Schnittstellenkapselung – Übersicht
In den folgenden Themen wird die Übersicht über die physische Kapselung, die Kapselung von Rahmenrelais, das Punkt-zu-Punkt-Protokoll und die allgemeine Datenverbindungssteuerung erläutert.
Grundlegendes zur physischen Kapselung an einer Schnittstelle
Kapselung ist der Prozess, bei dem ein Protokoll auf niedrigerer Ebene eine Nachricht von einem Protokoll auf höherer Ebene akzeptiert und sie im Datenteil des Frames der niedrigeren Ebene platziert. Daher weisen Datagramme, die über ein physisches Netzwerk übertragen werden, eine Reihe von Headern auf: den ersten Header für das physische Netzwerkprotokoll (oder das Daten-Link-Layer-Protokoll), den zweiten Header für das Netzwerkschicht-Protokoll (z. B. IP), den dritten Header für das Transportschicht-Protokoll usw.
Die folgenden Kapselungsprotokolle werden auf physischen Schnittstellen unterstützt:
Kapselung von Frame Relay. Weitere Informationen finden Sie unter Grundlegendes zur Frame-Relay-Kapselung auf einer Schnittstelle.
Punkt-zu-Punkt-Protokoll. Weitere Informationen finden Sie unter Grundlegendes zum Point-to-Point-Protokoll.
Punkt-zu-Punkt-Protokoll über Ethernet. Weitere Informationen finden Sie unter Grundlegendes zum Point-to-Point-Protokoll über Ethernet.
Steuerung von Datenverbindungen auf hoher Ebene. Weitere Informationen finden Sie unter Grundlegendes zur allgemeinen Datenverknüpfungssteuerung.
Siehe auch
Grundlegendes zur Kapselung von Frame Relay an einer Schnittstelle
Das Frame Relay-Paketvermittlungsprotokoll arbeitet auf der physischen Schicht und dem Daten-Link-Layer in einem Netzwerk, um Paketübertragungen durch Erstellung virtueller Verbindungen zwischen Hosts zu optimieren. Abbildung 1 zeigt ein typisches Frame Relay-Netzwerk.
Abbildung 1 zeigt mehrere Pfade von Host A zu Host B. In einem typischen gerouteten Netzwerk wird der Datenverkehr von Gerät zu Gerät gesendet, wobei jedes Gerät Routing-Entscheidungen auf der Grundlage seiner eigenen Routing-Tabelle trifft. In einem paketvermittelten Netzwerk sind die Pfade vordefiniert. Geräte schalten ein Paket durch das Netzwerk gemäß vorgegebenen nächsten Hops, die beim Einrichten der virtuellen Verbindung festgelegt wurden.
Dieses Thema enthält die folgenden Abschnitte:
- Virtuelle Leitungen
- Geschaltete und permanente virtuelle Schaltungen
- Data-Link-Verbindungsidentifikatoren
- Überlastungskontrolle und Rückwurfberechtigung
Virtuelle Leitungen
Ein Virtual Circuit ist ein bidirektionaler Pfad zwischen zwei Hosts in einem Netzwerk. Frame Relay Virtual Circuits sind logische Verbindungen zwischen zwei Hosts, die entweder durch einen Call-Setup-Mechanismus oder durch eine explizite Konfiguration hergestellt werden.
Eine virtuelle Verbindung, die durch einen Anrufaufbaumechanismus erstellt wird, wird als Switched Virtual Circuit (SVC) bezeichnet. Eine virtuelle Verbindung, die durch eine explizite Konfiguration erstellt wird, wird als permanente virtuelle Verbindung (PVC) bezeichnet.
Geschaltete und permanente virtuelle Schaltungen
Bevor Daten über einen SVC übertragen werden können, muss ein Signalisierungsprotokoll wie ISDN einen Anruf aufbauen, indem Setup-Nachrichten über das Netzwerk ausgetauscht werden. Wenn eine Verbindung hergestellt wird, werden Daten über das SVC übertragen. Nach der Datenübertragung wird die Schaltung abgerissen und die Verbindung geht verloren. Damit zusätzlicher Datenverkehr zwischen denselben beiden Hosts übertragen werden kann, muss ein nachfolgender SVC eingerichtet, gewartet und beendet werden.
Da PVCs explizit konfiguriert sind, ist kein Auf- und Abbau von SVCs erforderlich. Daten können über das PVC geschaltet werden, wenn ein Host zum Senden bereit ist. SVCs sind nützlich in Netzwerken, in denen die Datenübertragung sporadisch erfolgt und keine permanente Schaltung erforderlich ist.
Data-Link-Verbindungsidentifikatoren
Eine eingerichtete virtuelle Verbindung wird durch einen Data-Link Connection Identifier (DLCI) identifiziert. Der DLCI ist ein Wert zwischen 16 und 1022. (Die Werte 1 bis 15 sind reserviert.) Die DLCI identifiziert eine virtuelle Verbindung eindeutig lokal, sodass Geräte Pakete an die entsprechende Next-Hop-Adresse in der Verbindung weiterleiten können. Mehrere Pfade, die über dieselben Transitgeräte verlaufen, haben unterschiedliche DLCIs und zugeordnete Next-Hop-Adressen.
Überlastungskontrolle und Rückwurfberechtigung
Frame Relay verwendet die folgenden Arten von Überlastungsbenachrichtigungen, um den Datenverkehr innerhalb eines Frame Relay-Netzwerks zu steuern. Beide werden durch ein einzelnes Bit im Frame-Relay-Header gesteuert.
Explizite Überlastungsbenachrichtigung (FECN) weiterleiten
Backward Explicit Congestion Notification (BECN)
Datenverkehrsüberlastungen werden in der Regel in den Pufferwarteschlangen auf einem Gerät definiert. Wenn die Warteschlangen einen vordefinierten Sättigungsgrad erreichen, wird festgestellt, dass der Datenverkehr überlastet ist. Wenn es in einer virtuellen Verbindung zu einer Überlastung kommt, setzt das Gerät, bei dem eine Überlastung auftritt, die Überlastungsbits im Frame Relay-Header auf 1. Dies hat zur Folge, dass für den übertragenen Datenverkehr das FECN-Bit auf 1 und für den Rückdatenverkehr auf derselben virtuellen Verbindung das BECN-Bit auf 1 festgelegt ist.
Wenn die FECN- und BECN-Bits auf 1 gesetzt sind, senden sie eine Überlastungsbenachrichtigung an die Quell- und Zielgeräte. Die Geräte können auf zwei Arten reagieren: Sie können den Datenverkehr auf der Verbindung steuern, indem sie ihn über andere Routen senden, oder um die Belastung der Verbindung zu reduzieren, indem Pakete verworfen werden.
Wenn Geräte Pakete als Mittel zur Überlastungskontrolle (Datenstromkontrolle) verwerfen, verwendet Frame Relay das Bit für die Verwerfungsberechtigung (DE), um einigen Paketen bei Verwerfungsentscheidungen den Vorzug zu geben. Ein DE-Wert von 1 gibt an, dass der Frame von geringerer Wichtigkeit als andere Frames ist und bei Überlastung mit größerer Wahrscheinlichkeit gelöscht wird. Bei kritischen Daten (z. B. Signalisierungsprotokollnachrichten), bei denen das DE-Bit nicht festgelegt ist, ist die Wahrscheinlichkeit geringer, dass sie verloren gehen.
Grundlegendes zum Point-to-Point-Protokoll
Das Point-to-Point-Protokoll (PPP) ist ein Verkapselungsprotokoll für den Transport von IP-Datenverkehr über Punkt-zu-Punkt-Verbindungen. PPP setzt sich aus drei Hauptkomponenten zusammen:
Link Control Protocol (LCP): Stellt funktionierende Verbindungen zwischen zwei Punkten her.
Authentifizierungsprotokoll: Ermöglicht sichere Verbindungen zwischen zwei Punkten.
Network Control Protocol (NCP): Initialisiert den PPP-Protokollstapel, um mehrere Netzwerkschicht-Protokolle wie IPv4, IPv6 und Connectionless Network Protocol (CLNP) zu verarbeiten.
Dieses Thema enthält die folgenden Abschnitte:
- Link Control Protocol
- PPP-Authentifizierung
- Netzwerksteuerungsprotokolle
- Magische Zahlen
- CSU/DSU-Geräte
Link Control Protocol
LCP ist für den Aufbau, die Wartung und den Abbau einer Verbindung zwischen zwei Endgeräten verantwortlich. LCP testet auch die Verbindung und stellt fest, ob sie aktiv ist. LCP stellt eine Punkt-zu-Punkt-Verbindung wie folgt her:
LCP muss zunächst ein Taktsignal an jedem Endgerät erkennen. Da das Taktsignal jedoch von einer Netzwerkuhr erzeugt und für Geräte im Netzwerk freigegeben werden kann, ist das Vorhandensein eines Taktsignals nur ein vorläufiger Hinweis darauf, dass die Verbindung möglicherweise funktioniert.
Wenn ein Taktsignal erkannt wird, beginnt ein PPP-Host mit der Übertragung von PPP-Configure-Request-Paketen.
Wenn der Remoteendpunkt auf der Punkt-zu-Punkt-Verbindung das Configure-Request-Paket empfängt, überträgt er ein Configure-Acknowledgement-Paket an die Quelle der Anforderung.
Nach Erhalt der Bestätigung identifiziert der initiierende Endpunkt die Verbindung als hergestellt. Gleichzeitig sendet der Remote-Endgerät seine eigenen Anforderungspakete und verarbeitet die Bestätigungspakete. In einem funktionierenden Netzwerk behandeln beide Endgeräte die Verbindung als hergestellt.
Während des Verbindungsaufbaus handelt LCP auch Verbindungsparameter wie FCS- und HDLC-Framing aus. Standardmäßig verwendet PPP einen 16-Bit-FCS, aber Sie können PPP so konfigurieren, dass entweder ein 32-Bit-FCS oder ein 0-Bit-FCS (ohne FCS) verwendet wird. Alternativ können Sie die HDLC-Kapselung über die PPP-Verbindung aktivieren.
Nachdem eine Verbindung hergestellt wurde, generieren PPP-Hosts Echo-Request- und Echo-Response-Pakete, um eine PPP-Verbindung aufrechtzuerhalten.
PPP-Authentifizierung
Die PPP-Authentifizierungsschicht verwendet ein Protokoll, um sicherzustellen, dass der Endpunkt einer PPP-Verbindung ein gültiges Gerät ist. Zu den Authentifizierungsprotokollen gehören das Password Authentication Protocol (PAP), das Extensible Authentication Protocol (EAP) und das Challenge Handshake Authentication Protocol (CHAP). CHAP wird am häufigsten verwendet.
Die Unterstützung für die Benutzer-ID und das Kennwort, um dem vollständigen ASCII-Zeichensatz zu entsprechen, wird durch RFC 2486 unterstützt.
Der Benutzer kann die RFC 2486-Unterstützung unter den PPP-Optionen aktivieren oder deaktivieren. Der RFC 2486 ist standardmäßig deaktiviert, und aktivieren Sie die Unterstützung global, indem Sie den Befehl set access ppp-options compliance rfc 2486".
CHAP sorgt für sichere Verbindungen über PPP-Verbindungen. Nachdem eine PPP-Verbindung von LCP hergestellt wurde, initiieren die PPP-Hosts an beiden Enden der Verbindung einen Drei-Wege-CHAP-Handshake. Es sind zwei separate CHAP-Handshakes erforderlich, bevor beide Seiten die PPP-Verbindung als hergestellt identifizieren.
