HCNA進階筆記

1、HCNA進階筆記鏈路聚合鏈路聚合一般部署在核心節(jié)點，以便提升整個網(wǎng)絡的數(shù)據(jù)吞吐量。鏈路聚合：是把兩臺設備之間的多條物理鏈路聚合到一起，當做一條邏輯鏈路來使用。這兩臺設備可以是一對路由器，一對交換機，或者一臺路由器和一臺交換機。一條聚合鏈路可以包含多條成員鏈路，在ARG3系列路由器和X7系列交換機上默認最多為8條。聚合鏈路能夠提高鏈路帶寬。理論上，通過聚合幾條鏈路，一個聚合口的帶寬可以擴展為所有成員口帶寬的綜合，這樣有效地增加了邏輯鏈路的帶寬。鏈路聚合為網(wǎng)絡提高了可靠性。配置了鏈路聚合后，如果一個成員接口發(fā)生了故障，改成員口的物理鏈路會把流量切換到另一條成員鏈路上。鏈路聚合還可以在一個聚合口上實

2、現(xiàn)負載均衡，一個聚合口可以把流量分散到多個不同的成員口上，通過成員鏈路把流量發(fā)送到同一個目的地，將網(wǎng)絡產生擁塞可能性降到最低。鏈路聚合包含兩種模式：手動負載均衡模式和靜態(tài)LACP（Link Aggregation Control Protocol）手工負載分擔模式：Eth-Trunk的建立、成員接口的加入由手工配置，沒有鏈路聚合控制協(xié)議的參與。該模式下所有活動鏈路都參與數(shù)據(jù)的轉發(fā)，平均分擔流量，因此稱為負載分擔模式。如果某條活動鏈路故障，鏈路聚合組自動在剩余的活動鏈路中平均分擔流量。當需要在兩個直連設備之間提供一個較大的鏈路帶寬而設備不支持LACP協(xié)議時，可以使用手工負載分擔模式。ARG3系列

3、路由器和X7系列交換機可以基于目的MAC，源MAC，或者基于源MAC地址和目的MAC地址，源IP地址，目的IP地址，或者源IP地址和目的IP地址進行負載分擔。靜態(tài)LACP模式中，鏈路兩端設備相互發(fā)送LACP報文，協(xié)商聚合參數(shù)。協(xié)商完成后，兩臺設備確定活動接口和非活動接口。在靜態(tài)LACP模式中，需要手動創(chuàng)建一個Eth-Trunk口，并添加成員口。LACP協(xié)商選舉活動接口和非活動接口。驚天LACP模式也叫M:N模式。M代表活動成員鏈路，用于在負載均衡模式中轉發(fā)數(shù)據(jù)。N代表非活動鏈路，用于冗余備份。如果一條活動鏈路發(fā)生故障，該鏈路傳輸?shù)臄?shù)據(jù)被切換到一條優(yōu)先級最高的備份鏈路上，這條備份鏈路轉變?yōu)榛顒訝?/p>

4、態(tài)。兩種鏈路聚合模式的主要區(qū)別是：在靜態(tài)LACP模式中，一些鏈路充當備份鏈路。在手動負載均衡模式中，所有的成員口都處于轉發(fā)狀態(tài)。在一個聚合口中，聚合鏈路兩端的物理口（即成員口）的所有參數(shù)必須一致，包括物理口的數(shù)量，傳輸速率，雙攻模式，流量控制模式。成員口可以使二層口或者三層口。數(shù)據(jù)流在聚合鏈路上傳輸，數(shù)據(jù)順序必須保持不變。一個數(shù)據(jù)流可以看做是一組MAC地址和IP地址相同的幀。為了避免同流的幀出現(xiàn)數(shù)據(jù)包亂序的情況，Eth-Trunk采用主流負載分擔機制，這種機制把數(shù)據(jù)幀中的地址通過HASH算法生成HASH-KEY值，然后根據(jù)這個數(shù)值在Eth-Trunk轉發(fā)表中尋找對應的出接口，不同的MAC或者I

