網(wǎng)絡(luò)通訊與TCP-I.ppt

網(wǎng)絡(luò)通訊與TCP/IP協(xié)議,實(shí)用協(xié)議補(bǔ)充部分,封裝,網(wǎng)絡(luò)是分層的 各層協(xié)議有自己的所謂封裝頭 按照協(xié)議在OSI結(jié)構(gòu)中的層次依次封裝,封裝,以太網(wǎng),IP,TCP,HTTP,ARP協(xié)議與子網(wǎng)內(nèi)通訊,子網(wǎng)內(nèi)通訊是指不通過網(wǎng)關(guān)訪問其他子網(wǎng)的通訊， 是最基本的通訊過程 由于這類通訊通常是在以太網(wǎng)中發(fā)生，子網(wǎng)又稱為廣播域內(nèi)通訊， 或VLAN內(nèi)通訊,過程： PC1 10, 連接到網(wǎng)絡(luò)以后如果欲和 PC2 通訊，但是不知道 PC2的MAC地址， 首先發(fā)出ARP廣播請(qǐng)求：,由于是在一個(gè)廣播域， PC2聽到后，予以答復(fù),PC1 知道了PC2 的MAC地址以后通訊開始,關(guān)于ICMP,物理層,數(shù)據(jù)連路層,網(wǎng)絡(luò)層(IP),傳輸層(TCP),ICMP,Ping traceroute,根據(jù)目的地址與原地址之間位置確定是否需要路由 Ping是點(diǎn)對(duì)點(diǎn)的測試協(xié)議，確定網(wǎng)絡(luò)是否 連通，若能ping通，說明網(wǎng)絡(luò)連接正常,關(guān)于ICMP,物理層,數(shù)據(jù)連路層,網(wǎng)絡(luò)層(IP),傳輸層(TCP),ICMP,Ping traceroute,根據(jù)目的地址與原地址之間位置確定是否需要路由 traceroute是測試網(wǎng)絡(luò)中各個(gè)接點(diǎn)的路由是否正常 的協(xié)議，一般在ping之后用，可以定位不正常的路由器,DNS,DNS分為Client和Server，Client扮演發(fā)問的角色，也就是問Server一個(gè)Domain Name，而Server必須要回答此Domain Name的真正IP地址。而當(dāng)?shù)氐腄NS先會(huì)查自己的資料庫。如果自己的資料庫沒有，則會(huì)往該DNS上所設(shè)的的DNS詢問，依此得到答案之后，將收到的答案存起來，并回答客戶。 DNS服務(wù)器會(huì)根據(jù)不同的授權(quán)區(qū)(Zone)，記錄所屬該網(wǎng)域下的各名稱資料，這個(gè)資料包括網(wǎng)域下的次網(wǎng)域名稱及主機(jī)名稱。 在每一個(gè)名稱服務(wù)器中都有一個(gè)快取緩存區(qū)(Cache)，這個(gè)快取緩存區(qū)的主要目的是將該名稱服務(wù)器所查詢出來的名稱及相對(duì)的IP地址記錄快取緩存區(qū)中，這樣當(dāng)下一次還有另外一個(gè)客戶端到次服務(wù)器上去查詢相同的名稱 時(shí)，服務(wù)器就不用在到別臺(tái)主機(jī)上去尋找，而直接可以從緩存區(qū)中找到該筆名稱記錄資料，傳回給客戶端，加速客戶端對(duì)名稱查詢的速度。例如: 當(dāng)DNS客戶端向指定的DNS服務(wù)器查詢網(wǎng)際網(wǎng)路上的某一臺(tái)主機(jī)名稱 DNS服務(wù)器會(huì)在該資料庫中找尋用戶所指定的名稱 如果沒有，該服務(wù)器會(huì)先在自己的快取緩存區(qū)中查詢有無該筆紀(jì)錄，如果找到該筆名稱記錄后，會(huì)從DNS服務(wù)器直接將所對(duì)應(yīng)到的IP地址傳回給客戶端 ，如果名稱服務(wù)器在資料記錄查不到且快取緩存區(qū)中也沒有時(shí)，服務(wù)器首先會(huì)才會(huì)向別的名稱服務(wù)器查詢所要的名稱。,DNS,DNS,舉例說明， 假設(shè)我們要查詢網(wǎng)際網(wǎng)路上的一個(gè)名稱為，從此名稱我們知道此部主機(jī)在中國CN，而且要找的組織名稱此網(wǎng)域下的www主機(jī)，以下為名稱解析過程的每一步驟。 