pppoe原理和配置

1、精选课件1 PPPOE业务原理及配置业务原理及配置 精选课件2 Part 1：点到点协议（：点到点协议（PPP） 精选课件3 概念：概念： 点对点协议点对点协议(PPP)提供了在点对点链路上传输多种协议数据包的一种提供了在点对点链路上传输多种协议数据包的一种 标准方法。标准方法。 PPP主要由三部分组成：主要由三部分组成： 1。 一种封装多种协议数据包的方法；一种封装多种协议数据包的方法； 2。一个链路控制协议（。一个链路控制协议（LCP）,用于建立，配置，测试数据链路的连接；用于建立，配置，测试数据链路的连接； 3。一系列的网络控制协议。一系列的网络控制协议(NCPs)，用于配置和建立不同的

2、网络层协议。，用于配置和建立不同的网络层协议。 精选课件4 链路控制协议（链路控制协议（LCP): 主要用于建立，维护，拆除两个主要用于建立，维护，拆除两个PPP LCP实体之间的物实体之间的物 理路径。在建起链路之后，理路径。在建起链路之后，LCP还提供对链路的测试，检测链还提供对链路的测试，检测链 路是否正常。路是否正常。 网络层控制协议网络层控制协议(NCP): 主要用于协商在该数据链路上所传输的数据包的格式主要用于协商在该数据链路上所传输的数据包的格式 与类型与类型 精选课件5 PPP协议的特点：协议的特点： 1.PPP协议是数据链路层协议；协议是数据链路层协议； 2.支持点到点的连接

3、支持点到点的连接 3.物理层可以是同步电路或异步电路（如物理层可以是同步电路或异步电路（如framerelay必须为同步电路）；必须为同步电路）； 4.具有各种具有各种NCP协议，如协议，如IPCP, IPXCP更好地支持了网络层协议；更好地支持了网络层协议； 5.具有验证协议具有验证协议CHAP,PAP，更好了保证了网络的安全性。，更好了保证了网络的安全性。 精选课件6 PPP中的认证协议中的认证协议 精选课件7 一. PAP为两次握手协议，它通过用户名及口令来对用 户进行验证。 PAP验证过程如下： 当两端链路可相互传输数据时，被验证方发送本端的用户名及 口令到验证方，验证方根据本端的用户

4、表（或radius服务器）查 看是否有此用户，口令是否正确。如正确则会给对端发送ACK 报文，通告对端已被允许进入下一阶段协商； 否则发送NAK报文，通告对端验证失败。此时，并不会直接将 链路关闭。只有当验证不过次数达到一定值（缺省为4）时，才 会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重 新协商过程（每次拨号拨通后，主动方会送四次 username/password给校验方。如果不通就此次检验失败，并在 下次拨通后retry） 。 PAP的特点: 是在网络上以明文的方式传递用户名及口令，如在传输过程中 被截获，便有可能对网络安全造成极大的威胁。因此，它适用 于对网络安全要求相对较

5、低的环境。 精选课件8 PAP验证为明文验证验证为明文验证，过程如下： Client Server author req auth ack auth nak ff 03 c0 23 01 (id) (len) username password ff 03 c0 23 02 (id) (len) msg ff 03 c0 23 03 (id) (len) msg PAP验证过程 精选课件9 二. CHAP为三次握手协议。 它的特点是，只在网络上传输用户名，而并不传输用户口令， 因此它的安全性要比PAP高。 CHAP的验证过程为： 首先由验证方向被验证方发送一些随机产生的报文，并同时 将本端的主

6、机名附带上一起发送给被验证方。被验证方接到 对端对本端的验证请求(Challenge)时，便根据此报文中验证方 的主机名和本端的用户表查找用户口令字，如找到用户表中 与验证方主机名相同的用户，便利用报文ID、此用户的密钥 用Md5算法生成应答（Response），随后将应答和自己的主机 名送回。验证方接到此应答后，用报文ID、本方保留的口令 字（密钥）和随机报文用Md5算法得出结果，与被验证方应 答比较，根据比较结果返回相应的结果（ACK or NAK）。 精选课件10 Client Server response code success code failure ff 03 c2 23 0

