《第3章底层技术.ppt》由会员分享,可在线阅读,更多相关《第3章底层技术.ppt(91页珍藏版)》请在课桌文档上搜索。
1、第3章 底层技术,TCP/IP网络不是一种新的网络建立在底层网络上的网际网底层网络被称为“物理网”网际网被称为“互连网”物理网为上层提供通信支持物理网成为互连网的“信道”,或“接口”理解和抽象互连网的接口(物理网提供的通信服务),SLIP/PPP,SLIP/PPP,两种通信方式,线路交换点对点物理信道保证信道容量无确定通信协议自由选择通信方式点对点通信,分组交换多点对多点逻辑信道不保证信道容量有确定通信协议分组通信方式可多点通信,线路交换,分组交换,广域网与局域网,WAN传输时延大,几百uS几百mS传输速率几十Kbps几Gbps信道点对点信道为主通信协议种类繁多,且依赖于服务提供商,LAN传输
2、时延小,几uS几mS传输速率MbpsGbps信道多点共享、交换信道通信协议标准化协议、种类不多,依赖性小,网络“硬件”地址,各种网络都定义了自己的编址和寻址机制物理网只能用自己的地址来实现寻址和传输物理网的地址也可称为物理地址IP地址不是物理网的地址,不能用作物理网的寻址,给定物理网的目的地址,目的地址,源地址,物理网,底层网络,LAN和以太网点到点广域连接PPP交换式广域技术X.25FRATM,LAN概述,本地多台计算机的连网自主网络(计算机、设备、信道)自主选择自主维护管理标准化LAN-IEEE802委员会IEEE802.1 LAN框架结构IEEE802.2 LAN逻辑链路层控制IEEE8
3、02.3 EthernetIEEE802.4 Tokin BusIEEE802.5 Tokin RingIEEE802.6 MAN,802.3,802.4,802.5,802.2,802.11,802.1,物理层,数据链路层,802.1:LAN的管理和控制标准801.1p、802.1q、802.1x、802.1z等802.2:逻辑链路控制,网络互连标准802.3、4、5等:介质访问、物理层、传输介质等标准 介质访问方式与物理层密切相关,因此,每种MAC层的标准都包括MAC和PHY两部分,PHY,MAC,LLC,OSI 层次,LAN子层,LAN协议体系结构,802系列各层特点,物理层:透明传输位
4、流,规定信号编码、传输媒体、拓扑结构及数据率数据链路层按功能划分为两个子层:LLC(Logic link control)逻辑链路层和MAC(Media access control)介质访问控制子层功能分解的目的:将功能中与硬件相关的部分和与硬件无关的部分进行区分,降低研究和实现的复杂度。MAC子层功能:成帧/拆帧,实现、维护MAC协议,位差错检测,寻址LLC子层功能:向高层提供SAP,建立/释放逻辑连接,差错控制,帧序号处理,某些网络层功能,地址长度:48bits个别地址和组地址(Individual/Group address)个别地址:表示一个站的唯一地址组地址:表示一组站的地址广播地
5、址:表示全部站点的地址全局地址和局部地址全局地址(Universally Address):地址中有一部分为权威机构分配的厂商代码,可在全局范围内(全球)使用。局部地址(Locally Address):无厂商代码,只能局部使用(由网络拥有者自己设定)。,MAC编址,编址方法,OUI(Oganization Unique Identifier),Universally/Locally(U/L)bit,0=U,Individual/Group(I/G)bit,0=I,0 1 2 3 4 5,AC-DE-48-00-00-80,二进制表示,十六进制表示,所有bit全为1表示广播地址MAC地址固化在
