Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

接口封装概述

以下主题讨论物理封装、帧中继封装、点对点协议和高级数据链路控制概述的概述。

了解接口上的物理封装

封装是较低级别协议接受来自较高级别协议的消息并将其放置在较低级别帧的数据部分的过程。因此,通过物理网络传输的数据报具有一系列报头:第一个报头为物理网络(或数据链路层)协议,第二个报头为网络层协议(例如 IP),第三个报头为传输层协议,依此类推。

物理接口支持以下封装协议:

另见

了解接口上的帧中继封装

帧中继分组交换协议在网络的物理层和数据链路层运行,通过在主机之间创建虚拟电路来优化数据包传输。 图 1 显示了典型的帧中继网络。

图 1:帧中继网络 Network diagram illustrating Frame Relay Path with data transmission between endpoints A and B through a cloud of interconnected routers.

图 1 显示了从主机 A 到主机 B 的多条路径。在典型的路由网络中,流量在设备之间发送,每个设备根据自己的路由表做出路由决策。在数据包交换网络中,路径是预定义的。设备根据在设置虚拟电路时建立的预定下一跃点,在网络中交换数据包。

本主题包含以下部分:

虚拟电路

虚拟电路是网络中两台主机之间的双向路径。帧中继虚拟电路是通过呼叫建立机制或显式配置建立的两台主机之间的逻辑连接。

通过呼叫建立机制创建的虚拟电路称为交换式虚拟电路 (SVC)。通过显式配置创建的虚拟电路称为永久虚拟电路 (PVC)。

交换和永久虚拟电路

在通过 SVC 传输数据之前,ISDN 等信令协议必须通过网络交换设置消息来建立呼叫。建立连接后,数据将通过 SVC 传输。数据传输后,电路断开,连接断开。要在相同的两台主机之间传递其他流量,必须建立、维护和终止后续 SVC。

由于 PVC 是显式配置的,因此不需要设置和拆卸 SVC。只要主机准备好传输,就可以在 PVC 之间切换数据。SVC 在数据传输零星且不需要永久电路的网络中很有用。

数据链路连接标识符

已建立的虚拟电路由数据链路连接标识符 (DLCI) 标识。DLCI 是一个从 16 到 1022 的值。(保留值 1 到 15。DLCI 在本地唯一标识虚拟电路,以便设备可以将数据包切换到电路中相应的下一跳地址。通过同一传输设备的多个路径具有不同的 DLCI 和关联的下一跃点地址。

拥塞控制和丢弃资格

帧中继使用以下类型的拥塞通知来控制帧中继网络中的流量。两者都由帧中继标头中的单个位控制。

  • 正向显式拥塞通知 (FECN)

  • 反向显式拥塞通知 (BECN)

流量拥塞通常在设备上的缓冲区队列中定义。当队列达到预定义的饱和级别时,流量将被确定为拥塞。当虚拟电路中发生流量拥塞时,遇到拥塞的设备会将帧中继标头中的拥塞位设置为 1。因此,传输流量的 FECN 位设置为 1,同一虚拟电路上的返回流量的 BECN 位设置为 1。

当 FECN 和 BECN 位设置为 1 时,它们会向源设备和目标设备提供拥塞通知。设备可以通过以下两种方式之一做出响应:通过其他路由发送流量来控制电路上的流量,或者通过丢弃数据包来减少电路上的负载。

如果设备丢弃数据包作为拥塞(流)控制手段,则帧中继会使用丢弃资格 (DE) 位在丢弃决策中优先处理某些数据包。DE 值为 1 表示该帧的重要性低于其他帧,并且更有可能在拥塞期间被丢弃。未设置 DE 位的关键数据(如信令协议消息)不太可能被丢弃。

了解点对点协议

点对点协议 (PPP) 是一种用于通过点对点链路传输 IP 流量的封装协议。PPP 由三个主要组件组成:

  • 链路控制协议 (LCP) — 在两点之间建立工作连接。

  • 身份验证协议 — 启用两点之间的安全连接。

  • 网络控制协议 (NCP) — 初始化 PPP 协议堆栈以处理多个网络层协议,例如 IPv4、IPv6 和无连接网络协议 (CLNP)。

本主题包含以下部分:

链路控制协议

LCP 负责建立、维护和断开两个端点之间的连接。LCP 还会测试链路并确定其是否处于活动状态。LCP 建立点对点连接,如下所示:

