第4章：广域网接入技术

第4章：广域网接入

20广域网协议封装及PPPPAP认证配置广域网基本概念当主机之间的距离较远时，例如，相隔几十或几百公里，甚至几千公里，局域网显然就无法完成主机之间的通信任务。这时就需要另一种结构的网络，即广域网。

专线连接专线连接点到点专用连接提供了一条独享预先建立好了的广域网络通信通道通道是永久的和固定的电路交换连接电路交换连接根据需要进行连接每一次通信会话期间都要建立、保持，然后拆除在电信运营商网络中建立起来的专用物理电路电路交换网络ModemModemModem分组交换连接分组交换连接将传输的数据分组多个网络设备共享实际的物理线路使用虚电路（VirtualCircuit）传输分组交换机ABCDABCDABCD互联网由局域网和广域网组成互联网局域网局域网广域网路由器结点交换机相距较远的局域网通过路由器与广域网相连组成了一个覆盖范围很广的互联网应当注意应当注意即使是覆盖范围很广的互联网，也不是广域网，因为在这种网络中，不同网络的“互连”才是其最主要的特征。广域网是单个的网络，它使用结点交换机连接各主机而不是用路由器连接各网络。结点交换机在单个网络中转发分组，而路由器在多个网络构成的互联网中转发分组。连接在一个广域网（或一个局域网）上的主机在该网内进行通信时，只需要使用其网络的物理地址即可。广域网（WAN）连接中的术语DCE（数据通信设备）广域网提供商的末端通信设备DTE（数据终端设备）具有连接广域网线路端口的用户端设备SSSSSModemCSU／DSUDCEDTEDTEDCE广域网的接入方式公用电话交换网PSTNX.25数字数据网DDN分组交换连接（包交换）：帧中继综合业务数字网ISDN公用电话交换网PSTNPSTN是以电路交换为基础的用于传输模拟信号语音的网络。电话网主要组成部分：本地回路，干线和交换机。其中，交换机和干线一般采用数字传输和交换技术，而本地回路基本采用模拟线路。因此两台计数机项通过PSTN通信时，中间必须经双方Modem实现数/模信号的转换。

特点：廉价，但带宽有限，中间没有存储转发功能，难以实现变速传输。公共电话交换网PSTN入网方式

1、借用普通拨号电话线；

2、租用一条电话专线；

3、普通拨号或租用专用电话线方式经PSTN转接入X.25网

公用电话交换网的分类按所覆盖的地理范围，公用电话交换网可以分为本地电话网、国内长途电话网和国际长途电话网。电话交换网的网络结构网络结构主要包括以下几种：星型网环型网网型网树型网复合型网电话交换网的网络结构(a)星型网(b)环型网(c)网型网(d)树型网(e)复合型网电话网编号计划对于自动电话网，每一部用户话机必须有一个电话号码，而且任何两个电话号码不能重复，为此必须制定整个电话网络的编号计划。国际电信联盟（ITU-T）建议一部电话机的完整号码为：国家（地区）号＋国内长途区号＋用户号码（含局号）本地网的一个用户号码由两部分组成：局号（1～4位）＋用户号（4位）如某用户的分局号（或中继线号码）为6231，用户号为4321，则该用户号码为：62314321。长途自动电话号码由三部分组成：长途字冠（0）＋长途区号（2～4位）＋本地网电话号码（5～8位）长途字冠固定为“0”，它表示此次呼叫为国内长途电话。长途区号的编号分配北京为全国的中心，长途区号编为：“10”。其它大区中心局所在地和一些特大城市，长途区号采用2位，第一位号码为“2”，共可编10个号码。如上海为“21”，沈阳为“24”等。其它省会及主要城市，长途区号采用3位，第一位号码为“3～9”（6除外），第2位只用奇数。共可编300个号码。如深圳为“755”，青岛为“532”等。其它中小城市及县城，长途区号采用4位，第一位号码为“3～9”，第2位只用偶数。共可编3500个号码。第一位为“6”的长途区号除“60”和“61”留给台湾为2位区号外，其余“62×～69×”为3位区号。国际电话编号计划国际长途自动电话号码由四部分组成：国际长途字冠＋国家号码＋长途区号＋本地网电话号码国际长途字冠为“00”，它表示此次呼叫为国内长途电话。2023/7/28编号地区编号地区1北美6南太平洋地区2非洲7独联体（俄罗斯等）3、4欧洲8北太平洋（东亚）地区5中、南美洲9远东、中东地区国家号码国家号码的长度为1～3位，第1位为编号区的号码，各国按情况在其后加上1位、2位或不加。一般电话容量多的国家号码取1位或2位，电话容量少的国家号码取3位。如美国和加拿大的国家号码均采用的是编号区号码“1”，法国的国家号码是“33”，香港的号码是“852”，中国的国家号码是“86”。国际长途国际长途字冠“00”及国内长途字冠“0”，是ITU-T建议的长途字冠。我国采用了此字冠。但也由国家例外，如英国用“010”，美国用“011”，法国用“19”作为国际长途字冠。法国用“16”作为国内长途字冠，而北美地区国内长途无需加字冠。特种业务电话编号计划我国的特种业务号码为3位等长编号，首位为“1”。如火警“119”，急救“120”，市话查询“114”等。X.25X.25网就是X.25分组交换网，它是在二十多年前根据CCITT（即现在的ITU-T）的X.25建议书实现的计算机网络。X.25只是一个对公用分组交换网接口的规约。X.25所讨论的都是以面向连接的虚电路服务为基础

