計算機網絡工程第六章第6章接入網設計方法和實現過程本章主要內容接入網結構；ADSL接入技術；以太網接入技術；無線局域網接入技術；綜合接入網實例。6.1接入網結構本講主要內容接入網組成；接入控制過程與接入控制協議。一、接入網組成接入網接入控制設備鑒別服務器接入網接入網絡的主要功能是提供用戶終端和接入控制設備之間的數據傳輸通路；PSTN；ADSL；以太網；EPON。

一、接入網組成ADSL接入方式下的接入網絡結構

一、接入網組成接入控制設備接入用戶身份鑒別動態分配IP地址動態建立指向用戶終端的路由項一、接入網組成鑒別服務器統一存儲授權用戶信息完成接入用戶的身份鑒別過程接入控制設備轉發用戶身份信息一、接入網組成二、接入控制過程與接入控制協議接入控制過程建立數據傳輸通路鑒別用戶身份動態分配IP地址建立動態路由項

二、接入控制過程與接入控制協議本地鑒別過程統一鑒別過程

PPP接入控制過程分為5個階段；箭頭旁邊給出階段發生轉換的條件；建立語音信道后，開始PPP鏈路建立過程；PPP鏈路建立過程就是語音信道兩端協商參數過程；完成參數協商后，采用協商參數時確定鑒別協議完成對用戶身份鑒別；鑒別成功后，對用戶終端分配IP地址，并在接入控制設備中建立指向用戶終端的路由項；一旦語音信道中斷或是協商參數、身份鑒別出現錯誤，終止PPP鏈路。接入控制過程二、接入控制過程與接入控制協議CHAP鑒別過程二、接入控制過程與接入控制協議RADIUS客戶/服務器模式安全機制應用過程二、接入控制過程與接入控制協議本講主要內容接入網結構ADSL調制技術PPPoEADSL路由器網橋工作方式ADSL路由器路由器工作方式ADSL路由器作為橋設備和路由器設備使用的不同之處6.2ADSL接入技術一、接入網絡結構語音通信通路數據傳輸通路ADSL接入網絡結構數據傳輸通路中的兩個重要設備：DSLAM和ADSLModem１．同時存在語音通信通路和數據傳輸通路，而且這兩條通路共享同一條用戶線。２．同樣都通過用戶線接入Internet，為什么ADSL是寬帶接入？

撥號接入的用戶線之所以有4kHz的帶寬限制是因為A/D轉換時的采樣頻率：8000Hz，導致模擬信號最高諧波頻率必須小于8000Hz/2=4000Hz。ADSL接入技術采用通過用戶線直接連接DSLAM的方式，因此，連接DSLAM的用戶線的頻帶由作為用戶線的電纜的頻率特性決定：傳輸距離為5km，帶寬為1.2MHz。一、接入網絡結構整個頻帶被分成三段。04kHz作為語音通信頻段。30KHz140KHz作為上行傳輸頻段。150KHz1.2MHz作為下行傳輸頻段。二、ADSL調制技術無論下行傳輸通路，還是上行傳輸通路都將分配的頻段劃分為4kHz帶寬的信道。對每一信道采用類似V.34標準的QAM調制技術。按照V.34標準速率計算：上行速率＝(（140-30)/4)33.61Mbps。下行速率＝(（1200-150)/4)33.68.8Mbps。注意：V.34標準受A/D轉換后產生的量化噪聲的影響，數據傳輸速率受限制，實際上，ADSL的最高傳輸速率高于下述近似值。二、ADSL調制技術三、PPPoE以太網傳輸通路寬帶接入服務器就是接入控制設備，完成對用戶終端的接入控制，用戶終端和寬帶接入服務器之間是以太網的交換路徑，PPPoE是建立基于以太網的能滿足傳輸PPP幀的點對點鏈路特性的PPP會話。PPPoE是一種基于以太網建立點對點虛擬鏈路，并在點對點虛擬鏈路基礎上開始PPP操作過程的一種協議，它主要完成以下三個功能：１．一是獲悉點對點虛擬鏈路兩端的MAC地址。建立PPP會話（即點對點虛擬鏈路）。２．將PPP幀封裝為MAC幀。３．經過以太網將MAC幀從PPP會話一端傳輸到另一端。三、PPPoEPPP會話建立過程用于發現寬帶接入服務器。用于建立PPP會話。獲悉雙方的MAC地址。分配用于標識該PPP會話唯一的標識符：PPPID三、PPPoEPPP會話標識符的作用會話標識符區分共享同一個以太網的多對點對點連接三、PPPoEPPP幀封裝成MAC幀過程PPP幀經過基于以太網的PPP會話傳輸時，必須封裝成MAC幀。三、PPPoE四、ADSL路由器網橋工作方式ADSL路由器作為網橋設備。由寬帶接入服務器完成撥號接入的遠程用戶接入設備的功能，而非DSLAM。用戶終端和寬帶接入服務器之間通過PPPoE建立PPP會話；寬帶接入服務器通過PPP會話用PPP完成對用戶終端的接入控制。四、ADSL路由器網橋工作方式ADSL路由器和DSLAM作為網橋根據轉發表轉發MAC幀；終端和由寬帶接入服務器之間是包含ADSL路由器和DSLAM的交換路徑；用戶終端和寬帶接入服務器之間通過交換路徑完成封裝成MAC幀的PPP幀的傳輸；寬帶接入服務器等同于一個互連PPP會話和以太網的路由器。五、ADSL路由器的路由器功能ADSL路由器和寬帶接入服務器都實現路由器功能；ADSL路由器和寬帶接入服務器之間是PPP會話；寬帶接入服務器對ADSL路由器實現接入控制，并在路由表中建立將連接ADSL路由器的PPP會話和分配給ADSL路由器的IP地址綁定在一起的路由項。五、ADSL路由器的路由器功能內部IP地址全球IP地址地址轉換表中轉換項的生存期間等同于應用的會話存在期間，如TCP連接期間。五、ADSL路由器的路由器功能這是一個采用內部地址的局域網，ADSL路由器是它的默認網關，局域網內通信和ADSL路由器無關。ADLS路由器和寬帶接入服務器之間的傳輸通路由ATMPVC和以太網組成。它們之間通過PPPoE建立PPP會話，在PPP會話基礎上，完成認證和IP地址分配。建立PPP連接。終端通過以太網將數據傳輸給ADSL路由器，ADSL路由器通過PPP連接將數據傳輸給寬帶接入服務器，只是ADSL路由器和寬帶接入服務器之間傳輸通路是由以太網組成，因此，存在將PPP幀封裝成MAC幀的過程。五、ADSL路由器的路由器功能六、ADSL路由器作為橋設備和路由設備使用的不同之處

