远程接入技术
计算机传输骨干网也叫广域网,是连接城域网的高速公路,提供远距离、高带宽、大容量的数据传输业务,广域网是通信公司业务,给用户提供出租的拨号线路。广域网可分为电路交换(PSTN,ISDN)、租用线路(PPP,HDLC)、分组交换(X.25,帧中继,ATM)、数字用户线路(DSL)和虚拟专用网(VPN)。本文主要对远程接入进行讲解,包括远程接入的各种方式、广域网的数据封装形式、DTE/DCE设备、PPP、PPP的安全、HDCL、帧中继、DSL网络、PPPOE的工作原理、VPN等。
电路交换网络是在信源与信宿之间建立电路连接完成通信的过程,信道是在通信开始时建立,在通信完成后结束。传统电话通信就是建立在电路交换网之上,电路交换网络使用时分交换技术(time division switching),所谓时分交换指把时间划分为若干个不重叠的时隙,由不同时隙建立不同的子信道。典型电路交换网络有PSTN(public switched telephone network,公共交换电话网)和ISND(integrated service digital network,综合业务数字网)。
公共交换电话网 (public switchedtelephone network)
PSTN接入比较方便,有电话就可以用这种方式接入网络。一般传输速度为56Kbits,一般达不到,连接速度慢,打电话与数据通信不可同时进行。现在基本不用,有时在POS机上用。
综合业务数字网 (integrated servicedigital network)
ISDN是一种数字电话网络标准,是全数字化的电路,所以它提供的宽带的稳定性及抗干扰性比PSTN强。用户可以在使用网络的同时接打电话以及发传真等。ISDN访问方式分为基本速率访问接口BRI和主速率接口PRI。BRI由2个带宽为64kbits的B信道,1个带宽为16kbits的D信道组成,记为2B+D。PRI由多个B信道和一个带宽为64kbits的D信道组成,而B信道的值,取决于国家的标准。通常ISDN的BRI被规划到企业网络的分支或家庭办公环境,PRI规划到企业总部或者网络流量的中心接入环境中,防止多个分支同时向中心接入点并发流量时产生瓶颈现象。
报文交换:交换结点采用存储转发式,可用流量控制和差错控制。存储转发有延迟、随机性大,分组交换和报文交换类似,只是传送信息由报文变成了分组(比报文单位小)。
分组交换也叫“包交换”,将用户传递的数据划分为一定长度,每个部分叫做一个分组。分组有一个头部,指示分组发送到哪。在一条物理电路上采用多态重用技术,就是在一条物理电路上发送多个分组报文。分组交换的物理电路利用率比电路交换的利用率高,采用线路复用技术。典型分组交换有帧中继、X.25和ATM。ATM(异步传输模式)实际上是属于分组交换网络中的一种类型。但是ATM又是属于分组交换网络中一种特殊的交换类型,也称“信元交换”,把固定大小为53字节的分组叫“信元”。ATM正是传递这种信元的网络,所以有时大家也把ATM称作“信元交换”。传输速度高,支持复合类型的数据传递。因为ATM独立于OSI模型,所以与别的网络不兼容。
数据报
用于传输小数据,主机可以随时发生数据,每分组独立选择路由,到达顺序不一定和发生顺序相同。收到分组后,要先缓存,然后等到交付主机时,顺序交付。阻塞时,可抛弃分组,所以不可靠。数据中有目的地址,主机承担端到端差错控制和流量控制。
虚电路
用于传输大数据,先呼叫,寻找合适路由,建立“路线”后发送数据,数据传送结束后,释放“线路”,电路交换一直占线,虚电路断断续续占同一条路线,分组到达顺序一致,是工作在全双工模式的,数据中无目的地址,网络承担差错控制和流量控制。
流量控制
协调发送站和接收站工作协调控制,避免过发送而丢失数据。通常会有接收缓冲区,接收站对其处理后,清空缓冲区,然后接收下一批数据。停等协议是发送站要接收到接收站的回应信号,才发下一帧数据,否则等待。即数据的流动由接收站控制。
差错控制
