Тема 11. Нижние уровни стека TCP/IP Взаимодействие сетей IP с сетями других технологий Инкапсуляция IP-пакетов в кадры Ethernet, Token Ring и FDDI Протокол последовательного канала SLIP Протокол PPP Базовый формат кадра PPP Протокол LCP Аутентификация по протоколам PAP и CHAP
Тема 11. Нижние уровни стека TCP/IP. Взаимодействие сетей IP с сетями других технологий Инкапсуляция IP- пакетов в кадры Ethernet , Token Ring и FDDI Протокол последовательного канала SLIP Протокол PPP Базовый формат кадра PPP Протокол LCP Аутентификация по протоколам PAP и CHAP - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Тема 11. Нижние уровни стека TCP/IP
Взаимодействие сетей IP с сетями других технологий
Инкапсуляция IP-пакетов в кадры Ethernet, Token Ring и FDDI
Протокол последовательного канала SLIP
Протокол PPP
Базовый формат кадра PPP
Протокол LCP
Аутентификация по протоколам PAP и CHAP
Протоколы NCP и LQM
Задачи протокола IP при взаимодействии с протоколами нижних уровней
1. Правила инкапсуляции IP-пакета в кадры
• В какой тип кадра, если их несколько (Ethernet)
• Как заполняются служебные поля кадра
2. Правила работы ARP
• Broadcast - просто
• Non-Broadcast with Multiple Access – как?
• Point-to-point – нужен?
3. Работа с логическими подсетями (VLAN, FR, ATM)
Три типа сетей нижнего уровня
1. Широковещательные (broadcast)
Локальные сети: Ethernet, Token Ring, FDDI
2. Точка-точка (Point-to-Point)
PPP, HDLC
3. Нешироковещательные сети с множественным доступом
X.25, frame relay, ATM – сети с предварительным образованием виртуальных каналов
1. Широковещательные (broadcast)
Локальные сети: Ethernet, Token Ring, FDDI
Спецификации инкапсуляции IP-пакетовв кадры Ethernet, Token Ring и FDDI
1. Инкапсуляция пакетов IP в кадры Ethernet
Ethernet DIX (Ethernet II)
ETHERNET: Destination address : 484C00054699ETHERNET: Source address : 008048EB814CETHERNET: Ethernet Type : 0x0800 (IP: DOD Internet Protocol)
2. Инкапсуляция пакетов IP в кадры Token Ring и FDDI - формат LLC/SNAP
2. Протоколы точка-точка (Point-to-Point)
PPP, HDLC
Протоколы "точка-точка"
Протокол SLIP (Serial Line IP) - очень простая схема кадрирования, невысокаянадежность
Протокол HDLC (High-level Data Link Control)
Сложный протокол, работающий на основе алгоритмов установлениясоединения и скользящего окна
Он использует 12 различных типов кадров и обеспечивает снижениевероятности искажения бита с 10-3 до 10 -9.
