您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 综合/其它 > 华为赛门铁克HSCDA认证培训考试资料(数据通信)
第1页共65页幻灯片1幻灯片2幻灯片3第2页共65页幻灯片4幻灯片5第3页共65页幻灯片6幻灯片7第4页共65页物理层涉及到在通信信道(channel)上传输的原始比特流,它实现传输数据所需要的机械、电气、功能特性及过程等手段。物理层涉及电压、电缆线、数据传输速率、接口等的定义。物理层的主要网络设备为中继器、集线器等。数据链路层的主要任务是提供对物理层的控制,检测并纠正可能出现的错误,使之对网络层显现一条无错线路,并且进行流量调控(可选)。流量调控可以在数据链路层实现,也可以由传输层实现。数据链路层与物理地址、网络拓扑、线缆规划、错误校验、流量控制等有关。数据链路层主要设备为以太网交换机。网络层检查网络拓扑,以决定传输报文的最佳路由,其关键问题是确定数据包从源端到目的端如何选择路由。网络层通过路由选择协议来计算路由。存在于网络层的设备主要有路由器、三层交换机等。后面您将学习到更多关于网络层的知识。传输层的基本功能是从会话层接受数据,并且在必要的时候把它分成较小的单元,传递给网络层,并确保到达对方的各段信息正确无误。传输层建立、维护虚电路,进行差错校验和流量控制。会话层允许不同机器上的用户建立、管理和终止应用程序间的会话关系,在协调不同应用程序之间的通信时要涉及会话层,该层使每个应用程序知道其它应用程序的状态。同时,会话层也提供双工(duplex)协商、会话同步等等。表示层关注于所传输的信息的语法和意义,它把来自应用层与计算机有关的数据格式处理成与计算机无关的格式,以保障对端设备能够准确无误地理解发送端数据。同时,表示层也负责数据加密等。应用层是OSI参考模型最靠近用户的一层,为应用程序提供网络服务。应用层识别并验证目的通信方的可用性,使协同工作的应用程序之间同步。幻灯片8第5页共65页OSI参考模型依层次结构来划分:第一层,物理层(Physicallayer);第二层,数据链路层(datalinklayer);第三层,网络层(networklayer);第四层,传输层(transportlayer);第五层,会话层(sessionlayer);第六层,表示层(presentationlayer);第七层,应用层(applicationlayer)。通常,我们把OSI参考模型第一层到第三层称为底层(lowerlayer),又叫介质层(MediaLayer)。这些层负责数据在网络中的传送,网络互连设备往往位于下三层。底层通常以硬件和软件相结合的方式来实现。OSI参考模型的第五层到第七层称为高层(upperlayer),又叫主机层(hostlayer)。高层用于保障数据的正确传输,通常以软件方式来实现。七层OSI参考模型具有以下优点:简化了相关的网络操作;提供即插即用的兼容性和不同厂商之间的标准接口;使各个厂商能够设计出互操作的网络设备,加快数据通信网络发展;防止一个区域网络的变化影响另一个区域的网络,因此,每一个区域的网络都能单独快速升级;把复杂的网络问题分解为小的简单问题,易于学习和操作。需要注意的是,由于种种原因,现在还没有一个完全遵循OSI七层模型的网络体系,但OSI参考模型的设计蓝图为我们更好的理解网络体系,学习计算机通信网络奠定了基础。幻灯片9第6页共65页幻灯片10地址解析协议ARP是一种广播协议,主机通过它可以动态地发现对应于一个IP地址的MAC层地址。每一个主机都有一个ARP高速缓存(ARPcache),有IP地址到物理地址的映射表,这些第7页共65页都是该主机目前知道的一些地址。当主机A欲向本局域网上的主机B发送一个IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就可查出其对应的物理地址,然后将该数据报发往此物理地址。也有可能查不到主机B的IP地址的项目。可能是主机B才入网,也可能是主机A刚刚加电,其高速缓存还是空的。