网络通讯与TCP-I.ppt

网络通讯与TCP/IP协议,实用协议补充部分,封装,网络是分层的 各层协议有自己的所谓封装头 按照协议在OSI结构中的层次依次封装,封装,以太网,IP,TCP,HTTP,ARP协议与子网内通讯,子网内通讯是指不通过网关访问其他子网的通讯， 是最基本的通讯过程 由于这类通讯通常是在以太网中发生，子网又称为广播域内通讯， 或VLAN内通讯,过程： PC1 10, 连接到网络以后如果欲和 PC2 通讯，但是不知道 PC2的MAC地址， 首先发出ARP广播请求：,由于是在一个广播域， PC2听到后，予以答复,PC1 知道了PC2 的MAC地址以后通讯开始,关于ICMP,物理层,数据连路层,网络层(IP),传输层(TCP),ICMP,Ping traceroute,根据目的地址与原地址之间位置确定是否需要路由 Ping是点对点的测试协议，确定网络是否 连通，若能ping通，说明网络连接正常,关于ICMP,物理层,数据连路层,网络层(IP),传输层(TCP),ICMP,Ping traceroute,根据目的地址与原地址之间位置确定是否需要路由 traceroute是测试网络中各个接点的路由是否正常 的协议，一般在ping之后用，可以定位不正常的路由器,DNS,DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain Name，而Server必须要回答此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。 DNS服务器会根据不同的授权区(Zone)，记录所属该网域下的各名称资料，这个资料包括网域下的次网域名称及主机名称。 在每一个名称服务器中都有一个快取缓存区(Cache)，这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录快取缓存区中，这样当下一次还有另外一个客户端到次服务器上去查询相同的名称 时，服务器就不用在到别台主机上去寻找，而直接可以从缓存区中找到该笔名称记录资料，传回给客户端，加速客户端对名称查询的速度。例如: 当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有，该服务器会先在自己的快取缓存区中查询有无该笔纪录，如果找到该笔名称记录后，会从DNS服务器直接将所对应到的IP地址传回给客户端 ，如果名称服务器在资料记录查不到且快取缓存区中也没有时，服务器首先会才会向别的名称服务器查询所要的名称。,DNS,DNS,举例说明， 假设我们要查询网际网路上的一个名称为，从此名称我们知道此部主机在中国CN，而且要找的组织名称此网域下的www主机，以下为名称解析过程的每一步骤。 Step 1在DNS的客户端(Reslover)键入查询主机的指令，如: c:ping pinging 【6】with 32bytes of data reply from 6 bytes time 10ms ttl 253 Step 2而被指定的DNS服务器先行查询是否属于该网域下的主机名称，如果查出改主机名称并不属于该网域范围，之后会再查询快取缓存区的纪录资料，查是否有此机名称。 Step 3查询后发现缓存区中没有此纪录资料，会取得一台根网域的其中一台服务器，发出说要找的Request。 Step 4在根网域中，向Root Name Server询问，Root Name Server记录了各Top Domain分别是由哪些DNS Server负责，所以他会响应最接近的Name Server为控制CN网域的DNS伺服主机。 Step 5Root Name Server已告诉Local DNS Server哪部Name Server负责.cn这个Domain，然后Local DNS再向负责发出找寻的名称Request。 Step 6在.cn这个网域中，被指定的DNS服务器在本机上没有找到此名称的的纪录，所以会响应原本发出查询要求的DNS服务器说最近的服务器在哪里?他会回应最近的主机为控制网域的DNS伺服主机。 Step 7原本被查询的DNS服务器主机，收到继续查询的IP位置后，会再向的网域的DNS Server发出寻找名称搜寻的要求。 Step 8的网域中，被指定的DNS Server在本机上没有找到此名称的记录，所以会回复查询要求的DNS Server告诉他最接近的服务器在哪里?他就回应最接近为控制的网域的DNS主机。 Step 9原本被查询的DNS Server，在接收到应继续查询的位置，在向网域的DNS Server发出寻找的要求，最后会在的网域的DNS Server找到此主机的IP。 Step 10所以原本发出查询要求的DNS服务器，再接收到查询结果的IP位置后，响应回给原查询名称的DNS客户端。,DNS,DNS,DNS,DHCP,什么是DHCP？ DHCP是DynamicHostConfigurationProtocol之缩写它的前身是BOOTP。BOOTP原本是用于无磁碟主机连接的网路上面的,网路主机使用BOOTROM而不是磁碟起动并连接上网路BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：您在设定前须事先获得客户端的硬体位址，而且，与IP的对应是静态的。换而言之，BOOTP非常缺乏“动态性“，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常可观的浪费。 DHCP可以说是BOOTP的增强版本它分为两个部份一个是伺服器端而另一个是客户端。所有的IP网路设定资料都由DHCP伺服器集中管理并负责处理客户端的DHCP要求而客户端则会使用从伺服器分配下来的IP环境资料。比较起BOOTP，DHCP透过“租约“的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考量，DHCP也完全照顾了BOOTPClient的需求。,DHCP,DHCP的工作原理 视乎客户端是否第一次登录网路DHCP的工作形式会有所不同。 第一次登录的时候 1.寻找Server。当DHCP客户端第一次登录网路的时候也就是客户发现本机上没有任何IP资料设定它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路所以封包的来源位址会为而目的位址则为55然后再附上Dhcpdiscover的信息向网路进行广播。 2.提供IP租用位址。当DHCP伺服器监听到客户端发出的Dhcpdiscover广播后它会从那些还没有租出的位址范围内选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。 由于客户端在开始的时候还没有IP位址所以在其Dhcpdiscover封包内会带有其MAC位址信息并且有一个XID编号来辨别该封包DHCP伺服器回应的Dhcpoffer封包则会根据这些资料传递给要求租约的客户。根据伺服器端的设定Dhcpoffer封包会包含一个租约期限的信息。 3.接受IP租约。如果客户端收到网路上多台DHCP伺服器的回应只会挑选其中一个Dhcpoffer而已(通常是最先抵达的那个)并且会向网路发送一个Dhcprequest广播封包告诉所有DHCP伺服器它将指定接受哪一台伺服器提供的IP位址。 同时客户端还会向网路发送一个ARP封包查询网路上面有没有其它机器使用该IP位址如果发现该IP已经被占用客户端则会送出一个DHCPDECLINE封包给DHCP伺服器拒绝接受其Dhcpoffer并重新发送Dhcpdiscover信息。 事实上并不是所有DHCP客户端都会无条件接受DHCP伺服器的offer尤其这些主机安装有其它TCP/IP相关的客户软体。客户端也可以用Dhcprequest向伺服器提出DHCP选择而这些选择会以不同的号码填写在DHCPOptionField里面,DHCP,DHCP,跨网路的DHCP运作 DHCDISCOVER是以广播方式进行的， 其情形只能在同一网路之内进行,因为router是不会将广播传送出去的。 如果DHCP伺服器安设在其它的网路上面 由于DHCP客户端还没有IP环境设定所以也不知道Router位址而且有些Router也不会将DHCP广播封包传递出去因此这情形下DHCPDISCOVER是永远没办法抵达DHCP伺服器那端的，当然也不会发生OFFER及其他动作了。 DHCPAgent(或DHCPProxy)主机来接管客户的DHCP请求然后将此请求传递给真正的DHCP伺服器然后将伺服器的回复传给客户。这里Proxy主机必须自己具有路由能力，且能将双方的封包互传对方。 若不使用Proxy，您也可以在每一个网路之中安装DHCP伺服器,路由,SR 1001,SR 4134,ERS5698,ARUBA2400,,,,,,,,,IP adress: 0 Netmask: Gateway: ,,IP adress: 00 Netmask: Gateway: ,,IP adress: 00 Netmask: Gateway: ,,/ E 0/1 / E 0/2 / E 0/3 / / ,/ E 0/1 / E 0/2 / E 0/3 / / ,/ E 0/1 / E 0/2 / / / ,/ E 0/1 / E 0/2 / E 0/3 / / ,RADIUS概述,RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 实现AAA（授权Authorization、验证Authentication和计费Accounting）功能,RADIUS结构及基本原理 RADIUS包结构,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议 RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密 RADIUS包机构灵活，扩展性好，采用UDP发送,0,1,2,3,4,5,0,8,16,24,RADIUS结构及基本原理 RADIUS包结构,Code 1 Access- request 2 Access- accept 3 Access- reject 4 Accounting-request 5 Accounting-response 11 Access-challenge Identifier 用于匹配请求包和回应包 Length 所有域的长度 Authenticator 16 字节长用于验证RADIUS服务器传回来的请求以及密码隐藏算法上分为 Request authenticator 和 response authenticator RequestAuth = 16 字节的随机码 ResponseAuth = MD5 （Code+ID+Length+RequestAuth+Attribute+Secret）,RADIUS结构及基本原理 RADIUS包结构,Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class,26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic,46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port,Dictionary,RADIUS工作过程(I),Radius服务器S,RT2,RT1,用户,RADIUS工作过程(II),在RT1上需要配置（示意）如下信息： 在和用户相连的接口上配置利用PPP CHAP验证对方； 使能AAA，并且配置AAA验证、计费协议使用Radius； 配置Radius验证、计费服务器为S，并且配置它们和RT1之间的互相验证密钥为abc。 在Radius服务器S上需要配置（示意）如下信息： 配置一个名称为RT1的Radius客户端，共享密钥为abc； 在用户数据库中配置新的一行（用户名：user1 密码：123 IP地址： 缺省网关：）。,RADIUS实现AAA的流程,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS验证与授权,验证、授权过程如下： 路由器将得到的用户信息打包向RADIUS服务器发送 RADIUS服务器对用户进行验证： 合法用户返回访问接受包（用户授权信息） 非法用户返回访问拒绝包 路由器接受服务器的响应包： 访问接受包允许上网，使用其授权信息对用户进行处理 访问拒绝包拒绝用户上网请求,RADIUS密码,在端口上采用PAP验证 用户以明文的形式把用户名和他的密码传递给路由器 路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器根据RADIUS服务器的返回结果来决定是否允许用户上网 在端口上采用CHAP验证 当用户请求上网时 路由器产生一个16字节的随机码给用户同时还有一个ID号本地路由器的 host name 用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密生成一个response传给NAS NAS把传回来的CHAP ID和Response分别作为用户名和密码并把原来的16字节随机码传给RADIUS服务器RADIUS根据用户名在服务器端查找 数据库得到和用户端进行加密所用的一样的密码然后根据传来的16字节的随机码进行加密将其结果与传来的Password作比较如果相同表明验证通过如果不相同表明验证失败另外如果验证成功RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问Challenge,RADIUS计费,每次计费过程包括计费请求、计费应答 对一个用户的计费过程有： 计费信息： 计费失败处理,计费开始,实时计费,计费结束,会话时长,输入字节数,输出字节数,输入包数,输出包数,802.1X起源,来源：802.1X协议起源于802.11协议，起初主要是为了解决无线局域网用户的接入认证问题。 目的：有线局域网通过固定线路形成固定的物理空间；但无线局域网具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于某一网络。802.1x正是基于这一需求而出现的一种认证技术。 作用形式：操作粒度为端口；对于无线局域网接入认证之后建立起来的信道（端口）被独占。,802.1X的应用,IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口） LanSwitch的一个物理端口仅连接一个End Station（基于物理端口） 华为-3ComVRP平台的802.1X