搜索
网络信息安全基础-网络部分北京邮电大学朱洪亮北京邮电大学信息安全中心本节主要内容OSI/RM1TCP/IP体系结构2数据链路层3网络层协议4北京邮电大学信息安全中心本节主要内容传输层协议5应用层协议6TCP/IP实现简介7北京邮电大学信息安全中心OSI/RM4.传输层2.数据链路层3.网络层1.物理层5.会话层6.表示层7.应用层面向用户应用面向数据传输1.ISO创建了OSI(开放式系统互连)模型,并在1984年发布2.ISO/OSI模型将网络通信划分为七个层次3.层与层之间相互独立而又相互依靠北京邮电大学信息安全中心OSI/RM传输层数据链路层物理层网络层数据数据传输层报头数据网络层报头数据数据链路层报头0101110101001000010表示层应用层会话层数据段数据包(分组)比特数据帧协议数据单元北京邮电大学信息安全中心OSI/RM功能提供电气连接和信号标准控制系统与另一端的系统之间的数据流层次应用层表示层会话层传输层数据链路层物理层网络层决定数据传输的物理通道IP路径确定、传输质量控制TCP、UDP通信进程间安全性操作、名字识别、登录等最终数据反映形式。如字符、图形、语音网络操作系统及应用程序OSI/RM应用层传输层会话层表示层数据链路层网络层物理层应用层传输层会话层表示层数据链路层网络层物理层数据链路层网络层物理层数据链路层网络层物理层应用层协议表示层协议会话层协议传输层协议通信子网边界765431比特帧分组T报文S报文P报文A报文主机A主机B传输介质CCPCCP2OSI参考模型的结构北京邮电大学信息安全中心TCP/IP模型TCP/IP是一组协议栈,它利用一组协议完成OSI所实现的功能,而不仅仅是两个单独的协议组成,组合了100多个协议。这组协议利用已有的物理网络互连起来,实现不同物理网络的主机之间的通信。因特网采用的TCP/IP模型并不与OSI模型发生冲突,因为这两种标准是并行开发的,它们是互相补充的。OSI模型和TCP/IP模型相比,认为OSI的结构更严谨,层次更加独立,但现在似乎更喜欢使用TCP/IP模型,OSI模型是否放弃也难说。北京邮电大学信息安全中心TCP/IP模型TCP/IP与OSI对应协议层和相应PDU名称TCP/IP协议栈主流协议北京邮电大学信息安全中心TCP/IP数据封装北京邮电大学信息安全中心TCP/IP数据封装FrameHeaderIPHeaderTCP/UDP/ICMPHeaderDataTrailerIPHeaderTCP/UDP/ICMPHeaderDataUDPHeaderDataTCPHeaderDataDataApplicationLayer:UserDataTCPorUDPorICMPLayerIPLayerLowerLayerICMPHeaderData北京邮电大学信息安全中心数据链路层数据链路层使用的信道有两种类型:1、点对点信道。这种信道使用一对一的点对点通信方式。2、广播信道。这种信道使用一对多的广播通信方式,因此过程比较复杂。广播信道上连接的主机很多,因此必须使用专用的共享信道协议来协调这些主机的数据发数据链路层的协议有许多种:SLIP、PPP、以太网等。有三个问题是共通的:封装成帧、透明传输、差错控制北京邮电大学信息安全中心数据链路层封装成帧封装成帧(framing)就是在一段数据的前后分别添加首部和尾部,然后就构成了一个帧。确定帧的界限。首部和尾部的一个重要作用就是进行帧定界。帧结束帧首部IP数据报帧的数据部分帧尾部MTU数据链路层的帧长开始发送帧开始数据链路层透明传输透明传输就是在传输过程中,对外界透明.数据直接通过系统中的互连功能模式而不进行RLP纠错,如果进行了RLP纠错即为非透明传输。所谓的透明传输,不管传的是什么,所采用的设备只是起一个通道作用,把要传输的内容完好的传到对方!透明传输的设备是个黑箱子,进来是什么出去也是什么数据链路层差错控制在传输过程中可能会产生比特差错:1可能会变成0而0也可能变成1。