网络类型
网络三大类型
从数据链路层(二层)的技术来判断
一、点到点(P2P)
在一个物理的网段内,只能存在两个物理节点,无需二层地址。例如:串线。
二、BMA(广播型多路访问)
在一个物理的网段内,可以存在多个物理节点,且存在广播(洪泛)机制。例如:以太网。
三、NBMA(非广播型多路访问)
在一个物理的网段内,可以存在多个物理节点,但不存在广播(洪泛)机制。例如:帧中继、MGRE。
以太网(Ethernet)技术
共享型网络(频分,多个频率共享同一物理介质),目前市场覆盖率最高。属于BMA类型的网络,在一个网段内可以存在N个节点,且存在广播、洪泛行为。
遵循802标准,使用MAC作为二层单播地址,存在广播、洪泛机制,存在物理冲突,有线通过CSMA/CD(载波侦听多路访问/冲突检测技术),或通过交换机来避免冲突。无线范围通过CSMA/CA来避免冲突。
HDLC
高级链路控制协议,属于P2P类型的网络,不再需要二层地址。早期的串线链路上的二层封装技术,每个厂家的HDLC技术均为各自的私有技术且互不兼容,仅执行介质访问控制的功能。
实例
拓扑图:
设置HDLC
PPP
点到点协议,属于点到点网络类型,不需要二层单播地址,在HDLC的基础之上进行了升级。
升级点
①不同网段IP地址直连后,仍然可以正常通讯,两台设备间沟通交互接口IP地址,生成到达对端接口的32位主机路由;
②双方可以进行身份的认证(使用一致的账号与密码);
③支持新的虚链路通信。
PPPOE(拨号上网)
基于以太网的点到点协议。为了实现不在同一网段的通信,身份合适,建立虚链路分配IP地址。
两种认证方法
一、PAP认证:
密码认证协议(Password Authentication Protocol),明文认证方式。被认证方持续重复地向认证方发送用户名和密码信息,直到认证方给予回应或连接中止,常用于PPPOE拨号上网认证。
PAP工作模式
第一步:被认证方将配置的用户名和密码信息使用Authenticate-Requset报文以明文方式传输给认证方。
第二步:认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否正确匹配,若正确匹配则回复Authenticate-Ack报文,表示认证成功;若不匹配则返回Authenticate-Nak报文,表示认证失败。
实例
拓扑图:
具体配置:
(1)认证方(ISP)配置:
(2)被认证方(Client)配置:
抓包:
可见密码为明文传输。
二、CHAP认证:
质询握手认证协议(Challenge Handshark Authentication Protocol),密文传输认证方式。认证方周期地向被认证方发起认证质询,周期性地进行身份验证,常用于企业网的远程接入认证。
CHAP工作模式
第一步:在连接建立后,由主验证方主动发起验证请求,主验证方向被验证方发送随机产生的Challenge报文(ID+随机数)并同时将本端的用户名(若在接口上有配置用户名则使用此用户名,若没用则使用路由器的名字)一起发送给被验证方;
第二步:被验证方找密码:
(1)被验证方接收到验证方的验证质询后,检查本段接口上是否配置了缺省的CHAP密码,如果配置了则被验证方利用MD5算法对ID、该缺省密码和随机数算出一个Hash值,将生成的Hash值和自己的用户名发回验证方(Response报文);
(2)如果被验证方检查发现本端接口上没有配置缺省的CHAP密码,则被验证方根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,如果在用户表找到了与验证方用户名相同的用户,便利用MD5算法对报文ID、该对应的密码和随机数算出一个Hash值,将生成的Hash值和自己的用户名发回验证方(Response报文);
第三步:验证方用MD5对报文ID、自己保存的被验证方密码、随机数进行运算,得到一个Hash值,比较Hash值是否与被认证方发来的Hash值相同,根据比较结果返回不同的相应(Acknowledge or Not Acknowledge)。
实例
拓扑图:
具体配置:
(1)认证方(ISP)配置:
(2)被认证方(Client)配置:
抓包:
可见密码为密文传输。
GRE
通用路由封装技术,俗称“隧道”,是一种简单的三层VPN封装技术,属于P2P网络类型。
注: VPN,虚拟专用网络。使两个网络穿越中间网络直接通讯,逻辑的在两个网络间建立了一条新的点到点直连链路。家用宽带,下载300M,上传10-30M,共享型,临时IP,可能非公有IP(多重NAT),属于网络架构底层;企业宽带,下载100M,上传100M,独享型,固定IP,一定公有IP,属于网络架构中层。点到点物理专线,成本太高。VPN的缺点有安全问题与带宽问题。
GRE配置实例:
拓扑图:
具体配置:
【RA】
点到点网络类型,静态路由下一跳写出接口更好。
【RB】
测试:
MGRE
多点GRE,又称DSVPN,自动智能VPN。若在使用普通GRE来部署多个网络节点间的VPN,需要两两间构建隧道,会使得tunnel隧道连接数与路由条目成指数上升,所有的节点还只能为固定且公有的IP地址。
而使用MGRE技术可以解决上述问题。MGRE将多个网络节点构建成一个网段(NBMA网络,仅有伪广播)。结构为点到多点结构(中心站点到分支站点)。并且仅需要中心站点IP地址固定,分支点的IP地址可以不固定。各个分支站点可以基于NHRP协议实现IP地址不固定,且可让中心站点知晓IP地址并进行VPN封装。
NHRP
下一条发现协议。启动NHRP协议后,非固定IP地址的分站点,会主动到固定IP地址的中心站点进行注册(告知自己当前的IP地址),中心站点会基于这些分支站点的注册信息生成MAP映射(记录tunnel虚拟IP与公网IP地址的对应关系,虚拟IP不变,公网IP可变),根据映射关系来进行VPN封装。若分支间相互通讯,则分支可以通过在中心站点下载MAP表来查找映射关系,从而实现通讯。
MGRE配置实例
拓扑图:
具体配置:
RA(中心站点)配置:
RB(分支站点)配置:
RC(分支站点)配置:
在RB查看MAP表:
hub表示中心站点;local表示本地站点;route tunnel表示其他分支站点。
测试:
【RA】
【RB】
MGRE站点间运行路由协议(RIP)
伪广播机制:
当不可用224.0.0.9进行广播时,不借助广播机制而进行自行发送,变将一个数据copy后发给所有人变为给每一个人都私发一份。借此伪广播机制达到广播机制的效果。
配置问题:
因为RIP水平分割机制的存在,分支站点之间不能通过RIP来实现相互学习路由。
解决方法:
①若所有tunnel对应的公有IP均为固定IP地址,可以让每台路由器均为中心站点,两两间均进行注册(类似握手原理),形成全连网状结构拓扑。然后,类似RIP这种存在水平分割机制的协议仍能够正常收敛。
②当拓扑结构为中心到站点,即呈辐射状,不是所有网点均为固定的公有IP,无法所有tunnel设备互相注册。此时,只能通过关闭水平分割来实现路由的全网正常收敛。
关闭水平分割机制的配置为:
[R1-Tunnel0/0/0]undo rip split-horizon