask):与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。
输出接口(Interface)说明IP包将从该路由器哪个接口转发。
下一跳IP地址(Nexthop):说明IP包所经由的下一个路由器的接口地址。
在路由表中有一个Protocol字段:指明了路由的来源,即路由是如何生成的。路由的来源有三种:
l 链路层协议发现的路由(Direct)
开销小,配置简单,无需人工维护,只能发现本接口所属网段拓扑的路由。
l 手工配置的静态路由(Static)
无开销,配置简单,需人工维护,适合简单拓扑结构的网络。
l 动态路由协议发现的路由
开销大,配置复杂,无需人工维护,适合复杂拓扑结构的网络。
7.3静态路由及配置
7.3.1静态路由配置
[Quidway]ip router-static ip-address {mask |masklen} {interface-type interface-name | nexthop-address} [preference value] [reject | blackhole]
注意:只有下一跳所属的接口是点对点(PPP、HDLC)的接口时,才可以填写interface-name,否则必须填写nexthop-address。
静态路由还有一下属性:(1)可达路由 (2)目的地不可达的路由 (3)目的地为黑洞的路由
7.3.2静态路由配置示例
在路由器QuidwayA上配置一条目的网段129.1.0.0/16的静态路由,下一跳地址为路由器QuidwayB的S0接口的IP地址10.0.0.2。如果链路的封装是PPP或HDLC,也可一指定本路由器的转发地址。
静态路由配置命令:
[Quidway]ip route 129.1.0.0 16 serial 0 或
[Quidway]ip route 129.1.0.0 16 10.0.0.2 或
[Quidway]ip route 129.1.0.0 255.255.0.0 10.0.0.2。
7.3.3缺省路由配置
[Quidway]ip route-static 0.0.0.0. 0.0.0.0 10.0.0.2
7.3.4路由自环
“路由自环”是指某个报文从一台路由器发出,经过几次转发后又回到初始的路由器。原因是其中部分路由器的路由表出现错误。产生的原因可能是配置静态路由有误,或者是动态路由协议错误的计算路由。当产生路由自环时,报文会在几个路由器之间循环转发,直至TTL=0时才被丢弃,极大的浪费了网络资源,因此应该尽量避免“路由自环”的产生。
7.4动态路由协议概述
OSPF将协议报文直接封装在IP报文中,协议号89。
BGP使用TCP作为传输协议,提高了协议的可靠性,TCP的端口号是179。
RIP使用UDP作为传输协议,端口号520。
按照工作区域,路由协议可分为IGP和EGP:
IPG(Interior Gateway Protocols)内部网关协议
在同一个自治系统内交换路由信息,RIP、ODPF和IS-IS 都属于IGP。IGP的主要目的是发现和计算自治域内的路由信息。
EGP(Exterior Gateway Protocols)外部网关协议
用于连接不同的自治系统,在不同的自治系统之间交换路由信息,主要使用路由策略和路由过滤等控制路由信息在自治域间的传播,应用的一个实例是BGP。按照路由的寻径算法和交换路由信息的方式,路由协议可分为距离矢量的协议(distant-vector)和链路状态协议。距离矢量状态协议包括RIP和BGP,链路状态协议包括OSPF、IS-IS。
7.5距离矢量路由协议概述
距离矢量(Distance-Vector 简称D-V)算法(也称Bellman-Ford算法)周期性地将路由表信息的拷贝在路由器之间传送。当网络拓扑变化时,也会将更新信息及时传送给路由器。每一个路由器只能接收到网络中相邻路由器的路由表。
距离矢量算法的数学模型:
我们用D(i,j)来表示从实体i到j的最佳路由的metric,i,j可以是系统中的任意一对实体,用d(i,j)来表示单个跳数的花费,也就是从i直接到j的花费,如果i与j不是直接相邻的,则d(i,j)为无穷大。这样任意两个实体间的最佳metric可以表示如下:
D(i,j)=0 对所有的i
D(i,j)=min [d(i,j)+ D(k,j)] i不等于k时
K
由于我们把非相邻的两实体间的d(i,k)定义为无穷大,当表达式中k不是i的相邻主机或路由器时,D(i,j)永远不可能为最小,故我们也可以把k限定为与i相邻。由此我们得出算法:实体i接收它的邻居们k发送给它的到目标主机j的距离评价D(k,j)并加上d(i,k)在这里d(i,k)是通过i,k之间网络所需的cost值,接下来i比较来自所需邻居的信息,并选择其中最小的。可以证明,在拓扑结构不变的情况下该算法在有限时间内收敛于正确的D(i,j)。
7.6环路路由问题
产生:由于网络故障可能会引起路径与实际网络拓扑结构不一致而导致网络不能快速收敛,
避免方案:1.水平分割 2.路由中毒和抑制时间 3.触发更新
7.7RIP路由协议
7.7.1 RIP协议概述
RIP是Routing Information Protocol(路由信息协议)的简称。是一种基于D-V算法的路由协议,通过UDP交换路由信息,每隔30秒向外发送一次更新报文。
RIP使用跳数(HOP Count)来衡量到达的网络的距离,称为路由权(Routing Metric)。在RIP中,路由器到与它直接相连网络的跳数为0,通过一个路由器可达的网络跳数为1。RIP规定metric取值0-15之间的整数,大于或者等于16的跳数被定义为无穷大,即目的主机或网络不可达。
为提高性能,防止产生路由环路,RIP支持水平分割(Split Horizon)与路由中毒(Poison Reverse),并在路由中毒时采用触发更新(Triggered Update)。
RIP包括RIP-1和RIP-2两个版本,RIP-1不支持变长子网掩码(VLSM),RIP-2支持变长子网掩码(VLSM),同时RIP-2支持明文认证和MD5密文认证。RIP-1使用广播发送报文,RIP-2有两种传送方式:广播方式和组播方式,缺省将采用组播发送报文,RIP-2的组播地址为224.0.0.9。组播好处是在同一网络中那些没有运行RIP的网段可以避免接收RIP的广播报文;另外,组播发送报文还可以使运行RIP-1的网段避免错误的接收和处理RIP-2中带有子网掩码的路由。
RIP协议处于UDP协议的上层,RIP所接收的路由信息都封装在UDP的数据报文中,RIP在520号端口上接收来自远程路由器的路由修改信息,并对本地的路由表做相应的修改,同时通知其它路由。以达到全局路由的同步。
7.7.2 路由协议的实现
RIP启动时,初始路由表仅包含路由器的一些直联接口路由。
RIP协议启动后向各个接口广播一个Request报文。
邻居路由器的RIP协议从某个接口收到Request报文后,根据自己的路由表,形成Reponse报文向该接口对应的网络广播。
RIP接收邻居路由器回复的包含邻居路由器路由表reponse报文,形成自己的路由表。
RIP根据D-V算法,将协议的参加者分为主动机和被动机。
Rip路由表更新原则:
对本路由表已有的路由项,当发送报文的网关相同时,不论度量值增大或是减少,都更新该路由项(度量值相同时只将其老化定时器消零);
对本路由表已有的路由项,当发送报文的网关相同时,只在度量值减少时,更新该路由项;
对本路由表不存在的路由项,在度量值小于不可达(16)时,在路由表中增加该路由项;
路由表中的每一路由项都对应一老化定时器,当路由项在180秒内没有任何更新时,定时器超时,该路由的度量值变为不可达(16)。
某路由项的度量值变为不可达后,以该度量值在Response报文中发布四次(120秒),之后从路由表中清除。
7.7.3 RIP协议配置命令
在各项配置任务中,必须先启动RIP、使能RIP网络后,才能配置其它的功能特性。
在全局模式下,用Rip命令启动rip协议并进入rip协议配置模式。
启动rip协议,进入rip协议配置视图 [Quidway]rip
在指定网络上使能rip [Quidway-rip]network {network-number | all}
配置报文的定点传送(不支持广播时) [Quidway-rip]peer ip-address
指定接口版本(接口模式下) rip version 1 rip version 2 [broadcast | multicast]
rip任务启动后还必须指定其工作网段,rip只在指定网段上的接口工作;对于不在指定网段上的接口,rip既不在它上面接收和发送路由,也不将他的接口路由转发出去,就像这个接口不存在一样。
Rip是一个广播发送报文的协议,为与非广播网络交换路由信息,就必须采用定点传送的方式peer。通常我们不建议使用该命令,因为对端并不需要一次收到两份相同的报文。需注意的是:peer在发送报文时也要受rip work、rip output、rip input和network等的限制。
可指定接口所处理rip报文的版本。
当接口运行rip-1时只接收与发送rip-1与rip-2广播报文,不接收rip-2多播报文;当接口运行在rip-2广播方式下,只接收与发送rip-1和rip-2广播报文,不接收rip-2多播报文;当接口运行在rip-2多播方式下,只接收与发送rip-2多播报文,不接收rip-1和rip-2多播报文。
缺省情况下,接口运行rip-1报文,即只能接收与发送rip-1报文。
指定接口的工作模式(接口模式) rip work rip input rip output
配置rip-2路由聚合 summary
配置rip-2报文的认证(接口模式下)
rip authentication-mode simple password
rip authentication-mode md5 key-string string
rip authentication-mode md5 type [nonstandard-compatible | usual]
