掌握以太网接入技术及其应用

任务描述

老王开茶楼已经十多年了,把茶楼从一间小铺面的茶馆逐渐扩大为拥有两层楼的茶楼。茶楼的监控系统随着时间的推移,从数字监控系统到现在的网络监控系统,从模拟摄像机到现在的网络摄像机,从数字硬盘录像机(DVR)到现在的网络硬盘录像机(NVR)。最近老王又开了两家连锁分店,需要将分店与总店的监控系统整合在一起,形成一个分级管控系统,每个分店只能自己看自己的监控,而老王具有最高权限,可以查看所有监控。

任务分析

老王的茶楼总店原来主要部署的是数字硬盘录像机模拟监控系统。随着网络技术、存储技术、视频处理技术的发展,视频监控系统向IP化、数字化、集成化演进。老王需要将所有连锁店的监控系统整合,在总店搭建了一套监控平台〔包含监控管理中心、IPSAN(IP存储网络)、媒体转发设备等〕,将各个连锁店的监控NVR/DVR都加入中心平台,从而对其进行管理,总店与分店形成上下级的关系,最终形成一个分级管控的监控系统。

任务目标

一、知识目标

(1)能够了解安防基础知识。

(2)能够掌握IP网络相关技术。

(3)能够掌握以太网接入技术。

二、能力目标

(1)能够进行组网需求分析、组网方案的设计。

(2)能够正确连接局域网设备、安防监控设备。

(3)能够正确配置相关设备。

专业知识链接

一、初识监控

1.模拟监控

模拟监控一般由视频信号采集、信号传输、切换和控制、显示与录像几部分组成。

(1)视频采集:一般由“模拟摄像机+云台系统”构成,完成图像采集功能。

(2)信号传输:包括各类线缆、连接器、信号收发器和信号放大器,负责将摄像机的信号传输到显示与记录设备。

(3)切换和控制:包括矩阵、控制键盘等,完成视频录像的切换和前端设备的控制。

(4)显示:由监视器、画面分割器等显示设备构成。

(5)录像:完成监控点的视频图像存储功能,最初由盒式磁带录像机(VCR)构成。

2.数字监控

DVR替代了VCR标志模拟监控时代进入数字监控时代。DVR是集音视频编码压缩、网络传输、视频存储、远程控制、界面显示等功能于一体的计算机系统。数字监控常见的部署方案是“模拟矩阵+DVR”或DVR虚拟矩阵。

3.网络监控

在中心部署NVR,在前端监控点部署网络摄像机(IP Camera,简称IPC),监控点与中心NVR之间通过网络相连。监控点的视频、音频及告警信号经IPC数字化处理后,以IP码流的形式上传到NVR,由NVR进行集中录像存储、管理和转发。

(1)IPC

IPC主要完成原始视频的采集和压缩,并将视频通过网络传输到后端的存储和管理设备。IPC一般由镜头、图像传感器、声音传感器、A/D转换器、音视频编码控制器、网络服务器、外部报警、控制接口等部分组成。

(2)NVR

NVR不受物理位置限制,负责从网络上抓取视频音频流,然后进行存储或转发。NVR监控方案完全基于网络的全IP视频监控解决方案,布线简单,易于部署和扩容。

(3)网络监控系统的结构

小型网络监控系统的结构如图1-15所示。

图1-15 小型网络监控系统结构

二、以太网与以太网交换机

1.以太网与交换机

模拟监控系统逐渐被淘汰的一个重要原因:以太网技术和IP技术得到空前发展,且在后续的通信进程中还会不断焕发新的蓬勃生机。

以太网是一种分组通信技术,它的分组称为“以太网帧”或“MAC帧”,负责在以太网线缆中承载各种数据的传输。以太网常见的传输线缆为网线和光纤,网线承载电信号,而光纤承载光信号。

以太网交换机负责在局域网内连接各个设备,如NVR、DVR、IPC、路由器、计算机、服务器等。所有这些设备都各自拥有全球唯一的MAC地址(即硬件地址),并通过MAC地址进行通信。

2.以太网交换机转发原理

以太网交换机通过查看每个端口接收的帧的源地址,迅速建立一个端口(Port)和MAC地址的映射关系,并存储在CAM表(内容可寻址存储器)里,从而形成一张MAC地址表(如图1-16所示),然后根据这张MAC表转发数据帧。在MAC地址表中,每个表项都需要包含MAC地址和设备端口号。

