中小企网络工程应用实例.doc

《中小企网络工程应用实例.doc》由会员分享，可在线阅读，更多相关《中小企网络工程应用实例.doc（33页珍藏版）》请在沃文网上搜索。

1、摘要：企业网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接企业内部子网和分散于企业各处的计算机，另一方面作为沟通企业内外部网络的桥梁。企业网为企业的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把企业网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把企业网理解为企业信息化、现代化的基础设施和教育生产力的劳动工具，是为企业的教学、管理、办公、信息交流和通信等服务的。要实现这一点，企业网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。关键词：

2、PPP协议、OSPF协议、DHCP协议、NAT协议Abstract:An Enterprise net is today the inevitable trend of the development of the information society. It is the modern network technology, multimedia technology and Internet technology, as foundation set up computer network, on the one hand, the enterprise internal connect

3、ed subnet and dispersed in the enterprise in all parts of the computer, on the other hand as a communication bridge of internal and external network enterprise. Enterprise network enterprise of teaching, management, office, information exchanges and communication and other provide comprehensive netw

4、ork application environment. Should emphasize is, cannot enterprise nets simple understanding for a physical sense by a lot of equipment composition of the computer hardware network, and the enterprise nets understood to be enterprise informationization and modern infrastructure and education of the

5、 labor productivity tools, is for enterprises teaching, management, office, information exchanges and communication and other services. To achieve this, enterprise nets must have a large number of advanced practical application software to support, the software and hardware of the campus network is

6、fully combine the role of the premise.Keywords: PPP protocol, OSPF protocol, the DHCP protocol, NAT agreement目 录摘要：2第一章 绪论51.1、项目概述51.2、需求概述61.3、网络需求6第二章 OSPF协议72.1OSPF协议简介72.2OSPF起源72.3OSPF的hello协议82.4OSPF的网络类型82.5OSPF的DR及BDR92.6OSPF邻居关系102.7OSPF度量值11第三章 DHCP协议123.1概述：123.2段地址分配133.3DHCP需求说明143.4设置

7、DHCP Server：153.5客户端设置153.6相关应用16第四章 PPP协议174.1PPP：点对点协议174.2PPP组成部分174.3PPP工作流程184.4PPP的特点194.5PPP应用范围194.6PPP的两种认证方式194.7PPP故障排查命令19第五章 NAT205.1NAT概述205.2NAT工作流程205.3NAT架设需求215.4NAT技术实现方式225.5网络地址转换（NAT）的实现22第六章 具体应用配置236.1编址表236.2拓扑图：246.3任务1：基本全局配置256.4任务 2：使用 CHAP 配置 PPP 封装256.5任务 3：配置动态路由和默认路由

8、256.6任务 4：使用 Easy IP 配置路由器266.7任务 5：检验 PC 自动配置有编址详细信息266.8任务 6：利用 DNS 条目配置 DNS 服务器266.9任务 7：配置 ACL 以规定可以进行 NAT 的地址276.10任务 8：配置静态 NAT276.11任务 9：配置带过载的动态 NAT276.12任务 10：利用静态路由配置 ISP 路由器276.13任务 11：测试连通性28结 论29致 谢30参考文献31附 录32第一章 绪论根据企业的具体要求来细化为可执行的详细需求分析说明书，主要为针对项目需求进行深入的分析，确定详细的需求状况以及需求模型,作为制定技术设计方案

9、、技术实施方案、技术测试方案、技术验收方案的技术指导和依据1.1、项目概述1. 网络部分的总体要求: 满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路。 良好的性能，能够支持大容量和实时性的各类应用。 能够可靠的运行，较低的故障率和维护要求。 提供安全机制，满足保护集团信息安全的要求。 具有较高的性价比。 未来升级扩展容易，保护用户投资。 用户使用简单、维护容易。 良好的售后服务支持。2. 系统部分的总体要求： 易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用; 更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备; 稳定性及可靠性

10、：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。 可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理; 更低的TCO：系统设计应尽量降低整个系统和TCO(拥有成本); 安全性：在系统的设计、实现及应用上应采用基本的安全手段保障网络安全; 良好的售后服务支持。除了满足上述的基本特征外，本项目的设计还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和集团的结构变更。1.2、需求概述在设计方案时，无论是系统或网络都严格遵循以下原则，