undo rip work与undo network相同点:接口都不再收发rip路由。不同点:undo rip work 下,其它接口对使用该命令的路由仍然转发,而在undo network 下,其他接口对使用该命令的接口的路由不再转发,见到的效果就像少了一个端口。
另外:rip work从功能上等价于rip input与rip output两个命令。
路由聚合是指:同一自然网段内的不同子网的路由在向外(其它网段)发送时聚合成一条自然掩码的路由发送。路由聚合减少了路由表中的路由信息量,也减少了路由交换的信息量。
Rip1-只发送自然掩码的路由,即总是以路由聚合形式向外发送路由,关闭路由聚合对rip-1将不起做用。Rip-2支持无类别路由,当需要将子网的路由广播出去时,可关闭rip-2的路由聚合功能。
缺省情况下,允许rip-2进行路由聚合。
Rip-1不支持报文认证,但当接口运行rip-2时,可以进行报文的认证。
Rip-2支持两种认证方式:明文认证siimple和MD5密文认证。MD5密文认证的报文格式有两种:一种遵循RFC1723(rip version 2 carrying additional information)规定;另一种遵循RFC2083(rip-2 MD5 authentication)规定。
nonstandard-compatible:指定MD5认证报文使用RFC2082标准的报文格式。
Usual:指定MD5认证报文使用RFC1723标准的报文格式,此报文格式是业界多数路由器通用的。
缺省情况下,接口不对报文进行认证。若配置了MD5认证模式,缺省情况下,采用使用nonstandard-compatible的报文格式。
7.7.4RIP协议配置举例
RTA和RTB之间链路层封装PPP协议,RTB与RTC之间链路层封装FR协议,所有路由器启动RIP路由协议。RTA和RTB之间做MD5验证。
配置如下:
RTA:
[RTA]rip
[RTA-rip]network all
[RTA-ethernet0]ip address 11.1.1.1 255.255.255.0
[RTA-ethernet0]rip version 2 broadcast
[RTA-serial0]link-protocol ppp
[RTA-serial0]ip address 1.1.1.1 255.255.255.0
[RTA-serial0]rip version 2 broadcast
[RTA-serial0]rip authentication-mode md5 key-string quidway //MD5
RTB:
[RTB]rip
[RTB-rip]network all
[RTB-rip]peer 2.1.1.1 //配置报文指定发送
[RTB-ethernet0]ip address 12.1.1.1 255.255.255.0
[RTB-ethernet0]rip version 2 broadcast
[RTB-serial0]link-protocol ppp
[RTB-serial0]ip address 12.1.1.2 255.255.255.0
[RTB-serial0]rip version 2 broadcast
[RTB-serial0]rip authentication-mode md5 key-string quidway //MD5
[RTB-serial1]link-protocol fr
[RTB-serial1]ip address 2.1.1.2 255.255.255.0
[RTB-serial1]rip version 2 broadcast
RTC:
[RTC]fr switching //使能帧中继交换
[RTC]rip
[RTC-rip]network all
[RTC-rip]peer 2.1.1.2
[RTC-ethernet0]ip address 13.1.1.1 255.255.255.0
[RTC-ethernet0]rip version 2 broadcast
[RTC-serial0]link-protocol fr
[RTC-serial0]fr interface-type DCE //封装帧中继接口类型
[RTC-serial0]fr dlci 20 //分配DLCI
[RTC-serial0]ip address 2.1.1.1 255.255.255.0
[RTA-serial0]rip version 2 broadcast
7.7.5显示RIP协议配置信息
[Quidway]display rip
7.7.6RIP协议的debug信息
第一步:设置debug信息输出到console口
[Quidway]info-center console debugging
第二步:打开RIP的调试开关
[Quidway]debugging rip packet
实际显示的rip信息
rip:receiv response from 120.0.0.2
packet:vers 1,cmd response,length 24
dest 110.0.0.0, metric 1
rip:send 20.0.0.1 to 255.255.255.255
packet:vers 1,cmd respons,length 44
dest 110.0.0.0, metric 2
dest 120.0.0.0 metric 1
7.8OSPF简介
OSPF是Open Shortest Path First(开放最短路由优先协议),具有以下特点:
1. 适应范围:支持多种规模网络,最多可支持几百台路由器。
2. 快速收敛: 3.无自环 4.子网掩码: 5.区域划分: 6.等值路由
7.路由分级:按优先顺序为区域内路由、区域间路由、第一类外部路由、第二类外部路由。
8.支持验证 9.组播发送。
7.8.2基本概念
一台路由器要运行OSPF协议,必须存在Router ID,可以使用[Quidway]router id 1.2.3.4手工配置。
如果没有配置,则系统会优先选择Lookback接口的ip地址作为ID(Lookback接口总是处于UP状态),如果没有配置Lookback接口,OSPF会从当前接口的IP地址中自动选择一个IP地址作为ID。
如果一台路由器的Router ID在运行中改变,必须重启OSPF协议或者重启路由器才能使新的Router ID生效。
查看路由器的Router ID,执行命令display ospf。
协议号:OSPF协议用IP报文直接封装协议报文,协议号是89。
7.8.3链路状态
OSPF将不同的网络拓扑抽象为以下四种类型:
该接口所连的网段中只有本路由自己。(sub network)
该接口通过点到点的网络与一台路由相连。(point-to-point)
该接口通过广播或NBMA的网络与多台路由器相连。(broadcast or NBMA networks)
该接口通过点到多点的网络与多台路由器相连。(point-to-multipoint)
NBMA与点到多点的区别:在OSPF协议中NBMA和点到多点都是指非广播多点可达的网络,但NBMA网络必须满足全连同(full meshed)的要求。急任意两点都可以不经转发而使报文直达对端。否则,我们称该网络是点到多点网络。
7.8.4计算路由
OSPF协议计算出路由主要有以下三个主要步骤:描述本路由器周边的网络拓扑结构,并生成LSA。
将自己生成LSA在自治系统中传播。并同时收集所有的其它路由器生成的LSA。
根据收集的所有的LSA计算路由。
7.8.5OSPF协议报文
OSPF协议报文有五种:
HELLO报文(hello packet):最常用的一种,周期性的发送给本路由器的邻居。内容包括一些定时器的数值,DR,BDR,以及自己已知的邻居。
DD报文(database description packet):两台路由器的数据库同步时,用DD报文来描述自己的LSDB,内容包括LSDB中每一条LSA的摘要(摘要是指LSA的HEAD,通过该HEAD可以唯一的标识一条LSA)。
LSR报文(link state request packet):两台路由器相互交换过DD报文后,知道对端的路由器有哪些LSA是本地的LSDB所缺少的或是对端更新的LSA,这时需要发送LSR报文向对方请求所需的LSA。内容包括所需要的LSA的摘要。
LSU报文(link state updata packet):用来向对端路由器发送所需的LSA,内容是多条LSA的集合。
LSAck报文(link state acknowledgment packet):用来对接收到的LSU报文进行确认。内容是需要确认的LSA的HEAD(一个报文可对多个LSA进行确认)。
7.8.6区域划分。
网络中多个路由器都运行OSPF协议时,出现以下问题:
l 每个路由器都保存着整个网络中其它所有路由器生成的LSA,这些LSA集合组成LSDB,路由器数量的增多会导致LSDB非常庞大,会占用大量的存储空间。
l LSDB的庞大会增加运行SPF算法的复杂度,导致CPU负担很重。
l 网络规模增大,拓扑结构发生变化的概率也增大,为同步这种变化,网络中会有大量的OSPF报文在传递,降低了网络带宽利用率。每一次变化都会导致网络中所有路由器重新进行路由计算。
解决方法:减少LSA的数量;屏蔽网络变化波及的范围。
OSPF通过自治系统划分不同区域来解决上述问题。
l 每个网段必须属于一个区域,或者说每个运行OSPF协议的接口必须指明属于某一个特定的区域,区域用区域号来标识。区域号是一个从0开始的32为整数。
l 不同的区域之间通过ABR来传递路由信息。
7.8.7骨干区域与虚连接
骨干区域:OSPF划分区域后,区域号为0的,称为骨干区域。
划分区域后,区域之间是通过ABR将一个区域那的已计算出的路由封装成type3类的LSA发送到另一个区域之中来传递路由信息。此时LSA所包含的不再是链路状态信息,而是纯粹的路由信息。这样涉及到一个问题:路由自环。
解决方法:所有的ABR将本区域内的路由信息封装成LSA后,统一的发送给一个特定的区域,再由该区域将这些信息发送给其他区域。在这个特定的区域内,每一条LSA都确切的知道生成者信息。在其他区域内所有的到区域外的路由都会发送到这个特定区域中,所以就不会产生路由自环。特定区域就是骨干区域。每一个ABR连接区域中至少有一个骨干区域,且骨干区域自身也必须是连同的。
