沈鑫剡编著《计算机网络工程》第6配套课件

计算机网络工程第六章第6章接入网设计方法和实现过程本章主要内容接入网结构；ADSL接入技术；以太网接入技术；无线局域网接入技术；综合接入网实例。6.1接入网结构本讲主要内容接入网组成；接入控制过程与接入控制协议。一、接入网组成接入网接入控制设备鉴别服务器接入网接入网络的主要功能是提供用户终端和接入控制设备之间的数据传输通路；PSTN；ADSL；以太网；EPON。

一、接入网组成ADSL接入方式下的接入网络结构

一、接入网组成接入控制设备接入用户身份鉴别动态分配IP地址动态建立指向用户终端的路由项一、接入网组成鉴别服务器统一存储授权用户信息完成接入用户的身份鉴别过程接入控制设备转发用户身份信息一、接入网组成二、接入控制过程与接入控制协议接入控制过程建立数据传输通路鉴别用户身份动态分配IP地址建立动态路由项

二、接入控制过程与接入控制协议本地鉴别过程统一鉴别过程

PPP接入控制过程分为5个阶段；箭头旁边给出阶段发生转换的条件；建立语音信道后，开始PPP链路建立过程；PPP链路建立过程就是语音信道两端协商参数过程；完成参数协商后，采用协商参数时确定鉴别协议完成对用户身份鉴别；鉴别成功后，对用户终端分配IP地址，并在接入控制设备中建立指向用户终端的路由项；一旦语音信道中断或是协商参数、身份鉴别出现错误，终止PPP链路。接入控制过程二、接入控制过程与接入控制协议CHAP鉴别过程二、接入控制过程与接入控制协议RADIUS客户/服务器模式安全机制应用过程二、接入控制过程与接入控制协议本讲主要内容接入网结构ADSL调制技术PPPoEADSL路由器网桥工作方式ADSL路由器路由器工作方式ADSL路由器作为桥设备和路由器设备使用的不同之处6.2ADSL接入技术一、接入网络结构语音通信通路数据传输通路ADSL接入网络结构数据传输通路中的两个重要设备：DSLAM和ADSLModem１．同时存在语音通信通路和数据传输通路，而且这两条通路共享同一条用户线。２．同样都通过用户线接入Internet，为什么ADSL是宽带接入？

拨号接入的用户线之所以有4kHz的带宽限制是因为A/D转换时的采样频率：8000Hz，导致模拟信号最高谐波频率必须小于8000Hz/2=4000Hz。ADSL接入技术采用通过用户线直接连接DSLAM的方式，因此，连接DSLAM的用户线的频带由作为用户线的电缆的频率特性决定：传输距离为5km，带宽为1.2MHz。一、接入网络结构整个频带被分成三段。04kHz作为语音通信频段。30KHz140KHz作为上行传输频段。150KHz1.2MHz作为下行传输频段。二、ADSL调制技术无论下行传输通路，还是上行传输通路都将分配的频段划分为4kHz带宽的信道。对每一信道采用类似V.34标准的QAM调制技术。按照V.34标准速率计算：上行速率＝(（140-30)/4)33.61Mbps。下行速率＝(（1200-150)/4)33.68.8Mbps。注意：V.34标准受A/D转换后产生的量化噪声的影响，数据传输速率受限制，实际上，ADSL的最高传输速率高于下述近似值。二、ADSL调制技术三、PPPoE以太网传输通路宽带接入服务器就是接入控制设备，完成对用户终端的接入控制，用户终端和宽带接入服务器之间是以太网的交换路径，PPPoE是建立基于以太网的能满足传输PPP帧的点对点链路特性的PPP会话。PPPoE是一种基于以太网建立点对点虚拟链路，并在点对点虚拟链路基础上开始PPP操作过程的一种协议，它主要完成以下三个功能：１．一是获悉点对点虚拟链路两端的MAC地址。建立PPP会话（即点对点虚拟链路）。２．将PPP帧封装为MAC帧。３．经过以太网将MAC帧从PPP会话一端传输到另一端。三、PPPoEPPP会话建立过程用于发现宽带接入服务器。用于建立PPP会话。获悉双方的MAC地址。分配用于标识该PPP会话唯一的标识符：PPPID三、PPPoEPPP会话标识符的作用会话标识符区分共享同一个以太网的多对点对点连接三、PPPoEPPP帧封装成MAC帧过程PPP帧经过基于以太网的PPP会话传输时，必须封装成MAC帧。三、PPPoE四、ADSL路由器网桥工作方式ADSL路由器作为网桥设备。由宽带接入服务器完成拨号接入的远程用户接入设备的功能，而非DSLAM。用户终端和宽带接入服务器之间通过PPPoE建立PPP会话；宽带接入服务器通过PPP会话用PPP完成对用户终端的接入控制。四、ADSL路由器网桥工作方式ADSL路由器和DSLAM作为网桥根据转发表转发MAC帧；终端和由宽带接入服务器之间是包含ADSL路由器和DSLAM的交换路径；用户终端和宽带接入服务器之间通过交换路径完成封装成MAC帧的PPP帧的传输；宽带接入服务器等同于一个互连PPP会话和以太网的路由器。五、ADSL路由器的路由器功能ADSL路由器和宽带接入服务器都实现路由器功能；ADSL路由器和宽带接入服务器之间是PPP会话；宽带接入服务器对ADSL路由器实现接入控制，并在路由表中建立将连接ADSL路由器的PPP会话和分配给ADSL路由器的IP地址绑定在一起的路由项。五、ADSL路由器的路由器功能内部IP地址全球IP地址地址转换表中转换项的生存期间等同于应用的会话存在期间，如TCP连接期间。五、ADSL路由器的路由器功能这是一个采用内部地址的局域网，ADSL路由器是它的默认网关，局域网内通信和ADSL路由器无关。ADLS路由器和宽带接入服务器之间的传输通路由ATMPVC和以太网组成。它们之间通过PPPoE建立PPP会话，在PPP会话基础上，完成认证和IP地址分配。建立PPP连接。终端通过以太网将数据传输给ADSL路由器，ADSL路由器通过PPP连接将数据传输给宽带接入服务器，只是ADSL路由器和宽带接入服务器之间传输通路是由以太网组成，因此，存在将PPP帧封装成MAC帧的过程。五、ADSL路由器的路由器功能六、ADSL路由器作为桥设备和路由设备使用的不同之处

