H3C-Bras解决方案建议书

H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 1 页 共 31 页 H3C Bras解决方案建议书 杭州华三通信技术有限公司 Hangzhou H3C Technologies Co Ltd 版权所有 侵权必究 All rights reserved H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 2 页 共 31 页 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 3 页 共 31 页 目录 1组网方案说明 6 1 1IRF技术优势 7 1 2QinQ大二层技术 8 2PORTAL认证 9 2 1PORTAL系统组成 10 2 2Portal认证的实现机制 11 2 2 1发起认证的方式 11 2 2 2用户保活机制 11 2 2 3产品实现原理 12 2 3PORTAL协议框架 13 2 4对EAD系统的支持 14 2 5认证方式 15 2 5 1认证方式分类 15 2 5 2二层Portal认证过程 16 2 5 3三层Portal认证过程 17 3PPPoE技术实现方案 20 3 1PPPoE组网结构 20 3 2PPPoE报文格式 22 3 3PPPoE工作过程 23 3 3 1Discovery阶段 23 3 3 2Session阶段 24 3 3 3Terminate阶段 24 3 4典型组网应用 25 4UAM Portal服务器配置 25 4 1配置服务 25 4 2配置接入设备及认证网段 26 4 3增加接入用户 28 5CAMS计费配置 30 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 4 页 共 31 页 5 1计费组件配置 30 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 5 页 共 31 页 表目录 表1 IMC组件版本列表 7 图目录 图表 1 Portal直接认证组网图 6 图表 2 二次地址认证组网图 23 图表 3 NAT穿越组网图 27 图表 4 Portal双机热备组网图 31 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 6 页 共 31 页 1 组网方案说明组网方案说明 在网络核心部署两台Bras设备 实现园区网用户的统一接入认证管理 两台Bras设备 通过虚拟化技术IRF2虚拟化成逻辑上的一台设备 免去配置VRRP BFD等繁琐的配置 用户侧汇聚交换仅通过链路捆绑上连至核心Bras设备 简化组网应用 传统的SR路由器承接Mobile Business IPTV等电信业务 BRAS作为宽带网络应用的 接入网关 完成用户的认证和管理 MSE Multi Service Edge 设备集SR和BRAS功能于 一身 提高运营商 园区网 校园网多业务边缘设备利用率 降低投资 提供丰富的用户接入认证手段 支持PPPoE PPPoEoVLAN PPPoEoQ以及PPPoEoA 等 IPoE Portal L2TP VPN等 在园区网中 普通用户之间的横向访问较少 为了避免ARP病毒的泛滥 建议用户之 间通过QinQ技术实现完全隔离 QinQ的终结统一集中在核心Bras上 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 7 页 共 31 页 1 1IRF 技术优势 简化管理 IRF形成之后 用户通过任意成员设备的任意端口均可以登录IRF系统 对 IRF内所有成员设备进行统一管理 而不用物理连接到每台成员设备上分别对它们进行配 置和管理 简化网络运行 IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运 行的 例如路由协议会作为单一设备统一计算 这样省去了设备间大量协议报文的交互 简化了网络运行 缩短了网络动荡时的收敛时间 IRF技术的这一特性是常见的集群技术 所不具备的 后者仅仅能完成设备管理上的统一 而集群中的设备在网络中仍然分别作为 独立节点运行 低成本 IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用 从而具 有高端设备的端口密度和带宽 以及低端设备的成本 比直接使用高端设备具有成本优势 强大的网络扩展能力 通过增加成员设备 可以轻松自如的扩展IRF系统的端口数 带宽和处理能力 保护用户投资 由于具有强大的扩展能力 当用户进行网络升级时 不需要替换掉原 有设备 只需要增加新设备既可 很好的保护了用户投资 高可靠性 IRF的高可靠性体现在多个方面 例如 成员设备之间IRF物理端口支持聚 合功能 IRF系统和上 下层设备之间的物理连接也支持聚合功能 这样通过多链路备份 提高了IRF系统的可靠性 IRF系统由多台成员设备组成 Master设备负责IRF系统的运行 管理和维护 Slave设备在作为备份的同时也可以处理业务 一旦Master设备故障 系统会 迅速自动选举新的Master 以保证通过IRF系统的业务不中断 