修訂記錄課程編碼適用產品產品版本課程版本ISSUEHC1103華為防火墻V300R001V1.0開發/優化者時間審核人開發類型（新開發/優化）陳靈光2011.7余雷第一版本頁不打印第五章防火墻網絡互聯技術

目標學完本課程后，您將能夠:掌握VLAN的基本技術掌握SA與E1廣域接口技術掌握ADSL的基本技術掌握WLAN與3G無線技術目錄VLAN特性技術SA與E1特性技術ADSL特性技術WLAN特性技術3G特性技術廣播域……VLAN產生背景－廣播風暴廣播廣播域廣播域通過VLAN劃分廣播域……廣播Port1:VLAN-1Port2:VLAN-2VLAN幀格式DASATYPEDATACRCDASATAGTYPEDATACRC標準以太網幀帶有IEEE802.1Q標記以太網幀0x8100PRICFIVLANIDTPIDTCI以太網交換機端口分類Access端口一般用于接用戶計算機的端口，access端口只能屬于1個VLAN。Trunk端口一般用于交換機之間連接的端口，trunk端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文。Hybrid端口可以用于交換機之間連接，也可以用于接用戶的計算機，hybrid端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文。缺省ID（PVID)作用是什么？Access-Link配置默認情況下，交換機所有端口都是Access-Link端口，并屬于VLAN-1，即PVID(PortVLANID)為1Port-0/1:VLAN3Port-0/2:VLAN3

配置端口類型：

port

link-type

access創建VLAN：

vlan3

向VLAN中添加端口：

port

ethernet0/1

或向端口中添加VLAN：

port

accessvlan3Trunk-Link配置負責傳輸多個VLAN的數據Trunk-Link端口PVID默認為1配置端口類型：portlink-typetrunk配置Trunk-Link所允許傳遞VLAN：porttrunkpermitvlanall配置Trunk-Link端口PVID：

