第6章廣域網技術6.1廣域網概述6.2電路交換廣域網6.3分組交換廣域網6.4點對點協議PPP6.5虛擬專用網VPN本章小結

6.1廣?域?網?概?述

網絡按范圍大小可分為局域網、城域網和廣域網。多個局域網互聯構成了廣域網。廣域網(WAN，WideAreaNetworks)提供遠距離通信，將地理位置相隔很遠的局域網互聯起來，其地理覆蓋范圍由數千米到數千千米，可以連接若干個城市、地區甚至國家。Internet就是最著名的廣域網，由全球成千上萬的局域網和城域網組成。廣域網的設備主要是交換機和路由器，設備之間采用點到點線路連接。

一、廣域網與局域網的比較

廣域網與局域網可以從地理覆蓋范圍、拓撲結構、協議層次等方面來比較。

1)地理覆蓋范圍

廣域網比局域網的覆蓋范圍大。

2)拓撲結構

廣域網一般是端到端的通路結構，但為了提高網絡的可靠性，也會采用點到多點的連接。而局域網通常采用多點接入、共享傳輸介質的方法，本質上是共享介質型的。

3)協議層次

廣域網需要考慮路由選擇的問題，因此，廣域網協議主要在物理層、數據鏈路層和網絡層。而局域網在不考慮互連的情況下，其協議主要在物理層和數據鏈路層。

4)傳輸速率和傳播時延

廣域網的數據傳輸速率通常比局域網低，信號的傳播延遲比局域網大。

二、廣域網的類型

根據傳輸網絡歸屬的不同，廣域網可以分為公共WAN和專用WAN兩大類。公共WAN一般由政府電信部門組建、管理和控制，網絡內的傳輸和交換裝置可以租用給任何部門和單位使用。專用WAN是由一個組織或團體自己建立、控制、維護并為其使用的私有網絡。專用WAN還可以通過租用公共WAN或其他專用WAN的線路來建立。專用WAN的建立和維護成本要比公共WAN大，但對于特別重視安全和數據傳輸控制的公司，擁有專用WAN是實現高水平服務的保障。

三、廣域網的連接設備

廣域網中的設備多種多樣。放置在用戶端的設備稱為客戶端設備(CPE，CustomerPremisesEquipment)，又稱為數據終端設備(DTE，DataTerminalEquipment)，它是WAN上進行通信的終端系統，如路由器、終端或PC。大多數DTE的數據傳輸能力有限，兩個相距較遠的DTE不能直接連接起來進行通信。所以，DTE首先使用銅纜或光纖連接到最近服務提供商的中心局(CO，CentralOffice)設備，再接入WAN。從DTE到CO的這段線路稱為本地環路(LocalLoop)。

給DTE和WAN網絡之間提供接口的設備稱為數據電路端接設備(DCE，DataCircuit-terminatingEquipment)，如WAN交換機或調制解調器。DCE將來自DTE的用戶數據轉變為WAN設備可接受的形式，提供網絡內的同步服務和交換服務。DTE和DCE之間的接口要遵循物理層協議，即物理層接口標準，如EIA/TIA-232、X.21、EIA/TIA-449、V.24、V.35和HSSI等。當通信線路是數字線路時，設備還需要一個信道服務單元(CSU，ChannelServiceUnit)和一個數據服務單元(DSU，DataServiceUnit)。這兩個單元往往合并為同一個設備，內建于路由器的接口卡中。而當通信線路是模擬線路時，則需要使用調制解調器。

6.2電路交換廣域網

電路交換是廣域網的一種交換方式，它在每一次會話過程中都需要建立、維持和終止一條專用的物理電路。電路交換的操作過程與普通電話的撥叫過程相似。公共電話交換網和綜合業務數字網(ISDN)均屬于典型的電路交換廣域網。