以太网交换机的转发原理:如果MAC地址表中存在该以太网帧的目的MAC地址,则该帧从对应的端口转发出去;如果不存在,则对除了入端口外的其他所有端口转发该帧。

仔细观察图1-16的MAC地址表,我们会发现两个问题:一是除了MAC地址和端口外,还有VLAN这个表项;二是具有不同MAC地址的设备的数据帧可以从同一个端口转发。

图1-16 以太网交换机的MAC地址表

三、虚拟局域网(VLAN)

在二层网络中往往充斥着大量的广播报文,如ARP报文、DHCP报文等,并且如果交换机上收到未知目的MAC地址的单播报文,都会以广播的形式转发。广播报文会被连接在交换机上的所有设备收到,当网络中这样的报文过多时,就会干扰这些设备的CPU工作,影响正常的业务处理性能。

VLAN的主要作用就是限制广播报文。通过划分VLAN,VLAN内部设备产生的广播报文就不会广播到其他VLAN,自然也就不会影响其他VLAN内部的设备,从而大大降低了广播风暴发生的概率。

VLAN交换机对以太网帧的转发是基于VLAN标签的,VLAN标签被嵌入以太网帧的头部,图1-17所示为IEEE 802.1Q帧的格式。

图1-17 IEEE 802.1Q帧的格式

将IEEE 802.1Q帧和以太网帧进行比较,可发现802.1Q帧多出4字节TAG字段。这4字节的标签头包含了2字节的标签协议标识(TPID)和2字节的标签控制信息(TCI),其中TCI中包含了12 bit的VLAN ID,用于标识该以太网帧属于哪个VLAN。用户通常可以配置的VLAN ID为2～4094(1为系统默认VLAN ID,一般用作管理VLAN)。

四、交换机端口安全

我们在部署以太接入网时,通常需要控制用户的安全接入。交换机距离用户往往最近,很容易受到攻击。交换机的端口安全特性(Port Security)通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信,其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备入网,也可以防止MAC地址泛洪造成MAC表填满,从而增加网络的安全性。

交换机的端口安全主要有两种类型:一是限制交换机端口的最大连接数,通过限制交换机端口下MAC地址的数量,可以防止用户进行恶意ARP欺骗;二是针对交换机端口进行MAC地址和IP地址的绑定,严格控制用户的接入,防止常见的对内网的网络攻击。

①安全地址(Secure MAC Address)

在交换机端口上激活了Port Security后,该端口就具有了一定的安全功能,如限制端口连接的最大MAC地址数量或者限定端口所连接的特定MAC地址。如果违例了,就需要通过安全地址来执行过滤或限制动作。例如,将交换机某个端口允许的最大MAC地址数量设置为1且为该端口设置一个安全地址,那么这个端口将只为该MAC地址所属的PC服务,即只有源MAC地址为安全地址的数据帧能够进入该接口。

②安全地址获取方式

在交换机端口上激活了PortSecurity后,端口关联的安全地址表项可以通过以下三种方式获取。

·在端口下使用手工配置静态安全地址表项(SecureConfigurecl)。

·使用端口动态学习到的MAC地址来构成安全地址表项(SecureDynamic)。

·将动态学习到的MAC地址变成黏滞MAC地址(SecureSticky)。

当交换机端口down掉后,静态配置的安全地址表项依然保留,所有动态学习的MAC安全地址表项将清空,而粘滞MAC地址因为粘住动态地址而形成“静态”表项,所以仍能保留。

③惩罚(Violation)

当在一个激活了PortSecurity的端口上,MAC地址数量已经达到了最大安全地址数量时,若又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么将会启动惩罚措施。主要有三种惩罚方式。

·Protect:丢弃包且不计数违例次数。

·Restrict:丢弃包且要计数违例次数,还要发送一个Trap通知。

·Shutdown:丢弃包且要计数违例次数,还要关闭端口并发送一个Trap通知。

【工作小任务1】使用PacketTracer模拟仿真软件配置以太网交换机的端口安全属性,控制用户安全接入。交换机网络拓扑如图1-18所示。最大安全地地址默认为1,安全地址采用动态获取,违规操作采用关闭端口。

