時鐘頻率：決定數據發(fā)送速度，由DCE點提供

在串口鏈路上兩臺設備互聯(lián)時必須有一端為DCE提供時鐘頻率

DTE：用戶數據端

DCE：歸ISP管理

異步傳輸：基于字節(jié)的傳輸，傳輸效率低

同步傳輸：基于數據幀傳輸，傳輸效率高，必須要有DCE端提供

時鐘頻率

HDLC：高級數據鏈路控制協(xié)議

分為Cisco標準和共有HDLC

cisco DHCL：支持多協(xié)議

共有HDLC：支持ip，不支持多協(xié)議，大部分廠商都采用cisco

標準

數據幀：信息幀、監(jiān)控幀、無編號幀

地址借用：將一個接口上IP地址引用過來使用可以完成正常通信

注意：只能在串口上借用地址

PPP：點到點鏈路協(xié)議，公有協(xié)議華為設備默認封裝格式

PPP由LCP和NCP構成

LCP：用于二層鏈路協(xié)商控制

NCP：用于網絡參數協(xié)商控制

LCP：config-request 用于攜帶協(xié)商參數

config-ack：完全同意對方參數則回復

config-nak：部分同意對方參數則回復繼續(xù)進行協(xié)商

config-reject：不能識別參數則回復，斷開鏈路

協(xié)商參數

1，MRU值：最大接收單元

2，Magic number：魔術字用于防止環(huán)路

3，認證：PAP chap

PAP：密碼認證協(xié)議

認證過程

1，在LCP協(xié)商中說明自己采用PAP認證和確認認證端和被認證端

2，被認證端向認證端明文直接發(fā)送用戶名和密碼

3，認證在接收到用戶名和密碼后則在AAA視圖中找對應用戶明和

密碼，核對是否匹配，如果匹配則回復認證成功，鏈路up狀態(tài)

反之認證失敗，鏈路down狀態(tài)

CHAP:挑戰(zhàn)握手的協(xié)議認證協(xié)議

認證過程

1，在LCP協(xié)商中說明自己采用CHAP認證和確認認證端和被認證端

2，認證端口發(fā)送challenge數據包（攜帶：Id、隨機碼）

3，被認證端在收后將ID+隨機碼+password放入hash池計算出MD5

值，回復Response消息（攜帶：原始challenge數據包中ID、

用戶名、MD5值）

4，認證端在收到response消息后，根據ID找到隨機碼，根據

用戶名找到password，將ID+隨機碼+password放入hash池計算出MD5

值，對比MD5值與response消息中的MD5值是否一致，如果

一致則回復成功，反之認證失敗

NCP層協(xié)商網絡參數

靜態(tài)地址協(xié)商

1，雙方將自己接口上IP地址通過IPCP告知對方，默認對方

自動生成主機路由

2，如果自己的IP地址與對端不沖突則回復ack確認

PPP動態(tài)地址協(xié)商

1，接口啟用PPP動態(tài)獲取IP地址，IPCP消息 config-request

說明自己沒有IP地址希望對方可以提供IP地址

2，對端如果可以提供IP地址，則使用config-Nak消息提供

IP地址

3，使用config-request消息向對方要改IP地址

4，使用config-ack進行IP地址確認

命令：接口上配置

1，ip add ppp-negotiate通過PPP獲取IP地址

2，remote address 12.0.0.1 為對端分配IP一個IP地址

3，remote address? pool test從地址池抽取一個IP地址給對端

PPPoE：PPP over Ethernet，在以太網上運行PPP

PPPoE會話建立

1，client使用PADI（PPPoE發(fā)現消息，廣播消息用于發(fā)現網絡

中可以提供PPPoE的服務器、session為0000）

2，網絡中的PPPoE server在收到后，回復PADO（PPPoE offer

消息，單播、Session為0000，只是簡單的承若提供PPPoE服務

沒有分配任何session資源）

3，Client使用PADR向反應速度最快的Server請求建立Session

（單播）

4，Server只用PADS提供Session-ID，完成Server與client之間

PPPoE session建立，后續(xù)所有的數據包都通過該

session發(fā)送

在完成PPPoE 會話建立后，使用PPP協(xié)商其他參數

client端配置

interface Dialer99

link-protocol ppp

ppp chap user huawei //認證用戶名

ppp chap password cipher %$%$F`XJ*[{jL1Lf+SUmF@XN,%TR%$%$

ip address ppp-negotiate

dialer user hcna //該接口用戶名

dialer bundle 200 //該接口與物理接口綁定時所所使用的編號

dialer-group 100//與撥號規(guī)則綁定

定義撥號規(guī)則

dialer-rule

dialer-rule 100 ip permit //標示提供IP撥號服務

interface Virtual-Template100//定義邏輯接口PPP

ppp authentication-mode chap

remote address 123.0.0.11

ip address 123.0.0.200 255.255.255.0

interface GigabitEthernet0/0/0

pppoe-server bind Virtual-Template 100//將邏輯接口和物理

接口綁定到一起

幀中繼:在串行鏈路上為客戶提供二層專線服務，基本已淘汰

PVC：永久性虛鏈路，在沒有任何數據之前就已經由ISP建立

完成，必須手動刪除

DLCI：PVC本地標示，本地有意義

LMI：本地管理接口用于維護鏈路和PVC狀態(tài)

逆向ARP：生成DLCI與IP地址映射關系

原理

1，接口在獲取本端的DLCI后，則向該DLCI發(fā)送消息（ARP）

表明自己IP地址

2，對端在收到消息后，根據消息所來自的DLCI，生成

該DLCI與IP地址映射，同時回復ARP，以便告知

對方本端已經獲取到映射關系同時說明雙方是雙向連通

二層（源MAC地址、目的MAC地址、type）

三層（源IP地址，目的IP地址、protocol）

四層（源端口、目的端口）

訪問控制列表：由條件+動作構成，對數據進行匹配過濾操作

動作：permit和deny

規(guī)則執(zhí)行順序

1，按編號執(zhí)行：優(yōu)先級執(zhí)行編號小的，如果條件匹配立即執(zhí)行動作不在查看后續(xù)規(guī)則。如果沒有匹配則匹配下一跳規(guī)則。最后

沒有任何規(guī)則匹配該數據包華為默認放行所有

2，深度優(yōu)先：優(yōu)先執(zhí)行條件詳細（精確），非常用規(guī)則

無華為還是Cisco都不執(zhí)行該規(guī)則

基本ACL（匹配源IP地址）

高級ACL（源IP地址、目的IP地址、源端口、目的端口）

NAT：網絡地址翻譯（轉換）用于內網和公網邊間

負責將內網地址與公網地址轉化，實現網絡正常通信

靜態(tài)NAT：手動配置一個內網IP地址與公網IP地址綁定關系

缺點：沒有節(jié)省IP地址資源

優(yōu)點：外網可以直接根據NAT公網地址訪問內部主機

注意：在配置靜態(tài)NAT時必須開啟接口靜態(tài)NAT功能

nat static enable

動態(tài)NAT：自動將一個內網IP地址映射到一個公網IP地址

在主機數據通信時保留映射關系，在通信完成后主機

不在使用時則釋放該映射關系

PAT：使用一個公網地址+端口標示內部一臺主機

nat address-group 2 202.14.0.200 202.14.0.201 //定義

地址池

nat outbound 2001 address-group 2 //配置PAT

nat outbound 2001 address-group 2 no-pat 動態(tài)NAT

AAA:認證、授權、審計

認證：你是誰

授權：你可以干什么

審計：你都干了什么