11、以保障方案能充分满足集团的需求。 先进性和实用性原则 高性能原则 经济性原则 可靠性原则 安全性原则 可扩展性原则标准化原则 易管理性原则1.3、网络需求集团园区网项目必须实现以下的功能需求：建设一个通畅、高效、安全、可扩展的集团园区网，支撑集团信息系统的运行，共享各种资源，提高集团办公和集团生产效率，降低集团的总体运行费用。网络系统必须运行稳定。集团园区网需要满足集团各种计算机应用系统的大信息量的传输要求。集团园区网要具备良好的可管理性。减轻维护人员的工作量，提高网络系统的运行质量。集团园区网要具有良好的可扩展性。能够满足集团未来发展的需要，保护集团的投资。整个项目的施工，系统集成商要精心组

12、织、严格管理、定期提交各类项目文档。在项目实施完毕之后，系统集成商要对集团的相关人员进行培训，并移交全部的项目工程资料，保证集团园区网的正常运行和管理维护。第二章 OSPF协议2.1OSPF协议简介OSPF(Open Shortest Path First开放式最短路径优先）1是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离（AD）是110。（如图2.1-1）图2.1-12.2OSPF起源IE

13、TF为了满足建造越来越大基于IP网络的需要，形成了一个工作组，专门用于开发开放式的、链路状态路由协议，以便用在大型、异构的I P网络中。新的路由协议已经取得一些成功的一系列私人的、和生产商相关的、最短路径优先（SPF ）路由协议为基础， 在市场上广泛使用。包括OSPF在内，所有的S P F路由协议基于一个数学算法Dijkstra算法。这个算法能使路由选择基于链路-状态，而不是距离向量。OSPF由IETF在20世纪80年代末期开发，OSPF是SPF类路由协议中的开放式版本。最初的OSPF规范体现在RFC1131中。这个第1版（ OSPF版本1 ）很快被进行了重大改进的版本所代替，这个新版本体现在

14、RFC1247文档中。RFC 1247OSPF称为OSPF版本2是为了明确指出其在稳定性和功能性方面的实质性改进。这个OSPF版本有许多更新文档，每一个更新都是对开放标准的精心改进。接下来的一些规范出现在RFC 1583、2178和2328中。OSPF版本2的最新版体现在RFC 2328中。最新版只会和由RFC 2138、1583和1247所规范的版本进行互操作。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 OSPF路由协议是一种典型的链路状态（L

15、ink-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由

16、表传递给与其相邻的路由器。2.3OSPF的hello协议1.Hello协议的目的： 1.用于发现邻居 2.在成为邻居之前，必须对Hello包里的一些参数进行协商 3.Hello包在邻居之间扮演着keepalive的角色 4.允许邻居之间的双向通信 5.用于在NBMA(Nonbroadcast Multi-access）网络上选举DR和BDR 2.Hello Packet包含以下信息： 1.源路由器的RID 2.源路由器的Area ID 3.源路由器接口的掩码 4.源路由器接口的认证类型和认证信息 5.源路由器接口的Hello包发送的时间间隔 6.源路由器接口的无效时间间隔 7.优先级 8.DR

17、/BDR接口IP地址 9.五个标记位（flag bit) 10.源路由器的所有邻居的RID2.4OSPF的网络类型OSPF定义的5种网络类型： 1.点到点网络(point-to-point），由cisco提出的网络类型，自动发现邻居，不选举DR/BDR，hello时间10s。 2.广播型网络(broadcast），由cisco提出的网络类型，自动发现邻居，选举DR/BDR，hello时间10s。 3.非广播型（NBMA）网络 (non-broadcast），由RFC提出的网络类型，手工配置邻居，选举DR/BDR，hello时间30s。 4.点到多点网络 (point-to-multipoint

