版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、寬帶協(xié)議原理—中國鐵通定制,,Page 2,學(xué)習(xí)完此課程,您將會(huì):掌握PPP協(xié)議的基本原理和交互過程掌握PPPOE協(xié)議的基本原理和交互過程掌握Radius協(xié)議的基本原理和交互過程掌握DHCP協(xié)議的基本原理和交互過程掌握802.1X認(rèn)證原理,目 標(biāo),Page 3,第1章 PPP協(xié)議第2章 PPPOE協(xié)議第3章 Radius協(xié)議第4章 DHCP協(xié)議第5章 802.1X原理,內(nèi)容介紹,Page 4,PPP協(xié)議簡介,PPP協(xié)
2、議提供了一種標(biāo)準(zhǔn)的方式在點(diǎn)對點(diǎn)的鏈路上傳輸多種網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)。,PPP協(xié)議與協(xié)議棧的對應(yīng)關(guān)系,,PPP協(xié)議,Page 5,PPP協(xié)議的特點(diǎn),支持點(diǎn)到點(diǎn)的連接,不同于X.25、frame relay等數(shù)據(jù)鏈路層協(xié)議,具有CHAP、PAP驗(yàn)證協(xié)議,更好的保證了網(wǎng)絡(luò)的安全性。PPP的物理層既支持?jǐn)?shù)據(jù)為8位和無奇偶校驗(yàn)的異步模式,還支持面向比特位的同步鏈接,如frame relay必須為同步電路。PPP有針對不同網(wǎng)絡(luò)層的網(wǎng)絡(luò)控制協(xié)議,如
3、大家熟知的IPCP, IPXCP。同樣類似于SLIP協(xié)議,它也允許雙方協(xié)商是否對報(bào)文首部進(jìn)行壓縮。,Page 6,PPP協(xié)議的三組件,多協(xié)議數(shù)據(jù)報(bào)的封裝方式PPP協(xié)議的鏈路控制協(xié)議LCPPPP協(xié)議的網(wǎng)絡(luò)控制協(xié)議NCP,Page 7,PPP的數(shù)據(jù)幀格式,,,,,,,,校驗(yàn),標(biāo)志,標(biāo)志,地址,信息域,控制,協(xié)議域,1B,1B,2B,缺省1500B,7E,FF,03,1B,2B,1B,7E,Page 8,,,,校驗(yàn),IP數(shù)據(jù)報(bào)文,0x00
4、21,,,,校驗(yàn),LCP數(shù)據(jù)報(bào)文,0xC021,,,,校驗(yàn),NCP數(shù)據(jù)報(bào)文,0x8021,協(xié)議域長度為2個(gè)字節(jié),主要用來指明信息域中使用的協(xié)議類型。該域的結(jié)構(gòu)與ISO3309地址域擴(kuò)展機(jī)制一致。,PPP數(shù)據(jù)幀所承載的幾種常見的報(bào)文,Page 9,LCP報(bào)文,可選,由配置決定,PPP狀態(tài)轉(zhuǎn)移圖,Page 10,,,信息域,協(xié)議域,,標(biāo)識(shí)域,,,代碼域,長度域,,數(shù)據(jù),,長度域,,類型域,,數(shù)據(jù),,,,,PPP封裝格式,LCP數(shù)據(jù)報(bào)文的封裝
5、格式,LCP數(shù)據(jù)報(bào)文中配置參數(shù)選項(xiàng)的封裝格式,0xC021,LCP協(xié)議數(shù)據(jù)報(bào)文的格式,Page 11,LCP協(xié)議數(shù)據(jù)報(bào)文的分類,鏈路配置報(bào)文用來建立和配置一條鏈路,主要包括Configure-Request、Configure-Ack、Configure-Nak和Configure-Reject報(bào)文 鏈路終止報(bào)文用來終止一條鏈路,主要包括Terminate-Request和Terminate-Reply報(bào)文 鏈路維護(hù)報(bào)文用
6、來管理和調(diào)試鏈路,主要包括Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply和Discard-Request,Page 12,,0x01,,,,,,,,,,,,,,,,,,,,,,,,0x02,0x03,0x04,0x05,0x06,0x07,0x08,0x09,0x0A,0x0B,0x0C,Configure-Request,Configure-Ack,Configure-Nak,C
7、onfigure-Reject,Terminate-Request,Terminate-Reply,Code-Reject,Protocol-Reject,Echo-Request,Echo-Reply,Discard-Request,Reserved,LCP協(xié)議數(shù)據(jù)報(bào)文的種類,Page 13,鏈路配置報(bào)文(一),Page 14,鏈路配置報(bào)文(二),二次交互(1),,,2,Config-Request,Config-Nak,路由器A,路
8、由器B,,3,,4,Config-Request,Config-Ack,,,,1,Page 15,二次交互(2),,,,1,,2,Config-Request,Config-Reject,路由器A,路由器B,,3,,4,Config-Request,Config-Ack,鏈路配置報(bào)文(三),,Page 16,多次交互,,,,1,,2,Config-Request,Config-Reject,路由器A,路由器B,,3,,4,Config-
9、Request,Config-Nak,,5,6,Config-Request,Config-Ack,,鏈路配置報(bào)文(四),,Page 17,Terminate-RequestTerminate-Reply,鏈路終止報(bào)文,Page 18,,用戶名/密碼,接收/拒絕,,PPP封裝,路由器A,路由器B,被驗(yàn)證方,驗(yàn)證方,PAP認(rèn)證(兩次握手),Page 19,,回應(yīng),接收/拒絕,,PPP封裝,路由器A,路由器B,挑戰(zhàn),被驗(yàn)證方,驗(yàn)證方,C