Step 1在DNS的客戶端(Reslover)鍵入查詢主機(jī)的指令，如: c:ping pinging 【6】with 32bytes of data reply from 6 bytes time 10ms ttl 253 Step 2而被指定的DNS服務(wù)器先行查詢是否屬于該網(wǎng)域下的主機(jī)名稱，如果查出改主機(jī)名稱并不屬于該網(wǎng)域范圍，之后會(huì)再查詢快取緩存區(qū)的紀(jì)錄資料，查是否有此機(jī)名稱。 Step 3查詢后發(fā)現(xiàn)緩存區(qū)中沒有此紀(jì)錄資料，會(huì)取得一臺(tái)根網(wǎng)域的其中一臺(tái)服務(wù)器，發(fā)出說要找的Request。 Step 4在根網(wǎng)域中，向Root Name Server詢問，Root Name Server記錄了各Top Domain分別是由哪些DNS Server負(fù)責(zé)，所以他會(huì)響應(yīng)最接近的Name Server為控制CN網(wǎng)域的DNS伺服主機(jī)。 Step 5Root Name Server已告訴Local DNS Server哪部Name Server負(fù)責(zé).cn這個(gè)Domain，然后Local DNS再向負(fù)責(zé)發(fā)出找尋的名稱Request。 Step 6在.cn這個(gè)網(wǎng)域中，被指定的DNS服務(wù)器在本機(jī)上沒有找到此名稱的的紀(jì)錄，所以會(huì)響應(yīng)原本發(fā)出查詢要求的DNS服務(wù)器說最近的服務(wù)器在哪里?他會(huì)回應(yīng)最近的主機(jī)為控制網(wǎng)域的DNS伺服主機(jī)。 Step 7原本被查詢的DNS服務(wù)器主機(jī)，收到繼續(xù)查詢的IP位置后，會(huì)再向的網(wǎng)域的DNS Server發(fā)出尋找名稱搜尋的要求。 Step 8的網(wǎng)域中，被指定的DNS Server在本機(jī)上沒有找到此名稱的記錄，所以會(huì)回復(fù)查詢要求的DNS Server告訴他最接近的服務(wù)器在哪里?他就回應(yīng)最接近為控制的網(wǎng)域的DNS主機(jī)。 Step 9原本被查詢的DNS Server，在接收到應(yīng)繼續(xù)查詢的位置，在向網(wǎng)域的DNS Server發(fā)出尋找的要求，最后會(huì)在的網(wǎng)域的DNS Server找到此主機(jī)的IP。 Step 10所以原本發(fā)出查詢要求的DNS服務(wù)器，再接收到查詢結(jié)果的IP位置后，響應(yīng)回給原查詢名稱的DNS客戶端。,DNS,DNS,DNS,DHCP,什么是DHCP？ DHCP是DynamicHostConfigurationProtocol之縮寫它的前身是BOOTP。BOOTP原本是用于無磁碟主機(jī)連接的網(wǎng)路上面的,網(wǎng)路主機(jī)使用BOOTROM而不是磁碟起動(dòng)并連接上網(wǎng)路BOOTP則可以自動(dòng)地為那些主機(jī)設(shè)定TCP/IP環(huán)境。但BOOTP有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬體位址，而且，與IP的對(duì)應(yīng)是靜態(tài)的。換而言之，BOOTP非常缺乏“動(dòng)態(tài)性“，若在有限的IP資源環(huán)境中，BOOTP的一對(duì)一對(duì)應(yīng)會(huì)造成非常可觀的浪費(fèi)。 DHCP可以說是BOOTP的增強(qiáng)版本它分為兩個(gè)部份一個(gè)是伺服器端而另一個(gè)是客戶端。