6、网络接口卡硬件中。网络拥有者可自由选择使用全局地址或局部地址网络拥有者可根据网络管理要求自行设计站点的局部地址。,Hardware Sequence number,bit0,bit47,802.3MAC帧格式,DA,SA,LLC-PDU,介质相关数据,DA(2 or 6):目的地址,在帧的前面,便于硬件检测。SA(2 or 6):发送站的MAC地址 Len(2):LLC-PDU的长度 规定帧的最小长度和最大长度。最小长度用于保证CSMA/CD的冲突检测有效。最大长度限制站点占用信道的时间(如0.1us 1ms)如Ethernet 帧:641518字节,Len,CRC,LLC层,标准:IEEE8
7、02.2目的:为上层提供通用的、与具体LAN无关的通信服务所有不同的LAN,都具有统一的LLC,LLC,LLC,802.3,802.3,802.3,802.5,802.5,802.5,Ethernet,Tokin Ring,LLC,MAC,PHY,LLC,MAC,PHY,LAN,LLC-SAP,LLC 模型LLC在LAN中的通信为端-端通信(不考虑中继功能)通过LSAP为上层提供统一的接口(屏蔽了不同LAN差异)LLC实体实现两种通信方式:CO、CL提供两类服务:类 I:CL类II:CO+CL,LLC 的服务访问点每个LLC实体最多有127个个别SAP和127个组SAP特殊SAPSAP=0:N
8、ull,用于直通MAC服务访问点SAP=40H、C0H:LLC子层管理用其它SAP:为上层实体提供CL或CO通信,LLC,MAC访问,0,LLC管理,NetBios,IP,无连接,面向连接,体系结构应用模式,两种应用模式IEEE802标准模式Internet模式,MAC,PHY,MAC,PHY,LLC,Internet 模式,IEEE802标准模式,IEEE802标准模式完整的LAN层次结构和LLC的PDU格式,上层实体使用LLC提供的服务IEEE标准模式意在提供一种通用的通信服务接口、如:X.25、NetBios、IP、IPX等。Internet模式无LLC层、不使用LLC的PDU格式,但M
9、AC继PHY采用IEEE802标准,上层实体直接使用MAC帧封装PDU(对其中的Len有修改)。该模式不考虑提供CO服务,并以最简化的方法提供CL服务。,Internet 模式的帧结构,DA,SA,Data,L/T,L/T:长度/类型L/T 1500表示data的类型(称为Ethernet-II帧)注意:L/T实现了两种帧格式的统一例如:L/T=800H 表示data 为 IP分组L/T=806H 表示data 为ARP分组L/T=1FC9H表示data 为IPX分组,CRC,实际系统中的LAN协议栈,MAC,PHY,LLC,IP,NetBios,IP具体使用何种帧格式由系统配置决定,以Eth
10、ernet-II最流行,Ethernet,以太网发展历程,1982.10IEEE802.31990.4Switch1993Full duplex1995.3100Mbps,IEEE802.3u1998.61Gbps,IEEE802.3z2000.1010Gbps,IEEE802.3ae,10M Ethernet,数据传输速率:10Mbps传输介质:10Base5粗缆,最大段长500米10Base2细缆,最大段长185米10Base-T双绞线,UTP3,最大长度100米10Base-F光纤,最大长度5002000米编码方式曼切斯特编码信道传输码率 20Mbps,100M Ethernet,数据传
