13.广域网技术完整.docx

《13.广域网技术完整.docx》由会员分享，可在线阅读，更多相关《13.广域网技术完整.docx（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、AAA原理与配置AAA基本概念认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。授权（Authorization）：授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。网络运营商（ISP）需要验证家庭宽带用户的账号密码之后才允许其上网，并记录用户的上网时长或上网流量等内容，这就是AAA技术最常见的应用场景。AAA常见架构1.客户端2.NAS基于域来对用户进行管理，每个域都可以配置不同的认证、授权和计费方案，用于对该域下的用户进行认证、授权和计费。每个用户都属于某一个域。根据用户登陆的时候属于的域，关联相应的AAA方案，从

2、而获得相应的认证、授权和计费方案用户属于哪个域是由用户名中的域名分隔符后的字符串决定。例如，如果用户名是user1domain1，则用户属于domain1域。如果用户名后不带有，则用户属于系统缺省域。3.AAA服务器（Raidus服务器，或者HWTacacs服务器）Authentication认证AAA支持三种认证方式:不认证完全信任用户，不对用户身份进行合法性检查。鉴于安全考虑，这种认证方式很少被采用。领导可以考虑。本地认证将本地用户信息（包括用户名、密码和各种属性）配置在NAS上，此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低；缺点是存储信息量受设备硬件条件限制

3、。这种认证方式常用于对用户登录设备进行管理，如Telnet，FTP用户等。远端认证将用户信息（包括用户名、密码和各种属性）配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端，与RADIUS服务器或HWTACACS服务器进行通信。Authorization 授权AAA授权功能赋予用户访问的特定网络或设备的权限。AAA支持以下授权方式：不授权：不对用户进行授权处理。本地授权：根据NAS上对应域下的配置进行授权。远端授权：支持由RADIUS服务器授权或HWTACAS服务器授权。HWTACACS授权，使用HWTACACS服务器对所有用户授权。RADIUS授

4、权，只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。当采用远端授权时，用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低。Accounting（计费）实际上的计费功能，适用于监控授权用户的网络行为和网络资源使用情况不计费：用户提供免费上网服务，不产生相关活动日志。本地计费：不具备此能力远端计费：NAS将用户的上线、下线、上行流量、下行流量统计后发给AAA，从而输出相应的账单，支持通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUSAAA可以用多种协议

5、来实现，最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，可以实现对用户的认证、计费和授权功能。通常由NAS作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入）。RADIUS服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS使用UDP（User Datagram Protocol）作为传输协议，并规定UDP端口1812、1813分别作为认证、计费端口，具

6、有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。RADUIS交互过程RADIUS客户端与服务器间的消息流程如下：用户登录当用户接入网络时，用户发起连接请求，向RADIUS客户端（即NAS）发送用户名和密码。RADIUS客户端（NAS）向RADIUS服务器发送包含账户和密码信息的认证请求报文。RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。RADIUS客户端通知用户认证是否成功。用户开始访问网络资源RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则R

7、ADIUS客户端向RADIUS服务器发送计费开始请求报文。RADIUS服务器返回计费开始响应报文，并开始计费。用户开始访问网络资源。用户下线当用户不再想要访问网络资源时，用户发起下线请求，请求停止访问网络资源。RADIUS客户端向RADIUS服务器提交计费结束请求报文。RADIUS服务器返回计费结束响应报文，并停止计费。RADIUS客户端通知用户访问结束，用户结束访问网络资源。AAA配置Step 1 创建认证方案authorization-schemeauthorization-scheme-name命令用来配置域的授权方案。缺省情况下，域下没有绑定授权方案。authentication-mo