porttrunkpvid1Port-0/3Port-0/3Hybrid-Link配置負責傳輸多個VLAN的數據，并確定是否剝離TagHybrid-Link端口PVID默認為1配置端口類型：portlink-typehybrid配置hybrid端口允許通過的VLAN信息及PVID：porthybridpvid1vlan10to20taggedPort-0/3Port-0/3VLAN間路由不同VLAN之間的流量不能直接跨越VLAN的邊界，需要通過三層設備，將報文從一個VLAN轉發到另外一個VLAN。VLAN100VLAN200VLAN300目錄VLAN特性技術SA與E1特性技術ADSL特性技術WLAN特性技術3G特性技術SA串口概述串口是最常用的廣域網接口之一，分為同步串口和異步串口；SA接口為同步串口，支持V2.4、V3.5、X.21、RS449、RS530式線纜，其波特率有多種選擇，以適應不同的對端設備，最大帶寬為2.048Mb/s；SA可以工作在DTE和DCE兩種方式；SA作為上行接口，鏈路上可以承載多種類型的業務，如HTTP、FTP等；SA支持的鏈路層協議類型包括PPP、HDLC；SA支持IP網絡層協議；SA串口-配置舉例-命令行方式SA接口承載PPP協議配置USG2200A#配置serial1/0/0接口，封裝協議采用PPP，其他采用默認值<USG2200A>system-view[USG2200A]interfaceserial1/0/0[USG2200A-serial1/0/0]ipaddress1[USG2200A-serial1/0/0]link-protocolppp[USG2200A-serial1/0/0]shutdown[USG2200A-serial1/0/0]undoshutdown注意：配置完畢后，要將serial1/0/0接口加入安全域中，并打開域間默認包過濾規則。Serial1/0/0Serial1/0/00/241/24USG2200BUSG2200ASA串口-配置舉例(Web)什么是E1E1/T1接口是廣泛應用的低速WAN物理接口，處于PDH速率體系的底層，通過不同的應用模式為用戶提供靈活的低速接入方式。E1/T1接口為地區性標準，E1為ITU-T定義，用于歐洲、中國；T1為ANSI定義，用于北美、日本（也叫J1）。E1/T1接口的本質是時分復用（TDM）。E1/T1接口具有多種應用模式：非通道化（僅E1支持）/通道化/部分通道化/PRI。E1/T1接口的物理特性包括：時鐘、編碼、幀格式、幀同步、空閑碼、幀間填充、環回。E1的時分復用機制在E1系統中幀同步信號的頻率是8KHz，即每秒中有8000個重復的幀，采樣段時長為1s/8000=125us，125us均分為32份（叫時隙，timeslot），每個時隙有8個bit，因此，E1速率為：8000×32×8＝2,048,000bps，下圖為E1基本PCM幀結構E1的一些概念標準時分復用E1是歐洲標準，除美國、加拿大、日本之外使用。速率為：2.048M對應美國、加拿大、日本的T1標準。使用PCM脈沖編碼調制。E1采取時分復用（取樣周期125微秒）劃分為32相等的時隙，時隙的編號為0~31。每個時隙傳送8bit，共用256bit。每秒傳送8000個幀，PCM一次群E1的數據率就是2.048Mbit/s。TSTS：Timeslot時隙，在E1信道中每8bit組成一個TS，32個TS組成1個Frame（幀），16個F組成一個MF（復幀）TS0TS0，用于傳送幀定位信號(FAS)、CRC4（循環冗余校驗碼）、對端告警指示。TS16TS16，用于傳送隨路信令(CAS)、復幀定位信號、復幀對端告警指示。E1的應用模式**非成幀也叫ClearChannel凈通道**成復幀使用TS16作為信令通道，主要用于語音類傳輸，如ISDNPRI非成幀(Unframed)成幀(Framed）通道化(Channelled)非通道化(Unchannelled)分類成復幀PCM30PCM31E1應用相關的部件E1模塊(1E1/2E1/4E1/1cE1/2cE1/4cE1)轉接電纜（配合多路E1模塊使用的1托n轉接線）阻抗轉換（75歐轉120歐，75歐轉100歐）E1電纜（DB15轉BNC，DB15轉RJ45等）協議轉換器（E1轉以太網，E1轉V.35）E1接口類型（DB15，RJ45，SMB，BNC）E1典型組網--點對點互聯運營商SDH/PDHE1E1運營商SDH/PDHE1協議轉換器串口運營商SDH/PDH協議轉換器串口串口協議轉換器123E1典型組網--點對多點互聯1運營商SDH/PDHE12M協議轉換器串口總部E1分支1分支2運營商SDH/PDHcPOS155M協議轉換器串口總部E1分支1分支222M2M512K128K配置方法

配置時鐘

配置線路編碼(AMI/HDB3)配置幀格式(校驗CRC)配置信道的時隙捆綁

配置時鐘

配置線路編碼(AMI/HDB3)配置鏈路層參數，PPP/HDLC物理接口參數邏輯接口參數配置網絡層參數，IP地址，路由協議等E1/cE1配置舉例-命令行方式物理接口配置controllere9/0/0

clockmastercodehdb3frame-formatno-crc4usingce1channel-set0timeslot-list1-4channel-set1timeslot-list5-8#邏輯接口配置interfaceSerial9/0/0:0

link-protocolpppipaddress52#interfaceSerial9/0/0:1

link-protocolpppipaddress52#E1/cE1配置舉例(Web)目錄VLAN特性技術SA與E1特性技術ADSL特性技術WLAN特性技術3G特性技術xDSL概述AsymmetricDigitalSubscriber'sLine

