广域网相关技术之FR帧中继、PPP、PPPOE

目录

• 1. FR（帧中继）
• • 1.2 术语
  • 1.3 帧中继的接口类型
  • 1.4 虚电路
  • 1.5 LMI协议
  • • LMI的协商过程
    • LMI的版本
    • Inverse Arp
    • • Inverse arp的协商过程
    • FR通信的条件
  • 1.6 帧中继交互流程分析
  • 1.7 帧中继运行路由协议注意事项
  • • 1.7.1 RIP
    • 1.7.2 OSPF
• 2. PPP(点对点协议)
• • 2.1 三个协议族
  • 2.2 PPP的报文格式
  • • 2.2.1 封装格式
  • 2.3 PPP的工作流程
  • • 2.3.1 5个阶段
    • 2.3.2 LCP
    • • 2.3.2.1 LCP的协商报文类型，code字段：
      • 2.3.2.2 LCP周期性维护的报文，code字段
      • 2.3.2.3 LCP关闭报文
      • 2.3.2.4 LCP协商的参数
      • 2.3.2.5 LCP链路协商参数成功的过程
      • 2.3.2.6 LCP链路协商参数不成功的过程
      • 2.3.2.7 LCP协商参数不能识别
    • 2.3.3 NCP
    • • 2.3.3.1 NCP-IPCP静态协商IP地址
      • 2.3.3.2 NCP-IPCP动态协商IP地址
    • 2.3.4 扩展协议簇
    • • 2.3.4.1 PAP的报文类型
      • 2.3.4.2 配置认证方用户信息数据
      • 2.3.4.3 chap的报文类型
      • 2.3.4.4 chap单向认证
      • 2.3.4.5 锐捷PPP配置先CHAP后PAP
    • 2.4 PPP-MP
    • • 2.4.1 配置方式
    • 2.5 PPPoE
    • • 2.5.1 PPPoE封装
      • 2.5.2 PPPoE的建立过程
      • 2.5.3 配置

1. FR（帧中继）

What：工作在数据链路层，是一种广域网协议。

场景：企业总部和分部之间通过帧中继网络进行互联

1.2 术语

DTE(data terminal Equipment)

Data Communications Equipment)

LMI（Local Managerment interface）

DLCI（Data Link Connection Identifier）

PVC（Permanent virtual circuits）

SVC（swithcd virtual circuits）

1.3 帧中继的接口类型

• DTE：用户设备
• DCE：运营商设备

1.4 虚电路

两个

DTE

之间的设备叫做虚电路。采用虚电路来连接两端的设备。

• PVC（永久虚电路）用的最多。
• SVC（按需虚电路）

DLCI：数据链路连接标识（Data Link Connection Identifier）

取值范围 16-1022，1007-1022是保留的DLCI

1.5 LMI协议

本地管理接口，用于监控永久虚电路的状态。 用户管理PVC的增、删、检测、查看状态等。

为什么需要有LMI协议

因为在PVC中，无论用户设备还是网络设备都需要知道当前PVC的状态。 所以通过LMI协议来获取当前PVC的状态

LMI的协商过程

1、DTE端首先发送状态查询消息到达DCE
2、DCE端收到消息之后回复状态应答消息。
3、DTE解析收到的应答消息，获取链路状态和PVC状态信息
4、在两端都收发正常情况下，PVC状态变为Active
           

LMI的版本

• Q933A
• ANSI
• cisco

Inverse Arp

用来解析本地DLCI对应的对端IP。通过Inverse arp用来自动生成对端IP与本地DLCI的映射表。

当帧中继LMI协商通过，PVC状态变为Active后，就会开始InARP协商过程

Inverse arp的协商过程

1、当本地配置地址之后，会发送inverse arp请求消息。
2、对端设备收到该请求消息，提取源IP地址与本地DLCI进行绑定，并回复inverse arp 应答消息
3、本地收到应答消息之后，提取源IP与本地DCLI进行绑定。也生成地址映射
           

逆向ARP表 inverse arp

对端IP和本端DLCI的映射关系。根据DLCI找对端IP

FR通信的条件

• FR有接口与DLCI的映射
• DTE：dlci与ip地址映射

1.6 帧中继交互流程分析

link-protocol fr 在接口下将链路层协议改成帧中继协议

然后在帧中继交换机上添加映射。

首先帧中继交换机会向路由器分发DLCI，在帧中继交换机配置把DLCI与接口进行映射，R3要访问R5，查逆向ARP解析表，逆向解析表是在设备上配置了IP地址后，设备会在该虚电路上发送inverse arp请求报文给对端设备，该请求报文中包含自己的IP地址，对端收到请求报文后，可以获得本端IP地址后会生成地址映射，并发送inverse arp响应报文进行回复。本端收到inverse arp响应报文后，解析对端IP地址，也生成地址映射。根据R5的ip地址从对应的DLCI标识的虚电路进行转发，帧中继交换机收到数据之后查看DLCI 103字段，然后查看映射表找到DLCI对应的接口发出。并将DLCI值改为301到达R5，R5查看DLCI为自己本端DLCI接受数据。