ADSL路由器作为网桥时，可以看做是一个以太网交换机；ADSL路由器作为路由器时，作为一个互连两个以太网的路由器，内部网络是本地网，分配本地IP地址，由ADSL路由器实现NAT功能，宽带接入服务器对ADSL路由器实现接入控制，并为ADSL路由器分配全球IP地址。6.3以太网接入技术本讲主要内容接入网结构PPP接入控制机制EPON引入以太网接入技术原因光缆价格的下降；光纤无中继传输距离的提高（70km）；以太网交换设备的价格下降；以太网的速率优势。一、接入网络结构

一、接入网络结构

终端接入速率为10Mbps或100Mbps仍然需要对接入用户进行身份认证和IP地址分配。接入网络的用户之间没有通信需求。以太网身份认证和IP地址分配机制PPP基于点对点链路分配IP地址DHCP身份认证802.1XWeb页面PPP802.1X+DHCPWeb+DHCP一、接入网络结构

二、PPP接入控制机制PPP帧基于点对点链路PPP会话提供点对点链路的传输功能以太网实现PPP会话两端之间传输功能PPP会话PPP帧终端宽带接入服务器点对点线路MAC帧终端宽带接入服务器PPP帧通过PPPoE建立PPP会话。基于PPP会话进行PPP操作。PPP完成认证身份、分配IP地址功能。数据封装成PPP帧，PPP帧封装成MAC帧，经过以太网传输MAC帧。二、PPP接入控制机制IP分组封装成PPP帧，PPP帧封装成MAC帧，MAC帧中增加PPPoE的控制信息，因此，增加传输开销。终端和宽带接入服务器之间通过PPP完成身份认证和IP地址分配。重叠！PPP链路层封装以太网MAC帧传输二、PPP接入控制机制三、EPON以太网无源光网络（EPON）组成用户侧的光网络单元（ONU）局侧光线路终端（OLT）光分配网络（ODN）

每一个接入EPON的ONU分配唯一的逻辑链路标识符（LLID），发送给ONU的帧携带LLID，虽然每一个ONU都接收到OLT广播的帧，但每一个ONU只接收携带的LLID与分配给自己的LLID相同的帧。三、EPON

为了保证不发生冲突，每一个ONU只允许在分配给它的时隙发送数据，分配给不同ONU的时隙不允许重叠，由于不同距离有着不同的光信号传播时延，因此，为ONU分配时隙时，必须考虑每一个ONU与OLT之间的距离。三、EPONOLT具有以下功能控制ONU接入；为每一个ONU分配唯一的LLID；为每一个ONU动态分配时隙；以广播方式向ONU传输数据。三、EPONONU具有以下功能发起注册过程；接收OLT广播的数据；根据OLT分配的时隙发送数据；缓存发送给OLT的数据。