分组交换网网络结构1、分组交换机

又称节点交换机。根据在网中所处地位不同分为转接交换机、本地交换机、本地和转接合一交换机等。转接交换机不接用户，所有的线路端口都是用于交换机之间互连的中继端口，仅用于局间的转接。本地交换机大部分端口用于用户终端的接入，只有少数端口作为中继端口与其他交换机相连。1、分组交换机本地和转接合一交换机既具有转接功能，又具有本地接入功能。分组交换机的主要功能：(1)为网络的基本业务和其他各种业务提供支持。(2)在各节点机之间进行路由选择，并进行流量控制，防止网络拥塞，完成交换任务。(3)实现X.25、X.75等多种协议。（4）执行维护、运行管理、故障报告与诊断、计费统计等功能。2、网络管理中心负责全网运行的管理、维护和监测，主要包括技术管理、计费管理、维护管理和网络状态显示等。3、数据终端

即用户使用的通信终端。分组交换网的数据终端有两类：分组终端和非分组终端。4、分组集中器又称用户集中器，大多是既有交换功能又有集中功能的设备。可将多个低速的用户终端进行集中，用1条或2条高速的中继线路与节点机相连。5、传输线路包括从用户终端至分组交换机或PAD的用户线及分组交换机间的中继线，或网间中继线。

X.25协议有三层，与OSI协议栈的底三层相关联。

物理层：描述物理环境接口。该组包括三种协议：1）X.21接口运行于8个交换电路上；2）X.21bis定义模拟接口，允许模拟电路访问数字电路交换网络；3）V.24使得DTE能在租用模拟电路上运行以连接到包交换结点或集中器。

链路层：负责DTE和DCE之间的可靠通信传输。包括帧格式定义，差错控制等。链路层一般采用高级数据链路控制协议HDLC.

网络层:描述主机和网络之间的相互作用。网络层的主要功能：允许用户建立虚电路，然后再已建立的电路发送最大长度128个字节的数据报文。采用分组层（PLP）协议：描述网络层（第三层）中分组交换网络的数据传输协议。PLP负责虚电路上DTE设备之间的分组交换。X.25规定了DTE-DCE的接口X.25接口X.25接口X.25公用分组交换网VC2VC1DTEDTEDCEDCEDCEDTEX.25接口虚电路虚电路在用户数据传送之前先要通过发送呼叫请求分组建立端到端之间的虚连接。一旦虚电路建立以后，属于同一呼叫的数据均沿着这一虚电路传送。当用户不再发送和接收数据时，清除该虚电路。虚电路和电路的区别：电路是物理连接，虚电路不是物理连接，而是逻辑连接。

建立实连接(电路)时，不但确定了信息所走的路径，同时还为信息的传送预留了带宽资源；而在建立虚电路时，仅仅是确定了信息所走的端到端的路径，但并不一定要求预留带宽资源。虚电路分为两种：交换虚电路SVC(SwitchingVirtualCircuit)和永久虚电路PVC(PermanentVirtualCircuit)。SVC指在每次呼叫时用户通过发送呼叫请求分组来临时建立虚电路的方式。PVC指应用户预约，由网络运营者为之建立固定的虚电路。它一般适用于业务量较大的集团用户。X.25的层次关系用户数据在X.25的分组层（相当于网络层）加上X.25的首部控制信息后，就组装成为X.25分组。在数据链路层使用的是HDLC的一个子集——平衡型链路接入规程LAPB。在分组层DTE与DCE之间可建立多条逻辑信道(0~4095号)，使一个DTE同时和网上其他多个DTE建立虚电路并进行通信。X.25还规定了在经常需要进行通信的两个DTE之间可以建立永久虚电路。这些虚电路号以及分组序号等控制信息都写在X.25分组的首部中。LAPB帧X.25分组分组层（网络层）数据链路层用户数据用户数据X.25首部LAPB首部LAPB尾部X.25协议(1)HDLC简介

HDLC(High-LevelDataLinkControl)是国际标准化组织开发的一种面向比特的同步通信规程。

HDLC定义了三种类型的链路层实体(即站)，分别称为主站(PrimaryStation)、从站(SecondaryStation)和复合站(CombinedStation)。X.25协议