所有的IP網(wǎng)路設(shè)定資料都由DHCP伺服器集中管理并負(fù)責(zé)處理客戶端的DHCP要求而客戶端則會(huì)使用從伺服器分配下來的IP環(huán)境資料。比較起B(yǎng)OOTP，DHCP透過“租約“的概念，有效且動(dòng)態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考量，DHCP也完全照顧了BOOTPClient的需求。,DHCP,DHCP的工作原理 視乎客戶端是否第一次登錄網(wǎng)路DHCP的工作形式會(huì)有所不同。 第一次登錄的時(shí)候 1.尋找Server。當(dāng)DHCP客戶端第一次登錄網(wǎng)路的時(shí)候也就是客戶發(fā)現(xiàn)本機(jī)上沒有任何IP資料設(shè)定它會(huì)向網(wǎng)路發(fā)出一個(gè)DHCPDISCOVER封包。因?yàn)榭蛻舳诉€不知道自己屬于哪一個(gè)網(wǎng)路所以封包的來源位址會(huì)為而目的位址則為55然后再附上Dhcpdiscover的信息向網(wǎng)路進(jìn)行廣播。 2.提供IP租用位址。當(dāng)DHCP伺服器監(jiān)聽到客戶端發(fā)出的Dhcpdiscover廣播后它會(huì)從那些還沒有租出的位址范圍內(nèi)選擇最前面的的空置IP，連同其它TCP/IP設(shè)定，回應(yīng)給客戶端一個(gè)DHCPOFFER封包。 由于客戶端在開始的時(shí)候還沒有IP位址所以在其Dhcpdiscover封包內(nèi)會(huì)帶有其MAC位址信息并且有一個(gè)XID編號(hào)來辨別該封包DHCP伺服器回應(yīng)的Dhcpoffer封包則會(huì)根據(jù)這些資料傳遞給要求租約的客戶。根據(jù)伺服器端的設(shè)定Dhcpoffer封包會(huì)包含一個(gè)租約期限的信息。 3.接受IP租約。如果客戶端收到網(wǎng)路上多臺(tái)DHCP伺服器的回應(yīng)只會(huì)挑選其中一個(gè)Dhcpoffer而已(通常是最先抵達(dá)的那個(gè))并且會(huì)向網(wǎng)路發(fā)送一個(gè)Dhcprequest廣播封包告訴所有DHCP伺服器它將指定接受哪一臺(tái)伺服器提供的IP位址。 同時(shí)客戶端還會(huì)向網(wǎng)路發(fā)送一個(gè)ARP封包查詢網(wǎng)路上面有沒有其它機(jī)器使用該IP位址如果發(fā)現(xiàn)該IP已經(jīng)被占用客戶端則會(huì)送出一個(gè)DHCPDECLINE封包給DHCP伺服器拒絕接受其Dhcpoffer并重新發(fā)送Dhcpdiscover信息。 事實(shí)上并不是所有DHCP客戶端都會(huì)無條件接受DHCP伺服器的offer尤其這些主機(jī)安裝有其它TCP/IP相關(guān)的客戶軟體。客戶端也可以用Dhcprequest向伺服器提出DHCP選擇而這些選擇會(huì)以不同的號(hào)碼填寫在DHCPOptionField里面,DHCP,DHCP,跨網(wǎng)路的DHCP運(yùn)作 DHCDISCOVER是以廣播方式進(jìn)行的， 其情形只能在同一網(wǎng)路之內(nèi)進(jìn)行,因?yàn)閞outer是不會(huì)將廣播傳送出去的。 如果DHCP伺服器安設(shè)在其它的網(wǎng)路上面 由于DHCP客戶端還沒有IP環(huán)境設(shè)定所以也不知道Router位址而且有些Router也不會(huì)將DHCP廣播封包傳遞出去因此這情形下DHCPDISCOVER是永遠(yuǎn)沒辦法抵達(dá)DHCP伺服器那端的，當(dāng)然也不會(huì)發(fā)生OFFER及其他動(dòng)作了。 DHCPAgent(或DHCPProxy)主機(jī)來接管客戶的DHCP請(qǐng)求然后將此請(qǐng)求傳遞給真正的DHCP伺服器然后將伺服器的回復(fù)傳給客戶。這里Proxy主機(jī)必須自己具有路由能力，且能將雙方的封包互傳對(duì)方。 