10、HAP認(rèn)證(三次握手),Page 20,NCP協(xié)議的分類,IPCPIPXCPAppleTalk,Page 21,點(diǎn)對點(diǎn)通信設(shè)備均設(shè)置了IP地址,路由器B,路由器A,192.168.0.1,192.168.0.2,IPCP靜態(tài)地址協(xié)商,Page 22,IPCP動(dòng)態(tài)地址協(xié)商,路由器A,192.168.0.2,點(diǎn)對點(diǎn)通信的一方設(shè)置了IP地址,而另一方則通過從對端獲取IP地址,Page 23,小結(jié),PPP協(xié)議的三組件包括PPP協(xié)議的封裝方式
11、、LCP協(xié)議和NCP協(xié)議 PPP協(xié)議是數(shù)據(jù)鏈路層協(xié)議,它的數(shù)據(jù)幀封裝格式非常類似于HDLC PPP協(xié)議可通過協(xié)議域來區(qū)分?jǐn)?shù)據(jù)域中凈載荷的數(shù)據(jù)類型 PPP協(xié)議通過LCP協(xié)議完成數(shù)據(jù)鏈路的配置和測試 PPP協(xié)議通過NCP協(xié)議完成點(diǎn)對點(diǎn)通信設(shè)備之間網(wǎng)絡(luò)層通信所需參數(shù)的配置,Page 24,小結(jié),PAP(密碼認(rèn)證協(xié)議)認(rèn)證是二次握手,它是直接在網(wǎng)絡(luò)上傳送明文的用戶名和密碼,因此這種協(xié)議安全性不高 CHAP(挑戰(zhàn)性握手認(rèn)證協(xié)議
12、)認(rèn)證是三次握手,它只在網(wǎng)絡(luò)上傳送驗(yàn)證方和被驗(yàn)證方的主機(jī)名,而并不傳送密碼,因此相比之下CHAP比PAP更安全 PPP協(xié)議缺省的MRU是1500,而對于通信的雙方可根據(jù)實(shí)際需要對MRU進(jìn)行協(xié)商,Page 25,小結(jié),PPP協(xié)議的狀態(tài)轉(zhuǎn)移圖包括鏈路不可用階段、鏈路建立階段、認(rèn)證階段、網(wǎng)絡(luò)層協(xié)議階段和鏈路終止階段 LCP協(xié)議依據(jù)報(bào)文的功能可分為鏈路配置報(bào)文、鏈路終止報(bào)文和鏈路維護(hù)報(bào)文 LCP協(xié)議的鏈路配置報(bào)文主要是用來協(xié)商一些可
13、選的配置參數(shù)選項(xiàng) LCP協(xié)議的鏈路終止報(bào)文主要是用來終止一條PPP鏈路 LCP協(xié)議的鏈路維護(hù)報(bào)文主要是用來測試和調(diào)試PPP鏈路 NCP協(xié)議主要負(fù)責(zé)網(wǎng)絡(luò)層配置參數(shù)選項(xiàng)的協(xié)商,它包括"靜態(tài)協(xié)商"和"動(dòng)態(tài)協(xié)商",Page 26,第1章 PPP協(xié)議第2章 PPPOE協(xié)議第3章 Radius協(xié)議第4章 DHCP協(xié)議第5章 802.1X原理,內(nèi)容介紹,Page 27,PPPOE協(xié)議概述,
14、PPP協(xié)議要求進(jìn)行通信的雙方之間是點(diǎn)到點(diǎn)的關(guān)系,不適于廣播型的以太網(wǎng)和另外一些多點(diǎn)訪問型的網(wǎng)絡(luò),于是就產(chǎn)生了PPPOE協(xié)議(Point-to-Point Protocol Over Ethernet)。它不僅為使用橋接以太網(wǎng)接入的用戶提供了一種寬帶接入手段,同時(shí)還能提供方便的接入控制和計(jì)費(fèi)。每個(gè)接入用戶均建立一個(gè)獨(dú)一無二PPP的會(huì)話,因此會(huì)話建立之前必需知道遠(yuǎn)端訪問集中設(shè)備的MAC地址,PPPOE協(xié)議可通過發(fā)現(xiàn)協(xié)議來獲取到。,Page
15、28,發(fā)現(xiàn)階段,PPPOE協(xié)議分為發(fā)現(xiàn)階段和PPP會(huì)話階段。當(dāng)主機(jī)希望開始一個(gè)PPPOE會(huì)話時(shí),它首先要執(zhí)行一個(gè)發(fā)現(xiàn)過程來識(shí)別對方的MAC地址,然后建立一個(gè)唯一的PPPOE會(huì)話ID。PPPOE使用一個(gè)發(fā)現(xiàn)協(xié)議來解決這個(gè)問題,它是基于客戶/服務(wù)器模型的。由于以太網(wǎng)的廣播特性,在這個(gè)過程中主機(jī)(客戶)能發(fā)現(xiàn)所有的訪問集中器(服務(wù)器),并選擇其中一個(gè),根據(jù)所獲信息在兩者之間建立點(diǎn)對點(diǎn)的連接。當(dāng)一個(gè)PPP會(huì)話被建立起來之后,就完成了PPPOE的
16、整個(gè)發(fā)現(xiàn)階段。,Page 29,會(huì)話階段,PPPOE的會(huì)話階段開始后,主機(jī)和訪問集中器之間就依據(jù)PPP協(xié)議傳送PPP數(shù)據(jù),進(jìn)行PPP的各項(xiàng)協(xié)商和數(shù)據(jù)傳輸。在這一階段傳輸?shù)臄?shù)據(jù)包中必須包含在發(fā)現(xiàn)階段確定的會(huì)話標(biāo)識(shí)并保持不變。正常情況下,會(huì)話階段的結(jié)束是由PPP協(xié)議控制完成的,但在PPPOE中定義了一個(gè)PADT 包用來結(jié)束會(huì)話,主機(jī)或者訪問集中器可以在PPP會(huì)話開始后的任何時(shí)候通過發(fā)送這個(gè)數(shù)據(jù)包來結(jié)束會(huì)話。,Page 30,以太網(wǎng)的幀格式,