非對稱數字用戶線路,其特點是從服務提供商到用戶端（下行）與從用戶端到服務提供商（上行）具有不同的數據速率。在一對電話線上同時承載語音業務和數據業務，利用現有的PSTN網絡設施，采用特殊的調制技術，在保證不影響正常電話使用的前提下，利用原有的電話雙絞線進行高速數據傳輸。實現用戶接入網絡運行數據業務的需求。目前主要的xDSL接入技術有三個系列：ADSL/ADSL2/ADSL2+；VDSL/VDSL2；G.SHDSL(SHDSL系列)ADSL概述ADSL2+技術是利用現有的雙絞線資源，為用戶提供上、下行非對稱傳輸速率的一種技術；G.SHDSL/.bis則可以在普通雙絞線上為用戶提供對稱的高速專線接入業務，主要適用于中小企業互聯、移動基站中繼、ISDN基群接入；VDSL2寬帶接入技術，適用于酒店、網吧用戶高速上網、視頻會議等，實現專線互連和專線接入。ADSL2+模型雙絞線ATU-R分離器分離器PSTNInternet1、配置撥號接口。<USG>system-view[USG]dialer-rule1ippermit#創建Dialer接口，并進入Dialer視圖。[USG]interfaceDialer1#指定要撥號的遠端用戶名。[USG-Dialer1]dialeruserUSG#指定撥號口使用的dialerbundle。[USG-Dialer1]dialerbundle1#配置Dialer1接口所屬的撥號訪問組。[USG-Dialer1]dialer-group1#配置鏈路層協議為PPP。[USG-Dialer1]link-protocolppp#使用協商方式獲取IP地址。[USG-Dialer1]ipaddressppp-negotiate#使用協商方式獲取DNS地址。[USG-Dialer1]pppipcpdnsadmit-any#使用PAP認證方式，用戶名和密碼均Abcdefgh~。[USG-Dialer1]ppppaplocal-userAbcdefgh~passwordsimpleAbcdefgh~#退回系統視圖。[USG-Dialer1]quitADSL配置舉例1(命令行)ADSL配置舉例2(命令行)2、創建接口Virtual-Ethernet1。[USG]interfaceVirtual-Ethernet1

[USG-Virtual-Ethernet1]quit

3、配置接口Atm2/0/0的PVC值，并配置PVC的封裝類型為LLC。[USG]interfaceAtm2/0/0[USG-Atm2/0/0]PVC8/35[USG-Atm2/0/0-8/35]mapbridgevirtual-ethernet1[USG-Atm2/0/0-8/35]encapsulationllc4、配置PPPoE會話。[USG]interfaceVirtual-Ethernet1[USG-Virtual-Ethernet1]pppoe-clientdial-bundle-number1

ADSL配置舉例3(命令行)5、將Vlanif接口和Dialer接口分別加入安全區域。[USG]interfaceVlanif1[USG-Vlanif1]ipaddress24

[USG-Vlanif1]quit[USG]firewallzonetrust

[USG-zone-trust]addinterfaceVlanif1

6、將Dialer1接口加入Untrust域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceDialer7、對于USG系列，配置域間包過濾，以保證網絡基本通信正常。對于USGBSR/HSR系列，不需要執行此步驟。[USG]policyinterzonetrustuntrustinbound

[USG-policy-interzone-trust-untrust-inbound]policy0

[USG-policy-interzone-trust-untrust-inbound-0]actionpermit

ADSL配置舉例4(命令行)8、配置NAT和缺省路由。[USG]nat-policyinterzonetrustuntrustoutbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource55

