路由与交换实用技术 作者 骆耀祖 项目6.pptVIP

项目6广域网与VPN 情景描述 （1）广域网的互联一用在网络层（及其以下）进行协议转换的办法实现。这是将要使用的设备是路由器。它能够适应大容量与突发性通信的要求；适应综合业务服务的要求。 （2）你是某公司的网络管理员，公司办公网需要接入互联网，公司只向ISP申请了一条专线，该专线分配了一个公司IP地址，配置实现全公司的主机都能访问外网。 （3）在异地超大型的园区网中，分布在不同地域的园区必须通过广域网交流信息。当企业发展到一定规模，企业在外地设有许多分支机构。这时，为加快企业内部的信息流通，企业需要将总部和各分支机构连接起来，这就是常说的“远程企业网”。 远程企业网通常使用虚拟专用网（Virtual Private Networks，VPN)技术。 学习目标 （1）使学生了解路由器常见的几种广域网协议配置过程，具备广域网协议配置的能力。 （2）使学生掌握NAT的工作原理，具备在交换机和路由器上配置和操作NAT的能力。 （3）使学生掌握VPN的工作原理，具备规划和建立VPN系统的能力。 （4）使学生掌握VPN的配置过程，具备在路由器上配置IPSec VPN和Easy VPN的能力 专业知识6.1 广域网协议配置 专业知识6.1 广域网协议配置 6.1.1 HDLC协议的配置 HDLC是Cisco路由器使用的默认协议，一台新路由器在未指定封装协议时默认使用HDLC协议来封装。与它有关的配置命令如表6.1所示。 同步串行线路上的HDLC封装主要用在像DDN专线这样的场合。 在实际网络中，两个过程路由器之间是不能直接相连的，因为它们都是DTE设备，必须通过DSU/CSU这样的设备互连，依靠DSU/CSU为两端的路由器提供用于同步的时钟。 在实验室环境中，由于条件限制，有时不得不将两个路由器直接相连（称为背靠背连接）。 在连接线缆V.35孔端所接的就是DTE设备。针端的是DCE设备。 下面以图6.1给出的点到点链路同步串行连接为例，介绍HDLC的配置过程。 ①配置作为DTE端的C2811A，配置内容如下： C2811A(config)#interface serial 0/0/0 C2811A(config-if)#encapsulation hdlc //设定接口的二层封装协议为HDLC C2811A(config-ifr)#ip address 52 C2811A(config-if)#no shutdown ②配置作为DCE端的C2811B，配置内容如下： C2811B(config)#interface serial 0/0/0 C2811B(config-if)#encapsulation hdlc C2811B(config-if)#ip address 52 C2811B(config-if)#clock rate 64000 //设定接口的时钟频率为64000 C2811B(config-if)#no shutdown ③配置完成后，可以使用show interface serial命令检查接口状态，此处显示结果省略。 C2811A#show interface serial 6.1.2 PPP协议配置 PPP协议是目前广域网上应用最为广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。 PPP协议配置有关的命令如下： （1）设置 PPP 封装 encapsulation ppp （2）设置认证方法 ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin] （3）指定口令 username name password secret （3）设置 DCE 端线路速度 clockrate speed 1. PPP协议封装和PAP验证配置 PPP协议封装和PAP验证实验图如图6.2所示。此配置为双向验证，即C2811A验证C2811B的身份，C2811B也验证C2811A的身份，PAP也支持单向验证。 （1）C2811A上配置内容和说明如下： C2811A(config)#username RouterB_pap password RouterB //配置本地用户名RouterB_pap和密码RouterB，用于对路由器C2811B发过来的用户名和密码进行验证 C2811A(config)#interface serial 0/0/0 C2811A(config-if)#encapsulation ppp //配置接口的二层封装协议为PPP C2811A(config-if)#ppp authentication pap //