<基礎WAN>
WAN實體線路:
WAN實體線路必須由電信公司租用線路
電信公司會將租用的線路建置到公司的機房
放置DSU/CSU(Data Service Unit/Channel Service Unit)設備
(公司)--(DSU/CSU)--(ISP)--(DSU/CSU)--(公司)
<DSU/CSU與MODEM比較>
DSU:連接路由器,負責管理路由器的輸入訊號
CSU:連接電信公司的實體線路,負責傳送與接收電信公司連線的數位訊號、測試迴路是否已中斷連線
專線(傳送數位訊號),使用DSU/CSU跟路由器對接
電話線(類比訊號),使用MODEM跟路由器對接,MODEM接收數位訊號轉成類比訊號傳送,或反之
<DCE(Data Terminal Equipment)與DTE(Data Circuit-Terminating Equipment)>
路由器與DSU/CSU的角色分別為DTE與DCE
DTE作為使用者端,DCE作為電信業者提供服務
DTE:為路由器,作為資料終端設備
DCE:為DSU/CSU,作為電信公司通訊設備末端,負責送出時脈(Clock Rate)給DTE以保持同步
<WAN連接方式>
序列埠(serial port),連接WAN的線路
WAN的L2協定並不固定,根據連線方式採用不同L2協定,在L2協定看不到MAC位址
<連接方式分為專屬型(Dedicated)/交換型(Switched)>
專屬型
又稱點對點接線,跟電信公司租用線路,兩台路由器專用,稱專線(Leased Lines)
R1與R2須規劃在同一個網路,因兩個主機IP,網路規劃以/30子網路為主
專線網路中WAN的L2協定有HDLC、PPP等
R1---電信公司---R2
交換型
1.電路交換(Circuit-switched)
使用現有電話系統
如同專線,可使用專線的協定
2.分封交換(Packe-Switched)
電信公司在WAN中建置快速的交換器,將交換器的頻寬租用給企業
頻寬共享
降低成本
在WAN的L2協定有ATM、Frame-Relay
<路由器時脈設定>
使用序列埠接線需用時脈決定傳輸頻寬
時脈設定於DCE的序列埠中,DTE接收時脈
實際WAN連線中,ISP的DSU/CSU當DCE,決定時脈
查詢時脈與誰是DCE/DTE指令:
R#show controllers s0/0/0
設定時脈指令:
R(config)#int s0/0/0
R(config-if)#clock rate 64000(WAN頻寬為64K)
查看預設參考頻寬:
R#show int s0/0/0
BW 1544Kbit不是實際傳輸頻寬,給路由協定計算成本使用
實際傳輸頻寬需依時脈而定
<HDLC,High-Level Data-Link Cntrol>
HDLC是路由器預設的L2協定
使用於P2P連線(專線)
Cisco與其他廠牌使用WAN對接,預設HDLC不相容
兩種版本
IEEE:只能處理IP協定
Cisco:可以處理多種L3協定,如IP.IPX.Apple Talk
查詢序列埠是哪種協定:
R#show int s0/0/0
Encapsulation後顯示目前使用的L2協定封裝方式
<PPP,Point-to-Point>
主要用在專線上WAN的L2封裝協定
功能比HDLC更強大
主要有LCP.NCP兩個模組協定
鏈路控制通訊協定(LCP,Link Control Protocol):
建立.設定和測試資料鏈結連接
提供壓縮.認證功能.錯誤偵測.多連接(Multilink)
網路控制協定(NCP,Network Control Protocol):
建立.設定各種L3通訊協定,如IP.Novell IPX.AppleTalk
PPP連線建立過程
1.L2連線建立階段
建立PPP協定與L2的連線
路由器發送LCP協定封包,設定和測試L2連線
透過LCP協定的設定值來設定PPP協定的連線
設定包含:
最多能接收的封包單位數目
壓縮設定
認證協定
若沒設定值,則採用預設值
2.認證確認階段
在LCP執行
若有設PPP認證,須通過認證才會進行下一階段
PPP支援認證有PAP.CHAP
沒設定PPP認證則直接跳過
3.L3連線處理階段
PPP與網路層協定的處理階段
由NCP負責
PPP發送NCP協定封包來選擇.設定一個以上的網路層協定
決定網路層協定後即完成連線
PPP常用指令:
R(config)#encapsulation ppp(更改WAN L2封裝為PPP)
R(config-if)#ppp authentication pap(啟動pap認證功能)
R(config-if)#ppp pap sent-username cisco password ccna(送出pap認證的使用者名稱及密碼)
R(config-if)#ppp authentication chap(啟動chap認證)
R(config-if)#ppp authentication chap pap(啟動chap與pap混合認證)
R#show int s0/0/0(查詢s0/0/0的L2封裝)
R#debug ppp authentication(啟動ppp debug)
R#no debug all(關閉debug)
設定WAN的L2為PPP:
若s0/0/0介面不通(line protocol is down),因兩邊WAN的L2協定不一樣(預設為HDLC)
R(config)#int s0/0/0
R(config)#encapsulation ppp
<設定PPP認證>
預設為關閉
兩種認證
1.PAP(Password Authentication Protocol)
基本的雙向交握協定(2-way handshak)
未經任何加密
用戶名稱與密碼以純文字格式發送
2.CHAP(Challenge Handshak Authentication Protocol)
透過三向交握(3-way handshak)交換共用金鑰(pre-share key)
<PAP功能>
有啟動PAP的路由器稱PAP Server
PAP Server會等待對方路由器(PAP Client)發送使用者名稱和密碼
直到確認PAP Client的用戶名稱和密碼或終止連線為止
可啟動單一路由器PAP功能,也可兩台都啟動PAP功能互相認證彼此的PPP連線
PAP單向認證
1.R1為PAP Server,設定認證使用者名稱及密碼
2.R2傳送使用者名稱及密碼到R1
3.R1確認使用者名稱及密碼後,決定要拒絕或同意PPP連線
指令:
在R1中建立PAP認證
R1(config)#username cisco password ccna
R1(config)#int s0/0/0
R1(config-if)#encapulation ppp
R1(config)#ppp authentication pap
在R2中s0/0/0使用PPP封裝
R2(config)#int s0/0/0
R2(config-if)#encapulation ppp
R2送出認證資料
R2(config-if)#ppp pap sent-username cisco password ccna
PAP雙向認證
兩台路由器同時啟動PAP認證
兩台使用者名稱與密碼可以不一樣,互相認證
<CHAP認證>
需要三向交握
使用雜湊函數(hash)方式加密
不會將使用者與密碼資料傳送
密碼要設為一樣,使用者名稱為對方的"主機名稱"
分單向及雙向認證
CHAP單向認證
指令:
在R1中建立CHAP認證
R1(config)#username R2 password ccna
R1(config)#int s0/0/0
R1(config-if)#encapulation ppp
R1(config)#ppp authentication chap
在R2中s0/0/0使用CHAP封裝
R2(config)#username R1 password ccna
R2(config)#int s0/0/0
R2(config-if)#encapulation ppp
CHAP雙向認證
將R2執行ppp authentication chap啟動CHAP,R2也將成為CHAP Server
<PPP故障排除(Troubleshooting)>
1.檢查網路模型哪一層出問題:show ip int brief
2.實體層連線問題,確認網路線種類
3.檢查是否有clock rate設定:show controller s0/0/0
4.檢查兩邊路由器的WAN封裝協定是否一樣:show int s0/0/0
5.檢查是否有啟動PPP認證功能:
show run
debug ppp authentication
6.確認兩邊路由器的IP位址是否為同一個網路
show run
CCNA筆記 (17)