WAN技术

要求

• 熟练掌握PPP概念、工作原理… …

一 长途互联通信需求

1 问题引入

• 银行网点长途互联

2 局域网的缺点

• 以太网等局域网技术无法支持远程传输
• 企图通过大量设备级连将局域网扩展到超远距离是不现实的
• 即使可以扩展局域网的范围，但普通组织没有专用的长距离线路

3 广域网的作用

• 基于电信运营商的通信网络设施建立远程连接
• 在相距遥远的局域网之间建立连接性

二 WAN的概念及技术选项

1 广域网

• 局域网（LAN，Local area network）只能在一个相对较小的范围内实现数

• 据通信，当主机之间距离较远时（相隔几十、几百公里，甚至几千公里），局域网技术就无法完成主机之间的通信任务，需要使用到广域网（WAN, Wide Area Networks）技术

• 局域网一般由企业自行组建，免费使用

• 广域网则是由运营商组建，企业如想使用，需向运营商付费租借广域网链路，完成远距离数据传输

• 按照长途通信网的不同，WAN线路可分为四种类型

• 专线

• 分组交换

• 电路交换

• 虚拟专用网

• 时分复用
  • T1（美国）、E1（欧洲、我国）

2 专线方式

专线

• 电信运营商提供的点到点的专用连接线路；在运营商传输网内，需要为该连接分配一个固定速率的专用逻辑通道。

• 支持多种传输速率

  • 2Mbps、N×2Mbps、N×45Mbps、(1,4,16,64)×155Mbps(美国T1标准速率)

• 租用成本高：由运营商为企业远程节点之间的通信提供的点到点专有线路，用户独占一条24小时在线、点对点的、速率固定的专用线路，并独享带宽。企业需要向运营商支付较高的费用

• 专线安全性高

• E1传输速率计算

  • 32位字节，第1和第16字节为控制字节，其他字节为数据
  • 所需时间125微秒
  • 带宽==32x8bits/125微秒=2.048Mbps

• 专线方式也可用于局域网，在与商家商量之前是不能上公网的

2 分组交换方式

分组交换

• 电信运营商提供的基于分组交换的连接线路；在运营商分组交换网内，数据以分组形式进行交换，在数据交换之前，需要从发端至收端建立一条端到端的保证一定带宽的逻辑连接（虚电路），当这条连接上的流量未占满时，其剩余的带宽可与其他连接共享。

• 支持任何等级的传输速率（64Kbps——155Mbps）

• 租用成本较专线低

• 典型的分组交换线路：FR、ATM

3 电路交换方式

电路交换

• 电信运营商PSTN/ISDN网提供的临时连接线路；在用户需要传送数据时，通过拨号，在PSTN/ISDN网内建立一条或多条临时的64kbps的电路连接，数据传送结束后，将挂断这些电路连接

• 传输速率主要为56Kbps，64Kbps，128Kbps

• 不传数据时不产生通信费用；传送数据时需独占电路，成本高。

• 典型的电路交换：PSTN模拟拨号、ISDN

三 WAN设备及接口模块

1 广域网物理连接结构

广域网物理连接结构

• 传输网：电信运营商建设的长途通信网

• 本地环路：从电信运营商传输机房至用户机房的线路及设备

• CPE：运营商放在用户机房的设备，是本地环路的最后一个设备

• 一般由CPE作DCE，为DTE设备提供通信时钟

• 路由器：用户的广域网互连设备

//调整时钟频率
	int s0/3/0
	clock rate ?

2 广域网物理层协议

1 普通串口接口模块

• V3.5协议

  • 数字代表引脚（+针脚）的数量

2 E1专线接口模块

• G.703协议

本地环路技术----DCE设备

3 POS专线接口模块

• G.707协议

• 广域网中，线缆的传输速率要与接口的传输速率相匹配。局域网不需要匹配,但线缆与接口速率不能相差太多

• G.707使用最多，G.707在局域网也有所使用
• 光纤分为单模光纤和多模光纤（带宽足，速率快）
  • 单模光纤 – 单纤芯，长距离，成本高
  • 多模光纤 – 多纤芯，短距离，成本低

MSTP(Multi-service Transport Platform)即多业务传输平台

• 它是一种城域传输网技术，将SDH传输技术、以太网、ATM、POS 等多种技术进行有机融合，以SDH 技术为基础，将多种业务进行汇聚并进行有效适配，实现多业务的综合接入和传送，实现SDH从纯传送网转变为传送网和业务网一体化的多业务平台。提供统一网管的多业务节点

4 以太网专线接口模块

帧

• 以太网专线也就是网线

本地环路技术----CPE设备

四 WAN协议工作原理

1 HDLC

HDLC概述>

HDLC（高级数据链路控制协议）

• 是一种面向比特的对于同步串行数字链路的封装协议。

• HDLC最大特点是对任何一种比特流，均可以实现透明的传输

• 只支持点到点链路，协议内部通过Keepalive报文来检测链路状态

• 运行于同步串行线路，应用于接口：在同步模式下的Serial接口POS接口

• 透明传输：不管数据类型，不需要知道数据格式，来了就传

HDLC数据结构

• 标志字段：标志一个HDLC帧的开始和结束
• 地址字段：用来标识接收或发送HDLC帧的地址
• 控制字段：用来实现HDLC协议的各种控制信息，并标识是否是数据
• 数据字段：可以是任意的二进制比特串，是链路层的有效信息或者数据
• 帧校验：校验帧错误，使用16位CRC