18、），由RFC提出，自动发现邻居，不选举DR/BDR，hello时间30s。 5.点到多点非广播，由cisco提出的网络类型，自动发现邻居，选举DR/BDR，hello时间10s。 1.1.点到点网络,比如T1线路，是连接单独的一对路由器的网络，点到点网络上的有效邻居总是可以形成邻接关系的，在这种网络上，OSPF包的目标地址使用的是224.0.0.5，这个组播地址称为AllSPFRouters. 2.1.广播型网络，比如以太网，Token Ring和FDDI，这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5，运载这些OSPF包的帧的目标MAC地址为

19、0100.5E00.0005；而除了DR/BDR以外发送的OSPF包的目标地址为224.0.0.6，这个地址叫AllDRouters. 3.1.NBMA网络，比如X.25,Frame Relay，和ATM，不具备广播的能力，因此邻居要人工来指定，在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式 4.1.点到多点网络 是NBMA网络的一个特殊配置，可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR. 5.1.虚链接： OSPF包是以unicast的方式发送 所有的网络也可以归纳成2种网络类型： 1.传输网络（Transit Network) 2.末梢网络（Stub

20、 Network )2.5OSPF的DR及BDR在DR和BDR出现之前，每一台路由器和他的所有邻居成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系，同时将产生25条LSA.而且在多址网络中，还存在自己发出的LSA 从邻居的邻居发回来，导致网络上产生很多LSA的拷贝，所以基于这种考虑，产生了DR和BDR. DR将完成如下工作 1. 描述这个多址网络和该网络上剩下的其他相关路由器. 2. 管理这个多址网络上的flooding过程. 3. 同时为了冗余性，还会选取一个BDR，作为双备份之用. DR BDR选取规则：DR BDR选取是以接口状态机的方式触发的. 1. 路由器的

21、每个多路访问（multi-access）接口都有个路由器优先级（Router Priority),8位长的一个整数，范围是0到255,Cisco路由器默认的优先级是1优先级为0的话将不能选举为DR/BDR.优先级可以通过命令ip ospf priority进行修改. 2. Hello包里包含了优先级的字段，还包括了可能成为DR/BDR的相关接口的IP地址. 3. 当接口在多路访问网络上初次启动的时候，它把DR/BDR地址设置为0.0.0.0，同时设置等待计时器（wait timer）的值等于路由器无效间隔（Router Dead Interval). DR BDR选取过程： 1. 路由器X在和

22、邻居建立双向（2-Way）通信之后，检查邻居的Hello包中Priority,DR和BDR字段，列出所有可以参与DR/BDR选举的邻居（priority不为0). 2. 如果有一台或多台这样的路由器宣告自己为BDR（也就是说，在其Hello包中将自己列为BDR，而不是DR），选择其中拥有最高路由器优先级的成为BDR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为BDR，选择列表中路由器拥有最高优先级的成为BDR，（同样排除宣告自己为DR的路由器），如果相同，再根据路由器标识。 3. 按如下计算网络上的DR。如果有一台或多台路由器宣告自己为DR（也就是说，在其Hello包中将自己列

23、为DR），选择其中拥有最高路由器优先级的成为DR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为DR，将新选举出的BDR设定为DR。 4.如果路由器X新近成为DR或BDR，或者不再成为DR或BDR，重复步骤2和3，然后结束选举。这样做是为了确保路由器不会同时宣告自己为DR和BDR。 5. 要注意的是，当网络中已经选举了DR/BDR后，又出现了1台新的优先级更高的路由器，DR/BDR是不会重新选举的。 6. DR/BDR选举完成后，DRother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到AllSPFRouters地址224.0.0.5以便它们能跟踪其他邻居的信息

24、，即DR将泛洪update packet到224.0.0.5;DRother只组播update packet到AllDRouter地址224.0.0.6,只有DR/BDR监听这个地址. 简洁的说：DR的筛选过程 1.优先级为0的不参与选举； 2.优先级高的路由器为DR； 3.优先级相同时，以router ID 大为DR； router ID 以回环接口中最大ip为准；若无回环接口，以真实接口最大ip为准。 4.缺省条件下，优先级为1。2.6OSPF邻居关系邻接关系建立的4个阶段： 1.邻居发现阶段 2.双向通信阶段：Hello报文都列出了对方的RID，则BC完成. 3.数据库同步阶段：主从协商