11、输速率:100Mbps传输介质:100Base-TX,UTP5,2对,最大长度100米100Base-T4,UTP3,4对,最大长度100米100Base-FX,光纤,2对,最大长度5002000米编码方式4B/5BMLT-3(-TX,125Mbps)8B6T(-T4,25Mbps)4B/5BNRZ-I(-FX,125Mbps),10/100M自适应技术(10/100M AutoSense)需硬件能力支持主动在信道上发送链路整合脉冲(Link Integrty Pulse),以实现AutoSense。从高到低进行协商过程100M全双工100M半双工10M全双工10M半双工,1000M Ethe
12、rnet,数据传输速率:1000Mbps传输介质1000Base-LX,长波多模,550米或5000米1000Base-SX,短波多模,275米或550米1000Base-CX,铜屏蔽跳线,25米1000Base-T,UTP5,4对编码方式8B10B(光纤,1250Mbps)4D-PAM5(UTP,250Mbps),从来没用过,多端转发器(HUB),总线型结构(MAU+信道)、物理层设备具备冲突检测和产生冲突增强信号双绞线、光纤、同轴电缆接口端口故障隔离,MAU,Media,逻辑上等效于:,冲突域与广播域冲突域冲突域是CSMA/CD工作的范围冲突域内所有站点共同竞争共享信道,所有站点的通信容量
13、总和不超过信道传输速率任何两站点间同时发送数据就会产生冲突的范围属于同一个冲突域总线型以太网和HUB构成的网络是一个冲突域广播域广播帧到达的网络范围称为广播域每个广播帧,广播域内所有站点都收到总线型以太网、HUB构成的网络属于同一个广播域,且广播域与冲突域的范围是相同的。,HUB组网HUB通过级联构成树状结构逻辑上仍然是一个总线型网络过多级联影响CSMA/CD性能,不小心形成了环状,会产生什么问题?,交换式以太网,桥的基本原理交换机的概念,1 问题提出,考虑两个以太网的连接直接连接效果 两个以太网合成一个以太网信道竞争范围加大、竞争冲突增加信道容量不变、平均每个站点的通信性能降低,换一种思路,
14、用一台计算机,安装两个以太网接口,连接两个以太网通信效果:任一个网络上的站点都可与计算机通信网络两边的站点之间仍然不能进行通信原因:计算机是端系统,不是中继系统,没有转发义务,PHY,PHY,MAC,MAC,LLC,计算机中的层结构,增加计算机的中继功能,在MAC层增加中继软件去掉接口过滤,接收网络上所有的帧把目的MAC不属于自己的帧从另一个接口再发送出去,PHY,PHY,MAC,MAC,LLC,中继,计算机中的层结构,对计算机中软件功能的基本要求其他所有站点的通信仍保持原样,不受影响广播、多播、单播都能到达应到达的地方从源站点到目的站点的传输中,帧的内容不应有任何变动允许站点的物理位置从一个
15、网络移动到另一个网络,软件功能,计算机,软件功能设计对收到的广播、多播帧,则从另一端口转发出去对收到的单播帧转发到另一端口(如果知道他在另一边的话)忽略(如果知道他在同一边网络的话)存储收到的帧,按先到先处理,并排队发送(存储转发)各个接口独立按各自的信道竞争算法发送帧,通信如同一个网一样,但网络性能提高了,效果推断每个端口工作是独立的,并参与各自的CSMA两个网络同时有帧发送时,不会产生冲突到达另一个网络的帧会有较大的延时,但该延时不影响CSMA/CD广播、多播会穿越计算机到达另一个网络如果计算机有合适的MAC地址信息,则单播帧会送到目的站点网络上的站点完全可以不知道该计算机的存在,站点的工
16、作方式不受影响信道竞争分为两段进行,相互独立每个信道竞争站点少,每个信道效率提高两个信道同时工作,网络的整体容量提高(约2倍),网桥,桥的实现MAC地址表存放网络上站点的MAC地址及对应的端口转发处理依据帧中目的地址查找地址表,决定是否转发转发时,将帧送到端口的发送队列中,依次发送出去,实现细节需考虑的问题MAC地址表的建立和更新对目的MAC未知的单播处理站点移动的适应处理自学习法建立更新MAC地址表帧中源MAC:添加到MAC表中,或刷新它的生存期目的MAC未知的帧:送到另一个端口一定时间不活动的MAC表纪录:删除,实现内容收到帧,收到帧,用帧中源地址查找MAC地址表,刷新表项的时间,MAC表
