《接入網(wǎng)技術(shù)》課件第3章 以太網(wǎng)技術(shù)

第3章以太網(wǎng)接入技術(shù)以太網(wǎng)接入技術(shù)概述以太網(wǎng)接入關(guān)鍵技術(shù)以太網(wǎng)接入技術(shù)管理第三章以太網(wǎng)接入技術(shù)局域網(wǎng)以太網(wǎng)概念以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)一以太網(wǎng)接入技術(shù)概述局域網(wǎng)以太網(wǎng)概念

1973年，美國(guó)施樂(lè)公司（Xerox）鮑勃.梅特卡夫開(kāi)發(fā)出了以太網(wǎng)（Ethernet）技術(shù)。1977年，鮑勃.梅特卡夫和他的位合作者人獲得了以太網(wǎng)的專(zhuān)利《具有沖突檢測(cè)的多點(diǎn)數(shù)據(jù)通信系統(tǒng)》（CSMA/CD）1982年，以太網(wǎng)成為了IEEE802標(biāo)準(zhǔn)。1983年，IEEE802.3工作組發(fā)布10BASE-5以太網(wǎng)標(biāo)準(zhǔn)。1995年IEEE通過(guò)了IEEE802.3z標(biāo)準(zhǔn)，以太網(wǎng)的傳輸速率達(dá)到100Mbit/s。1998年吉比特標(biāo)準(zhǔn)發(fā)布；2002年，IEEE頒布10G以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3ae。2010年，40G/100G標(biāo)準(zhǔn)IEEE802.3bg頒布。2013年，400Gbit/s以太網(wǎng)標(biāo)準(zhǔn)工作組成立。局域網(wǎng)以太網(wǎng)概念

局域網(wǎng)（LAN)是將分散在有限地理范圍內(nèi)（如一棟大樓，一個(gè)部門(mén)）的多臺(tái)計(jì)算機(jī)通過(guò)傳輸媒體連接起來(lái)的通信網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)軟件，實(shí)現(xiàn)計(jì)算機(jī)之間的相互通信和共享資源。局域網(wǎng)以太網(wǎng)概念以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)1、標(biāo)準(zhǔn)以太網(wǎng)在IEEE802.3標(biāo)準(zhǔn)中，根據(jù)不同的傳輸介質(zhì)規(guī)定了不同的物理層標(biāo)準(zhǔn)。標(biāo)準(zhǔn)名稱(chēng)分為三個(gè)部分，其中第一部分?jǐn)?shù)字表示信號(hào)的傳輸速率，單位是Mbps；第二部分Base表示接入網(wǎng)絡(luò)傳輸模式采用的是基帶傳輸，其物理介質(zhì)可以同時(shí)支持以太網(wǎng)和其他非以太網(wǎng)的服務(wù)；第三部分是數(shù)字，則表示網(wǎng)線(xiàn)的長(zhǎng)度（單位是100米），第三部分是字母，則表示以太網(wǎng)使用的傳輸介質(zhì)，“T”表示雙絞線(xiàn)電纜，“F”表示光纖。常用的的標(biāo)準(zhǔn)以太網(wǎng)傳輸線(xiàn)纜如下：10Base-5表示粗同軸電纜，傳輸速率為10Mbit/s傳輸距離為500米10Base-2表示細(xì)同軸電纜，傳輸速率為10Mbit/s傳輸距離為200米10Base-T表示雙絞線(xiàn)電纜，傳輸速率為10Mbit/s傳輸距離為100米10Base-F表示光纖，傳輸速率為10Mbit/s傳輸距離2千米。以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)2、快速以太網(wǎng)1995年IEEE為100BASE-T制定了快速以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3u，是對(duì)IEEE802.3的補(bǔ)充。其特點(diǎn)是繼承了802.3的MAC訪(fǎng)問(wèn)控制技術(shù)（CSMA/CD）、幀格式、接口以及退避算法，僅是將傳輸速度從l0Mbit/s提高到100Mbit/s，并減少了等待ACK幀的時(shí)間。100BASE-T不但可以以半雙工的工作方式工作，支持CSMA/CD協(xié)議，而且還可以以全雙工方式工作。用戶(hù)它可以直接利用原有的線(xiàn)纜設(shè)施，實(shí)現(xiàn)l0Mbit/s與100Mbit/s的自適應(yīng)。

