路由交換技術第4卷（H3C網路學院系列教程）

本書詳細講解建設大規模網路所需的安全和最佳化技術，包括廣域網體系結構、寬頻接入技術、傳統VPN技術、安全VPN技術、BGP/MPLS VPN、增強網路安全的技術、VoIP、服務質量及開放套用體系架構等。本書的最大特點是理論與實踐緊密結合，依託H3C路由器和交換機等網路設備精心設計的大量實驗，有助於讀者迅速、全面地掌握相關的知識和技能。

本書是為網路技術領域的深入學習者編寫的。對於大中專院校在校學生，本書是深入探索計算機網路技術領域的好教材；對於專業技術人員，本書是掌握計算機網路工程技術的好嚮導；對於普通網路技術愛好者，本書也不失為學習和了解網路技術的優秀參考書。

第1篇 安全最佳化的廣域網路概述

第1章 遠程網路連線需求21.1 遠程連線需求分類2

1.2 連通性需求2

1.3 安全性需求3

1.4 最佳化性需求4

本章小結5

習題和解答5

第2篇 寬頻接入技術

第2章 寬頻接入技術概述82.1 企業網的寬頻接入技術需求8

2.2 寬頻接入技術關鍵概念8

2.2.1 什麼是寬頻接入8

2.2.2 寬頻接入模型和基本概念10

2.3 主要的寬頻接入技術11

2.3.1 寬頻接入的傳輸介質11

2.3.2 常見的光纖接入模式12

2.3.3 主要的寬頻接入技術及其組網13

本章小結14

習題和解答14

第3章 乙太網接入15

3.1 乙太網接入的典型套用15

3.1.1 什麼是乙太網接入15

3.1.2 大型園區接入的典型套用16

3.2 PPPoE原理及配置173.2.1 PPPoE原理17

3.2.2 PPPoE的配置20

3.3 乙太網接入的局限22

本章小結23

習題和解答23

第4章 EPON24

4.1 PON技術簡介24

4.1.1 什麼是PON技術24

4.1.2 PON的組成結構25

4.1.3 PON的標準化過程26

4.1.4 主要PON技術對比27

4.2 EPON關鍵技術30

4.2.1 EPON的層次結構30

4.2.2 EPON系統的工作過程31

4.3 EPON基本配置37

4.3.1 EPON系統的連線埠類型37

4.3.2 EPON的基本配置步驟37

4.3.3 OLT連線埠配置38

4.3.4 ONU配置38

4.3.5 UNI連線埠配置41

4.3.6 EPON典型配置實例41

本章小結42

習題和解答43

第5章 EPCN44

5.1 有線電視網路概述44

5.1.1 什麼是CATV44

5.1.2 什麼是HFC45

5.2 有線電視網路的雙向傳輸改造46

5.2.1 CATV寬頻數據網路需求46

5.2.2 基於HFC網路的Cable Modem方案47

5.2.3 基於乙太網的EoC技術49

5.3 EPCN技術介紹50

5.3.1 EPCN系統組成50

5.3.2 EPCN傳輸原理50

5.3.3 EPCN的技術優勢分析51

5.3.4 EPCN典型套用模型52

本章小結54

習題和解答55

第6章 ADSL56

6.1 DSL技術概述56

6.1.1 DSL技術的起源56

6.1.2 DSL的基本原理57

6.1.3 DSL技術分類58

6.2 ADSL技術原理和套用60

6.2.1 ADSL技術的基本原理60

6.2.2 ADSL的上層套用64

6.3 ADSL基本配置68

6.3.1 ADSL接口的物理參數配置68

6.3.2 ADSL的PPPoEoA配置69

6.4 ADSL2/2+技術簡介71

6.4.1 ADSL271

6.4.2 ADSL2+76

本章小結77

習題和解答77

第3篇 傳統VPN技術

第7章 VPN概述807.1 企業網對VPN的需求80

7.1.1 傳統企業網面臨的問題80

7.1.2 什麼是VPN81

7.2 VPN主要概念術語81

7.3 VPN分類82

7.3.1 不同業務用途的VPN82

7.3.2 不同運營模式的VPN83

7.3.3 按照組網模型分類84

7.3.4 按照OSI參考模型的層次分類85

7.4 主要VPN技術85

本章小結86

習題和解答86

第8章 GRE VPN88

8.1 GRE VPN概述88

8.2 GRE封裝格式89

8.2.1 標準GRE封裝89

8.2.2 擴展GRE封裝91

8.2.3 IP over IP的GRE封裝92

8.3 GRE隧道工作流程93

8.3.1 GRE隧道構成93

8.3.2 隧道起點路由查找94

8.3.3 加封裝95

8.3.4 承載協定路由轉發96

