《华为赛门铁克HSCDA认证培训网络课程数据通信》由会员分享,可在线阅读,更多相关《华为赛门铁克HSCDA认证培训网络课程数据通信(66页珍藏版)》请在金锄头文库上搜索。
1、幻灯片 1幻灯片 2幻灯片 3幻灯片 4幻灯片 5幻灯片 6幻灯片 7物理层涉及到在通信信道(channel)上传输的原始比特流,它实现传输数据所需要的机械、电气、功能特性及过程等手段。物理层涉及电压、电缆线、数据传输速率、接口等的定义。物理层的主要网络设备为中继器、集线器等。数据链路层的主要任务是提供对物理层的控制,检测并纠正可能出现的错误,使之对网络层显现一条无错线路,并且进行流量调控(可选)。流量调控可以在数据链路层实现,也可以由传输层实现。数据链路层与物理地址、网络拓扑、线缆规划、错误校验、流量控制等有关。数据链路层主要设备为以太网交换机。网络层检查网络拓扑,以决定传输报文的最佳路由,
2、其关键问题是确定数据包从源端到目的端如何选择路由。网络层通过路由选择协议来计算路由。存在于网络层的设备主要有路由器、三层交换机等。 后面您将学习到更多关于网络层的知识。传输层的基本功能是从会话层接受数据,并且在必要的时候把它分成较小的单元,传递给网络层,并确保到达对方的各段信息正确无误。传输层建立、维护虚电路,进行差错校验和流量控制。会话层允许不同机器上的用户建立、管理和终止应用程序间的会话关系,在协调不同应用程序之间的通信时要涉及会话层,该层使每个应用程序知道其它应用程序的状态。同时,会话层也提供双工(duplex)协商、会话同步等等。表示层关注于所传输的信息的语法和意义,它把来自应用层与计
3、算机有关的数据格式处理成与计算机无关的格式,以保障对端设备能够准确无误地理解发送端数据。同时,表示层也负责数据加密等。应用层是OSI参考模型最靠近用户的一层,为应用程序提供网络服务。应用层识别并验证目的通信方的可用性,使协同工作的应用程序之间同步。 幻灯片 8OSI参考模型依层次结构来划分:第一层,物理层(Physical layer);第二层,数据链路层(data link layer);第三层,网络层(network layer);第四层,传输层(transport layer) ;第五层,会话层(session layer);第六层,表示层(presentation layer);第七层
4、,应用层(application layer)。通常,我们把OSI参考模型第一层到第三层称为底层(lower layer),又叫介质层(Media Layer)。这些层负责数据在网络中的传送,网络互连设备往往位于下三层。底层通常以硬件和软件相结合的方式来实现。OSI参考模型的第五层到第七层称为高层(upper layer),又叫主机层(host layer)。高层用于保障数据的正确传输,通常以软件方式来实现。七层OSI参考模型具有以下优点:简化了相关的网络操作;提供即插即用的兼容性和不同厂商之间的标准接口;使各个厂商能够设计出互操作的网络设备,加快数据通信网络发展;防止一个区域网络的变化影响另
5、一个区域的网络,因此,每一个区域的网络都能单独快速升级;把复杂的网络问题分解为小的简单问题,易于学习和操作。需要注意的是,由于种种原因,现在还没有一个完全遵循OSI七层模型的网络体系,但OSI参考模型的设计蓝图为我们更好的理解网络体系,学习计算机通信网络奠定了基础。 幻灯片 9幻灯片 10地址解析协议ARP是一种广播协议,主机通过它可以动态地发现对应于一个IP地址的MAC层地址。每一个主机都有一个ARP高速缓存(ARP cache),有IP地址到物理地址的映射表,这些都是该主机目前知道的一些地址。当主机A欲向本局域网上的主机B发送一个IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地