差错控制(error control)是在数字通信中利用编码方法对传输中产生的差错进行控制,以提高数字消息传输的准确性。
肯定应答ack:发送站收到肯定应答后,继续发送后面的帧。
否定应答重发ack:发送站接收到应答后,经校验是错的,重发该帧。
超时重发:在计时内,没有收到应答信号,认为帧丢失,并重发该帧。
停等式ARQ:数据报文发送完成之后,发送方等待接收方的状态报告,如果状态报告报文发送成功,发送后续的数据报文,否则重传该报文。停等式ARQ,发送窗口和接收窗口大小均为1,发送方每发送一帧之后就必须停下来等待接收方的确认返回,仅当接收方确认正确接收后再继续发送下一帧。该方法所需要的缓冲存储空间最小,缺点是信道效率很低。
选择性重传ARQ:发信侧不用等待收信侧的应答,持续的发送多个帧,假如发现已发送的帧中有错误发生,那么发信侧将只重新发送那个发生错误的帧。特点是复杂度高,但是不需要发送没必要的帧,所以效率高。
回退n帧的ARQ:发信侧不用等待收信侧的应答,持续的发送多个帧,假如发现已发送的帧中有错误发生,那么从那个发生错误的帧开始及其之后所有的帧全部再重新发送。
特点是复杂度低,但是不必要的帧会再重发,所以大幅度范围内使用的话效率是不高的
混合ARQ:在混合ARQ中,数据报文传送到接收方之后,即使出错也不会被丢弃。接收方指示发送方重传出错报文的部分或者全部信息,将再次收到的报文信息与上次收到的报文信息进行合并,以恢复报文信息。
分组交换网络中的电路接入方式
①交换虚电路接入,指两个用户之间建立临时逻辑连接,运营商通常采用计时收费标准。
②永久虚电路接入,指两个用户之间建立一条永久的虚电路,用户在使用链路前无需作任何的拨号或者初始化工作,运营商采用月租或年租收费标准。
DTE与DCE
DTE数据终端设备(data terminal equipment)指示具有一定数据处理和收发能力的设备,通常指示用户计算机、路由器等。通常DTE设备属于企业网络用来管理设备。
DCE数据通信设备(data communication equipment )负责DTE和传输线路之间提供时间同步,信号变化和编码功能,并且负责建立、保持和释放链路的连接。通常DCE设备由电信运营商提供,如modem、CSU/DSU都是属于DCE设备。
同步串口与异步串口
同步串口与异步串口,属于思科接口分类。同步串口用于同步通信,异步串口用于异步通信。异步通信不需要提供时钟同步,通信用于伺服一些低速链路,如56kbits、64kbits等,通信发送方标记每个字符的开始与结束,这样做的目的在于让目标方知道何时开始接收数据。同步通信有更高的带宽,吸引考虑时钟的同步,在同步串行链路上必须有一端来提供时钟频率,通信是DCE接口提供时钟频率,时钟信号被集成到数据流中,当然也可以独立的发送到目标接口,不再需要标记开始与结束比特来进行标注。
HDLC
HDLC高级数据链路控制(high-level data link control)是一个在同步网络上传输数据、面向比特的数据链路层协议,这里所谓的面向位的协议是对应面向字节协议的一种称呼,在面向字节的协议中,用整个字节对控制信息进行编码。面向位的协议使用单个位来表示控制信息,常见的面向位的协议有HDLC、TCP、IP等。最初各个厂商都有自己的HDLC标准,互不兼容。私有化原因是,如果不对其私有化,只能携带一种三层协议,私有化后可以携带不同的三层协议。
广域网上数据的封装形式
任何处于OSI第三层的协议要穿过广域网,都用封装相应的数据链路层协议。目标在于方便的把上层数据进行传输,在网络层与物理层之间提供一种数据运载的方式,而这种数据运载的方式以WAN协议进行体现,常见WAN协议有SLIP、PPP、HDLC、X.25、Frame-rely、ATM等。
SLIP协议