三、EPON自动发现过程三、EPON测距过程RTT＝（T3－T1）－（T2－T1）＝T3－T2三、EPON上行数据传输过程

三、EPON终端接入过程ONU注册过程终端接入控制过程MAC帧传输过程

三、EPON以终端或路由器的MAC地址为源MAC地址、宽带接入服务器的MAC地址为目的MAC地址的MAC帧；作为前导码和帧定界符的4个字节用作LLID和用于对3～7字节检错的CRC8。三、EPON6.4无线局域网接入技术本讲主要内容无线接入网结构安全机制一、无线接入网结构无线路由器通过以太网接入Internet；终端通过无线网络接入无线路由器。二、安全机制无线局域网安全机制WEPWPAWPA-PSK

WEP主要提供加密和认证机制，可以加密终端间传输的数据，允许终端和AP交换数据前，由AP完成对终端的身份认证，通过认证的终端的MAC地址记录在关联表中，以后的数据交换过程中，MAC地址作为发送端的标识符。二、安全机制24位初始向量（IV）和40位（或104位）密钥构成64位伪随机数种子，产生数据长度＋4（单位字节）的一次性密钥；数据的循环冗余检验码（4个字节）作为数据的完整性检验值（ICV）用于检测数据的完整性；一次性密钥和数据及ICV进行异或运算，其结果作为密文；为了在发送端和接收端同步伪随机数种子，以明文方式传输IV，由于伪随机数种子由密钥和IV组成，截获IV并不能获得伪随机数种子。WEP加密过程二、安全机制用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子，产生一次性密钥，如果接收端保留的密钥和发送端相同，则接收端产生和发送端相同的一次性密钥；用和密文相同长度的一次性密钥异或密文，得到数据和4字节的ICV；根据数据计算出循环冗余检验码，并与ICV比较，如果相同，表明数据传输过程未被篡改。WEP解密过程二、安全机制控制字段中的WEP标志位置1；净荷字段中包含密文（数据和ICV与一次性密钥异或运算后的结果）、IV、密钥标识符，2位密钥标识符允许发送端和接收端在4个密钥中选择一个密钥作为伪随机数种子的组成部分。二、安全机制确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥；终端一旦通过认证，AP记录下终端的MAC地址，以后，终端MAC地址就是授权终端发送的MAC帧的标识符。challenge是128字节长度的随机数。密文＝（challenge‖ICV）⊕K；K是一次性密钥，以IV和密钥为伪随机数种子生成的伪随机数，其长度＝128＋4（单位字节）。二、安全机制共享密钥认证机制的安全缺陷；一次性密钥字典；完整性检测缺陷。WEP安全缺陷起因于以下几点：一是一次性密钥和初始向量一一对应，发送端通过明文传输初始向量，且密文和明文的异或操作结果即是一次性密钥；二是一次性密钥的空间只有224，且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性；三是用循环冗余检验码作为完整性检测码，容易实现同时篡改密文和加密后的ICV。二、安全机制两端一次性密钥K取决于明文IV。Y=P⊕K，很容易根据Y和P推出K=P⊕Y=P⊕P⊕K=K。IV不变，AP根据IV推出的一次性密钥K不变，如果Y′=P′⊕K，AP认定黑客终端拥有共享密钥。认证响应（P）认证请求（Y,IV）认证请求认证响应（P′）认证响应（Y′,IV）认证响应（成功）二、安全机制实现WPA鉴别过程的网络结构鉴别服务器统一鉴别二、安全机制challenge1MD5(标识符‖challenge1‖PASSA）challenge2一旦注册，认证服务器的认证数据库中有用户名和口令，同时，注册用户也被告知用户名和口令，因此，用户名和口令只有认证服务器和用户知道；AP和认证服务器之间通信需要通过共享密钥K认证发送端身份，因此，只有拥有和认证服务器之间共享密钥的AP才是授权AP；一旦证明某个用户拥有注册用户名和口令，该用户就是注册用户，同样，用户一旦通过AP证明认证服务器知道用户名和口令，也证明AP是授权AP。MD5(标识符‖challenge2‖PASSA）二、安全机制以终端和AP具有的主密钥、双方交换的随机数AN和SN、终端和AP的MAC地址为伪随机数种子生成过度密钥；为了求证终端和AP生成相同的过度密钥，