[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer1

9、配置缺省路由。[USG]iproute-staticDialer1

ADSL配置舉例(Web)目錄VLAN特性技術SA與E1特性技術ADSL特性技術WLAN特性技術3G特性技術WLAN概述WLAN（WirelessLocalAreaNetwork，無線局域網)技術是當今通信領域的熱點之一，其主要原因是WLAN系統便于搭建和使用，部署時不需要考慮復雜的布線和變遷。然而，WLAN系統不是完全的無線系統，它的服務器和骨干網仍然安置在固定網絡，只是用戶可以移動。使用WLAN解決方案，網絡運營商和企業能夠為用戶提供無線局域網服務，服務內容包括：應用具有無線局域網功能的設備建立無線網絡，帶有無線網卡的用戶可以連接到無線網絡，并能夠接入固定網絡或因特網。無線用戶可以訪問傳統802.3局域網。使用不同認證和加密方式，安全地訪問WLAN。為無線用戶提供安全的網絡接入和移動區域內的無縫漫游WLAN,WIFI,802.11是一個概念WLAN安全概述802.11協議提供的無線安全性能可以很好地抵御一般性網絡攻擊，但是仍有少數黑客能夠入侵無線網絡，從而無法充分保護包含敏感數據的網絡。為了更好的防止未授權用戶接入網絡，需要實施一種性能高于802.11的高級安全機制。USG2000系統通過合入WLAN安全特性，來增強系統的安全性和健壯性。該特性通過檢查WLAN-MAC的方式提供802.11客戶端的安全接入WLAN基本概念無線客戶端（STA）在一個網絡中，所有的連接到無線介質的設備都可以稱之為無線客戶端。每一個無線客戶端都裝有支持802.11的無線網卡。無線客戶端可以分為兩大類：AP和客戶端。AP（AccessPoint，接入點）AP提供無線用戶到局域網的橋接功能，在用戶同局域網間進行無線到有線和有線到無線的幀轉換。我們的USG2100/2200就是個AP接入點?？蛻舳丝梢允潜銛y式筆記本電腦、個人數字助理、IP電話、臺式機或者裝有無線網卡的工作站等其他固定設備。無線路由器能提供無線接入功能的路由器，如一臺提供三層接口并可作為FatAP的路由器。所有的無線客戶端可以通過無線路由器連接到有線網絡、固定網絡或者互聯網。在本文檔中，FatAP和無線路由器的概念是可以互換的。USG2100/USG2200WLAN基本概念開放系統認證（Opensystemauthentication）開放系統認證是缺省使用的認證機制，也是最簡單的認證算法，即不認證。如果認證類型設置為開放系統認證，則所有請求認證的客戶端都會通過認證。共享密鑰認證（Sharedkeyauthentication）共享密鑰認證是除開放系統認證以外的另外一種認證機制，主要用于pre-RSN設備。這種認證機制只有在使用WEP加密時才可用。用來兼容老的設備WEP加密WEP（WiredEquivalentPrivacy，有線等效加密）用來保護無線局域網中的授權用戶所交換的數據的機密性，防止這些數據被隨機竊聽。TKIP加密TKIP是一種加密方法，用于增強pre-RSN硬件上的WEP協議的加密的安全性，其加密的安全性遠遠高于WEP。AES加密AES（AdvancedEncryptionStandard，高級加密標準）加密機制僅用于RSNA客戶端。CCM結合CTR（Countermode，計數器模式）進行機密性校驗，級別最高。WPAWi-Fi保護訪問（Wi-FiProtectedAccess，WPA）是一種使無線電腦網絡更安全的系統。WPA實現了IEEE802.11i的主要標準。WPA改進了WEP的認證和加密特性。WLAN網絡拓撲結構WLAN配置舉例1(命令行)組網需求AP通過Ethernet0/0/0接口（已經加入非信任區域）連接Router。Ethernet0/0/0有固定IP地址：/24；Router上Ethernet1/0/0的IP地址為/24。Station的IP地址分別為/24和/24。Station使用無線網卡連接到AP（SRG），SSID為WLAN100。使用WPA2-PSK認證模式，CCMP加密套件，預共享（PSK）密鑰為abcdefgh。要求通過配置WLAN，實現Station的無線上網

WLAN配置舉例2(命令行)配置步驟創建Vlanif2接口。[SRG]interfaceVlanif2[SRG-Vlanif2]ipaddress24配置WLAN-BSS接口[SRG]interfacewlan-bss2[SRG-Wlan-Bss2]portaccessvlan2配置服務類[SRG]wlanservice-class2

