网络类型
判断数据链路层(二层)协议
一、点到点(P2P)
物理网段中只有两个物理节点,不需要二层地址。例如:串线。
二、BMA(广播多路访问)-- broadcast
在一个物理网段中,可以有多个物理节点和广播机制。例如:以太网。
以太网 共享性网络
在物理链路上使用大量频率电波同时传输数据,起到带宽叠加的作用
物理网线:RJ-45双绞线 RJ-11电话线 同轴电缆 光纤 -- 遵循以太网协议
以太网协议 --- 需要使用MAC区分和识别不同的主机设备。 --- 以太网之所以需要使用MAC物理搜索地址?
以太网 -- 频分技术 -- 也就是说,在同频段的电波可以在不干扰的情况下发送到同一传输介质上,实现数据的并行发送。
存在冲突 --- CSMA/CD 载波侦听多路访问/冲突检测 交换机完全解决
交换机解决冲突域的方法
交换机实现单播,隔离冲突域
三、NBMA(非广播多路访问)-- none broad
多个物理节点可以存在于一个物理网段中,但没有广播(洪泛)机制。例如:帧中继MGRE。
注意:MA可以拆分成BMA&NBMA
PPP和HDLC
HDLC
标准的HDLC -- ISO符合工业标准的组织颁布HDLC版本
非标的HDLC -- 各大厂商基于标准HDLC改进而来
属于高级数据链路控制协议P2P网络类型,不再需要二层地址。早期的二层包装技术,每个制造商HDLC技术是各自的私有技术,彼此不兼容,仅执行介质访问控制的功能。Cisco默认使用的封装技术是HDLC(非标);如果两个端口的封装技术不同,封装就无法正常解开,会导致ping不通。
实例
拓扑图:
设置HDLC
PPP
点到点协议属于点到点网络类型,不需要二层单播地址HDLC升级的基础上。
非Cisco默认使用串线的包装协议
升级点
①不同网段IP地址直接连接后,仍可正常通信,两台设备之间的交互接口IP生成到达对端接口的32位主机路由;
②身份认证(使用相同的账号和密码);
③支持新的虚链通信。
④兼容性强,版本统一,只要支持全双工串线,就可以使用PPP协议封装
PPP和TCP协议相似,需要在传输前建立PPP的会话。
1.链路建设阶段 -- LCP建立
2、认证阶段 -- 可选项
3.网络地址协商阶段 --- NCP协商 --- NCP协议是一堆协议的总称 -- IPCP协
自动下放地址
PPP协议拥有一系列的成员协议 --- LCP --- 链路控制协议(一个)
--- NCP --- 网络链路控制协议(一堆)
F --- flag --- 01111110
A --- address --- 11111111
C --- control --- 00000011
协议 --- 标记上层协议
FCS --- 帧校验序列 --- 确保数据的完整性
NCP协商
在启动链路后,LCP 会将控制权交给适当的 NCP。
尽管 PPP 最初是针对 IP 数据包而设计的,但通过在实施中使用模块化的方法,PPP 可以传输来自多个网络层协议的数据。 PPP 的模块化版本允许 LCP 设置链路,然后将网络协议的详细信息传输给特定的 NCP。 每个网络协议都有一个相应的 NCP,每个 NCP 都有一个相应的 RFC。
拥有 NCP 的协议有 IPv4、IPv6、IPX 和其他许多协议。 NCP 使用与 LCP 相同的数据包格式。
在 LCP 对基础链路进行配置和身份验证之后,将会调用相应的 NCP 来配置要使用的网络层协议。 在 NCP 成功配置网络层协议之后,在已建立的 LCP 链路上,网络协议将处于开启状态。 此时,PPP 可以传输相应的网络层协议数据包。
作为 NCP 层如何运行的示例,IPv4 的 NCP 配置在图中展示,它是最常用的第 3 层协议。 在 LCP 建立链路之后,路由器会交换 IPCP 消息,以此协商特定于 IPv4 协议的选项。 IPCP 负责在链路的两端配置、启用和禁用 IPv4 模块。 IPV6CP 与 IPv6 的 NCP 具有相同的职责。
IPCP 协商两个选项:
- - 允许设备协商算法以压缩 TCP 和 IP 报头并节省带宽。 Van Jacobson TCP/IP 报头压缩技术可以将 TCP/IP 报头的大小减少到 3 个字节。 在缓慢的串行线路上,尤其是对于交互式通信,此技术可以大幅改善线路的性能。
- - 允许发起方设备指定供 PPP 链路上路由 IP 使用的 IPv4 地址,或者请求响应方的 IPv4 地址。 在宽带技术(例如 DSL、电缆调制解调器服务)出现之前,拨号网络链路通常使用 IPv4 地址选项。
在 NCP 过程完成之后,链路进入开启状态,LCP 在链路维护阶段再次接管。 链路流量可能是 LCP、NCP 和网络层协议数据包的任意组合。 当数据传输完成后,NCP 会终止协议链路;LCP 会终止 PPP 连接
PPPOE(拨号上网)
基于以太网的点到点协议。为了实现不在同一网段的通信,身份合适,建立虚链路分配IP地址。
两种认证方法
一、PAP认证:
密码认证协议(Password Authentication Protocol),明文认证方式。被认证方地向认证方发送用户名和密码信息,直到认证方给予回应或连接中止,常用于PPPOE拨号上网认证。
PAP工作模式
第一步:被认证方将配置的用户名和密码信息使用Authenticate-Requset报文以明文方式传输给认证方。
第二步:认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否正确匹配,若正确匹配则回复Authenticate-Ack报文,表示认证成功;若不匹配则返回Authenticate-Nak报文,表示认证失败。
实例
拓扑图:
具体配置:
(1)认证方(ISP)配置:
(2)被认证方(Client)配置:
抓包:
可见密码为明文传输。
二、CHAP认证:
挑战(质问)握手认证协议(Challenge Handshark Authentication Protocol),密文传输认证方式。认证方向被认证方发起认证质询,周期性地进行身份验证,常用于企业网的远程接入认证。
CHAP工作模式
第一步:在连接建立后,由主验证方主动发起验证请求,主验证方向被验证方发送随机产生的Challenge报文(ID+随机数)并同时将本端的用户名(若在接口上有配置用户名则使用此用户名,若没用则使用路由器的名字)一起发送给被验证方;
第二步:被验证方找密码:
(1)被验证方接收到验证方的验证质询后,检查本段接口上是否配置了缺省的CHAP密码,如果配置了则被验证方利用MD5算法对ID、该缺省密码和随机数算出一个Hash值,将生成的Hash值和自己的用户名发回验证方(Response报文);
(2)如果被验证方检查发现本端接口上没有配置缺省的CHAP密码,则被验证方根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,如果在用户表找到了与验证方用户名相同的用户,便利用MD5算法对报文ID、该对应的密码和随机数算出一个Hash值,将生成的Hash值和自己的用户名发回验证方(Response报文);
第三步:验证方用MD5对报文ID、自己保存的被验证方密码、随机数进行运算,得到一个Hash值,比较Hash值是否与被认证方发来的Hash值相同,根据比较结果返回不同的相应(success or Not fail)。
实例
拓扑图:
具体配置:
(1)认证方(ISP)配置:
(2)被认证方(Client)配置:
抓包:
可见密码为密文传输。
PAP和CHAP的区别
PAP是两次握手,CHAP是三次握手
PAP使用明文的方式在链路上发送,缺乏安全性
CHAP在链路上传输用户名,并不传输用户密码
PAP和CHAP都支持双向身份验证