网络通讯和TCP-IP.ppt

网络通讯与TCP/IP协议 实用协议补充部分 封装 封装 ARP协议与子网内通讯 关于ICMP 关于ICMP DNS DNS DNS DNS DNS DNS DHCP DHCP DHCP DHCP 路由 RADIUS概述 RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 实现AAA（授权Authorization、验证Authentication和计费Accounting）功能 RADIUS结构及基本原理RADIUS包结构 RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议 RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密 RADIUS包机构灵活，扩展性好，采用UDP发送 RADIUS工作过程(I) RADIUS工作过程(II) RADIUS实现AAA的流程 RADIUS验证与授权 验证、授权过程如下： 路由器将得到的用户信息打包向RADIUS服务器发送 RADIUS服务器对用户进行验证： 合法用户——返回访问接受包（用户授权信息） 非法用户——返回访问拒绝包 路由器接受服务器的响应包： 访问接受包——允许上网，使用其授权信息对用户进行处理 访问拒绝包——拒绝用户上网请求 RADIUS密码 在端口上采用PAP验证 用户以明文的形式把用户名和他的密码传递给路由器 路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器根据RADIUS服务器的返回结果来决定是否允许用户上网 在端口上采用CHAP验证 当用户请求上网时 路由器产生一个16字节的随机码给用户同时还有一个ID号本地路由器的 host name 用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密生成一个response传给NAS NAS把传回来的CHAP ID和Response分别作为用户名和密码并把原来的16字节随机码传给RADIUS服务器RADIUS根据用户名在服务器端查找 数据库得到和用户端进行加密所用的一样的密码然后根据传来的16字节的随机码进行加密将其结果与传来的Password作比较如果相同表明验证通过如果不相同表明验证失败另外如果验证成功RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问Challenge RADIUS计费 每次计费过程包括计费请求、计费应答 对一个用户的计费过程有： 计费信息： 计费失败处理 802.1X起源 来源：802.1X协议起源于802.11协议，起初主要是为了解决无线局域网用户的接入认证问题。 目的：有线局域网通过固定线路形成固定的物理空间；但无线局域网具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于某一网络。802.1x正是基于这一需求而出现的一种认证技术。 作用形式：操作粒度为端口；对于无线局域网接入认证之后建立起来的信道（端口）被独占。 802.1X的应用 IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口） LanSwitch的一个物理端口仅连接一个End Station（基于物理端口） 华为-3ComVRP平台的802.1X软件子系统对802.1X协议认证方式进行了扩展，支持一个物理端口下多个End Station的应用场合，多个End Station的识别具体到其源MAC地址 EAP验证过程 802.1X的系统组成 IEEE 802.1X的体系结构包括三部分: Supplicant System-用户接入设备 Authenticator System-接入控制单元 Authentication Sever System-认证服务器 传输介质：点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息） 802.1X认证系统图 EAPOL协议的消息格式 802.1X的EAPOL认证过程 EAP Over Something Authentication Server Authenticator EAPOL Supplicant * 网络是分层的 各层协议有自己的所谓封装头 按照协议在OSI结构中的层次依次封装 以太网 IP TCP HTTP 子网内通讯是指不通过网关访问其他子网的通讯， 是最基本的通讯过程 由于这类通讯通常是在以太网中发生，子网又称为广播域内通讯， 或VLAN内通讯 过程： PC1 10, 连接到网络以后如果欲和 PC2 通讯，但是不知道 PC2的MAC地址， 首先发出ARP广播请求： 由于是在一个广播域， PC2听到后，予以答复 PC1 知道了PC2 的MAC地址以后通讯开始 物理层 数据连路层 网络层(IP) 传输层(TCP)