25、；DD交换；LSA请求；LSA传播；LSA应答。 4.完全邻接阶段： full adjacency 邻居关系的建立和维持都是靠Hello包完成的，在一般的网络类型中，Hello包周期性的以HelloInterval秒发送，有1个例外：在NBMA网络中，路由器每经过一个PollInterval周期发送Hello包给状态为down的邻居（其他类型的网络是不会把Hello包发送给状态为down的路由器的）.Cisco路由器上PollInterval默认60s Hello Packet以组播的方式发送给224.0.0.5，在NBMA类型，点到多点和虚链路类型网络，以单播发送给邻居路由器。邻居可以通过手

26、工配置或者Inverse-ARP发现. OSPF路由器在完全邻接之前，所经过的几个状态: 1.Down：此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送hello分组，还并不知道DR（若为广播网络）和任何其他路由器。发送hello分组使用组播地址224.0.0.5。 2.Attempt: 只适于NBMA网络，在NBMA网络中邻居是手动指定的，在该状态下，路由器将使用HelloInterval取代PollInterval来发送Hello包. 3.Init: 表明在DeadInterval里收到了Hello包，但是2-Way通信仍然没有建立起来. 4.two-way: 双向会话建立，

27、而RID彼此出现在对方的邻居列表中。（若为广播网络：例如：以太网。在这个时候应该选举DR,BDR。） 5.ExStart: 信息交换初始状态，在这个状态下，本地路由器和邻居将建立Master/Slave关系，并确定DD Sequence Number，路由器ID大的的成为Master. 6.Exchange: 信息交换状态，本地路由器和邻居交换一个或多个DBD分组（也叫DDP）。DBD包含有关LSDB中LSA条目的摘要信息）。 7.Loading: 信息加载状态：收到DBD后，将收到的信息同LSDB中的信息进行比较。如果DBD中有更新的链路状态条目，则向对方发送一个LSR，用于请求新的LSA。

28、 8.Full: 完全邻接状态，邻接间的链路状态数据库同步完成，通过邻居链路状态请求列表为空且邻居状态为Loading判断。2.7OSPF度量值在Cisco路由器中，使用公式100Mbit/带宽（单位为Mbit）来计算的，但是，在带宽等于100Mbits的链路上，成本为1.在大于100Mbits的链路上这个值就不是很好 RotuerA(config-if)#ip ospf cost interface-cost 成本越低，链路越好 RouterA(config-router)#atuo-cost reference-bandwidth ref-bw 其中cost：165535 ref-bw：1

29、4294967第三章 DHCP协议3.1概述：DHCP 是 Dynamic Host Configuration Protocol(动态主机配置协议）缩写，它的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的：网络主机使用 BOOT ROM 而不是磁盘启动并连接上网络，BOOTP则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与 IP 的对应是静态的。换而言之，BOOTP 非常缺乏 动态性 ，若在有限的 IP 资源环境中，BOOTP 的一对一对应会造成非常严重的资源浪费。DHCP 可以说是 BOOTP

30、的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 租约 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。（DHCP原理如图3.1-1)图3.1-13.2段地址分配人工分配，获得的I

31、P也叫静态地址，网络管理员为某些少数特定的在网计算机或者网络设备绑定固定IP地址，且地址不会过期。 同一个路由器一般可以通过设置来划分静态地址和动态地址的IP段，比如一般家用TP-LINK路由器，常见的是从192.168.1.100192.168.1.254，这样如果你的电脑是自动获得IP的话，一般就是192.168.1.100，下一台电脑就会由DHCP自动分到为192.168.1.101。而192.168.1.2192.168.1.99为手动配置IP段。Automatic Allocation自动分配，其情形是：一旦 DHCP 客户端第一次成功的从 DHCP 服务器端租用到 IP 地址之后，

32、就永远使用这个地址。Dynamic Allocation动态分配，当 DHCP客户端 第一次从 DHCP 服务器端租用到 IP 地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放(release)这个 IP 地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新（renew)租约，或是租用其它的 IP 地址。动态分配显然比手动 相关图片：（图3.2-1）图3.2-1分配更加灵活，尤其是当您的实际 IP 地址不足的时候，例如：您是一家 ISP ，只能提供 200 个IP地址用来给拨接客户，但并不意味着您的客户最多只能有 200 个。因为要知道，您的客户们不可能全部同一时间上网

