時(shí)鐘頻率：決定數(shù)據(jù)發(fā)送速度簇秒，由DCE點(diǎn)提供

在串口鏈路上兩臺(tái)設(shè)備互聯(lián)時(shí)必須有一端為DCE提供時(shí)鐘頻率

DTE：用戶數(shù)據(jù)端

DCE：歸ISP管理

異步傳輸：基于字節(jié)的傳輸，傳輸效率低

同步傳輸：基于數(shù)據(jù)幀傳輸吗货，傳輸效率高，必須要有DCE端提供

時(shí)鐘頻率

HDLC：高級(jí)數(shù)據(jù)鏈路控制協(xié)議

分為Cisco標(biāo)準(zhǔn)和共有HDLC

cisco DHCL：支持多協(xié)議

共有HDLC：支持ip，不支持多協(xié)議，大部分廠商都采用cisco

標(biāo)準(zhǔn)

數(shù)據(jù)幀：信息幀站玄、監(jiān)控幀、無編號(hào)幀

地址借用：將一個(gè)接口上IP地址引用過來使用可以完成正常通信

注意：只能在串口上借用地址

PPP：點(diǎn)到點(diǎn)鏈路協(xié)議濒旦，公有協(xié)議華為設(shè)備默認(rèn)封裝格式

PPP由LCP和NCP構(gòu)成

LCP：用于二層鏈路協(xié)商控制

NCP：用于網(wǎng)絡(luò)參數(shù)協(xié)商控制

LCP：config-request 用于攜帶協(xié)商參數(shù)

config-ack：完全同意對(duì)方參數(shù)則回復(fù)

config-nak：部分同意對(duì)方參數(shù)則回復(fù)繼續(xù)進(jìn)行協(xié)商

config-reject：不能識(shí)別參數(shù)則回復(fù)，斷開鏈路

協(xié)商參數(shù)

1再登，MRU值：最大接收單元

2尔邓，Magic number：魔術(shù)字用于防止環(huán)路

3，認(rèn)證：PAP chap

PAP：密碼認(rèn)證協(xié)議

認(rèn)證過程

1锉矢，在LCP協(xié)商中說明自己采用PAP認(rèn)證和確認(rèn)認(rèn)證端和被認(rèn)證端

2梯嗽，被認(rèn)證端向認(rèn)證端明文直接發(fā)送用戶名和密碼

3，認(rèn)證在接收到用戶名和密碼后則在AAA視圖中找對(duì)應(yīng)用戶明和

密碼沽损，核對(duì)是否匹配灯节，如果匹配則回復(fù)認(rèn)證成功，鏈路up狀態(tài)

反之認(rèn)證失敗，鏈路down狀態(tài)

CHAP:挑戰(zhàn)握手的協(xié)議認(rèn)證協(xié)議

認(rèn)證過程

1炎疆，在LCP協(xié)商中說明自己采用CHAP認(rèn)證和確認(rèn)認(rèn)證端和被認(rèn)證端

2卡骂，認(rèn)證端口發(fā)送challenge數(shù)據(jù)包（攜帶：Id、隨機(jī)碼）

3形入，被認(rèn)證端在收后將ID+隨機(jī)碼+password放入hash池計(jì)算出MD5

值全跨，回復(fù)Response消息（攜帶：原始challenge數(shù)據(jù)包中ID、

用戶名亿遂、MD5值）

4浓若，認(rèn)證端在收到response消息后，根據(jù)ID找到隨機(jī)碼蛇数，根據(jù)

用戶名找到password挪钓，將ID+隨機(jī)碼+password放入hash池計(jì)算出MD5

值，對(duì)比MD5值與response消息中的MD5值是否一致耳舅，如果

一致則回復(fù)成功碌上，反之認(rèn)證失敗

NCP層協(xié)商網(wǎng)絡(luò)參數(shù)

靜態(tài)地址協(xié)商

1，雙方將自己接口上IP地址通過IPCP告知對(duì)方挽放，默認(rèn)對(duì)方

自動(dòng)生成主機(jī)路由

2绍赛，如果自己的IP地址與對(duì)端不沖突則回復(fù)ack確認(rèn)

PPP動(dòng)態(tài)地址協(xié)商

1，接口啟用PPP動(dòng)態(tài)獲取IP地址辑畦，IPCP消息 config-request

說明自己沒有IP地址希望對(duì)方可以提供IP地址

2吗蚌，對(duì)端如果可以提供IP地址，則使用config-Nak消息提供

IP地址

3纯出，使用config-request消息向?qū)Ψ揭腎P地址

4蚯妇，使用config-ack進(jìn)行IP地址確認(rèn)

命令：接口上配置

1，ip add ppp-negotiate通過PPP獲取IP地址

2暂筝，remote address 12.0.0.1 為對(duì)端分配IP一個(gè)IP地址

3箩言，remote address? pool test從地址池抽取一個(gè)IP地址給對(duì)端

PPPoE：PPP over Ethernet，在以太網(wǎng)上運(yùn)行PPP

PPPoE會(huì)話建立

1焕襟，client使用PADI（PPPoE發(fā)現(xiàn)消息陨收，廣播消息用于發(fā)現(xiàn)網(wǎng)絡(luò)