一、公共電話交換網

公共電話交換網(PSTN，PublicSwitchedTelephoneNetwork)是用于傳輸語言的網絡。通信雙方在建立連接后，獨占一條信道，即使通信雙方無信息傳輸，該信道也不能被其他用戶利用。

PSTN由三部分組成：本地環路、干線和交換機。本地環路也稱用戶環路，是指從用戶到最近的交換局或中心局這段線路，基本上采用模擬線路。而干線和交換機則采用數字傳輸和交換技術。因此，當兩臺計算機通過PSTN傳輸數據時，必須經調制解調器實現計算機的數字信號與本地環路的模擬信號間的相互轉換，如圖6.1所示。圖6.1使用PSTN進行數據傳輸

二、綜合業務數字網

綜合業務數字網(ISDN，IntegratedServicesDigitalNetwork)以綜合數字電話網為基礎，是20世紀80年代ITU為了在數字線路上傳輸數據而開發的，用以提供語音、數據、圖形和視頻數字服務。

需要ISDN服務的用戶可以從本地電話公司獲取一條俗稱“一線通”的數字ISDN線路，連接多個設備，例如傳真、計算機和數字電話。

1.ISDN的基本概念

PSTN使用的是本地環路傳輸模擬信號，而ISDN使用的是數字技術，需要以高速數字設備替代傳統的模擬電話設備。因此，用戶是否可以使用ISDN，取決于當地電話公司是否提供該項服務、所在城市的電信設備是否支持ISDN。

SDN擁有以下優點：能夠在一個網絡上同時提供語音、數據和視頻服務；具有和OSI參考模型相容的分層協議結構；以64kb/s、384kb/s、1536kb/s倍數的方式提供通信信道；具有交換和非交換連接服務；寬帶ISDN的傳輸速率可以達到155Mb/s或更高。

ISDN的通信層次對應著OSI參考模型的物理層、數據鏈路層、網絡層和傳輸層，如圖6.2所示。圖6.2ISDN的通信層和OSI參考模型的對應關系

2.ISDN的類型

ISDN有兩種類型：窄帶ISDN和寬帶ISDN。

1)窄帶ISDN(N-ISDN)

N-ISDN是基于綜合數字電話網絡(IDN)發展起來的。其目標是提供經濟、有效、端到端的數字連接，以支持語音和數據服務。

2)寬帶ISDN(B-ISDN)

B-ISDN是基于ATM交換技術，支持數據、語音和視頻等綜合服務的寬帶傳輸網絡，是N-ISDN的進一步擴展。

3)ISDN設備的接口速率

ISDN使用兩類信道：B信道和D信道。B信道也稱為承載信道(BearerChannel)，以幀的形式傳輸語音、數據和傳真信息，使用HDLC和PPP協議。D信道也稱為數據信道(DataChannel)，用于運載控制信息(如呼叫的建立和拆除)，使用基于HDLC的LAPD協議。

ISDN設備有兩種速率的接口：基本速率接口(BRI)和基群速率接口(PRI)。

4)ISDN的連接設備

ISDN可以使用雙絞線或者光纖連接，首選光纖，因為光纖可以提供最好的高速連接，特別適合PRI和B-ISDN。

6.3分組交換廣域網

與電路交換相比，分組交換是針對計算機網絡設計的交換技術，可以最大限度地利用帶寬。

一、X.25網絡

X.25是最古老的廣域網協議之一，20世紀70年代由國際電報電話咨詢委員會(CCITT，ConsultativeCommitteeonInternationalTelegraphandTelephone)提出，于1976年3月正式成為國際標準，1980年和1984年又進行了補充修訂。習慣上，將采用X.25協議的公用分組交換網叫作X.25網絡。

1.X.25的網絡層次結構

雖然X.25協議出現在OSI參考模型之前，但是ITU-T規范定義了DTE和DCE之間的分層通信，與OSI參考模型下三層對應，分別為物理層、數據鏈路層和網絡層，如圖6.3所示。圖6.3X.25的網絡層次結構