Обеспечивается управление потоком данных за счет механизма окна испециальных кадров, приостанавливающих на время передачу данных отисточника
Протокол рассчитан на полнодуплексные соединения
В семейство HDLC входят протоколы LAP-B, LAP-D и LAP-M, используемые всетях Х.25, ISDN и в модемах соответс твенно
Протокол PPP (Point-to-Point Protocol) - разработан группой Internet EngineeringTask Forse взамен у старевшего протокола SLIP
Протокол PPP стал фактическим стандартом для глобальных линий связи навыделенных каналах корпоративной сети
Протокол РРР первоначально использовал формат кадров HDLC и дополнил ихсобственными полями - поля протокола PPP вложены в поле данных кадраHDLC
Протокол LAP-B:
Структура кадра LAP-B
Флаг Управление науровне канала
Данные(кадр X.25)
Цикличе-ский код
(CRC)
Флаг
01111110
Адрес Управление
1 2 3 4 5 6 7 8
0 N(S) P/F N(R) Информационныйкадр
10 S P/F N(R) Супервизорныйкадр
11 M P/F M Ненумерованныйкадр
N(S), N(R) - номера кадров по модулю 8 или 128
ООД :11000000Комм.:10000000
Типы кадров LAP-B
(1) Информационный - данные Х.25
Супервизорные
(2) Готовность к приему
(3) Неготовность к приему
(4) Отказ
(5) Селективный отказ
Ненумерованные
(6) Установить режим нормальных ответов
(7) Установить режим асинхронных ответов
(8) Разъединить
(9) Запрос передачи
(10) Сброс
(11) Отказ от кадра
(12) Подтверждение
Протокол последовательного канала SLIP SLIP (Serial Line IP) - позволяет устройствам, соединенным
последовательной линией связи, работать по протоколамTCP/IP
В 1984 г. был встроен в операционную систему 4.2 BerkleyUnix
Дает возможность подключаться к сети Internet посредствомстандартного порта RS232
Выполняет работу по выделению из последовательностипередаваемых по последовательному каналу бит границпакета IP
Большинство реализаций протокола SLIP поддерживаютспецификацию Compressed SLIP (CSLIP)
C D B
C D B D C D B D D C
Н а ч а л о п а к е т а К о н е ц п а к е т аП а к е т S L I P
П а к е т I P
О г р а н и ч е н и я п р о т о к о л а S L I P р а з м е р и н к а п с у л и р у е м о г о п а к е т а I P н е д о л ж е н п р е в ы ш а т ь 1 0 0 6
б а й т о в н е т м е х а н и з м о в , д а ю щ и х в о з м о ж н о с т ь о б м е н и в а т ь с я а д р е с н о й
и н ф о р м а ц и е й . Э т о о г р а н и ч е н и е н е п о з в о л я е т и с п о л ь з о в а т ь S L I Pд л я н е к о т о р ы х в и д о в с е т е в о г о с е р в и с а
м о ж н о п е р е д а в а т ь т р а ф и к л и ш ь о д н о г о с е т е в о г о п р о т о к о л а н е п р е д у с м о т р е н ы п р о ц е д у р ы о б н а р у ж е н и я и к о р р е к ц и и о ш и б о к
Протокол PPP (Point-to-Point Protocol)
Основное назначение - организация одновременной передачипо одному логическому каналу "точка-точка" несколькихпротоколов сетевого уровня
Поддерживаются протоколы: AppleTalk DECnet phase IV IPX IP OSI XNS Banyan VINES NetBEUI (проект стандарта)
РРР может использоваться для инкапсуляции другихпротоколов канального уровня, например, Ethernet, для ихобработки по алгоритму моста
К о м п о н е н т ы п р о т о к о л а P P P
physical
data link
network
physical
data link
network
LCP
NCP
П р и у с т а н о в л е н и и с е с с и и с н а ч а л а р а б о т а е т п р о т о к о лL C P , а з а т е м п р о т о к о л N C P
П р о т о к о л L C P о р г а н и з у е т п е р е г о в о р н ы й п р о ц е с с о п а р а -м е т р а х к а н а л а , н а п р и м е р , о м а к с и м а л ь н о м р а з м е р е к а д р а .П р о т о к о л L C P т а к ж е и з а в е р ш а е т Р Р Р - с о е д и н е н и е м е ж д уу з л а м и
Протокол NCP позволяет договориться о том: какие сетевые протоколы будут передаваться в данной
сессии РРР каковы из параметры, например, IP-адрес клиента
LCP после открытия сессии работает все время в фон о-вом режиме до завершения связи
При организации сессии с помощью протокола LCP сто-роны могут договориться об использовании некоторыхнеобязательных протоколов: протокола Link Quality Monitoring (LQM), который ис-