17、Page 31,,,,,,目的地址,源地址,(6字節(jié)),(6字節(jié)),幀類型域,<=1500字節(jié),凈載荷,幀校驗(yàn),(4字節(jié)),以太網(wǎng)幀格式,(2字節(jié)),以太網(wǎng)廣播(PADI)/單播地址,PPPOE發(fā)現(xiàn)階段,PPPOE會(huì)話階段,,,,,,,以太網(wǎng)單播地址,主機(jī)以太網(wǎng)地址,主機(jī)以太網(wǎng)地址,0x8863,0x8864,數(shù)據(jù)區(qū),數(shù)據(jù)區(qū),數(shù)據(jù)幀校驗(yàn),數(shù)據(jù)幀校驗(yàn),PPPOE發(fā)現(xiàn)階段以太網(wǎng)幀格式,PPPOE會(huì)話階段以太網(wǎng)幀格式,PPPOE的幀格式
18、(一),Page 32,,,,,,,版本,類型,代碼,會(huì)話ID,長度,凈載荷,4,4,8,16,16,,,發(fā)現(xiàn)階段承載一些標(biāo)記,會(huì)話階段承載PPP數(shù)據(jù)報(bào)文,PPPOE的幀格式(二),Page 33,TAG,,,,標(biāo)記類型,16,標(biāo)記長度,16,標(biāo)記值,0x0000,,,,,,,,,,,,,0x0102,0x0104,0x0110,0x0101,0x0103,0x0105,0x0201,End-of-list,AC-Name,AC-Coo
19、kie,Relay-Session-ID,,,,,Service-Name,Service-Name-Error,Host-Uniq,Verdor-Specific,,,,0x0202,0x0203,AC-System-Error,,Generic-Error,PPPOE的幀格式(三),Page 34,PPPOE發(fā)現(xiàn)階段數(shù)據(jù)報(bào)文分類,PADI(PPPOE發(fā)現(xiàn)初始報(bào)文) 09 PADO(PPPOE
20、發(fā)現(xiàn)提供報(bào)文) 07 PADR(PPPOE發(fā)現(xiàn)請求報(bào)文) 19 PADS(PPPOE發(fā)現(xiàn)會(huì)話確認(rèn)報(bào)文) 65 PADT(PPPOE發(fā)現(xiàn)終止報(bào)文) a7,Page 35,以太網(wǎng),1,2,3,,,,目標(biāo)地址為廣播地址0xffffffff,源地址為主機(jī)的以太網(wǎng)地址。ETHER_TYPE值為0x8863,碼值為0
21、x09,SESSION-ID為0x0000。TAG_TYPE:有且僅有一個(gè)Service-Name表明主機(jī)請求的服務(wù)。任何數(shù)量的其他TAG_TYPE。 PADI報(bào)文長度不能超過1484個(gè)字節(jié),為Relay-Session-Id TAG留空間。,PADI報(bào)文,Page 36,PADI報(bào)文,Page 37,以太網(wǎng),1,2,3,,,,,,,,,,,,,,,,目標(biāo)地址為主機(jī)以太網(wǎng)地址。源地址為接入集中器的以太網(wǎng)地址。ETHER_TYPE值為0x
22、8863,碼值為0x07,SESSION-ID為0x0000,TAG_TYPE:必須有一個(gè)含有接入集中器名字的AC-Name TAG,必須有一個(gè)與收到的PADI相同的Service-Name TAG和任意數(shù)量的其他Service- Name TAG表明集中器可以提供的服務(wù)。,PADO報(bào)文,Page 38,PADO報(bào)文,Page 39,以太網(wǎng),1,2,3,,目標(biāo)地址為接入集中器的以太網(wǎng)地址,源地址為主機(jī)的以太網(wǎng)地址。 ETHER_TYPE
23、值為0x8863,碼值為0x19,SESSION-ID為0x0000,TAG_TYPE: 必須有一個(gè)類型為Service-Name的TAG向集中器指明請求的服務(wù),可以有任意數(shù)量的其他TAG。,PADR報(bào)文,Page 40,PADR報(bào)文,Page 41,以太網(wǎng),1,2,3,,,,,,目標(biāo)地址為主機(jī)的 以太網(wǎng)地址,源地址為接入集中器的以太網(wǎng)地址。 ETHER_TYPE值為0x8863,碼值為0x65,SESSION-ID為集中器指定的唯一的
24、標(biāo)識(shí)一個(gè)PPPOE會(huì)話的值,TAG_ TYPE:包含一個(gè)類型為Service-Name的TAG,表明集中器提供給這個(gè)會(huì)話的服務(wù),可以包含任意數(shù)量的其他TAG。,PADS報(bào)文,Page 42,PADS報(bào)文,Page 43,這個(gè)數(shù)據(jù)包可以在會(huì)話建立起來之后的任何時(shí)間由主機(jī)或集中器發(fā)出。目的地址為單一的以太網(wǎng)地址。 ETHER_TYPE值為0x8863,碼值為0xa7,SESSION-ID為要終止的會(huì)話的SESSION-ID。不要求有TAG。
25、,PADT報(bào)文,Page 44,PADT報(bào)文,Page 45,,,,,,,,,,,,,PPP凈載荷,目的地址(0-3),目的地址(4-5),源地址(0-1),源地址(2-5),幀類型=0x8864,版本=0x1,類型=0x1,代碼=0x00,會(huì)話ID=0x1234,長度=0x????,PPP協(xié)議ID=0xC021,PPPOE協(xié)議數(shù)據(jù)包中承載PPP的LCP報(bào)文,一旦PPPOE會(huì)話建立起來之后,主機(jī)與接入器之間就開始依據(jù)PPP協(xié)議傳送PPP