HDLC状态检测

• 广域网两个设备相隔很远，中间经过很多中继器，两台设备不能直接感应对方的存在，只能发送Keepalive报文。但局域网可以感受

• HDLC设备以轮询时间间隔为周期，向链路上发送Keepalive消息

• 3个周期内无法收到对方发的Keepalive消息，HDLC设备就认为链路不可用

• 同一链路两端设备的轮询时间间隔应设为相同的值

HDLC特点及限制

• HDLC退出市场最主要原因：兼容性问题

HDLC基本配置

2 PPP

PPP（点对点协议）

• 一种以ISO HDLC为基础支持多种上层协议且各个厂商设备均支持的开放式标准协议

• 作为一种提供在点到点链路上传输、封装网络层数据包的链路层协议，PPP

• 处于TCP/IP协议簇的网络接口层

• PPP协议既支持同步线路(串口、E1)，又支持异步线路（八爪线、PPPOE）

• PPP协议支持验证和地址协商

PPP数据结构

• 在HDLC报文基础上将数据拆分为协议域和信息域

PPP的特点

• PPP是面向字符的，可以工作在同、异步链路下

• PPP通过LCP部件能够控制数据链路的建立

• 支持PAP、CHAP验证，更加安全

• 支持各种NCP，可同时支持多种网络层协议，如IPCP

• 可以对网络层地址进行协商，能够远程分配IP地址

• 无重传机制，网络开销小

PPP协议的组成

• PPP协议主要由LCP、NCP以及用于网络安全的可选验证协议族组成

LCP(链路控制协议)

• 主要用于管理PPP数据链路，包括建立、维护和测试数据链路等，有如下协商参数：

  • 最大接收单元(MRU)、认证协议、魔术数(随机数)

  • 协议域压缩、地址和控制域压缩

  • 身份认证、压缩、多链路绑定等功能均在LCP子层实现

NCP(网络控制协议)

• 主要用于协商所承载的网络层协议的类型及其属性，

• 协商在该数据链路上所传输的数据包的格式与类型，配置网络层协议等

• 比如选择IPCP，协商IP、DNS等、协商IP数据压缩等

PPP会话建立过程

• 链路建立与配置协调：通过发送 LCP 报文，完成链路基础建立与参数配置
• 可选验证：进行 PAP、CHAP 认证协商,保障链路访问安全，非强制，按需选用
• 网络层协议配置协商：借助 NCP 报文，协商适配网络层协议（如 IP 等 ），让链路承载上层网络业务

PPP会话流程

• 阶段流程：先经 LCP 报文完成链路建立与配置，可选 PAP/CHAP 认证，再用 NCP 协商网络层协议 。

• 失败处理：LCP 建立、认证、NCP 任一阶段失败，触发载波停止，链路无法传数据，回退 Dead 阶段重启协商或终止

PPP认证机制

• PPP协议支持用户的认证，是广域网接入使用最广泛的协议

• PPP****协议支持两种认证协议

• PAP（口令认证协议）

  • 两次握手，密码明文–不安全

• CHAP（质询握手认证协议）

  • 三次握手，不发密码–安全

PAP认证流程

• 被认证方首先发起认证请求，两次握手认证

• 密码以明文传送–安全性低

CHAP验证

• 主认证方首先发起认证请求，三次握手认证
• 不发送密码，安全性比PAP高

CHAP认证过程

• 过程

  • 挑战发起
    • 主认证方主动向被认证方发送认证请求报文 。
    • 该报文包含认证类型标识、本次认证序列号(用于匹配请求与响应 )、主认证方用户名，以及随机生成的数据段，作为 “挑战因子” 。
  • 响应生成
    • 被认证方接收报文后，依据报文中的主认证方用户名，在本地数据库查询对应的密码 。
    • 随后，调用 MD5 哈希算法，将认证序列号、随机数据段与查询到的密码进行整合运算，生成哈希值（Hash ），并封装包含该哈希值、认证序列号、被认证方用户名的响应报文，回传至主认证方 。
  • 认证校验
    • 主认证方接收响应报文，基于被认证方用户名，从本地数据库获取对应密码 。按照与被认证方相同的逻辑（使用同序列号、同随机数据、同 MD5 算法 ），重新计算哈希值 。
    • 将本地计算结果与响应报文中的哈希值比对，若二者一致，判定认证通过，向被认证方发送含通过标识与对应序列号的确认报文；若不一致，判定认证失败，终止链路协商或发起重认证流程 ，以此确保链路两端身份可信，防范非法接入

• 哈希算法(散列算法)