8、dehwtacacs|local|radius命令用来配置当前授权方案使用的授权方式。缺省情况下，授权模式为本地授权方式。hwtacacs是tcp，hwtacacs的认证和授权是分开的Radius是UDPStep 2 在域下调用授权方案根据用户的域名来对应指定的认证、授权和计费方案用户名不带有，则使用默认域名，则对应默认的认证方式。默认情况下，所有的用户禁止接入网络，配置案例查看命令默认域为default和default_admin如果创建用户时未指定用户所属的域，用户会自动关联缺省域default（管理用户关联到default_admin域）。使用WinRadius作为AAA服务器Step

9、1 安装winradius需要使用管理员身份运行点击设置-数据库，点击“自动配置ODBC”此时就会在Windows中的ODBC数据源管理程序中的“系统DSN”中出现WinRadius.mdb文件。成功后，出现如下内容此时可以看到账号、密码以及和NAS的密码 WinRaidus。如果需要修改可以在设置-系统此时计算机开启了UDP的1812、1813常见错误：如果不使用管理员运行，就会报错Step 2 与ENSP连接完成基本配置Step 3 NAS上完成RADIUS认证配置Switch radius-server template 1Switch-radius-1 radius-server au

10、thentication 192.168.10.88 1812Switch-radius-1 radius-server accounting 192.168.10.88 1813Switch-radius-1 radius-server shared-key cipher WinRadiusSwitch-radius-1 quit# 配置AAA认证方案，名为sch1，指定认证方式为RADIUS+Local。Switch aaaSwitch-aaa authentication-scheme sch1Switch-aaa-authen-sch1 authentication-mode radi

11、us Switch-aaa-authen-sch1 quit# 配置计费方案acc1，指定计费方式为RADIUS计费。Switch-aaa accounting-scheme acc1 Switch-aaa-accounting-acc1 accounting-mode radius Switch-aaa-accounting-acc1 accounting start-fail online Switch-aaa-accounting-acc1 quit# 在域下引用AAA认证方案、RADIUS服务器模板。Switch-aaa domain Switch-aaa-domain- authen

12、tication-scheme sch1Switch-aaa-domain- accounting-scheme acc1Switch-aaa-domain- radius-server 1Switch-aaa-domain- quitSwitch-aaa quit# 配置为全局默认管理域。Switch domain admin配置VTY用户界面014的认证方式为AAA认证、支持的协议为SSH。Switch user-interface vty 0 4 Switch-ui-vty0-14 authentication-mode aaa Switch-ui-vty0-14 protocol in

13、bound telnetSwitch-ui-vty0-14 user privilege level 15Switch-ui-vty0-14 quitNAStelnet server enable Info: The Telnet server has been enabled.Step 3 创建账号操作-添加账号Step 4登录操作登录成功后，radius服务器上也有日志Step 5 查询与抓包在NAS上通过命令display access-user 可以查看到登录的用户情况还可以通过查询user-id的方式查看详细信息此时的报文如下NAS-Radius Access-request携带客户

14、端的相关参数，其中密码是加密的Radius-NAS Access-Reject密码输错被拒绝Radius-NAS Access-Accpet第二次输入正确，成功接收NAS-Radius Accounting Request开始计时NAS-Radius Accounting Request计时结束在线时长约为5s早期广域网技术概述局域网的范围相对比较有限，广域网是把多个局域网进行互联区域、城市和国家、大洲广域网由运营商进行维护广域网与局域网的区别主要体现在以下几个方面：1.局域网带宽高但是传输距离短，无法满足广域网长距离传输；（但是实际上有了光纤之后，举例可以传输很远）2.局域网设备通常都是交换

15、机，广域网设备大多都是路由器；3.局域网属于某一个单位或者组织，广域网服务大多由ISP提供；4.广域网与局域网一般仅在物理层和数据链路层采用不同的协议或技术，其他层次基本没有差异；5.银行、政府、军队、大型公司的专用网络也属于广域网，且与Internet实现物理隔离；6.Internet只是广域网的一种，小企业借用Internet作为广域网连接。局域网常见协议：802.3、802.11（无线）、以太网II广域网常见的数据链路层标准有：HDLC（High-level Data Link Control，高级数据链路控制）、PPP（Point-to-Point Protocol，点到点协议）、FR