HDLC根据站点类型和线路连接方式的不同，定义了两种链路配置：平衡型和非平衡型。

HDLC定义了三种数据传送方式：正常响应方式(NormalResponseMode，NRM)，异步响应方式(AsynchronousResponseMode，ARM)和异步平衡方式(AsynchronousBalancedMode，ABM)。HDLC具有几种主要的子集，如链路访问规程LAP、平衡型链路访问规程LAPB以及ISDN的D信道链路访问规程LAPD等。X.25推荐使用LAPB作为链路层规程。LAPB采用平衡配置方式，用于点到点链路，采用异步平衡方式来传输数据。(2)LAPB的帧结构F：帧标志，占8比特，标志帧的开始和结束。A：地址字段，占8比特，表示链路层的地址。I：信息字段，长度可变，用来装载分组层的数据分组。FCS：帧校验序列，占16比特，检测帧在传送过程中是否有错。C：控制字段，占8比特，指示帧的类型。帧的类型信息帧（I帧）：用于传输在分组层之间交换的分组，分组包含在I帧的信息字段中。I帧C字段的第1个比特为“0”，第2～8比特用于提供I帧的控制信息，包括发送顺序号N(S)，接收顺序号N(R)，探询位P，这些字段用于链路层差错控制和流量控制。监控帧（S帧）：S帧没有信息字段，用来保护I帧的正确传送。S帧C字段的第1位为“1”，第2位为“0”，第3、4位用来进一步区分监控帧的类型。监控帧有3种：接收准备好(RR)，接收未准备好(RNR)和拒绝帧(REJ)。其余的4位中用3位表示接收顺序号N(R)，用1位表示P/F位（探询/最终位）。帧的类型无编号帧(U帧)：用于实现链路建立和断开过程的控制。U帧C字段的第1位和第2位均为“1”。其余6位中，第5位为P/F位，第3、4、6、7、8位用于区分不同的无编号帧。包括：置异步平衡方式(SABM)，断链(DISC)，已断链方式(DM)，无编号确认(UA)，帧拒绝(FRMR)等。(3)链路操作过程数据链路层的操作分为三个阶段：链路建立，帧的传输和链路断开。链路建立：帧的传输：在DTE和DCE之间交换I帧和S帧。链路断开：是一个双向对称过程，可由DTE或DCE发起。

3、分组层分组层的基本功能是利用数据链路层提供的可靠传送服务，完成虚呼叫的分组数据通信。

分组层支持两类虚电路连接：交换虚电路SVC和永久虚电路PVC。SVC呼叫过程包括三个阶段：呼叫建立、数据传输和呼叫清除，PVC分组通信只包含数据传输阶段。(1)分组格式分组包含在LAPB帧的I字段，由分组头和分组数据两部分组成。

分组格式GFI：通用格式识别符，为分组定义了一些通用的功能。Q：区分分组包含的是用户数据还是控制信息，0为用户数据，1为控制信息。D：区分数据分组的确认方式，0表示本地确认(在DTE-DCE接口上确认)，1表示端到端(DTE-DTE)确认。SS：模式比特，指示分组的顺序号是模8还是模128，01表示按模8方式工作，10表示按模128方式工作。

数据分组确认方式分组格式LCGN和LCN：LCGN是逻辑信道群号，LCN是逻辑信道号，合起来共12比特，用以区分DTE-DCE接口中不同的逻辑子信道。分组类型识别符：8比特，用来区分各种不同的分组。

X.25的分组层共定义了4大类30个分组。分组类型(2)分组层处理过程分组层定义了DTE和DCE之间传输分组的过程。SVC要在每次通信时建立虚电路，而PVC是由运营商设置好的，不需要每次建立。因此，对于SVC来说，分组层的操作包括呼叫建立、数据传输、呼叫清除三个阶段；而对于PVC来说，只有数据传输阶段的操作，无呼叫建立和清除过程。呼叫建立过程呼叫请求分组和入呼叫分组的格式

呼叫接受和呼叫连接分组使用与呼叫请求分组相同的格式，但是内容有些不同。数据传输阶段在两个DTE之间交换的分组包括数据分组、流量控制分组和中断分组。数据分组格式有两种，分别对应模8和模128两种编号方式。数据分组的格式

呼叫清除过程虚电路任何一端的DTE都能够清除呼叫。呼叫清除过程将导致与该呼叫有关的所有网络信息被清除，所有网络资源被释放。呼叫清除过程呼叫清除分组和清除指示分组的格式数字数据网DDN数字数据网DDN(DigitalDataNetwork)是利用光纤、数字微波、卫星等数字信道，进行数据通信的基础网络，主要为用户提供永久或半永久的出租数字线路。数字数据网是利用数字信道提供永久性或半永久性连接电路来传输数据信号的数字传输网络。DDN特点1、DDN专线提供点到点链路的数据传输，保证通信可靠性。2、DDN专线利用数字信道传输，传输质量高，通信速率可根据需要在9.6Kbps~N*64Kbps(N=1~32)之间选择,网络时延小。3、DDN专线提供(时间片)独立分配的固定信道，通信保密性强，不会受其他客户使用情况的影响。（同步通信网）4、DDN网提供灵活的连接方式，电路可自动迂回，可靠性高。5、DDN网为全透明网，支持数据、话音、图像多种业务，对客户通信协议没有要求，客户可自由选择网络设备及协议。6、DDN网技术成熟，网络运行管理简便，DDN将检错等功能放到智能化程度较高的终端来完成。7、DDN不具备交换功能，但可根据与用户预订的协议定时接通所需的路由。DDN的基本功能

DDN的主要功能是为用户提供端到端的高速率、低时延、高质量的数据传输通道。其基本功能包括：提供高质量的数字数据电路。对数据信道提供较灵活的带宽管理功能。DDN对要求可靠性较高的电路具有自动倒换功能，而且DDN的骨干网可提供国际专线电路的国内延伸段。DDN的组成DDN网络有五个组成部分：本地传输系统、复用/交叉连接系统、网同步系统、局间传输系统和网络管理控制DDN节点DDN节点DDN节点DDN节点DDN网DTE用户数据单元DTE用户数据单元NAU网络接入单元NAU网络接入单元网络管理控制中心NMC用户环路数字通道DDN适用场合1、DDN业务适用于信息量大、实时性强、保密性能要求高的数据业务，如商业、金融业等行业组网或企业组建内部网络。2、DDN业务可以替代在模拟专线网或电话网上开放的数据业务，广泛应用于银行、证券、气象、文化教育等需要专线业务的行业。3、DDN业务可用于LAN/WAN（局域网/广域网）的互联、不同类型网络的互连以及会议电视等图像业务的传输。4、DDN专线可作为网络接入手段，为帧中继、ATM、分组交换网、互联网用户提供接入分组交换网的数据传输通路等。5、CHINADDN主要向用户提供速率为2M以下的中低速数据传输通道。帧中继在20世纪80年代后期，许多应用都迫切要求增加分组交换服务的速率。帧中继