快速以太網(wǎng)標(biāo)準(zhǔn)分為100Base-TX、100Base-FX、100Base-T4等三個(gè)子類(lèi)。具體情況如下：100Base-TX表示使用兩類(lèi)非屏蔽雙絞線(xiàn)（UTP）或兩對(duì)一類(lèi)屏蔽雙絞線(xiàn)，傳輸距離為100米；100BASE-T4表示使用四對(duì)三、四或五類(lèi)非屏蔽雙絞線(xiàn)（UTP）,傳輸距離為100米；100BASE-FX表示使用多模光纖（MMF）線(xiàn)纜，傳輸距離為2千米；單模光纖

使用單模光纖（SMF）線(xiàn)纜，傳輸距離為15千米以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)3、吉比特以太網(wǎng)

吉比特以太網(wǎng)是建立在以太網(wǎng)標(biāo)準(zhǔn)基礎(chǔ)之上的技術(shù)。吉比特以太網(wǎng)和大量使用的以太網(wǎng)與快速以太網(wǎng)完全兼容，并利用了原以太網(wǎng)標(biāo)準(zhǔn)所規(guī)定的全部技術(shù)規(guī)范，其中包括CSMA/CD協(xié)議、以太N幀、全雙工、流量控制。吉比特以太網(wǎng)傳輸速率達(dá)到1Gbit/s，其標(biāo)準(zhǔn)為IEEE802.3ab（雙絞線(xiàn)）和IEEE802.3z（銅纜與光纖）以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)吉比特以太網(wǎng)標(biāo)準(zhǔn)傳輸線(xiàn)纜如下：1000BASE-T使用五類(lèi)非屏蔽雙絞線(xiàn)，傳輸距離100米1000BASE-CX使用屏蔽類(lèi)雙絞線(xiàn)（STP），傳輸距離25米1000BASE-LX使用單模光纖，傳輸距離可達(dá)3千米1000BASE-SX使用多模光纖，傳輸距離300米至550米以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)4．萬(wàn)兆以太網(wǎng)萬(wàn)兆以太網(wǎng)也被稱(chēng)為十吉比特以太網(wǎng)，1999年，IEEE成立了髙速研究組HSSG，致力于10Gbit/s以太網(wǎng)的研究。2002年正式發(fā)布10Gbit/s以太網(wǎng)的標(biāo)準(zhǔn)IEEE802.3ae。A基于光纖的萬(wàn)兆以太網(wǎng)（1）10GBase-SR（2）10GBase-LR（3）10GBase-LRM（4）10GBase-ER（5）10GBase-LX4B基于雙絞線(xiàn)（六類(lèi)以上）的萬(wàn)兆以太網(wǎng)（1）10GBase-CX4（2）10GBase-KX4（3）10GBase-KR（4）10GBase-T以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)4．萬(wàn)兆以太網(wǎng)的兩種物理層10Gbit/s局域網(wǎng)以太網(wǎng)物理層的特點(diǎn)：支持802.3MAC全雙工工作方式，MAC時(shí)鐘可選擇工作在1Gbit/s方式下或10Gbit/s方式下，允許以太網(wǎng)復(fù)用設(shè)備同時(shí)攜帶10路1Gbit/s信號(hào)。幀格式與以太網(wǎng)的幀格式一致，工作速率為l0Gbit/s。10Gbit/s局域網(wǎng)可用最小的代價(jià)升級(jí)現(xiàn)有的局域網(wǎng)，并與l0/l00/l000Mbit/s兼容，使局域網(wǎng)的網(wǎng)絡(luò)范圍最大達(dá)到40km。以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)4．萬(wàn)兆以太網(wǎng)的兩種物理層10Gbit/s局域網(wǎng)以太網(wǎng)物理層的特點(diǎn)：支持802.3MAC全雙工工作方式，MAC時(shí)鐘可選擇工作在1Gbit/s方式下或10Gbit/s方式下，允許以太網(wǎng)復(fù)用設(shè)備同時(shí)攜帶10路1Gbit/s信號(hào)。幀格式與以太網(wǎng)的幀格式一致，工作速率為l0Gbit/s。10Gbit/s局域網(wǎng)可用最小的代價(jià)升級(jí)現(xiàn)有的局域網(wǎng)，并與l0/l00/l000Mbit/s兼容，使局域網(wǎng)的網(wǎng)絡(luò)范圍最大達(dá)到40km。以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)以太網(wǎng)技術(shù)的標(biāo)準(zhǔn)及分類(lèi)5、下一代以太網(wǎng)技術(shù)為了保證以太網(wǎng)能夠更高效更經(jīng)濟(jì)的滿(mǎn)足未來(lái)不斷增長(zhǎng)的各種業(yè)務(wù)的需求，IEEE802.3起草了下一代的以太網(wǎng)技術(shù)標(biāo)準(zhǔn)，即IEEE802.3ba，IEEE802.3bg、IEEE802.3bj，其中包含了40Gbit/s和100Gbit/s的傳輸速度，主要面向服務(wù)器和網(wǎng)絡(luò)方面不同的需求。40Gbit/s的傳輸速度主要應(yīng)用于計(jì)算機(jī)應(yīng)用，100Gbit/s的傳輸速度則主要面向核心網(wǎng)和匯接方面的應(yīng)用CSMA/CD帶沖突檢測(cè)的載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)STP生成樹(shù)協(xié)議虛擬以太網(wǎng)以太網(wǎng)端口的類(lèi)型二以太網(wǎng)接入關(guān)鍵技術(shù)