R3-R4同理。

R4与R5通信，需要手工映射，通过R3进行通信。

FR静态映射：

fr map ip 对端IP 本地DLCI  broadcast  
display fr map-info    查看映射表项
display fr pvc-info    查看虚电路的配置和统计信息
           

1.7 帧中继运行路由协议注意事项

1.7.1 RIP

帧中继在遇到水平分割机制时，会造成网络通信不正常。
默认关闭水平分割
使用子接口
  点到点
    一个子接口对应一条PVC
      配置子接口为点对点，且禁用InARP时，无需配置手工映射
  点到多点
    一个子接口对应多条PVC
           

1.7.2 OSPF

• NMBA环境中因为是全互联帧中继拓扑需要选举DR,BDR。但是不支持组播，广播，需要单播指邻居
• P2MP环境中是星型帧中继拓扑，没有lsa泛洪的问题，所以不需要选举DR,BDR。

2. PPP(点对点协议)

点到点协议（Point to Point Protocol，PPP）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案.

2.1 三个协议族

• LCP（Link Control Protocol）链路控制协议

  主要用来建立、拆除、维护底层链路，负责链路参数协商。MRU,验证方式等

• NCP（Network Control Protocol）网络控制协议

  用于协商上层协议的数据包的格式和类型，IPCP用于协商控制IP。

• 扩展协议族
  • CHAP（Challenge-Handshake Authentication Protocol）挑战握手验证协议
  • PAP（Password Authentication Protocol）密码认证协议

2.2 PPP的报文格式

2.2.1 封装格式

PPP | LCP | OPTION
ppp | ip | icmp
           

PPP报文格式

• address：全1为广播地址，此字段无意义，因为PPP可以协商到对端IP地址
• control：表明是无序号帧，PPP没有序列号和确认来保证可靠传输，与address一起标识此报文为ppp报文。
• protocol：0021表示信息域为IP，C021表示信息与为LCP,可用来区分PPP数据帧中信息域所承载的数据报文的内容

LCP的报文格式

• code：标识LCP数据报文的类型
• identifier：用来匹配请求和响应，通常请求报文的id是从1逐步开始，对端收到请求报文，无论使用何种报文回应，其中ID值都为请求报文中的ID值。用于表示一组消息。

• length：LCP报文的总字节数据

  data：协商的具体内容

2.3 PPP的工作流程

2.3.1 5个阶段

1. dead：初始状态，物理层UP进入establish阶段
2. establish：进行LCP的协商，协商成功进入authentication阶段，失败返回dead阶段。
3. authenticate：如果认证失败进入terminate阶段，认证成功或者没配置认证进入network阶段
4. network ：进行NCP的协商，协商成功PPP连接则建立成功。当上层协议需要关闭或者管理员手工关闭时进入terminate阶段。
5. terminate：使用LCP关闭PPP连接，连接关闭后，PPP进入dead阶段。

2.3.2 LCP

2.3.2.1 LCP的协商报文类型，code字段：

进行链路层协商，4个消息

configure-request：发送方将本地的链路参数发送给对端进行协商
configure-ack：表示对端发来的request完全接受参数
configure-nak：表示对端发送的参数本地不合法
configure-Reject：表示对端发送的参数本地不识别
           

LCP协商成功状态为opened

2.3.2.2 LCP周期性维护的报文，code字段

echo request：默认每10s发送一次。

echo replay

2.3.2.3 LCP关闭报文

• terminate-request：当认证不成功或者管理员手工关闭情况下发送terminate-request关闭连接
• terminate-ack：收到terminate-request报文回复terminate-ack报文，如果没有收到ack报文，则每隔3s重传一次request，最多2次重传。

2.3.2.4 LCP协商的参数

• 最大接受单元（MRU）：默认1500，PPP数据帧中information字段的总长度，协商使用两端较小的参数值

• 认证协议：认证对端使用的认证协议，默认不认证。

  被认证方必须支持认证方使用的认证协议并正确配置，否则协商不成功。

• 魔术字：使用魔术字来进行检测链路环路。如果收到的LCP报文中的魔术字和本地产生的魔术字相同，则认为链路有环路。

  一端支持，另一端不支持，则认为协商成功。两端都支持则使用检测机制检测环路。

收到一个configure-request报文，将其包含的魔术字和本地的魔术字进行对比，如果不同，则认为链路没有环路，使用configure-ack进行回复，表示魔术字协商成功。