图1-18 交换机网络拓扑

第一步:开启端口安全。

第二步:设置最大安全地址数目。

第三步:设置违规相应动作。

备注:当一个安全端口处在error-disable状态时,你若要恢复正常,则必须在全局下输入“errdisablerecoverycausepsecure-violation”命令(PT模拟器不支持),或者你可以手动输入shut(将端口Down掉),然后再noshut(将端口激活)。

第四步:查看当前端口安全设置情况。

第五步:查看端口安全地址表。

第六步:查看启用了端口安全的接口详情。

五、互联网与分层

当人们有了资源共享的需求时,就不再满足局限于局域网中了,于是就出现了互联网。局域网技术多样复杂,寻址不只是依赖于MAC地址。路由器的出现就是为了互联这些不同技术的局域网。每个局域网内部的信息传输靠物理地址寻址,该地址仅在本地有效,如果要实现跨局域网的信息传输就需要更高层次的地址寻址。TCP/IP协议栈定义了应用层、传输层、网络层、网络接口层,不同层次的协议分别处理这些不同的地址。

在“NVR+IPC”构成的监控系统中,我们在NVR人机界面上点播了一路前端IPC的实况视频,其网络的处理过程如下。

·IPC应用层的视频流处理程序对视频压缩编码,并交付给TCP发送程序。

·IPC传输层的TCP发送程序将TCP封装后交付给IP包发送程序。

·IPC网络层的IP包发送程序将TCP报文封装成IP包,然后查找路由表,找到网关的IP地址和出接口,将IP包交付给以太网帧发送程序。

·IPC链路层的以太网帧发送程序通过查找ARP表后完成对IP包的以太网帧封装,然后以太网帧从正确的接口被发送出去。

·NVR从链路层收到以太网帧,剥掉以太网帧封装。

·NVR通过IP包接收程序剥掉IP封装。

·NVR通过TCP接收程序剥掉TCP封装。

·NVR视频解码程序处理收到的视频包。

六、POE(以太网供电)技术

我们发现,一些基于IP的终端设备〔如IPC、IP电话机、无线接入点(AP)等〕,只需要通过一根网线就可以工作,这是怎么实现的呢?原来这是POE技术的功劳。

POE技术是一种可以在以太网链路中通过网线同时传输电力和数据的技术,有IEEE 802.3af标准和IEEE 802.3at标准,前者单端口最大输出功率为15.4 W,后者单端口最大输出功率为30 W。

一个完整的POE系统由供电设备(PSE)、受电设备(PD)和电源接口(RJ45接口)构成,如图1-19所示。

图1-19 POE系统构成

以太网供电过程如下。

·检测阶段:开始时,POE设备在端口输出很小的电压,直到其检测到线缆终端连接的是标准的受电端设备。

·分类PD设备:当检测到PD之后,POE设备会分类PD,评估PD所需的功率损耗。

·开始供电:在启动期内(≤15μs),PSE设备开始从低电压向PD供电,直至提供48 V的直流电源;

·稳定供电:PSE为PD提供稳定可靠的48 V的直流电,满足其功率消耗。

·断电:当PD从网络上断开时,PSE就会快速地(一般在300～400 ms)停止供电,并重新检测线缆的终端。

七、用户的接入控制与管理技术

以太网作为接入网需要考虑用户的接入控制与管理,即考虑用户的登记注册、认证授权,考虑用户数据的安全性,考虑用户的计费,考虑用户业务的带宽控制,等等。

1.AAA

AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三种安全功能,是对网络安全的一种管理方式,用来控制允许什么人访问网络服务器,以及允许使用何种服务。

(1)认证:验证用户的身份与可以使用的网络服务。

(2)授权:依据认证结果开放相关网络服务给用户。

(3)计费:记录用户对各种网络服务的用量,并提供给计费系统。

AAA一般采用客户端/服务器结构,如图1-20所示,AAA基本模型中分为用户、网络接入服务器(NAS)、认证服务器三个部分。

图1-20 AAA基本模型

2.RADIUS服务

AAA是一种管理框架,可以使用多种协议来实现。IETF(互联网工程任务组)的AAA协议主要是RADIUS协议和DIAMETER协议(RADIUS协议的升级版本)。