8.3.5 中途轉發96

8.3.6 解封裝96

8.3.7 隧道終點路由查找97

8.4 部署GRE VPN的考慮因素98

8.4.1 地址空間和路由配置98

8.4.2 Tunnel接口Keepalive99

8.5 GRE VPN配置100

8.5.1 GRE VPN基本配置100

8.5.2 GRE VPN高級配置101

8.5.3 GRE VPN信息的顯示和調試101

8.5.4 GRE VPN配置示例一102

8.5.5 GRE VPN配置示例二103

8.6 GRE VPN的特點104

8.6.1 GRE VPN的優點104

8.6.2 GRE VPN的缺點104

本章小結104

習題和解答104

第9章 L2TP VPN106

9.1 L2TP VPN概述106

9.2 L2TP工作原理108

9.2.1 L2TP概念和術語108

9.2.2 L2TP拓撲結構109

9.2.3 L2TP協定封裝110

9.2.4 L2TP協定操作111

9.2.5 L2TP驗證113

9.2.6 典型L2TP工作過程114

9.2.7 L2TP多實例簡介115

9.3 配置獨立LAC模式116

9.3.1 獨立LAC模式配置任務116

9.3.2 L2TP基本功能配置116

9.3.3 LAC基本配置命令117

9.3.4 LNS基本配置命令117

9.3.5 高級配置命令118

9.3.6 配置示例118

9.4 用iNode客戶端實現客戶LAC模式120

9.4.1 iNode客戶端介紹120

9.4.2 客戶LAC模式配置任務120

9.4.3 客戶LAC模式配置示例120

9.5 L2TP信息顯示和調試123

9.6 L2TP的特點123

本章小結124

習題和解答124

第4篇 安全VPN技術

第10章 數據安全技術基礎12610.1 概念和術語126

10.2 數據加解密127

10.2.1 加解密簡介127

10.2.2 對稱密鑰加密128

10.2.3 非對稱密鑰加密129

10.2.4 組合加解密技術130

10.3 數據完整性131

10.4 數字簽名132

10.5 數字證書133

10.6 公鑰基礎設施PKI134

10.6.1 PKI概述134

10.6.2 PKI工作過程135

10.6.3 配置PKI136

本章小結138

習題和解答138

第11章 IPSec基本原理140

11.1 IPSec VPN概述140

11.2 IPSec體系結構141

11.2.1 IPSec體系概述141

11.2.2 隧道模式和傳輸模式141

11.2.3 IPSec SA142

11.2.4 IPSec包處理流程143

11.3 AH144

11.3.1 AH頭格式144

11.3.2 AH封裝145

11.3.3 AH處理機制145

11.4 ESP146

11.4.1 ESP頭和尾格式146

11.4.2 ESP封裝147

11.4.3 ESP處理機制148

11.5 IKE149

11.5.1 IKE與IPSec的關係149

11.5.2 IKE協商的兩個階段150

11.5.3 Cookie150

11.5.4 IKE主模式150

11.5.5 IKE野蠻模式151

11.5.6 IKE的優點152

本章小結152

習題和解答153

第12章 配置IPSec154

12.1 配置前準備154

12.2 配置IPSec VPN154

12.2.1 IPSec VPN配置任務154

12.2.2 配置安全ACL155

12.2.3 配置安全提議155

12.2.4 理解安全策略156

12.2.5 配置手工配置參數的安全策略157

12.2.6 配置IKE協商參數的安全策略158

12.2.7 在接口上套用安全策略160

12.2.8 IPSec的信息顯示與調試維護160

12.3 IKE的配置161

12.3.1 IKE配置任務162

12.3.2 理解IKE提議162

12.3.3 配置IKE提議162

12.3.4 配置IKE對等體163

12.3.5 IKE的信息顯示與調試維護165

12.4 IPSec隧道配置示例166

12.4.1 IPSec+IKE預共享密鑰方法配置示例166

12.4.2 IPSec+IKE RSA簽名方法配置示例167

12.4.3 IPSec+IKE野蠻模式配置示例168

本章小結169

習題和解答169

第13章 IPSec高級套用171

13.1 IPSec隧道嵌套171