crypto[SRG-wlan-sc-2]ssidWLAN100[SRG-wlan-sc-2]authentication-methodwpa2-psk[SRG-wlan-sc-2]encryption-suiteccmp[SRG-wlan-sc-2]pre-shared-keypass-phraseabcdefgh[SRG-wlan-sc-2]service-classenable配置射頻接口[SRG]interfacewlan-rf4/0/0[SRG-Wlan-rf4/0/0]radio-typedot11gn[SRG-Wlan-rf4/0/0]bindservice-class2interfacewlan-bss2配置客戶端無線網卡配置無線網卡IP地址：0/24。無線網卡上的SSID、加密方式、預共享（PSK）密鑰應與SRG設備上保持一致。WLAN配置舉例3(命令行)WLAN配置舉例(Web)目錄VLAN特性技術SA與E1特性技術ADSL特性技術WLAN特性技術3G特性技術3G概述什么是3G3G的標準WCDMATD-SCDMACDMA2003G的應用3G是ThirdGeneration的縮寫，全稱第三代移動通信系統，最早由國際電信聯盟ITU于1985年提出，當時稱為FPLMTS（FuturePublicLandMobileTelecommunicationSystem），1996年更名為IMT-2000（InternationalMobileTelecommunications-2000），意即該系統工作在2000MHz頻段，最高業務速率可達2000kbit/s，在2000年以后得到商用。3G標準：它們分別是WCDMA（歐洲版）、CDMA2000（美國版）和TD-SCDMA（中國版）。國際電信聯盟（ITU）在2000年5月確定WCDMA、CDMA2000、TD-SCDMA以及WiMAX四大主流無線接口標準，寫入3G技術指導性文件《2000年國際移動通訊計劃》（簡稱IMT—2000）。CDMA是CodeDivisionMultipleAccess(碼分多址)的縮寫，是第三代移動通信系統的技術基礎。3G實現方式具體支持那些無線接口標準取決于所使用的數據卡，目前USG系列支持Express接口形式、USB接口形式和MIC卡接口形式的3類數據卡。Express接口的3G數據庫USB接口的3G數據庫MIC接口的3G數據庫3G數據卡的安裝通過3G數據卡，局域網用戶可以上行接入廣域網。設備同一時間只支持一塊3G數據卡工作，禁止在設備上安裝多塊3G數據卡。當需要更換3G數據卡時，請先將第一塊數據卡拔出，再安裝新的數據卡。數據卡中已安裝相應的SIM（SubscriberIdentityModule）/USIM（UMTSSubscriberIdentityModule）卡，并檢查SIM卡的插入方向是否正確。(SIM卡由移動運營商提供)將3G數據卡插入到USG2100的相應接口當中3G實現原理 3G實現主要通過以下幾個模塊完成:撥號控制管理（DCC） 確定以何種方式觸發撥號。MODEM模擬 模擬MODEM，發送相應的撥號串數據卡管理 管理并獲取當前數據卡，包括APN配置，狀態信息獲取等鏈路控制把收到的數據轉化成需要的格式，從而實現轉發及各種其他功能3G應用配置舉例－命令行方式USG2200使用Ethernet1/0/0接口連接企業內部網絡，使用USB3G5/0/0接口接入Internet。要求：企業內網所在網段為/24。使用Dialer0接口進行按需撥號。Express-3G接口的IP地址由無線網絡協商分配。通過Dialer接口按需撥號組網圖/24Ethernet1/0/09Dialer0USG21003G典型配置(命令行)電信CDMA2000(E169C)聯通WCDMA(E180)移動TD-SCDMA(ET128)firewallpacket-filterdefaultpermitalldialer-rule1ippermit#interfaceDialer0link-protocolppp//CDMA2000需配置PPP認證信息；pppchapusercardpppchappasswordsimplecardpppipcpdnsadmit-anyipaddressppp-negotiatedialerenable-circulardialer-group1

//此序號應與相應dialer-rule的序號一致dialertimeridle60dialertimerautodial10dialernumber#777autodial//CDMA2000的撥號串是#777#interfaceCellular5/0/0

//CDMA2000無APN參數配置；

link-protocolpppdialercircular-group0//此序號應與相應dialer接口的序號一致#iproute-staticDialer0firewallpacket-filterdefaultpermitalldialer-rule1