SLIP串行线路网际协议(serial line Internetprotocol)是PPP的前身,主要作用是为使用TCP/IP协议的数据提供第二层的帧封装,它的实现简单,易于应用。SLIP的唯一作用是将IP数据封装成帧,它仅支持IP报文的成帧,如果使用了非IP协议,那么SLIP不能对其进行第二层的封装SLIP不提供数据在链路上传输的基本安全性保障,不提供身份鉴别与数据加密。工作原理是将IP数据封装成帧进行传输,第三层的IP数据向下传递给SLIP,然后SLIP将其转换成字节,在链路上每次发送一个字节传输这些IP数据,在最后一个字节加上SLIP END标记。
ATM网络
现有的电路交换和分组交换都难以胜任宽带的高速交换任务。对于电路交换,当数据传输突发性大时,交换控制复杂,对于分组交换,当数据传输速率很高时,协议数据单元的处理开销很大,实时性不强。ATM(Asynchronous Transfer Mode)异步传输模式,是实现B-ISDN的业务的核心技术之一。ATM是以固定信元大小为基础的一种分组交换和复用技术,有利于宽带高速交换。支持不同速率的各种业务,是为多种业务设计的通用的面向连接的传输模式。在最底层以面向连接的方式传送。差错控制和流量控制在高层处理。ATM采用面向连接的传输方式,将数据分割成固定长度的信元,通过虚连接进行交换。ATM集交换、复用、传输为一体,在复用上采用的是异步时分复用方式,通过信息的首部或标头来区分不同信道。
ATM协议包括4个分层:物理层、ATM层、ATM适配层(ATMAdaptationLayer,AAL)和高层。
PPP(point to point protocol)点对点协议是为了在点对点连接上传输多协议数据包提供的一种标准方法,它客服了SLIP的所以局限性,被作为一个完整的协议族进性开发。PPP不仅支持IP报文的帧封装,还支持对非IP报文如IPX报文进行封装,并且提供良好的差错控制、安全保障、传输消息管理等功能。PPP协议还可以作为后期应用扩展的一种基础协议,如DSL上的PPPOE协议就是PPP协议的一个扩展。PPP协议由两个主要的部件构成:LCP链路控制协议和NCP网络控制协议。
LCP作用:主要负责两个网络设备之间链路的创建、维护、安全鉴别、完成通信后链路终止等。
NCP作用:负责将许多不同的第三层网络协议报文的封装,如TCP/IP、IPX/SPX、NetBEUI等。
第一步:路由器R1作为发起PPP会话的初始设备,向路由器R2发出configure-request配置请求消息,也是发起方初始化LCP配置的第一步。
第二步:路由器R2收到R1的配置请求后,处理LCP的请求并回送一个configure-ack配置确认消息,来完成LCP的配置。
第三步:前两步基本完成了LCP的初始配置。第三步的PPP的对等体,需要完成的是确认是否启用了安全机制,如果启动了安全机制,就进行安全鉴别和安全协商,然后是NCP对不同的三层协议进行封装。
第四步:路由器R2发起LCP的echo-request响应请求消息,用于链路的环回测试,该消息是周期性间隔发送,起到链路测试的作用。
第五步:路由器R1收到R2的发来的echo-request响应请求消息后,会回送echo-reply应答消息给路由器R2,来证实链路操作。
第六步:PPP链路开始正式的数据收发。
第七步:当完成数据收发后,路由器R2会发出LCP的terminate-request链路终止请求,路由器R1如果确定终止链路则发出terminate-ack确认终止,整个LCP的会话切断。
(2)PPP协议NCP的工作原理
第一步:这一步并不是NCP的工作过程,是LCP的协商过程,而且是由多个步骤组成,由于NCP必须是工作在LCP阶段之后,所以这里的第一步表示上面的LCP过程。
第二步:NCP协商从这里开始。路由器R1发起NCP的configure-request配置请求消息。IPCP configure-request表示封装的是IP报文,IPXCP configure-request表示封装的是IPX报文。
第三步:路由器R2收到路由器R1发来的NCP配置请求消息后,会回应路由器R1一个关于NCP的configure-ack配置确认消息,以完成NCP过程的协商。
第四步:正式的开始收发IP数据。
第五步:路由器R1完成数据传输后,会向路由器R2发NCP的IPCPterminate-request的IP链路终止请求,此时的R2应该还会回应一个IPCP terminate-ack终止IP链路的确认消息。
如果不需要NCP连接,可以通过IPCP terminate-request 和IPCP terminate-ack来终止NCP阶段,但是LCP链路将仍然保持打开,因为可能还有其他类型的数据需要传输,而NCP是为不同的第三层网络协议各自建立封装过程。
(1)PAP(password authentication protocol):密码认证协议,通过两次握手提供一种简单明文认证方式。该认证建立在PPP初始链路(PPP的LCP过程)确定的基础上。
第一步:R1向R2发起PPP的初始连接,实际上就是PPP的LCP初始连接。
第二步:完成PPP的LCP初始连接后,R2要求提供PPP的PAP认证。事实上PAP的认证也是属于LCP阶段完成的。
第三步:R1将自己的用户名和密码以明文形式发送给R2,改消息为PAP的认证请求消息。
第四步:R2将收到的用户名和密码与自己的本地安全数据库中进行匹配,如果匹配成功就建立连接,否则拒绝连接。
(2)CHAP(challenge handshake authentication protocol):挑战握手协议,CHAP不会在链路上发送明文密码而是通过三次握手来确认摘要消息从而进行安全认证,所以安全级别比PAP高。
第一步:R2与R1在进行CHAP认证前,首先必须在认证对等体的两端设定一个相同的预共享密钥,两端的密钥必须一样。
第二步: R2生成一个随机数,然后将随机数主动发送给R1,这是CHAP第一次握手(challenge消息)。并将随机数与自己的密钥放入MD5密钥生成器进行MD5计算,然后从MD5的计算结果中提取一个摘要消息。
第三步:R1收到R2发来的随机数后,将这个随机数与R1的密钥放入MD5密钥生成器,将生成的摘要值通过链路发送给R2。这是CHAP的第二次握手(response消息),此时发送的不是明文密码,而是处理后的摘要消息,所以安全性比PAP高。
第四步:R2收到R1发送的摘要消息后,与第二步R2自己计算的摘要值做对比,结果一致就表示CHAP认证成功,并发回CHAP的认证确认消息,如果不一致就切断链路。
帧中继(frame rely)是一种网络与数据终端设备DTE的接口标准,是计算机向分组交换的广域网连接。由于较高的性价比与稳定性,大多数供应商都提供帧中继服务,是一种基于OSI数据链路层技术。
多条逻辑电路(分组交换汇总的虚拟链路)被一条物理链路所承载,是一种典型的基于分组交换的线路复用技术。在R1到R2,R3的通信过程中,R1怎么区分哪一条是到R2的逻辑通道,哪一条是到R3的逻辑通道?这里用了DLCI号码,它是区分逻辑链路的关键,一个DLCI号标识一条逻辑通道。被物理链路承载的逻辑链路叫VC(virtual circuit)虚拟电路。虚拟电路又分为永久虚拟电路(PVC)和交换虚拟电路(SVC)。
帧中继的DLCI号码
数据链路连接标识(data link connectionidentifier)是帧中继网络中虚拟电路的一种标识。帧中继网络根据这个DLCI号码来识别不同的虚拟电路,并确定虚拟电路的转发路径,通常DLCI号码只具有本地意义(局部上有意义)。通常在帧中继环境中,用户获得物理链路与完成到目标的通信是两件事。用户获得物理链路,只表示用户前端设备能与运营商的帧中继交换机相连接,要完成与目标的通信必须要获得运营商提供的DLCI号码,这表示获得一条虚拟电路。
帧中继的信令管理
帧中继的DTE端与帧中继交换机DCE之间必须使用某种信令协议来交换重要的管理信息,比如交换keep live和传递监管信息,增加删除PVC信息,这些信息只在用户端与帧中继交换机之间传递,不会被承载到虚拟电路中,而传递这些信令消息的正是帧中继的本地管理接口(LMI)。帧中继交换机DCE端与面向企业前端设备DTE端的LMI信令协议必须保持一致。帧中继LMI的报文结构如下。
帧中继起始标记 |
LMI DLCI |
未编号信息标志 |
协议标示符 |
呼叫参考 |
消息类型 |
消息元素 |
FCS |
帧中继结束标志 |
标志:包括帧中继的起始标志与结束标志,用于标记数据帧的开始与结束。
LMI DLCI:指示帧中继的LMI信令所使用的DLCI号码,需要注意的是,LMI的DLCI号码并非虚拟电路(VC)所使用的DLCI号码,它与LMI信令的类型有关,如果LMI的信令型类采用cisco的LMI类型,那么DLCI号就是1023;如果采用ANSI或ITU(q33a)类型的LMI,那么DLCI号就是0。
未编号信息标志(UII):未编号信息标志用于将轮询最后位设置为0。
协议标识符(NLPID):协议标识符字段说明该数据帧是一个帧中继LMI的数据帧。
呼叫参考(call Ref):呼叫参考暂时不使用,其值一般为0。
消息类型(messagetype):该字段有两种可能,一个是指示状态查询(enquiry),另一个是状态响应(Stauts)。
消息元素(informationElement):包括数量指定的独立信息元素,如IE标识符和IE长度。
FCS :数据帧校验序列,用于数据的验证,保证数据传输的完整性。
帧中继子接口类型
点对点类型的子接口是在多路访问的网络上模拟专线特性的一种链路接口,通常情况下用在企业连接某些金融机构条件下,链路上不允许第三方的接入点,传统专线太贵,使用点对点帧中继链路代替传统的专线。
多点子接口通常用来连接两个点及两个点以上的远程帧中继通信站点,典型的是总部连接多个远程分支机构。
注意:如果一个物理接口上连接了不同类型的子接口,不同子类型的接口所连接的链路,将分别独立使用一个IP子网。
帧中继的网络形状
理解帧中继的网络形状是明白帧中继架构的必要任务,帧中继的网络形状关系到路由协议在不同网络形状下的设计与实现,如果不能清晰理解帧中继不同网络形状的特点,那么会直接影响路由协议在帧中继网络中的正常运行。
半网状:半网状的帧中继一般是用于多个远程分支机构接入总部的环境。半网状的帧中继分支机构之间不需要通信,几乎所有的通信流量都由各分支机构与总部之间产生。如果分支机构之间有偶尔的通信流量,那么这些偶尔的通信流量将通过总部(中心点)进行转发。
特点:总部与分支之间存在VC,分支之间没有VC。R2与R3之间默认不能通讯,如果有偶尔的通信就由总部(中心点)进行流量转发,成本低,中心点承载流量压力较大。
全网状:全网状的帧中继指示所示帧中继的接入点,两两之间都有一条独立的VC。通常全网状的帧中继,被应用于企业总部与分支机构以及分支机构与分支机构之间都有频繁的通信流量的环境。
特点:通信点之间都有一条独立的VC;其成本较半网状要高,流量压力没有半网状大。
开始Flag:指示帧的开始,也叫做帧中继的第一地址,使用一个八位组表示。
DLCI:标识帧中继网络到达目标使用的DLCI号码。虚电路使用的号码。
C/R:(Command/Response)命令响应,该字段通常不用。
EA:扩展地址用来指示包含EA字段的是否是最后一个帧标记,如果该字段的值为1则表示这是最后一个结束帧标记,因为帧中继有两个帧标记,一个开始Flag,一个结束Flag。它会出现在两个地方,开始Flag和结束Flag中,开始标记部分其值为0;而在结束标记部分其值为1。
FECN:前向显式拥塞通知,该字段使用在帧中继网络发生拥塞的时候,帧中继交换机(DCE设备)会将该字段设置为1并发送给帧中继的目标接入设备(DTE),指示网络拥塞,收到FECN的设备会实施适当的流量控制措施。
BECN:后向显式拥塞通知,该字段使用在帧中继网络发生拥塞的时候,帧中继交换机(DCE设备)会将该字段设置为1并发送给帧中继的源接入设备(DTE),指示网络拥塞,收到BECN的设备会降低25%左右的发送速率。
