04操作手册链路层协议.docx
- 文档编号:29039476
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:50
- 大小:191.31KB
04操作手册链路层协议.docx
《04操作手册链路层协议.docx》由会员分享,可在线阅读,更多相关《04操作手册链路层协议.docx(50页珍藏版)》请在冰豆网上搜索。
04操作手册链路层协议
目录
第1章VLAN配置1-1
1.1VLAN简介1-1
1.1.1LAN互联存在的问题1-1
1.1.2为什么使用VLAN1-1
1.1.3VLAN聚合1-3
1.2VLAN配置1-3
1.2.1创建VLAN子接口1-4
1.2.2配置子接口的封装类型及关联的VLANID1-4
1.2.3清除VLAN报文统计信息1-4
1.3VLAN显示和调试1-5
1.4VLAN典型配置举例1-5
第2章PPP配置2-1
2.1PPP协议简介2-1
2.2PPP配置2-3
2.3PPP配置2-3
2.3.1配置接口封装PPP2-3
2.3.2设置轮询时间间隔2-4
2.3.3配置PPP验证方式及用户名、用户口令2-4
2.3.4配置在接口上应用AAA的PPP验证方法2-6
2.3.5配置PPP协商参数2-6
2.3.6配置PPP压缩2-7
2.3.7配置PPP链路质量监测2-8
2.3.8配置回呼功能2-8
2.3.9配置回呼防火墙时所需要的拨号串2-9
2.3.10配置DNS服务器地址协商2-9
2.3.11配置VJTCP头压缩2-9
2.4PPP显示和调试2-10
2.5PPP典型配置举例2-10
2.5.1采用PAP验证的PPP应用举例2-10
2.5.2采用CHAP验证的PPP举例2-11
2.6PPP故障诊断与排除2-11
第3章PPPoE配置3-1
3.1PPPoE简介3-1
3.1.1PPPoE协议介绍3-1
3.1.2PPPoE应用介绍3-1
3.2PPPoEServer配置3-2
3.2.1启用/禁止PPPoE协议3-2
3.2.2配置PPPoE协议参数3-3
3.3PPPoEClient配置3-3
3.3.1配置拨号接口3-4
3.3.2配置PPPoE会话3-4
3.3.3复位或删除PPPoE会话3-5
3.4PPPoE显示和调试3-5
3.5PPPoE典型配置举例3-6
第4章ATM配置4-1
4.1ATM技术简介4-1
4.2IPoA、IPoEoA、PPPoA、PPPoEoA应用介绍4-2
4.3ATM的配置4-3
4.3.1配置ATM接口4-3
4.3.2定制ATM接口4-4
4.3.3配置PVC4-4
4.3.4配置PVC业务映射4-5
4.3.5配置ATM-Class类4-5
4.3.6设置VP监管4-6
4.3.7配置IPoA4-7
4.3.8配置IPoEoA4-7
4.3.9配置PPPoA4-7
4.3.10配置PPPoEoA4-8
4.4ATM显示和调试4-8
4.5ATM典型配置举例4-9
4.5.1IPoA典型配置举例4-9
4.5.2IPoEoA典型配置举例4-11
4.5.3PPPoA典型配置举例4-12
4.5.4PPPoEoA典型配置举例4-14
4.6ATM故障诊断与排除4-15
第1章VLAN配置
1.1VLAN简介
1.1.1LAN互联存在的问题
以太网是一种基于CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect:
载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,共享介质上的各节点轮流使用介质传送帧,同一时刻只能有一个主机发,其他主机只能收。
当多个主机通过双绞线连接到集线器(HUB,星型结构),或者通过同轴电缆串连(总线型结构)时,所有互联在共享物理介质上的主机形成一个物理上的冲突域(CollisionDomain),一般看作一个局域网的网段(LANsegmentation)。
根据上面说明的以太网基本原理,可以看出用HUB作LAN互联的问题是:
当主机数目较多时将导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用。
解决上述问题的办法是使用透明网桥(TransparentBridge)或者交换机(LANSwitch)作LAN互联。
交换机通过接收到的数据帧的源MAC地址建立起MAC-PORT映射表,对于收到的数据帧,如果能够在表中查到目的MAC地址,则把帧向对应的端口发送;如果找不到,就向所有端口发送。
这样,冲突域被交换机隔离在各自的端口,而不会扩展到其他端口。
交换机并不改变以太帧的源地址和目的地址,而只是转发到适当的网段(LANsegmentation),是一种透明设备。
交换机虽然解决了使用HUB带来冲突(Collision)严重的问题,但仍然不能隔离广播,实际上,所有用交换机互联起来的主机(可能包括多个交换机)是在一个广播域(BroadcastDomain),对于目的MAC地址为全F(0xffffff)的广播报文,比如ARP请求报文,交换机会向所有的端口转发,在主机较多的情况下,会造成广播风暴,导致整个网络的性能下降。
1.1.2为什么使用VLAN
为了解决用交换机做LAN互联无法限制广播的问题,出现了VLAN(VirtualLocalAreaNetwork)技术。
把一个LAN划分成多个逻辑的“LAN”-VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如图1-1所示:
图1-1VLAN应用举例
VLAN的组成不受物理位置的限制,一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。
VLAN的划分方法有很多,可以基于端口、基于MAC地址、基于协议类型、基于IP地址映射、基于组播、基于策略等,目前通用的划分方法是基于端口的VLAN,本手册中的VLAN,如果没有特别说明,都是指基于端口的VLAN
使用VLAN具有如下好处:
(2)限制广播报文(广播风暴),节省带宽,提高了网络处理能力。
广播域限制在一个VLAN内,交换机不会从一个VLAN向另外一个VLAN直接发送帧,除非它是一个三层交换机。
(3)增强LAN的安全性。
VLAN间不能直接通信,即一个VLAN内的用户和其它VLAN内的用户不能直接互访,如果要访问需要通过路由器(防火墙)或三层交换机等三层设备。
(4)虚拟工作组。
用VLAN可以划分不同的用户到不同的工作组,当用户工作组改变时,不需要改变物理位置。
在实际使用中,一般都是同一工作组的用户在一起协作,异地的情况比较少。
在交换机上,一般的端口只能属于一个VLAN,只能识别和发送本VLAN的报文,但当VLAN跨越交换机时,就需要交换机间的端口(链路)能够同时识别和发送多个VLAN的报文,同样的问题也存在于支持VLAN的交换机和路由器(防火墙)之间,这样的链路称为Trunk,其意义有二:
一是“中继”,把VLAN报文透明传输到互联的交换机或路由器(防火墙),使VLAN得到扩展;二是“干线”,一条链路上走多个VLAN。
实现Trunk的协议常见的有IEEE802.1Q(简称dot1q),是IEEE的标准协议,它在原以太报文的源地址字段后增加一个4字节的VLANTAG,达到识别VLAN的目的。
VLAN之间不能直接互通,为了实现VLAN之间的互通,必须使用支持VLAN路由器(防火墙)或三层交换机连接各个VLAN。
一般这种互通是三层(IP层)的互通。
1.1.3VLAN聚合
在宽带延伸网的应用中,路由器(防火墙)需要能够接入大量的VLAN用户,城域网小区用户通过以太网实现宽带接入的一种典型方法是:
用户通过以太网交换机接入,使用VLAN来隔离、标识和管理用户。
这种组网模型的问题是,每个VLAN都占用一个独立的网段,上行网关各不相同。
这在一方面造成大量IP地址的浪费,另一方面,在不使用DHCP(DynamicHostConfigurationProtocol)服务器的情况下,需要为不同的用户分配不同的网关,管理不便,并且不利于网络的扩展。
VLAN聚合(VLANAggragation)就是为了解决以上一问题而提出的,通过VLAN聚合,一个子接口下可以配置多个VLAN,多个VLAN可共用一个网段,用户使用相同的网关IP地址。
VLAN聚合是利用ARPProxy功能来实现的,对属于不同VLAN的IP地址进行ARP(AddressResolutionProtocol)代理。
注意:
在三层设备互联之间请不要使用Vlan聚合特性。
若使用此特性,可能会在网络间生成较多的无用协议控制报文。
1.2VLAN配置
VLAN只能在以太网子接口或千兆以太网子接口下使用。
配置VLAN时,应按以下步骤进行:
●创建以太网子接口
●配置子接口的IP地址
●配置子接口的封装类型及关联的VLANID
其中,配置子接口IP地址使用的命令是接口视图下的ipaddress命令,这条命令的详细描述请参考本手册的“网络协议”,此处不再赘述。
1.2.1创建VLAN子接口
请在系统视图下进行下列配置。
表1-1创建子接口
操作
命令
创建以太网子接口
interface{ethernet|gigabitethernet}interface-number.subnumber
删除子接口
undointerface{ethernet|gigabitethernet}interface-number.subnumber
缺省情况下,没有子接口。
1.2.2配置子接口的封装类型及关联的VLANID
请在以太网子接口视图下进行下列配置。
表1-1配置子接口的封装类型及关联的VLANID
操作
命令
设置子接口的封装类型及关联的VLANID
vlan-typedot1qlowvid[highvid]
取消子接口上的配置
undovlan-typedot1qlowvid[highvid]
缺省情况下,子接口上无封装,也没有与子接口关联的VLANID。
在目前的实现中,一个子接口下最多可以支持64个VLAN。
1.2.3清除VLAN报文统计信息
请在用户视图下进行下列配置。
表1-1清除VLAN报文统计信息
操作
命令
清除指定VLAN的报文统计信息
resetvlanstatisticsvidvlanid
清除指定接口的VLAN报文统计信息
resetvlanstatisticsinterfaceinterface-name
1.3VLAN显示和调试
在完成上述配置后,在所有视图下执行display命令可以显示VLAN配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行debugging命令可以对VLAN进行调试。
表1-1VLAN显示和调试
操作
命令
查看指定VLAN的报文收发统计信息
displayvlanstatisticsvidvlanid
查看指定子接口的VLAN报文收发统计信息
displayvlanstatisticsinterfaceinterface-name
打开VLAN报文的调试开关
debuggingvlanpacket[interfaceinterface-name][vidvlanid]
关闭VLAN报文的调试开关
undodebuggingvlanpacket[interfaceinterface-name][vidvlanid]
说明:
如果debuggingvlanpacket不指定任何可选参数,将对所有处于VLAN中子接口的VLAN报文调试开关有效。
1.4VLAN典型配置举例
1.组网需求
这是一个三层转发(子接口)模式配置举例。
如下图所示,交换机1和交换机2上指定了端口的VLAN属性,则与交换机相连的工作站A、B、C、D也就分别属于VLAN10或VLAN20,要求:
●Eudemon子接口Ethernet3/0/0.1、Ethernet3/0/0.2和Ethernet4/0/0.1、Ethernet4/0/0.2的地址分别为1.0.0.1、2.0.0.1、3.0.0.1和4.0.0.1;
●工作站A和B之间、C和D之间能够互相通信,即同一交换机、不同VLAN之间能够互相通信;
●工作站A和C之间、B和D之间能够互相通信,即不同交换机、同一VLAN之间能够互相通信;
●工作站A和D之间、B和C之间能够互相通信,即不同交换机、不同VLAN之间能够互相通信。
2.组网图
图1-1三层交换模式VLAN组网图
3.配置步骤
配置Eudemon防火墙的步骤如下:
#创建并进入以太网子接口(如图所示为Ethernet3/0/0.1、Ethernet3/0/0.2、Ethernet4/0/0.1和Ethernet4/0/0.2),为其配置IP地址,设置每个子接口上的封装类型(以太网子接口的封装类型必须和交换机端口配置的封装类型保持一致)以及相关联的VLANID。
注意:
配置了以太网子接口的封装类型后,子接口就被设置为允许中继。
[Eudemon]interfaceethernet3/0/0.1
[Eudemon-Ethernet3/0/0.1]ipaddress1.0.0.1255.0.0.0
[Eudemon-Ethernet3/0/0.1]vlan-typedot1qvid10
[Eudemon]interfaceethernet3/0/0.2
[Eudemon-Ethernet3/0/0.2]ipaddress2.0.0.1255.0.0.0
[Eudemon-Ethernet3/0/0.2]vlan-typedot1qvid20
[Eudemon]interfaceethernet4/0/0.1