从而实现了设备的1 N备份 IRF是网络可靠性保障的最优解决方案 高性能 由于IRF系统是由多个支持IRF特性的单机设备虚拟化而成的 IRF系统的交 换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和 因此 IRF技术 能够通过多个单机设备的虚拟化 轻易的将设备的核心交换能力 用户端口的密度扩大数 倍 从而大幅度提高了设备的性能 丰富的功能 IRF支持包括IPv4 IPv6 MPLS 安全特性 OAA插卡 高可用性等全 部交换机特性 并且能够高效稳定地运行这些功能 大大扩展了IRF设备的应用范围 广泛的产品支持 IRF技术作为一种通用的虚拟化技术 对不同形态产品的虚拟化一 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 8 页 共 31 页 体化的实现 使用同一技术 同时支持盒式设备的虚拟化 以及框式分布式设备的虚拟化 1 2QinQ 大二层技术 QinQ技术 也称Stacked VLAN 或Double VLAN 是指将用户私网VLAN标签封装在 公网VLAN标签中 使报文带着两层VLAN标签穿越运营商的骨干网络 在公网中只根据 外层VLAN标签传播 私网VLAN标签被屏蔽 这样 不仅对数据流进行了区分 而且由 于私网VLAN标签被透明传送 不同的用户VLAN标签可以重复使用 只需要外层VLAN标 签的在公网上唯一即可 实际上也扩大了可利用的VLAN标签数量 当前灵活QinQ主要应用在运营商的接入网络中 在运营商网络中给接入用户分配一个 VLAN 以达到便于问题追踪和防止不同用户间互访 用外层标签区分用户的应用 或在 接入的环境中用外层标签来区分不同的接入地点 用内外两层标签唯一标识出一个接入用 户 在这样的应用中需要BRAS SR设备支持QinQ的应用 能够终结双Tag 下面我们看一下灵活QinQ的应用场景 在S9500上实施QinQ 并在S9500上进行业务分流 分流的方式是利用灵活QinQ功能 灵活QinQ分流的依据有下面几种 1 根据端口的VLAN区间分流 比如PC的VLAN范围1 1000 STB的VLAN范围 1001 2000 网吧的VLAN范围2001 3000 2 根据报文的协议号分流 比如PC采用PPPoE STB采用IPoE 这些终端都通过一个 VLAN上行 可以根据PPPoE和IPoE报文不同的协议号作为QinQ的分流依据 3 根据报文的目标IP地址分流 对于相同源IP地址 相同报文封装不同的业务应用报 文 比如PC上的SoftPhone产生的报文 需要根据报文目的IP地址实施灵活QinQ进行业务分 流 4 根据QinQ的内层标签的区间 在某些级联交换机的组网模式中 下连的交换机已 经实施了基于端口的QinQ 为了实现业务分流 可以根据QinQ的内层VLAN标签的区间实 施灵活QinQ进行业务分流 上述应用场景可以用图4来直观的加以描述 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 9 页 共 31 页 灵活 QinQ 对多业务的识别标记 2 PORTAL 认证认证 Portal在英语中是入口的意思 Portal认证通常也称为Web认证 一般将Portal认证网站 称为门户网站 它提供了一种较为简单的用户认证方法 对用户而言 相对其它认证方式 更易于使用 它有两大特色 免客户端 只需要网页浏览器 如IE 支持 即可为用户提供认证服务 不需要安装专门的客户 端或者拨号程序 免客户端软件对于像宾馆 酒店等公共网络节点 免客户端软件是一个 基本要求 新业务载体 利用Portal认证的门户功能 运营商可以将小区广播 广告 信息查询 网上购物等业 务放到Portal上 用户上网时会强制地看到上述信息 Portal认证的基本方式是通过在Portal页面的显著位置设置认证窗口 用户开机获取IP 地址后 通过登录Portal认证页面进行认证 认证通过后即可访问Internet H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 10 页 共 31 页 对于用户来说有两种方式访问认证页面 主动Portal 用户必须知道PORTAL服务器的IP地址 主动登陆PORTAL服务器进行 认证 之后才能访问网络 强制Portal 未认证用户访问网址 都会先强制定向到PORTAL服务器进行认证 用 户不需要记忆Portal服务器的IP地址 Portal业务可以为运营商提供方便的管理功能 基于其门户网站可以开展广告 社区服 务 个性化的业务等 使宽带运营商 设备提供商和内容服务提供商形成一个产业生态系 统 2 1 PORTAL 系统组成 认证客户端 安装于用户终端的客户端系统 如运行HTTP HTTPS协议的浏览器或运行Portal客户端 软件的主机等 对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息 交流完成的 接入设备 BAS 交换机 路由器等宽带接入设备的统称 主要有三方面的作用 在认证之前 将用户的所有HTTP请求都重定向到Portal服务器 在认证过程中 与Portal服务器 安全策略服务器 认证 