Die CHAP-Konfiguration erfordert, dass jeder Endpunkt auf einer PPP-Verbindung einen gemeinsamen geheimen Schlüssel (Kennwort) verwendet, um Herausforderungen zu authentifizieren. Der gemeinsame geheime Schlüssel wird niemals über das Kabel übertragen. Stattdessen tauschen die Hosts in der PPP-Verbindung Informationen aus, anhand derer beide feststellen können, dass sie dasselbe Geheimnis verwenden. Herausforderungen bestehen aus einer Hashfunktion, die aus dem Geheimnis berechnet wird, einem numerischen Bezeichner und einem zufällig ausgewählten Abfragewert, der sich bei jeder Herausforderung ändert. Wenn der Antwortwert mit dem Abfragewert übereinstimmt, war die Authentifizierung erfolgreich. Da der geheime Schlüssel nie übertragen wird und für die Berechnung der Abfrageantwort erforderlich ist, gilt CHAP als sehr sicher.
Das PAP-Authentifizierungsprotokoll verwendet einen einfachen bidirektionalen Handshake, um die Identität festzustellen. PAP wird nach der Verbindungsaufbauphase (LCP up) während der Authentifizierungsphase verwendet. Junos OS kann PAP in der einen Richtung (Ausgang oder Eingang) und CHAP in der anderen Richtung unterstützen.
Netzwerksteuerungsprotokolle
Nach Abschluss der Authentifizierung ist die PPP-Verbindung vollständig hergestellt. An diesem Punkt können alle übergeordneten Protokolle (z. B. IP-Protokolle) initialisiert werden und ihre eigenen Aushandlungen und Authentifizierungen durchführen.
PPP-NKS bieten Unterstützung für die folgenden Protokolle. IPCP und IPv6CP werden am häufigsten auf Firewalls der SRX-Serie verwendet.
IPCP – IP Control Protocol
IPv6CP – IPv6-Steuerungsprotokoll
OSINLCP – OSI Netzwerkschicht Control Protocol (umfasst IS-IS, ES-IS, CLNP und IDRP)
Magische Zahlen
Hosts, auf denen PPP ausgeführt wird, können "magische" Zahlen erstellen, um den Zustand einer Verbindung zu diagnostizieren. Ein PPP-Host generiert eine zufällige 32-Bit-Zahl und sendet sie während der LCP-Aushandlung und des Echoaustauschs an den Remote-Endgerät.
In einem typischen Netzwerk ist die magische Zahl der einzelnen Hosts unterschiedlich. Eine magische Zahlendiskrepanz in einer LCP-Nachricht informiert einen Host darüber, dass sich die Verbindung nicht im Loopback-Modus befindet und der Datenverkehr bidirektional ausgetauscht wird. Wenn die magische Zahl in der LCP-Nachricht mit der konfigurierten magischen Zahl identisch ist, stellt der Host fest, dass sich die Verbindung im Loopback-Modus befindet, wobei der Datenverkehr in einer Schleife zum sendenden Host zurückgeführt wird.
Das Zurückleiten des Datenverkehrs zum Ursprungshost ist eine wertvolle Methode, um den Netzwerkzustand zwischen dem Host und dem Loopback-Standort zu diagnostizieren. Um Loopback-Tests zu ermöglichen, unterstützen Telekommunikationsgeräte in der Regel CSU/DSU-Geräte (Channel Service Unit/Data Service Unit).
CSU/DSU-Geräte
Eine Channel Service Unit (CSU) verbindet ein Endgerät mit einer digitalen Leitung. Eine Data Service Unit (DSU) übernimmt Schutz- und Diagnosefunktionen für eine Telekommunikationsleitung. In der Regel werden die beiden Geräte als eine Einheit verpackt. Ein CSU/DSU-Gerät ist für beide Enden einer T1- oder T3-Verbindung erforderlich, und die Einheiten an beiden Enden müssen auf denselben Kommunikationsstandard eingestellt sein.
