【正文】 幻燈片 1幻燈片 2幻燈片 3幻燈片 4幻燈片 5幻燈片 6幻燈片 7物理層涉及到在通信信道（channel）上傳輸?shù)脑急忍亓?，它實現(xiàn)傳輸數(shù)據(jù)所需要的機械、電氣、功能特性及過程等手段。物理層涉及電壓、電纜線、數(shù)據(jù)傳輸速率、接口等的定義。物理層的主要網(wǎng)絡設備為中繼器、集線器等。數(shù)據(jù)鏈路層的主要任務是提供對物理層的控制，檢測并糾正可能出現(xiàn)的錯誤，使之對網(wǎng)絡層顯現(xiàn)一條無錯線路，并且進行流量調控（可選）。流量調控可以在數(shù)據(jù)鏈路層實現(xiàn)，也可以由傳輸層實現(xiàn)。數(shù)據(jù)鏈路層與物理地址、網(wǎng)絡拓撲、線纜規(guī)劃、錯誤校驗、流量控制等有關。數(shù)據(jù)鏈路層主要設備為以太網(wǎng)交換機。網(wǎng)絡層檢查網(wǎng)絡拓撲，以決定傳輸報文的最佳路由，其關鍵問題是確定數(shù)據(jù)包從源端到目的端如何選擇路由。網(wǎng)絡層通過路由選擇協(xié)議來計算路由。存在于網(wǎng)絡層的設備主要有路由器、三層交換機等。 后面您將學習到更多關于網(wǎng)絡層的知識。傳輸層的基本功能是從會話層接受數(shù)據(jù)，并且在必要的時候把它分成較小的單元，傳遞給網(wǎng)絡層，并確保到達對方的各段信息正確無誤。傳輸層建立、維護虛電路，進行差錯校驗和流量控制。會話層允許不同機器上的用戶建立、管理和終止應用程序間的會話關系，在協(xié)調不同應用程序之間的通信時要涉及會話層，該層使每個應用程序知道其它應用程序的狀態(tài)。同時，會話層也提供雙工（duplex）協(xié)商、會話同步等等。表示層關注于所傳輸?shù)男畔⒌恼Z法和意義，它把來自應用層與計算機有關的數(shù)據(jù)格式處理成與計算機無關的格式，以保障對端設備能夠準確無誤地理解發(fā)送端數(shù)據(jù)。同時，表示層也負責數(shù)據(jù)加密等。應用層是OSI參考模型最靠近用戶的一層，為應用程序提供網(wǎng)絡服務。應用層識別并驗證目的通信方的可用性，使協(xié)同工作的應用程序之間同步。 幻燈片 8OSI參考模型依層次結構來劃分：第一層，物理層（Physical layer）；第二層，數(shù)據(jù)鏈路層（data link layer）；第三層，網(wǎng)絡層（network layer）；第四層，傳輸層（transport layer） ；第五層，會話層（session layer）；第六層，表示層（presentation layer）；第七層，應用層（application layer）。通常，我們把OSI參考模型第一層到第三層稱為底層（lower layer），又叫介質層(Media Layer)。這些層負責數(shù)據(jù)在網(wǎng)絡中的傳送，網(wǎng)絡互連設備往往位于下三層。底層通常以硬件和軟件相結合的方式來實現(xiàn)。OSI參考模型的第五層到第七層稱為高層（upper layer），又叫主機層（host layer）。高層用于保障數(shù)據(jù)的正確傳輸，通常以軟件方式來實現(xiàn)。七層OSI參考模型具有以下優(yōu)點：簡化了相關的網(wǎng)絡操作；提供即插即用的兼容性和不同廠商之間的標準接口；使各個廠商能夠設計出互操作的網(wǎng)絡設備，加快數(shù)據(jù)通信網(wǎng)絡發(fā)展；防止一個區(qū)域網(wǎng)絡的變化影響另一個區(qū)域的網(wǎng)絡，因此，每一個區(qū)域的網(wǎng)絡都能單獨快速升級；把復雜的網(wǎng)絡問題分解為小的簡單問題，易于學習和操作。需要注意的是，由于種種原因，現(xiàn)在還沒有一個完全遵循OSI七層模型的網(wǎng)絡體系，但OSI參考模型的設計藍圖為我們更好的理解網(wǎng)絡體系，學習計算機通信網(wǎng)絡奠定了基礎。 幻燈片 9幻燈片 10地址解析協(xié)議ARP是一種廣播協(xié)議，主機通過它可以動態(tài)地發(fā)現(xiàn)對應于一個IP地址的MAC層地址。