廣域網相關技術之FR幀中繼、PPP、PPPOE

目錄

• 1. FR（幀中繼）
• • 1.2 術語
  • 1.3 幀中繼的接口類型
  • 1.4 虛電路
  • 1.5 LMI協定
  • • LMI的協商過程
    • LMI的版本
    • Inverse Arp
    • • Inverse arp的協商過程
    • FR通信的條件
  • 1.6 幀中繼互動流程分析
  • 1.7 幀中繼運作路由協定注意事項
  • • 1.7.1 RIP
    • 1.7.2 OSPF
• 2. PPP(點對點協定)
• • 2.1 三個協定族
  • 2.2 PPP的封包格式
  • • 2.2.1 封裝格式
  • 2.3 PPP的工作流程
  • • 2.3.1 5個階段
    • 2.3.2 LCP
    • • 2.3.2.1 LCP的協商封包類型，code字段：
      • 2.3.2.2 LCP周期性維護的封包，code字段
      • 2.3.2.3 LCP關閉封包
      • 2.3.2.4 LCP協商的參數
      • 2.3.2.5 LCP鍊路協商參數成功的過程
      • 2.3.2.6 LCP鍊路協商參數不成功的過程
      • 2.3.2.7 LCP協商參數不能識别
    • 2.3.3 NCP
    • • 2.3.3.1 NCP-IPCP靜态協商IP位址
      • 2.3.3.2 NCP-IPCP動态協商IP位址
    • 2.3.4 擴充協定簇
    • • 2.3.4.1 PAP的封包類型
      • 2.3.4.2 配置認證方使用者資訊資料
      • 2.3.4.3 chap的封包類型
      • 2.3.4.4 chap單向認證
      • 2.3.4.5 銳捷PPP配置先CHAP後PAP
    • 2.4 PPP-MP
    • • 2.4.1 配置方式
    • 2.5 PPPoE
    • • 2.5.1 PPPoE封裝
      • 2.5.2 PPPoE的建立過程
      • 2.5.3 配置

1. FR（幀中繼）

What：工作在資料鍊路層，是一種廣域網協定。

場景：企業總部和分部之間通過幀中繼網絡進行互聯

1.2 術語

DTE(data terminal Equipment)

Data Communications Equipment)

LMI（Local Managerment interface）

DLCI（Data Link Connection Identifier）

PVC（Permanent virtual circuits）

SVC（swithcd virtual circuits）

1.3 幀中繼的接口類型

• DTE：使用者裝置
• DCE：營運商裝置

1.4 虛電路

兩個

DTE

之間的裝置叫做虛電路。采用虛電路來連接配接兩端的裝置。

• PVC（永久虛電路）用的最多。
• SVC（按需虛電路）

DLCI：資料鍊路連接配接辨別（Data Link Connection Identifier）

取值範圍 16-1022，1007-1022是保留的DLCI

1.5 LMI協定

本地管理接口，用于監控永久虛電路的狀态。 使用者管理PVC的增、删、檢測、檢視狀态等。

為什麼需要有LMI協定

因為在PVC中，無論使用者裝置還是網絡裝置都需要知道目前PVC的狀态。 是以通過LMI協定來擷取目前PVC的狀态

LMI的協商過程

1、DTE端首先發送狀态查詢消息到達DCE
2、DCE端收到消息之後回複狀态應答消息。
3、DTE解析收到的應答消息，擷取鍊路狀态和PVC狀态資訊
4、在兩端都收發正常情況下，PVC狀态變為Active
           

LMI的版本

• Q933A
• ANSI
• cisco

Inverse Arp

用來解析本地DLCI對應的對端IP。通過Inverse arp用來自動生成對端IP與本地DLCI的映射表。

當幀中繼LMI協商通過，PVC狀态變為Active後，就會開始InARP協商過程

Inverse arp的協商過程

1、當本地配置位址之後，會發送inverse arp請求消息。
2、對端裝置收到該請求消息，提取源IP位址與本地DLCI進行綁定，并回複inverse arp 應答消息
3、本地收到應答消息之後，提取源IP與本地DCLI進行綁定。也生成位址映射
           

