1. 跨VLAN互访
vlan隔离了广播域,导致同vlan能互访问,而不同vlan间无法访问。但有些时候又需要一些跨vlan的访问。
我们有三种办法可以实现。
- 多臂路由
- 单臂路由
- 三层交换机
1.1 多臂路由
如图所示,在路由器和交换机间的链路配置成多条。
交换机的端口全部设置为access端口,这样到达路由器的包的就没有标签了。
再在路由器的对应口配置好vlan网络对应的网关即可。
这样做实际上是利用了物理链路来脱标签。但是vlan数量是远大于物理链路的。因此有了下面的解决方案。
1.2 单臂路由
单臂路由的意思是路由器和交换机间的链路变成一条。
这样一来需要解决两个问题,一是access口只能放行一个vlan,因此路由器交换机间的链路的一定是trunck链路了。另一个问题路由器是需要配置是多个网关,而现在物理链路变成了一条。
单臂路由的解决方案是
(1)路由器开启识别vlan标签的功能
(2)将一个物理口划分成多个逻辑的子接口,在子接口上配置网关
对于子接口的配置
进入子接口
int g0/0/0.1
配置ip与之前的无异
ip ad 192.168.1.1 24
对于接口开启它的标签识别功能,看成是路由器配置access vlan 10口就可以了。
dot1q termination vid 10
我们还需要开启arp广播功能
arp broadcast enable
对比单臂路由我们可以知道,其实只是把access放到了路由器上去脱标签,然后再将多条链物理链路换成多条逻辑链路而已。
这样做的优点是节约了成本,同时带来的缺点就是单一链路的转发瓶颈和单点故障。
现在的解决方案是三层交换机。
1.3 三层交换机
三层交换机就是工作在第三层的交换机,因此它既有路由功能,又有交换功能。
三层交换机分为盒式交换机和框式交换机两种。盒式交换机的高端版本和框式交换机可以直接在物理端口配置IP地址,非高端的盒式交换机是无法直接在物理端口配置IP地址的。它们配置IP地址是通过虚拟口Vlanif来配置的。
配置案例1
创建vlanif接口,vlanif号需要与VLAN ID一致。
int vlanif 10
在接口下配置网关IP
ip ad 192.168.1.254 24
物理接口放行VLAN 10
int g0/0/1
p l a
p d v 10
配置案例2
跨网段的VLAN互访,三层交换机因为需要配置IP所以需要单独规划一个VLAN。互联的链路需要放行互访问的VLAN ID, 设置为trunk链路。
2. PPP协议
工作在广域网上的点到点协议(Point-to-Point Protocol)。
主要由LCP(Link Control Protocol)和NCP(Network Control Protocol)协议组成。
NCP的主要作用是对网络层协议进行连接建立和参数协商。
2.0 PPP链路状态
2.1 LCP协议
LCP主要作用是建立、拆除和监控PPP链路。
2.1.1 LCP协商参数
- 最大接收单元(MRU)
- 认证协议
- 魔术字(magic number): 防环用
2.1.2 LCP报文分类
2.1.3 LCP参数协商
一次协商成功
需要修改参数
删除参数
抓包
2.2 NCP协商
2.2.1 IPCP协商
静态协商,两方各自发一个自己的IP,等待对方确认。
两端的地址不需要是同一网段。
动态协商
未配置地址的一方先发0.0.0.0的地址,提供地址的一方发NAK包。并提供地址给未配置地址的一方。最后未配置一方发起一次请求提供地址的确认。
未配置地址的一方
ip ad ppp-negotiate
提供地址的一方
remote address 1.1.1.1
当然也可以给个地址池
ip pool hcia
network 7.7.7.7 netwmask 24
remote address pool hcia
2.3 PPP认证
2.3.1 PAP认证
明文发送用户名和密码
认证方配置aaa认证
[R1-s4/0/0]ppp authentication-mode pap
[R1]aaa
[R1-aaa]local-user huawei service-type ppp
[R1-aaa]local-user huawei password cipher huawei123
被认证方只需要提供用户名和密码
ppp pap local-user huawei password cipher huawei123
2.3.2 CHAP认证
认证方向被认证方发送challenge报文,报文中包含随机字符串和一个id。被认证方收到后,将密码和id和字符串进行md5运算发给认证方进行比较。
配置命令
- 认证方
ppp authentication-mode chap
[R1-aaa]local-user huawei service-type ppp
[R1-aaa]local-user huawei password cipher huawei123
- 被认证方
ppp chap local-user huawei password cipher huawei123
2.4 PPPoE
在以太网上跑PPP协议。
分为三个阶段:PPPoE发现、PPP协议、PPPoE断开
PPP协议阶段就是完成上面章节描述的。
PPPoE发现的流程大体与DHCP的主机分配地址过程类似。
PADI: PPPoE Active Discovery Initiation,PPPoE激活发现起始
PADO: PPPoE Active Discovery Offer,PPPoE激活发现服务
PADR:(非广播)(PPPoE Active Discovery Request,PPPoE激活发现请求)
PADS(PPPoE Active Discovery Session-confirmation,PPPoE激活发现会话确认
主要是抄下PPPoE的配置
2.4.1 PPPoE服务端
地址池创建
ip pool pool1
network 192.168.1.0 netmask 24
gateway-list 192.168.1.254
创建虚模板
int virtual-template 1
ppp authentication-mode chap
ip ad 192.168.1.253 24
remote address pool1
物理接口绑定虚模板
int g0/0/0
pppoe-server bind virtual-template 1
aaa认证配置
local-user huawei password cipher huawei123
local-user huawei service-type ppp
2.4.2 PPPoE客户端
创建拨号规则
dialer-rule
dialer-rule 1 ip permit
创建拨号接口
interface dialer 1
dialer user huawei
dialer-group 1
dialer bundle 1
ppp chap user huawei
ppp chap password cipher huawei123
ip ad ppp-negotiate
拨号接口绑定到物理出接口
int g0/0/0
pppoe-client bind dialer-bundle-number 1
配置到PPPoE服务端的静态缺省路由
ip route-static 0.0.0.0 0 dialer 1
Ref
huawei-ppp
huawei-pppoe