若不使用Proxy，您也可以在每一個(gè)網(wǎng)路之中安裝DHCP伺服器,路由,SR 1001,SR 4134,ERS5698,ARUBA2400,,,,,,,,,IP adress: 0 Netmask: Gateway: ,,IP adress: 00 Netmask: Gateway: ,,IP adress: 00 Netmask: Gateway: ,,/ E 0/1 / E 0/2 / E 0/3 / / ,/ E 0/1 / E 0/2 / E 0/3 / / ,/ E 0/1 / E 0/2 / / / ,/ E 0/1 / E 0/2 / E 0/3 / / ,RADIUS概述,RADIUS (Remote Authentication Dial-in User Service)是當(dāng)前流行的安全服務(wù)器協(xié)議 實(shí)現(xiàn)AAA（授權(quán)Authorization、驗(yàn)證Authentication和計(jì)費(fèi)Accounting）功能,RADIUS結(jié)構(gòu)及基本原理 RADIUS包結(jié)構(gòu),RADIUS協(xié)議采用客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)，使用UDP協(xié)議作為傳輸協(xié)議 RADIUS使用MD5加密算法對(duì)數(shù)據(jù)包進(jìn)行數(shù)字簽名，以及對(duì)口令進(jìn)行加密 RADIUS包機(jī)構(gòu)靈活，擴(kuò)展性好，采用UDP發(fā)送,0,1,2,3,4,5,0,8,16,24,RADIUS結(jié)構(gòu)及基本原理 RADIUS包結(jié)構(gòu),Code 1 Access- request 2 Access- accept 3 Access- reject 4 Accounting-request 5 Accounting-response 11 Access-challenge Identifier 用于匹配請(qǐng)求包和回應(yīng)包 Length 所有域的長度 Authenticator 16 字節(jié)長用于驗(yàn)證RADIUS服務(wù)器傳回來的請(qǐng)求以及密碼隱藏算法上分為 Request authenticator 和 response authenticator RequestAuth = 16 字節(jié)的隨機(jī)碼 ResponseAuth = MD5 （Code+ID+Length+RequestAuth+Attribute+Secret）,RADIUS結(jié)構(gòu)及基本原理 RADIUS包結(jié)構(gòu),Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class,26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic,46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port,Dictionary,RADIUS工作過程(I),Radius服務(wù)器S,RT2,RT1,用戶,RADIUS工作過程(II),在RT1上需要配置（示意）如下信息： 在和用戶相連的接口上配置利用PPP CHAP驗(yàn)證對(duì)方； 使能AAA，并且配置AAA驗(yàn)證、計(jì)費(fèi)協(xié)議使用Radius； 配置Radius驗(yàn)證、計(jì)費(fèi)服務(wù)器為S，并且配置它們和RT1之間的互相驗(yàn)證密鑰為abc。 在Radius服務(wù)器S上需要配置（示意）如下信息： 配置一個(gè)名稱為RT1的Radius客戶端，共享密鑰為abc； 在用戶數(shù)據(jù)庫中配置新的一行（用戶名：user1 密碼：123 IP地址： 缺省網(wǎng)關(guān)：）。