13.2 IPSec與傳統VPN技術結合172

13.2.1 GRE over IPSec172

13.2.2 L2TP over IPSec174

13.3 用IPSec保護組播176

13.4 NAT穿越176

13.5 IPSec高可靠性179

13.5.1 IPSec的黑洞問題179

13.5.2 IKE Keepalive機制180

13.5.3 配置IKE Keepalive180

13.5.4 DPD機制181

13.5.5 配置DPD182

本章小結182

習題和解答182

第14章 SSL VPN184

14.1 SSL協定簡介184

14.1.1 協定概述184

14.1.2 記錄層185

14.1.3 握手層186

14.1.4 握手過程187

14.2 SSL VPN概述190

14.2.1 SSL與SSL VPN190

14.2.2 SSL VPN運作流程191

14.3 SSL VPN功能與實現193

14.3.1 SSL VPN系統結構193

14.3.2 接入方式193

14.3.3 訪問控制196

14.3.4 靜態授權196

14.3.5 動態授權197

14.3.6 快取清除199

14.4 部署SSL VPN199

本章小結200

習題和解答200

第5篇 BGP/MPLS VPN

第15章 MPLS技術基礎20215.1 MPLS起源202

15.2 MPLS網路組成203

15.3 MPLS標籤204

15.3.1 MPLS標籤基本概念204

15.3.2 MPLS標籤分配協定分類205

15.3.3 LDP訊息類型206

15.3.4 標籤分配過程207

15.3.5 標籤分配和管理方式209

15.4 MPLS轉發實現212

15.5 MPLS套用與發展214

本章小結214

習題和解答214

第16章 BGP/MPLS VPN基本原理216

16.1 BGP/MPLS VPN 技術背景216

16.1.1 傳統VPN的缺陷216

16.1.2 BGP/MPLS VPN的優點217

16.2 MPLS隧道技術217

16.2.1 隧道技術與MPLS217

16.2.2 MPLS隧道技術套用218

16.2.3 MPLS倒數第二跳彈出220

16.3 多VRF技術221

16.3.1 最佳化VPN組網結構221

16.3.2 多VRF技術實現原理222

16.4 MP-BGP技術225

16.4.1 MP-BGP技術實現225

16.4.2 Route Target屬性227

16.4.3 RD前綴229

16.4.4 MPLS私網Label230

16.5 BGP/MPLS VPN基本原理230

16.5.1 公網隧道建立230

16.5.2 本地VPN的建立231

16.5.3 私網路由的學習232

16.5.4 私網數據的傳遞234

本章小結236

習題和解答236

第17章 BGP/MPLS VPN配置與故障排除238

17.1 BGP/MPLS VPN的配置思路238

17.2 BGP/MPLS VPN配置命令238

17.2.1 配置公網隧道238

17.2.2 配置本地VPN239

17.2.3 配置MP-BGP 239

17.3 BGP/MPLS VPN配置示例239

17.3.1 網路環境和需求239

17.3.2 配置BGP/MPLS VPN公網隧道240

17.3.3 配置BGP/MPLS VPN本地VPN241

17.3.4 配置MP-BGP243

17.4 BGP/MPLS VPN故障排查245

17.4.1 BGP/MPLS VPN故障排查思路245

17.4.2 BGP/MPLS VPN故障排查步驟245

17.4.3 排查本地VPN故障的步驟247

17.4.4 排查MP-BGP故障的步驟248

本章小結249

習題和解答249

第18章 BGP/MPLS VPN技術擴展251

18.1 BGP/MPLS VPN基本組網的缺陷251

18.2 MCE252

18.3 HOPE255

18.4 BGP/MPLS VPN技術擴展259

本章小結259

習題和解答260

第6篇 增強網路安全性

第19章 網路安全概述26219.1 網路安全威脅的來源262

19.2 網路安全範圍264

19.3 安全網路構成266

本章小結267

習題和解答268

第20章 業務隔離與訪問控制269

20.1 業務隔離269

20.1.1 區域網路業務隔離269

20.1.2 廣域網業務隔離269