FR(FrameRelay)就是一种支持高速交换的网络体系结构。帧中继在许多方面非常类似于X.25，被称为第二代的X.25。今天的数字光纤网比早期的电话网具有低得多的误码率，如果减少结点对每个分组的处理时间，则各分组通过网络的时延亦可减少，同时结点对分组的处理能力也就增大了。帧中继减少结点处理时间帧中继不使用差错恢复和流量控制机制。当帧中继交换机收到一个帧的首部时，只要一查出帧的目的地址就立即进行转发。因此在帧中继网络中，一个帧的处理时间比X.25网约减少一个数量级。这样，帧中继网络的吞吐量要比X.25网络的提高一个数量级以上。帧中继对差错的处理当检测到有误码时，结点要立即中止这次传输。当中止传输的指示到达下个结点后，下个结点也立即中止该帧的传输，并丢弃该帧。如果需要重传出错的帧，则由源站使用高层协议（而不是帧中继协议）请求重传该帧。因此，仅当帧中继网络本身的误码率非常低时，帧中继技术才是可行的。帧中继使用虚电路帧中继的逻辑连接的复用和交换都在第二层处理，而不是像X.25在第三层处理。帧中继网络向上提供面向连接的虚电路服务。虚电路一般分为交换虚电路SVC和永久虚电路PVC两种。帧中继网络通常为相隔较远的一些局域网提供链路层的永久虚电路服务，它的好处是在通信时可省去建立连接的过程。如果有N个路由器需要用帧中继网络进行连接，那么就一共需要有N(N–1)/2条永久虚电路。帧中继的控制信令帧中继的呼叫控制信令是在与用户数据分开的另一个逻辑连接上传送的（即共路信令或带外信令）。这点和X.25很不相同。X.25使用带内信令，即呼叫控制分组与用户数据分组都在同一条虚电路上传送。帧中继网帧中继交换机路由器局域网局域网虚电路路由器帧中继提供虚电路服务帧中继网路由器局域网局域网虚电路路由器虚电路像一条专用电路用户看不见帧中继网络内的帧中继交换机帧中继网络的工作过程帧中继网路由器局域网局域网路由器用户在局域网上传送的MAC帧传到与帧中继网络相连接的路由器。帧中继网路由器局域网局域网虚电路路由器路由器就剥去MAC帧的首部，将IP数据报交给路由器的网络层。网络层再将IP数据报传给帧中继接口卡。帧中继帧发送在前标志标志地址信息帧检验序列字节122~41可变首部尾部帧中继接口卡把IP数据报封装到帧中继帧的信息字段。加上帧中继帧的首部（包括帧中继的标志字段和地址字段，帧中继帧的标志字段和PPP帧的一样），进行CRC检验后，加上帧中继帧的尾部（包含帧检验序列字段和标志字段），就构成了帧中继帧。IP数据报帧中继网络的工作过程帧中继网路由器局域网局域网虚电路路由器为了区分开不同的永久虚电路PVC，每一条PVC的两个端点都各有一个数据链路连接标识符DLCI。DCLI是DataLinkConnectionIdentifier。帧中继网路由器局域网局域网虚电路路由器帧中继接口卡将封装好的帧通过向电信公司租来的专线发送给帧中继网络中的帧中继交换机。帧中继交换机收到帧中继帧就按地址字段中的虚电路号转发帧（若检查出有差错则丢弃）。帧中继网路由器局域网局域网虚电路路由器当帧中继帧被转发到虚电路的终点路由器时，终点路由器就剥去帧中继帧的首部和尾部，加上局域网的首部和尾部，交付给连接在此局域网上的目的主机。目的主机若发现有差错，则报告上层的TCP协议处理。即使TCP协议对有错误的数据进行了重传，帧中继网也仍然当作是新的帧中继帧来传送，而并不知道这是重传的数据。ISDNISDN利用公众电话网向用户提供端对端的数字信道连接。用来承载语音和非语言在内的各种地电信业务。两种速率接入方式：基本速率接口BRI:2B+D,即两个B通道和一个D通道组成