16、（Frame Relay，帧中继）、ATM异步传输模式等，其中：HDLC协议是一种通用的协议，工作在数据链路层。数据报文加上头开销和尾开销后封装成HDLC帧，只支持在点到点的同步链路上的数据传输，不支持IP地址协商与认证，过于追求高可靠性，导致数据帧开销较大，传输效率较低。PPP协议工作在数据链路层，主要用在支持全双工的同、异步链路上，进行点到点之间的数据传输。由于它能够提供用户认证，易于扩充，并且支持同、异步通信，因而获得广泛应用。帧中继是一种工业标准的、交换式的数据链路协议，通过使用无差错校验机制，加快了数据转发速度。ATM是建立在电路交换和分组交换基础上的一种面向连接的交换技术，ATM传

17、送信息的基本载体是53 Byte固定长度ATM信元。网络层及以上无论是广域网还是局域网都是一样的区别是1-2层不同2层ethernet-HDLCPPP1层物理层RJ45-RS232V.24这个是一个很典型的MPLS的拓扑可以看出CE设备是傻白甜，正常运行就行了，PE设备要做很多的事，例如如何甄别不同企业的相同私网地址段？P设备不连接任何的CE，只要做简单的路由转发就好PPP协议原理与配置PPP协议原理0. HUAWEI设备的串行口，默认使用PPP协议1.PPP属于数据链路层，并且在全双工的P2P上工作，与Ethernet同一层次2.提供了认证协议族PAPCHAP，以太网没有 3.扩展性好，PP

18、PoE，以太网没有安全认证，就可以用PPPoEPPP链路接口状态机阶段1：链路建立阶段刚开始物理层不可用，处于Dead阶段当物理层可用时，进入Established阶段。在Establish阶段，进行LCP协商：协商通信双方的MRU（Maximum Receive Unit，最大接收单元）、认证方式和魔术字（Magic Number）等选项。协商成功后进入LCP Opened状态，表示底层链路已建立。阶段2：认证阶段用户认证阶段是可选的。如果配置了用户认证，就进入认证阶段。在认证阶段可以选择PAP认证或者CHAP认证。认证通过后，进入Network阶段。阶段3：网络层协议阶段PPP完成前面的阶

19、段后，每一个网络层协议（例如IP、IPX或者AppleTalk）必须通过各自相应的NCP分别进行协商。NCP协商支持IPCP协商，IPCP协商主要包括双方的IP地址。当一个NCP处于NCP Opened状态时，该网络层协议就可以通过这条链路发送报文了。LCP阶段LCP格式Flag字段标识一个物理帧的起始和结束，该字节为二进制序列01111110（0X7E）。PPP帧的Address字段字节固定为11111111 （0XFF），是一个广播地址。PPP数据帧的Control字段默认为00000011（0X03），表明为无序号帧。Protocol字段用来说明PPP所封装的协议报文类型，0XC021代

20、表LCP报文，0XC023代表PAP报文，0XC223代表CHAP报文。Information字段包含Protocol字段中指定协议的内容，该字段的最大长度被称为最大接收单元MRU，缺省值为1500。当Protocol字段为0XC021时，Information结构如下：Identifier字段为1个字节，用来匹配请求和响应。Length域的值就是该LCP报文的总字节数据。Data字段则承载各种TLV（Type/Length/Value）参数用于协商配置选项，包括最大接收单元，认证协议等等。LCP报文携带的一些常见的配置参数，有MRU、认证协议和魔术字，都是通过TLV来表示。帧校验序列（FCS