RADIUS表示远程认证拨号用户服务(Remote Authentication Dial in User Service),采用客户机/服务器结构,规定了BAS/NAS和AAA服务器之间传递用户认证和计费信息的方式,保护网络不受未经授权访问的干扰。RADIUS协议最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS协议也开始适应多种用户接入方式。

RADIUS包括三个组成部分。

(1)协议

基于UDP/IP层定义了RADIUS的帧格式和消息传输机制,还定义了认证端口为1812,计费端口为1813。

(2)服务器

RADIUS服务器运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求等)。

(3)客户端

RADIUS客户端一般位于网络接入服务器设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入等)。

3.接入认证方法

(1)不认证

不认证即对用户非常信任,不对其进行合法检查,为了网络和接入用户的安全考虑,一般不采用这种方式。

(2)PPPoE认证

PPPoE认证是在以太网上承载PPP(点到点)协议,即把PPP报文封装在以太网帧内,通过一个远端接入设备接入因特网,并对接入的每一台主机进行控制、计费。PPPoE认证主要有两个阶段:PPP发现阶段和PPP会话阶段。PPPoE运行过程如图1-21所示。

图1-21 PPPo E运行过程

①PPP发现阶段(www.xing528.com)

当一个主机希望发起一个PPP会话时,必须通过发现阶段去确认对端的以太MAC地址,并建立一个PPPoE的会话标识。发现阶段分为四个步骤。

步骤一:主机在本以太网内广播一个PADI(PPPOE Active Discovery Initial)包,在此包中包含主机想要得到的服务类型信息。

步骤二:以太网内所有接入服务器在收到这个初始化包后,相关接入服务器发回PADO(PPPOE Active Discovery Offer)包。

步骤三:主机可能收到多个服务器的PADO包,通过PADO包的内容,依据一定的条件从发回PADO包的接入服务器中挑选一个,并向它以单播方式发回一个会话请求包PADR(PPPOE Active Discovery Request),在这个包中再次包含所想得到的服务信息。

步骤四:被选定的接入服务器收到会话请求包PADR后,就开始准备进入PPP会话阶段。

②PPP会话阶段

PPP会话阶段也称PPP数据传输阶段。在这个阶段双方在这点对点的PPPoE逻辑链路上传输PPP数据帧,PPP数据帧封装在PPPoE数据报文中,PPPoE数据报文封装在以太网帧的数据域中传输。PPP会话阶段分为三个步骤。

步骤一:在PPP链路创建阶段,利用LCP(链路控制协议)创建链路。链路的一端设备通过LCP向对方发送配置信息报文;另一端返回配置确认报文,完成了配置信息交换后PPP链路建立。

步骤二:在PPP认证阶段,客户端会将自己的身份发送给远端的接入服务器(BAS/NAS)认证。最常用的认证协议有口令验证协议(PAP)和挑战握手验证协议(CHAP)。

步骤三:在网络协商阶段,PPP将调用在链路创建阶段选定的网络控制协议(NCP)。选定的NCP将解决PPP链路之上的高层协议问题,例如,使用IP控制协议(IPCP)可以向拨入用户分配动态地址。

(3)WEB认证

WEB认证又称为网页强制认证,即PORTAL认证。在用户上网时,必须在门户网站进行认证,只有认证通过后才可以使用网络资源。PORTAL认证系统由客户端、接入设备、PORTAL服务器与RADIUS服务器组成,WEB认证流程如图1-22所示。

图1-22 WEB认证流程

不同的组网方式下,PORTAL认证方式分为两种:二层认证方式和三层认证方式。

①二层认证方式

当客户端与接入设备直连(或两者之间只有二层设备存在)时,接入设备能够学习到用户的MAC地址,将MAC地址封装到RADIUS属性中,再发送给RADIUS服务器,认证成功后,RADIUS服务器会将用户的MAC地址写入缓存和数据库。二层认证方式的安全性高,但组网不灵活。

②三层认证方式

当接入设备部署在汇聚层或核心层时,在认证客户端和接入设备之间存在三层转发设备,此时接入设备不一定能获取到认证客户端的MAC地址,所以将用IP地址唯一标识用户。三层认证方式组网灵活,但安全性不高。