Ein CSU/DSU-Gerät ermöglicht das Zurückschleifen von Frames, die über eine Verbindung gesendet werden, zurück zum Ursprungshost. Der Empfang der übertragenen Frames zeigt an, dass die Verbindung bis zum Zeitpunkt des Loopbacks korrekt funktioniert. Durch die Konfiguration von CSU/DSU-Geräten, die an verschiedenen Punkten einer Verbindung zurückgeschleift werden, können Netzwerkbetreiber einzelne Segmente in einer Verbindung diagnostizieren und Fehler beheben.
Grundlegendes zur Datenverbindungssteuerung
High-Level Data Link Control (HDLC) ist ein bitorientiertes, geschaltetes und nicht-geschaltetes Link-Layer-Protokoll. HDLC ist weit verbreitet, da es Halbduplex- und Vollduplex-Verbindungen, Punkt-zu-Punkt- und Punkt-zu-Mehrpunkt-Netzwerke sowie geschaltete und nicht vermittelte Kanäle unterstützt.
Dieses Thema enthält die folgenden Abschnitte:
HDLC-Stationen
Knoten innerhalb eines Netzwerks, in dem HDLC ausgeführt wird, werden als Stationen bezeichnet. HDLC unterstützt drei Arten von Stationen für die Datenverbindungssteuerung:
Primäre Stationen: Verantwortlich für die Steuerung der sekundären und kombinierten anderen Stationen auf der Verbindung. Je nach HDLC-Modus ist die primäre Station für die Ausgabe von Bestätigungspaketen verantwortlich, um die Datenübertragung von sekundären Stationen zu ermöglichen.
Sekundärstationen: Wird von der Primärstation gesteuert. Unter normalen Umständen können Sekundärstationen die Datenübertragung über die Verbindung mit der Primärstation nicht steuern, sind nur aktiv, wenn sie von der Primärstation angefordert werden, und können nur an die Primärstation (nicht an andere Sekundärstationen) reagieren. Alle sekundären Stations-Frames sind Antwort-Frames.
Kombinierte Stationen: Eine Kombination aus primären und sekundären Stationen. Auf einer HDLC-Verbindung können alle kombinierten Stationen Befehle und Antworten ohne Erlaubnis von anderen Stationen auf der Verbindung senden und empfangen und können nicht von einer anderen Station gesteuert werden.
HDLC-Betriebsmodi
HDLC läuft in drei separaten Modi:
Normal Response Mode (NRM): Die primäre Station auf der HDLC-Verbindung initiiert alle Informationsübertragungen mit sekundären Stationen. Eine sekundäre Station auf der Verbindung kann nur dann eine Antwort von einem oder mehreren Informationsframes senden, wenn sie die ausdrückliche Erlaubnis von der primären Station erhält. Wenn der letzte Frame übertragen wird, muss die Sekundärstation auf die ausdrückliche Erlaubnis warten, bevor sie weitere Frames übertragen kann.
NRM wird am häufigsten für Punkt-zu-Mehrpunkt-Verbindungen verwendet, bei denen eine einzige Primärstation viele Sekundärstationen steuert.
Asynchronous Response Mode (ARM): Die Sekundärstation kann jederzeit ohne ausdrückliche Genehmigung der Primärstation Daten übertragen oder den Datenverkehr steuern. Die Primärstation ist für die Fehlerbehebung und den Verbindungsaufbau zuständig, die Sekundärstation kann jedoch jederzeit Informationen übertragen.
ARM wird am häufigsten bei Punkt-zu-Punkt-Verbindungen verwendet, da es den Overhead auf der Verbindung reduziert, da keine Steuerpakete erforderlich sind.
Asynchronous Balance Mode (ABM): Alle Stationen sind kombinierte Stationen. Da keine andere Station eine kombinierte Station steuern kann, können alle Stationen ohne ausdrückliche Erlaubnis von einer anderen Station Informationen übertragen. ABM ist kein weit verbreiteter HDLC-Modus.