主要速率接口PRI:30B+D,

每个B通道可提供64Kb/s的语音或数据传输，用户可以同时绑定两个通道以128K/s的速率上网，也可以在以64K/s上网的同时在另一个通道上打电话。D信道传输信令和分组信息。ISDN接入Internet网ISDN的用户线路采用数字的多路复用技术，从传送的速率不同，可分为窄带ISDN（N-ISDN）与宽带ISDN（B-ISDN），窄带ISDN线路的传输速率为160Kb/s（2B＋D用户线路），利用其同时进行两路通话或可视电话及其它补充业务。B-ISDN用户线上的信息传输速率为：155.52Mb/s。ISDN的技术特点ISDN利用一条用户线就可以提供电话、传真、可视图文及数据通信等多种业务，实现高可靠及高质量的通信。ISDN能提供端到端的数字连接，用来承载包括话音和非话音在内的多种业务；在各用户终端之间实现以64Kb/s速率为基础的端到端的透明传输；用户能够通过两种标准的多用途用户／网络接口接入ISDN，即基本速率接口（BRI）和基群速率接口（PRI）；为逐步扩充和发展ISDN网络功能，适应未来用户增长和新型业务的发展，ISDN在功能上是一个开放式网络结构，采用OSI（开放系统互连）的7层模型；ISDN不仅能提供电路交换业务，还能提供分组交换和非交换的专用线业务，用户可根据需要灵活选用，并且能与现有电话网、分组网实现互通。ISDN终端应具有3种功能，即人－机接口、D信道协议处理、用户终端协议处理功能，另外，终端还要具有智能性、移动性、兼容性和信息显示等特性；ISDN具有通信业务的综合化。ISDN的应用ISDN的应用范围十分广泛，主要的应用领域：局域网电视会议家庭（居家办公、上网、电子购物、自动读表）视频领域（桌面系统、远端教学、远程医疗等）商业销售点（POS）系统证券交易广域网协议高级数据链路控制（HDLC）点对点协议（PPP）帧中继（FrameRelay）异步传输模式（ATM）PPP协议PPP协议PPP提供了一种在点对点的链路上封装多协议数据报（IP、IPX和AppleTalk）的标准方法。

它能够支持： IP地址的动态分配和管理； 同步（面向位的同步数据块的传送）或异步（起始位+数据位+奇偶校验位+停止位）物理层的传输； 网络层协议的复用； 链路的配置、质量检测和纠错； 多种配置参数选项的协商。PPP协议主要包括三部分：LCP（LinkControlProtocol）链路控制协议、NCP（NetworkControlProtocol）网络控制协议、封装、网络控制协议。随着网络技术的不断发展，网络带宽已不再是瓶颈，所以PPP扩展协议的应用也就越来越少，因此往往人们在叙述PPP协议时经常会忘记它的存在。PPP协议的封装我们知道OSI参考模型共分七层，自下而上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。通常我们会依据协议所完成的功能将它与这七层进行对照，PPP协议就属于数据链路层协议。

下图为PPP数据帧的封装格式：

以下为对PPP数据帧封装格式的一点说明：（1）每一个PPP数据帧均是以一个标志字节起始和结束的，该字节为0x7E。（2）紧接在起始标志字节后的一个字节是地址域，该字节为0xFF。我们熟知网络是分层的，且对等层之间进行相互通信，而下层为上层提供服务。7E信息/数据FF协议（2B）03CRC（2B）

当对等层进行通信时首先需获知对方的地址，而对不同的网络，在数据链路层则表现为需要知道对方的MAC地址、X.21地址、ATM地址等；在网络层则表现为需要知道对方的IP地址、IPX地址等；而在传输层则需要知道对方的协议端口号。例如如果两个以太网上的主机希望能够通信的话，首先发送端需获知对端的MAC地址。7E信息/数据FF协议（2B）03CRC（2B）

但由于PPP协议是被运用在点对点的链路上的特殊性，它不像广播或多点访问的网络那样，需要要标识通信的对方。因为点对点的链路就可以唯一标识对方，因此使用PPP协议互连的通信设备的两端无须知道对方的数据链路层地址，所以该字节已无任何意义，按照协议的规定将该字节填充为全1的广播地址。 （3）同地址域一样，PPP数据帧的控制域也没有实际意义，按照协议的规定通信双方将该字节的内容填充为0x03。7E信息/数据FF协议（2B）03CRC（2B）

就PPP协议本身而言，我们最关心的内容应该是它的协议域和信息域。协议域可用来区分PPP数据帧中信息域所承载的数据报文的内容。协议域的内容必须依据ISO3309的地址扩展机制所给出的规定。该机制规定协议域所填充的内容必须为奇数，也即是要求低字节的最低位为“1”，并且高字节的最低位为"0"。7E信息/数据FF协议（2B）03CRC（2B）

如果当发送端发送的PPP数据帧的协议域字段不符合上述规定，则接收端会认为此数据帧是不可识别的，那么接收端会向发送端发送一个Protocol-Reject报文，在该报文尾部将完整地填充被拒绝的报文。7E信息/数据FF协议（2B）03CRC（2B）协议域类型说明最典型的几种取值0xc021信息域中承载的是链路控制协议（LCP）的数据报文0xc023信息域中承载的是PAP协议的认证报文0xc223信息域中承载的是CHAP协议的认证报文0x8021信息域中承载的是网络控制协议（NCP）的数据报文0x0021信息域中承载的是IP数据报文（4）信息域缺省时最大长度不能超过1500字节，其中包括填充域的内容。1500字节大小等于PPP协议中配置参数选项MRU（MaximumReceiveUnit）的缺省值，在实际应用当中可根据实际需要进行信息域最大封装长度选项的协商。信息域如果不足1500字节时可被填充，但不是必须的，如果填充则需通信双方的两端能辨认出有用与无用的信息方可正常通信。7E信息/数据FF协议（2B）03CRC（2B）