DE:可丢弃标记,如果该字段被设置为1的帧中继数据报文在遇到网络拥塞时会被丢弃。需要注意的是该标记一般由帧中继的接入设备(DTE)设置,并且被设置了DE标志的数据不是立即被丢弃,只会在网络拥塞时会被优先丢弃。
Data:指示在帧中继中被封装的上层数据。
结束Flag:指示帧的结束,也叫做帧中继的第二地址,使用一个八位组表示。
FCS:用于检测传输错误。
帧中继的逆向解析功能
帧中继的逆向解析工能(framerelay inverse-arp)该功能用于提供一种动态的将二层DLCI号码映射到第三层地址的方法。Frame-relay map ip指令用来完成静态映射,申明使用某个DLCI号映射到某个具体远程端的连接,有多少远程端,就要手动配置多少个DLCI号静态映射远端IP地址的指令。事实上,帧中继的逆向ARP解析与局域网环境中的ARP地址解析协议非常相似,帧中继的ARP逆向解析是路由器将已知的二层地址去映射远程端设备的三层IP地址。
第一步:当帧中继路由器DTE设备与帧中继交换机DCE设备成功连接后,通过交换LMI消息,一台帧中继交换机可以宣告一条新的虚拟电路和该电路所对应的DLCI号码可以,但不能寻找到另一端,暂时无法完成与远程端的通信。
第二步:此时,帧中继的逆向ARP解析机制启动,路由器R1发送一个关于帧中继的逆向ARP请求数据帧,请求使用上面宣告的DLCI号码,并回应自己的IP地址。
第三步:路由器R2收到帧中继的逆向ARP请求后,对此回应自己的IP地址。然后R1将地址关联到本地的DLCI号码中完成帧中继的映射过程。
DSL(digital subscriber line)数字用户线路,DSL使用普通电话线没有使用的带宽进行数据传输,不用重新布线。电话设施投入非常少的改造成本,将传统电话通信线缆中没有使用的部分用作高速数据传输服务,使得通信基础设施更充分的被使用,让语音与数据共存,这是DSL网络的核心基础。DSL网络对传输距离相当敏感,它会随着用户到电话中心局的距离增大,传输速率下降,通常用户到电话中心局的距离在5500米左右。并不是每一个电话中心都支持DSL网络。DSL网络表现形式非常多,大致可分为ADSL和SADL两类。
ADSL(asymmetricdigital subscriber line)非对称数组用户线路,它提供不对称的上传和下载速率,通常下载速度远远高于上传速度,也是市场上应用最多的一种宽带技术。提供1.5-8Mbit/s的下载速率,15kbit/s-1Mbit/s上传速度。允许在电话线上传输语音的同时传输数据。所以可以即打电话又上网。
SDSL(symmetricdigital subscriber line)对称数字用户线路,它提供对称的上传和下载速度,128 kbit/s-2.32Mbit/s,常见速率是768 kbit/s。
ADSL信道使用情况
CPE(customer premise equipment)用户前端设备:在DSL网络中的CPE通常是指DSL的调制解调器,对于家庭用户就是ADSL modem。
分离器:将DSL的数据流量从语言流量中分离出来,如果是语音流量就交给传统的PSTN网络进行转发,如果是数据流量就交给DSLAM来负责终结物理层的DSL连接。
DSLAM(digital subscriber line access multiplexer)数字用户线路接入复用器:作用是汇聚所有用户的DSL链路,相当于一个二层交换机。
DSL汇聚路由器:负责汇聚ADSL用户的接入认证服务,并转向三层工作。
从CPE到DSL汇聚路由器之间是一种桥接式体系构架,即纯二层连接,单纯的桥接存在大量的安全漏洞,为了解决这些漏洞,并且便于运营商对用户做接入验证,计费等工作,PPP是一个不错的选择,因为它内嵌了PAP和CHAP安全机制,所以ADSL网络决定将PPPOE协议运行在CPE与DSL汇聚路由器之间。那为什么要用PPPOE而不是PPP协议呢?
