沈鑫剡編著《計算機網(wǎng)絡(luò)工程》第6配套課件

計算機網(wǎng)絡(luò)工程第六章第6章接入網(wǎng)設(shè)計方法和實現(xiàn)過程本章主要內(nèi)容接入網(wǎng)結(jié)構(gòu)；ADSL接入技術(shù)；以太網(wǎng)接入技術(shù)；無線局域網(wǎng)接入技術(shù)；綜合接入網(wǎng)實例。6.1接入網(wǎng)結(jié)構(gòu)本講主要內(nèi)容接入網(wǎng)組成；接入控制過程與接入控制協(xié)議。一、接入網(wǎng)組成接入網(wǎng)接入控制設(shè)備鑒別服務(wù)器接入網(wǎng)接入網(wǎng)絡(luò)的主要功能是提供用戶終端和接入控制設(shè)備之間的數(shù)據(jù)傳輸通路；PSTN；ADSL；以太網(wǎng)；EPON。

一、接入網(wǎng)組成ADSL接入方式下的接入網(wǎng)絡(luò)結(jié)構(gòu)

一、接入網(wǎng)組成接入控制設(shè)備接入用戶身份鑒別動態(tài)分配IP地址動態(tài)建立指向用戶終端的路由項一、接入網(wǎng)組成鑒別服務(wù)器統(tǒng)一存儲授權(quán)用戶信息完成接入用戶的身份鑒別過程接入控制設(shè)備轉(zhuǎn)發(fā)用戶身份信息一、接入網(wǎng)組成二、接入控制過程與接入控制協(xié)議接入控制過程建立數(shù)據(jù)傳輸通路鑒別用戶身份動態(tài)分配IP地址建立動態(tài)路由項

二、接入控制過程與接入控制協(xié)議本地鑒別過程統(tǒng)一鑒別過程

PPP接入控制過程分為5個階段；箭頭旁邊給出階段發(fā)生轉(zhuǎn)換的條件；建立語音信道后，開始PPP鏈路建立過程；PPP鏈路建立過程就是語音信道兩端協(xié)商參數(shù)過程；完成參數(shù)協(xié)商后，采用協(xié)商參數(shù)時確定鑒別協(xié)議完成對用戶身份鑒別；鑒別成功后，對用戶終端分配IP地址，并在接入控制設(shè)備中建立指向用戶終端的路由項；一旦語音信道中斷或是協(xié)商參數(shù)、身份鑒別出現(xiàn)錯誤，終止PPP鏈路。接入控制過程二、接入控制過程與接入控制協(xié)議CHAP鑒別過程二、接入控制過程與接入控制協(xié)議RADIUS客戶/服務(wù)器模式安全機制應(yīng)用過程二、接入控制過程與接入控制協(xié)議本講主要內(nèi)容接入網(wǎng)結(jié)構(gòu)ADSL調(diào)制技術(shù)PPPoEADSL路由器網(wǎng)橋工作方式ADSL路由器路由器工作方式ADSL路由器作為橋設(shè)備和路由器設(shè)備使用的不同之處6.2ADSL接入技術(shù)一、接入網(wǎng)絡(luò)結(jié)構(gòu)語音通信通路數(shù)據(jù)傳輸通路ADSL接入網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)傳輸通路中的兩個重要設(shè)備：DSLAM和ADSLModem１．同時存在語音通信通路和數(shù)據(jù)傳輸通路，而且這兩條通路共享同一條用戶線。２．同樣都通過用戶線接入Internet，為什么ADSL是寬帶接入？