（5）CRC校验域主要是对PPP数据帧传输的正确性进行检测的，当然在数据帧中引入了一些传输的保证机制是好的，但可以反过来说，同样我们会引入更多的开销，这样可能会增加应用层交互的延迟。7E信息/数据FF协议（2B）03CRC（2B）

为了能适应复杂多变的网络环境，PPP协议提供了一种链路控制协议来配置和测试数据通信链路，它能用来协商PPP协议的一些配置参数选项；处理不同大小的数据帧；检测链路环路、一些链路的错误；终止一条链路。二、LCP协议

PPP的网络控制协议根据不同的网络层协议可提供一族网络控制协议，常用的有提供给TCP/IP网络使用的IPCP网络控制协议和提供给SPX/IPX网络使用的IPXCP网络控制协议等，但最为常用的是IPCP协议。当点对点的两端进行NCP参数配置协商时，主要是用来获得通信双方的网络层地址。

三、NCP协议

一、PPP的状态转移数据通信设备的两端如果希望通过PPP协议建立点对点的通信，无论哪一端的设备都需发送LCP数据报文来配置链路（测试链路）。如果通信的双方LCP配置参数选项包含了认证方式，那么一旦LCP的所有配置参数选项协商完后，通信双方就会根据所协商的认证方式进行认证。PPP链路的建立过程

协议缺省情况下双方是不进行认证的，而直接进入到NCP配置参数选项的协商，直至所经历的几个配置过程全部完成后，点对点的双方就可以开始通过已建立好的链路进行网络层数据报文的传送了，整个链路就处于可用状态。一旦任何一端收到LCP或NCP的链路关闭报文（一般而言协议是不要求NCP有关闭链路的能力的，因此通常情况下关闭链路的数据报文是在LCP协商阶段或应用程序会话阶段发出的）、物理层无法检测到载波或管理人员对该链路进行关闭操作，都会将该条链路断开，从而终止PPP会话。

以下为PPP协议整个链路过程需经历阶段的状态转移图：链路不可用阶段链路建立阶段链路终止阶段验证阶段网络层协议阶段建立失败验证失败

在点对点链路的配置、维护和终止过程中，PPP需经历以下几个阶段：（1）链路不可用阶段：有时也称为物理层不可用阶段，PPP链路都需从这个阶段开始和结束。当然链路被断开后也同样会返回到这个阶段，往往在实际过程中这个阶段所停留的时间是很短的，仅仅是检测到对方设备的存在。

（2）链路建立阶段：当通信双方的两端检测到物理线路激活（通常是检测到链路上有载波信号）时，就会从当前这个阶段跃迁至下一个阶段（即链路建立阶段）。在这个阶段主要是通过LCP协议进行链路参数的配置。

当完成数据报文的交换后，则会继续向下一个阶段跃迁，下一个阶段既可是验证阶段，也可是网络层协议阶段，下一阶段的选择是依据链路两端的设备配置（通常是由用户来配置，但对NAS或BAS设备的PPP模块来说，就需要支持PAP或CHAP中的一种或全部两种认证方式）。

（3）验证阶段：多数情况下的链路两端设备是需要经过认证后才进入到网络层协议阶段，缺省情况下链路两端的设备是不进行认证的。在该阶段支持PAP和CHAP两种认证方式，验证方式的选择是依据在链路建立阶段双方进行协商的结果。链路不可用阶段链路建立阶段链路终止阶段验证阶段建立失败验证失败链路质量的检测也会在这个阶段同时发生，但协议规定不会让链路质量的检测无限制的延迟验证过程。（4）网络层协议阶段：一旦PPP完成了前面几个阶段，每种网络层协议（IP、IPX和AppleTalk）会通过各自相应的网络控制协议进行配置，每个NCP协议可在任何时间打开和关闭。如果在这个阶段收到了Config-Request报文，则又会返回到链路建立阶段。链路终止阶段验证阶段网络层协议阶段验证失败（5）网络终止阶段：PPP能在任何时候终止链路。当载波丢失、授权失败、链路质量检测失败和管理员人为关闭链路等情况均会导致链路终止。

链路建立阶段可能通过交换LCP的链路终止报文来关闭链路，当链路关闭时，链路层会通知网络层做相应的操作，而且也会通过物理层强制关断链路。对于NCP协议，它不需要也没有必要去关闭PPP链路的。链路终止阶段验证阶段网络层协议阶段验证失败PPPPAP认证PPP协议也提供了可选的认证配置参数选项，缺省情况下点对点通信的两端是不进行认证的。在LCP的Config-Request报文中不可一次携带多种认证配置选项，必须二者择其一（PAP/CHAP），选择最希望的那一种，一般是在PPP设备互连的设备上进行配置的，一般设备会默认支持一个缺省的认证方式（PAP是大部分设备所默认的认证方式）。当对端收到该配置请求报文后，如果支持配置参数选项中的认证方式，则回应一个Config-Ack报文；否则回应一个Config-Nak报文，并附带上自已希望双方采用的认证方式。当对方接收到Config-Ack报文后就可以开始进行认证了，而如果收到得是Config-Nak报文，则根据自身是否支持Config-Nak报文中的认证方式来回应对方，如果支持则回应一个新的Config-Request（并携带上Config-Nak报文中所希望使用的认证协议）。否则将回应一个Config-Reject报文，那么双方就无法通过认证，从而不可能建立起PPP链路。