如果魔术字相同，则发送一 个configure-nak报文，携带一个新的魔术字。不管收到的nak报文中是否携带相同的魔术字，LCP都发送一个新的configure-request报文，携带新的魔术字。如果链路有环路，该过程会一直持续下去。如果没有环路，则报文交互会很快回复正常。

2.3.2.5 LCP链路协商参数成功的过程

3s的重传超时

R1先发送LSP开始进行协商。

R1向R2发送configure-request报文进行协商（本地的链路层参数），R2收到request报文并且认可其中的参数。返回一个configure-ack报文协商成功。

如果configure-ack报文因链路拥塞丢包了，R1会每隔3s发送一次configure-request报文。如果连续发送10次还没有收到对应的ack报文则认为对端不可用。停止发送configure-request报文。

2.3.2.6 LCP链路协商参数不成功的过程

5次的协商放弃。

R1发送configure-request报文给R2，R2收到之后进行协商，协商不能接受全部参数或者部分参数，回复一个configure-nak报文，其中包含不能接受的参数列表发送给R1。R1收到之后重新选择本地使用的相关参数再次发送request报文给R2。

连续5次仍然协商失败，不再继续协商。

2.3.2.7 LCP协商参数不能识别

R1向R2发送configure-request消息，R2收到之后不能识别全部或者部分参数，发送一个configure-reject消息给R1，R1收到之后重新发送不包含R2不能识别的参数的request报文给R2。

2.3.3 NCP

2.3.3.1 NCP-IPCP静态协商IP地址

• 手工配置，通过相互发送configure-request消息相对端发送本地地址检测地址是否冲突，没有冲突相互发送configure-ack报文
• 通过IPCP消息，PPP链路两端都可以知道对端发送的32位IP地址。

2.3.3.2 NCP-IPCP动态协商IP地址

R1
ip pool huawei	
	network 12.1.1.0 mask 24
interface s1/0/0
	ip add 12.1.1.1 24
	remote address pool huawei
R2
interface s1/0/0
	ip add ppp-negotiate	##用于发送0.0.0.0的request报文请求地址。
           

R1收到全0的request消息认为地址0.0.0.0不合法，使用NAK消息回复一个新的ip地址。

R2收到NAK消息，跟新本地的IP地址，发送configure-request包含新的IP地址检测地址是否冲突，R1回复ack确认，同时也发送configure-request消息来检测本地地址是否冲突，R2收到之后认为合法，也发送ack消息。

2.3.4 扩展协议簇

PAP和CHAP的区别？

PAP是一个明文认证，2次握手
CHAP是密文认证，3次握手
           

2.3.4.1 PAP的报文类型

PAP由被认证方发起认证。

认证方：认证方负责认证被认证方，有对应的数据库
被认证方：被人认证的。

Authenticate-Request：用于被验证方发送用户名和密码
Authenticate-Ack：验证方发送验证成功的信息
Authenticate-Nak：验证方发送验证失败的信息
           

2.3.4.2 配置认证方用户信息数据

aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
#认证方开启认证
 interface s1/0/0
	ppp auuthentication-mode pap
#被认证方发送用户名和密码
interface s1/0/0
	ppp pap local-user huawei password cipher huawei
           

认证在LCP之后NCP之前，已经协商完建立了PPP连接的链路，如果在配置了认证，只有重置链接才能进行认证协商。

shutdown

undo shutdown

2.3.4.3 chap的报文类型

CHAP由认证方发起认证。

Challenge：用于认证方向被认证方发起验证过程。
Response：用于被认证方向认证方返回用户信息
Success：用于认证方向被认证方发送认证成功信息
Failure：用于认证方向被认证方发送认证失败信息
           

chap怎么实现密文认证的？

发送的challenge消息中带有用户名（可选）和随机数，被认证方收到消息之后，使用challenge消息中的随机数和本地的identifier+密码进行MD5计算得出hash值加上用户名放在response消息中发送给认证方。认证方通过相同的MD5计算得出hash值，相同认证通过发送sucess消息， 不同认证失败发送Failure消息。