26、數(shù)據(jù),所有的以太網(wǎng)幀都是單一地址的。此時(shí),ETHER_TYPE值為0x8864,碼值為0x00,SESSION-ID在整個(gè)會(huì)話過程中保持不變。PPPOE有效負(fù)載域里包含一個(gè)PPP數(shù)據(jù)包。,會(huì)話階段的PPPOE數(shù)據(jù)報(bào)文格式,Page 46,小結(jié),PPPOE協(xié)議包括PPPOE的發(fā)現(xiàn)階段和PPPOE的會(huì)話階段 PPPOE的數(shù)據(jù)報(bào)文是被承載在以太網(wǎng)的數(shù)據(jù)域中進(jìn)行傳送的 PPPOE的發(fā)現(xiàn)階段會(huì)遇到PADI、PADO、PADR和PADS
27、這四種報(bào)文 PPPOE中的PADT報(bào)文是用來終止一條會(huì)話的 PPPOE在發(fā)現(xiàn)階段時(shí),以太網(wǎng)協(xié)議域的值為0x8863 PPPOE在會(huì)話階段時(shí),以太網(wǎng)協(xié)議域的值為0x8864,Page 47,第1章 PPP協(xié)議第2章 PPPOE協(xié)議第3章 Radius協(xié)議第4章 DHCP協(xié)議第5章 802.1X原理,內(nèi)容介紹,,Page 48,概述,,Page 49,Radius:Remote Authentication Di
28、al In User Service客戶端負(fù)責(zé)將認(rèn)證等信息按照協(xié)議的格式通過UDP包送到服務(wù)器,同時(shí)對服務(wù)器返回的信息解釋處理。,認(rèn)證端口號(hào):1645/ 1812計(jì)費(fèi)端口號(hào):1646/1813,Radius的作用,Page 50,RADIUS的客戶端通常運(yùn)行于接入服務(wù)器(NAS)上,RADIUS服務(wù)器通常運(yùn)行于一臺(tái)工作站上,一個(gè)RADIUS服務(wù)器可以同時(shí)支持多個(gè)RADIUS客戶(NAS)。RADIUS的服務(wù)器上存放著大量的信息,
29、接入服務(wù)器(NAS)無須保存這些信息,而是通過RADUIS協(xié)議對這些信息進(jìn)行訪問。這些信息的集中統(tǒng)一的保存,使得管理更加方便,而且更加安全。RADIUS服務(wù)器可以作為一個(gè)代理,以客戶的身份同其他的RADIUS服務(wù)器或者其他類型的驗(yàn)證服務(wù)器進(jìn)行通信。用戶的漫游通常就是通過RADIUS代理實(shí)現(xiàn)的。,Client/Server結(jié)構(gòu),Page 51,NAS?Radius認(rèn)證計(jì)費(fèi)過程,Page 52,MD5是一個(gè)算法,它的輸入是一段內(nèi)存中的數(shù)
30、值,輸出是一個(gè)16字節(jié)的摘要,它的運(yùn)算是單向的,即從輸出推算不出輸入。,不好意思,我只會(huì)把您的手表變成兔子,變不回去了……,MD5,MD5算法,Page 53,包加密16字節(jié)的驗(yàn)證字(authenticator)用于對包進(jìn)行簽名口令加密MD5算法對口令進(jìn)行加密,網(wǎng)絡(luò)安全,Page 54,稱共享密鑰(key)為Key;16字節(jié)的認(rèn)證請求驗(yàn)證字(Authenticator)為Auth;將口令(Password)分割成16字節(jié)一段(
31、最后一段不足16字節(jié)時(shí)用0補(bǔ)齊),為p1、p2等;加密后的口令塊為c(1)、c(2)等。下面運(yùn)算中b1、b2為中間值: b1 = MD5(Key + Auth) c(1) = p1 xor b1 b2 = MD5(Key + c(1)) c(2) = p2 xor b2 …… …… …… bi = MD5(Key+ c(i-1))
32、 c(i) = pi xor bi那么加密后的口令為c(1)+c(2)+...+c(i)。,口令的加密,Page 55,包的簽名與加密:包的簽名指的是RADIUS包中16字節(jié)的Authenticator,我們稱其為“驗(yàn)證字”。認(rèn)證請求包RequestAuth=Authenticator,認(rèn)證請求包的驗(yàn)證字是一個(gè)不可預(yù)測的16字節(jié)隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)將用于口令的加密。認(rèn)證響應(yīng)包ResponseAuth = MD5(C
33、ode+ID+Length+Authenticator+Attributes+Key)。記費(fèi)請求包RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。記費(fèi)響應(yīng)包ResponseAcct = MD5(Code+ID+Length+RequestAcct+Attributes+Key)。,包的簽名與加密,Page 56,我查……我驗(yàn)……,本地認(rèn)證——PAP
34、,Page 57,Secret Password = MD5(Chap ID + Password + challenge),我查……我算……我驗(yàn)……,本地認(rèn)證——CHAP,Page 58,如果用戶配置了RADIUS驗(yàn)證,其PAP驗(yàn)證過程如下:,采用PAP驗(yàn)證:用戶以明文的形式把用戶名和他的密碼傳遞給NAS。NAS把用戶名和加密過的密碼放到驗(yàn)證請求包的相應(yīng)屬性中傳遞給RADIUS服務(wù)器,根據(jù)RADIUS服務(wù)器的返回結(jié)果來決定是否允許