5、P地址HASH得出的HASH-KEY值不同，從而出接口也就不同，這樣既保證了同一數(shù)據(jù)流的幀在同一條物理鏈路轉發(fā)，又實現(xiàn)了流量在聚合組內各物理鏈路上的負載分擔，既逐流的負載分擔。逐流負載分擔能保證包的順序，但不能保證帶寬利用率。負載分擔的類型包括以下幾種：1. 根據(jù)報文的源MAC地址進行負載分擔。2. 根據(jù)報文的目的MAC地址進行負載分擔3. 根據(jù)報文的源IP地址進行負載分擔4. 根據(jù)報文的目的IP地址進行負載分擔5. 根據(jù)報文的源MAC地址和目的MAC地址進行負載分擔。6. 根據(jù)報文的源IP地址和目的IP地址進行負載分擔。7. 根據(jù)報文的VLAN、源物理端口等對L2、IPv4、IPv6和MPL

6、S報文進行增強型負載分擔。本例中，通過執(zhí)行interface Eth-Trunk 命令配置鏈路聚合。這條命令創(chuàng)建了一個Eth-Trunk口，并且進入該Eth-Trunk口視圖。Trunk-id用來唯一標識一個Eth-Trunk口，該參數(shù)的取值可能是0到63之間的任何一個整數(shù)。如果指定的Eth-Trunk口已經(jīng)存在，執(zhí)行命令后會直接進入該Eth-Trunk口視圖。配置Eth-Trunk口和成員口，需要注意以下規(guī)則：1. 只能刪除不包含任何成員口的Eth-Trunk口。2. 把接口加入Eth-Trunk口時，二層Eth-Trunk口的成員口必須是二層接口，三層Eth-Trunk口的成員口必須是三層

7、接口。3. 一個Eth-Trunk口對多可以加入8個成員口。4. 加入Eth-Trunk口的接口必須是hybrid接口（默認接口類型）5. 一個Eth-Trunk口不能充當其他Eth-Trunk口的成員口。6. 一個以太接口只能加入一個Eth-Trunk口。如果把一個以太接口加入另一個Eth-Trunk口，必須先把該以太接口從當前所屬的Eth-Trunk口中刪除。7. 一個Eth-Trunk口的成員口類型必須相同。例如，一個快速以太網(wǎng)口（FE口）和一個千兆以太口（GE口）不能加入同一個Eth-Trunk口。8. 位于不同接口板（LPU）上的以太口可以加入同一個Eth-Trunk口。如果一個對端

8、接口直接和本端Eth-Trunk口的一個成員口相連，該對端接口也必須加入一個Eth-Trunk口。否則兩端無法通信。9. 如果成員口的速率不同，速率較低的接口可能會擁塞，報文可能會被丟棄。10. 接口加入Eth-Trunk口后，Eth-Trunk口學習MAC地址，成員口不再學習。執(zhí)行display interface Eth-Trunk 命令，可以確認兩臺設備間是否已經(jīng)成功實現(xiàn)鏈路聚合。也可以使用這條命令收集流量統(tǒng)計數(shù)據(jù)，定位接口故障。如果Eth-Trunk口處于UP狀態(tài)，表明接口正常運行。如果接口處于DOWN狀態(tài)，表明所有成員口物理層發(fā)生故障。如果管理員關閉端口，接口處于Administra

9、tively DOWN狀態(tài)。可以通過接口狀態(tài)的改變發(fā)現(xiàn)接口故障，所有接口正常情況下都應處于UP狀態(tài)。如果要在路由器上配置三層鏈路聚合，需要首先創(chuàng)建Eth-Trunk接口，然后在Eth-Trunk邏輯口上執(zhí)行undo portswitch命令，吧聚合鏈路從二層轉為三層鏈路。執(zhí)行undo protswitch命令后，可以為Eth-Trunk邏輯接口分配一個IP地址。1. 一個快速以太口（FE口）和一個千兆以太口（GE口） 不能加入同一個Eth-Trunk。如果將兩個不同類型的接口加入到同一個Eth-Trunk口，設備會提示發(fā)生錯誤。2. 只有LACP模式支持備份成員鏈路。如需建立備份鏈路，應使用L