虚连接:在两台ACR之间,穿过一个非骨干区域,建立的一条逻辑上的连接通道。“逻辑通道”指两台ABR之间的多台运行OSPF的路由器只是起到一个转发报文的作用。
注意:如果自治系统北划分为一个以上的区域,则必须有一个区域是骨干区域,并且保证其他区域与骨干区域直接相连或者逻辑上相连,且骨干区域自身也必须是连通的。
7.8.8OSPF协议的基本配置
l 配置路由器的Router ID
[Quidway]router id A.B.C.D
l 启动OSPF协议:必须在全局模式下
[Quidway]ospf enabled
l 配置OSPF区域:必须为每一个OSPF协议的接口制定一个区域
[Quidway]ospf enable area area_id (在接口模式下)
7.9小结
l 路由和路由表
l 静态路由的配置
l 动态路由协议的概述
l 距离矢量路由协议的概述
l 路由环路的产生和解决措施
l RIP路由协议的原理、配置和调试
l OSPF路由协议简介
第八章 访问控制列表及地址转换
8.1 培训目标
访问控制列表的基本原理 标准和扩展访问控制列表的配置方法 地址转换的基本原理和配置方法
8.2访问控制列表概述
8.2.1IP包过滤技术介绍
对路由器需要转发的数据包,先获取包头信息(包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口号和目的端口号等)然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。
8.2.2访问控制列表的作用
访问控制列表具有区分数据包的功能。
访问控制列表可以用于防火墙;
访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;
在DCC(拨号控制中心)中,访问控制列表还可以用来规定触发拨号的条件;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
8.2.3访问控制列表原理
路由器将在使能访问控制列表的接口上对所有的数据包进行规则的匹配检查。
IP数据包具有一定的特征,所承载的上层协议为TCP/UDP。IP数据包包括(IP报头(协议号、源地址、目的地址)、TCP/UDP报头(源端口、目的端口)、数据)。
例如,我们可以定义以下规则:
l 允许202.38.0.0、16网段主机使用协议HTTP访问129.10.10.1
acl 101
rule permit tcp source 202.38.0.0. 0.0.255.255 destination 192.10.10.1 0.0.0.0 destination-port equal www
l 禁止从202.110.0.0、16网段发出的所有访问
acl 1
rule deny source 202.110.0.0 0.0.255.255
l 不让任何主机使用Telnet登录
acl 101
rule deny tcp source any destination any destination-port equal telnet
l 某台主机10.0.0.1、16能通过SMTP把邮件发给我们,但没有其他主机能这样做
acl 101
rule permit tcp source 10.0.0.1 0.255.255.255 destination any destination-port equal smtp
rule deny tcp source any destination any destination-port equal smtp
8.2.4访问控制列表的分类
l 利用数字标识访问控制列表
l 利用数字范围标识访问控制列表的种类
列表种类 数字标识范围
IP standard list 1—99
IP extended list 100--199
例如:
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
表示序号为1的访问控制列表,它是标准访问列表。
acl 100
rule deny tcp source any destination any destination-port equal smtp
表示序号为100的访问控制列表,它是扩展访问列表。
8.3 标准访问控制列表
8.3.1 标准访问控制列表概况
标准访问控制列表只只是根据数据包的源地址对数据包进行区分,表明允许还是拒绝。
如:允许202.110.10.0网段的数据包通过,拒绝192.100.10.0网段的数据通过,则可以用标准访问控制列表表示:
acl 1
rule permit ip source 202.110.10.0 0.0.0.255
rule deny ip source 192.110.10.0 0.0.0.255
8.3.2 标准访问控制列表的配置命令
acl acl-number [match-order auto | config]
rule {normal | special} {permit | deny} [source source-addr source-wildcard | any]
8.3.3反掩码简介
反掩码也称通配符,作用和子网掩码相似。在反掩码中相应位为1的地址中的位在比较中被忽略,为0的必须被检查。
对于任何地址(255.255.255.255)可以用通配符any来代替。
8.4扩展访问控制列表
8.4.1扩展访问控制列表概况
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明允许还是拒绝。
对于使用TCP、UDP协议传输的数据包还可以同时使用端口号来对数据包做出区分。
8.4.2 扩展访问控制列表的配置
l 配置TCP/UDP协议的扩展访问列表
rule {normal | special } {permit | deny} {tcp |udp} [source source-addr source-wildcard |any] [source-port operator port1 [port2]] [destination dest-addr dest-wildcard |any] [destination-port operator port1 [port2] ][logging]
l 配置ICMP协议的扩展访问列表
rule {normal | special } {permit | deny} icmp [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [icmp-type icmp-type icmp-code] [logging]
l 配置其它协议的扩展访问列表
rule {normal | special } {permit | deny} {ip | ospf |igmp |gre} [source source-addr source-wildcard |any] [destination dest-addr dest-wildcard |any] [logging]
8.4.3扩展访问控制列表的*作符operator定义
*作符及语法 意义
Equal portnumber 等于端口号portnumber
Greater-than portnumber 大于端口号portnumber
Less-than portnumber 小于端口号portnumber
Not-equal portnumber 不等于端口号portnumber
Rang portnumber1 portnumber2 介于端口号portnumber1和portnumber2间
8.4.4 扩展访问控制列表的举例
l rule deny icmp source 10.1.0.0. 0.0.255.255 destination any icmp-type host-redirect
l rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging
8.5如何使用访问控制列表
8.5.1访问控制列表的配置
l 启用防火墙
l 定义访问控制列表
l 将访问控制列表应用在接口上
实际应用中可能用到以下扩展应用:
1. 设置防火墙的缺省过滤模式 2. 允许或禁止时间段 3.设定时间段 4. 允许日志主机
5. 指定日志主机 6. 显示配置状况
其中,2和4均在配置访问控制列表中设置,1、3、5和6由专门的命令完成。
8.5.2防火墙的属性配置命令
l 打开或者关闭防火墙 firewall {enable | disable}
l 设置防火墙的缺省过滤模式 firewall default {permit | deny}
l 显示防火墙的状态信息 display firewall
8.5.3 在接口上应用访问控制列表
l 将访问控制列表应用到接口上
l 指明在接口上是OUT还是IN方向
l 在接口视图下配置: firewall packet-filter acl-number [inbound | outbound]
8.5.4 时间包过滤
l timerange 命令 timerange {enable | disable } 允许|禁止时间段
l settr 命令 settr begin-time end-time [begin-time end-time ……] 设置特殊时间段
undo settr
l 显示isintr命令 display isintr 显示当前时间是否在特殊时间段内
l 显示timerange 命令 display timerange 显示配置的时间段
8.5.5. 日志功能
日志功能是允许在特定的主机上记录下来防火墙的*作
开启系统日志 [Quidway]info-center enable
配置日志主机地址等相关属性 info-center loghost loghost-number ip-address port….