35、用戶上網(wǎng)。,用戶名、密碼,放行,遠(yuǎn)端PAP認(rèn)證,Page 59,Secret password =Password XOR MD5(Challenge + Key)(Challenge就是Radius報(bào)文中的Authenticator),我查……我算……我驗(yàn)……,遠(yuǎn)端認(rèn)證(Radius)——PAP,Page 60,遠(yuǎn)端PAP認(rèn)證,Page 61,Secret password = MD5(Chap ID + Password +
36、challenge),我查……我算……我驗(yàn)……,遠(yuǎn)端認(rèn)證(Radius)——CHAP,Page 62,遠(yuǎn)端CHAP認(rèn)證,Page 63,Radius是一種流行的AAA協(xié)議,同時(shí)其采用的是UDP協(xié)議傳輸模式,AAA協(xié)議在協(xié)議棧中位置如下:,Radius協(xié)議,,Radius協(xié)議在協(xié)議棧中的位置,Page 64,為什么使用UDP? NAS和RADIUS服務(wù)器之間傳遞的一般是幾十至上百個(gè)字節(jié)長度的數(shù)據(jù),用戶可以容忍幾秒到十幾秒的驗(yàn)證等
37、待時(shí)間。當(dāng)處理大量用戶時(shí)服務(wù)器端采用多線程,UDP簡化了服務(wù)器端的實(shí)現(xiàn)過程。 TCP是必須成功建立連接后才能進(jìn)行數(shù)據(jù)傳輸?shù)?,這種方式在有大量用戶使用的情況下實(shí)時(shí)性不好。 當(dāng)向主用服務(wù)器發(fā)送請求失敗后,還要必須向備用的服務(wù)器發(fā)送請求。于是RADIUS要有重傳機(jī)制和備用服務(wù)器機(jī)制,它所采用的定時(shí),TCP不能很好的滿足。,Radius協(xié)議選擇UDP作為傳輸層協(xié)議,Page 65,Radius協(xié)議包結(jié)構(gòu),Page 66,Code
38、:包類型;1字節(jié);指示RADIUS包的類型。Identifier:包標(biāo)識(shí);1字節(jié);用于匹配請求包和響應(yīng)包,同一組請求包和響應(yīng)包的Identifier應(yīng)相同。Length:包長度;2字節(jié);整個(gè)包的長度。Authenticator:驗(yàn)證字;16字節(jié);用于對包進(jìn)行簽名。,Radius協(xié)議包各個(gè)域解釋,Page 67,1 Access-Request——請求認(rèn)證過程 2 Access-Acc
39、ept——認(rèn)證響應(yīng)過程 3 Access-Reject——認(rèn)證拒絕過程 4 Accounting-Request——請求計(jì)費(fèi)過程 5 Accounting-Response——計(jì)費(fèi)響應(yīng)過程,code域,Page 68,NAS,Radius Server與NAS在全網(wǎng)中的位置,Page 69,1、RADIUS的通信是用“請求 - 響應(yīng)”方式進(jìn)行的,即:客戶
40、發(fā)送一個(gè)請求包,服務(wù)器收到包后給予響應(yīng)。2、RADIUS協(xié)議采用的是UDP協(xié)議,數(shù)據(jù)包可能會(huì)在網(wǎng)絡(luò)上丟失,如果客戶沒有收到響應(yīng),那么可以重新發(fā)送該請求包。多次發(fā)送之后如果仍然收不到響應(yīng),RADIUS客戶可以向備用的RADIUS服務(wù)器發(fā)送請求包。,NAS?Radius認(rèn)證計(jì)費(fèi)過程,Page 70,內(nèi)容介紹,第1章 PPP協(xié)議第2章 PPPOE協(xié)議第3章 Radius協(xié)議第4章 DHCP協(xié)議第5章 802.1X原理,Page 7
41、1,引入,本章節(jié)主要通過對設(shè)備終端動(dòng)態(tài)從主機(jī)獲得IP地址的過程分析,來說明網(wǎng)絡(luò)是如何動(dòng)態(tài)的分配其所有的地址資源。,Page72,目 錄,4.1 使用DHCP的原因4.2 DHCP原理4.3 DHCP工作流程舉例,Page 73,,什么是DHCP,DHCP (Dynamic Host Configuration Protocol)是一種動(dòng)態(tài)的向Internet終端提供配置參數(shù)的協(xié)議。在終端提出申請之后,DHCP可以向終端提供IP地址
42、、網(wǎng)關(guān)、DNS服務(wù)器地址等參數(shù)。,,,提出申請,分配地址等參數(shù),DHCP Server,Client,IP地址池,Page 74,DHCP在協(xié)議棧中的位置,DHCP是Bootstrap協(xié)議的一種擴(kuò)展,基于UDP協(xié)議,客戶端的端口號(hào)是68,服務(wù)器的端口號(hào)是67。,Page 75,DHCP的必要性,在大型網(wǎng)絡(luò)中,如果每臺(tái)終端的地址都是由不同的使用這來分配,那么就很容易出現(xiàn)地址相同的情況。,192.168.0.1,192.168.0.2,19
43、2.168.0.1,地址沖突了,Page 76,DHCP的必要性,在TCP/IP網(wǎng)絡(luò)上,每臺(tái)工作站在訪問網(wǎng)絡(luò)及其資源之前,都必須進(jìn)行基本的網(wǎng)絡(luò)配置,一些主要參數(shù)諸如IP地址,子網(wǎng)掩碼,缺省網(wǎng)關(guān),DNS等必不可少,還可能需要一些附加的信息如IP管理策略之類。在大型網(wǎng)絡(luò)中,確保所有主機(jī)都擁有正確的配置是一件的相當(dāng)困難的管理任務(wù),尤其對于含有漫游用戶和筆記本電腦的動(dòng)態(tài)網(wǎng)絡(luò)更是如此。經(jīng)常有計(jì)算機(jī)從一個(gè)子網(wǎng)移到另一個(gè)子網(wǎng)以及從網(wǎng)絡(luò)中移出。手動(dòng)配