10、ACP模式的鏈路聚合。VLAN（Virtual Local Area Network）虛擬局域網(wǎng)VLAN標簽長4個字節(jié)，直接添加在以太網(wǎng)幀頭中，IEEE802.1Q文檔對VLAN標簽做出了說明：TPID：Tag Protocol Identifier，2個字節(jié)，固定取值，0x8100，是IEEE定義的新類型，表明這是一個攜帶802.1Q標簽的幀。如果不支持802.1Q的設備收到這樣的幀，會將其丟棄。TCI：Tag Control Information，2字節(jié)。幀的控制信息，詳細說明如下：1. Priority：3比特，表示幀的優(yōu)先級，取值范圍為07，值越大優(yōu)先級越高。當交換機阻塞時，優(yōu)先發(fā)送

11、優(yōu)先級高的數(shù)據(jù)幀。2. CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否為經(jīng)典格式。CFI為0說明是經(jīng)典格式，CFI為1表示為非經(jīng)典格式。用于區(qū)分以太網(wǎng)幀、FDDI（Fiber Distributed Digital Interface）幀和令牌環(huán)網(wǎng)幀。在以太網(wǎng)中，CFI的值為0.3. Vlan Identifier：VLAN ID，12比特，在X7系列交換機中，可配置的VLAN ID取值范圍是04095，但是0和4095在協(xié)議中規(guī)定為保留的VLAN ID，不能給用戶使用，即可配置的范圍是14094.在現(xiàn)有的交換網(wǎng)絡環(huán)境中，以太網(wǎng)的幀有兩種格式：沒

12、有TAG的標準以太網(wǎng)幀（untagged frame）；有VLAN標記的以太網(wǎng)幀（tagged frame）VLAN的劃分包括如下5種方法：1. 基于端口劃分：根據(jù)交換機的端口編號來劃分VLAN。通過為交換機的每個端口配置不同的PVID，來將不同端口劃分到VLAN中。初始情況下，X7系列交換機的端口處于VLAN1中。此方法配置簡單，但是當主機移動位置時，需要重新配置VLAN。2. 基于MAC地址劃分：根據(jù)主機網(wǎng)卡的MAC地址劃分VLAN。次劃分方法需要網(wǎng)絡管理員提前配置網(wǎng)絡中的主機MAC地址和VLAN ID的映射關系。如果交換機收到不帶標簽的數(shù)據(jù)幀，會查找之前配置的MAC地址和VLAN映射表，

13、根據(jù)數(shù)據(jù)幀中攜帶的MAC地址來添加相應的VLAN標簽。次使用方法配置VLAN時，即使主機移動位置也不需要重新配置VLAN。3. 基于IP子網(wǎng)劃分：交換機在收到不帶標簽的數(shù)據(jù)幀時，根據(jù)報文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標簽。4. 基于協(xié)議劃分：根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議族類型）、封裝格式來分配VLAN ID。網(wǎng)絡管理員需要首先配置協(xié)議類型和VLAN ID之間的映射關系。5. 基于策略劃分：使用幾個條件的組合來分配VLAN標簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當所有條件都匹配時，交換機才為數(shù)據(jù)幀添加VLAN標簽。另外，針對每一條策略都是需要手工配置的。創(chuàng)建VLAN后，可以執(zhí)行di

14、splay vlan命令驗證配置結果。如果丌指定任何參數(shù)，則該命令將顯示所有VLAN的簡要信息。執(zhí)行display vlan vlan-id verbose 命令，可以查看指定VLAN的詳細信息，包括VLAN ID、類型、描述、VLAN的狀態(tài)、VLAN中的端口、以及VLAN中端口的模式等。執(zhí)行display vlan vlan-id statistics命令，可以查看指定VLAN中的流量統(tǒng)計信息。執(zhí)行display vlan summary命令，可以查看系統(tǒng)中所有VLAN的匯總信息?？梢允褂脙煞N方法把端口加入到VLAN。1. 第一種方法是進入到VLAN視圖，執(zhí)行port 命令，把端口加入VLA