17、中添加新的一项,结束,目的地址为广播、组播,网桥的通信特点,数据帧的内容穿过网桥时不发生改变广播帧先后在网桥两边出现数据帧可能:出现在网桥的另一边(如果目的地在另一边)不出现在另一边(源和目的在同一边)把冲突分隔成两段(称为两个网段),数据帧,数据帧,数据帧,数据帧,网1,网2,网桥转发,网桥的评价无需知道网络情况,就能正常工作 自学习桥逐渐建立MAC地址表站点无需知道网桥的存在 透明桥广播域不变,冲突域被分割 广播域和冲突域不一致网桥可以没有自己的MAC地址 接口采用全部接收方式,从网络获取报文,网桥的组网,扩大以太网规模链状级连由于分隔了冲突,理论上可以无限制级连级连数越多,远端站间的时延
18、越大,树形级连不改变组网规模,缩小网络“直径”,桥,桥,桥,桥,全双工操作,在多个网桥组成的网络中,会有多个点到点链路采用双绞线时,收发线是分开的这些线路上可以实现全双工通信,网桥,网桥,网桥,网桥,服务器,全双工通信时:收发可同时进行CSMA/CD失去效用不受Ethernet最大时延限制,线路可以很长线路上还可用中继延长距离Ethernet的特征只剩下了帧结构,网桥,网桥,全双工以太网网络由网桥组成所有计算机都直接连接到网桥的接口上所有线路全部采用全双工工作除了帧格式外,网络没有以太网的特征网络性能大幅度提高,桥,桥,桥,桥,桥,桥,组建大型以太网若干个网桥组成树形拓扑结构网桥的远程连接大范
19、围及大量计算机组成的“LAN”,桥,桥,桥,桥,桥,桥,桥,桥,桥,桥,桥,桥,桥,远程,远程,桥的组网限制环状使网络不能工作不仅是MAC表的改动问题每个报文触发网络中的帧无线循环下去直到把网络的资源全部用完,桥,桥,桥,桥,桥,M1,M2,M1,1?3,M1,1?3,M1,1?2,解决方法-生成树协议,为了组网方便(无需刻意避免环)为了提高可靠性(冗余、备份线路)网桥组成有的网中允许出现环(甚至网状结构)让网桥自动发现环的存在,并自动断开环,形成树状结构,桥,桥,桥,桥,桥,桥,树的定义,树:点和线组成的图,若图是连通的,且无环存在,则称该图为树图去环步骤:在点线的连通图中,找出图中的一个环
20、,取掉其中的一条线后,该图还是连通的重复去环步骤,直到图中无环存在,图仍是连通的,该图称为原图的生成树,生成树考虑,允许网络中出现环路自动检测出环路的存在断开环的某些线路,形成生成树,断开的线路作为备份线路一旦工作的线路发生故障,备份线路加入进来,维持网络的连通性自动发现网络拓扑的变化,自动形成新的生成树,生成树算法(IEEE802.1d),标识每个网桥分配一个唯一的标识定义一个专供网桥使用的组播MAC地址网桥每个端口分配一个唯一的标识定义根网桥:网桥标识最小的网桥路径费用:为每个端口定义一个通过该端口的费用根端口:通过该端口到达根网桥的费用最少根路径费用:网桥到根网桥的费用选取网桥、选取端口
21、:到根网桥费用最少的网桥和相应的端口(一般:根网桥就是选取网桥),算法决定根网桥决定所有其他网桥的根端口决定每个局域网的选取网桥、选取端口。多个网桥若具有相同的根路径费用,则网桥标识最小的作为选取网桥。根端口和选取端口作为转发端口,其余作为阻塞端口。当两个局域网通过多个网桥相连时,该方法会去掉多余的通路,即断开了环路。,生成树的构成,LAN2,A,LAN3,B,C,LAN4,D,LAN 1,E,F,LAN5,G,A,LAN2,LAN3,B,LAN 1,LAN4,D,LAN5,E,生成树算法:以序列号最小的网桥为根,按照最短路径,动态求出生成树,保证任意两个LAN之间只有一条通路,无环路,以太网