如将10.110.12.119作为日志主机 [Quidway]info-center loghost 0 10.110.12.119 514
显示日志配置信息 display debugging
8.5.6访问控制列表的组合
一条访问列表可以由多条规则组成,对于这些规则,有两种顺序:auto和config。Auto表示采用深度优先原则对访问控制列表进行自动排序;config则表示一句用户输入的配置顺序进行匹配,现配置的访问规则一定会先匹配。可以用下列命令来配置访问控制列表的匹配顺序:
acl acl-number match-order [auto | config]
如果有两条规则冲突,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。
Rule deny 202.38.0.0 0.0.255.255
Rule permit 202.38.160.0 0.0.0.255
两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问。
规则冲突时,访问列表的匹配顺序为config,这时现配置的访问列表会被优先考虑。
8.6地址转换简介
8.6.1私有地址和公有地址
私有地址:10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
8.6.2地址转换的原理
局域网利用一个公网的IP进行上网,即做了NAT。
8.6.3地址转换的方式
利用acl控制地址转换
8.6.4地址转换的配置步骤
l 定义一个访问控制列表,规定什么样的主机可以访问internet
l 采用EASY IP或地址池方式提供公有地址
l 根据选择的方式(地址池方式还是EASY IP 方式),在连接internet接口上允许地址转换
l 根据局域网的协议,定义合适的内部服务器
8.6.5EASY IP特性
在路由器上配置地址转换通常有两种方法:一种时配置访问控制列表和接口的关联,它是指地址转换的直接使用接口的IP地址作为转换后的源地址,适用于两种情况:
1. 在拨号方式下,用户希望由协商方式得到的接口IP地址作为地址转换后的源地址。
2. 另一种情况时接口的IP地址固定,而用户希望就使用接口本身的IP地址作为地址转换的源地址。
配置访问控制列表和接口的关联(又称EASY IP特性)的命令如下:在接口视图下
nat outbound acl-number interface
缺省情况下,访问控制列表不与任何接口关联。
8.6.6使用地址池进行地址转换
利用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合,利用不超过32字节的字符串标识。
地址池可以支持更多的局域网用户同时上internet
配置命令:
l 定义一个地址池(在全局模式下进行)
nat address-group start-addr end-addr pool-name
l 在接口上使用地址池方式进行地址转换
nat outbound acl-number pool-name
每个地址池中的地址必须是连续的,每个地址池内最多可定义64个地址。
注意:当某个地址池已经和某个访问控制列表相关联进行地址转换,是不允许删除这个地址的。
8.6.7内部服务器应用
内部服务器地址转换配置命令:
nat server global global-addr {global-port |any |domain |ftp |pop2 |pop3 |smtp |telnet |www } inside inside-addr {inside-port |any |domain |ftp |pop2 |pop3 |smtp |telnet |www} {protocol-number |ip |icmp |tcp |udp}
注意:1.inside-port是必须的,可为0或取值在1-65535之间的整数
2.若未定义global-port,global-port的值就等于inside-port的值。
8.6.8地址转换的监控和维护
缺省情况下:TCP地址转换有效时间为240秒;UDP地址转换有效时间为40秒;ICMP地址转换有效时间为20秒。
l 显示地址转换配置
display nat
l 设置地址转换连接有效时间
nat aging-time {tcp |udp |icmp} seconds
nat aging-time default
l 清除地址转换连接
nat reset
8.6.9地址转换的缺点
l 地址转换对于报文内容中含有有用的地址信息的情况很难处理
l 地址转换不能处理IP报头加密的情况
l 地址转换由于隐藏了内部主机地址,有时候会使网络调试变得复杂。
8.7访问列表和地址转换的综合应用举例
8.7.1组网图
路由器Quidway2501通过接口serial0访问internet,公司内部对外提供WWW、ftp、telnet服务,内部子网为129.38.1.0,对外的IP202.38.160.1。在路由器上配置了地址转换,这样(129.38.1.4)可以访问internet,外部可以访问内部服务器。通过防火墙配置,实现:
外部网络只有特定主机(202.39.2.3)可以访内部服务器。
内部网络只有特定主机(129.38.1.4)可以访问外部网络。
8.7.2配置示例
步骤:1.允许防火墙 2.定义扩展的访问列表 3.在接口上应用访问控制列表
4.在接口上利用访问控制列表定义地址转换 5.配置内部服务器的地址映射关系
配置:
!允许防火墙
[Quidway]firewall enable
!设置防火墙缺省的过滤方式为允许包通过
[Quidway]firewall default permit
!配置访问规则禁止所有包通过
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
!配置规则允许特定的主机访问外部网,允许内部服务器访问外部网
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
!配置规则允许特定的用户从外部网访问内部服务器
[Quidway-acl-101]acl 102
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
!配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port greater-than 1024
!将规则101作用于从接口Ethernet0进入的包
[Quidway-ethernet0]firwall packet-filter 101 inbound
!将规则102作用于从接口serial0进入的包
[Quidway-serial0]firwall packet-filter 102 inbound
!在接口serial0上使用访问控制列表101作地址转换条件(Easy IP):
[Quidway-serial0]nat outbound 101 interface
!设置内部FTP服务器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
!设置内部Telnet服务器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
!设置内部WWW服务器
[Quidway-serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
其它内容如各端口IP地址,封装协议等不再赘述。
8.8小结
l 包过滤技术的基本规则和原理
l 标准和扩展访问控制列表的配置方法
l 访问控制列表用于防火墙
l 地址转换的基本概念和规则
l 地址转换的配置方法
第九章 DCC、ISDN原理及配置
9.1 培训目标
理解DCC的基本功能及概念 掌握DCC的基本配置方法
理解ISDN技术的一些基本概念 掌握ISDN接口和协议的配置方法
9.2DCC概述
DCC是指路由器之间通过公用分组交换网进行互连时所采用的路由技术。适用于PSTN(公用电话交换网)和ISDN(综合业务数据网)。
DCC不是协议,也没有相应的国际标准。
9.2.1DCC相关名词
物理接口:物理上实际存在的接口,如serial0或bri0。
Dialer接口:为了配置DCC设置的逻辑接口,具体的物理接口可通过捆绑到Dialer接口上而使能DCC。
拨号接口:对于拨号连接的泛指。
拨号串:即PSTN电话号码或ISDN电话号码。
Dialer-rule:配置能够触发拨号的条件,可以与访问控制列表关联使用。
*循DCC:相对于“共享DCC”而言的一种DCC配置方式。
共享DCC:为满足多种不同拨号配置需灵活使用一些共同的物理接口而提出的。
9.2.2DCC在系统中的位置
DCC模块在整个路由器软件模块中,与链路层模块和CC/模拟拨号模块互相提供服务。DCC模块与网络层协议无关。
9.2.3DCC支持的网络拓扑
点到点、点到多点、多点到多点
9.2.4DCC的功能
l 承载IP、IPX网络层协议:可以单独承载,也可同时承载
l 设定数据包触发拨号的条件
l 支持端口的优先级配置
l 提供自动拨号功能
l 提供流量控制
l 支持回呼功能:基于PPP的CALLBACK;基于ISDN主叫识别的CALLBACK
l 端口的缓冲队列的设定
l 对接如请求进行识别
l 对空闲链路的时间设定
9.2.5DCC的应用
金融系统中常用DCC作备份线路、POS终端利用DCC远程接入
9.3DCC配置准备
l 网络中哪些路由器使用DCC(哪些接口、何种传输介质、何种拓扑结构、接口是呼叫、接收还是既接收又呼叫)
l 确定使用的接口类型(异步串口或ISDN BRI/PRI接口等)
l 确定使用的接口封装(PPP等)
l 确定使用的网络协议(IP或IPX)
l 确定需要在DCC接口使用的动态路由协议(RIP等)
l 选择使用*循DCC或共享DCC两种配置之一来配置
l 配置DCC
9.4*循DCC
9.4.1*循DCC概述
一个物理接口可以直接配置成拨号接口,也可以配置成属于唯一一个逻辑接口dialer口从而继承该逻辑接口的DCC属性。
配置:1.根据组网方式决定配置的端口是要单点还是多点呼叫、是要接收单点还是多点呼叫或者既要接受呼叫又要发出呼叫
2.配置开始拨号的触发条件:Dialer-rule
3.配置DCC接口发出或者接受呼叫(包括Dialer口的配置)
4.配置DCC相关参数
在*循DCC方式中,有两种方式配置:已是直接在物理接口上使能DCC,另外一种是配置逻辑DCC口:dialer口,并且使物理接口与dialer口绑定在一起。
9.4.2dialer口介绍
Dialer interface是一个逻辑接口,其中包含一组物理接口。
9.4.3配置Dialer-rule
Dialer-rule的作用是区分数据包是需要通过DCC传送的包。配置Dialer-rule要在全局配置模式下。
Dialer-rule:触发拨号连接的条件
配置Dialer-rule:
dialer-rule dialer-group protocol-name {permit | deny}
配置方法:
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source any destination any
[Quidway]dialer-rule 1 acl 101
如果这样配置,主机129.38.1.4将不能触发拨号。
配置相应的拨号接口使用哪个Dialer-rule
dialer-group group-number
DCC对发送报文处理的情况:
1. 对于不是interesting的报文,若当前没有可发送该报文的拨号链路建立,则DCC将丢弃该报文;
2. 对于interesting报文,若当前没有可发送该报文的拨号链路,则DCC将进行拨号,病患存该报文。
3. 若当前已有发送该报文的拨号链路,则无论该报文是否为interesting,DCC都将从此拨号链路上发送该报文。
Dialer-rule有两种配置方式(不能同时使用):
l 直接配置到protocol;
l 通过access-list来配置
9.4.4配置接口发出呼叫
l 在接口上使能DCC 通过异步串口进行呼叫,需使用dialer enable-circular 命令;对于ISDN接口,系统会自动加载。dialer enable-circular 命令是*循DCC中使能DCC的命令。
l 对于点到点的拨号连接,可以使用dialer number或者dialer router命令来定义拨号串口:
当通过该接口只呼叫一个目的地址时,使用
dialer number dial-number [:isdnsubaddress]
对多点进行呼叫时,使用
dialer router protocol next-hop-address [user hostname] [broadcast] [dial-number [:isdnsubaddress]] [autodial] [logic-channel logic-channel-number]
l 对于点到多点的拨号连接,只能使用 dialer route
如果需要配置验证(PAP/CHAP),按照PAP/CHAP配置方式配置
以上命令在接口模式下使用,接口包括物理接口和Dialer口。
9.4.5配置接口接收呼叫
接收单点呼叫,使用 Dialer enable-circular 命令使能DCC,对于ISDN接口不需配置
从多点接收呼叫:
系统试图下配置用户列表: local-user user [password {simple | cipher} password]
在接口上使能DCC: dialer enable-circular
封装PPP协议以及选择验证方式: link-protocol ppp pppauthentication-mode {chap |pap}
设置远端用户名与协议地址对应关系: dialer route protocol next-hop-address user hostname
9.4.6配置接口发起和接受呼叫
从多点发出和接受呼叫
l 在系统试图下配置用户列表
local-user user [password {simple | cipher } password]
l 在接口上使能DCC dialer enable-circular
l 如要进行验证,选择验证方式及配置相应的验证参数
l 配置远端接口协议地址与用户名及拨号串对应关系
dialer route protocol next-hop-address user hostname dial-number [:/isdnsubaddress]
9.4.7*循DCC配置举例
模拟银行备份示例。Router A模拟银行的营业网点侧,Router B模拟银行的地市行主机网络。Router A的同/异步串口serial0与Router B的同/异步串口serial0通过电?苯幼魑飨呗罚琑outer A的serial0口IP地址由Router B分配。Router A的同/异步串口serial1通过modem接入电话网,serial1 IP地址由对端分配,电话号码时6688001,Router B的同/异步串口serial1通过modem接入电话网,电话号码时6688002。
配置:
(1)配置路由器A:
[Quidway]dialer-rule 1 ip permit (设定拨号触发条件)
[Quidway]interface serial 0
[Quidway-serial0]ip address ppp-negotiate (允许接口进行IP地址协商)
[Quidway-serial0]standby interface serial 1 (为主接口指定serial1接口作为备份接口)
[Quidway-serial0]standby timer enable-delay 10 (从主接口切换到备份接口为10秒)
[Quidway-serial0]standby timer disable-delay 10 (从备份接口切换到主接口为10秒)
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async (设置同步物理接口工作模式为异步方式)
[Quidway-serial1]modem (modem [in | out] 允许modem呼入和呼出)
[Quidway-serial1]dialer enable-circular
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer number 6688002
[Quidway-serial1]ppp pap local-user quidwaya password simple quidwaya
[Quidway-serial1]ip address ppp-negotiate
(2)配置路由器B:
[Quidway]dialer-rule 1 ip permit
[Quidway]interface serial 0
[Quidway-serial0]ip address 1.0.0.2 255.0.0.0
[Quidway-serial0]remote address 1.0.0.1 (remote address {ip-address |pool [pool-name]}配置为对端接口分配的IP地址)
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]dialer enable-circular
[Quidway-serial1]dialer-group 1
[Quidway-serial1]ppp authentication pap
[Quidway-serial1]ip address 2.0.0.2 255.0.0.0
[Quidway-serial1]remote address 2.0.0.1
9.5共享DCC
9.5.1共享DCC简介
l 为满足不同用户定义不同的呼叫服务的需求而提出的
l 将物理接口的配置和呼叫的逻辑配置分离开。
9.5.2共享DCC各元素及其之间的关系
一个dialer profiles包括:
l 一个dialer interface 的配置,是一个逻辑端口的配置,包括一个IP网络地址,用以表明该接口所建立呼叫的目的网段;和一个dialer number,供拨号使用用于到达一个目的的网络。
l dialer interface得属性,如idle-timeout,enable-timeout等
l 一个dialer bundle,是物理端口的集合,并且有优先级,由dialer interface使用。
在一个dialer profiles中,dialer interface、dialer bundle和物理端口之间的关系:去往同一个目的的网络的所有呼叫使用同一个dialer profiles。
每个dialer interface使用一个dialer bundle,一个dialer bundle中的每一个物理端口都具有不同的优先级。一个物理端口可以属于不同的dialer bundle。
一个dialer interface只能使用同一个dialer bundle,一个物理接口可以是几个dialer bundle的成员,一个dialer bundle可以包含一个或多个物理端口。
9.5.3共享DCC配置
设置DCC端口的拨号触发条件:Dialer-rule。
创建一个dialer interface,为其指定IP地址,拨号串,dialer bundle等参数。
定制dialer interface的DCC特性。
配置物理接口,使它成为dialer bundle的成员。
DCC断口的拨号触发条件的配置与*循DCC一致。
9.5.4配置dialer interface
l 创建一个dialer interface interface dialer number
l 设置PPP封装以及选择验证方式 link-protocol ppp CHAP or PAP
l 使能共享DCC以及设置拨号串 dialer user username dialer number dialer-number
由于ISDN接口(BRI口和PRI口),由于缺省配置为使能*循DCC:dialer enable-circular,所以首先要取消使能*循DCC的设置:undo dialer enable-circular;然后才能共享DCC。
l 设置相应的dialer bundle号 dialer bundle number
l 设置dialer interface属于一个dialer bundle dialer circular group number