15、N。2. 第二種方法是進入到接口視圖，執(zhí)行port default 命令，把端口加入VLAN。vlan-id是指端口要加入的VLAN。執(zhí)行display vlan命令，可以確認端口是否已經(jīng)加入到VLAN中。在本示例中，端口GigabitEthernet0/0/5和GigabitEthernet0/0/7分別加入了VLAN 3和VLAN 2。UT表明該端口發(fā)送數(shù)據(jù)幀時，會剝離VLAN標簽，即此端口是一個Access端口或丌帶標簽的Hybrid端口。U或D分別表示鏈路當前是Up狀態(tài)或Down狀態(tài)。配置Trunk時，應先使用port link-type trunk命令修改端口的類型為Trunk，然后

16、再配置Trunk端口允許哪些VLAN的數(shù)據(jù)幀通過。執(zhí)行porttrunk allow-pass vlan vlan-id1 to vlan-id2 | all 命令，可以配置端口允許的VLAN，all表示允許所有VLAN的數(shù)據(jù)幀通過。執(zhí)行port trunk pvid vlan vlan-id命令，可以修改Trunk端口的PVID。修改Trunk端口的PVID之后，需要注意：缺省VLAN不一定是端口允許通過的VLAN。只有使用命令port trunk allow-pass vlan vlan-id1 to vlan-id2 | all 允許缺省VLAN數(shù)據(jù)通過，才能轉發(fā)缺省VLAN的數(shù)據(jù)幀。交

17、換機的所有端口默認允許VLAN1的數(shù)據(jù)通過。在本示例中，將SWA的G0/0/1端口配置為Trunk端口，該端口PVID默認為1。配置port trunk allow-pass vlan 2 3命令之后，該Trunk允許VLAN 2和VLAN 3的數(shù)據(jù)流量通過。執(zhí)行display vlan命令可以查看修改后的配置。TG表明該端口在轉發(fā)對應VLAN的數(shù)據(jù)幀時，不會剝離標簽，直接進行轉發(fā)，該端口可以是Trunk端口或帶標簽的Hybrid端口。本示例中，GigabitEthernet0/0/1在轉發(fā)VLAN 2和VLAN3的流量時，不剝離標簽，直接轉發(fā)。隨著IP網(wǎng)絡的融合，TCP/IP網(wǎng)絡可以為高速上

18、網(wǎng)HSI（High Speed Internet）業(yè)務、VoIP（Voice over IP）業(yè)務、IPTV（Internet Protocol Television）業(yè)務提供服務。語音數(shù)據(jù)在傳輸時需要具有比其他業(yè)務數(shù)據(jù)更高的優(yōu)先級，以減少傳輸過程中可能產生的時延和丟包現(xiàn)象。為了區(qū)分語音音數(shù)據(jù)流，可在交換機上部署Voice VLAN功能，把VoIP的電話流量進行VLAN隔離，并配置更高的優(yōu)先級，從而能夠保證通話質量。執(zhí)行voice-vlan enable命令，可以把VLAN 2到VLAN 4094之間的任一VLAN配置成詫音VLAN。執(zhí)行voice-vlan mode 命令，可以配置端口加入詫

19、音VLAN的模式。端口加入Voice VLAN的模式有兩種：1. 自勱模式：使能Voice VLAN功能的端口根據(jù)進入端口的數(shù)據(jù)流中的源MAC地址字段來判斷該數(shù)據(jù)流是否為詫音數(shù)據(jù)流。源MAC地址符合系統(tǒng)設置的詫音設備OUI（Organizationally Unique Identifier）地址的報文認為是詫音數(shù)據(jù)流。接收到詫音數(shù)據(jù)流的端口將自勱加入Voice VLAN中傳輸，并通過老化機制維護Voice VLAN內的端口數(shù)量。2. 手勱模式：當接口使能Voice VLAN功能后，必須通過手工將連接詫音設備的端口加入或退出Voice VLAN中，這樣才能保證VoiceVLAN功能生效。執(zhí) 行

20、 voice-vlan mac-address mac-address mask oui-mask description text 命令，用來配置Voice VLAN的OUI地址。OUI地址表示一個MAC地址段。交換機將48位的MAC地址和掩碼的對應位做“不”運算可以確定出OUI地址。接入設備的MAC地址和OUI地址匹配的位數(shù)，由掩碼中全“1”的長度決定。例如，MAC地址為000100010001，掩碼為FFFF-FF000000，那么將MAC地址不其相應掩碼位執(zhí)行“不”運算的結果就是OUI地址000100000000。只要接入設備的MAC地址前24位和OUI地址的前24位匹配，那么使能Vo