CSMA/CD帶沖突檢測(cè)的載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)“CSMA/CD帶沖突檢測(cè)的載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)”的定義

帶沖突檢測(cè)的載波偵聽(tīng)多路訪(fǎng)問(wèn)（CarrierSenseMultipleAccess/collisiondetection，CSMA/CD）技術(shù)是一種能比較有效解決現(xiàn)場(chǎng)總線(xiàn)型網(wǎng)絡(luò)中介質(zhì)爭(zhēng)用的技術(shù)。CSMA/CD的工作原理：發(fā)送數(shù)據(jù)前，計(jì)算機(jī)先要偵聽(tīng)需要要訪(fǎng)問(wèn)的共享網(wǎng)絡(luò)的介質(zhì)是否空閑，若空閑，則立即發(fā)送數(shù)據(jù)。若傳輸介質(zhì)忙碌，則等待一段時(shí)間至信道中的信息傳輸結(jié)束后再發(fā)送數(shù)據(jù)；若在上一段信息發(fā)送結(jié)束后，同時(shí)有兩個(gè)或兩個(gè)以上的節(jié)點(diǎn)都提出發(fā)送請(qǐng)求，則判定為沖突。若偵聽(tīng)到?jīng)_突，則立即停止發(fā)送數(shù)據(jù)，等待一段隨機(jī)時(shí)間，再重新嘗試。

“CSMA/CD帶沖突檢測(cè)的載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)”控制過(guò)程CSMA/CD協(xié)議的核心問(wèn)題是，解決在公共信道上以廣播方式傳送數(shù)據(jù)中可能出現(xiàn)的數(shù)據(jù)碰撞問(wèn)題，其控制過(guò)程包括：監(jiān)聽(tīng)-發(fā)送-檢測(cè)-沖突處理。監(jiān)聽(tīng)發(fā)送檢測(cè)沖突處理

CSMA/CD帶沖突檢測(cè)的載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)STP生成樹(shù)協(xié)議STP生成樹(shù)協(xié)議的定義為了解決網(wǎng)絡(luò)中的環(huán)路問(wèn)題，我們把在一個(gè)網(wǎng)絡(luò)中的所有交換機(jī)都運(yùn)行STP（SpanningTreeProtocol）生成樹(shù)協(xié)議。STP協(xié)議在交換機(jī)間定時(shí)傳遞一種特殊的協(xié)議報(bào)文，以獲取整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并按照樹(shù)的結(jié)構(gòu)來(lái)構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路的存在而造成廣播風(fēng)暴問(wèn)題。生成樹(shù)協(xié)議的目的是維護(hù)一個(gè)無(wú)回路的網(wǎng)絡(luò)，當(dāng)一個(gè)設(shè)備識(shí)別一個(gè)拓?fù)浠芈?、阻塞一個(gè)或多個(gè)冗余端口時(shí)，無(wú)回路即將完成。

STP生成樹(shù)協(xié)議-BPDUSTP協(xié)議在交換機(jī)之間交換的特定的息幀稱(chēng)為BPDU（BridgeProtocolDataUnit），即網(wǎng)橋協(xié)議數(shù)據(jù)單元，BPDU是一種生成樹(shù)協(xié)議問(wèn)候數(shù)據(jù)包，它可以配置的間隔發(fā)出，用來(lái)在網(wǎng)絡(luò)的網(wǎng)橋間進(jìn)行信息交換。BPDU分為兩種類(lèi)型：一種是配置（Configuration）BPDU，另一種是拓?fù)涓淖兺ㄖ═CN）BPDU。

