当前课程知识点:网络技术与应用 > 第6讲 Internet接入技术 > 6.1 Internet接入控制机制 > 6.1 Internet接入控制机制
什么样的终端可以接入到互联网
网络怎么样控制终端接入到互联网当中
这需要一套机制来控制
下面 我们就来学习Internet接入控制机制
首先分析一下终端访问网络资源的基本条件
终端接入Internet的先决条件
然后学习终端接入Internet的过程
点对点控制协议和接入控制过程
通过对前面内容的学习
我们知道对于这样一个网络来说
如果终端要访问服务器当中的资源
必须要完成这样一些过程
首先要建立终端和路由器之间的传输路径
然后要完成对终端网络信息的配置
比如IP地址 子网掩码 默认网关等
在路由器当中建立终端相关的路由项
如果一个终端要接入到Internet当中去的话
因为互联网是一个商业网络
如果要接入到Internet上去是要付费的
因此 首先还要向当地互联网的提供商ISP相关部门
申请账号和密码
然后通过连接程序 连接到控制设备当中
然后接入控制设备对用户进行身份认证
确定是否是注册用户
因此 一个终端要接入到Internet的先决条件有两个
首先 终端物理连接入网络当中
然后是一个注册用户
因此一个终端接入到Internet应该有这么几个过程
首先建立传输路径
然后 接入控制设备要完成用户身份鉴别
还要对终端动态配置相关的网络信息
为什么是动态分配网络信息呢
因为对于一个终端来说
可以被不同的用户使用
不同的用户的用户名和密码是不一样的
有的用户没有合法的用户名和密码
当接入控制设备对这个用户身份认证的时候
如果他是一个注册用户
就给他分配相应的网络信息
如果不是一个注册用户 把之前分配的网络信息收回
因此对于一个终端来说 它的网络信息是动态的
不是固定的
正因为它的网络信息是动态的
在接入控制设备里面建立的路由项也是动态的
所以从这可以看出来
接入控制设备在完成以前路由器功能基础上
还要对用户进行身份鉴别
还要为用户动态分配相应的网络信息
那么怎么样完成这样一个接入过程呢
总体来说 是通过一个点对点的协议PPP
用这样协议完成整个的接入控制过程
在这个接入控制过程当中
还要用到两个重要的协议
一个是鉴别协议 就是鉴别用户的身份
第二个时候IP控制协议
这个协议主要用来为终端动态分配IP地址等网络信息
下面先来看一下鉴别用户身份的协议
鉴别用户身份又有两个协议
一个是口令鉴别协议
它的英文名称的缩写是PAP
第二个是挑战握手鉴别协议
它的英文单词缩写是CHAP
先来看一下PAP完成用户身份鉴别过程
比如说有个终端要接入到网络当中
这个终端首先向接入控制设备发送用户名和口令
接入控制设备接收到用户名和口令后
判别终端用户是否是注册用户
接入控制设备专门有个注册用户的注册表格
当某个终端注册以后
在它的注册表格当中应该有相应的登记信息
如果对用户的鉴别是成功的
也就是说 是一个注册用户
那么发送一个鉴别成功帧
如果失败了 向终端发送一个鉴别失败帧
同时 终止终端接入Internet过程
这是PAP完成用户身份鉴别过程
接下来看另外一个协议CHAP鉴别用户身份的过程
刚才看到的那个协议中是用明文的方式发送用户名和口令
这种发送方式很容易被人截获
然后用其它用户冒充注册用户接入到Internet当中
并且费用全部算在注册用户上
CHAP鉴别用户身份协议是这样子的
开始身份鉴别以后 接入控制设备向终端发送一个随机数C
然后 终端把这个随机数和它注册时获得的口令
串接为一个数 就是C
然后 通过一个单向函数计算出一个函数的值
那么 单向函数是什么意思
比如通过一个自变量x来算出一个函数值
这是可以算出来的
但是通过函数值推导出x
根据目前的计算能力是很难推导出来的
这就是单向函数的意思
计算出这个函数以后
把用户名和这样一个函数值一起发送给接入控制设备
接入控制设备接收到终端用户名和计算出的单向函数值以后
根据用户名到注册表当中 找到对应的口令P'
同样用这个单向函数 计算出一个函数值
这个时候 用的是C和P'串接起来的数计算这个函数值
如果这两个函数值是相同的话
接入控制设备就向终端发送一个鉴别成功帧
如果这两个函数值不相等 就向终端发送一个鉴别失败帧
而且终止终端接入过程
从刚才这两个协议的鉴别过程看出来
PAP协议通过明文发送口令 鉴别过程简单但是不安全
明文发送的口令和用户名被截获
然后冒充你接入到Internet当中
如果用CHAP协议 因为用了一个单向函数
所以截获到函数值的话 很难推出口令
就算是截获到函数值
用函数值接入Internet过程也很难做到
因为接入控制设备发送给终端的是一个随机数