  1. LCP 必须首先检测每个端点上的时钟信号。但是,由于时钟信号可以由网络时钟生成并与网络上的设备共享,因此时钟信号的存在只是链路可能正常工作的初步指示。

  2. 检测到时钟信号时,PPP 主机开始传输 PPP 配置请求数据包。

  3. 如果点对点链路上的远程端点收到 Configure-Request 数据包,则会向请求源传输 Configure-Acknowledgement 数据包。

  4. 收到确认后,发起终结点将链路标识为已建立。同时,远程端点发送自己的请求数据包并处理确认数据包。在一个正常运行的网络中,两个端点都将连接视为已建立。

在建立连接期间,LCP 还会协商 FCS 和 HDLC 成帧等连接参数。默认情况下,PPP 使用 16 位 FCS,但您可以将 PPP 配置为使用 32 位 FCS 或 0 位 FCS(无 FCS)。或者,您可以在 PPP 连接中启用 HDLC 封装。

建立连接后,PPP 主机会生成 Echo-Request 和 Echo-Response 数据包以保持 PPP 链路。

PPP 身份验证

PPP 的身份验证层使用协议来帮助确保 PPP 链路的端点是有效的设备。身份验证协议包括密码身份验证协议 (PAP)、可扩展身份验证协议 (EAP) 和质询握手身份验证协议 (CHAP)。CHAP 是最常用的。

注意:

RFC 2486 支持用户 ID 和密码以符合完整的 ASCII 字符集。

用户可以在 PPP 选项下启用或禁用 RFC 2486 支持。RFC 2486 默认处于禁用状态,并使用命令 set access ppp-options compliance rfc 2486“.

CHAP 可确保跨 PPP 链路的安全连接。LCP 建立 PPP 链路后,链路任一端的 PPP 主机将发起三次 CHAP 握手。在双方将 PPP 链路识别为已建立之前,需要分别进行两次 CHAP 握手。

CHAP 配置要求 PPP 链路上的每个端点使用共享密钥(密码)来验证质询。共享密钥永远不会通过有线传输。相反,PPP 连接上的主机会交换信息,使双方能够确定它们共享相同的机密。挑战包括一个根据密钥计算出的哈希函数、一个数字标识符和一个随机选择的挑战值,该值会随着每次挑战而变化。如果响应值与质询值匹配,则身份验证成功。由于密钥永远不会传输,并且需要计算质询响应,因此 CHAP 被认为是非常安全的。

PAP 身份验证协议使用简单的双向握手来建立身份。PAP 在链路建立阶段(LCP 启动)之后的身份验证阶段使用 PAP。Junos OS 可以在一个方向(出口或入口)上支持 PAP,在另一个方向上支持 CHAP。

网络控制协议

认证完成后,PPP连接完全建立。此时,任何更高级别的协议(例如,IP 协议)都可以初始化并执行自己的协商和身份验证。

PPP NCP 包括对以下协议的支持。IPCP 和 IPv6CP 是 SRX 系列防火墙上使用最广泛的方法。

  • IPCP—IP 控制协议

  • IPv6CP—IPv6 控制协议

  • OSINLCP — OSI 网络层控制协议(包括 IS-IS、ES-IS、CLNP 和 IDRP)

魔数

运行 PPP 的主机可以创建“神奇”数字来诊断连接的运行状况。PPP 主机生成一个随机的 32 位数字,并在 LCP 协商和回显交换期间将其发送到远程端点。

在典型的网络中,每台主机的幻数是不同的。LCP 消息中的魔数不匹配会通知主机连接未处于环路模式,并且正在双向交换流量。如果 LCP 消息中的幻数与配置的幻数相同,则主机将确定连接处于环路模式,并将流量环路回传输主机。

将流量环路返回始发主机是诊断主机和环路位置之间网络运行状况的一种重要方法。为了实现环路测试,电信设备通常支持信道服务单元/数据服务单元 (CSU/DSU) 设备。

CSU/DSU 设备

通道服务单元 (CSU) 将终端连接到数字线路。数据服务单元 (DSU) 对电信线路执行保护和诊断功能。通常,这两台设备打包为单个单元。T1 或 T3 连接的两端都需要一个 CSU/DSU 设备,并且两端的单元必须设置为相同的通信标准。

CSU/DSU 设备允许沿链路发送的帧环回始发主机。接收到传输的帧表示链路在环回点之前工作正常。通过将 CSU/DSU 设备配置为在连接中的不同点回环,网络运营商可以对电路中的各个分段进行诊断和故障排除。