пользуется для слежения за качеством канала связи протокола аутентификации Password Authentication
У к а з ы в а е т т и п п е р е д а в а е м ы х д а н н ы х : L C P , N C P , и л ип р о т о к о л с е т е в о г о у р о в н я :C x x x = L C P8 x x x = N C P0 x x x = П р о т о к о л с е т е в о г о у р о в н я
Фазы работы протокола РРР
Router YRouter X
Terminate Request
Terminate ACK
Configure Request
Authentication Protocol (optional)
Authentication Protocol (optional)
Configure Request (IP)
Configure ACK (IP)
Configure Request IP Address
Configure Request ACK IP Address
Configure ACK
Data Exchange
Data Exchange Mode
Dead Phase
Establish Phase (LCP)
Authenticate Phase(PAP or CHAP)
Network Phase(NCP)
Terminate Phase(LCP)
(Init)
Dead Phase - определяет физическую готовность канала. Вслучае успешной инициализации физического уровня каналпереходит в Establish Phase
Establish Phase - инициализирует LCP и определяет параметрыканала связи. Когда оба взаимодействующих узла получаютсообщение Configure ACK, канал считается открытым ипереходит в необязательную фазу аутентификации AuthenticatePhase
Authenticate Phase (необязательная фаза) - в этой фазеаутентифицируются обе точки, используя протоколы PasswordAuthentication Protocol (PAP) или Challenge HandshakeAuthentication Protocol (CHAP). Канал не переходит в фазуNetwork Phase до завершения успешной аутентиф икации
Network Phase - открывает сессии передачи по каналу РРРлюбых из поддерживаемых протоколов сетевого уровня,используя соответствующий протокол NCP. После открытиясессии NCP, PPP канал начинает передавать пользовательскиеданные
Terminate Phase—закрывает PPP канал
С т р у к т у р а п а к е т а п р о т о к о л а L C P
F la g(7 E )
A d d re s s(F F )
C o n tro l(0 3 ) In fo rm a t io n F C S
F la g(7 E )
C X X X(L C P ) C o d e
У к а з ы в а е т ти пL C P с о о б щ е н и я :
C o n fig R e q (c o d e = 1 )C o n fig A c k (c o d e = 2 )C o n fig N a k (c o d e = 3 )C o n fig R e j (c o d e = 4 )
Id e n t if ie r L e n g th D a ta
С т а в и т вс о о т в е т с т в и е L C Pз а п р о с ы и о т в е т ы
Д л и н а L C P п а к е т а (c o d e , ID , и d a ta )
Примеры LCP пакетов, соответствующие различным кодам сооб-щений:
Configure Request (code=1) Открытие соединения Обмен параметрами конфигурации Прием оговоренных параметров от другой стороны
Configure Ack (code=2) Ответ на запрос Configure Request Указание на то, что значения параметров, полученных в Configure Request
корректны Сигнализирует, что канал должен быть открыт по прибытию пакета
Configure Nak (code=3) Показывает, что значения параметров неприемлемы
Configure Reject (code=4) Указывает, что некоторые из параметров неприемлемы Шлет новый пакет Configure Request, не содержащий неприемлемые пар а-
метры, найденные в отвергнутом пакете
Поле Identifier идентифицирует LCP- запросы и LCP-ответы, помечаяответ на определенный запрос тем же идентификатором, что и запрос
С о г л а с о в а н и е п а р а м е т р о в к а н а л ас п о м о щ ь ю п р о т о к о л а L C P
F la g(7 E )
A d d re s s(F F )
C o n tr o l(0 3 )
In fo rm a tio n F C S F la g(7 E )
C X X X(L C P )
C o d e(1 o r 2 ) Id e n tif ie r L e n g th D a ta
T yp e L e n g th V a lu e T yp e L e n g th V a lu e
п а р а м е тр 1 п а р а м е тр 2
У L C P в о с е м ь п а р а м е т р о в к о н ф и гу р а ц и и
Типы согласуемых по LCP параметровПараметр Описание Тип Длина Значение
MaximumReceive Unit
Для согласования максимальныхразмеров пакетов (только для од-ного направления).
1 4 По умолчанию = 1500
Async-ControlCharacter-Map
Согласует использование управ-ляющих символов для асинхрон-ных линий.
2 6 По умолчанию = FFFFFFFF
Authentication-Protocol
Используется для соглашения оиспользуемом протоколе аутенти-фикации. В некоторых реализацияхдопускается использование болееодного протокола аутентификации.