PPPOE(PPP over Ethernet)运行在以太网的PPP协议,将PPP运行在以太网链路上,是因为传统的PPP协议是针对点对点链路所设计的广域网协议。但现今的宽带接入多为桥接式、共享介质式、多路访问类型的接入。PPPOE实质是PPP,是PPP协议的扩展,把PPP可以做安全认证的优点应用到多路访问网络中,目的用于点对点的认证和计费。
(1)PPPOE工作原理
目标MAC:PPPOE发现阶段的目标MAC是FFFF.FFFF.FFFF属于以太网广播帧。
源MAC:用户CPE设备的MAC。
以太网类型:该字段在PPPOE发现阶段是0x8863,指示发现阶段的PPPOE控制帧,在PPP会话阶段是0x8863。
版本:4比特,对于现在正在使用的PPPOE,它总是0X1。
类型:4比特,是以太网净荷,真正的PPPOE结构中的类型,并不是以太网数据帧头部中的类型,它对于以太网总数0X1。
代码:8比特,它是PPPOE的发现阶段,随着发现阶段所使用的控制消息不同而不同。
会话ID(session_ID):在不同进程时期是可变的,它是PPPOE发现阶段的最后一步,由汇聚路由器分配给CPE设备的值,一旦分配给某个PPP会话,该值在这个PPP会话中必须是固定的,在没有分配会话ID前该字段为0X0000。
长度:16比特,指示PPPOE的净荷长度,不包括以太网头部和PPPOE头部。
净荷:PPPOE的净荷。
CRC:整个以太网帧的校验和。
PPPOE工作原理
第一步:PPPOE的初始化,PPPOE的客户端CPE发送请求服务的PPPOE的active discovery initiation初始化控制消息。源MAC为发送CPE的MAC,目标MAC为广播MAC,PPPOE的代码字段为0X09。
第二步:PPPOE的发现提供,DSL网络的汇聚路由器回送PPPOE的active discovery offer的提供控制消息。源MAC为DSL网络汇聚路由器的MAC,目标MAC为用户CPE的MAC,PPPOE的代码字段为0X07。
第三步:PPPOE的发现请求,用户CPE设备收到PADO消息后,会发送PPPOE的activediscovery request 的请求消息。源MAC为发送CPE的MAC,目标MAC为DSL网络汇聚路由器的MAC。PPPOE的代码字段为0X19。
第四步:PPPOE的会话分配ID ,当DSL网络的汇聚路由器收到CPE的请求消息后,它会为CPE设备分配会话ID,至此,以后的PPP会话全部建立在这个会话ID上,PPPOE的代码字段为0X65。源MAC为DSL网络汇聚路由器的MAC,目标MAC为用户CPE的MAC。
VPN就像是有一条专用的线路进行通信。虚拟的企业网络专用链接。使用了隧道技术、加密技术和认证技术。
VPN类型
VPN类型分为场对场的VPN接入与远程访问型VPN接入。
场对场(site to site VPN):通过固定的VPN进行连接。也叫网对网的VPN连接,通常这种方式发生在两个远程机构的边界网关设备上,凡是穿越了两台边界网关设备的数据都会被VPN作加密处理,该连接方式多用于两个较为固定的场所,场所间需要持续性的VPN连接。
远程访问型VPN接入:也叫点对网的VPN连接。通常是某个出差人通过远程拨号VPN方式来连接企业总部,以获得安全访问企业内部资源的过程,灵活性强。
VPN协议
PPTP(point to point tunneling protocol)点对点的隧道协议:是一种支持多协议虚拟专用网络的VPN协议,属于OSI二层协议,原型是PPP,该协议是在PPP协议基础上开发的一种新的增强型安全协议,所以PPTP与PPP协议类似,内嵌并集成了许多安全认证方式。
L2TP(layer 2 tunneling protocol)第二层的隧道协议:L2TP是一种工业标准的Internet隧道协议,集成了PPTP和L2F两种二层隧道协议的优点,L2TP将PPP通过公共网络进行隧道传输,提供数据机密性的保障。
IPSec(IP security)IP安全协议:是定义在IETF RFC里各种标准的合并,只支持TCP/IP协议,被设计用来专门在公共网络Internet上保护敏感数据的安全,用来保障数据的机密性、完整性和数据验证。
IPSec是IP安全协议,它是为IP网络提供安全服务的一个协议集合组件,是一种开房标准的框架结构,工作在OSI七层的网络层,不是一个单独的协议。
IPSec的传输模式一般用于主机到主机的IPSec,或者远程拨号型的IPSec,传输模式中,原始的IP头没有被得到保护,而传输层以上及更上层的数据可以被传输模式保护。
IPSec的隧道模式将原始IP头在内的整个数据包都保护起来,产生一个新的隧道端点,然后使用这个隧道端点的地址来形成一个新的IP头部,在非安全网络中,只对这个新的IP头部可见,对原始IP头和数据包不可见。