9.5.5为dialer口配置DCC特性
l 设置链路空闲时间 dialer timer idle seconds
l 设置忙端口的链路空闲时间 dialer timer compete seconds
l 设置链路断开后重新拨号的时间 dialer timer enable seconds
l 设置端口数据发送的最大等待时间 dialer timer wait-carrier seconds
9.5.6配置物理接口
l 进入物理接口配置模式 interface interface-type interface-number
l 封装PPP link-protocol ppp
l 设置PPP验证 ppp authentication-mode chap | ppp
l 指定接口属于哪个dialer bundle dialer circular-group number
如果在此物理接口上要接收呼叫,必须配置PPP验证。
9.5.7共享DCC对MP的支持
l dialer口配置流控 dialer threshold traffic-percentage [in-out | in | out] (配置流控阀值)
l 物理接口上配置MP ppp mp
l 系统试图下配置流量检测周期 flow-interval minutes
9.5.8共享DCC配置举例
应用共享DCC,我们可以配置一个串口,使其既可用来拨号访问internet,又可用来拨号连接远端的路由器。如上图,微机A可通过路由器A访问internet或与远端路由器B拨号相连,在其中我们假定用户通过163特服号访问internet,其注册的用户名为163,口令为163。在本例中我们可以配置路由器C来模拟接入服务。
配置:
(1)配置路由器A
[Quidway]acl 1
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]rule permit source 20.0.0.0 0.0.0.255
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user userb password simple passb
[Quidway]local-user userc password simple passc
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 20.0.0.1 255.0.0.0
[Quidway-ethernet0]interface dialer 0
[Quidway-dialer0]ip address 1.0.0.1 255.0.0.0
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user userb
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp authertication pap
[Quidway-dialer0]ppp pap local uaera password simple passa
[Quidway-dialer0]dialer number 8810048
[Quidway-dialer0]interface dialer 1
[Quidway-dialer1]ip address ppp-negotiate
[Quidway-dialer1]nat outbound 1 interface
[Quidway-dialer1]ppp authentication pap
[Quidway-dialer1]dialer bundle 2
[Quidway-dialer1]dialer user userc
[Quidway-dialer1]dialer-group 1
[Quidway-dialer1]ppp pap local-user 163 password simple 163
[Quidway-dialer1]dialer number 163
[Quidway-dialer1]interface serial 0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer bundle-member 1
[Quidway-serial0]dialer bundle-number 2
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp authentication pap
(2)配置路由器B
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user usera password simple passa
[Quidway]ip route 20.0.0.0 255.0.0.0
[Quidway]interface dialer 0
[Quidway-dialer0]ip address 1.0.0.2 255.0.0.0
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user usera
[Quidway-dialer0]dialer number 8810052
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp authentication pap
[Quidway-dialer0]ppp pap loacal-user userb password simple passb
[Quidway-dialer0]interface serial 0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer bundle-member 1
[Quidway-serial0]link-protocol ppp
[Quidway-serial0]ppp authtication pap
(3) 配置路由器C (模拟接入服务,用*循DCC配置)
[Quidway]dialer-rule 1 ip permit
[Quidway]local-user 163 password simple 163
[Quidway]ip pool 12.0.0.1 255.0.0.0
[Quidway]interface dialer 0
[Quidway-dialer0]ip address 2.0.0.2 255.0.0.0
[Quidway-dialer0]remote address pool 1
[Quidway-dialer0]dialer enable-circular
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]link-protocol ppp
[Quidway-dialer0]ppp authentication pap
[Quidway-dialer0]ppp pap local-user userc password simple passc
[Quidway-dialer0]interface serial0
[Quidway-serial0]physical-mode async
[Quidway-serial0]modem
[Quidway-serial0]dialer circular-group 0
配置关键点:
在路由器A上配置逻辑连接口dialer0对应到路由器B的拨号连接,配置逻辑接口dialer1用于拨号上网(对应路由器C)。两个逻辑接口都使用物理接口serial0,但分别对应于不同的网络,而且可以配置不同的特性参数。
1. local-user userb password simple passb (local-user user [password {simple |cipher} password])设置用户口令验证密码,userb为对端路由器B发送过来的认证名。
2. dialer user userb (dialer user username)该命令使能共享DCC,并且设置对端用户名一边接收呼叫时能验证请求。
3. ppp authentication pap,设置ppp对对端路由器的验证方式为PAP;ppp pap local-user usera password simple passa (ppp pap local-user username password {simple |cipher} password),该命令配置本地路由器作为pap方式验证的被验证端时发送的用户名和口令。
4. dialer bundle 1 (dialer bundle number)在共享DCC的配置中,设置一个dialer接口使用的拨号池。
5. dialer bundle-member 1、dialer bundle-member 2 (dialer bundle-member number [priority priority]),在共享一个物理接口属于拿一个dialer bundle,priority为物理接口在这个dialer bundle中的优先级此命令只用于物理接口。
9.6DCC的监控与维护
显示DCC端口的信息
display dialer interface [interface-type interface-number]
显示DCC的调试信息
debugging dialer event (显示DCC呼叫建立信息)
debugging dialer packet (显示DCC数据包发送信息)
9.7.DCC配置注意事项
1.必须配置dialer-group 2.同/异步串口应用DCC时的配置 3.网络层地址的配置
4.共享DCC配置方式,接收入呼叫时PPP的配置 5.*循DCC配置方式下,接收入呼叫时PPP的配置
9.8ISDN技术
9.8.1概述
综合业务数字网(integrated services digital network),提供端到端的数字连接,ITU-T的ISN协议模型,ISDN的用户-网络接口规范。
ISDN提供多种安全措施:1.呼叫链路识别:此功能由服务商提供; 2.PAP:明文传送的密码验证
4. CHAP:密文传送的密码验证 4.RADIUS:工业标准的Client/server 结构安全访问协议。