逆向ARP表 inverse arp

對端IP和本端DLCI的映射關系。根據DLCI找對端IP

FR通信的條件

• FR有接口與DLCI的映射
• DTE：dlci與ip位址映射

1.6 幀中繼互動流程分析

link-protocol fr 在接口下将鍊路層協定改成幀中繼協定

然後在幀中繼交換機上添加映射。

首先幀中繼交換機會向路由器分發DLCI，在幀中繼交換機配置把DLCI與接口進行映射，R3要通路R5，查逆向ARP解析表，逆向解析表是在裝置上配置了IP位址後，裝置會在該虛電路上發送inverse arp請求封包給對端裝置，該請求封包中包含自己的IP位址，對端收到請求封包後，可以獲得本端IP位址後會生成位址映射，并發送inverse arp響應封包進行回複。本端收到inverse arp響應封包後，解析對端IP位址，也生成位址映射。根據R5的ip位址從對應的DLCI辨別的虛電路進行轉發，幀中繼交換機收到資料之後檢視DLCI 103字段，然後檢視映射表找到DLCI對應的接口發出。并将DLCI值改為301到達R5，R5檢視DLCI為自己本端DLCI接受資料。

R3-R4同理。

R4與R5通信，需要手工映射，通過R3進行通信。

FR靜态映射：

fr map ip 對端IP 本地DLCI  broadcast  
display fr map-info    檢視映射表項
display fr pvc-info    檢視虛電路的配置和統計資訊
           

1.7 幀中繼運作路由協定注意事項

1.7.1 RIP

幀中繼在遇到水準分割機制時，會造成網絡通信不正常。
預設關閉水準分割
使用子接口
  點到點
    一個子接口對應一條PVC
      配置子接口為點對點，且禁用InARP時，無需配置手工映射
  點到多點
    一個子接口對應多條PVC
           

1.7.2 OSPF

• NMBA環境中因為是全互聯幀中繼拓撲需要選舉DR,BDR。但是不支援多點傳播，廣播，需要單點傳播指鄰居
• P2MP環境中是星型幀中繼拓撲，沒有lsa泛洪的問題，是以不需要選舉DR,BDR。

2. PPP(點對點協定)

點到點協定（Point to Point Protocol，PPP）是為在同等單元之間傳輸資料包這樣的簡單鍊路設計的鍊路層協定。 設計目的主要是用來通過撥号或專線方式建立點對點連接配接發送資料，使其成為各種主機、網橋和路由器之間簡單連接配接的一種共通的解決方案.

2.1 三個協定族

• LCP（Link Control Protocol）鍊路控制協定

  主要用來建立、拆除、維護底層鍊路，負責鍊路參數協商。MRU,驗證方式等

• NCP（Network Control Protocol）網絡控制協定

  用于協商上層協定的資料包的格式和類型，IPCP用于協商控制IP。

• 擴充協定族
  • CHAP（Challenge-Handshake Authentication Protocol）挑戰握手驗證協定
  • PAP（Password Authentication Protocol）密碼認證協定

2.2 PPP的封包格式

2.2.1 封裝格式

PPP | LCP | OPTION
ppp | ip | icmp
           

PPP封包格式

• address：全1為廣播位址，此字段無意義，因為PPP可以協商到對端IP位址
• control：表明是無序号幀，PPP沒有序列号和确認來保證可靠傳輸，與address一起辨別此封包為ppp封包。
• protocol：0021表示資訊域為IP，C021表示資訊與為LCP,可用來區分PPP資料幀中資訊域所承載的資料封包的内容