33、的，除了他们各自的行为习惯的不同，也有可能是电话线路的限制。这样，您就可以将这 200 个地址，轮流的租用给拨接上来的客户使用了。这也是为什么当您查看 IP 地址的时候，会因每次拨接而不同的原因了（除非您申请的是一个固定 IP ，通常的 ISP 都可以满足这样的要求，这或许要另外收费）。当然，ISP 不一定使用 DHCP 来分配地址，但这个概念和使用 IP Pool 的原理是一样的。DHCP 除了能动态的设定 IP 地址之外，还可以将一些 IP 保留下来给一些特殊用途的机器使用，它可以按照硬件地址来固定的分配 IP 地址，这样可以给您更大的设计空间。同时，DHCP 还可以帮客户端指定 rout

34、er、netmask、DNS Server、WINS Server、等等项目，您在客户端上面，除了将 DHCP 选项打勾之外，几乎无需做任何的 IP 环境设定。3.3DHCP需求说明什么时候最好使用 DHCP ？ 在某些情况之下，倒是强烈的建议架设 DHCP 主机的！例如： 公司内部很多 Notebook 计算机使用的场合！因为 Notebook 在使用上，当设定为DHCP client 的时候，那么只要他连接上的网域里面有一部可以动作的 DHCP ，那部notebook 就可以连接上 Internet 了！ 网域内计算机数量相当的多时：另外一个情况就是网域内计算机数量相当庞大时，大到您没有办

35、法一个一个的进行说明来设定他们自己的网络参数，这个时候为了省麻烦，还是架设DHCP 来的方便。 什么情况下不建议使用 DHCP 主机？ 虽然 DHCP 有很多好处，但是有一个步骤怪怪的。回头看一下那个步骤一，Client 在开机的时候会主动的发送讯息给网域上的所有机器，这个时候，如果网域上就是没有DHCP 主机呢？很抱歉，那么这部 Client 端计算机，仍然会持续的发送讯息！真正的时间与次数我不晓得会有多久，不过，肯定会超过30 秒以上，甚至可以达到一分钟以上！ 在网域内的计算机，有很多机器其实是做为主机的用途，很少Client 需求，那么似乎就没有必要架设 DHCP。3.4设置DHCP S

36、erver：DHCP套件结构 在 DHCP 的套件结构当中，也是仅有一个设置文件。这个文件不见得会存在，需要手动来建立： /etc/dhcpd.conf：主要配置文件。这个档案不见得会存在，请手动来建立喔！另外，其实每个dhcp 套件在释出的时候，都会附上一个范例档案，您可以使用 rpm -ql grep dhcp来查询到 dhcpd.conf.sample 这个档案呐！然后将该档案复制成为 /etc/dhcpd.conf后，在手动去修改 /etc/dhcpd.conf 即可，这样设定比较容易咯！(注：这个设定档在不同的Linux distribution 当中会有不一样的放置目录！例如在 o

37、penlinux 底下，这个设定档预设需要放置在/etc/dhcpd/dhcpd.conf ) /usr/sbin/dhcpd：这个就是DHCP 的 daemon 执行档 /var/lib/dhcp/dhcpd.leases： 整个 DHCP 的设定档与检查的档案就是这几个而已3.5客户端设置参照下图：（图3.5-1）图3.5-1编辑本段主机配置DHCP服务器3.6相关应用开启DHCP“我的电脑”“服务和应用程序”“服务”“DHCP Client”，点击启动即可启动，最好设置为开机自动运行！不设置DHCP的后果若机器的DHCP Client出现异常或应急关闭会导致，该机器与其局域网内其他机器数

38、据传输速度大大降低，如果你的机器与其他局域网内的机器数据传输速度慢的话，可能就是这个原因引起的！第四章 PPP协议4.1PPP：点对点协议 （PPP：Point to Point Protocol） 点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即 SLIP。除了 IP 以外 PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（I