每次计算出来的函数值是不一样的
因此CHAP鉴别协议是一个非常安全的协议
这是身份鉴别过程
第二个看一下动态分配IP地址协议 IPCP
IPCP是Internet Protocol Control Protocol的缩写
分配过程是这样子
终端向接入控制设备发送请求分配IP地址帧
接入控制设备接收到终端发送的请求帧以后
如果接入控制设备允许为终端分配网络信息
比如地址池的地址是空余的 其它相关条件是允许的
它就从地址池当中选择一个IP地址
然后把IP地址和其它的网络信息一起发送给终端
接入控制设备在它的路由表当中创建一项通往终端的路由项
这就完成了IP地址的分配
这是第二个协议
第三个是接入控制过程当中最重要的协议点对点协议PPP
这个协议是基于点对点信道的链路层协议
同时 它是终端和网络之间运行的协议
这个协议是控制终端完成接入过程的协议
为什么要把PPP协议作为接入控制协议呢
因为最早时候的接入是拨号接入
拨号接入中终端与接入控制设备之间的传输路径是
点对点的语音信道
它相互交换的信息都是封装成
适合点对点语音信道传输的帧格式
而PPP正是基于点对点信道的链路层协议
PPP协议在传输过程当中封装成PPP帧
也就是说 PPP帧是适合点对点信道传输的一种格式
最早的时候用这样一个协议接入 目前还是用这个协议
下面看一下PPP帧的格式
首先 开始和接收位置有一个字节的标志位
都是固定的值 两边都是7E
因为是建立了点对点的语音信道 所以就不需要地址
这个位置有一个字节的固定值 就是全1
1个字节的控制信息 它的值是03
还有两个字节的校验码
协议和信息这两个字段
协议字段是两个字节
信息字段是可变的 它的长度不一定
这个部分可以传输正常的IP分组
IP分组的内容通过PPP帧来传输
然后 可以是PAP协议产生的PDU
也可以是CHAP协议产生的PDU
还可以是IPCP协议产生的PDU
这是PPP帧的格式
从这个格式可以看出来
PPP协议和前面讲的身份认证还有动态分配IP地址
这两个协议之间有这样一个关系
鉴别协议和IP控制协议对应的协议数据单元PDU
是作为PPP帧中的信息字段的内容
比如这是PPP帧 它有首部 尾部 信息部分
然后是鉴别协议和IP控制协议
鉴别协议可以是两个PAP或者CHAP
IP控制协议是IPCP 所产生的PDU封装成PPP帧
最后看一下PPP接入控制过程
接入控制过程有这么四个状态
第一个是物理链路停止状态
第二个是PPP链路建立状态
还有用户身份鉴别状态和网络层协议配置状态
一开始物理链路从停止状态通过呼叫连接建立语音信道
然后 进入PPP链路建立状态
链路建立状态完成参数配置以后
就进入到身份鉴别状态
如果身份鉴别成功
那么就可以进入网络层协议配置状态
动态配置相应的网络信息
如果PPP链路建立过程当中
配置相关参数的时候 配置失败了
或者物理链路中断的话
就马上回到物理链路停止状态
在用户身份鉴别阶段
如果鉴别失败或者物理链路突然中断
还有在网络层协议配置过程当中
IP地址配置失败
或者用户在访问Internet完了后就结束访问了
或者是物理链路中断
这个时候就要终止PPP链路
然后再回到物理链路停止状态
终止PPP链路的时候
接入控制设备撤回所有为终端配置的资源
最后来看一个例子
比如有一个终端要接入到Internet当中
首先要到ISP部门注册获得用户名和密码
接入控制设备就在它的注册用户信息库当中增加一项
比如用户名是AAA 口令是BBB
然后 终端通过相应的连接程序
连接到接入控制设备当中 比如通过拨打163000
然后连接到接入控制设备当中
终端和接入控制设备之间就完成这样一些工作
首先建立点对点的语音信道
建立点对点语音信道以后 接入控制设备根据它的信息
比如IP地址池当中 有可以用的IP地址
如果有的话 从地址池当中给终端分配一个IP地址
然后在它的路由表当中 增加一个路由项
比如分配的IP地址是192.1.1.1/32
它的路由表当中就是一项路由项
它的目的网络的地址就是192.1.1.1/32
它的输出端口是V1.1
V1.1就是接入控制设备连接点对点语音信道的端口
最后 对刚才的内容做下简单的小结
前面主要介绍了PPP协议
这个协议是控制终端接入Internet的协议
它的接入过程是这样几个步骤
首先要建立传输路径
然后鉴别用户身份
鉴别用户身份主要用到PAP或者CHAP这样两个协议
通过用户身份鉴别以后
对终端动态分配IP地址信息
这个用到IPCP协议
接入控制设备再动态创建终端对应的路由项
完成接入过程
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