LCP的封包格式

• code：辨別LCP資料封包的類型
• identifier：用來比對請求和響應，通常請求封包的id是從1逐漸開始，對端收到請求封包，無論使用何種封包回應，其中ID值都為請求封包中的ID值。用于表示一組消息。

• length：LCP封包的總位元組資料

  data：協商的具體内容

2.3 PPP的工作流程

2.3.1 5個階段

1. dead：初始狀态，實體層UP進入establish階段
2. establish：進行LCP的協商，協商成功進入authentication階段，失敗傳回dead階段。
3. authenticate：如果認證失敗進入terminate階段，認證成功或者沒配置認證進入network階段
4. network ：進行NCP的協商，協商成功PPP連接配接則建立成功。當上層協定需要關閉或者管理者手工關閉時進入terminate階段。
5. terminate：使用LCP關閉PPP連接配接，連接配接關閉後，PPP進入dead階段。

2.3.2 LCP

2.3.2.1 LCP的協商封包類型，code字段：

進行鍊路層協商，4個消息

configure-request：發送方将本地的鍊路參數發送給對端進行協商
configure-ack：表示對端發來的request完全接受參數
configure-nak：表示對端發送的參數本地不合法
configure-Reject：表示對端發送的參數本地不識别
           

LCP協商成功狀态為opened

2.3.2.2 LCP周期性維護的封包，code字段

echo request：預設每10s發送一次。

echo replay

2.3.2.3 LCP關閉封包

• terminate-request：當認證不成功或者管理者手工關閉情況下發送terminate-request關閉連接配接
• terminate-ack：收到terminate-request封包回複terminate-ack封包，如果沒有收到ack封包，則每隔3s重傳一次request，最多2次重傳。

2.3.2.4 LCP協商的參數

• 最大接受單元（MRU）：預設1500，PPP資料幀中information字段的總長度，協商使用兩端較小的參數值

• 認證協定：認證對端使用的認證協定，預設不認證。

  被認證方必須支援認證方使用的認證協定并正确配置，否則協商不成功。

• 魔術字：使用魔術字來進行檢測鍊路環路。如果收到的LCP封包中的魔術字和本地産生的魔術字相同，則認為鍊路有環路。

  一端支援，另一端不支援，則認為協商成功。兩端都支援則使用檢測機制檢測環路。

收到一個configure-request封包，将其包含的魔術字和本地的魔術字進行對比，如果不同，則認為鍊路沒有環路，使用configure-ack進行回複，表示魔術字協商成功。

如果魔術字相同，則發送一 個configure-nak封包，攜帶一個新的魔術字。不管收到的nak封包中是否攜帶相同的魔術字，LCP都發送一個新的configure-request封包，攜帶新的魔術字。如果鍊路有環路，該過程會一直持續下去。如果沒有環路，則封包互動會很快回複正常。

2.3.2.5 LCP鍊路協商參數成功的過程

3s的重傳逾時

R1先發送LSP開始進行協商。

R1向R2發送configure-request封包進行協商（本地的鍊路層參數），R2收到request封包并且認可其中的參數。傳回一個configure-ack封包協商成功。

如果configure-ack封包因鍊路擁塞丢包了，R1會每隔3s發送一次configure-request封包。如果連續發送10次還沒有收到對應的ack封包則認為對端不可用。停止發送configure-request封包。

2.3.2.6 LCP鍊路協商參數不成功的過程

5次的協商放棄。

R1發送configure-request封包給R2，R2收到之後進行協商，協商不能接受全部參數或者部分參數，回複一個configure-nak封包，其中包含不能接受的參數清單發送給R1。R1收到之後重新選擇本地使用的相關參數再次發送request封包給R2。

連續5次仍然協商失敗，不再繼續協商。

2.3.2.7 LCP協商參數不能識别

R1向R2發送configure-request消息，R2收到之後不能識别全部或者部分參數，發送一個configure-reject消息給R1，R1收到之後重新發送不包含R2不能識别的參數的request封包給R2。