21、ice VLAN功能的端口將認為此數(shù)據(jù)流是詫音數(shù)據(jù)流，接入的設備是詫音設備。執(zhí)行display voice-vlan status命令，可以查看詫音VLAN的信息，包括狀態(tài)、工作模式、老化時間、以及使能了詫音VLAN功能的端口信息。Add-Mode字段表明詫音VLAN的添加模式。自勱模式中，使能了詫音VLAN功能后，端口可以自勱加入到詫音VLAN。如果詫音設備發(fā)送的報文的MAC地址匹配了OUI，連接該詫音設備的端口也會加入詫音VLAN。如果在老化時間內，端口沒有收到詫音設備的任何詫音數(shù)據(jù)報文，端口自勱會被刪除。手勱模式中，在端口上使能了語音VLAN功能之后，必須手勱把端口添加到詫音VLAN中。

22、Security-Mode字段表示Voice VLAN端口的工作模式，有兩種：1. 正常模式：可以傳輸詫音數(shù)據(jù)和業(yè)務數(shù)據(jù)，但是容易受到惡意數(shù)據(jù)流量的攻擊。2. 安全模式：只允許傳輸詫音數(shù)據(jù)流。安全模式可以防止Voice VLAN受到惡意數(shù)據(jù)流量的攻擊，但是檢查報文的工作會占用一定的系統(tǒng)資源。Legacy字段表明端口是否開啟不其他廠商詫音設備互通的功能，Enable表示開啟，Disable表示關閉。GARP和GVRPGARP（Generic Attribute Registration Protocol）全稱是通用屬性注冊協(xié)議，它為處于同一個交換網(wǎng)內的交換機之間提供了一種分發(fā)、傳播、注冊某種信息

23、（VLAN屬性、組播地址等）的手段。GVRP是GARP的一種具體應用或實現(xiàn)，主要用于維護設備動態(tài)VLAN屬性。通過GVRP協(xié)議，一臺交換機上的VLAN信息會迅速傳播到整個交換網(wǎng)絡。GVRP實現(xiàn)了LAN屬性的動態(tài)分發(fā)、注冊、傳播，從而減少了網(wǎng)絡管理員的工作量，也能保證VLAN配置的正確性。GVRP的實現(xiàn)必須滿足三個條件：1. 鏈路類型必須是Trunk，并且允許所有vlan通過2. 在全局模式下使能gvrp3. 在接口下使能gvrp默認的注冊模式為normal（其他兩個是fixed、forbidden）HDLC和PPP原理和配置ISO指定的HDLC是一種PPP鏈路建立過程描述：1. Dead階段稱

24、為物理層不可用階段。當通信雙方的兩端檢測到物理線路激活時，就會從Dead階段遷移至Establish階段，及鏈路建立階段。2. 在Establish階段，PPP鏈路進行LCP參數(shù)協(xié)商。協(xié)商內容包括最大接收單元（MRU）、認證方式、魔術字（Magic Number）等選項。LCP參數(shù)協(xié)商成功后，會進入Opened狀態(tài)，表示底層鏈路已經(jīng)建立。3. 多數(shù)情況下，鏈路兩端的設備是需要經(jīng)過認證階段（Authenticate）后才能夠進入到網(wǎng)絡層協(xié)議階段。PPP鏈路在缺省情況下是不要求進行認證的。如果要求認證，則在鏈路建立階段必須制定認證協(xié)議。認證方式是在鏈路建立階段雙方進行協(xié)商的。如果在這個階段再次受到