22、交换机(二层交换机),用硬件实现的以太网桥物理层:硬件MAC层:硬件转发:硬件生成树协议:硬件特点密集端口,典型值8,16,24,32个端口每个端口均可全双工/半双工10/100M AutoSense高性能,所有端口均无阻塞、可满负荷工作,引出的问题,随着网络的不断扩大,性能不升反降原因:广播风暴,广播信息真是那么频繁出现的吗?,答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。,VLAN(虚网,Virtual LAN)概念通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,使网络中任
23、意几个LAN或单站能够组合成一个逻辑上的子网一个VLAN可以看作一组客户工作站的集合,这些工作站不必处于同一个物理网络上。不用路由器对广播数据进行抑制,交换设备就可以完成。跟踪各个工作站物理位置的变动,使之在移动之后不需对其网络地址重新手工配置。,分割广播域,降低了广播风暴的产生新问题:不同广播域的站点通信困难,没有有效的手段获取目的MAC地址,交换机,广播域,交换机,广播域,广播域,一个广播域,两个广播域,广播域分割,彻底分割不仅是广播的分割,同时也实现桥接功能的分割彻底的两个独立交换机但可通过软件改变分割的方式获得灵活的分割物理结构和逻辑结构出现不一致现象,交换机,桥接,桥接,=,+,物理
24、结构,逻辑结构,VLAN 技术,VLAN分割方法可以用不同的方法进行VLAN的分割基于端口的分割(地理位置)基于MAC地址的分割(用户)基于帧类型的分割(应用)基于算法的分割(抽象、通用,非排他性),基于端口的VLAN(静态VLAN)交换机中,对每个端口指派所属的VLAN一个端口可属于多个VLAN从地理位置上划分VLAN容易通过端口位置检查和维护网络VLAN的最初方式,也是最简单的方式目前应用最多的方式用户站点若在网络中移动,可能会移动到另外一个VLAN上去能降低广播风波风暴的产生,应用:服务器为多个VLAN提供服务器所接的端口应属于多个VLAN(提供服务的VLAN)否则,无法为他提供服务,基
25、于端口划分操作,基于MAC地址的VLAN交换机中,对每个MAC地址指派所属的VLANMAC表可按VLAN划分后组织各个VLAN用各自的MAC表来转发一个MAC可属于多个VLAN地理位置重叠的独立的LAN用户的站点在网络中移动,仍属同样的VLAN,不受移动的影响广播风暴的危险依然,地理位置重叠的独立的LAN,VLAN1,VLAN2,VLAN3,1,3,2,3,2,1,3,须手工配置,在大型网络中很痛苦属于不同VLAN的成员同时存在于同一个端口时可能会导致严重的性能下降,基于帧类型的VLAN交换机中,对每种应用或协议指派所属的VLAN站点使用不同的协议时属于不同的VLAN如:TCP/IP的VLAN
26、、NetBios的VLAN地理位置重叠的独立的LANVLAN间的界限很模糊用户的站点在网络中移动,仍属同样的VLAN,不受移动的影响广播风暴的危险依然,基于分割算法的VLAN最灵活的VLAN划分方式可综合MAC、帧类型、上层协议等的划分算法理论上,特定网络的特定应用,总可能找得出一种划分算法满足要求VLAN间的界限很模糊用户的站点在网络中移动,仍属同样的VLAN,不受移动的影响广播风暴的危险依然,基于子网的VLAN通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的