44、置或重新配置數(shù)量巨大的計(jì)算機(jī)可能要花很長時(shí)間,而IP主機(jī)配置過程中的錯(cuò)誤可能導(dǎo)致該主機(jī)無法與網(wǎng)絡(luò)中的其他主機(jī)通信。因此,需要有一種機(jī)制來簡化IP地址的配置,實(shí)現(xiàn)IP的集中式管理。而IETF(Internet網(wǎng)絡(luò)工程師任務(wù)小組)設(shè)計(jì)的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP,Dynamic Host Configuration Protocol)正是這樣一種機(jī)制。,Page 77,采用DHCP的好處,減少錯(cuò)誤 通過配置DHCP,把手工配置IP地址所
45、導(dǎo)致的錯(cuò)誤減少到最低程度,例如已分配的IP地址再次分配給另一設(shè)備所造成的地址沖突等將大大減少。減少網(wǎng)絡(luò)管理TCP/IP配置是集中化和自動(dòng)完成的,不需要網(wǎng)絡(luò)管理員手工配置。網(wǎng)絡(luò)管理員能集中定義全局和特定子網(wǎng)的TCP/IP配置信息。使用DHCP選項(xiàng)可以自動(dòng)給客戶機(jī)分配全部范圍的附加TCP/IP配置值??蛻魴C(jī)配置的地址變化必須經(jīng)常更新,比如遠(yuǎn)程訪問客戶機(jī)經(jīng)常到處移動(dòng),這樣便于它在新的地點(diǎn)重新啟動(dòng)時(shí),高效而又自動(dòng)地進(jìn)行配置。同時(shí)大部分路由器
46、能轉(zhuǎn)發(fā)DHCP配置請求,這就減少了在每個(gè)子網(wǎng)設(shè)置DHCP服務(wù)器的必要,除非有其它原因要這樣做。,Page 78,,,,,,,,DHCP的結(jié)構(gòu),DHCP采用客戶機(jī)/服務(wù)器結(jié)構(gòu)。DHCP服務(wù)器擁有一個(gè)IP地址池,當(dāng)任何啟用DHCP的客戶機(jī)登錄到網(wǎng)絡(luò)時(shí),可從它那里租借一個(gè)IP地址,不使用的IP地址就自動(dòng)返回地址池,供再分配。,,,,,,,,,,,,,提出申請,分配地址等參數(shù),地址釋放,Client,Server,Page 79,DHCP的責(zé)任
47、,保證任何IP地址在同一時(shí)刻只能由一臺(tái)DHCP客戶機(jī)所使用DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址DHCP應(yīng)當(dāng)可以同用其他方法獲得IP地址的主機(jī)共存(如手工配置IP地址的主機(jī))DHCP服務(wù)器應(yīng)當(dāng)向現(xiàn)有的BOOTP客戶端提供服務(wù),Page 80,DHCP的責(zé)任,考慮到成本,無需每個(gè)子網(wǎng)都配備一臺(tái)DHCP服務(wù)器,所以DHCP協(xié)議應(yīng)當(dāng)可以通過路由器或者BOOTP代理透傳。,,DHCP Server,Client,IP地址池,,
48、,DHCP報(bào)文,DHCP報(bào)文,Page 81,DHCP的責(zé)任,當(dāng)一臺(tái)DHCP客戶機(jī)重新啟動(dòng)時(shí),在允許的情況下,它應(yīng)當(dāng)獲得和上次相同的地址和配置,,,DHCP Server,192.168.0.1,IP地址池,Reboot,192.168.0.1,Page 82,DHCP的責(zé)任,當(dāng)一臺(tái)DHCP服務(wù)器重新啟動(dòng)時(shí),在允許的情況下,它應(yīng)當(dāng)給每一臺(tái)DHCP客戶機(jī)分配和上次相同的地址,,,DHCP Server,192.168.0.1,IP地址池,
49、Reboot,192.168.0.1,Page83,目 錄,4.1 使用DHCP的原因4.2 DHCP原理4.3 DHCP工作流程舉例,Page 84,DHCP服務(wù)器,保留的地址池(地址池段1)(地址池段2)……,分配的地址(網(wǎng)絡(luò)地址1,硬件地址1) 分配的IP地址1(網(wǎng)絡(luò)地址2,硬件地址2) 分配的IP地址2…….,DNS服務(wù)器地址WINS服務(wù)器地址……,Page 85,DHCP客戶機(jī),Page 86,,
50、,,,,,,,地址申請流程,,,,,,,,,Client,Server,,,,,,,,,,,,,,,,,,DHCPDISCOVER,,DHCPOFFER,,REQUEST,,DHCPACK,Page 87,DHCP的報(bào)文種類,DHCPDISCOVER —— 客戶機(jī)廣播發(fā)現(xiàn)可用的DHCP服務(wù)器DHCPOFFER —— 服務(wù)器響應(yīng)客戶機(jī)的DHCPDISCOVER報(bào)文,并向客戶機(jī)提供各種的配置參數(shù)DHCPREQUEST —— a)客戶機(jī)
51、向服務(wù)器申請地址及其他配置參數(shù) b)客戶機(jī)重新啟動(dòng)后確認(rèn)原來的地址及其他配置參數(shù)的正確性 c)客戶機(jī)向服務(wù)器申請延長地址及其他配置參數(shù)的使用期限D(zhuǎn)HCPACK —— 服務(wù)器向客戶機(jī)發(fā)送所需分配的地址及其他配置參數(shù),Page 88,DHCP的報(bào)文種類,DHCPNAK —— 服務(wù)器通知客戶機(jī),其申請的地址無效,或者已經(jīng)超期DHCPDECLINE —— 客戶機(jī)通知服務(wù)器,其分配的地址已經(jīng)被其他設(shè)備所使用DHCPRELEASE —