25、了Configure-request報文，則又會返回到鏈路建立階段。4. 在Network階段，PPP鏈路進行NCP協(xié)商。通過NCP協(xié)商來選擇和配置一個網(wǎng)絡層協(xié)議并進行網(wǎng)絡層協(xié)商。只有相應的網(wǎng)絡層協(xié)議協(xié)商成功后，該網(wǎng)絡層協(xié)議才可以通過這條PPP鏈路發(fā)送報文。如果這個階段收到了Configure-Request報文，也會返回到鏈路建立階段。5. NCP協(xié)商成功后，PPP鏈路將保持通信狀態(tài)。PPP運行過程中，可以隨時中斷鏈接，例如物理鏈路斷開、認證失敗、超時定時器時間、管理員通過配置關閉連接等動作都可能導致鏈路進入Terminate階段。6. 在Terminate階段，如果所有的資源都被釋放，通信

26、雙方回到Dead階段，直到通信雙方重新建立PPP連接。PPP采用了與HDLC協(xié)議類似的幀格式：1. Flag與標識一個物理幀的起始和結束，該字節(jié)為二進制序列01111110(0X7E)。2. PPP幀的地址域跟HDLC的地址域有差異，PPP幀的地址域字節(jié)固定為（0XFF），是一個廣播地址。3. PPP數(shù)據(jù)幀的控制域默認為（0X03），表明為無序號幀。4. 幀校驗序列（FCS）是一個16位的校驗和，用于檢查PPP幀的完整性。5. 協(xié)議字段用來說明PPP所封裝的協(xié)議報文類型，典型的字段值有：0XC021代表LCP報文，0XC023代表PAP報文，0XC223代表CHAP報文。6. 信息字段包含協(xié)議

27、字段中指定協(xié)議的數(shù)據(jù)包。數(shù)據(jù)字段的默認最大長度（不包括協(xié)議字段）稱為最大接收單元（MRU Maximum Receive Unit），MRU的缺省值為1500字節(jié)。如果協(xié)議字段被設立為0XC021，則說明通信雙方正通過LCP報文進行PPP鏈路的協(xié)商和建立：1. Code字段，主要是用來表示LCP數(shù)據(jù)報文的類型。典型的報文類型有：配置信息報文（Configure Packets：0X01），配置成功信息報文（Configure-Ack：0X02），中止請求報文（Terminate-Request：0X05）2. Identifier域為1個字節(jié)，用來匹配請求和響應。3. Length域的值就是該

28、LCP報文的總字節(jié)數(shù)據(jù)。4. 數(shù)據(jù)字段則承載各種TLV（Type/Length/Value）參數(shù)用于協(xié)商配置選項，包括最大接收單元，認證協(xié)議等。此表格列出了LCP用于鏈路層參數(shù)協(xié)商所使用的四種報文類型：1. Configure-request：鏈路層協(xié)商過程中發(fā)送的第一個報文，該報文表明點到點雙方開始進行鏈路層參數(shù)協(xié)商。2. Configure-ACK：收到對端發(fā)來的Configure-Request報文，如果參數(shù)取值完全接受，則以此報文響應。3. Configure-Nak：收到對端發(fā)來的Configure-Request報文，如果參數(shù)取值不被本端認可，則發(fā)送此報文并且攜帶本段可接受的配置參

29、數(shù)。4. Configure-Reject：收到對端發(fā)來的Configure-Request報文，如果本端不能識別對端發(fā)送的Configure-Request中的某些參數(shù)，則發(fā)送此報文并且攜帶那些本端不能識別的配置參數(shù)。LCP報文攜帶的一些常見的配置參數(shù)有MRU，認證協(xié)議，以及魔術字。1. 在VRP平臺上，MRU參數(shù)使用接口上配置的最大傳輸單元（MTU）值來表示。2. 常用的PPP認證協(xié)議有PAP和CHAP，一條PPP鏈路的兩端可以使用不同的認證協(xié)議認證對端。但是被認證方必須支持認證方要求使用的認證協(xié)議并正確配置用戶名和密碼等認證信息。3. LCP使用魔術字來檢測鏈路環(huán)路和其他異常情況。魔術字

30、為隨機產生的一個數(shù)字，隨機機制需要保證兩端產生相同魔術字的可能性幾乎為0。4. 收到一個Configure-Request報文之后，其包含的魔術字需要和本地產生的魔術字進行比較，如果不同，表示鏈路無環(huán)路，則使用Configure-Ack報文確認（其他參數(shù)也協(xié)商成功），表示魔術字協(xié)商成功。在后續(xù)發(fā)送的報文中，如果報文含有魔術字字段，則該字段設置為協(xié)商成功的魔術字。如圖所示，RTA和RTB使用串行鏈路相連，運行PPP。當物理層鏈路變?yōu)榭捎脿顟B(tài)之后，RTA和RTB使用LCP協(xié)商鏈路參數(shù)。本例中，RTA首先發(fā)送一個Configure-Request報文，此報文中包含RTA上配置的鏈路層參數(shù)。當RTB收

31、到此Configure-Request報文之后，如果RTB能識別并接受此報文中的所有鏈路層參數(shù)，則向RTA回應一個Configure-Ack報文。RTA在沒有收到Configure-Ack報文的情況下，會每隔3秒重傳一次Configure-Request報文，如果連續(xù)10次發(fā)送Configure-Request報文仍然沒有收到 Configure-Ack報文，則認為對端不可用，停止發(fā)送Configure-Request報文。注：完成上述過程只是表明RTB認為RTA上的鏈路參數(shù)配置是可接受的。RTB也需要向RTA發(fā)送Configure-Request報文，使RTA檢測RTB上的鏈路參數(shù)是不是可接

32、受的。當RTB收到RTA發(fā)送的Configure-Request報文之后，如果RTB能識別此報文中攜帶的所有鏈路層參數(shù)，但是認為部分或全部參數(shù)的取值不能接受，即參數(shù)的取值協(xié)商不成功，則RTB需要向RTA回應一個Configure-Nak報文。在這個Configure-Nak報文中，只包含不能接受的鏈路層參數(shù)，并且此報文所包含的鏈路層參數(shù)均被修改為RTB上可以接受的取值（或取值范圍）。在收到Configure-Nak報文之后，RTA需要根據(jù)此報文中的鏈路層參數(shù)重新選擇本地配置的其它參數(shù)，并重新發(fā)送一個Configure-Request。當RTB收到RTA發(fā)送的Configure-Request報

33、文之后，如果RTB不能識別此報文中攜帶的部分或全部鏈路層參數(shù)，則RTB需要向RTA回應一個Configure-Reject報文。在此Configure-Reject報文中，只包含不能被識別的鏈路層參數(shù)。在收到Configure-Reject報文之后，RTA需要向RTB重新發(fā)送一個Configure-Request報文，在新的Configure-Request報文中，不再包含不被對端（RTB）識別的參數(shù)。PAP認證的工作原理較為簡單。PAP認證協(xié)議為兩次握手認證協(xié)議，密碼以明文方式在鏈路上發(fā)送。LCP協(xié)商完成后，認證方要求被認證方使用PAP進行認證。被認證方將配置的用戶名和密碼信息使用Authe

34、nticate-Request報文以明文方式發(fā)送給認證方。認證方收到被認證方發(fā)送的用戶名和密碼信息之后，根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫檢查用戶名和密碼信息是否匹配，如果匹配，則返回Authenticate-Ack報文，表示認證成功。否則，返回Authenticate-Nak報文，表示認證失敗。CHAP認證過程需要三次報文交互。為了匹配請求報文和回應報文，報文中含有Identifier字段，一次認證過程所使用的報文均使用相同的Identifier信息。1. LCP協(xié)商完成后，認證方發(fā)送一個Challenge報文給被認證方，報文中含有Identifier信息和一個隨機產生的Challenge字符

35、串，此Identifier即為后續(xù)報文所使用的Identifier。2. 被認證方收到此Challenge報文之后，進行一個加密運算，運算公式為MD5Identifier+密碼+Challenge，意思是將Identifier、密碼、challenge三部分連成一個字符串，然后對此字符串做MD5運算，得到一個16字節(jié)長的摘要信息，然后將次摘要信息和端口上配置的CHAP用戶名一起封裝在Response報文中發(fā)回認證方。3. 認證方收到被認證房發(fā)送的response報文之后，按照其中的用戶名在本地查找相應的密碼信息，得到密碼信心之后，進行一次加密運算，運算方式和被認證房的加密運算方式相同，然后將加