ADSL路由器作為網橋時，可以看做是一個以太網交換機；ADSL路由器作為路由器時，作為一個互連兩個以太網的路由器，內部網絡是本地網，分配本地IP地址，由ADSL路由器實現NAT功能，寬帶接入服務器對ADSL路由器實現接入控制，并為ADSL路由器分配全球IP地址。6.3以太網接入技術本講主要內容接入網結構PPP接入控制機制EPON引入以太網接入技術原因光纜價格的下降；光纖無中繼傳輸距離的提高（70km）；以太網交換設備的價格下降；以太網的速率優勢。一、接入網絡結構

一、接入網絡結構

終端接入速率為10Mbps或100Mbps仍然需要對接入用戶進行身份認證和IP地址分配。接入網絡的用戶之間沒有通信需求。以太網身份認證和IP地址分配機制PPP基于點對點鏈路分配IP地址DHCP身份認證802.1XWeb頁面PPP802.1X+DHCPWeb+DHCP一、接入網絡結構

二、PPP接入控制機制PPP幀基于點對點鏈路PPP會話提供點對點鏈路的傳輸功能以太網實現PPP會話兩端之間傳輸功能PPP會話PPP幀終端寬帶接入服務器點對點線路MAC幀終端寬帶接入服務器PPP幀通過PPPoE建立PPP會話。基于PPP會話進行PPP操作。PPP完成認證身份、分配IP地址功能。數據封裝成PPP幀，PPP幀封裝成MAC幀，經過以太網傳輸MAC幀。二、PPP接入控制機制IP分組封裝成PPP幀，PPP幀封裝成MAC幀，MAC幀中增加PPPoE的控制信息，因此，增加傳輸開銷。終端和寬帶接入服務器之間通過PPP完成身份認證和IP地址分配。重疊！PPP鏈路層封裝以太網MAC幀傳輸二、PPP接入控制機制三、EPON以太網無源光網絡（EPON）組成用戶側的光網絡單元（ONU）局側光線路終端（OLT）光分配網絡（ODN）

每一個接入EPON的ONU分配唯一的邏輯鏈路標識符（LLID），發送給ONU的幀攜帶LLID，雖然每一個ONU都接收到OLT廣播的幀，但每一個ONU只接收攜帶的LLID與分配給自己的LLID相同的幀。三、EPON

為了保證不發生沖突，每一個ONU只允許在分配給它的時隙發送數據，分配給不同ONU的時隙不允許重疊，由于不同距離有著不同的光信號傳播時延，因此，為ONU分配時隙時，必須考慮每一個ONU與OLT之間的距離。三、EPONOLT具有以下功能控制ONU接入；為每一個ONU分配唯一的LLID；為每一個ONU動態分配時隙；以廣播方式向ONU傳輸數據。三、EPONONU具有以下功能發起注冊過程；接收OLT廣播的數據；根據OLT分配的時隙發送數據；緩存發送給OLT的數據。