在一段时间内,传输错误的比特占所传输比特总数的比率称为误码率BER(BitErrorRate)。误码率与信噪比有很大的关系。为了保证数据传输的可靠性,在计算机网络传输数据时,必须采用各种差错检测措施。在数据链路层传送的帧中,广泛使用了循环冗余检验CRC的检错技术。数据链路层-PPP协议现在全世界使用得最多的数据链路层协议是点对点协议PPP(Point-to-PointProtocol)。用户使用拨号电话线接入因特网时,一般都是使用PPP协议。1992年制订了PPP协议。经过1993年和1994年的修订,现在的PPP协议已成为因特网的正式标准[RFC1661]。数据链路层-PPP协议用户至因特网已向因特网管理机构申请到一批IP地址ISP接入网PPP协议数据链路层-PPP协议IETF(互联网工程任务组)认为,在设计PPP协议时必须考虑以下多方面的需求:简单:IETF把简单作为首要的需求,数据链路层的协议非常简单,接收方每收到一个帧,就进行CRC检验,正确则收下,不正确则丢弃封装成帧:PPP协议必须规定特定的字符作为帧定界符透明性:PPP协议必须保证数据传输的透明性多种网络层协议:PPP协议必须能够在同一条物理链路上同时支持多种网络层协议(如IP和IPX等)的运行。多种类型链路:除了要支持多种网络层的协议外,PPP还必须能够在多种类型的链路上运行。数据链路层-PPP协议差错检测:PPP必须能够对接收端收到的帧进行检测,并立即丢弃有差错的帧。检测连接状态:PPP协议必须具有一种机制能够及时自动检测链路是否处于正常工作状态。最大传送单元:设置最大传送单元是为了促进各种实现之间的互操作性网络层地址协商:PPP协议必须提供一种机制使通信的两个网络层的实体能够通过协商知道或能够配置彼此的网络层地址。数据压缩协商:PPP协议必须提供一种方法来协商使用数据压缩算法数据链路层-PPP协议纠错:可靠传输由TCP负责,PPP只进行检错。流量控制:在TCP/IP协议族中,端到端的流量控制由TCP负责序号:PPP不是可靠传输协议,因些不需要使用帧的序号多点线路:PPP不支持多点线路,只支持点对点半双工或单工链路:PPP只支持全双工PPP协议不需要的功能:数据链路层-PPP协议PPP协议有三个组成部分一个将IP数据报封装到串行链路的方法。一个用来建立、配置和测试数据链路连接的链路控制协议LCP(LinkControlProtocol)。一组网络控制协议NCP(NetworkControlProtocol)。数据链路层-PPP协议PPP协议的帧格式PPP有一个2个字节的协议字段。当协议字段为0x0021时,PPP帧的信息字段就是IP数据报。若为0xC021,则信息字段是PPP链路控制数据。若为0x8021,则表示这是网络控制数据。IP数据报1211字节12不超过1500字节PPP帧先发送7EFF03FACFCSF7E协议信息部分首部尾部数据链路层-PPP协议PPP协议工作流程当用户拨号接入ISP时,就建立了一条从用户PC机到ISP的物理连接。这时,PC机向ISP发送一系列的LCP分组(封装成多个PPP帧),以便建立LCP连接。这些分组及其响应选择一些PPP参数,并进行网络层配置,NCP给新接入的PC机分配一个临时的IP地址,使PC机成为因特网上的一个主机。通信完毕时,NCP释放网络层连接,收回原来分配出去的IP地址。接着,LCP释放数据链路层连接。最后释放的是物理层的连接。数据链路层-PPP协议设备之间无链路链路静止链路建立鉴别网络层协议链路打开链路终止物理链路LCP链路已鉴别的LCP链路已鉴别的LCP链路和NCP链路物理层连接建立LCP配置协商鉴别成功或无需鉴别NCP配置协商链路故障或关闭请求LCP链路终止鉴别失败LCP配置协商失败数据链路层-以太网协议局域网具有的一些主要优点:具有广播功能,从一个站点可很方便地访问全网。