27、VLAN。是一种在OSI的第三层设定访问链接的方法需由三层交换设备完成。,VLAN的组网,单台交换机上的VLAN在单台交换机上,各种VLAN划分都能方便地实现VLAN。VLAN不影响在网络中采用共享、交换、全双工等技术,VLAN2,VLAN3,VLAN4,VLAN1,跨多个VLAN的端口报文处理,VLAN1交换,VLAN2交换,VLAN3交换,交换机,入,出,出端口:与普通端口一致,不需特殊处理入端口:由于报文中无VLAN信息方法1:送所有关联VLAN交换(可能引起广播)方法2:根据源MAC,在所有VLAN交换模块中确定所在的模块,报文送到该模块(增加交换机的复杂性),跨越交换机的VLAN交换
28、机间的接口属于多个VLAN为直接的VLAN提供交换为非直接的VLAN提供交换,与此交换机无关VLAN通信,基于端口的VLAN划分,仅靠交换机上简单的VLAN划分,无法实现交换网上的VLAN划分每台交换机都需了解网上所有VLAN的情况交换网要适应多种VLAN划分算法交换机的复杂性加大、处理负担加重不利于交换机向大容量扩展,VLAN标准:IEEE802.1Q,VLAN处理的简化,考虑在以太帧中增加VLAN标志方案:把L/T域由2byte扩展成6byte最大帧长1518 1522 byte(超长帧)由VT、VID、L/T三个域组成VLAN以太帧VT:替换原来的L/T域,标志成VLAN帧(VLAN T
29、ag)VID:VLAN-ID,每个VLAN一个唯一的ID号L/T:原来的L/T,dMAC,sMAC,L/T,Data,FCS,普通以太帧,dMAC,sMAC,VT,Data,FCS,VLAN以太帧,VID,L/T,兼容性的处理端系统只能处理普通以太帧,不认识VLAN帧在接口上区分交换机根据接口类型决定使用普通帧还是VLAN帧,以太网普通接口(普通帧)(连接普通以太网),以太网VLAN接口(VLAN帧)(连接其他VLAN接口),普通帧,VLAN帧,普通接口收/发普通帧交换机能唯一确定收到的报文所属的VLAN端口划分、MAC划分、算法划分VLAN接口收/发VLAN帧根据VLAN-ID确定处理报文的
30、LAN交换模块交换机掌握网络上有多少个VLAN每个VLAN所关联的接口(如广播的需要)只需在普通VLAN转换处实现VLAN划分算法中继时,无需了解VLAN的划分,只简单地根据VLAN-ID实现交换转发,根据MAC区分VLAN,根据VLAN-ID区分VLAN,VLAN端口,加VLAN-ID,去VLAN-ID,VLAN总结,(1)提高管理效率简化网络中站点的移动、增加和改变等工作在物理连接的基础上多了一个虚拟连接,性能要有一定开销(2)控制广播数据支持VLAN的交换设备可以有效的抑制广播数据,VLAN中的广播数据将只被转发到那些和该VLAN的某个成员存在连接的端口上与路由器相比:性能出色,配置与管
31、理简单广播域的大小容易控制(3)增强网络安全性:共享LAN易于受到入侵;广播域越大,危险越大,主要内容,LAN和以太网点到点广域连接PPP交换式广域技术X.25FRATM,在WAN技术中有一些只提供物理层承载服务的WAN访问技术,如PSTN、ISDN的B通道上的电路交换服务、ADSL的远程接入服务和DDN等,这些服务的共同特点就是为用户提供了点对点的专用物理信道。然而,没有第二层协议的支持,WAN的物理链路是没有办法传输数据的,更不要说进行链路控制了,于是在这些物理层承载服务的基础上定义了点对点协议(PPP),其协议结构如图。,IP,PPP,ISDN(B)PSTN ADSL DDN SDH,P
32、PPpoint-to-point protocol,Internet的标准RFC1661,1662,1663支持差错检测、多种协议、允许连接时协商IP地址、允许身份验证PPP完成以下工作:成帧并进行错误检测链路控制协议LCP(Link control protocol):选择线路、测试线路、释放链路网络控制协议NCP(Network control protocol):独立于所使用的网络层协议的方法来协商使用网络层哪些选项。,PPP帧结构,F,净荷,C,A,F,校验和,1 字节,2/4,0-最大长度,1,1,1,协议,1/2,F:首尾标志7Eh,透明传输采用字符填充A:地址字段,永远为FFh,