6、址。如有,就可查出其对应的物理地址,然后将该数据报发往此物理地址。也有可能查不到主机B的IP地址的项目。可能是主机B才入网,也可能是主机A刚刚加电,其高速缓存还是空的。在这种情况下,假定主机A需要知道主机B的MAC地址,主机A发送称为ARP请求的以太网数据帧给网段上的每一台主机,这个过程称为广播。发送的ARP请求报文中,带有自己的IP地址到MAC地址的映射,同时还带有需要解析的目的主机的IP地址。目的主机B收到请求报文后,将其中的主机A的IP地址与MAC地址的映射存到自己的ARP高速缓存中,并把自己的IP地址到MAC地址的映射作为响应发回主机A。主机A收到ARP应答,就得到了主机B的MAC地址
7、,同时,主机A缓存主机B的IP地址到MAC地址映射。 幻灯片 11在进行地址转换时,有时还要用到反向地址转换协议RARP。RARP常用于X终端和无盘工作站等,这些设备知道自己MAC地址,需要获得IP地址。为了使RARP能工作,在局域网上至少有一个主机要充当RARP服务器。以上图为例,无盘工作站需要获得自己的IP地址,向网络中广播RARP请求,RARP服务器接收广播请求,发送应答报文,无盘工作站获得IP地址。对应于ARP、RARP请求以广播方式发送,ARP、RARP应答一般以单播方式发送,以节省网络资源。 幻灯片 12幻灯片 13每个IP地址是一个写成4个8位字节的32比特值。这就意味着存在4个
8、组,每个组包括8个二进制位,如上图所示。 幻灯片 14幻灯片 15幻灯片 16PPP协议也提供了可选的认证配置参数选项,缺省情况下点对点通信的两端是不进行认证的。在LCP的Config-Request报文中不可一次携带多种认证配置选项,必须二者择其一(PAP/CHAP),选择最希望的那一种,一般是在PPP设备互连的设备上进行配置的,但一般设备会默认支持一个缺省的认证方式(PAP是大部分设备所默认的认证方式)。当对端收到该配置请求报文后,如果支持配置参数选项中的认证方式,则回应一个Config-Ack报文;否则回应一个Config-Nak报文,并附带上自希望双方采用的认证方式。当对方接收到Con
9、fig-Ack报文后就可以开始进行认证了,而如果收到得是Config-Nak报文,则根据自身是否支持Config-Nak报文中的认证方式来回应对方,如果支持则回应一个新的Config-Request(并携带上Config-Nak报文中所希望使用的认证协议),否则将回应一个Config-Reject报文,那么双方就无法通过认证,从而不可能建立起PPP链路。PPP支持两种授权协议:PAP(Password Authentication Protocol)和CHAP(Challenge Hand Authentication Protocol)。 我们所知两个设备在使用PAP进行认证之前,应该确认那
10、一方是验证方,那一方是被验证方。实际上对于使用PPP协议互连的两端来说,既可作为认证方,也可作为被认证方。但通常情况下,PAP只使用一个方向上的认证。一般在两端设备使用PAP协议之前,均会设备上进行一些相应的配置,对于宽带工程师而言MA5200可谓是大家最熟悉的产品了,它默认就作为验证方,但可通过使用命令PAP Authentication PAP/CHAP来更改认证方式,而对于被验证方而言只需设置用户名和密码即可。PAP认证是两次握手,在链路建立阶段,依据设备上的配置情况,如果是使用PAP认证,则验证方在发送Config-Request报文时会携带认证配置参数选项,而对于被验证方而言则是不需
11、要,它只需要收到该配置请求报文后根据自身的情况给对端返回相应的报文。如果点对点的两端设备采用的是PAP双向认证时,也即是它同时也作为验证方,则此时需要在配置请求报文中携带认证配置参数选项。因此,我们可以总结一下,如果对于点对点的两个设备在PPP链路建立的过程中使用的认证方式为PAP的话,那么验证方在其Config-Request报文中必须含有认证配置参数选项,且该认证配置参数选项的数据域为0xC023 。当通信设备的两端在收到对方返回的Config-Ack报文时,就从各自的链路建立阶段进入到认证阶段,那么作为被验证方此时需要向验证方发送PAP认证的请求报文,该请求报文携带了用户名和密码,当验证