21、）字段是个16 bit的校验和，用于检查PPP帧的完整性。注意1.在VRP（Versatile Routing Platform，通用路由平台）平台上，MRU参数使用接口上配置的MTU（Maximum Transmission Unit，最大传输单元）值来表示。2.常用的PPP认证协议有PAP和CHAP，一条PPP链路的两端可以使用不同的认证协议认证对端，但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等认证信息。3.LCP使用魔术字来检测链路环路和其他异常情况。魔术字是随机产生的一个数字，随机机制需要保证两端产生相同魔术字的可能性几乎为0。LCP协商过程正常过程R1和R2使

22、用串行链路相连，运行PPP协议。当物理层链路变为可用状态之后，R1和R2使用LCP协商链路参数。本例中，R1首先发送一个Configure-Request报文（R2也可以首先发起），此报文中包含R1上配置的链路层参数。当R2收到此Configure-Request报文之后，如果R2能识别并接受此报文中的所有参数，则向R1回应一个Configure-Ack报文。同样的，R2也需要向R1发送Configure-Request报文，使R1检测R2上的参数是不是可接受的。R1可以接受，则回复configure-ACKR1在没有收到Configure-Ack报文的情况下，会每隔3秒重传一次Configu

23、re-Request报文，如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文，则认为对端不可用，停止发送Configure-Request报文。参数不匹配当R2收到R1发送的Configure-Request报文之后，如果R2能识别此报文中携带的所有链路层参数，但是认为部分或全部参数的取值不能接受，即参数的取值协商不成功，则R2需要向R1回应一个Configure-Nak报文。在这个Configure-Nak报文中，只包含不能接受的链路层参数，并且此报文所包含的链路层参数将被修改为R2上可以接受的取值（或取值范围）。在收到Configure-Na

24、k报文之后，R1需要根据此报文中的链路层参数重新选择本地配置的其他参数，并重新发送一个Configure-Request。参数不识别当R2收到R1发送的Configure-Request报文之后，如果R2不能识别此报文中携带的部分或全部链路层参数，则R2需要向R1回应一个Configure-Reject报文。在此Configure-Reject报文中，只包含不能被识别的链路层参数。在收到Configure-Reject报文之后，R1需要向R2重新发送一个Configure-Request报文，在新的Configure-Request报文中，不再包含不被对端（R2）识别的参数。认证方要求认证，但

25、是被认证方无账号密码认证阶段PPP认证模式-PAPLCP协商完成后，认证方要求被认证方使用PAP进行认证。PAP认证协议为两次握手认证协议，密码以明文方式在链路上发送，过程如下：被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。认证方收到被认证方发送的用户名和密码信息之后，根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配；如果匹配，则返回Authenticate-Ack报文，表示认证成功。否则，返回Authenticate-Nak报文，表示认证失败。PPP认证模式-CHAPLCP协商完成后，认证方要求被认证方使用CHAP进行认证

26、。CHAP认证过程需要三次报文的交互。过程如下：认证方主动发起认证请求，认证方向被认证方发送Challenge报文，报文内包含随机数（Random）和ID。被认证方收到此Challenge报文之后，进行一次hash运算，运算公式为MD5 ID随机数密码，意思是将Identifier、随机数和密码三部分连成一个字符串，然后对此字符串做MD5运算，得到一个16 Byte长的摘要信息，然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。认证方接收到被认证方发送的Response报文之后，按照其中的用户名在本地查找相应的密码信息，得到密码信息之后，进行一次加密运算，

27、运算方式和被认证方的加密运算方式相同；然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较，相同则认证成功，不相同则认证失败。使用CHAP认证方式时，被认证方的密码是被hash后才进行传输的，这样就极大的提高了安全性。NCP阶段静态IP地址协商NCP主要用来建立和配置不同的网络层协议，协商在该数据链路上所传输的数据包的格式与类型。常见的有IPCP等。静态IP地址商过程如下： 每一端都要发送Configure-Request报文，在此报文中包含本地配置的IP地址； 每一端接收到此Configure-Request报文之后，检查其中的IP地址，如果IP地址是一个合法的单播IP地