52、— 客戶機(jī)放棄其所使用的地址,Page 89,DHCP的有限狀態(tài)機(jī),INIT,INIT-REBOOT,REBOOTING,SELECTING,REQUESING,REBINGING,BOUND,RENEWING,,,,,,DHCPNAK/Restart,DHCPNAK/Discard offer,,DHCPREQUEST,,,DHCPACK (not accept)/Send DHCPDECLINE,,,DHCPDISCOVER,
53、,,Select offer/send DHCPREQUEST,,,,,DHCPOFFER/Collect replies,,DHCPACK/Record lease, set timer T1, T2,,,,,DHCPOFFER/Discard offer,,,DHCPACK/Record lease, set timer T1, T2,,,,,DHCPOFFER,DHCPACK,DHCPNAK/Discard,,T1
54、expires/Send DHCPREQUEST to leasing server,,DHCPACK/Record lease ,set timer T!,T2,,,T2 expires/Broadcast DHCPREQUEST,,,,DHCPNAK/Halt network,Page 90,DHCP報(bào)文的格式,Page 91,DHCP報(bào)文的格式,Op:操作碼 (1=bootrequest ,2=bootreply)Ht
55、ype: 硬件地址類型 (1=10mb ethernet)Hlen: 硬件地址長度 (ethernet 為10)Hops: 客戶機(jī)設(shè)置為0,當(dāng)使用多個(gè)DHCP Relay時(shí)可變Xid: 傳輸ID,在同服務(wù)器的交互中,由客戶機(jī)所選擇Secs: 客戶機(jī)所使用的地址,在最近一次地址獲取/地址更新后所經(jīng)過的時(shí)間Flags: 最左邊一位是廣播位,其余各位置0,Page 92,DHCP報(bào)文的格式,Client IP address: 客戶
56、機(jī)在BOUND,RENEW或REBINDING狀態(tài)所使用,可以用來回應(yīng)ARP請求報(bào)文Your IP address: 服務(wù)器給客戶機(jī)分配的IP地址Server IP address: bootstrap中使用的下一臺(tái)服務(wù)器的地址,由服務(wù)器在DHCPOFFER,DHCPACK中使用Gateway IP address: 使用的DHCP Relay的地址Client hardware address: 客戶機(jī)硬件地址Server
57、name: 服務(wù)器名字,缺省為空File: 啟動(dòng)文件的名字,在DHCPOFFER報(bào)文中給出全名Options: 根據(jù)不同的報(bào)文而定,Page 93,DHCPDISCOVER/DHCPINFORM報(bào)文的格式,Page 94,DHCPREQUEST報(bào)文的格式,Page 95,DHCPDECLINE/DHCPRELEASE報(bào)文的格式,Page 96,DHCPOFFER報(bào)文的格式,Page 97,DHCPACK報(bào)文的格式,Page 98,D
58、HCPOFFER報(bào)文的格式,Page 99,,DHCP流程,客戶機(jī)在本網(wǎng)段內(nèi)廣播DHCPDISCOVER報(bào)文已發(fā)現(xiàn)網(wǎng)絡(luò)中的DHCP服務(wù)器,DHCP Relay可將此報(bào)文廣播到其他的網(wǎng)段,,,,,,,,,,網(wǎng)絡(luò)1,網(wǎng)絡(luò)2,DHCPDISCOVER,,Page 100,DHCP流程,服務(wù)器向客戶機(jī)回應(yīng)請求,并給出一個(gè)可用的IP地址。此地址并非真的被分配。但在給出此地之前,應(yīng)當(dāng)用ICMP ECHO REQUEST報(bào)文進(jìn)行檢查。,,,,,網(wǎng)絡(luò)1
59、,,DHCPOFFER(192.168.0.1),,,,ICMP (192.168.0.1),Page 101,DHCP流程,如果收到多個(gè)DHCPOFFER報(bào)文,DHCP客戶機(jī)會(huì)根據(jù)報(bào)文的內(nèi)容從其中選擇一個(gè)給與響應(yīng)。如果客戶機(jī)之前曾經(jīng)獲得過一個(gè)IP地址,她會(huì)將此地址寫在DHCPREQUEST報(bào)文的OPTIONS域的“REQUESTD IP ADDRESS”中發(fā)給服務(wù)器,,,,,網(wǎng)絡(luò)1,,DHCPREQUEST(192.168.0.1
60、),Reboot,192.168.0.1,Page 102,DHCP流程,當(dāng)收到DHCPREQUEST報(bào)文后,服務(wù)器將客戶機(jī)的網(wǎng)絡(luò)的(網(wǎng)絡(luò)地址,硬件地址)同分配的IP地址綁定,在將IP地址發(fā)送給客戶機(jī),,,,,網(wǎng)絡(luò)1,,DHCPACK(192.168.0.1),保留的地址池(地址池段1)(地址池段2)……,分配的地址(網(wǎng)絡(luò)地址1,硬件地址1) 分配的IP地址1…….,DNS服務(wù)器地址WINS服務(wù)器地址……,Page
61、 103,DHCP流程,當(dāng)收到DHCPREQUEST報(bào)文后,如果發(fā)現(xiàn)其申請的地址無法被分配,則用DHCPNAK報(bào)文回應(yīng),,,,,網(wǎng)絡(luò)1,,DHCPNAK,,DHCPREQUEST(192.168.0.1),192.168.0.1已經(jīng)被另外一臺(tái)設(shè)備所使用了,Page 104,DHCP流程,客戶機(jī)收到DHCPACK報(bào)文后,再對所有的參數(shù)進(jìn)行一次最后的檢查,如果發(fā)現(xiàn)由地址沖突存在,則使用DHCPDECLINE報(bào)文回復(fù)服務(wù)器,,,,,網(wǎng)絡(luò)1