(4)802.1X认证

802.1X可以看作是以太网端口安全的延伸,作为一个基于端口的网络访问控制标准,它为LAN接入提供点对点式的安全接入。

802.1X认证基于C/S模式,客户端要访问网络必须先通过认证服务器的认证。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功,那么就“打开”这个端口,允许所有的报文通过;如果认证不成功,那么就使这个端口保持“关闭”,只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN,基于区域网的扩展认证协议)通过。802.1X端口接入控制方式有基于端口的认证和基于MAC的认证。

①基于端口的认证

当该端口下的第一个用户认证成功后,其他接入的用户无须认证就可以使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络资源。

②基于MAC的认证

该端口下所有接入用户均需要单独认证,某个用户下线不会影响其他用户使用网络资源。图1-23给出了在接入层交换机上实施802.1X接入控制的应用。

图1-23 实施802.1X接入控制的应用

在该应用中,接入层交换机的上联口配置成非受控口,使之能正常地与服务器进行通信,通过上联口已认证用户可以访问网络资源;与用户连接的端口配置成受控口,以实现对接入用户的控制,用户必须通过认证才能访问网络资源。802.1X协议是一个二层协议,用户通过认证后,认证流和业务流实现分离。当用户进入三层IP网络后,需要解决用户IP地址分配、三层网络安全等问题,因此单靠以太网交换机结合802.1X认证无法全面解决城域以太接入的可运营、可管理以及接入安全性等方面的问题。

【工作任务2】用户通过PPPoE方式接入运营商网络,由RADIUS服务器负责用户接入控制。用Packet Tracer仿真,PPPoE网络拓扑结构如图1-24所示,用户账号为test,密码为123。

图1-24 PPPoE网络拓扑结构

第一步:配置NAS。

第二步:配置R1。

第三步:配置RADIUS服务器(如图1-25所示)。

图1-25 RADIUS服务器的配置

第四步:PC0使用“PPPoEDialer”进行拨号。

第五步:使用“IPCONFIG”命令检查PC0,然后获取IP地址,如图1-26所示。

图1-26 获取的IP地址

任务实施

一、任务实施流程

在本次任务中小王需要将火锅分店1、分店2和总店进行网络互联,对分店安装安防系统,并且将总店原有的部分设备一起集成到整个安防网络中。任务实施流程如图1-27所示。

图1-27 任务实施流程

二、任务实施

1.需求分析

(1)前端需求

老王的茶楼连锁店前端监控场景主要分布在茶楼大厅、过道、收营台、大门外,估算需要45个网络高清枪型摄像机,摄像机的分辨率为720p,码流为2 Mbit/s,具备智能编码、智能控制、智能侦测等功能。海康威视监控摄像头DS-2CD1201-I3支持IEEE802.3af标准的POE功能,最大图像分辨率为1280×720,压缩输出码率可达8 Mbit/s。

(2)存储需求

前端网络高清视频图像通过NVR进行存储,现前端需要45个分辨率为720p、码流为2 Mbit/s的高清IPC,要求视频存储时间为30天,以海康威视DS-7816NB-K1/C 16路NVR计算硬盘容量。

DS-7816NB-K2最大接入16路IP通道,按照主码流为2 Mbit/s、子码流为0.5 Mbit/s计算,每个店需要15路接入,需要的接入带宽为(2+0.5)×15=37.5 Mbit/s,这没有超出该NVR 80 Mbit/s的接入带宽。每台NVR所需的存储空间为15×2×3 600×24×30÷(8×1012)=9.72 TB,DS-7816NB-K2 16路NVR提供2个SATA(串口硬盘)接口,每个SATA接口可支持最大6 TB容量的硬盘,这样每个NVR配置2个6 TB的硬盘就可以满足存储空间的需求。

(3)网络需求

各店通过普联(TP-LINK)TL-SL1218MP 16口百兆POE交换机接入IPC,总店另外需要使用TP-LINK TL-SG5218 16口全千兆三层核心交换机,用于与视频综合平台做链路汇聚,并负责各个接入交换机的接入。

(4)管理平台需求

监控平台包含监控管理中心平台、媒体转发设备,它负责各个连锁分店的监控NVR管理。

2.网络方案设计

(1)网络结构

根据需求分析,制订了网络方案,如图1-28所示。

图1-28 监控网络结构

(2)监控设备配置清单

监控设备配置清单如图1-29所示。

图1-29 监控设备配置清单

3.设备安装

(1)安装IPC。

在前端摄像机到接入POE交换机的距离不超过100 m的情况下,使用网线来传输。根据安装场点进行网线敷设施工,所有IPC都采用墙壁安装方式。海康网络摄像机DS-2CD1201-I3提供的接口如图1-30(a)所示,IPC与交换机的连接方式如图1-30(b)所示。