撥號接入的用戶線之所以有4kHz的帶寬限制是因為A/D轉(zhuǎn)換時的采樣頻率：8000Hz，導(dǎo)致模擬信號最高諧波頻率必須小于8000Hz/2=4000Hz。ADSL接入技術(shù)采用通過用戶線直接連接DSLAM的方式，因此，連接DSLAM的用戶線的頻帶由作為用戶線的電纜的頻率特性決定：傳輸距離為5km，帶寬為1.2MHz。一、接入網(wǎng)絡(luò)結(jié)構(gòu)整個頻帶被分成三段。04kHz作為語音通信頻段。30KHz140KHz作為上行傳輸頻段。150KHz1.2MHz作為下行傳輸頻段。二、ADSL調(diào)制技術(shù)無論下行傳輸通路，還是上行傳輸通路都將分配的頻段劃分為4kHz帶寬的信道。對每一信道采用類似V.34標準的QAM調(diào)制技術(shù)。按照V.34標準速率計算：上行速率＝(（140-30)/4)33.61Mbps。下行速率＝(（1200-150)/4)33.68.8Mbps。注意：V.34標準受A/D轉(zhuǎn)換后產(chǎn)生的量化噪聲的影響，數(shù)據(jù)傳輸速率受限制，實際上，ADSL的最高傳輸速率高于下述近似值。二、ADSL調(diào)制技術(shù)三、PPPoE以太網(wǎng)傳輸通路寬帶接入服務(wù)器就是接入控制設(shè)備，完成對用戶終端的接入控制，用戶終端和寬帶接入服務(wù)器之間是以太網(wǎng)的交換路徑，PPPoE是建立基于以太網(wǎng)的能滿足傳輸PPP幀的點對點鏈路特性的PPP會話。PPPoE是一種基于以太網(wǎng)建立點對點虛擬鏈路，并在點對點虛擬鏈路基礎(chǔ)上開始PPP操作過程的一種協(xié)議，它主要完成以下三個功能：１．一是獲悉點對點虛擬鏈路兩端的MAC地址。建立PPP會話（即點對點虛擬鏈路）。２．將PPP幀封裝為MAC幀。３．經(jīng)過以太網(wǎng)將MAC幀從PPP會話一端傳輸?shù)搅硪欢?。三、PPPoEPPP會話建立過程用于發(fā)現(xiàn)寬帶接入服務(wù)器。用于建立PPP會話。獲悉雙方的MAC地址。分配用于標識該PPP會話唯一的標識符：PPPID三、PPPoEPPP會話標識符的作用會話標識符區(qū)分共享同一個以太網(wǎng)的多對點對點連接三、PPPoEPPP幀封裝成MAC幀過程PPP幀經(jīng)過基于以太網(wǎng)的PPP會話傳輸時，必須封裝成MAC幀。三、PPPoE四、ADSL路由器網(wǎng)橋工作方式ADSL路由器作為網(wǎng)橋設(shè)備。由寬帶接入服務(wù)器完成撥號接入的遠程用戶接入設(shè)備的功能，而非DSLAM。用戶終端和寬帶接入服務(wù)器之間通過PPPoE建立PPP會話；寬帶接入服務(wù)器通過PPP會話用PPP完成對用戶終端的接入控制。四、ADSL路由器網(wǎng)橋工作方式ADSL路由器和DSLAM作為網(wǎng)橋根據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)MAC幀；終端和由寬帶接入服務(wù)器之間是包含ADSL路由器和DSLAM的交換路徑；用戶終端和寬帶接入服務(wù)器之間通過交換路徑完成封裝成MAC幀的PPP幀的傳輸；寬帶接入服務(wù)器等同于一個互連PPP會話和以太網(wǎng)的路由器。五、ADSL路由器的路由器功能ADSL路由器和寬帶接入服務(wù)器都實現(xiàn)路由器功能；ADSL路由器和寬帶接入服務(wù)器之間是PPP會話；寬帶接入服務(wù)器對ADSL路由器實現(xiàn)接入控制，并在路由表中建立將連接ADSL路由器的PPP會話和分配給ADSL路由器的IP地址綁定在一起的路由項。五、ADSL路由器的路由器功能內(nèi)部IP地址全球IP地址地址轉(zhuǎn)換表中轉(zhuǎn)換項的生存期間等同于應(yīng)用的會話存在期間，如TCP連接期間。五、ADSL路由器的路由器功能這是一個采用內(nèi)部地址的局域網(wǎng)，ADSL路由器是它的默認網(wǎng)關(guān)，局域網(wǎng)內(nèi)通信和ADSL路由器無關(guān)。ADLS路由器和寬帶接入服務(wù)器之間的傳輸通路由ATMPVC和以太網(wǎng)組成。它們之間通過PPPoE建立PPP會話，在PPP會話基礎(chǔ)上，完成認證和IP地址分配。建立PPP連接。終端通過以太網(wǎng)將數(shù)據(jù)傳輸給ADSL路由器，ADSL路由器通過PPP連接將數(shù)據(jù)傳輸給寬帶接入服務(wù)器，只是ADSL路由器和寬帶接入服務(wù)器之間傳輸通路是由以太網(wǎng)組成，因此，存在將PPP幀封裝成MAC幀的過程。五、ADSL路由器的路由器功能六、ADSL路由器作為橋設(shè)備和路由設(shè)備使用的不同之處