Переговорный процесс, проводимый NCP, определяет, пакетыкаких протоколов сетевого уровня будут передаваться в пакетахРРР в рамках данной сессии
Для каждого протокола сетевого уровня, которыйподдерживается NCP, существует соответствующий стандартRFC, определяющий способ инкапсуляции его пакетов в РРРпакет, а также параметры, подлежащие принятию в результатепереговоров
Например, для протокола IP существует спецификация RFC1332"The PPP Internet Protocol Control Protocol (IPCP)"
Аналогичные спецификации имеются для протоколов IPX(IPXCP), DECnet (DNCP) и других
Отдельного протокола NCP не существует, а имеется семействоNCP-протоколов, по одному для каждого протокола сетевогоуровня
Протоколы семейства NCP используют тот же формат кадра, чтои протокол LCP
Формат кадра протокола NCP:
Flag(7E)
Address(FF)
Control(03) Information FCS Flag
(7E)
Protocol(8XXX)
Data
Указывает на тип NCP:8021 - IP8029 - AT8025 - XNS, VINES8031 - Bridge8027 - DECnet8023 - OSI
Пример процедуры согласованияпараметров протокола IP с помощью протокола IPCP
П р о т о к о л L i n k Q u a l i t y M o n i t o r i n g ( L Q M )
physical
data link
network
physical
data link
network
LCP(Link Quality Monitoring)
NCP
П р о т о к о л L Q M и с п о л ь з у е т д л я с л е ж е н и я д в а т и п ап р о ц е д у р :
L i n k Q u a l i t y R e p o r t ( L Q R ) —о п р е д е л я е т к а ч е с т в ол и н и и с в я з и , о с н о в ы в а я с ь н а п р о ц е н т е у с п е ш н оп е р е д а н н ы х п а к е т о в
E c h o R e q u e s t / R e p l y - о п р е д е л я е т к а ч е с т в о л и н и и сп о м о щ ь ю п е р е д а ч и с л у ж е б н ы х п а к е т о в
Протоколы аутентификации PAP и CHAP
Описаны в RFC 1334 В этом стандарте определено два протокола:
Протокол PAP Использует при аутентификации передачу идентифи-
катора партнера и его пароля по глобальному каналу ввиде открытого текста
Если аутентификатор обнаруживает совпадение иден-тификатора и пароля с записью, имеющейся у него вбазе легальных пользователей, то процесс аутентифи-кации считается успешно завершенным
Протокол CHAP Ключ (secret) имеется как у аутентификатора, так и у
и передается в виде пакета типа Challenge партнеру Партнер, получив слово-вызов, зашифровывает его с
помощью односторонней хэш-функции MD5 Результат работы хэш-функции возвращается
аутентификатору в виде пакета типа Response Аутентификатор сравнивает этот ответ с тем значением,
которое он получил, локально применив хэш-функцию кслову-вызову
Если результаты совпадают, то аутентификация считаетсяуспешной и партнеру посылается пакет типа Success -успех
Для защиты от перехвата ответа аутентификатор должениспользовать различные значения последовательностисимволов при каждой последовательной аутентификации
Ф о р м а т п а к е то в п р о то к о л а C H A P
F la g(7 E )
A d d re s s(F F )
C o n tro l(0 3 )
In fo rm a tio n F C S F la g(7 E )
P ro to c o l(C 2 2 3 ) C o d e
C H A P к о д :1 = c h a lle n g e2 = re s p o n s e3 = s u c c e s s4 = fa ilu re
Id e n tif ie r L e n g th V a lu e S iz e V a lu e C H A P n a m e
H a s h V a lu e(s e c re t)У к а з ы в а е т н а
C H A P C H A P L o c a lN a m e
1 б а й т 2 б а й т а 1 б а й т
Поле Code определяет тип пакета
Поле Identifier необходимо для отождествления ответов(Response) и вызовов ( Challenge)
Поле Length содержит общую длину пакета CHAP(вместе с полями Code и Identifier)
Поле Value Size определяет длину слова-вызова (впакетах Challenge) или хэш-значения (в пакетах Response)
Поле Value предназначено для передачи слова-вызоваили хэш-значения
Поле CHAP name - имя аутентификатора или партнера, взависимости от того, кто является отправителем пакета.Имя партнера нужно аутентификатору для того, чтобызнать, какой ключ нужно использовать приаутентификации
Пример аутентификации узла с именемchicago у аутентификатора с именем paris: