传统的二层技术:如帧中继,ATM,和租用线路
能够提供灵活的,可扩展且全网状互连的服务提供商MPLS VPN 经公用互联网的IPSec VPN 1.传统的2层技术
非常安全,但是成本是非常低的,且灵活性较差 2.服务提供商MPLS VPN
MPLS VPN的本质是以一种安全的方式为全网提供3层全网连接,相比于用2层连接来提供这种全网状互连,成本低很多。 3.经公用网络的站点间的VPN
前面两种VPN主要用适用于园区到分支机构的连接,很少用于驻地环境。利用互联网作为VPN连接传送载体,连接到园区网或者中心站点是最可行也是最好的一种远程连接。根据用户的需求和连接的本质,该连接可以是:由放置在用户家里的路由器提供的总是在在线的VPN连接;也可以是由笔记本电脑按需通过VPN客户端建立的VPN连接。
这些远程连接,必须建立在远程接入的基础上,目前比较流行的远程接入技术有:
电缆(cable) DSL 光纤接入
光纤接入提供的带宽容量最大(下行5-30Mbits,上行2-5Mbits);电缆和DSL解决方案提供的带宽容量相对较低(下行1.5-10Mbits,上行可变),现在电缆和DSL的竞争很激烈。
为远程连接还要提供的基础设施:
IPsec VPN:在公用互联网上建立一条安全隧道,提供到中心站点总是在线的安全连接
远程接入VPN:利用VPN软件客户端按需提供一条安全连接。 安全:包括防火墙,IPS(入侵检测系统)以及WEB过滤。
认证:验证访问网络资源的的用户身份。 QOS :确保关键流量对带宽的使用
管理:即使企业无法控制远程设备,也要实现远程资源的管理。
远程工作者组件: 家庭办公组件 企业组件
IP电话、视屏组件
家庭组件:接入方式;带QOS功能的远程VPN路由器,PC机,还有摄像机,IP电话。
企业组件:VPN头端路由器,ASA,管理服务,AAA服务等。
电缆接入技术
电缆接入技术是目前发展最快的一种接入方式,一般采用捆绑式的销售方式,为用户同时提供电视;互联网接入,语音等混合服务。
电缆技术术语:
宽带:在电缆系统中,是指在HFC(混合光纤同轴电缆网络)提供的RF(射频)带宽上进行的多信号FDM(频分复用),以及处理大量信息的能力; FDM是一种将多个信道或频率的信息分配到单一线路的技术。 CATV:通常指有线电视。
同轴电缆:构建有线电视网络的主要介质,同轴电缆用于传输RF信号。 分支器:用以支持多个出口
放大器:用于放大输入信号,以产生较大的输出信号 HFC:光纤,同轴电缆混合网络 上行:RF信号从用户端向头端发送 下行:RF信号从头端到用户。
射频信号
射频仅占电磁频谱的小部分(5MHZ-1GHZ)
有线电缆网络可以同时传送下行和上行信号,对上行信号(用户到头端)频率范围为5-42HZ,,下行信号(头端到用户)50-860MHZ.
数据传送
CMTS(电缆调制解调器终端系统)CMTS一般位于前端,负责将信号调制到CM,并将CM接收到的信号解调出来。
CM:属于CPE设备,负责调制和解调去往和来自CMTS的信号。 后台服务:像DHCP,TFTPD等服务器
有线电缆网络操作的步骤
1 在下行路径上,本地头端通过卫星天线,天线,模拟和数字服务器,本地节目源,以及其他的头端接受电视信号
2 本地头端将这些电视信号通过分配网发送到用户端。信号被组合到同轴电缆中,并被发送到头端的光发送器。
3 头端光发送器,将RF信号转换成光信号,之后光信号沿着网络发送到离用户最近的的光节点,光节点奖信号转换回RF信号。
4 RF信号经同轴电缆传到用户家里,RF分离器将RF信号分离成各个独立的服务信号,即数据和视屏,数据进入调制解调器,视频进入电缆机顶盒。
DSL接入技术
DSL是一种可以在绝大多数家庭现有的电话基础设施上,通过使用用户家庭与本地电话公司之间模拟本地环路上的不同可用频段,实现数据和语音共存的一种接入技术。
DSL技术可以利用一根铜双绞线同时提供语音和高速数据服务,该服务可以提供总是在线的网络连接,用户在发起网络连接之前无需进行拨号或者等待呼叫建立。
在电话交谈中,大量潜在带宽都没有被使用,单个铜双绞线上可以共存非常
宽的频率范围,而语音只使用了很小的一部分,一般是300HZ到3KHZ之间,而3KHZ以上的频率范围一直没得到使用。
客户端(CPE)和CO端连接了分离器,CO端的分离器将语音流量重新定向到PSTN交换机,实现呼出,将数据流信号转发到DSLAM(DSL接入复用器),DSL接收到信号后将流量发给提供商的路由器,以连接互联网。
注意:CPE设备可能是一台DSL调制解调器,或者一台DSL路由器(内置调制解调器)
各种DSL技术:
DSL的CPE和DSLAM之间的ADSL最大服务距离为(5460m)
ADSL:这类DSL为上行和下行提供不同传输速率
ADSL调制:改变信号的周期波形,以利用该信号信息的过程。 DSL定制了两种调制类型: CAP(无载波幅相调制)
DTM(离散多音频)(现在用的就是这种调制方式)
ADSL上传送数据
上面我们基本上已经完整的介绍了第一层的内容,现在看数据链路层的技术,虽然PPP不是实现数据链路连接的唯一协议( 其实PPP可用于建立ISDN
连接,拨号连接,串行连接,以及DSL的连接),但ADSL选择的就是PPP协议,并且PPP中用到以太网成帧和ATM成帧。
PPPOE:使用传统的以太网成帧方式来封装和发送PPP帧。 PPPOA:使用ATM信元来封装和传送PPP帧。
PPPOE
很明显,PPPOE是PPP的一种实现方式,本质是一种桥接式体系结构。典型的桥接实现方式存在大量的安全漏洞,在以太网中加入PPP架构(使用PAP和CHAP)可以在一定程度解决这些安全漏洞。
使用调制解调器连接
使用调制解调功能的路由器
注意:无论是具备DSL功能的CPE路由器还是运行了PPPOE客户端软件的用户PC机都可以提供用户侧的PPPOE连接。在这两种情况下,PPP帧都被封装在以太网中,以通过网络进行传输。
连接建立的过程: PPP发现阶段:
初始化PPPOE会话时,CPE路由器首先执行发现阶段,以识别与其建立对等关系的设备的MAC地址,以建立一个PPPOE Session_ID。
发现阶段的4个基本步骤
1 PPPOE客户端(PC或者CPE路由器)发送请求服务的PADI(PPPOE激活发现初始化)包,目的MAC是广播包。
2 汇聚路由器回送描述所提供服务的PADO(PPPOE激活发现提供)包,目的MAC为源客户端的单播地址。
3 PPPOE客户端向汇聚路由器发送PADR(PPPOE激活发现请求)包,该请求被转入会话阶段。
4 汇聚路由器向客户端发送一个PPPOE激活会话证实消息,分配一个session-ID,并确认进入会话阶段。
PPPOE帧的结构 目的MAC 源MAC 以太网类型 净 荷 CRC 类型:0X8863(发现阶段的PPPOE控制帧) 0X8864(PPP会话阶段的PPPoE数据帧)
其中净荷: 版本 类 型 代码 Session-ID 长度 净荷 总共8字节
4比特的version 为0x1 4比特的类型也为0x1
8bit的code字段,在发现阶段是可变的,在会话阶段是固定的0x00 16bit的session-ID 必须使用发现阶段分配的值。
长度:净荷的长度,不包括以太网头部和PPPOE的头部。
PPP发现阶段:
PPPOE会话阶段开始后,PPP数据被封装在以太网帧中进行发送,也就是说进行LCP协商并根据需要打开NCP。
通常情况下服务提供商会为用户提供3种选项:
在客户家里放置具备DSL功能的路由器:该路由器集成了DSL调制解调器并且内置了PPPOE客户端,无需用户在计算机上再安装其他的软件,该路由器还可以为家庭用户提供DHCP和NAT服务。
在用户家里放置不具备DSL功能的路由器:该路由器内置了PPPOE客户端,可以提供DHCP和NAT功能。这种情况需要放置一台外部DSL调制解调器。
在用户家里放置一台外部调制解调器:客户端需要安装PPPOE客户端软件,以便连接到网络上。
利用PPPOE配置DSL接入
图:
PPPOE的配置步骤:
以太网接口的配置 拨号器接口的配置 PAT配置
DHCP服务器的服务配置 静态默认路由的配置
1 以太网接口的配置 Interface eth0/0
Ip address 172.16.0.1 255.255.0.0 Interface eth0/1 no ip address pppoe enable
pppoe-client dial-pool-number 1(将接口绑定到逻辑拨号器接
口)
2 拨号接口的配置
Access-list 101 permit icmp any any (定义感兴趣流触发PPPOE拨号) Dialer-list 1 protocol ip list 101 Interface dialer0
Ip address negotiated
Ip mtu 1492(从ip头开始算起) Ip tcp adjust-mss 1452(1492-20-20)
Encapsulation PPP
Dialer pool 1(调用物理口的PPP拨号) Ppp sent-username ccnp password cisco Dialer-group 1 (调用感兴趣流)
该配置要求拨号器接口从提供商的DHCP服务器获取IP 地址,指定上行MTU,设置接口的封装为PPP,而命令dial-pool 则与前面的以太网口配置的命令pppoe-client想关联。
3.PAT配置: Interface eth0/0
Ip nat inside Interface dialer0 Ip nat outside
Ip nat inside source list 10 interface dialer0 overload
Access-list 100 permit 172.16.0.0 0.0.255.255 any
4,为DSL路由器用户配置DHCP
IP address exclude 172.16.0.1 172.16.0.9
Ip dhcp pool client
Import all(动态的将所有的DNS服务器的地址,TFTP服务器的地址导入到数据库,并分配给网络上的主机) Network 172.16.0.0 255.255.0.0 Default-route 172.16.0.1 5,在DSL路由器上配置静态路由 Ip route 0.0.0.0 0.0.0.0 dialer0 服务器端的配置:
Username ccnp password cisco bba-group ccnp(创建拨号组) virtual-temple 1 (绑定虚接口)
全局:ip local pool ccnp 61.0.0.1 61.0.0.10 (定义地址池) interface virtual-temple 1 encapsulation ppp
ip address 209.10.10.1 255.255.255.0 ppp authentication pap
peer default ip address pool ccnp (调用地址池) interface F0/0
PPPOE enable group ccnp (调用bba)
验证:在客户端ping 一个地址,让dialer0口获得一个地址。 我们可以在虚拟机桥接到路由器,让路由器做服务器,在虚拟机里建立一个PPPOE的连接
因篇幅问题不能全部显示,请点此查看更多更全内容