2.3.3 NCP

2.3.3.1 NCP-IPCP靜态協商IP位址

• 手工配置，通過互相發送configure-request消息相對端發送本地位址檢測位址是否沖突，沒有沖突互相發送configure-ack封包
• 通過IPCP消息，PPP鍊路兩端都可以知道對端發送的32位IP位址。

2.3.3.2 NCP-IPCP動态協商IP位址

R1
ip pool huawei	
	network 12.1.1.0 mask 24
interface s1/0/0
	ip add 12.1.1.1 24
	remote address pool huawei
R2
interface s1/0/0
	ip add ppp-negotiate	##用于發送0.0.0.0的request封包請求位址。
           

R1收到全0的request消息認為位址0.0.0.0不合法，使用NAK消息回複一個新的ip位址。

R2收到NAK消息，跟新本地的IP位址，發送configure-request包含新的IP位址檢測位址是否沖突，R1回複ack确認，同時也發送configure-request消息來檢測本地位址是否沖突，R2收到之後認為合法，也發送ack消息。

2.3.4 擴充協定簇

PAP和CHAP的差別？

PAP是一個明文認證，2次握手
CHAP是密文認證，3次握手
           

2.3.4.1 PAP的封包類型

PAP由被認證方發起認證。

認證方：認證方負責認證被認證方，有對應的資料庫
被認證方：被人認證的。

Authenticate-Request：用于被驗證方發送使用者名和密碼
Authenticate-Ack：驗證方發送驗證成功的資訊
Authenticate-Nak：驗證方發送驗證失敗的資訊
           

2.3.4.2 配置認證方使用者資訊資料

aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
#認證方開啟認證
 interface s1/0/0
	ppp auuthentication-mode pap
#被認證方發送使用者名和密碼
interface s1/0/0
	ppp pap local-user huawei password cipher huawei
           

認證在LCP之後NCP之前，已經協商完建立了PPP連接配接的鍊路，如果在配置了認證，隻有重置連結才能進行認證協商。

shutdown

undo shutdown

2.3.4.3 chap的封包類型

CHAP由認證方發起認證。

Challenge：用于認證方向被認證方發起驗證過程。
Response：用于被認證方向認證方傳回使用者資訊
Success：用于認證方向被認證方發送認證成功資訊
Failure：用于認證方向被認證方發送認證失敗資訊
           

chap怎麼實作密文認證的？

發送的challenge消息中帶有使用者名（可選）和随機數，被認證方收到消息之後，使用challenge消息中的随機數和本地的identifier+密碼進行MD5計算得出hash值加上使用者名放在response消息中發送給認證方。認證方通過相同的MD5計算得出hash值，相同認證通過發送sucess消息， 不同認證失敗發送Failure消息。

預設不帶使用者名，使用ppp chap user huawei，使認證方發送challenge消息帶使用者名

被認證方不帶使用者名，則認為沒有開啟認證，認證方發送reject消息。

2.3.4.4 chap單向認證

1、認證方不帶使用者名，被認證方隻能在接口下配置使用者名和密碼。

2、認證方攜帶了使用者名，被認證方接口下可以隻配置使用者名，密碼在本地AAA中配置。

認證方接口下
 	ppp chap user huawei       #可以攜帶使用者名
被認證方
	aaa
	local-user huawei password cipher huawei
	local-user huawei service-type ppp
           

2.3.4.5 銳捷PPP配置先CHAP後PAP

服務端：
router-b(config)#user ruijie pass 0 123456
router-b(config)#int se 2/0
router-b(config-if-Serial 2/0)#enc ppp
router-b(config-if-Serial 2/0)#ppp au chap pap
router-b(config-if-Serial 2/0)#no shut
router-b(config-if-Serial 2/0)#exit
router-b(config)#
用戶端：
router-b(config)#user ruijie pass 0 123456
router-b(config)#int se 2/0
router-b(config-if-Serial 2/0)#enc ppp
router-b(config-if-Serial 2/0)#ppp  chap host ruijie
router-b(config-if-Serial 2/0)#ppp  chap pass 0 123456
router-b(config-if-Serial 2/0)#ppp  pap sent ruijie pass 0 123456
router-b(config-if-Serial 2/0)#no shut
router-b(config-if-Serial 2/0)#exit
router-b(config)#
           