正常情況下，交換機(jī)只會(huì)從它的RootPort上接收configurationBPDU包，而不會(huì)主動(dòng)發(fā)送拓?fù)涓淖兺ㄖ═CN）BPDU，當(dāng)一臺(tái)交換機(jī)檢測(cè)到拓?fù)渥兓螅涂梢园l(fā)送TCN給rootbridge，注意TCN是通過(guò)rootport向rootbridge方向發(fā)出的。當(dāng)交換機(jī)從它的designateport接收到TCN類(lèi)BPDU時(shí)，它必須為其做轉(zhuǎn)發(fā)，從它自已的rootport上發(fā)送出去TCN類(lèi)型的BPDU包，這樣一級(jí)一級(jí)地傳到rootbridge后，TCN的任務(wù)才算完成。當(dāng)TCN傳遍全網(wǎng)，直至到達(dá)ROOTBRIDGE后，rootbridge也要做出一種回應(yīng)，它會(huì)發(fā)出一個(gè)正常的configurationBPDU包，直至傳遍全網(wǎng)，所有交換機(jī)都得知拓?fù)渥兓癁橹埂TP生成樹(shù)協(xié)議

虛擬以太網(wǎng)虛擬局域網(wǎng)-定義VLAN是對(duì)連接到的二層交換機(jī)端口的網(wǎng)絡(luò)用戶(hù)的邏輯分段，不受網(wǎng)絡(luò)用戶(hù)的物理位置限制而根據(jù)用戶(hù)需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶(hù)的位置、作用、部門(mén)或者根據(jù)網(wǎng)絡(luò)用戶(hù)所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。

虛擬局域網(wǎng)-VLAN劃分

為了防止這種“廣播風(fēng)暴”的發(fā)生，我們將整個(gè)局域網(wǎng)劃分為多個(gè)邏輯上互相獨(dú)立的VLAN，每一個(gè)VLAN都有一個(gè)屬于自己的VLAN標(biāo)示（VLANID），所要傳送的數(shù)據(jù)只有在相同的VLANID內(nèi)，設(shè)備才能互相通信，不同的VLANID下的設(shè)備是不能進(jìn)行互相通信。虛擬局域網(wǎng)結(jié)構(gòu)如有圖所示。

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于端口劃分VLAN

這種劃分VLAN的方法是基于以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，也被稱(chēng)為“靜態(tài)VLAN”，允許VLAN內(nèi)部各端口之間的通信它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于端口劃分VLAN

對(duì)于不同部門(mén)需要互訪(fǎng)時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過(guò)濾。對(duì)某站點(diǎn)的訪(fǎng)問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于MAC地址的不同劃分VLAN

這種劃分VLAN的方法是基于每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于MAC地址的不同劃分VLAN

它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLANMAC的地址。即當(dāng)網(wǎng)絡(luò)用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，VLAN自動(dòng)保留其所屬VLAN的成員身份。這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，因?yàn)樗腔谟脩?hù)，而不是基于交換機(jī)的端口。這種配置方式的缺點(diǎn)也是明顯的，初始化時(shí)，所有的用戶(hù)都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà)，配置任務(wù)是非常繁重的，所以這種劃分的方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶(hù)的MAC地址，查詢(xún)起來(lái)相當(dāng)不容易。另外，對(duì)于使用筆記本電腦的用戶(hù)來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于IP子網(wǎng)劃分VLAN

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于網(wǎng)絡(luò)協(xié)議劃分VLAN

虛擬以太網(wǎng)虛擬局域網(wǎng)-基于網(wǎng)絡(luò)協(xié)議劃分VLAN

基于網(wǎng)絡(luò)協(xié)議劃分VLAN的方法是根據(jù)二層數(shù)據(jù)幀中協(xié)議字段進(jìn)行VLAN劃分的，可分為IP、IPX、DECner、AppleTalK、Banyan等VLAN網(wǎng)絡(luò)?；诰W(wǎng)絡(luò)協(xié)議劃分的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。優(yōu)點(diǎn)是用戶(hù)的物理位置改變了，不需要重新配置所屬的VLAN，而且可以基于協(xié)議類(lèi)型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要。不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的。

虛擬以太網(wǎng)