计费服务器交互 完成身份 认证 安全认证 计费的功能 在认证通过后 允许用户访问被管理员授权的互联网资源 Portal服务器 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 11 页 共 31 页 接收Portal客户端认证请求的服务器端系统 提供免费门户服务和基于Web认证的界面 与接入设备交互认证客户端的认证信息 认证 计费服务器 与接入设备进行交互 完成对用户的认证和计费 以上四个基本要素的交互过程为 1 未认证用户访问网络时 在Web浏览器地址栏中输入一个互联网的地址 那么此 HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上 2 用户在认证主页 认证对话框中输入认证信息后提交 Portal服务器会将用户的认 证信息传递给接入设备 3 然后接入设备再与认证 计费服务器通信进行认证和计费 4 认证通过后 则接入设备会打开用户与互联网的通路 允许用户访问被管理员授 权的互联网资源 2 2Portal 认证的实现机制 2 2 1发起认证的方式 虽然免客户端认证是Portal认证的一种主流方式 但在需要实现更安全灵活的功能的前 提下 也可以采用客户端认证的方式进行认证 这两种方式的认证流程大致如下 对于通过Web进行认证的用户 免客户端方式 采用对HTTP报文重定向的方式 接 入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接 然后将页面重定向到Portal服 务器 而从实现向客户推出认证页面 用户通过在该页面登录将用户信息传递给了Portal服 务器 随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息 接入设备获取 到用户信息后 将该信息通过AAA模块完成认证 对于使用客户端进行认证的用户 直接使用portal协议报文与portal server进行交互 实 现对客户端的相关控制和用户状态的实时上报 随后Portal服务器与接入设备交互 接入设 备再通过AAA模块完成认证 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 12 页 共 31 页 2 2 2用户保活机制 用户通过WEB实现认证时 认证后在线窗口处于开打状态 并采用上层的http协议的 get动作实现心跳机制 用户下线时需要在该页面上主动点击下线按钮触发下线动作 如果 该页面或用户PC不正常关闭 可能导致用户在一定时间内无法手动下线 直到Portal服务 器侧超时后 再触发下线动作 通知接入设备将用户下线 用户使用专用的客户端时 使用Portal握手报文来确认用户是否在线 对于客户端来说 4个心跳没有收到答复 就认为自己已经下线 重新发起认证 对于Portal服务器 在指定 的时间内没有收到心跳报文 就认为用户下线 并通知接入设备将用户下线 2 2 3产品实现原理 产品对Portal的实现是基于ACL的 通过QACL模块来支持对用户报文的重定向以及限 制用户可以使用的相关资源 通常我们把Portal使用的ACL分为4类 对于底层没有什么区别 主要是查找匹配的顺序 Type1 FreeIP规则 动作是permit 到Portal Server的规则为第1个freeip Type2 用户认证通过后添加的规则 动作是permit Type3 用户网段重定向规则 对HTTP报文重定向到CPU 实现认证页面的推出 Type4 用户网段禁止规则 动作是deny Portal规则在端口上下发 排列需要有严格的顺序 匹配时按照Type1 4的顺序从前往 后排列 如果在一个端口上既有普通ACL规则 通过命令行配置的ACL 下发 又启用了 portal 则portal所添加的规则会排列在普通ACL之后 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 13 页 共 31 页 2 3PORTAL 协议框架 Portal协议主要涉及Portal服务器 Portal Server 和接入设备 BAS 采用C S结构 基于UDP 端口定义 PortalServer通过默认端口 50100 侦听BAS发来的报文 BAS通过端口2000侦听来自PortalServer的所有报文 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 14 页 共 31 页 2 4对 EAD 系统的支持 通过EAD的系统中的安全策略服务器 Portal可以实现其扩展认证功能 实现基于客户 端与安全策略服务器之间的交互来进行后续的安全检测功能 Portal对EAD的支持需要用户在终端上安装专用的Portal客户端软件 用户在通过Portal 认证后 安全策略服务器通过与Portal客户端 接入设备进行交互 完成对用户的安全认证 若对用户采用了安全策略 则用户的安全检测通过之后 安全策略服务器根据用户的安全 策略 授权用户访问非受限资源 Portal在EAD系统中通过联动的机制主动的实施安全策略 联动的基本方式如下 客户端与安全策略服务器联动 1 客户端上线时Portal服务器会在Login