20.2 訪問控制270

20.3 防火牆技術271

20.3.1 防火牆技術原理簡介271

20.3.2 狀態檢測防火牆的常用配置273

本章小結275

習題和解答275

第21章 認證與授權277

21.1 AAA體系結構277

21.2 認證授權套用278

本章小結279

習題和解答279

第22章 傳輸安全與安全防禦281

22.1 傳輸安全281

22.2 使用NAT進行安全防禦282

22.3 網路攻擊與防禦282

22.4 病毒防範285

22.5 設備安全加固285

本章小結286

習題和解答287

第23章 安全管理288

23.1 安全管理概述288

23.2 用戶行為管理288

23.3 安全事件管理289

23.4 流量管理290

23.5 安全制度管理291

本章小結291

習題和解答292

第7篇 VoIP

第24章 語音技術基礎29424.1 電話系統簡介294

24.1.1 基本模擬電話系統組成294

24.1.2 電話機295

24.1.3 本地環路295

24.1.4 PBX及中繼296

24.1.5 模擬語音接口296

24.2 呼叫流程及信令297

24.2.1 呼叫流程297

24.2.2 信令298

24.3 模/數轉換簡介299

24.4 數字語音傳輸300

本章小結301

習題和解答301

第25章 VoIP基礎302

25.1 VoIP系統介紹302

25.1.1 什麼是VoIP302

25.1.2 VoIP信令簡介303

25.1.3 語音模/數信號轉換304

25.1.4 主要編碼方式305

25.1.5 封裝IP語音包305

25.1.6 語音實體307

25.1.7 VoIP基本呼叫過程307

25.2 H.323基礎308

25.2.1 H.323組件308

25.2.2 H.323協定族309

25.2.3 H.225 RAS310

25.2.4 H.225呼叫信令311

25.2.5 H.245控制信令311

25.2.6 H.323呼叫流程312

25.2.7 H.323配置示例314

25.3 SIP基礎316

25.3.1 SIP組件316

25.3.2 SIP訊息317

25.3.3 SIP註冊及呼叫流程318

25.3.4 SIP配置示例320

本章小結322

習題和解答322

第8篇 服 務 質 量

第26章 QoS概述32426.1 新一代網路面臨的服務質量問題324

26.2 服務質量的衡量標準324

26.2.1 頻寬324

26.2.2 延遲325

26.2.3 抖動325

26.2.4 丟包率326

26.2.5 常規套用對網路服務質量的要求327

26.3 QoS的功能328

26.3.1 提高服務質量的方法328

26.3.2 QoS功能329

26.4 Best-Effort模型329

26.5 DiffServ模型329

26.5.1 DiffServ模型體系結構330

26.5.2 邊界行為331

26.5.3 無突發令牌桶算法332

26.5.4 帶突發的雙令牌桶算法332

26.5.5 主要標記方法334

26.5.6 IP Precedence334

26.5.7 DSCP335

26.5.8 802.1p CoS336

26.5.9 MPLS EXP336

26.5.10 整形和丟棄337

26.5.11 PHB337

26.6 IntServ模型339

26.6.1 IntServ模型介紹339

26.6.2 IntServ體系結構339

26.6.3 RSVP介紹340

26.6.4 IntServ模型的特點341

26.6.5 IntServ模型的主要套用341

本章小結341

習題和解答341

第27章 配置QoS邊界行為342

27.1 分類342

27.2 流量監管342

27.2.1 流量監管的實現342

27.2.2 CAR的位置343

27.2.3 CAR的原理343

27.2.4 配置CAR實現流量監管343

27.3 標記345

27.3.1 標記的實現345

27.3.2 映射表標記的原理345

27.3.3 CAR標記的原理346

27.3.4 標記的配置346

27.4 流量整形347

27.4.1 流量整形的實現347

27.4.2 GTS的位置347

27.4.3 GTS的原理348

27.4.4 配置GTS實現流量整形348

27.5 接口限速349

27.5.1 接口限速的原理349