X.25數據鏈路層包含了以下四種協議。

(1)均衡式鏈路訪問過程協議(LAPB，LinkAccessProcedure-Balanced)：源自HDLC，具有HDLC的所有特征，用來建立或斷開虛擬連接，形成邏輯鏈路連接。

(2)鏈路訪問協議(LAP，LinkAccessProtocol)：是LAPB協議的前身，現已較少使用。

(3)ISDND信道鏈路訪問協議(LAPD，LinkAccessProtocolChannelD)：源自LAPB，用于ISDN網絡，在D信道上完成DTE之間(特別是DTE和ISDN節點之間)的數據傳輸。

(4)邏輯鏈路控制(LLC，LogicalLinkControl)：一種IEEE802局域網協議，使得X.25數據包能在LAN信道上傳輸。

2.X.25的傳輸模式

X.25網絡是面向連接的，確保每個包都可以到達目的地。X.25網絡通過下列三種模式傳輸數據。

1)交換型虛擬電路(SVC，SwitchedVirtualCircuit)

2)永久型虛擬電路(PVC，PermanentvirtualCircuit)

3)數據報

3.X.25網絡的連接特性

X.25網絡使用下列設備。

(1)DTE：可以是終端，也可以是從PC或大型機等各種類型的主機。

(2)DCE：可以是X.25適配器、訪問服務器或交換機等網絡設備，用來將DTE連接到X.25網絡。

(3)包拆裝器(PAD，PacketAssembler/Disassembler)：將數據打包為X.25格式，并添加X.25地址信息的設備，能提供差錯檢驗功能。

(4)包交換機(PSE，Packet-SwitchingExchange)：X.25網絡中位于運營商站點的一種交換機。客戶的DCE通過高速電信線路(如T-1或E-1線路)連接在PSE上。

二、幀中繼網絡

幀中繼(FR，FrameRelay)是由X.25分組交換技術演變而來的，它舍棄掉了網絡層，只保留數據鏈路層的核心子集部分，被稱為第二代X.25。幀中繼建立在數據傳輸速率高、誤碼率低的光纖通信基礎上。

1.幀中繼的網絡層次結構

幀中繼的網絡層次結構與X.25不同，只有物理層和數據鏈路層。

幀中繼的物理層接口和X.25接口類似，可以使用X.21、V.35等接口協議。

數據鏈路層的數據鏈路層幀方式接入協議(LAPF，LinkAccessProcedureforFrameModeservices)是幀中繼的核心協議，比HDLC和X.25的LAPB協議更簡單，省去了控制字段，如圖6.4所示。圖6.4幀中繼的幀格式

2.幀中繼的傳輸模式

幀中繼和X.25都采用虛電路復用技術，以便充分利用帶寬資源，降低通信費用。但與X.25在第三層進行復用和數據交換不同，幀中繼在第二層進行處理。而與X.25相同的是，幀中繼在虛連接上使用包交換技術，同樣有交換型(SVC)和永久型(PVC)兩種虛連接。使用SVC連接，網絡運營商可以根據需求和網絡流量狀況調整網絡帶寬的分配。

3.幀中繼的連接特性

幀中繼是面向無連接的，常與基于TCP/IP或基于IPX的網絡共同使用。而TCP/IP和IPX協議可以處理端到端的差錯檢驗。所以，幀中繼只提供最簡單的通信處理功能，如幀開始和幀結束的確定以及幀傳輸差錯檢查，而不進行錯誤糾正。這樣，幀中繼交換機處理數據幀的時間比X.25交換機減少一個數量級，端到端的傳輸時延也低于X.25網絡設備，而吞吐率要比X.25網絡設備提高一個數量級以上。最初的幀中繼網絡的傳輸速率為56kb/s和2Mb/s，而幀中繼的傳輸速度可高達45Mb/s。幀中繼還提供一套完備的帶寬管理和擁塞控制機制，比X.25更具優勢。