[Eudemon-Ethernet4/0/0.1]ipaddress3.0.0.1255.0.0.0
[Eudemon-Ethernet4/0/0.1]vlan-typedot1qvid10
[Eudemon]interfaceethernet4/0/0.2
[Eudemon-Ethernet4/0/0.2]ipaddress4.0.0.1255.0.0.0
[Eudemon-Ethernet4/0/0.2]vlan-typedot1qvid20
#设置VLAN10的最大处理报文数目为100000,VLAN20的最大处理报文数目为200000。
[Eudemon]max-packet-process10000010
[Eudemon]max-packet-process20000020
第2章PPP配置
2.1PPP协议简介
1.PPP协议
PPP(Point-to-PointProtocol)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证,而且易于扩充、支持同/异步线路,因而获得广泛应用。
PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)等。
其中:
●链路控制协议LCP(LinkControlProtocol):
用来协商链路的一些参数,负责创建并维护链路。
●网络层控制协议NCP(NetworkControlProtocol):
用来协商网络层协议的参数。
2.PPP的验证方式
(1)PAP验证
PAP(PasswordAuthenticationProtocol,口令鉴定协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。
PAP验证的过程如下:
●被验证方主动发起验证请求,将本端的用户名和口令发送到验证方;
●验证方接到被验证方的验证请求后,检查此用户名是否存在以及口令是否正确。
如果此用户名存在且口令正确,验证方返回Acknowledge响应,表示验证通过;如果此用户名不存在或口令错误。
验证方返回NotAcknowledge响应,表示验证不通过。
(2)CHAP验证
CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手鉴定协议)是一种三次握手验证协议,它只在网络上传输用户名,而用户口令并不在网络上传播。
CHAP验证过程如下:
●验证方主动发起验证请求,向被验证方发送一些随机产生的报文,并同时将本端配置的用户名附带上一起发送给被验证方;
●被验证方接到验证方的验证请求后,根据此报文中的用户名在本端的用户表中查找用户口令。
如找到用户表中与验证方用户名相同的用户,便利用报文ID和此用户的口令以MD5算法生成应答,随后将应答和自己的用户名送回;
●验证方接收到此应答后,利用报文ID、自己保存的被验证方口令以及随机报文用MD5算法得出结果,与被验证方应答比较。
如果两者相同,则返回Acknowledge响应,表示验证通过,如果两者不相同,则返回NotAcknowledge相应,表示验证不通过。
3.PPP运行过程
(1)当物理层不可用时,链路处于Dead阶段,链路必须从这个阶段开始和结束。
当物理层可用后,PPP链路就会进入到Establish阶段。
(2)在Establish阶段PPP链路进行LCP协商,协商内容包括工作方式(是SP还是MP)、验证方式和最大传输单元等。
LCP在协商成功后进入Opened状态,表示底层链路已经建立。
(3)若未配置验证,则进入Network协商阶段(NCP),此时LCP状态仍为Opened,而NCP状态从Initial转到Request-sent,进入第(5)步的流程;若配置了验证(远端验证本地或者本地验证远端)则进入Authenticate阶段,开始CHAP或PAP验证,进入第(4)步流程;
(4)如果验证失败进入Terminate阶段,拆除链路,LCP状态转为Down;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为Opened,而NCP状态从Initial转到Request-sent。
(5)NCP协商支持IPCP、IPXCP协商,其中IPCP协商主要包括双方的IP地址。
通过NCP协商来选择和配置网络层协议。
只有选中的网络层协议配置成功后,该网络层协议才可通过这条链路发送报文了。
(6)PPP链路将一直保持通信,直至有明确的LCP或NCP帧关闭这条链路,或发生了某些外部事件(例如,用户的干预)。