在这种情况下,假定主机A需要知道主机B的MAC地址,主机A发送称为ARP请求的以太网数据帧给网段上的每一台主机,这个过程称为广播。发送的ARP请求报文中,带有自己的IP地址到MAC地址的映射,同时还带有需要解析的目的主机的IP地址。目的主机B收到请求报文后,将其中的主机A的IP地址与MAC地址的映射存到自己的ARP高速缓存中,并把自己的IP地址到MAC地址的映射作为响应发回主机A。主机A收到ARP应答,就得到了主机B的MAC地址,同时,主机A缓存主机B的IP地址到MAC地址映射。幻灯片11在进行地址转换时,有时还要用到反向地址转换协议RARP。RARP常用于X终端和无盘工作站等,这些设备知道自己MAC地址,需要获得IP地址。为了使RARP能工作,在局域网上至少有一个主机要充当RARP服务器。以上图为例,无盘工作站需要获得自己的IP地址,向网络中广播RARP请求,RARP服务器接收广播请求,发送应答报文,无盘工作站获得IP地址。对应于ARP、RARP请求以广播方式发送,ARP、RARP应答一般以单播方式发送,以节省网络资源。幻灯片12第8页共65页幻灯片13每个IP地址是一个写成4个8位字节的32比特值。这就意味着存在4个组,每个组包括8个二进制位,如上图所示。幻灯片14第9页共65页幻灯片15幻灯片16第10页共65页PPP协议也提供了可选的认证配置参数选项,缺省情况下点对点通信的两端是不进行认证的。在LCP的Config-Request报文中不可一次携带多种认证配置选项,必须二者择其一(PAP/CHAP),选择最希望的那一种,一般是在PPP设备互连的设备上进行配置的,但一般设备会默认支持一个缺省的认证方式(PAP是大部分设备所默认的认证方式)。当对端收到该配置请求报文后,如果支持配置参数选项中的认证方式,则回应一个Config-Ack报文;否则回应一个Config-Nak报文,并附带上自希望双方采用的认证方式。当对方接收到Config-Ack报文后就可以开始进行认证了,而如果收到得是Config-Nak报文,则根据自身是否支持Config-Nak报文中的认证方式来回应对方,如果支持则回应一个新的Config-Request(并携带上Config-Nak报文中所希望使用的认证协议),否则将回应一个Config-Reject报文,那么双方就无法通过认证,从而不可能建立起PPP链路。PPP支持两种授权协议:PAP(PasswordAuthenticationProtocol)和CHAP(ChallengeHandAuthenticationProtocol)。我们所知两个设备在使用PAP进行认证之前,应该确认那一方是验证方,那一方是被验证方。实际上对于使用PPP协议互连的两端来说,既可作为认证方,也可作为被认证方。但通常情况下,PAP只使用一个方向上的认证。一般在两端设备使用PAP协议之前,均会设备上进行一些相应的配置,对于宽带工程师而言MA5200可谓是大家最熟悉的产品了,它默认就作为验证方,但可通过使用命令PAPAuthenticationPAP/CHAP来更改认证方式,而对于被验证方而言只需设置用户名和密码即可。PAP认证是两次握手,在链路建立阶段,依据设备上的配置情况,如果是使用PAP认证,则验证方在发送Config-Request报文时会携带认证配置参数选项,而对于被验证方而言则是不需要,它只需要收到该配置请求报文后根据自身的情况给对端返回相应的报文。如果点对点的两端设备采用的是PAP双向认证时,也即是它同时也作为验证方,则此时需要在配置请求报文中携带认证配置参数选项。因此,我们可以总结一下,如果对于点对点的两个设备在PPP链路建立的过程中使用的认证方式为PAP的话,那么验证方在其Config-Request报第11页共65页文中必须含有认证配置参数选项,且该认证配置参数选项的数据域为0xC023。当通信设备的两端在收到对方返回的Config-Ack报文时,就从各自的链路建立阶段进入到认证阶段,那么作为被验证方此时需要向验证方发送PAP认证的请求报文,该请求报文携带了用户名和密码,当验证方收到该认证请求报文后,则会根据报文中的实际内容查找本地的数据库,如果该数据库中有与用户名和密码一致的选项时,则回向对方返回一个认证请求响应,告诉对方认证已通过。