ISDN的两种信道:1.B信道(64kbps) 2.D信道(16或64kbps)
ISDN用户接口类型:1.基本速率接口(BRI):2B+D(144kbpd,D信道16kbps)单一物理连接、两条逻辑连接、客户端适用
2.基群速率接口(PRI):30B+D(2048kbps,D信道64kbps)单一物理连接、30条逻辑连接、中心点适用
9.8.2ITU-T的ISDN协议模型
由三个平面组成,对应着三种不同类型的信息:
1. 控制平面C:关于控制信令的协议,分七层,覆盖了所有对呼叫和对网络性能的控制
2. 用户平面U:用户信息的协议。分七层,覆盖了在用户信息传送的信道上实行数据交换的全部规则
3. 管理平面M:不分层,关于终端或ISDN节点内部*作功能的规则。
一般来说,C平面和U平面都可以通过原语和管理平面M进行通信,由M平面中的管理实体来协调C和U之间的动作。C和U之间不直接通信。
9.8.3ISDN的用户-网络接口规范
功能群分为:
l 网络终端1(NT1):实现OSI第一层的功能,包含用户线传输功能、环路测试和D信道竞争等。
l 网络终端2(NT2):又称智能网络终端,包含了OSI的1-3层
l 1类终端设备(TE1):又称ISDN标准终端,符合ISDN接口标准的用户设备
l 2类终端设备(TE2):又称非ISDN标准终端,不符合ISDN接口标准的用户设备
l 终端适配器(TA):完成适配功能,使TE2接入ISDN标准接口
参考点包括:
l R参考点:位于非ISDN设备和TA之间
l S参考点:位于用户终端和NT2之间
l T参考点:位于NT1和NT2之间
l U参考点:位于NT1设备和线路终端设备之间
9.8.4ISDN终端设备的功能
网络终端(NT):是用户传输线路的终端装置,是实现在普通电话线上进行数字信号转送和接收的关键设备,是电话局程控交换机和用户的终端设备之间的接口设备。改设备安装于用户处,是实现N-ISDN功能的必备终端。
l 一类网络终端(NT1):一头接ISDN电话线,另一头接数字电话、ISDN适配卡等。只能接标准的ISDN设备,模拟电话机等不能接入。
l 智能网络终端(NT2):一头接ISDN电话线,可以接入数字电话等标准ISDN设备,也可接入模拟电话、传真机、modem等模拟设备。
ISDN用户终端:
l ISDN适配卡:内置式插卡,接在NT1或NT1+的S/T口上。用于台式机。
l ISDN适配器(TA):提供RS232接口或USB接口
l ISDN数字电话:标准的ISDN终端,接在NT1或NT1+的S/T口上。
l ISDN可视电话:
若通过ISDN一边上网,一边打电话,可采用NT1+以及ISDN适配卡或适配器,电话接在NT1+的模拟口上,通过ISDN适配卡或适配器上网。
9.8.5配置ISDN BRI接口
l 配置在ISDN BRI接口上运行IP网络协议
l 配置在ISDN BRI接口上运行IPX网络协议
l 配置通过ISDN BRI接口访问internet
ISDN BRI接口包含2B+D三个通信信道。B信道是用户信道,64kbps;D信道是控制信道,16kbps。
ISDN BRI接口缺省的封装链路层协议为:PPP,支持IP和IPX等网络层协议。
9.8.6ISDN BRI接口上运行IP协议
l 配置ISDN协议工作参数
l 配置ISDN BRI接口的IP地址
l 配置呼出到目的地的dialer router
l 配置封装链路层协议ppp及其验证
l 配置激活呼叫的dialer group 和dialer rule
l 配置DCC工作参数
l 配置相关的IP路由
配置举例:
Remote Site路由器的BRI口Bri0接入ISDN网,Bri0的IP地址是10.110.0.1。Central Site路由器的BRI口的IP地址是10.110.0.2,使用号码是8810124。
配置:
[Quidway]dialer-rule 1 ip permit 设置触发拨号条件
[Quidway]interface bri 0
[Quidway-bri0]ip address 10.110.0.1 255.255.255.0 配置ISDN BRI接口IP地址
[Quidway-bri0]dialer toute ip 10.110.0.2 8810124 配置到中心路由器的呼出dialer route
[Quidway-bri0]link-protocol ppp 在BRI口上封装链路层协议PPP
[Quidway-bri0]dialer-group 1 指定dialer group,即指定接口所采用的出发拨号的条件
[Quidway-bri0]undo shutdown 重新启动
[Quidway-bri0]ip route 0.0.0.0 0.0.0.0 10.110.0.2 配置到中心路由器的静态路由
9.8.7配置ISDN协议
l 设置数字入呼叫时需检查的被叫号码或子地址
[undo] isdn check-called number [called-party] [:subaddress]
l 配置ISDN DoV
配置接口发起连接的呼叫方式 [undo] dialer data2voice
配置接口对呼叫的处理方式 [undo] isdn voice2data
9.8.8ISDN协议的监控和维护
l 显示当前激活的呼叫信息
[Quidway]display isdn active-channel interface bri 0
l 显示ISDN接口当前的状态
[Quidway]display isdn call-info
l 显示ISDN定时器的值
l ISDN的调试信息
Debugging isdn {cc | q921 |q931 | qsig {alarm | all | call-state |error | information | message}} [interface type number]
以上为打开ISDN的调试开关。
9.8.9ISDN应用配置的举例
路由器A的一个BRI口通过ISDN连接远端的接入服务器。要求根据流量实时控制访问带宽。假设ROUTER A的连接的局域网网段地址是10.110.10.0/24。本例用共享DCC实现。
(1) 配置路由器A
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway]dialer-rule 1 ip permit
[Quidway]flow-interval 1 flow-interval minites统计接口流量时间间隔,单位分钟
[Quidway]interface dialer 0
[Quidway-dialer0]ip address ppp-negotiate
[Quidway-dialer0]nat outbound 1 interface
[Quidway-dialer0]dialer bundle 1
[Quidway-dialer0]dialer user server
[Quidway-dialer0]dialer-group 1
[Quidway-dialer0]ppp pap local-user 163 password simple 163
[Quisway-dialer0]dialer number 8801048
[Quidway-dialer0]ppp mp 封装PPP的接口工作在MP方式
[Quidway-dialer0]dialer threshold 80 dialer threshold traffic-percentage [in-out | in | out]负载阀值
[Quidway-dialer0]interface bri 0
[Quidway-bri0]undo dialer enable-circular 取消使能*循DCC
[Quidway-bri0]dialer bundle-member 1
[Quidway-bri0]ip route 0.0.0.0 0.0.0.0 dialer 0
9.9本?氐?br /> l 了解DCC的用途及功能
l 掌握DCC的基本配置
l 了解ISDN技术
l 掌握ISDN的基本配置
9.10附录
9.10.1DCC拨号建立连接的过程
1.链路层调用DCC_Routing要求DCC提供二次路由;
2.DCC向CC/模拟拨号模块发送原语ISDN_CONN_REQ;
3.CC/模拟拨号模块与远端通讯;
4.与远端建立连接后,CC/模拟拨号模块向DCC发送原语ISDN_CONN_CFM;
5.DCC调用Link_DCC_loCtl,通知链路层DCC_Call_Up;
6.链路层与远端进行协商;
7.链路层将协商的结果告知DCC
8DCC判断对端的地址、名称等信息,确定是否缉拿里本次连接。并告之链路层;
9.若连接建立,链路层与远端通信。
9.10.2回呼(Callback)
回呼:1.增加安全性 2.改变话费承担方
Callback分类:1.ISDN主叫识别回呼 2.基于PPP的回呼
Callback的步骤: 1.呼叫端发起呼叫 2.接收端接收呼叫,并确定是否回呼 3.接收端回呼发起呼叫端
ISDN主叫识别回呼的配置
l 进入指定拨号接口的配置模式(系统视图下使用)
interface interface-type interface-number
l 对于与remote-number相匹配的呼入进行回呼或接入(拨号视图下使用)
dialer call-in remote-number callback
l 设置回呼前的延迟时间
dialer timer enable seconds
A. 对于一个入呼叫,根据呼入号码与本端所配置的dialer call-in的匹配情况,分三种不同的处理方式
拒绝该呼入——当设置了dialer call-in,且呼入号码没有相匹配的dialer call-in。
接收该呼入——没有配置dialer call-in,或呼入号码与一无“callbak”关键字的dialer caller相匹配。
回呼——呼入号码与一含“callback”关键字的dialer call-in相匹配。
B.呼入号码与dialer caller的匹配采用“右端匹配”,用“*”来对应任意字符。
PPP回呼的配置
l 设置本端为回呼server/client端
ppp callback {client | server}
l 配置根据对端的用户名查找匹配的dialer route进行回呼
dialer callback-center user
l 或配置根据回呼拨号串进行回呼