三、EPON自動發現過程三、EPON測距過程RTT＝（T3－T1）－（T2－T1）＝T3－T2三、EPON上行數據傳輸過程

三、EPON終端接入過程ONU注冊過程終端接入控制過程MAC幀傳輸過程

三、EPON以終端或路由器的MAC地址為源MAC地址、寬帶接入服務器的MAC地址為目的MAC地址的MAC幀；作為前導碼和幀定界符的4個字節用作LLID和用于對3～7字節檢錯的CRC8。三、EPON6.4無線局域網接入技術本講主要內容無線接入網結構安全機制一、無線接入網結構無線路由器通過以太網接入Internet；終端通過無線網絡接入無線路由器。二、安全機制無線局域網安全機制WEPWPAWPA-PSK

WEP主要提供加密和認證機制，可以加密終端間傳輸的數據，允許終端和AP交換數據前，由AP完成對終端的身份認證，通過認證的終端的MAC地址記錄在關聯表中，以后的數據交換過程中，MAC地址作為發送端的標識符。二、安全機制24位初始向量（IV）和40位（或104位）密鑰構成64位偽隨機數種子，產生數據長度＋4（單位字節）的一次性密鑰；數據的循環冗余檢驗碼（4個字節）作為數據的完整性檢驗值（ICV）用于檢測數據的完整性；一次性密鑰和數據及ICV進行異或運算，其結果作為密文；為了在發送端和接收端同步偽隨機數種子，以明文方式傳輸IV，由于偽隨機數種子由密鑰和IV組成，截獲IV并不能獲得偽隨機數種子。WEP加密過程二、安全機制用發送端以明文傳輸的IV和接收端保留的密鑰構成偽隨機數種子，產生一次性密鑰，如果接收端保留的密鑰和發送端相同，則接收端產生和發送端相同的一次性密鑰；用和密文相同長度的一次性密鑰異或密文，得到數據和4字節的ICV；根據數據計算出循環冗余檢驗碼，并與ICV比較，如果相同，表明數據傳輸過程未被篡改。WEP解密過程二、安全機制控制字段中的WEP標志位置1；凈荷字段中包含密文（數據和ICV與一次性密鑰異或運算后的結果）、IV、密鑰標識符，2位密鑰標識符允許發送端和接收端在4個密鑰中選擇一個密鑰作為偽隨機數種子的組成部分。二、安全機制確定終端是否是授權終端的唯一依據就是終端是否擁有和AP的密鑰；終端一旦通過認證，AP記錄下終端的MAC地址，以后，終端MAC地址就是授權終端發送的MAC幀的標識符。challenge是128字節長度的隨機數。密文＝（challenge‖ICV）⊕K；K是一次性密鑰，以IV和密鑰為偽隨機數種子生成的偽隨機數，其長度＝128＋4（單位字節）。二、安全機制共享密鑰認證機制的安全缺陷；一次性密鑰字典；完整性檢測缺陷。WEP安全缺陷起因于以下幾點：一是一次性密鑰和初始向量一一對應，發送端通過明文傳輸初始向量，且密文和明文的異或操作結果即是一次性密鑰；二是一次性密鑰的空間只有224，且偽隨機數生成器根據偽隨機數種子生成一次性密鑰機制使得各個一次性密鑰之間存在相關性；三是用循環冗余檢驗碼作為完整性檢測碼，容易實現同時篡改密文和加密后的ICV。二、安全機制兩端一次性密鑰K取決于明文IV。Y=P⊕K，很容易根據Y和P推出K=P⊕Y=P⊕P⊕K=K。IV不變，AP根據IV推出的一次性密鑰K不變，如果Y′=P′⊕K，AP認定黑客終端擁有共享密鑰。認證響應（P）認證請求（Y,IV）認證請求認證響應（P′）認證響應（Y′,IV）認證響應（成功）二、安全機制實現WPA鑒別過程的網絡結構鑒別服務器統一鑒別二、安全機制challenge1MD5(標識符‖challenge1‖PASSA）challenge2一旦注冊，認證服務器的認證數據庫中有用戶名和口令，同時，注冊用戶也被告知用戶名和口令，因此，用戶名和口令只有認證服務器和用戶知道；AP和認證服務器之間通信需要通過共享密鑰K認證發送端身份，因此，只有擁有和認證服務器之間共享密鑰的AP才是授權AP；一旦證明某個用戶擁有注冊用戶名和口令，該用戶就是注冊用戶，同樣，用戶一旦通過AP證明認證服務器知道用戶名和口令，也證明AP是授權AP。MD5(標識符‖challenge2‖PASSA）二、安全機制以終端和AP具有的主密鑰、雙方交換的隨機數AN和SN、終端和AP的MAC地址為偽隨機數種子生成過度密鑰；為了求證終端和AP生成相同的過度密鑰，