Response报文中携带EAD服务器的IP地址及端 口号 2 用户上线后客户端和安全策略服务器进行交互 服务器下发检查策略 客户端按策 略检查所在PC的安全情况 并上报服务器 3 用户在线过程中客户端仍会定期上报安全情况 以适应动态检测 即EAD心跳 安 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 15 页 共 31 页 全检测使用的报文为UDP 通常端口号是9019 Server 10102 Client 接入设备与安全策略服务器的联动 H3C对Radius协议进行了扩展 定义了Type20 Session Control 当用户上线后 通过 该类型的Radius报文下发隔离ACL 等通过安全检查后 再下发安全ACL 2 5认证方式 2 5 1认证方式分类 不同的组网方式下 可采用不同的Portal认证方式 按照网络中实施Portal认证的网络 层次来分 Portal的认证方式分为两种 二层认证方式和三层认证方式 二层认证方式 二层认证方式支持在接入设备连接用户的二层端口上开启Portal认证功能 只允许源 MAC地址通过认证的用户才能访问外部网络资源 目前 该认证方式仅支持本地Portal认 证 即接入设备作为本地Portal服务器向用户提供Web认证服务 三层认证方式 三层认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能 三层接口 Portal认证又可分为三种不同的认证方式 直接认证方式 二次地址分配认证方式和跨三层 认证方式 直接认证方式和二次地址分配认证方式下 认证客户端必须通过二层直接连接 到接入设备 跨三层认证方式下 认证客户端和接入设备之间可以跨接三层转发设备 直接认证直接认证 用户在认证前通过手工配置或DHCP直接获取一个IP地址 只能访问Portal服务器 以 及设定的free IP地址 认证通过后即可访问网络资源 认证流程相对二次地址分配认证较 为简单 二次地址分配认证二次地址分配认证 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 16 页 共 31 页 用户在认证前通过DHCP获取一个私网IP地址 只能访问Portal服务器 以及设定的免 费访问地址 认证通过后 用户会重新申请到一个公网IP地址 即可访问网络资源 该认 证方式解决了IP地址规划和分配问题 对未认证通过的用户不分配公网IP地址 例如运营 商对于小区宽带用户只在访问小区外部资源时才分配公网IP 跨三层认证跨三层认证 和直接认证方式基本相同 但是这种认证方式允许认证用户和接入设备之间跨越三层 转发设备 对于以上三种认证方式 IP地址都是用户的唯一标识 接入设备基于用户的IP地址下 发ACL对接口上通过认证的用户报文转发进行控制 由于直接认证和二次地址分配认证下 的接入设备与用户之间未跨越三层转发设备 因此接口可以学习到用户的MAC地址 接入 设备可以利用学习到MAC地址增强对用户报文转发的控制粒度 2 5 2二层 Portal 认证过程 1 Portal用户通过HTTP或HTTPS协议发起认证请求 HTTP报文经过配置了本地Portal 服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址 本地Portal服务 器提供Web页面供用户输入用户名和密码来进行认证 该本地Portal服务器的监听IP地址为 接入设备上一个与用户之间路由可达的三层接口IP地址 通常为Loopback接口IP 2 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互 对用户身份进行验 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 17 页 共 31 页 证 3 如果RADIUS认证成功 则接入设备上的本地Portal服务器向客户端发送登录成功 页面 通知客户端认证 上线 成功 2 5 3三层 Portal 认证过程 直接认证和可跨三层Portal认证的流程 直接认证 可跨三层Portal认证流程 1 Portal用户通过HTTP协议发起认证请求 HTTP报文经过接入设备时 对于访问 Portal服务器或设定的免费访问地址的HTTP报文 接入设备允许其通过 对于访问其它地 址的HTTP报文 接入设备将其重定向到Portal服务器 Portal服务器提供Web页面供用户输 入用户名和密码来进行认证 2 Portal服务器与接入设备之间进行CHAP Challenge Handshake Authentication Protocol 质询握手验证协议 认证交互 若采用PAP Password Authentication Protocol 密码验证协议 认证则直接进入下一步骤 3 Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备 同时 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 18 页 共 31 页 开启定时器等待认证应答报文 4 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互 