两个设备在使用PAP进行认证之前，应该确认那一方是验证方，那一方是被验证方。实际上对于使用PPP协议互连的两端来说，既可作为认证方，也可作为被认证方。但通常情况下，PAP只使用一个方向上的认证。一般在两端设备使用PAP协议之前，均会设备上进行一些相应的配置。而对于被验证方而言只需设置用户名和密码即可。PAP认证是两次握手，在链路建立阶段，依据设备上的配置情况，如果是使用PAP认证，则被验证方在发送Config-Request报文时会携带认证配置参数选项，而对于验证方而言则是不需要，它只需要收到该配置请求报文后根据自身的情况给对端返回相应的报文。如果点对点的两端设备采用的是PAP双向认证时，也即是它同时也作为验证方，则两端设备都要完成验证对方和被对方验证的过程。

因此，我们可以总结一下，如果对于点对点的两个设备在PPP链路建立的过程中使用的认证方式为PAP的话，那么验证方在其Config-Request报文中必须含有认证配置参数选项，下图为PAP认证的过程：

当通信设备的两端在收到对方返回的Config-Ack报文时，就从各自的链路建立阶段进入到认证阶段，那么作为被验证方此时需要向验证方发送PAP认证的请求报文，该请求报文携带了用户名和密码。当验证方收到该认证请求报文后，则会根据报文中的实际内容查找本地的数据库，如果该数据库中有与用户名和密码一致的选项时，则回向对方返回一个认证请求响应，告诉对方认证已通过。反之，如果用户名与密码不符，则向对方返回验证不通过的响应报文。如果双方都配置为验证方，则需要双方的两个单向验证过程都完成后，方可进入到网络层协议阶段，否则在一定次的认证失败后，则会从当前状态返回链路不可用状态。例：当路由器A（被验证方）收到了路由器B的Config-Ack报文后，因为是使用PAP认证，所以作为被验证方的路由器A应主动向验证方（路由器B）发送认证请求报文（PAPAuthenticate），用户名和密码均为163，报文的内容如下：下划线的前四个字节是用户名，后四个字节是密码（均为163）。当路由器B收到了该报文后，会向路由器A回应一个PAPAuthenticateAck报文，内容如下：

此时所回应的报文中，并未携带任何数据，如果是认证不通过，则会在返回的报文中指是因何原因无法认证通过，可能是无此用户名或密码不匹配。(C023表示承载的是PAP认证报文）7EFF03C0230101000C03313633033136337E7EFF03C02302010005007EPAP认证不是一种可靠的身份认证协议。身份验证在链路上以明文发送，而且由于验证重试的频率和次数由远端节点控制，因此，不能防止回访攻击和重复的尝试攻击。PPP协议封装命令封装PPP协议：encapsulationppp配置PAP验证方式：usernamenamepasswordpassword配置PAP验证的被验证方用户名、密码pppauthenticationpapppp授权PAP认证方式ppppapsent-usernamenamepasswordpassword配置登录主认证方的用户名、密码查看ppp认证过程：pppauthentication查看ppp协商过程：debugpppnegotiation

21PPPCHAP认证配置CHAP认证

与PAP认证比起来，CHAP认证更具有安全性，采用PAP认证时，被验证是采用明文的方式直接将用户名和密码发送给验证方的，而对于PAP认证则不一样。CHAP为三次握手协议，它只在网络上传送用户名而不传送口令，因此安全性比PAP高。在验证一开始，不像PAP一样是由被验证方发送认证请求报文了，而是由验证方向被验证方发送一段随机的报文，并加上自己的主机名，我们通称这个过程叫做挑战。

当被验证方收到验证方的验证请求，从中提取出验证方所发送过来的主机名，然后根据该主机名在被验证方设备的后台数据库中去查找相同的用户名的记录，当查找到后就使用该用户名所对应的密钥，然后根据这个密钥、报文ID和验证方发送的随机报文用Md5加密算法生成应答，随后将应答和自己的主机名送回。同样验证方收到被验证方发送回应后，提取被验证方的用户名，然后去查找本地的数据库。

当找到与被验证方一致用户名后，根据该用户名所对应的密钥、保留报文ID和随机报文用Md5加密算法生成结果，和刚刚被验证方所返回的应答进行比较，相同则返回Ack，否则返回Nak，下图为CHAP的认证过程：

而此时路由器A会根据用户名所对应的密钥使用报文的ID和该报文的内容生成一个回应报文，报文内容如下：

我们将这个回应报文与验证方发送的挑战报文进行比较，报文的代码域已由原01改为02，总报文的长度有变化，主要是后一个下划线的内容是被验证方的主机名（ppkiss@hua），而且此时回应的16个字节的报文已经是经过MD5算法加密过的。当验证方收到了这个回应报文后，会根据报文中被验证方的主机名（ppkiss@hua）在本地的数据库中去查找密钥，然后再对原发先发送的那段挑战报文进行MD5的算法加密，如果所得的结果与对方刚发过来的16个字节的加密值一样的话，则就会发送一个报文通知被验证方，你的认证已经通过，我们可以进入到下一个阶段了。

此时所回应的报文的代码域为03，且报文的实际内容是，WelcomtoMA5200A。

在实际应用当中，我们很多都是使用PC机来进行拨号这个过程，实际中当验证方发送挑战后，PC机只接收而并不去查本地数据库，而直接使用在拨号对话框中所输入的密码和报文的ID及报文的内容进行MD5算法加密。下面来看一下验证通过时，验证方给被验证方所发送的一段报文内容：