62、,,DHCPACK(192.168.0.1),,192.168.0.1,,DHCPDECLINE,Page 105,DHCP流程,如果客戶機(jī)放棄現(xiàn)在使用的IP地址,則她使用DHCPRELEASE報(bào)文通知服務(wù)器,服務(wù)器將此地址回收以備下次使用。,,,,,網(wǎng)絡(luò)1,,DHCPRELEASE,Page 106,DHCP流程,當(dāng)客戶機(jī)的地址到達(dá)50%租用期(T1)時(shí),客戶機(jī)進(jìn)入RENEW狀態(tài),使用DHCPREQUEST報(bào)文續(xù)約;當(dāng)客戶機(jī)的地址
63、到達(dá)87.5%租用期(T2)時(shí),客戶機(jī)進(jìn)入REBINDING狀態(tài),使用DHCPREQUEST報(bào)文續(xù)約;,,,,,網(wǎng)絡(luò)1,,DHCPREQUEST,Page107,目 錄,4.1 使用DHCP的原因4.2 DHCP原理4.3 DHCP工作流程舉例,Page 108,DHCP流程舉例,,,,,,10.77.2.1,10.77.11.10,客戶機(jī),服務(wù)器,DHCP-RELAY,Page 109,DHCP流程舉例,Page 110,DH
64、CP流程舉例,Page 111,DHCP流程舉例,Page 112,DHCP流程舉例,Page 113,DHCP流程舉例,Page 114,DHCP流程舉例,Page 115,DHCP流程舉例,Page 116,本章主要通過對DHCP報(bào)文結(jié)構(gòu)及流程的介紹,希望大家能夠建立起對DHCP協(xié)議的清晰概念,,小結(jié),Page 117,第1章 PPP協(xié)議第2章 PPPOE協(xié)議第3章 Radius協(xié)議第4章 DHCP協(xié)議第5章 802.1X
65、原理,內(nèi)容介紹,,Page118,前 言,IEEE802.1X標(biāo)準(zhǔn)是基于端口的網(wǎng)絡(luò)接入控制。該協(xié)議提供一系列的對接入到局域網(wǎng)中某個(gè)端口的設(shè)備進(jìn)行基于端口的認(rèn)證和授權(quán)方法,并禁止未通過認(rèn)證和授權(quán)的設(shè)備和用戶對該端口的訪問。,Page119,目 錄,5.1 802.1X工作原理5.2 EAP和EAPOL5.3 802.1X協(xié)議運(yùn)行過程5.4 802.1X配置實(shí)例,Page120,為什么需要802.1X?,,交換機(jī),,,,Int
66、ernet,只要有物理連接,就提供所有服務(wù),PCA,PCB,PCC,,,路由器,數(shù)據(jù)服務(wù)器,太容易訪問網(wǎng)絡(luò)資源了,Page121,802.1X的作用,,交換機(jī),,,,Internet,沒通過驗(yàn)證,就不提供服務(wù),PCA,PCB,PCC,,,路由器,數(shù)據(jù)服務(wù)器,為什么我的網(wǎng)卡不能正常工作?,,,Page122,系統(tǒng)角色,Page123,受控端口和非受控端口,,,驗(yàn)證者系統(tǒng),,,非受控端口,受控端口,,,,,未被授權(quán)的端口,,,LAN,
67、,,驗(yàn)證者系統(tǒng),,,非受控端口,受控端口,,,,,授權(quán)的端口,,,LAN,Page124,端口控制模式,Page125,工作原理,,,,,請求者系統(tǒng),請求者PAE,,,驗(yàn)證者系統(tǒng),,,驗(yàn)證者PAE,LAN,驗(yàn)證服務(wù)器系統(tǒng),驗(yàn)證服務(wù)器,驗(yàn)證者系統(tǒng)提供的服務(wù),,承載在高層協(xié)議中的EAP報(bào)文,,,,,未被授權(quán)的端口,,Page126,目 錄,5.1 802.1X工作原理5.2 EAP和EAPOL5.3 802.1X協(xié)議運(yùn)行過程5.
68、4 802.1X配置實(shí)例,Page127,EAP報(bào)文格式,Page128,請求和回應(yīng)報(bào)文,用于驗(yàn)證的信息,Page129,成功和無效報(bào)文,沒有Type和Type-Data字段,Page130,EAPOL報(bào)文格式,Version,Type,Packet Body Length,Packet Body ...,EAP報(bào)文被封裝在此字段內(nèi),Page131,EAPOL報(bào)文類型,Page132,EAPOL報(bào)文的二層報(bào)文頭,Page133,目 錄
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 11-tc000003wdm原理issue1.0
- aa000006-h.323協(xié)議原理1-issue1.0
- ba000301 網(wǎng)絡(luò)報(bào)文分析 issue1.1
- issue_1
- da000006e1-pos接口原理issue1.0
- ba000405 adsl2技術(shù)介紹issue1.0
- da000009is-is協(xié)議issue1.0
- 1-1.issue通用順序
- 000003.pdf
- da000014qos原理issue1.0
- mf009001gprs原理issue1.0
- 000003.dwg
- 000003.dwg
- ea000201 lte協(xié)議與流程學(xué)員用書 issue 1.00
- saml2.0協(xié)議翻譯
- 新issue題庫
- issue題庫翻譯
- 1-2.issue全部題目的翻譯
- 電力寬帶的工作原理
- cmpp2.0協(xié)議的開發(fā)
評論
0/150
提交評論