33、表示所有站点都可以接收C:控制字段,默认为03h,表示无编号帧协议:指明净荷字段的包类型,支持LCP、NCP、IP、IPX、AppleTalk.LCP(链路控制协议),用于建立/拆除数据链路连接、测试连接质量、协商参数.NCP(网络控制协议),用于协商网络层选项,如动态分配IP地址物理层:支持MODEM拨号、HDLC位串行线、SONET.,ESTABLISH,AUTHENTICATE,DEAD,TERMINATE,OPEN,NETWORK,检测到载波,协商失败,连接双方达成一致,通过身份验证,NCP配置,数据传输结束,失去载波,验证失败,PPP通信阶段状态转换图,发LCP包来配置和测试数据链路
34、,打开链路,协商参数,链路质量检测LCP决定链路质量是否满足网络层协议要求;进行认证,网络层协议通过适当的NCP协议进行单独的配置。,LCP能在任何时刻关闭链路,可以是应用户请求或因为物理故障,链路控制协议LCP,链路控制协议负责建立、保持、配置和终结链路通信的发起方首先发送LCP帧来配置和(有选择地)测试数据链路。在数据链路已经建立、协调之后,LCP允许有一个可选的链路质量检测阶段。(决定链路质量是否满足网络层协议的要求)通信链路将一直保持直到LCP帧关闭链路,或者是其它的外部事件发生(比如超时或用户干预等)之前。,PPP认证,在PPP会话中认证阶段是可选的,如果需要认证,那么认证将发生在网
35、络协议配置阶段之前。在认证阶段要求链路的发起方在认证选项中填写认证信息(例如,用户名、主机名和密码),以便确认用户得到了网络管理员的许可能够发起通信。PPP支持两种认证协议:PAP和CHAP。在一般情况下,CHAP是首选协议。,PAP-口令鉴别协议,PAP利用双向握手信号建立远端节点的认证;在PPP链路建立完成后,远端节点将不停地在链路上反复发送用户名和密码直到认证通过,否则连接终止。PAP安全性差,密码在链路上是明文传输的,第三方可以毫不费力的从中途截取。,CHAP挑战握手鉴别协议,CHAP利用3次握手周期性地检验远端节点的身份;在PPP链路建立后,主机向远端节点发送询问。远端节点返回一个值
36、,主机将该值与自己的值相比较,如果匹配则认证通过,否则连接中断;,比PAP安全:周期性验证,PAP只进行一次认证;CHAP不允许连接发起方在没有收到询问消息的情况下进行认证尝试;CHAP使用不同的询问消息,每个消息都是不可预测的唯一值,这样就可以防范再生攻击;“共同的秘密”不在线上传输,网络控制协议IPCP,IPCP负责配置、使能、停止点对点链路两端的IP协议模块。IPCP配置的内容主要有IP压缩协议和IP地址。IP地址配置给出了确定本地IP地址的方法,本地IP地址可以是事先分配的IP地址,需要对方PPP实体予以确认;本地IP地址也可以要求对方PPP实体动态分配。通过拨号上网的用户一般没有固定IP地址,在与远程接入服务器进行连接的过程中,有远程AS为用户动态分配一个IP地址,这就是由IP协议配置过程完成。IP over PPP不需要ARP。,各种协议分组的封装,地址,控制,协议,数据区,1 1 1 2 可变长 2 1,标志,CRC,标志,0021,IP报文,C021,链路控制数据,C023,口令认证数据,C223,挑战握手认证数据,IP幀,LCP幀,PAP幀,CHAP幀,7E FF 03 7E,8021,网络控制数据,IPCP幀,主要内容,LAN和以太网点到点广域连接PPP交换式广域技术X.25FRATM,