36、密運算得到的摘要信息和response報文中的封裝的摘要信息做比較，相同則認證成功，不同則認證失敗。使用CHAP認證方式時，被認證方的密碼是被加密后才進行傳輸?shù)模@樣就極大的提高了安全性。加密算法聲明：目前設備采用的加密算法包括DES、3DES、AES、RSA、SHA1、SHA2、MD5等，具體采用哪種加密算法請根據(jù)場景而定。請優(yōu)先使用我們的建議，否自會造成無法滿足您安全防御的要求。兩端動態(tài)協(xié)商IP地址的過程如下：1. RTA向RTB發(fā)送一個Configure-Request報文，此報文中會包含一個IP地址，表示向對端請求IP地址；2. RTB收到上述Configure-Requ

37、est報文后，認為其中包含的地址（）不合法，使用Configure-Nak回應一個新的IP地址；3. RTA收到此Configure-Nak報文之后，更新本地IP地址，并重新發(fā)送一個Configure-Request報文，包含新的IP地址；4. RTB收到Configure-Request報文后，認為其中包含的IP地址為合法地址，回應一個Configure-Ack報文。同時，RTB也要向RTA發(fā)送Configure-Request報文請求使用地址，RTA認為此地址合法，回應Configure-Ack報文。PPOE的原理與配置DSL是

38、一種利用現(xiàn)有電話網(wǎng)絡實現(xiàn)數(shù)據(jù)通信的寬帶技術。在使用DSL接入網(wǎng)絡時，用戶側會安裝調制解調器，然后通過現(xiàn)有的電話線與數(shù)字用戶接入復用器（DSLAM）相連。DSLAM是各種DSL系統(tǒng)的局端設備屬于最后一公里設備。然后，DSLAM通過高速ATM網(wǎng)絡或者以太網(wǎng)將用戶的數(shù)據(jù)流量轉發(fā)給寬帶遠程接入服務器（BRAS）。BRAS是面向寬帶網(wǎng)絡應用的接入網(wǎng)關，位于骨干網(wǎng)的邊緣層。PPOE報文：網(wǎng)絡端口地址轉換網(wǎng)絡端口地址轉換NAPT（Network Address Pot Translation）允許多個內部地址映射到同一個共有地址的不同端口。Easy IP適用于小規(guī)模的局域網(wǎng)中的主機訪問Internet的場景

39、。小規(guī)模局域網(wǎng)通常部署在小型的網(wǎng)吧或者辦公室中，這些地方內部主機不多，出接口可以通過撥號的方式獲取一個臨時的公網(wǎng)IP地址。Easy IP可以實現(xiàn)內部主機使用這個臨時公網(wǎng)IP地址訪問Internet。NAT在使用內網(wǎng)用戶訪問公網(wǎng)的同時，也屏蔽了公網(wǎng)用戶訪問私網(wǎng)主機的需求，當一個私網(wǎng)需要向公網(wǎng)用戶提供WEB和SFTP服務時，私網(wǎng)中的服務器必須隨時可供公網(wǎng)用戶訪問。NAT服務器可以實現(xiàn)這個需求，但是需要配置服務器私網(wǎng)IP地址和端口號轉換為公網(wǎng)IP地址和端口號并發(fā)布出去。路由器在收到一個公網(wǎng)主機的請求報文后，根據(jù)報文的目的IP地址和端口號查詢地址轉換標項。路由器根據(jù)匹配的地址轉換表，將報文的目的IP地址和端口號轉換成私網(wǎng)IP地址和端口號，并轉發(fā)報文到私網(wǎng)中的服務器。設備基于域來對用戶迚行管理，每個域都可以配置丌同的認證、授權和計費方案，用于對該域下的用戶迚行認證、授權和計費。每個用戶都屬于某一個域。用戶屬于哪個域是由用戶名中的域名分隔符后的字符串決定。例如，如果用戶名是userhuawei，則用戶屬于huawei域。如果用戶名后丌帶有，則用戶屬于系統(tǒng)缺省域default。ARG3系列路由設備支持兩種缺省域：1. default域為普通用戶的缺省域。2. default_admin域為管