39、PX）。4.2PPP组成部分封装：一种封装多协议数据报的方法。PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。 链路控制协议：一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接。 网络控制协议：协商该链路上所传输的数据包格式与类型，建立、配置不同的网络层协议； 配置：使用链路控制协议的简单和自制机制。该机制也应用于其它控制协议，例如：网络控

40、制协议（NCP）。 为了建立点对点链路通信，PPP 链路的每一端，必须首先发送 LCP 包以便设定和测试数据链路。在链路建立，LCP 所需的可选功能被选定之后，PPP 必须发送 NCP 包以便选择和设定一个或更多的网络层协议。一旦每个被选择的网络层协议都被设定好了，来自每个网络层协议的数据报就能在链路上发送了。 链路将保持通信设定不变，直到有 LCP 和 NCP 数据包关闭链路，或者是发生一些外部事件的时候（如，休止状态的定时器期满或者网络管理员干涉）。 4.3PPP工作流程当用户拨号接入 ISP 时，路由器的调制解调器对拨号做出确认，并建立一条物理连接（底层up）。 话流程如（图4.3-1）

41、：图4.3-11PC 机向路由器发送一系列的 LCP 分组（封装成多个 PPP 帧）。 这些分组及其响应选择一些 PPP 参数，和进行网络层配置（此前如有PAP或CHAP验证先要通过验证），NCP 给新接入的 PC机分配一个临时的 IP 地址，使 PC 机成为因特网上的一个主机。 通信完毕时，NCP 释放网络层连接，收回原来分配出去的 IP 地址。接着，LCP 释放数据链路层连接。最后释放的是物理层的连接。4.4PPP的特点PPP协议是一种点点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能，还有其他。PPP提供了3类功能：成帧；链路控制协议L

42、CP；网络控制协议NCP。PPP是面向字符类型的协议。 PPP协议的帧格式 标志字段 地址字段 控制字段 协议 信息部 分 FCS 标志字段 4.5PPP应用范围PPP是一种多协议成帧机制，它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式（可选）的可靠传输。 PPP提供了三类功能： 1 成帧：他可以毫无歧义的分割出一帧的起始和结束。 2 链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。 3 网络控制：具有协商网络

43、层选项的方法，并且协商方法与使用的网络层协议独立。4.6PPP的两种认证方式一种是PAP，一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的，而CHAP在传输过程中不传输密码，取代密码的是hash（哈希值）。PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP则是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机的哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接4.7PPP故障排查命令debug ppp negotiation-确定客户端是否可以通过PPP协商；

44、 这是您检查地址协商的时候。 debug ppp authentication-确定客户端是否可以通过验证。如果您在使用Cisco IOS软件版本11.2之前的一个版本，请发出debug ppp chap命令。 debug ppp error - 显示和PPP连接协商与操作相关的协议错误以及统计错误。 debug aaa authentication-要确定在使用哪个方法进行验证（应该是RADIUS，除非RADIUS服务器发生故障），以及用户是否通过验证。 debug aaa authorization-要确定在使用哪个方法进行验证，并且用户是否通过验证。 debug aaa accounti

45、ng-查看发送的记录。 debug radius-查看用户和服务器交换的属性。第五章 NAT5.1NAT概述NAT（Network Address Translation，网络地址转换）是将IP 数据报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP 地址空间的枯竭。 说明： 私有 IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球唯一的IP 地址。 RFC 1918 为私有网络预留出了三个IP 地址块，如下： A 类：10.0

46、.0.010.255.255.255 B 类：172.16.0.0172.31.255.255 C 类：192.168.0.0192.168.255.255 上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。5.2NAT工作流程如右图这个 client 的 gateway 设定为 NAT 主机，所以当要连上 Internet 的时候，该封包就会被送到 NAT 主机啦，这个时候的封包 Header 之 source IP 为 192.168.1.100 ； Nat-流程1（如图5.2-1）：图5.2-1而透过这个 NAT 主机，她会将 client 的对外联机封包的 source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP 啰，因为是公共 IP 了，所以这个封包就可以连上 Internet 了！同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client 端传送来的； Nat流程2（如图5.2-2）： 图5.2-2由 Internet 传送回来的封包，当然由 NAT 主机来接收了，这个时候， NAT 主机会去查