ADSL路由器作為網(wǎng)橋時，可以看做是一個以太網(wǎng)交換機；ADSL路由器作為路由器時，作為一個互連兩個以太網(wǎng)的路由器，內(nèi)部網(wǎng)絡(luò)是本地網(wǎng)，分配本地IP地址，由ADSL路由器實現(xiàn)NAT功能，寬帶接入服務(wù)器對ADSL路由器實現(xiàn)接入控制，并為ADSL路由器分配全球IP地址。6.3以太網(wǎng)接入技術(shù)本講主要內(nèi)容接入網(wǎng)結(jié)構(gòu)PPP接入控制機制EPON引入以太網(wǎng)接入技術(shù)原因光纜價格的下降；光纖無中繼傳輸距離的提高（70km）；以太網(wǎng)交換設(shè)備的價格下降；以太網(wǎng)的速率優(yōu)勢。一、接入網(wǎng)絡(luò)結(jié)構(gòu)

一、接入網(wǎng)絡(luò)結(jié)構(gòu)

終端接入速率為10Mbps或100Mbps仍然需要對接入用戶進行身份認證和IP地址分配。接入網(wǎng)絡(luò)的用戶之間沒有通信需求。以太網(wǎng)身份認證和IP地址分配機制PPP基于點對點鏈路分配IP地址DHCP身份認證802.1XWeb頁面PPP802.1X+DHCPWeb+DHCP一、接入網(wǎng)絡(luò)結(jié)構(gòu)

二、PPP接入控制機制PPP幀基于點對點鏈路PPP會話提供點對點鏈路的傳輸功能以太網(wǎng)實現(xiàn)PPP會話兩端之間傳輸功能PPP會話PPP幀終端寬帶接入服務(wù)器點對點線路MAC幀終端寬帶接入服務(wù)器PPP幀通過PPPoE建立PPP會話?；赑PP會話進行PPP操作。PPP完成認證身份、分配IP地址功能。數(shù)據(jù)封裝成PPP幀，PPP幀封裝成MAC幀，經(jīng)過以太網(wǎng)傳輸MAC幀。二、PPP接入控制機制IP分組封裝成PPP幀，PPP幀封裝成MAC幀，MAC幀中增加PPPoE的控制信息，因此，增加傳輸開銷。終端和寬帶接入服務(wù)器之間通過PPP完成身份認證和IP地址分配。重疊！PPP鏈路層封裝以太網(wǎng)MAC幀傳輸二、PPP接入控制機制三、EPON以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）組成用戶側(cè)的光網(wǎng)絡(luò)單元（ONU）局側(cè)光線路終端（OLT）光分配網(wǎng)絡(luò)（ODN）

每一個接入EPON的ONU分配唯一的邏輯鏈路標識符（LLID），發(fā)送給ONU的幀攜帶LLID，雖然每一個ONU都接收到OLT廣播的幀，但每一個ONU只接收攜帶的LLID與分配給自己的LLID相同的幀。三、EPON

為了保證不發(fā)生沖突，每一個ONU只允許在分配給它的時隙發(fā)送數(shù)據(jù)，分配給不同ONU的時隙不允許重疊，由于不同距離有著不同的光信號傳播時延，因此，為ONU分配時隙時，必須考慮每一個ONU與OLT之間的距離。三、EPONOLT具有以下功能控制ONU接入；為每一個ONU分配唯一的LLID；為每一個ONU動態(tài)分配時隙；以廣播方式向ONU傳輸數(shù)據(jù)。三、EPONONU具有以下功能發(fā)起注冊過程；接收OLT廣播的數(shù)據(jù)；根據(jù)OLT分配的時隙發(fā)送數(shù)據(jù)；緩存發(fā)送給OLT的數(shù)據(jù)。

三、EPON自動發(fā)現(xiàn)過程三、EPON測距過程RTT＝（T3－T1）－（T2－T1）＝T3－T2三、EPON上行數(shù)據(jù)傳輸過程

三、EPON終端接入過程ONU注冊過程終端接入控制過程MAC幀傳輸過程

三、EPON以終端或路由器的MAC地址為源MAC地址、寬帶接入服務(wù)器的MAC地址為目的MAC地址的MAC幀；作為前導(dǎo)碼和幀定界符的4個字節(jié)用作LLID和用于對3～7字節(jié)檢錯的CRC8。三、EPON6.4無線局域網(wǎng)接入技術(shù)本講主要內(nèi)容無線接入網(wǎng)結(jié)構(gòu)安全機制一、無線接入網(wǎng)結(jié)構(gòu)無線路由器通過以太網(wǎng)接入Internet；終端通過無線網(wǎng)絡(luò)接入無線路由器。二、安全機制無線局域網(wǎng)安全機制WEPWPAWPA-PSK