2.4 PPP-MP

MP：PPP的鍊路捆綁

作用：

• 1、增加帶寬
• 2、備份
• 3、負載分擔

封包：

Endpoint Discriminator：終端辨別符，用于在一台裝置上區分不同的MP

2.4.1 配置方式

虛拟接口模版方式

1、建立虛拟模版

interface vitrual-template 1
	ppp mp endpoint			#配置本地終端辨別，區分不同的MP，可選預設随機數。
	ppp mp binding-mode		#可選的綁定條件
	authentication			#根據對端使用者名進行捆綁
	Description				#根據對端裝置的辨別符進行捆綁
	both					#同時根據對端使用者名和對端辨別符進行捆綁
           

2、将接口加入到虛拟模版

interface s1/0/0
ppp mp virtual-template 1
           

MP-Group方式

1、建立MP-Group組，配置IP

interface mp-group 0/0/0

2、将PPP鍊路加入到組裡面

interface s1/0/0

ppp mp mp-group 0/0/0

2.5 PPPoE

利用以太網将大量主機連接配接起來，通過遠端接入裝置連入網際網路，并用PPP協定對每個主機進行認證，計費等。使用Client/Server模型

場景：營運商和使用者之間進行認證、審計、計費等。以太網沒有控制，PPP有認證。通過PPP和以太網協定結合。

2.5.1 PPPoE封裝

L2｜PPPoE | PPP | LCP

2.5.2 PPPoE的建立過程

Discovery：類似DHCP請求過程

1. 廣播發送PADI（PPP Active Discovery Initiation）用于發現PPPoE伺服器
2. 伺服器單點傳播回複PADO（offer）：收到PADI發送PADO。
3. 用戶端單點傳播發送PADR：可能有多個伺服器發送，用戶端接受第一個到達的PADO并發送PADR
4. 伺服器回應PADS（session-confirmation）會話确認：伺服器産生唯一的seesion-ID，通過PADS發送給用戶端，唯一辨別和PPP用戶端的session。

Session

進行基本的PPP協商，認證協商等。與普通的ppp協商一樣。
           

Terminate

用戶端和伺服器端都能發送PADT消息來結束PPP連接配接。
           

2.5.3 配置

Client

interface Dialer1				##建立撥号口
 link-protocol ppp				##自動封裝ppp協定
 ppp pap local-user huawei password cipher  admin	##認證
 ip address ppp-negotiate		##ipcp動态協商IP位址
 dialer user huawei				##撥号使用者
 dialer bundle 1				##	建立bundle号 與撥号口關聯，在實體口調用
 dialer-group 1					## 調用 group組規則
dialer-rule						##建立dialer規則
 dialer-rule 1 ip permit		##建立規則，1代表的是group編号
interface GigabitEthernet0/0/0
 pppoe-client dial-bundle-number 1 	##實體口調用bundle，通過bundle關聯撥号口的配置
           

Server

ip pool huawei							##建立為使用者配置設定的位址池
 gateway-list 12.1.1.254 
 	network 12.1.1.0 mask 255.255.255.0 
aaa										##建立本地使用者資料庫
	local-user huawei password cipher huawei
	local-user huawei service-type ppp
interface Virtual-Template1		        ##建立虛拟模版
 ppp authentication-mode pap 
 remote address pool huawei
 ip address 12.1.1.254 255.255.255.0
interface GigabitEthernet0/0/0			##實體接口調用虛拟模版
 pppoe-server bind Virtual-Template 1