dialer callback-center dial-number
l 如果配置了dialer callback-center dialer-number,需要配置回呼拨号串
local-user name callback-number telephone-number
第十章备份中心原理及配置
10.1培训目标
1.掌握备份中心的基本功能 2.能够在华为路由器上配置备份中心的功能
10.2什么是备份中心
10.2.1什么是备份中心
备份中心是VRP中管理备份功能的模块,它为路由器的接口提供备份。
10.2.2备份中心的功能
l 主接口 1.被其他接口备份 2.除dialer口外的其他接口
l 备份接口 1.备份其他接口 32.除以太口外的其他接口
l 任何接口 物理接口,子接口,逻辑接口
10.3备份中心配置任务
10.3.1备份中心配置任务列表
l 进入将备份得主接口视图
l 指定主接口使用的备用接口及其优先级
l 设置主备接口切换的时延
l 配置逻辑通道状态的判断条件
l 配置备份负载分担
10.3.2进入主接口配置模式
l 主接口是一物理接口
interface interface-type interface-number
l 主接口是一逻辑通道
x25 map protocol address x121-address x.121-add [logic-channel logic-channel-num]
fr map protocol address dlci dlci [logic-channel logic-channel-num]
dialer route protocol next-hop dialer-string [logic-channel logic-channel-num]
logic-channel logic-channel-number
10.3.3设定主接口使用的备份接口及优先级
l 若备份接口是物理接口,在主接口视图?付ū阜萁涌?br /> standby interface interface-type interface-num [priority]
l 若备份接口是逻辑接口
在主接口视图下,指定备份逻辑通道号
standby logical-channel number [priority]
在备份接口视图下,建立逻辑通道与虚电路或dialer route的对应关系
x25 map protocol address x121-address x.121-add [logic-channel logic-channel-num]
fr map protocol address dlci dlci [logic-channel logic-channel-num]
dialer route protocol next-hop dialer-string [logic-channel logic-channel-num]
10.3.4配置主备份接口切换条件
l 设置从主接口切换到备用接口的延时
standby timer enable-dlay seconds
l 设置从备用接口切换到主接口的时延
standby timer disable-delay seconds
10.3.5设定判断主接口逻辑通道down和up的条件
若主接口是逻辑通道,还需设置逻辑通道状态的判断条件,在主接口试图下配置
设置主逻辑通道状态为down条件:若呼叫times次仍未成功,则认为逻辑通道的状态为down,
standby state-down times
检测主逻辑通道是否up:为了判定逻辑通道的状态是否恢复为up,设置时间间隔以定时检查
standby state-up interval-seconds
10.3.6配置备份负载分担
负载分担:当流量超过一定限度时启动备份接口。
在主视图下配置:
standby threshold enable-threshold disable-threshold
其中:enable-threshold,流量上限百分比(0-99),超过此上限时启动备份接口
disable-threshold流量下限百分比(0-99),低于此上限时关闭备份接口
10.4配置举例
10.4.1配置举例(一)
1. 组网需求:
Router 1的ethernet 0口IP地址为:130.1.1.1,Router 2的ethernet 0口IP地址为131.1.1.1
本配置中,serial0接口配置为PPP封装,作为主接口。Serial1接口配置成拨号口,作为备份口。主接口down掉后备份接口自动开始拨号建立连接,主接口恢复后从备份接口切换回主接口。
2. 配置步骤:
配置Router 1:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]ip address 129.102.0.1 255.255.0.0
[Quidway-serial0]standby interface serial 1
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]ip address 10.110.0.1 255.255.0.0
[Quidway-serial1]dialer enable-legacy
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer route ip 10.110.0.2 8810026
[Quidway-serial1]quit
[Quidway]dialer-rule 1 ip permit
[Quidway]ip route-static 131.1.1.0 255.255.255.0 129.102.0.2
[Quidway]ip route-static 131.1.1.0 255.255.255.0 10.110.0.2
配置Router 2:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]ip address 129.102.0.2 255.255.0.0
[Quidway-serial0]interface serial 1
[Quidway-serial1]physical-mode async
[Quidway-serial1]modem
[Quidway-serial1]ip address 10.110.0.2 255.255.0.0
[Quidway-serial1]dialer enable-legacy
[Quidway-serial1]dialer-group 1
[Quidway-serial1]dialer route ip 10.110.0.1 8810025
[Quidway-serial1]quit
[Quidway]dialer-rule 1 ip permit
[Quidway]ip route-static 130.1.1.0 255.255.255.0 129.102.0.1
[Quidway]ip route-static 130.1.1.0 255.255.255.0 10.110.0.1
10.4.2配置举例(二)
使用PPP连接备份X.25逻辑通道的配置实例,serial 1被配置为serial 0上的逻辑通道10的备份接口。
1. 组网需求
在serial 0上定义了逻辑通道10,作为主接口。Serial 1接口配置成PPP封装,并设置当主逻辑通道down掉后,每隔10秒检查是否恢复up。
2. 配置步骤:
配置Router 1:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 130.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]link-protocol x25 dce
[Quidway-serial0] ip address 129.102.0.1 255.255.0.0
[Quidway-serial0]x25 x121-address 1000
[Quidway-serial0]x25 map ip 129.102.0.2 x121-address 2000 logic-channel 10
[Quidway-serial0]quit
[Quidway]logic-channel 10
[Quidway-logic-channel10]standby interface serial 1
[Quidway-logic-channel10]standby state-up 10
[Quidway-logic-channel10]quit
[Quidway]interface serial 1
[Quidway-serial1]ip address 10.110.0.1 255.0.0.0
[Quidway]ip route-static 131.1.1.0 255.255.255.0 129.102.0.2
[Quidway]ip route-static 131.1.1.0 255.255.255.0 10.110.0.2
配置Router 2:
[Quidway]interface Ethernet 0
[Quidway-ethernet0]ip address 131.1.1.1 255.255.255.0
[Quidway-ethernet0]interface serial 0
[Quidway-serial0]link-protocol x25 dte
[Quidway-serial0] ip address 129.102.0.2 255.255.0.0
[Quidway-serial0]x25 x121-address 2000
[Quidway-serial0]x25 map ip 129.102.0.1 x121-address 1000
[Quidway-serial0]quit
[Quidway]interface serial 1
[Quidway-serial1]ip address 10.110.0.2 255.0.0.0
[Quidway]ip route-static 130.1.1.0 255.255.255.0 129.102.0.1
[Quidway]ip route-static 130.1.1.0 255.255.255.0 10.110.0.1
添加到百度搜藏