Wide Area Networks（WAN）

WAN简介

为什么需要WAN？

分区或分支机构的员工需要与总部通信并共享数据。

组织经常需要与其它组织远距离共享信息。

经常出差的员工需要访问公司网络信息。

广域网链路类型：专线、电路交换、分组交换、VPN

专线 如T1、T3等

专有逻辑链接一直在线（安全、高传输质量）

支持多种物理介质与物理接口标准

稳定可靠，配置与维护简单

适合长时间的业务流量需求；价格相对较高

电路交换

由SP为企业远程网络节点间通信提供的临时数据传输通道，其操作特性类似电话拨号技术

常见的如：ISDN，ADSL

性能特点：

逻辑连接持久有效，按需拨号

传输介质主要为电话线，也可以为光纤

带宽主要为56Kbps，64Kbps，2Mbps

稳定性较差，配置与维护较复杂

分组交换（包交换）

允许和其他公司共享带宽。适合突发性数据比较多的。

分组交换网络可以为特定的端到端连接建立通过交换的路由

PVC永久虚电路    在交换开始时就已经建立了路由

SVC交换虚电路    根据需要建立

如：x.25、FrameRelay

WAN物理层概念

WAN物理层协议描述连接WAN服务所需的电气、机械、操作和功能特性。

WAN物理层还描述DTE和DCE之间的接口。

PPP简介

PPP协议是目前使用最广泛的广域网协议，这是因为它具有以下特性

能够控制数据链路的建立

能够对IP地址进行分配和使用

允许同时采用多种网络层协议

能够配置和测试数据链路

能够进行错误检测

提供身份验证

有协商选项，能够对网络层的地址和数据压缩等进行协商。

PPP协议优点

PPP不仅适用于拨号用户，而且适用于租用的路由器对路由器线路

采用NCP协议（如IPCP、IPXCP），支持更多的网络层协议

具有验证协议CHAP、PAP

更好地保证了网络的安全性

PPP的层次结构

PPP会话的建立

PPP会话建立过程

1：链路建立阶段

2：认证阶段（可选）；两种PPP认证协议：PAP、CHAP

3：网络层协议阶段

PAP（Password Authentication Protocol）

2次握手

密码发送的是明文

验证两端是同等

CHAP（Challenge Authentication Protocol）

三次握手

密码是加密的

配置PPP和PPP认证

为接口封装PPP

Router(config-if)#encapsulation ppp

（可选）指定路由器的名字

Router(config)#hostname name

（可选）标示远端路由的用户名和密码

Router(config)#usename name password password

（可选）启用PAP或者CHAP认证

Router(config-if)#ppp authentication {chap|chap pap|pap chap|pap}

配置PPP CHAP认证实例

验证PPP封装配置

PPPoE：point to point protocol over Ethernet

在以太网上承载PPP协议（点到点连接协议），它利用以太网将大量主机组成网络，通过一个远端接入设备连入因特网，并对接入的每一个主机实现控制、计费功能。

客户端设备可以是PC或者路由器

PPPoE配置

R1：PPPoE Client

Interface Ethernet0/0

pppoe enable group global

pppoe-client dial-pool-number 10

no ip address

no shutdown

!

interface Dialer 1    //配置客户端拨号接口

ip address negotiated   //地址通过协商获得

ip mtu 1492

encapsulation ppp

dialer pool 10

ppp chap hostname R1

ppp chap password cisco

ppp pap sent-username R1 password cisco

R2：PPPoE Server

username R1 password cisco

ip local pool PPPoE 12.1.1.1

bba-group pppoe CCIE   //开启PPPoE拨号组CCIE

virtual-template 1       //将虚拟模板1加载到拨号组中

!

interface Ethernet0/0

ip address 12.1.1.2 255.255.255.0

pppoe enable group group CCIE   //将该物理接口映射到拨号组CCIE

no shutdown

!

interface Virtual-Template 1      //创建虚拟模板用于拨号

ip unnumbered Ethernet0/0      //借用接口F0/0的地址

ip mtu 1492                   //PPP头部是8个字节，防止不必要的分片

peer default ip address pool PPPoE   //为对端分发地址池PPPoE中的IP

ppp authentication chap

什么是VPN

Virtual Private Network 虚拟专用网络

VPN类型

Site-to-Site：主要用于公司重点站点直接的连接。如GRE VPN、IPSec VPN、DMVPN、MPLS VPN等。

Remote-Access：主要用于终端设备连入企业内网。如：IPSec VPN、PPTP、L2TP、SSL VPN、EzVPN(Easy VPN)等。

GRE VPN

隧道技术（Tunnel）：

Tunnel是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报文进行封装及解封装。

GRE隧道（Generic Routing Encapsulation）：

GRE协议实际上是一种封装协议，它提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在tunnel（隧道）中传输。

GRE VPN