28、址，而且和本地配置的IP地址不同（没有IP冲突），则认为对端可以使用该地址，回应一个Configure-Ack报文。动态IP地址协商动态协商IP地址的过程如下：R1-2de1R2-2b7bR1向R2发送一个Configure-Request报文，此报文中会包含一个IP地址0.0.0.0，表示向对端请求IP地址；R2收到上述Configure-Request报文后，认为其中包含的地址（0.0.0.0）不合法，使用Configure-Nak回应一个新的IP地址1.1.1.254；R1收到此Configure-Nak报文之后，更新本地IP地址，并重新发送一个Configure-Request报文，包

29、含新的IP地址10.1.1.1；R2收到Configure-Request报文后，认为其中包含的IP地址为合法地址，回应一个Configure-Ack报文；同时，R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2，R1认为此地址合法，回应Configure-Ack报文。PPP协议配置PAP配置认证方R1aaaR1-aaalocal-user user01 password cipher pass01Info: Add a new user.R1-aaalocal-user user01 service-type pppR1-Serial4/0/0ppp aut

30、hentication-mode pap被认证方R2-Serial4/0/0ppp pap local-user user01 password cipher pass01CHAP配置随机字和ID设备自动生成认证方R1aaaR1-aaalocal-user user01 password cipher pass01Info: Add a new user.R1-aaalocal-user user01 service-type pppR1-Serial4/0/0ppp authentication-mode chap被认证方R2-Serial4/0/0ppp chap user user01R

31、2-Serial4/0/0ppp chap password cipher pass01PPPoE原理与配置PPPoE原理运营商希望把一个站点上的多台主机连接到同一台远程接入设备，同时接入设备能够提供与拨号上网类似的访问控制和计费功能。在众多的接入技术中，把多个主机连接到接入设备的比较经济的方法就是以太网，而PPP协议可以提供良好的访问控制和计费功能，于是产生了在以太网上传输PPP报文的技术，即PPPoE。PPPoE利用以太网将大量主机组成网络，通过一个远端接入设备接入因特网，并运用PPP协议对接入的每个主机进行控制，具有适用范围广、安全性高、计费方便的特点。通过PPP提供以太网用户的接入认证

32、，并且对用户实现控制和计费，在运营商中使用颇为广泛，客户端需要安装PPPoE客户端（Windows自带）PPPoE报文PPPoE报文封装在Ethernet帧中，Ethernet中各字段解释如下：DMAC：表示目的设备的MAC地址，通常为以太网单播目的地址或者以太网广播地址（0xFFFFFFFF）。SMAC：表示源设备的以太网MAC地址。Eth-Type：表示协议类型字段，当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。PPPoE字段中的各个字段解释如下：VER：表示PPPoE版本号，值为0x01。Type：表示类型，值为0x0

33、1。Code：表示PPPoE报文类型，不同取值标识不同的PPPoE报文类型。PPPoE会话ID，与以太网SMAC和DMAC一起定义了一个PPPoE会话。Length：表示PPPoE报文的长度。PPPoE会话建立阶段通过PPPoE会话，才能知道什么时候连接上来，什么时候下线的，用了多少流量PPPoE发现阶段PPPoE客户端在本地以太网中广播一个PADI报文，此PADI报文中包含了客户端需要的服务信息。PADI报文的目的MAC地址是一个广播地址，Code字段为0x09，Session ID字段为0x0000。所有PPPoE服务器端收到PADI报文之后，会将报文中所请求的服务与自己能够提供的服务进行