22利用动态NAPT

实现局域网主机访问

互联网IP地址的需求一台计算机要与其他计算机以及互联网上的

其他计算机通信，就必须具有IP地址。IP地址（IP代表InternetProtocol，即互联网协议）是一个独一无二的32位数字，它在网络上标识您的计算机的位置。最早出现IP地址分配时，每个人都以为有足够的地址来满足任何需要。从理论上来讲，IPV4协议提供的的地址可以有4,294,967,296

(232)个。但是人们将地址划分为多个类别，有些地址被预留用于多播、测试或用作其他特殊用途。实际可以使用的地址数量比这要少（在32亿到33亿之间。IP地址的匮乏随着互联网规模的激增以及家庭网络和商业网络的增加，可用IP地址的数量根本不够用。解决IPv4地址空间不足的方案有：可变长子网掩码、无类间路由、网络地址转换、动态主机配置和IPv6.IPv6被认为是解决IP地址不足的最终解决方案。NAT技术是暂时解决方案。IPv6现在正在研究，但是需要花费几年的时间才能实现它，因为它需要修改整个互联网基础结构。NAT概述NAT是将一个IP地址转换为另一个IP地址的功能。通常，一个局域网由于申请不到足够多的IP地址，或者只是为了编址方便，在局域网内部采用私有IP地址为设备编址，当设备访问外网时，再通过NAT将私有地址翻译为合法地址。Internet0私有地址注册地址NAT网关局域网专用IP地址局域网专用IP地址是Internet特别划分出来的，它们不会注册给任何组织。IP地址范围网络类型网络个数~55A1~55B16~55C256实际上，用户可以使用任意IP作为私有地址，但有可能导致某些外网的站点无法访问。使用私有地址的注意事项：私有地址不需要经过注册就可以使用，这导致这些地址是不唯一的。所以私有地址只能限制在局域网内部使用，不能把它们路由到外网中去。NAT基本原理NAT技术通过改变数据包的IP地址，来实现内部网络使用私有IP地址的主机和互联网上使用的公有地址的主机之间的进行通信。端口多路复用技术：NAT支持把多个私有IP地址映射为一个合法IP地址的技术，这时各个主机通过端口进行区分，这就是端口多路复用技术。利用端口多路复用技术可节省合法IP地址的使用量，但会加大NAT设备的负担，影响其转发速度。局域网路由器Internet私有地址公有地址基本术语在NAT技术中有4中地址，它们是：1内部本地地址：指局域网内部分配给主机的IP地址。2内部全局地址：指设置在路由器等互联网接口设备上，用来替代一个或多个内部私有地址的共有注册地址。3外部本地地址：指互联网上另一端网络内部地址，该地址可能是RFC1918规定的私有地址，也可能是注册共有地址。4外部全局地址：指还联网上的一个公有注册地址，在互联网上是唯一的。一般情况下，外部本地地址和外部全局地址是同一个地址，它们就是内部网络的主机所访问的互联网上的主机。NAT表当内部网络的多台主机访问互联网的多个目的主机时，路由器必须记住内部网络的哪一台主机访问互联网的哪一台主机，以防在地址转换时混淆，所以路由器将为NAT的众多连接建立一个表，即NAT表。NAT在做地址转换时，依靠在NAT表中记录的内部私有地址和外部公有地址映射关系来保存地址转换的依据。NAT的工作过程局域网路由器Internet主机A服务器B：源地址：目的地址：用来实现NAT转换的注册公有ip地址：内部网络的主机A被分配了一个私有地址，内部网络通过一台路由器与互联网相连，路由器与互联网连接的地址是，而我们为路由器单独分配的一个公有注册地址来负责NAT转换。NAT类型1、静态NAT：将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多，可以与内部IP地址一一对应。静态NAT一般用于那些需要固定的合法IP地址的主机，比如Web服务器、FTP服务器、E-mail服务器等。2、NAT池（动态NAT）：将多个合法IP地址统一的组织起来，构成一个IP地址池，当有主机需要访问外网时，就分配一个合法IP地址与内部地址进行转换，当主机用完后，就归还该地址。对于NAT池，如果同时联网用户太多，可能出现地址耗尽的问题。NAT池3、PAT（端口NAT）：使用端口多路复用技术，将多个内部地址映射为一个合法地址，用不同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。路由器支持的PAT会话数是有限制的，所以使用PAT的局域网，其网络的规模不应该太大。S0:/244、复用NAT池（复用动态NAT）：将多个合法IP地址构成一个NAT池，使用复用技术映射其中的地址，每个地址有可以对应多台主机，各主机用端口进行区分。复用NAT池是NAT池和PAT技术的结合，可用于大规模的局域网。说明：在端口复用技术中，用端口区分的不是一台主机，而是一个网络连接（会话），当一台主机同时建立了多个会话时，它的每个会话会占用一个端口映射。假如一台路由器支持4000个会话，那么它支持的主机数量会远少于4000台。5、TCP负载均衡：如果一个服务器的访问量非常大，我们通常会建立多台映像服务器对访问进行分流。从外部来看，这些服务器的IP地址相同，NAT设备会把多个对服务器的访问映射到不同的服务器上，实现负载均衡。S0:/24TCP负载均衡与其它NAT的主要区别在于，它是把来自外网的同一合法IP地址翻译成不同的内网IP地址