局域网上的主机可共享连接在局域网上的各种硬件和软件资源。便于系统的扩展和逐渐地演变,各设备的位置可灵活调整和改变。提高了系统的可靠性、可用性和生存性。数据链路层-以太网协议局域网的拓扑匹配电阻集线器干线耦合器总线网星形网树形网环形网数据链路层-以太网协议局域网具有的一些主要优点:1、DIXEthernetV2是世界上第一个局域网产品(以太网)的规约。2、IEEE的802.3标准。DIXEthernetV2标准与IEEE的802.3标准只有很小的差别,因此可以将802.3局域网简称为“以太网”。严格说来,“以太网”应当是指符合DIXEthernetV2标准的局域网数据链路层-以太网协议数据链路层的两个子层:为了使数据链路层能更好地适应多种局域网标准,802委员会将局域网的数据链路层拆成两个子层:逻辑链路控制LLC(LogicalLinkControl)子层媒体接入控制MAC(MediumAccessControl)子层。与接入到传输媒体有关的内容都放在MAC子层,而LLC子层则与传输媒体无关,不管采用何种协议的局域网对LLC子层来说都是透明的数据链路层-以太网协议数据链路层的两个子层:局域网网络层物理层站点1网络层物理层逻辑链路控制LLCLLC媒体接入控制MACMAC数据链路层站点2LLC子层看不见下面的局域网数据链路层-以太网协议一般不考虑LLC子层由于TCP/IP体系经常使用的局域网是DIXEthernetV2而不是802.3标准中的几种局域网,因此现在802委员会制定的逻辑链路控制子层LLC(即802.2标准)的作用已经不大了。很多厂商生产的适配器上就仅装有MAC协议而没有LLC协议。数据链路层-以太网协议CSMA/CD协议(载波监听多点接入/碰撞检测)CSMA/CD表示CarrierSenseMultipleAccesswithCollisionDetection。1、“多点接入”表示许多计算机以多点接入的方式连接在一根总线上。2、“载波监听”是指每一个站在发送数据之前先要检测一下总线上是否有其他计算机在发送数据,如果有,则暂时不要发送数据,以免发生碰撞。数据链路层-以太网协议CSMA/CD重要特性使用CSMA/CD协议的以太网不能进行全双工通信而只能进行双向交替通信(半双工通信)。每个站在发送数据之后的一小段时间内,存在着遭遇碰撞的可能性。这种发送的不确定性使整个以太网的平均通信量远小于以太网的最高数据率。数据链路层-以太网协议以太网的MAC地址在局域网中,硬件地址又称为物理地址,或MAC地址。802标准所说的“地址”严格地讲应当是每一个站的“名字”或标识符。IEEE的注册管理机构RA负责向厂家分配地址字段的前三个字节(即高位24位)。地址字段中的后三个字节(即低位24位)由厂家自行指派,称为扩展标识符,必须保证生产出的适配器没有重复地址这种48位地址称为MAC-48,它的通用名称是EUI-48。实际上就是适配器地址或适配器标识符EUI-48数据链路层-以太网协议MAC帧格式最常用的MAC帧格式就是以太网v2的格式以太网MAC帧物理层MAC层1010101010101010101010101010101011前同步码帧开始定界符7字节1字节…8字节插入IP层目的地址源地址类型数据FCS6624字节46~1500IP数据报MAC帧数据链路层-ARP与RARP协议因为硬件并不懂IP地址,通过物理网络传送帧时必须使用硬件的帧格式,即帧中的物理地址。在传送帧之前,必须将下一跳的IP地址转换成硬件可以读懂的相应硬件地址ARP(AddressResolutionProtocol)用于将IP地址转换成MAC地址RARP用于将MAC地址转换为IP地址,多用于无盘工作站数据链路层-ARP与RARP协议ARP用于将一个已知的IP地址映射到MAC地址。方法:1)检查ARP高速缓存表;2)若地址不包含在表中,