5 接入设备向Portal服务器发送认证应答报文 6 Portal服务器向客户端发送认证通过报文 通知客户端认证 上线 成功 7 Portal服务器向接入设备发送认证应答确认 8 客户端和安全策略服务器之间进行安全信息交互 安全策略服务器检测接入终端 的安全性是否合格 包括是否安装防病毒软件 是否更新病毒库 是否安装了非法软件 是否更新操作系统补丁等 9 安全策略服务器根据用户的安全性授权用户访问非受限资源 授权信息保存到接 入设备中 接入设备将使用该信息控制用户的访问 步骤 8 9 为Portal认证扩展功能的交互过程 二次地址分配认证方式的流程 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 19 页 共 31 页 二次地址分配认证流程 1 4 同直接 可跨三层Portal认证中步骤 1 4 5 用户在接入设备上认证成功后 BAS向Portal Server发送带有IP Config属性的认证 回应报文 指出用户需要更新IP地址 6 Portal Server再向客户端发送带有IP Config属性的认证通过报文 Login Response 要求客户程序释放再申请IP地址 7 客户端成功更新IP地址后 向Portal Server报告更新IP地址成功 8 Portal服务器通知接入设备客户端获得新公网IP地址 9 接入设备通过检测ARP协议报文检测到了用户IP变化 并通告Portal服务器已检测 到用户IP变化 10 Portal服务器通知客户端上线成功 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 20 页 共 31 页 11 Portal服务器向接入设备发送IP变化确认报文 12 客户端和安全策略服务器之间进行安全信息交互 安全策略服务器检测接入终端 的安全性是否合格 包括是否安装防病毒软件 是否更新病毒库 是否安装了非法软件 是否更新操作系统补丁等 13 安全策略服务器根据用户的安全性授权用户访问非受限资源 授权信息保存到接 入设备中 接入设备将使用该信息控制用户的访问 步骤 12 13 为Portal认证扩展功能的交互过程 PPPoE认证 对于用户来说 PPPoE的优点如下 沿袭传统的拨号上网方式 依旧使用他们熟悉的硬件以及类似的软件进行Internet的接 入 使用以太网网卡连接PC和xDSL Modem 允许多台PC同时共享xDSL线路 可以节约 用户投资 对于网络维护者来说 PPPoE的优点如下 可以通过数字用户线 电缆调制解调器或无线连接等方式提供支持多用户的宽带接入 服务 可以利用可靠和熟悉的技术来加速部署高速互联网业务 对现有网络部署影响小 可以通过访问控制功能对用户的身份进行确认 通过计费功能对用户进行计费 同时 对用户的网络行为进行监控 保证了网络安全 终端用户可同时接入多个运营商 这种动态服务选择的功能可以使运营商容易创建和 提供新的业务 3 PPPoE 技术实现方案技术实现方案 3 1PPPoE 组网结构 PPPoE使用Client Server模型 PPPoE的客户端为PPPoE Client PPPoE的服务器端为 PPPoE Server PPPoE Client向PPPoE Server发起连接请求 两者之间会话协商通过后 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 21 页 共 31 页 PPPoE Server向PPPoE Client提供接入控制 认证等功能 根据PPP会话的起止点所在位置的不同 有两种组网结构 l 第一种方式在设备之间建立PPP会话 所有主机通过同一个PPP会话传送数据 主机上不用安装PPPoE客户端拨号软件 一般是一个企业 公司 共用一个账号 图中 PPPoE Client位于企业 公司内部 PPPoE Server是运营商的设备 图1 PPPoE组网结构图1 l 第二种部署方式 PPP会话建立在Host和运营商的路由器之间 为每一个Host 建立一个PPP会话 每个Host都是PPPoE Client 每个Host一个帐号 方便运营商对用户进 行计费和控制 Host上必须安装PPPoE客户端拨号软件 图 2 PPPoE 组网结构图 2 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 22 页 共 31 页 3 2PPPoE 报文格式 PPPoE报文的格式就是在以太网帧中携带PPP报文 如图3所示 图3 报文格式 各个字段解释如下 l Destination address域 一个以太网单播目的地址或者以太网广播地址 0 xffffffff 对于Discovery数据包来说 该域的值是单播或者广播地址 PPPoE Client寻 找PPPoE Server的过程使用广播地址 确认PPPoE Server后使用单播地址 对于Session阶段 来说 该域必须是Discovery阶段已确定的通信对方的单播地址 l Source address域 源设备的以太网MAC地址 l Ether type 设置为0 x8863 Discovery阶段或拆链阶段 或者0 