默认不带用户名，使用ppp chap user huawei，使认证方发送challenge消息带用户名

被认证方不带用户名，则认为没有开启认证，认证方发送reject消息。

2.3.4.4 chap单向认证

1、认证方不带用户名，被认证方只能在接口下配置用户名和密码。

2、认证方携带了用户名，被认证方接口下可以只配置用户名，密码在本地AAA中配置。

认证方接口下
 	ppp chap user huawei       #可以携带用户名
被认证方
	aaa
	local-user huawei password cipher huawei
	local-user huawei service-type ppp
           

2.3.4.5 锐捷PPP配置先CHAP后PAP

服务端：
router-b(config)#user ruijie pass 0 123456
router-b(config)#int se 2/0
router-b(config-if-Serial 2/0)#enc ppp
router-b(config-if-Serial 2/0)#ppp au chap pap
router-b(config-if-Serial 2/0)#no shut
router-b(config-if-Serial 2/0)#exit
router-b(config)#
客户端：
router-b(config)#user ruijie pass 0 123456
router-b(config)#int se 2/0
router-b(config-if-Serial 2/0)#enc ppp
router-b(config-if-Serial 2/0)#ppp  chap host ruijie
router-b(config-if-Serial 2/0)#ppp  chap pass 0 123456
router-b(config-if-Serial 2/0)#ppp  pap sent ruijie pass 0 123456
router-b(config-if-Serial 2/0)#no shut
router-b(config-if-Serial 2/0)#exit
router-b(config)#
           

2.4 PPP-MP

MP：PPP的链路捆绑

作用：

• 1、增加带宽
• 2、备份
• 3、负载分担

报文：

Endpoint Discriminator：终端标识符，用于在一台设备上区分不同的MP

2.4.1 配置方式

虚拟接口模版方式

1、创建虚拟模版

interface vitrual-template 1
	ppp mp endpoint			#配置本地终端标识，区分不同的MP，可选默认随机数。
	ppp mp binding-mode		#可选的绑定条件
	authentication			#根据对端用户名进行捆绑
	Description				#根据对端设备的标识符进行捆绑
	both					#同时根据对端用户名和对端标识符进行捆绑
           

2、将接口加入到虚拟模版

interface s1/0/0
ppp mp virtual-template 1
           

MP-Group方式

1、创建MP-Group组，配置IP

interface mp-group 0/0/0

2、将PPP链路加入到组里面

interface s1/0/0

ppp mp mp-group 0/0/0

2.5 PPPoE

利用以太网将大量主机连接起来，通过远端接入设备连入因特网，并用PPP协议对每个主机进行认证，计费等。使用Client/Server模型

场景：运营商和用户之间进行认证、审计、计费等。以太网没有控制，PPP有认证。通过PPP和以太网协议结合。

2.5.1 PPPoE封装

L2｜PPPoE | PPP | LCP

2.5.2 PPPoE的建立过程

Discovery：类似DHCP请求过程

1. 广播发送PADI（PPP Active Discovery Initiation）用于发现PPPoE服务器
2. 服务器单播回复PADO（offer）：收到PADI发送PADO。
3. 客户端单播发送PADR：可能有多个服务器发送，客户端接受第一个到达的PADO并发送PADR
4. 服务器回应PADS（session-confirmation）会话确认：服务器产生唯一的seesion-ID，通过PADS发送给客户端，唯一标识和PPP客户端的session。

Session

进行基本的PPP协商，认证协商等。与普通的ppp协商一样。
           

Terminate

客户端和服务器端都能发送PADT消息来结束PPP连接。
           

2.5.3 配置

Client

interface Dialer1				##创建拨号口
 link-protocol ppp				##自动封装ppp协议
 ppp pap local-user huawei password cipher  admin	##认证
 ip address ppp-negotiate		##ipcp动态协商IP地址
 dialer user huawei				##拨号用户
 dialer bundle 1				##	创建bundle号 与拨号口关联，在物理口调用
 dialer-group 1					## 调用 group组规则
dialer-rule						##创建dialer规则
 dialer-rule 1 ip permit		##创建规则，1代表的是group编号
interface GigabitEthernet0/0/0
 pppoe-client dial-bundle-number 1 	##物理口调用bundle，通过bundle关联拨号口的配置
           

Server

ip pool huawei							##创建为用户分配的地址池
 gateway-list 12.1.1.254 
 	network 12.1.1.0 mask 255.255.255.0 
aaa										##创建本地用户数据库
	local-user huawei password cipher huawei
	local-user huawei service-type ppp
interface Virtual-Template1		        ##创建虚拟模版
 ppp authentication-mode pap 
 remote address pool huawei
 ip address 12.1.1.254 255.255.255.0
interface GigabitEthernet0/0/0			##物理接口调用虚拟模版
 pppoe-server bind Virtual-Template 1