PPP运行过程可参见下图。
图2-1PPP运行流程图
有关PPP的详细说明,请参考RFC1661。
2.2PPP配置
2.3PPP配置
PPP的基本配置包括:
●配置接口封装PPP
●配置轮询间隔
●配置PPP验证方式及用户名、用户口令
●配置在接口上应用AAA的PPP验证方法
PPP的高级配置包括:
●配置PPP协商参数
●配置PPP压缩算法
●配置PPP链路质量监测
●配置回呼功能
●配置回呼路由器(防火墙)时所需要的拨号串
●配置DNS服务器地址协商
●配置VJTCP头压缩
说明:
PPP基本配置任务,是在路由器(防火墙)上运行PPP必须完成的配置,而高级配置任务是用户根据自己的需要进行的可选配置。
2.3.1配置接口封装PPP
请在接口视图下进行下列配置。
表2-1配置接口封装的链路层协议为PPP
操作
命令
配置接口封装的链路层协议为PPP
link-protocolppp
接口缺省封装的链路层协议即为PPP。
2.3.2设置轮询时间间隔
请在接口视图下进行下列配置。
表2-1设置轮询时间间隔
操作
命令
设置轮询时间间隔
timerholdseconds
禁止链路检测功能
undotimerhold
缺省情况下,轮询间隔为10秒。
如果将轮询间隔设置为0,则不进行链路有效性检测。
2.3.3配置PPP验证方式及用户名、用户口令
本地和对端之间支持CHAP和PAP两种验证方式,以下将根据不同的验证方式分别介绍需要的配置步骤。
需要说明的是:
下面的PPP验证命令都是在接口视图下进行的,而local-user命令是在AAA视图下进行。
1.配置本地支持CHAP和PAP两种方式验证对端
表2-1配置本地支持CHAP和PAP两种方式验证对端
操作
命令
配置本地验证对端(方式为CHAP和PAP)
pppauthenticationchappap
取消进行CHAP和PAP两种协商方式
undopppauthenticationchappap
支持CHAP和PAP两种验证方式,先进行CHAP协商,若对端不支持,将会再进行PAP协商。
但不是在一次PPP协商过程同时协商两种验证方式。
2.配置本地以PAP方式验证对端
表2-1配置本地以PAP方式验证对端
操作
命令
配置本地验证对端(方式为PAP)
pppauthentication-modepap
取消配置的PPP验证方法,即不进行PPP验证。
undopppauthentication-mode
将对端用户名和密码加入本地用户列表
local-userusernamepassword{simple|cipher}password
PPP缺省为不验证。
3.配置本地以CHAP方式验证对端
表2-1配置本地以CHAP方式验证对端
操作
命令
配置本地验证对端(方式为CHAP)
pppauthentication-modechap
取消配置的PPP验证方法,即不进行PPP验证
undopppauthentication-mode
配置本地用户名称
pppchapuserusername
删除配置的本地用户名称
undopppchapuser
将对端用户名和密码加入本地用户列表
local-userusernamepassword{simple|cipher}password
PPP缺省为不验证。
4.配置本地被对端以PAP方式验证
表2-1配置本地被对端以PAP方式验证
操作
命令
配置本地被对端以PAP方式验证时本地发送的PAP用户名和口令
ppppaplocal-userusernamepassword{cipher|simple}password
删除以上配置的以PAP方式验证时发送的用户名和口令
undoppppaplocal-user
缺省情况下,被对端以PAP方式验证时,本地路由器(防火墙)发送的用户名和口令均为空。
5.配置本地被对端以CHAP方式验证
表2-1配置本地被对端以CHAP方式验证
操作
命令
配置本地名称
pppchapuserusername
删除配置的本地名称
undopppchapuser
配置本地以CHAP方式验证时的口令
pppchappassword{cipher|simple}password
删除本地以CHAP方式验证时的口令
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 04 操作手册 链路层 协议
![提示](https://static.bdocx.com/images/bang_tan.gif)