以太網(wǎng)端口的類(lèi)型虛擬局域網(wǎng)-以太網(wǎng)端口的類(lèi)型

UNTAGTAGAccess（訪(fǎng)問(wèn)）端口：只能屬于一個(gè)vlan，一般情況下一端連接的是計(jì)算機(jī)Trunk（干道）端口：可以允許多個(gè)vlan通過(guò)，可以接受并轉(zhuǎn)發(fā)多個(gè)vlan的報(bào)文一般作用于交換機(jī)之間連接的端口Hybrid（混合）端口：Hybrid類(lèi)型的端口跟trunk類(lèi)型的端口很相似，跟trunk端口不同的是，Hybrid端口可以允許多個(gè)vlan發(fā)送時(shí)不打標(biāo)簽，而trunk端口只允許缺省vlan的報(bào)文發(fā)送時(shí)不打標(biāo)簽QinQ端口：雙層VLAN標(biāo)簽，支持多達(dá)4094×4094個(gè)VLAN。用戶(hù)廣播隔離管理IP地址管理業(yè)務(wù)控制管理

三以太網(wǎng)接入技術(shù)管理用戶(hù)廣播隔離管理1、以太網(wǎng)接入技術(shù)管理-用戶(hù)廣播隔離管理

基于VLAN劃分的用戶(hù)廣播隔離基本VLANPVLANQinQMAC地址過(guò)濾源MAC地址過(guò)濾目的MAC地址過(guò)濾廣播流向制定

IP地址管理以太網(wǎng)接入技術(shù)管理-IP地址管理

靜態(tài)分配地址方式動(dòng)態(tài)分配地址方式網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)器代理方式。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。因此我們可以認(rèn)為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問(wèn)題。NAT有三種類(lèi)型：靜態(tài)NAT(StaticNAT)動(dòng)態(tài)地址NAT(PooledNAT)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）

IP地址管理以太網(wǎng)接入技術(shù)管理-IP地址管理

以太網(wǎng)接入技術(shù)管理-IP地址管理

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。因此我們可以認(rèn)為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問(wèn)題。NAT有三種類(lèi)型：靜態(tài)NAT(StaticNAT)動(dòng)態(tài)地址NAT(PooledNAT)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）

IP地址管理

業(yè)務(wù)控制管理

以太網(wǎng)接入之業(yè)務(wù)控制管理

接入帶寬的控制接入服務(wù)的質(zhì)量保證用戶(hù)接入認(rèn)證和計(jì)費(fèi)策略（AAA）PPPoE認(rèn)證技術(shù)WEB認(rèn)證技術(shù)802.1x認(rèn)證技術(shù)

PPPoE認(rèn)證技術(shù)工作過(guò)程：PPPoE的建立需要兩個(gè)階段，首先是搜索階段（Discoverystage），其次是點(diǎn)對(duì)點(diǎn)對(duì)話(huà)階段（PPPSessionstage）。工作過(guò)程如下：1、Host發(fā)二層廣播包，等待AccessConcentrator響應(yīng)；2、AccessConcentrator/Concentrators（一個(gè)或多個(gè)）收到廣播后，若能提供（Offer）所需Service，發(fā)Offer響應(yīng)包給原Host；3、Host收到Offer響應(yīng)后，根據(jù)一定的原則（由具體實(shí)現(xiàn)決定）挑選出一個(gè)AccessConcentrator，向其發(fā)出Request包；4、被選中的AccessConcentrator收到Request包后，產(chǎn)生一個(gè)唯一的SessionID，將其返回給Host。隨后進(jìn)入了PPPSession階段。經(jīng)過(guò)LCP過(guò)程請(qǐng)求RADIUS認(rèn)證、授權(quán)后，建立起PPP連接，即可傳送PPP數(shù)據(jù)（PPP封裝IP、Ethernet封裝PPP）。，一旦點(diǎn)對(duì)點(diǎn)對(duì)話(huà)建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話(huà)階段虛擬接口提供資源。