  • 单向性(不可反向推导)
    • 从原始数据计算哈希值很容易，但要从哈希值反向推导回原始数据几乎不可能
  • 具有雪崩效应
    • 原始数据哪怕只有极其微小的变化，计算出的哈希值也会大不相同
  • 应用场景
    • 电脑、手机密码、存储在服务器中的密码

• 在同一次认证的报文中id不变

• 现在CHAP用的多，几乎不用PAP

对比项	PAP	CHAP
握手次数	两次握手	三次握手
密码传输	明文传输密码，安全性低	仅传用户名，密码通过哈希运算验证，不传明文密码，安全性高
双向认证	支持双向身份验证	支持双向身份验证
适用场景	对安全性要求不高的链路	对安全性要求高，需防范密码泄露的场景

CHAP配置

• 拓扑

• //eNSP
  //两个路由器，并加上广域网接口--2SA，开机
  //serial线连s接口
  //AR1--协商地址一方，AR2--提供地址一方
  
  //AR1协商地址的一方（客户端）
  //配置认证用户并通过 PPP 协商获取 IP 地址
      <Huawei>sys
  //进入 AAA（认证、授权、计费）配置模式,为用户认证配置本地数据库
      [Huawei]aaa
      [Huawei-aaa]local-user admin password cipher 123456
  //cipher 当前密码在配置文件被哈希算法加密
      [Huawei-aaa]dis this
      [V200R003C00]
      #
      aaa 
       authentication-scheme default
       authorization-scheme default
       accounting-scheme default
       domain default 
       domain default_admin 
       local-user admin password cipher %$%$ufsk1\U#sVf![:Vn99+R5g2w%$%$
       local-user admin service-type http
      #
  
  //为用户admin启用 PPP 服务类型,允许用户通过 PPP 协议进行认证
      [Huawei-aaa]local-user admin service-type ppp
      [Huawei-aaa]quit
  //接口的链路协议--PPP
      [Huawei]int s2/0/0
      [Huawei-Serial2/0/0]link-protocol ppp
   //协议认证方式--CHAP，指定CHAP认证时使用的用户名
      [Huawei-Serial2/0/0]ppp authentication-mode chap
      [Huawei-Serial2/0/0]ppp chap user admin
  //IP地址获取方式--PPP协商
      [Huawei-Serial2/0/0]ip address ppp-negotiate 
  
  //AR2 提供地址的一方（服务器），配置IP地址池并验证AR1的身份
      <Huawei>sys
  //接口设置链路层协议为 PPP
      [Huawei]int s2/0/0	
      [Huawei-Serial2/0/0]link-protocol ppp
  //为对端（AR1）分配固定 IP 地址  
      [Huawei-Serial2/0/0]remote address 12.1.1.1
  //配置本端接口 IP 地址,同一网段
      [Huawei-Serial2/0/0]ip address 12.1.1.2 24
  //指定验证对端（AR1）身份时使用的用户名
      [Huawei-Serial2/0/0]ppp chap user admin
  //配置验证对端身份时使用的密码
      [Huawei-Serial2/0/0]ppp chap password cipher 123456
  

3 PPP MP

物理链路聚合逻辑链路：链路聚合(PPP MP)

• MP将多个PPP链路捆绑后当作一条链路使用

• MP可以实现增加带宽、负载分担、链路备份以及降低报文时延的目的

4 打环测试

• 需求

  • 在广域网环中，新增一条运营商到机房链路，测试运营商到机房链路是否可用

• 测试目的

  • 链路连通性检测
    • 确认 PPP MP 捆绑链路以及相关设备接口是否正常连通，判断数据能否在链路中正常传输，避免出现链路中断但无明显告警的情况
  • 数据传输准确性验证
    • 检查数据在 PPP MP 链路传输过程中是否会出现丢包、错包等问题，确保经过多链路捆绑传输后，数据能够完整、正确地到达目的地
  • 设备性能评估
    • 评估参与 PPP MP 的网络设备（如路由器、交换机等 ）在打环测试场景下的处理能力，包括设备的转发性能、对多链路负载均衡的处理能力等，判断设备是否满足业务需求

• 测试方式

  • 硬件打环
    • 物理线路打环（检测光纤出口是否有光出来）
  • 软件打环
    • 检查打环测试输出结果是否合格

• 打环输出

  • 物理层接口一定打开(UP)
  • 协议不一定要打开(looped)
    备接口是否正常连通，判断数据能否在链路中正常传输，避免出现链路中断但无明显告警的情况
  • 数据传输准确性验证
    • 检查数据在 PPP MP 链路传输过程中是否会出现丢包、错包等问题，确保经过多链路捆绑传输后，数据能够完整、正确地到达目的地
  • 设备性能评估
    • 评估参与 PPP MP 的网络设备（如路由器、交换机等 ）在打环测试场景下的处理能力，包括设备的转发性能、对多链路负载均衡的处理能力等，判断设备是否满足业务需求

• 测试方式

  • 硬件打环
    • 物理线路打环（检测光纤出口是否有光出来）
  • 软件打环
    • 检查打环测试输出结果是否合格