,RADIUS實(shí)現(xiàn)AAA的流程,用戶上網(wǎng),驗(yàn)證請(qǐng)求,驗(yàn)證授權(quán)通過,授權(quán)并允許用戶上網(wǎng),RADIUS驗(yàn)證與授權(quán),驗(yàn)證、授權(quán)過程如下： 路由器將得到的用戶信息打包向RADIUS服務(wù)器發(fā)送 RADIUS服務(wù)器對(duì)用戶進(jìn)行驗(yàn)證： 合法用戶返回訪問接受包（用戶授權(quán)信息） 非法用戶返回訪問拒絕包 路由器接受服務(wù)器的響應(yīng)包： 訪問接受包允許上網(wǎng)，使用其授權(quán)信息對(duì)用戶進(jìn)行處理 訪問拒絕包拒絕用戶上網(wǎng)請(qǐng)求,RADIUS密碼,在端口上采用PAP驗(yàn)證 用戶以明文的形式把用戶名和他的密碼傳遞給路由器 路由器把用戶名和加密過的密碼放到驗(yàn)證請(qǐng)求包的相應(yīng)屬性中傳遞給RADIUS服務(wù)器根據(jù)RADIUS服務(wù)器的返回結(jié)果來決定是否允許用戶上網(wǎng) 在端口上采用CHAP驗(yàn)證 當(dāng)用戶請(qǐng)求上網(wǎng)時(shí) 路由器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼給用戶同時(shí)還有一個(gè)ID號(hào)本地路由器的 host name 用戶端得到這個(gè)包后使用自己獨(dú)有的設(shè)備或軟件對(duì)傳來的各域進(jìn)行加密生成一個(gè)response傳給NAS NAS把傳回來的CHAP ID和Response分別作為用戶名和密碼并把原來的16字節(jié)隨機(jī)碼傳給RADIUS服務(wù)器RADIUS根據(jù)用戶名在服務(wù)器端查找 數(shù)據(jù)庫得到和用戶端進(jìn)行加密所用的一樣的密碼然后根據(jù)傳來的16字節(jié)的隨機(jī)碼進(jìn)行加密將其結(jié)果與傳來的Password作比較如果相同表明驗(yàn)證通過如果不相同表明驗(yàn)證失敗另外如果驗(yàn)證成功RADIUS服務(wù)器同樣可以生成一個(gè)16字節(jié)的隨機(jī)碼對(duì)用戶進(jìn)行詢問Challenge,RADIUS計(jì)費(fèi),每次計(jì)費(fèi)過程包括計(jì)費(fèi)請(qǐng)求、計(jì)費(fèi)應(yīng)答 對(duì)一個(gè)用戶的計(jì)費(fèi)過程有： 計(jì)費(fèi)信息： 計(jì)費(fèi)失敗處理,計(jì)費(fèi)開始,實(shí)時(shí)計(jì)費(fèi),計(jì)費(fèi)結(jié)束,會(huì)話時(shí)長,輸入字節(jié)數(shù),輸出字節(jié)數(shù),輸入包數(shù),輸出包數(shù),802.1X起源,來源：802.1X協(xié)議起源于802.11協(xié)議，起初主要是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。 目的：有線局域網(wǎng)通過固定線路形成固定的物理空間；但無線局域網(wǎng)具有開放性和終端可移動(dòng)性，因此很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于某一網(wǎng)絡(luò)。802.1x正是基于這一需求而出現(xiàn)的一種認(rèn)證技術(shù)。 作用形式：操作粒度為端口；對(duì)于無線局域網(wǎng)接入認(rèn)證之后建立起來的信道（端口）被獨(dú)占。,802.1X的應(yīng)用,IEEE 802.11定義的無線 LAN 接入方式（基于邏輯端口） LanSwitch的一個(gè)物理端口僅連接一個(gè)End Station（基于物理端口） 華為-3ComVRP平臺(tái)的802.1X