反之,如果用户名与密码不符,则向对方返回验证不通过的响应报文。如果双方都配置为验证方,则需要双方的两个单向验证过程都完成后,方可进入到网络层协议阶段,否则在一定次的认证失败后,则会从当前状态返回链路不可用状态。例10:如图4-1所示,当路由器A(被验证方)收到了路由器B的Config-Ack报文后,因为是使用PAP认证,所以作为被验证方的路由器A应主动向验证方(路由器B)发送认证请求报文(PAPAuthenticate),用户名和密码均为163,报文的内容如下:7EFF03C0230101000C03313633033136337E下划线的前四个字节是用户名,后四个字节是密码。当路由器B收到了该报文后,会向路由器A回应一个PAPAuthenticateAck报文,报文内容如下:7EFF03802102010005007E此时所回应的报文中,并未携带任何数据,如果是认证不通过,则会在返回的报文中指是因何原因无法认证通过,可能是无此用户名或密码不匹配。幻灯片17与PAP认证比起来,CHAP认证更具有安全性,从前面认证过程的数据包交换过程中不然发现,采用PAP认证时,被验证是采用明文的方式直接将用户名和密码发送给验证方的,而对于PAP认证则不一样。CHAP为三次握手协议,它只在网络上传送用户名而不传送口令,因此安全性比PAP高。在验证一开始,不像PAP一样是由被验证方发送认证请求报文了,而是由验证方向被验证第12页共65页方发送一段随机的报文,并加上自己的主机名,我们通称这个过程叫做挑战。当被验证方收到验证方的验证请求,从中提取出验证方所发送过来的主机名,然后根据该主机名在被验证方设备的后台数据库中去查找相同的用户名的记录,当查找到后就使用该用户名所对应的密钥,然后根据这个密钥、报文ID和验证方发送的随机报文用Md5加密算法生成应答,随后将应答和自己的主机名送回,同样验证方收到被验证方发送回应后,提取被验证方的用户名,然后去查找本地的数据库,当找到与被验证方一致用户名后,根据该用户名所对应的密钥、保留报文ID和随机报文用Md5加密算法生成结果,和刚刚被验证方所返回的应答进行比较,相同则返回Ack,否则返回Nak。例11:如图4-2所示,当路由器A(被验证方)收到了路由器B的Challenge报文后,报文内容如下:7EFF03C2230101001C10FF41CF22AA8EF1B9999A79A75678C4A74d4135323030417E下划线的前16个字节是验证方随机产生的一段报文,后7个字节是验证方的主机名(MA5200A),而且单个字节10表示随机报文的长度。而此时路由器A会根据用户名所对应的密钥使用报文的ID和该报文的内容生成一个回应报文,报文内容如下:7EFF03C2230201001F10188622FFCE81D068FF808500A7E3853570706B697373406875617E我们将这个回应报文与验证方发送的挑战报文进行比较,报文的代码域已由原01改为02,总报文的长度有变化,主要后而一个下划线的内容是被验证方的主机名(ppkiss@hua),而且此时回应的16个字节的报文已经是经过MD5算法加密过的。当验证方收到了这个回应报文后,会根据报文中被验证方的主机名(ppkiss@hua)在本地的数据库中去查找密钥,然后再对原发先发送的那段挑战报文进行MD5的算法加密,如果所得的结果与对方刚发过来的16个字节的加密值一样的话,则就会发送一个报文通知被验证方,你的认证已经通过,我们可以进入到下一个阶段了。在实际应用当中,我们很多都是使用PC机来进行拨号这个过程,实际中当验证方发送挑战后,PC机只接收而并不去查本地数据库,而直接使用在拨号对话框中所输入的密码和报文的ID及报报文的内容进行MD
本文标题:华为赛门铁克HSCDA认证培训考试资料(数据通信)
链接地址:https://www.777doc.com/doc-314702 .html