27.5.2 接口限速的配置350

27.6 流量監管/整形配置示例350

本章小結351

習題和解答351

第28章 基本擁塞管理機制352

28.1 擁塞管理概述352

28.1.1 擁塞與擁塞管理352

28.1.2 路由器擁塞管理353

28.1.3 交換機擁塞管理353

28.2 路由器擁塞管理354

28.2.1 FIFO佇列原理354

28.2.2 FIFO佇列配置354

28.2.3 FIFO佇列的顯示355

28.2.4 PQ佇列原理355

28.2.5 PQ佇列調度356

28.2.6 PQ佇列配置357

28.2.7 PQ佇列信息顯示358

28.2.8 PQ佇列配置示例358

28.2.9 CQ佇列原理359

28.2.10 CQ佇列調度360

28.2.11 CQ佇列配置任務360

28.2.12 CQ佇列配置361

28.2.13 CQ佇列信息顯示361

28.2.14 CQ佇列配置示例362

28.2.15 WFQ佇列原理363

28.2.16 WFQ入隊機制363

28.2.17 WFQ佇列調度364

28.2.18 WFQ佇列特點365

28.2.19 WFQ佇列配置與顯示365

28.2.20 RTPQ佇列原理365

28.2.21 RTPQ佇列調度366

28.2.22 RTPQ佇列配置與顯示366

28.2.23 RTPQ配置示例367

28.3 交換機擁塞管理367

28.3.1 優先權映射367

28.3.2 SPQ佇列調度368

28.3.3 WRR佇列調度369

28.3.4 SP和WRR佇列混合調度369

28.3.5 交換機佇列的配置和顯示命令介紹370

28.3.6 交換機佇列配置示例372

本章小結372

習題和解答373

第29章 配置擁塞避免機制374

29.1 尾丟棄及其導致的問題374

29.2 RED原理375

29.3 WRED的原理376

29.4 配置WRED377

本章小結380

習題和解答380

第30章 高級QoS管理工具381

30.1 QoS policy概述381

30.1.1 QoS policy介紹381

30.1.2 QoS policy配置任務382

30.1.3 類的定義383

30.1.4 行為的定義385

30.1.5 QoS policy的配置386

30.1.6 QoS policy配置示例388

30.1.7 基於VLAN的QoS policy389

30.2 CBQ介紹390

30.2.1 CBQ概述390

30.2.2 CBQ入佇列處理390

30.2.3 CBQ佇列調度391

30.2.4 QoS預留頻寬392

30.2.5 CBQ的配置過程392

30.2.6 系統定義的CBQ393

30.2.7 CBQ佇列配置393

30.2.8 CBQ信息顯示394

30.2.9 CBQ配置示例395

30.3 基於QoS policy的其他QoS功能介紹395

30.3.1 基於QoS policy的監管與整形配置示例396

30.3.2 基於QoS policy的MPLS QoS配置示例396

30.4 DAR介紹398

30.4.1 DAR概述398

30.4.2 DAR配置示例398

本章小結399

習題和解答399

第31章 鏈路有效性增強機制400

31.1 壓縮的必要性400

31.2 IP頭壓縮401

31.3 PPP載荷壓縮403

31.4 分片和交錯404

本章小結406

習題和解答406

第9篇 開放套用體系架構

第32章 開放套用體系架構概述40832.1 OAA概述408

32.1.1 OAA簡介408

32.1.2 OAP410

32.2 OAA工作模式411

32.2.1 主機模式411

32.2.2 鏡像模式412

32.2.3 重定向模式412

32.2.4 透明模式413

32.3 聯動及管理413

32.3.1 聯動413

32.3.2 管理414

32.4 OAA典型套用415

32.5 OAA的未來416

本章小結417

習題和解答417

附錄 課 程 實 驗

實驗1 配置GRE VPN420

實驗2 配置L2TP VPN428

實驗3 IPSec VPN基本配置437

實驗4 配置IPSec保護傳統VPN數據446

實驗5 BGP/MPLS VPN基礎455

實驗6 VoIP基本配置462

實驗7 配置流量監管465

實驗8 配置擁塞管理468

實驗9 配置鏈路有效性增強機制472