12、方收到该认证请求报文后,则会根据报文中的实际内容查找本地的数据库,如果该数据库中有与用户名和密码一致的选项时,则回向对方返回一个认证请求响应,告诉对方认证已通过。反之,如果用户名与密码不符,则向对方返回验证不通过的响应报文。如果双方都配置为验证方,则需要双方的两个单向验证过程都完成后,方可进入到网络层协议阶段,否则在一定次的认证失败后,则会从当前状态返回链路不可用状态。例10: 如图4-1所示,当路由器A(被验证方)收到了路由器B 的Config-Ack报文后,因为是使用PAP认证,所以作为被验证方的路由器A应主动向验证方(路由器B)发送认证请求报文(PAP Authenticate),用户名
13、和密码均为163,报文的内容如下:7E FF 03 C0 23 01 01 00 0C 03 31 36 33 03 31 36 33 7E下划线的前四个字节是用户名,后四个字节是密码。当路由器B收到了该报文后,会向路由器A回应一个PAP Authenticate Ack报文,报文内容如下:7E FF 03 80 21 02 01 00 05 00 7E此时所回应的报文中,并未携带任何数据,如果是认证不通过,则会在返回的报文中指是因何原因无法认证通过,可能是无此用户名或密码不匹配。 幻灯片 17与PAP认证比起来,CHAP认证更具有安全性,从前面认证过程的数据包交换过程中不然发现,采用PAP认
14、证时,被验证是采用明文的方式直接将用户名和密码发送给验证方的,而对于PAP认证则不一样。CHAP为三次握手协议,它只在网络上传送用户名而不传送口令,因此安全性比PAP高。在验证一开始,不像PAP一样是由被验证方发送认证请求报文了,而是由验证方向被验证方发送一段随机的报文,并加上自己的主机名,我们通称这个过程叫做挑战。当被验证方收到验证方的验证请求,从中提取出验证方所发送过来的主机名,然后根据该主机名在被验证方设备的后台数据库中去查找相同的用户名的记录,当查找到后就使用该用户名所对应的密钥,然后根据这个密钥、报文ID和验证方发送的随机报文用Md5加密算法生成应答,随后将应答和自己的主机名送回,同
15、样验证方收到被验证方发送回应后,提取被验证方的用户名,然后去查找本地的数据库,当找到与被验证方一致用户名后,根据该用户名所对应的密钥、保留报文ID和随机报文用Md5加密算法生成结果,和刚刚被验证方所返回的应答进行比较,相同则返回Ack,否则返回Nak。例11: 如图4-2所示,当路由器A(被验证方)收到了路由器B 的Challenge报文后,报文内容如下:7E FF 03 C2 23 01 01 00 1C 10 FF 41 CF 22 AA 8E F1 B9 99 9A 79 A7 56 78 C4 A7 4d 41 35 32 30 30 41 7E下划线的前16个字节是验证方随机产生的一
16、段报文,后7个字节是验证方的主机名(MA5200A),而且单个字节10表示随机报文的长度。而此时路由器A会根据用户名所对应的密钥使用报文的ID和该报文的内容生成一个回应报文,报文内容如下:7E FF 03 C2 23 02 01 00 1F 10 18 86 22 FF CE 81 D0 68 FF 80 85 00 A7 E3 85 35 70 706B 69 73 73 40 68 75 61 7E我们将这个回应报文与验证方发送的挑战报文进行比较,报文的代码域已由原01改为02,总报文的长度有变化,主要后而一个下划线的内容是被验证方的主机名(ppkisshua),而且此时回应的16个字节的报文已经是经过MD5算法加密过的。当验证方收到了这个回应报文后,会根据报文中被验