4.幀中繼網絡的工作過程

局域網通過集線器將MAC幀傳送到路由器，路由器作為幀中繼網絡的DTE設備，剝去MAC幀的幀頭，將得到的IP數據報交給路由器的網絡層轉發給幀中繼接口卡。接口卡給IP數據報添加上幀中繼的幀頭，進行CRC檢驗后，再加上尾部完成幀中繼幀的封裝。接著接口卡將封裝好的幀發送給幀中繼交換機，幀中繼交換機按地址字段中的虛電路號轉發幀。

當幀中繼幀被轉發到虛電路的終點路由器時，路由器剝去幀中繼幀的幀頭和尾部，加上局域網的幀頭和尾部，交付給連接在此局域網上的目標主機。目標主機若發現幀有錯，則交由上層的TCP協議處理。即使TCP協議重傳了錯誤數據，也會被當作是新的幀中繼幀來傳輸。

6.4點對點協議PPP

一、PPP協議的組成PPP協議有三個組成部分。(1)一個將IP數據報封裝到串行鏈路的方法。(2)一個用來建立、配置和測試數據鏈路連接的鏈路控制協議(LCP，LinkContolProtocol)。(3)一套網絡控制協議(NCP，NetworkControlProtocol)。

二、PPP協議的幀格式

1.各字段的意義

PPP的幀格式如圖6.5所示。PPP幀首部和尾部分別為四個字段和兩個字段。圖6.5PPP幀的格式

2.字節填充

當信息字段中出現和標志字段一樣的比特(0X7E)組合時，就必須采取一些措施使這種形式上和標志字段一樣的比特組合不出現在信息字段中。

當PPP使用異步傳輸時，它把轉義符定義為0X7D(即01111101)，并使用字節填充，RFC1662規定了如下所述的填充方法。

(1)把信息字段中出現的每一個0X7E字節轉變成為2字節序列(0X7D，0X5E)。

(2)若信息字段中出現一個0X7D字節(即出現了和轉義字符一樣的比特組合)，則把0X7D轉變成為2字節序列(0X7D，0XSD)。

(3)若信息字段中出現ASCII碼的控制字符(即數值小于0X20的字符)，則在該字符前面要加入一個0X7D字節，同時將該字符的編碼加以改變。

3.零比特填充

PPP協議用在SONET/SOH鏈路時，使用同步傳輸(一連串的比特連續傳送)而不是異步傳物(逐個字符地傳送)，這種情況下，PPP協議采用零比特填充的方法來實現透明傳輸。

零比特填充的具體做法是：在發送端，先掃描整個信息字段(通常用硬件實現，但也可以用軟件實現，只是會慢些)，只要發現有5個連續的1，則立即填入一個0。因此經過這種零比特填充后的數據，就可以保證在信息字段中不會出現6個連續的1。接收端在收到一個幀時，先找到標志字段F以確定一個幀的邊界，接著再用硬件對其中的比特流進行掃描。每當發現5個連續的1時，就把這5個連續的1后的一個0刪除，以還原成原來的信息比特流(如圖6.6)。圖6.6零比特的填充與刪除

三、PPP協議的工作狀態

過程可用圖6.7來描述。圖6.7PPP協議的狀態圖

PPP鏈路的起始和終止狀態永遠是圖6.7中的“鏈路靜止”(LinkDead)狀態，這時在用戶個人電腦和ISP的路由器之間并不存在物理層的連接。

這時LCP開始協商配置選項，即發送LCP的配置請求幀(Configure-Request)，這是個PPP幀，其協議字段置為LCP對應的代碼，而信息字段包含特定的配置請求。鏈路的另一端可以發送以下幾種響應中的一種。