中可以提供PPPoE的服務(wù)器、session為0000）

2鸵赖，網(wǎng)絡(luò)中的PPPoE server在收到后务漩，回復(fù)PADO（PPPoE offer

消息，單播它褪、Session為0000饵骨，只是簡(jiǎn)單的承若提供PPPoE服務(wù)

沒有分配任何session資源）

3，Client使用PADR向反應(yīng)速度最快的Server請(qǐng)求建立Session

（單播）

4茫打，Server只用PADS提供Session-ID居触，完成Server與client之間

PPPoE session建立妖混，后續(xù)所有的數(shù)據(jù)包都通過該

session發(fā)送

在完成PPPoE 會(huì)話建立后，使用PPP協(xié)商其他參數(shù)

client端配置

interface Dialer99

link-protocol ppp

ppp chap user huawei //認(rèn)證用戶名

ppp chap password cipher %$%$F`XJ*[{jL1Lf+SUmF@XN,%TR%$%$

ip address ppp-negotiate

dialer user hcna //該接口用戶名

dialer bundle 200 //該接口與物理接口綁定時(shí)所所使用的編號(hào)

dialer-group 100//與撥號(hào)規(guī)則綁定

定義撥號(hào)規(guī)則

dialer-rule

dialer-rule 100 ip permit //標(biāo)示提供IP撥號(hào)服務(wù)

interface Virtual-Template100//定義邏輯接口PPP

ppp authentication-mode chap

remote address 123.0.0.11

ip address 123.0.0.200 255.255.255.0

interface GigabitEthernet0/0/0

pppoe-server bind Virtual-Template 100//將邏輯接口和物理

接口綁定到一起

幀中繼:在串行鏈路上為客戶提供二層專線服務(wù)轮洋，基本已淘汰

PVC：永久性虛鏈路制市，在沒有任何數(shù)據(jù)之前就已經(jīng)由ISP建立

完成，必須手動(dòng)刪除

DLCI：PVC本地標(biāo)示砖瞧，本地有意義

LMI：本地管理接口用于維護(hù)鏈路和PVC狀態(tài)

逆向ARP：生成DLCI與IP地址映射關(guān)系

原理

1息堂，接口在獲取本端的DLCI后，則向該DLCI發(fā)送消息（ARP）

表明自己IP地址

2块促，對(duì)端在收到消息后荣堰，根據(jù)消息所來自的DLCI，生成

該DLCI與IP地址映射竭翠，同時(shí)回復(fù)ARP振坚，以便告知

對(duì)方本端已經(jīng)獲取到映射關(guān)系同時(shí)說明雙方是雙向連通

二層（源MAC地址、目的MAC地址斋扰、type）

三層（源IP地址渡八，目的IP地址、protocol）

四層（源端口传货、目的端口）

訪問控制列表：由條件+動(dòng)作構(gòu)成屎鳍，對(duì)數(shù)據(jù)進(jìn)行匹配過濾操作

動(dòng)作：permit和deny

規(guī)則執(zhí)行順序

1，按編號(hào)執(zhí)行：優(yōu)先級(jí)執(zhí)行編號(hào)小的问裕，如果條件匹配立即執(zhí)行動(dòng)作不在查看后續(xù)規(guī)則逮壁。如果沒有匹配則匹配下一跳規(guī)則。最后

沒有任何規(guī)則匹配該數(shù)據(jù)包華為默認(rèn)放行所有

2粮宛，深度優(yōu)先：優(yōu)先執(zhí)行條件詳細(xì)（精確）窥淆，非常用規(guī)則

無華為還是Cisco都不執(zhí)行該規(guī)則

基本ACL（匹配源IP地址）

高級(jí)ACL（源IP地址、目的IP地址巍杈、源端口忧饭、目的端口）

NAT：網(wǎng)絡(luò)地址翻譯（轉(zhuǎn)換）用于內(nèi)網(wǎng)和公網(wǎng)邊間

負(fù)責(zé)將內(nèi)網(wǎng)地址與公網(wǎng)地址轉(zhuǎn)化，實(shí)現(xiàn)網(wǎng)絡(luò)正常通信

靜態(tài)NAT：手動(dòng)配置一個(gè)內(nèi)網(wǎng)IP地址與公網(wǎng)IP地址綁定關(guān)系

缺點(diǎn)：沒有節(jié)省IP地址資源

優(yōu)點(diǎn)：外網(wǎng)可以直接根據(jù)NAT公網(wǎng)地址訪問內(nèi)部主機(jī)

注意：在配置靜態(tài)NAT時(shí)必須開啟接口靜態(tài)NAT功能

nat static enable

動(dòng)態(tài)NAT：自動(dòng)將一個(gè)內(nèi)網(wǎng)IP地址映射到一個(gè)公網(wǎng)IP地址

在主機(jī)數(shù)據(jù)通信時(shí)保留映射關(guān)系筷畦，在通信完成后主機(jī)

不在使用時(shí)則釋放該映射關(guān)系

PAT：使用一個(gè)公網(wǎng)地址+端口標(biāo)示內(nèi)部一臺(tái)主機(jī)

nat address-group 2 202.14.0.200 202.14.0.201 //定義

地址池

nat outbound 2001 address-group 2 //配置PAT

nat outbound 2001 address-group 2 no-pat 動(dòng)態(tài)NAT

AAA:認(rèn)證词裤、授權(quán)、審計(jì)

認(rèn)證：你是誰(shuí)

授權(quán)：你可以干什么

審計(jì)：你都干了什么