業(yè)務(wù)控制管理

WEB技術(shù)認(rèn)證WEB認(rèn)證需要與DHCPServer和Portalserver配合使用，WEB認(rèn)證的主要過(guò)程描述如下：（1）用戶(hù)機(jī)器上電啟動(dòng)，系統(tǒng)程序根據(jù)配置，通過(guò)DHCP由BAS做DHCP-Relay，向DHCPServer要IP地址（私網(wǎng)或公網(wǎng)）；（2）BAS為該用戶(hù)構(gòu)造對(duì)應(yīng)表項(xiàng)信息（基于端口號(hào)、IP），添加用戶(hù)ACL服務(wù)策略（讓用戶(hù)只能訪(fǎng)問(wèn)portalserver和一些內(nèi)部服務(wù)器，個(gè)別外部服務(wù)器如DNS）；（3）Portalserver向用戶(hù)提供認(rèn)證頁(yè)面，在該頁(yè)面中，用戶(hù)輸入帳號(hào)和口令，并單擊"login"按鈕，也可不輸入由帳號(hào)和口令，直接單擊"Login"按鈕；（4）該按鈕啟動(dòng)portalserver上的Java程序，該程序?qū)⒂脩?hù)信息（IP地址，帳號(hào)和口令）送給網(wǎng)絡(luò)中心設(shè)備BAS；（5）BAS利用IP地址得到用戶(hù)的二層地址、物理端口號(hào)（如VlanID,ADSLPVCID，PPPsessionID），利用這些信息，對(duì)用戶(hù)的合法性進(jìn)行檢查，如果用戶(hù)輸入了帳號(hào)，則認(rèn)為是卡號(hào)用戶(hù)，使用用戶(hù)輸入的帳號(hào)和口令到Radiusserver對(duì)用戶(hù)進(jìn)行認(rèn)證，如果用戶(hù)未輸入帳號(hào)，則認(rèn)為用戶(hù)是固定用戶(hù)，網(wǎng)絡(luò)設(shè)備利用VlanID（或PVCID）查用戶(hù)表得到用戶(hù)的帳號(hào)和口令，將帳號(hào)送到Radiusserver進(jìn)行認(rèn)證；（6）RadiusServer返回認(rèn)證結(jié)果給BAS；（7）認(rèn)證通過(guò)后，BAS修改該用戶(hù)的ACL，用戶(hù)可以訪(fǎng)問(wèn)外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)；（8）用戶(hù)離開(kāi)網(wǎng)絡(luò)前，連接到portalserver上，單擊"斷開(kāi)網(wǎng)絡(luò)"按鈕，系統(tǒng)停止計(jì)費(fèi)，刪除用戶(hù)的ACL和轉(zhuǎn)發(fā)信息，限制用戶(hù)不能訪(fǎng)問(wèn)外部網(wǎng)絡(luò)；

業(yè)務(wù)控制管理

802.1X認(rèn)證（1）用戶(hù)開(kāi)機(jī)后，通過(guò)802.1x客戶(hù)端軟件發(fā)起請(qǐng)求，查詢(xún)網(wǎng)絡(luò)上能處理EAPOL（EAPOverLAN）數(shù)據(jù)包的設(shè)備，如果某臺(tái)驗(yàn)證設(shè)備能處理EAPOL數(shù)據(jù)包，就會(huì)向客戶(hù)端發(fā)送響應(yīng)包并要求用戶(hù)提供合法的身份標(biāo)識(shí)，如用戶(hù)名、密碼；（2）客戶(hù)端收到驗(yàn)證設(shè)備的響應(yīng)后，會(huì)提供身份標(biāo)識(shí)給驗(yàn)證設(shè)備，由于此時(shí)客戶(hù)端還未經(jīng)過(guò)驗(yàn)證，因此認(rèn)證流只能從驗(yàn)證設(shè)備的未受控的邏輯端口經(jīng)過(guò)。驗(yàn)證設(shè)備通過(guò)EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證；（3）如果認(rèn)證通過(guò)，則認(rèn)證系統(tǒng)的受控邏輯端口打開(kāi)；（4）客戶(hù)端軟件發(fā)起DHCP請(qǐng)求，經(jīng)認(rèn)證設(shè)備轉(zhuǎn)發(fā)到DHCPServer；（5）DHCPServer為用戶(hù)分配IP地址；（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)，認(rèn)證系統(tǒng)記錄用戶(hù)的相關(guān)信息，如MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪(fǎng)問(wèn)列表，以限制用戶(hù)的權(quán)限；（7）當(dāng)認(rèn)證設(shè)備檢測(cè)到用戶(hù)的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開(kāi)始對(duì)用戶(hù)計(jì)費(fèi)；（8）如果用戶(hù)要下網(wǎng)，可以通過(guò)客戶(hù)端軟件發(fā)起LogOff過(guò)程，認(rèn)證設(shè)備檢測(cè)到該該數(shù)據(jù)包后，會(huì)通知AAA服務(wù)器停止計(jì)費(fèi)，并刪除用戶(hù)的相關(guān)信息（MAC/IP），受控邏輯端口關(guān)閉，用戶(hù)進(jìn)入再認(rèn)證狀態(tài)；（9）驗(yàn)證設(shè)備會(huì)通過(guò)定期的檢測(cè)來(lái)保證鏈路的