每一個主機都有一個ARP高速緩存（ARP cache），有IP地址到物理地址的映射表，這些都是該主機目前知道的一些地址。當主機A欲向本局域網(wǎng)上的主機B發(fā)送一個IP數(shù)據(jù)報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應的物理地址，然后將該數(shù)據(jù)報發(fā)往此物理地址。也有可能查不到主機B的IP地址的項目。可能是主機B才入網(wǎng)，也可能是主機A剛剛加電，其高速緩存還是空的。在這種情況下，假定主機A需要知道主機B的MAC地址，主機A發(fā)送稱為ARP請求的以太網(wǎng)數(shù)據(jù)幀給網(wǎng)段上的每一臺主機，這個過程稱為廣播。發(fā)送的ARP請求報文中，帶有自己的IP地址到MAC地址的映射，同時還帶有需要解析的目的主機的IP地址。目的主機B收到請求報文后，將其中的主機A的IP地址與MAC地址的映射存到自己的ARP高速緩存中，并把自己的IP地址到MAC地址的映射作為響應發(fā)回主機A。主機A收到ARP應答，就得到了主機B的MAC地址，同時，主機A緩存主機B的IP地址到MAC地址映射。 幻燈片 11在進行地址轉換時，有時還要用到反向地址轉換協(xié)議RARP。RARP常用于X終端和無盤工作站等，這些設備知道自己MAC地址，需要獲得IP地址。為了使RARP能工作，在局域網(wǎng)上至少有一個主機要充當RARP服務器。以上圖為例，無盤工作站需要獲得自己的IP地址，向網(wǎng)絡中廣播RARP請求，RARP服務器接收廣播請求，發(fā)送應答報文，無盤工作站獲得IP地址。對應于ARP、RARP請求以廣播方式發(fā)送，ARP、RARP應答一般以單播方式發(fā)送，以節(jié)省網(wǎng)絡資源。 幻燈片 12幻燈片 13每個IP地址是一個寫成4個8位字節(jié)的32比特值。這就意味著存在4個組，每個組包括8個二進制位，如上圖所示。 幻燈片 14幻燈片 15幻燈片 16PPP協(xié)議也提供了可選的認證配置參數(shù)選項，缺省情況下點對點通信的兩端是不進行認證的。在LCP的ConfigRequest報文中不可一次攜帶多種認證配置選項，必須二者擇其一（PAP/CHAP），選擇最希望的那一種，一般是在PPP設備互連的設備上進行配置的，但一般設備會默認支持一個缺省的認證方式（PAP是大部分設備所默認的認證方式）。當對端收到該配置請求報文后，如果支持配置參數(shù)選項中的認證方式，則回應一個ConfigAck報文；否則回應一個ConfigNak報文，并附帶上自希望雙方采用的認證方式。當對方接收到ConfigAck報文后就可以開始進行認證了，而如果收到得是ConfigNak報文，則根據(jù)自身是否支持ConfigNak報文中的認證方式來回應對方，如果支持則回應一個新的ConfigRequest（并攜帶上ConfigNak報文中所希望使用的認證協(xié)議），否則將回應一個ConfigReject報文，那么雙方就無法通過認證，從而不可能建立起PPP鏈路。PPP支持兩種授權協(xié)議：PAP（Password Authentication Protocol）和CHAP（Challenge Hand Authentication Protocol）。 我們所知兩個設備在使用PAP進行認證之前，應該確認那一方是驗證方，那一方是被驗證方。實際上對于使用PPP協(xié)議互連的兩端來說，既可作為認證方，也可作為被認證方。但通常情況下，PAP只使用一個方向上的認證。一般在兩端設備使用PAP協(xié)議之前，均會設備上進行一些相應的配置，對于寬帶工程師而言MA5200可謂是大家最熟悉的產(chǎn)品了，它默認就作為驗證方，但可通過使用命令PAP Authentication PAP/CHAP來更改認證方式，而對于被驗證方而言只需設置用戶名和密碼即可。PAP認證是兩次握手，在鏈路建立階段，依據(jù)設備上的配置情況，如果是使用PAP認證，則驗證方在發(fā)送ConfigRequest報文時會攜帶認證配置參數(shù)選項，而對于被驗證方而言則是不需要，它只需要收到該配置請求報文后根據(jù)自身的情況給對端返回相應的報文。如果點對點的兩端設備采用的是PAP雙向認證時，也即是它同時也作為驗證方，則此時需要在配置請求報文中攜帶認證配置參數(shù)選項。