34、比较。如果服务器端可以提供客户端请求的服务，就会回复一个PADO报文。PADO报文的目的地址是发送PADI报文的客户端MAC地址，Code字段为0x07，Session ID字段为0x0000。客户端可能会收到多个PADO报文，此时将选择最先收到的PADO报文对应的PPPoE服务器端，并发送一个PADR报文给这个服务器端。PADR报文的目的地址是选中的服务器端的MAC地址，Code字段为0x19，Session ID字段为0x0000。PPPoE服务器端收到PADR报文后，会生成一个唯一的Session ID来标识和PPPoE客户端的会话，并发送PADS报文。PADS报文的目的地址是PPPoE

35、客户端的MAC地址，Code字段为0x65，Session ID字段是PPPoE服务器端为本PPPoE会话产生的Session ID。会话建立成功后，PPPoE客户端和服务器端进入PPPoE会话阶段。PPPoE会话阶段PPPoE会话阶段可分为两部分：PPP协商阶段和PPP报文传输阶段。PPPoE Session上的PPP协商和普通的PPP协商方式一致，分为LCP、认证、NCP三个阶段。LCP阶段主要完成建立、配置和检测数据链路连接。LCP协商成功后，开始进行认证，认证协议类型由LCP协商结果决定。认证成功后，PPP进入NCP阶段，NCP是一个协议族，用于配置不同的网络层协议，常用的是IP控制协

36、议（IPCP），它负责配置用户的IP地址和DNS服务器地址等。PPPoE Session的PPP协商成功后，就可以承载PPP数据报文。在这一阶段传输的数据包中必须包含在发现阶段确定的Session ID并保持不变。认证阶段不变NCP阶段不变PPPoE会话终结阶段在PADT报文中，目的MAC地址为单播地址，Session ID为希望关闭的连接的Session ID。一旦收到一个PADT报文之后，连接随即关闭。客户端发起，服务器也能发起（欠费的）PPPoE基础配置客户端配置R1dialer-rule（可选）R1-dialer-ruledialer-rule 100 ip permit规则编号1，通

37、过拨号规则来配置发起PPPoE会话的条件，允许ip流量触发拨号。Step 1 配置拨号接口interface dialer 1 创建并进入Dialer接口R1-Dialer1dialer user enterprise 配置对端用户，这个用户必须和服务器上的PPP用户相同，但是实际上可以任意，否则后续拨号接口绑定编号无法配置R1-Dialer1dialer-group 100 定义拨号访问规则，编号需要和dialer-rule中的编号相同R1-Dialer1dialer bundle 123 定义拨号接口捆绑编号，用于绑定到物理接口，设备通过Dialer bundle将物理接口与拨号接口关联起

38、来。R1-Dialer1ip address ppp-negotiate 地址通过PPP协商R1-Dialer1ppp chap user user01R1-Dialer1 ppp chap password cipher pass01interface g0/0/1 pppoe-client dial-bundle-number 123来实现Dialer Bundle和物理接口的绑定，用来指定PPPoE会话对应的Dialer Bundle，其中number是与PPPoE会话相对应的Dialer Bundle编号。服务器配置PPPoE服务器端配置interface virtual-templa

39、te命令用来创建虚拟模板接口，或者进入一个已经创建的虚拟模板接口视图。pppoe-server bind命令用来配置PPPoE接入用户上线绑定的虚拟模板接口。查看初始化的时候server-mac是不知道的，状态为State建立成功后，知道Server-mac并且状态的UPdisplay interface dialernumber命令用于查看拨号接口的配置，便于定位拨号接口的故障。LCP opened, IPCP opened表示链路的状态完全正常。display pppoe-client session summary命令用于查看PPPoE客户端的PPPoE会话状态和统计信息。ID表示PPPoE会话ID，Bundle ID和Dialer ID的值与拨号参数配置有关。Intf表示客户端侧协商时的物理接口。State表示PPPoE会话的状态，包括以下四种：IDLE表示当前会话状态为空闲。PADI表示PPPoE会话处于发现阶段，并已经发送PADI报文。PADR表示PPPoE会话处于发现阶段，并已经发送PADR报文。UP表示PPPoE会话建立成功。session ID=1