WEP主要提供加密和認證機制，可以加密終端間傳輸?shù)臄?shù)據(jù)，允許終端和AP交換數(shù)據(jù)前，由AP完成對終端的身份認證，通過認證的終端的MAC地址記錄在關(guān)聯(lián)表中，以后的數(shù)據(jù)交換過程中，MAC地址作為發(fā)送端的標識符。二、安全機制24位初始向量（IV）和40位（或104位）密鑰構(gòu)成64位偽隨機數(shù)種子，產(chǎn)生數(shù)據(jù)長度＋4（單位字節(jié)）的一次性密鑰；數(shù)據(jù)的循環(huán)冗余檢驗碼（4個字節(jié)）作為數(shù)據(jù)的完整性檢驗值（ICV）用于檢測數(shù)據(jù)的完整性；一次性密鑰和數(shù)據(jù)及ICV進行異或運算，其結(jié)果作為密文；為了在發(fā)送端和接收端同步偽隨機數(shù)種子，以明文方式傳輸IV，由于偽隨機數(shù)種子由密鑰和IV組成，截獲IV并不能獲得偽隨機數(shù)種子。WEP加密過程二、安全機制用發(fā)送端以明文傳輸?shù)腎V和接收端保留的密鑰構(gòu)成偽隨機數(shù)種子，產(chǎn)生一次性密鑰，如果接收端保留的密鑰和發(fā)送端相同，則接收端產(chǎn)生和發(fā)送端相同的一次性密鑰；用和密文相同長度的一次性密鑰異或密文，得到數(shù)據(jù)和4字節(jié)的ICV；根據(jù)數(shù)據(jù)計算出循環(huán)冗余檢驗碼，并與ICV比較，如果相同，表明數(shù)據(jù)傳輸過程未被篡改。WEP解密過程二、安全機制控制字段中的WEP標志位置1；凈荷字段中包含密文（數(shù)據(jù)和ICV與一次性密鑰異或運算后的結(jié)果）、IV、密鑰標識符，2位密鑰標識符允許發(fā)送端和接收端在4個密鑰中選擇一個密鑰作為偽隨機數(shù)種子的組成部分。二、安全機制確定終端是否是授權(quán)終端的唯一依據(jù)就是終端是否擁有和AP的密鑰；終端一旦通過認證，AP記錄下終端的MAC地址，以后，終端MAC地址就是授權(quán)終端發(fā)送的MAC幀的標識符。challenge是128字節(jié)長度的隨機數(shù)。密文＝（challenge‖ICV）⊕K；K是一次性密鑰，以IV和密鑰為偽隨機數(shù)種子生成的偽隨機數(shù)，其長度＝128＋4（單位字節(jié)）。二、安全機制共享密鑰認證機制的安全缺陷；一次性密鑰字典；完整性檢測缺陷。WEP安全缺陷起因于以下幾點：一是一次性密鑰和初始向量一一對應(yīng)，發(fā)送端通過明文傳輸初始向量，且密文和明文的異或操作結(jié)果即是一次性密鑰；二是一次性密鑰的空間只有224，且偽隨機數(shù)生成器根據(jù)偽隨機數(shù)種子生成一次性密鑰機制使得各個一次性密鑰之間存在相關(guān)性；三是用循環(huán)冗余檢驗碼作為完整性檢測碼，容易實現(xiàn)同時篡改密文和加密后的ICV。二、安全機制兩端一次性密鑰K取決于明文IV。Y=P⊕K，很容易根據(jù)Y和P推出K=P⊕Y=P⊕P⊕K=K。IV不變，AP根據(jù)IV推出的一次性密鑰K不變，如果Y′=P′⊕K，AP認定黑客終端擁有共享密鑰。認證響應(yīng)（P）認證請求（Y,IV）認證請求認證響應(yīng)（P′）認證響應(yīng)（Y′,IV）認證響應(yīng)（成功）二、安全機制實現(xiàn)WPA鑒別過程的網(wǎng)絡(luò)結(jié)構(gòu)鑒別服務(wù)器統(tǒng)一鑒別二、安全機制challenge1MD5(標識符‖challenge1‖PASSA）challenge2一旦注冊，認證服務(wù)器的認證數(shù)據(jù)庫中有用戶名和口令，同時，注冊用戶也被告知用戶名和口令，因此，用戶名和口令只有認證服務(wù)器和用戶知道；AP和認證服務(wù)器之間通信需要通過共享密鑰K認證發(fā)送端身份，因此，只有擁有和認證服務(wù)器之間共享密鑰的AP才是授權(quán)AP；一旦證明某個用戶擁有注冊用戶名和口令，該用戶就是注冊用戶，同樣，用戶一旦通過AP證明認證服務(wù)器知道用戶名和口令，也證明AP是授權(quán)AP。MD5(標識符‖challenge2‖PASSA）二、安全機制以終端和AP具有的主密鑰、雙方交換的隨機數(shù)AN和SN、終端和AP的MAC地址為偽隨機數(shù)種子生成過度密鑰；為了求證終端和AP生成相同的過度密鑰，