(1)配置確認幀(Configure-Ack)：所有選項都接受。

(2)配置否認幀(Configure-Nak)：所有選項都理解但不能接受。

(3)配置拒絕幀(Configure-Reject)：選項有的無法識別或不能接受，需要協商。

圖6.7右邊的灰色方框給出了對PPP協議的幾個狀態的說明。從設備之間無鏈路開始，到先建立物理鏈路，再建立鏈路控制協議LCP鏈路，經過鑒別后再建立網絡控制協議NCP鏈路，然后才能交換數據。由此可見，PPP協議已不是純粹的數據鏈路層的協議，它還包含了物理層和網絡層的內容。

四、PPP協議配置實例

【網絡拓撲】

如圖6.8所示。圖6.8PPP協議配置拓撲圖

【實驗環境】

(1)將兩臺RG-R2632路由器R1和R2的串口S1/2相連；

(2)用V35串口線把路由器相連，其中路由器R1為DCE，路由器R2為DTE；

【實驗目的】

(1)熟悉PPP協議的啟用方法。

(2)掌握指定PPP協議的封裝方法。

(3)掌握PPP協議兩種認證模式的配置。

(4)熟悉PPP協議信息的查看與調試。

【實驗配置】

PPP協議有兩種認證方式：PAP和CHAP。

PAP采用兩次握手方式，其認證密碼在鏈路上是明文傳輸的，一旦連接建立后，客戶端路由器需要不停地在鏈路上發送用戶名和密碼進行認證，因此受到遠程服務器端路由器對其進行登錄嘗試的頻率和定時的限制。

PAP驗證的特點：

●兩次握手協議。

●明文方式進行驗證。

首先，服務器端給出用戶名和密碼(usernameSSPUpasswordrapass)，并指出采用PPP封裝和PAP認證。

接著客戶端向服務器端提供用戶名和密碼(ppppapsentusernameSSPUpasswordrapass)(第1次握手)。

最后，由服務器端進行驗證(用戶名和密碼)，并通告成功或失敗(第2次握手)。

CHAP驗證特點：

●CHAP為三次握手協議。

●只在網絡上傳輸用戶名，并不傳輸口令。

●安全性要比PAP高，但認證報文耗費帶寬。

首先由服務器端給出對方(客戶端)的用戶名和挑戰密文(第1次握手R1(config)#usernameR2passwordsamepass)，客戶端同樣給出對方(服務器端)的用戶名和加密密文(第2次握手R2(config)#usernameR1passwordsamepass)，服務器端進行驗證，并向客戶端通告驗證成功或失敗(第3次握手)。

6.5虛擬專用網VPN

由于IP地址的緊缺，一個機構能夠申請到的IP地址數往往遠小于本機構所擁有的主機數。考慮到互聯網并不很安全，一個機構內也并不需要把所有的主機接入到外部的互聯網，因此可以只給部分主機分配IP地址。

了解決這一問題，RFC1918指明了一些專用地址(privateaddress)。這些地址只能用于一個機構的內部通信，而不能用于和互聯網上的主機通信。換言之，專用地址只能用作本地地址而不能用作全球地址。在互聯網中的所有路由器，對目的地址是專用地址的數據報一律不進行轉發。2013年4月，RFC6890全面地給出了所有特殊用途的IPv4地址，但三個專用地址塊的指派并無變化，即

(1)10.0.0.0到10.255.255.255(或記為10.0.0.0/8，它又稱為24位塊)；

(2)172.16.0.0到172.31.255.255(或記為172.16.0.012，它又稱為20位塊)；

(3)192.168.0.0到192.168.255.255(或記為192.168.0.016，它又稱為16位塊)。

有時一個很大的機構的許多部門分布的范圍很廣(例如分布在世界各地)，這些部門經常互相交換信息。有兩種方法能夠滿足其需求。

(1)租用電信公司的通信線路為本機構專用。這種方法雖然簡單方便，但線路的租金太高，一般難于承受。

(2)利用公用的互聯網作為本機構各專用網之間的通信載體，這樣的專用網又稱為虛擬專用網(VPN，VirtualPrivateNetwork)。

之所以稱為“專用網”，是因為這種網絡是被本機