x8864 Session 阶段 l Ver域 4bits PPPoE版本号 值为0 x1 l Type域 4bits PPPoE类型 值为0 x1 l Code域 8bits PPPoE报文类型 Code域为0 x00 表示会话数据 Code域为 0 x09 表示PADI报文 Code域为0 x07 表示PADO或PADT报文 Code域为0 x19 表示 PADR报文 Code域为0 x65 表示PADS报文 报文的具体情况请参见附录部分 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 23 页 共 31 页 Session ID 域 16bits 对于一个给定的 PPP 会话 该值是一个固定值 并且与以太网 Source address 和 Destination address 一起实际地定义了一个 PPP 会话 值 0 xffff 为将来的使用保留 不允许使用 l Length域 16bits 定义PPPoE的Payload域长度 不包括以太网头部和PPPoE 头部的长度 3 3PPPoE 工作过程 PPPoE的协商过程如图4所示 图4 PPPoE协商过程 PPPoE可分为三个阶段 即Discovery阶段 Session阶段和Terminate阶段 3 3 1Discovery 阶段 Discovery阶段由四个过程组成 完成之后通信双方都会知道PPPoE的Session ID 以及 对方以太网地址 它们共同确定了唯一的PPPoE Session 1 PPPoE Client广播发送一个PADI报文 在此报文中包含PPPoE Client想要得到的 服务类型信息 2 所有的PPPoE Server收到PADI报文之后 将其中请求的服务与自己能够提供的 服务进行比较 如果可以提供 则单播回复一个PADO报文 3 根据网络的拓扑结构 PPPoE Client可能收到多个PPPoE Server发送的PADO报 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 24 页 共 31 页 文 PPPoE Client选择最先收到的PADO报文对应的PPPoE Server做为自己的PPPoE Server 并单播发送一个PADR报文 4 PPPoE Server产生一个唯一的会话ID SESSION ID 标识和PPPoE Client的 这个会话 通过发送一个PADS报文把会话ID发送给PPPoE Client 如果没有错误 会话建 立后便进入PPPoE Session阶段 3 3 2Session 阶段 PPPoE Discovery阶段的工作为PPPoE Client和PPPoE之间建立了Session 之后PPPoE便 进入了Session阶段 Session阶段可划分为两部分 一是PPP协商阶段 二是PPP报文传输阶 段 PPPoE Session上的PPP协商和普通的PPP协商方式一致 分为LCP 认证 NCP三个阶 段 1 LCP阶段主要完成建立 配置和检测数据链路连接 2 LCP协商成功后 开始进行认证工作 认证协议类型由LCP协商结果 CHAP或 者PAP 决定 3 认证成功后 PPP进入NCP阶段 NCP是一个协议族 用于配置不同的网络层 协议 常用的是IP控制协议 IPCP 它负责配置用户的IP和DNS等工作 PPPoE Session的PPP协商成功后 其上就可以承载PPP数据报文 在PPPoE Session阶段所有的以太网数据包都是单播发送的 3 3 3Terminate 阶段 PPP通信双方应该使用PPP协议自身 比如PPP终结报文 来结束PPPoE会话 但在无 法使用PPP协议结束会话时可以使用PADT报文 进入PPPoE Session阶段后 PPPoE Client和PPPoE Server都可以通过发送PADT报文的 方式来结束PPPoE连接 PADT数据包可以在会话建立以后的任意时刻单播发送 在发送或 接收到PADT后 就不允许再使用该会话发送PPP流量了 即使是常规的PPP结束数据包也 不允许发送 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 25 页 共 31 页 3 4典型组网应用 利用ADSL Modem将局域网接入Internet 企业希望使用一个公共帐号访问Internet l Router A作为PPPoE Client 通过一个帐号访问Internet 相当于整个企业的员 工公用这个帐号 l Router B作为PPPoE Server连接至DSLAM 提供RADIUS认证 计费等功能 同时连接到Internet 组网图 图 5 利用 ADSL Modem 将局域网接入 Internet 组网图 4 UAM Portal 服务器配置服务器配置 4 1配置服务 登录IMC服务器管理页面 进入业务 接入业务 服务配置管理页面 输入配置名 及服务后缀 其他项可以使用默认配置 H3C Bras 解决方案建议书文档密级 2014 3 7H3C 机密 未经许可不得扩散第 26 页 共 31 页 4 2配置接入设备及认证网段 1 进入业务 接入业务 接入设备配置 点击增加 输入共享密钥 其他的使用