图1-30 摄像机提供的接口和IPC与交换机的连接方式

(2)安装NVR。

①NVR接口

海康威视DS-7816NB-K2的接口如图1-31所示,接口说明如表1-1所示。

图1-31 海康威视NVR接口

表1-1 海康威视DS-7816NB-K2的接口说明

②NVR的安装方法

如图1-32所示,在装有硬盘的NVR设备上接入其视频输出设备,如监视器、显示器或大型液晶显示屏等;接入鼠标;安装好的NVR设备和IPC设备的网线同时接入在POE交换机的网口上,使NVR和IPC在局域网环境下连接;POE交换机通过与路由器连接接入广域网环境。最后打开NVR,按照设置向导进行配置。

图1-32 NVR与其他设备的连接

任务成果

(1)对不同监控设备、网络设备进行对比,形成设备选型表。

(2)对用户需求进行分析,形成用户需求分析报告。

(3)根据用户需求和设备选型进行网络组网方案的指定。

(4)根据网络组网方案进行设备的安装施工、调测。

任务思考与习题

一、单选题

1.VLAN的优点包括(　)。

A.限制网络上的广播　B.增强局域网的安全性

C.增加了网络连接的灵活性　D.提高了网络带宽

2.以太网接入的用户接入管理协议通常有(　)。

A.PPPoE　B.IEEE 802.1X　C.AAA　D.VPN

3.计算机局域网的特点是(　)。

A.短距离　B.长距离　C.高速率　D.低误码率

4.IP网常用设备包括网络交换机、接入服务器、光纤收发器和(　)。

A.路由器　B.电话机　C.传真机　D.打印机

5.(　)协议用于发现设备的硬件地址。

A.IP　B.RARP　C.ICMP　D.ARP

6.192.168.2.0/26的子网掩码是(　)。

A.255.255.255.0　B.255.255.255.128

C.255.255.255.192　D.255.255.255.240

7.201.1.0.0/21网段的广播地址是(　)。

A.201.0.0.255　B.201.1.7.255

C.201.1.1.255　D.201.1.0.255

8.下列对VLAN描述不正确的是(　)。

A.VLAN可以有效控制广播风暴

B.交换机的VLAN 1无法删除

C.主干链路TRUNK可以提供多个VLAN间的通信

D.由于包含了多个交换机,所以VLAN扩大了冲突域

9.路由器工作在OSI参考模型的(　)。

A.物理层　B.数据链路层　C.网络层　D.应用层

10.一个交换机端口可以看作是一个(　)。

A.管理域　B.冲突域　C.自治域　D.广播域

二、多选题

1.交换式以太网具有以下特点(　)。

A.点对点信道　B.需要CSMA/CD协议

C.共享信道　D.不需要CSMA/CD协议

2.工作组以太网用于接入网环境时,需要特别解决的问题有(　)。

A.以太网远端馈电　B.接入端口的控制

C.用户间的隔离　D.用户接入的身份验证

3.用户接入管理模型中包含的实体是(　)。

A.用户　B.NAS　C.接入服务器　D.AAA服务器

4.以太网接入的用户接入管理协议通常有(　)。

A.PPPoE　B.IEEE 802.1X　C.AAA　D.VPN

5.PPP协议具有两个子协议,其中LCP子协议的功能为(　)。

A.建立数据链路与链路质量监测　B.协商网络层协议

C.协商认证协议　D.协商认证协议

三、简答题

1.在监控网络中,经常会出现IP Camera、编码器设备、在远端私网的视频客户端需要接入总部监控中心的情形。如果监控协议本身支持NAT穿越,则可以实现访问,即IPC或VC(视频客户端)为私网地址,监控中心为公网的IP地址,这适用于私网→公网模式;如果双方都在私网内部,由于私网间通信不能直接穿透公网,所以需要通过VPN(虚拟专网)隧道技术实现访问。请你思考这两种方式的不同之处。

2.如果采用VPN隧道技术,有哪些隧道技术可以实现不同私网之间的互访呢?