因此，我們可以總結一下，如果對于點對點的兩個設備在PPP鏈路建立的過程中使用的認證方式為PAP的話，那么驗證方在其ConfigRequest報文中必須含有認證配置參數(shù)選項，且該認證配置參數(shù)選項的數(shù)據(jù)域為0xC023 。當通信設備的兩端在收到對方返回的ConfigAck報文時，就從各自的鏈路建立階段進入到認證階段，那么作為被驗證方此時需要向驗證方發(fā)送PAP認證的請求報文，該請求報文攜帶了用戶名和密碼，當驗證方收到該認證請求報文后，則會根據(jù)報文中的實際內容查找本地的數(shù)據(jù)庫，如果該數(shù)據(jù)庫中有與用戶名和密碼一致的選項時，則回向對方返回一個認證請求響應，告訴對方認證已通過。反之，如果用戶名與密碼不符，則向對方返回驗證不通過的響應報文。如果雙方都配置為驗證方，則需要雙方的兩個單向驗證過程都完成后，方可進入到網(wǎng)絡層協(xié)議階段，否則在一定次的認證失敗后，則會從當前狀態(tài)返回鏈路不可用狀態(tài)。例10： 如圖41所示，當路由器A（被驗證方）收到了路由器B 的ConfigAck報文后，因為是使用PAP認證，所以作為被驗證方的路由器A應主動向驗證方（路由器B）發(fā)送認證請求報文（PAP Authenticate），用戶名和密碼均為163，報文的內容如下：7E FF 03 C0 23 01 01 00 0C 03 31 36 33 03 31 36 33 7E下劃線的前四個字節(jié)是用戶名，后四個字節(jié)是密碼。當路由器B收到了該報文后，會向路由器A回應一個PAP Authenticate Ack報文，報文內容如下：7E FF 03 80 21 02 01 00 05 00 7E此時所回應的報文中，并未攜帶任何數(shù)據(jù)，如果是認證不通過，則會在返回的報文中指是因何原因無法認證通過，可能是無此用戶名或密碼不匹配。 幻燈片 17與PAP認證比起來，CHAP認證更具有安全性，從前面認證過程的數(shù)據(jù)包交換過程中不然發(fā)現(xiàn)，采用PAP認證時，被驗證是采用明文的方式直接將用戶名和密碼發(fā)送給驗證方的，而對于PAP認證則不一樣。CHAP為三次握手協(xié)議，它只在網(wǎng)絡上傳送用戶名而不傳送口令，因此安全性比PAP高。在驗證一開始，不像PAP一樣是由被驗證方發(fā)送認證請求報文了，而是由驗證方向被驗證方發(fā)送一段隨機的報文，并加上自己的主機名，我們通稱這個過程叫做挑戰(zhàn)。當被驗證方收到驗證方的驗證請求，從中提取出驗證方所發(fā)送過來的主機名，然后根據(jù)該主機名在被驗證方設備的后臺數(shù)據(jù)庫中去查找相同的用戶名的記錄，當查找到后就使用該用戶名所對應的密鑰，然后根據(jù)這個密鑰、報文ID和驗證方發(fā)送的隨機報文用Md5加密算法生成應答，隨后將應答和自己的主機名送回，同樣驗證方收到被驗證方發(fā)送回應后，提取被驗證方的用戶名，然后去查找本地的數(shù)據(jù)庫，當找到與被驗證方一致用戶名后，根據(jù)該用戶名所對應的密鑰、保留報文ID和隨機報文用Md5加密算法生成結果，和剛剛被驗證方所返回的應答進行比較，相同則返回Ack，否則返回Nak。例11： 如圖42所示，當路由器A（被驗證方）收到了路由器B 的Challenge報文后，報文內容如下：7E FF 03 C2 23 01 01 00 1C 10 FF 41 CF 22 AA 8E F1 B9 99 9A 79 A7 56 78 C4 A7 4d 41 35 32 30 30 41 7E下劃線的前16個字節(jié)是驗證方隨機產(chǎn)生的一段報文，后7個字節(jié)是驗證方的主機名（MA5200A），而且單個字節(jié)10表示隨機報文的長度。而此時路由器A會根據(jù)用戶名所對應的密鑰使用報文的ID和該報文的內容生成一個回應報文，報文內容如下：7E FF 03 C2 23 02 01 00 1F 10 18 86 22 FF CE 81 D0 68 FF 80 85 00 A7 E3 85 35 70 706B 69 73 73 40 68 75 61 7E我們將這