7、2 (id) (len) (md5) ff 03 c0 23 03 (id) (len) msg ff 03 c0 23 04 (id) (len) msg CHAP验证过程 challenge ff 03 c2 23 01 (id) (len) (challenge) CHAP验证为加密验证验证为加密验证，过程如下： 精选课件11 Part 2：PPPOE协议协议 精选课件12 精选课件13 IP PPPOE AAL5 SAR Ethernet 1483 PPP AAL5AAL5上的上的PPPOEPPPOE协议栈协议栈 IP PPPOE Ethernet PPP 以太网上的以太网上的PPPO

8、EPPPOE协议栈协议栈 ATM 精选课件14 协议概述 PPPOE有两个明显的阶段: 初始化阶段 当一个主机想开始PPPOE进程的时候，它必须先识别对 端的以太网 MAC地址，建立PPPOE的SESSION_ID 。PPP协 议定义端到端之间的关系是客户机-服务器的关系。在初始 化过程中，主机（客户机）发现接入集中器（服务器）。根 据网络拓扑，主机可以和一个以上的接入服务器进行通讯。 初始化过程允许主机与所有的接入服务器通信，并从中选一。 当主机和接入服务器都有了它们要用来在以太网上建立点对 点连接的信息时，初始化完成。 PPP过程阶段 初始化过程保持原来状态直至PPP过程开始建立。当 PP

9、P过程开始被建立，主机和接入服务器必须把资源分配给 PPP协议的虚拟接口。 精选课件15 Destination_ADDR域包括单播以太网目的地址或以太网广播地址（域包括单播以太网目的地址或以太网广播地址（0 xffffffff） 。在初始化包中，值是单播或广播地址。在初始化包中，值是单播或广播地址。Source_ADDR域必须包含源设备的域必须包含源设备的 以太网以太网MAC地址。地址。Ether_TYPE被定义为被定义为0 x8863（初始化阶段）或（初始化阶段）或0 x8864 （PPP过程阶段）。过程阶段）。 以太网帧结构以太网帧结构 Destination_ADDR （6 octet

10、s） Source_ADDR （6 octets） Ether_TYPE （2 octets） payload Checksum 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 Ether header 精选课件16 PPPOE的以太网的以太网payload域定义如图域定义如图 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 VER TYPECODESESSION_ID LENGTHpayload VER和和TYPE域是域是4位，在这位，在这PPPOE说明的版本都必须被设为说明的版本都必须被设为

11、0 x1。 CODE域是域是8位。位。SESSION_ID域是域是16位，被给定的位，被给定的PPP进程所固定。进程所固定。 实际上，实际上，SESSION_ID和和Source_ADDR，Destination_ADDR域一起定义一个域一起定义一个 PPP进程。进程。 LENGTH域为域为16位，它的值指示位，它的值指示PPPOE的的payload域长度，它不包括以太网或域长度，它不包括以太网或 PPPOE头的长度在内。头的长度在内。 精选课件17 初始化过程初始化过程: 初始化过程有四步。它完成的时候，两端都知道初始化过程有四步。它完成的时候，两端都知道PPPOE的的SESSION_ID和

12、对和对 端的以太网地址，这两个值一起定义一个唯一的端的以太网地址，这两个值一起定义一个唯一的PPPOE进程。步骤包括主机进程。步骤包括主机 广播一个初始化包，一个或多个接入服务器发回应答包，接着主机发单播请广播一个初始化包，一个或多个接入服务器发回应答包，接着主机发单播请 求包，被选中的接入服务器发回确认包。当主机收到确认包的时候，它可以求包，被选中的接入服务器发回确认包。当主机收到确认包的时候，它可以 进入到进入到PPP过程阶段。当接入服务器发出确认包的时候，它也可以进入到过程阶段。当接入服务器发出确认包的时候，它也可以进入到PPP 过程阶段。所有初始化以太网帧都把过程阶段。所有初始化以太网

13、帧都把Ether_TYPE域值设为域值设为0 x8863。 精选课件18 1、主机发、主机发PADI（PPPOE Active Discovery Initiation）包）包 主机发一个把主机发一个把Destination_ADDR设为广播地址的设为广播地址的PADI包，包，CODE域被设为域被设为0 x09， SESSION_ID域设为域设为0 x0000。PADI包必须准确地包含一个包必须准确地包含一个TAG_TYPE为为Service- Name的的TAG，指示主机要求的服务和其它数目的，指示主机要求的服务和其它数目的TAG类型。类型。 2、接入服务器发、接入服务器发PADO（PPPO

14、E Active Discovery Offer）包）包 Destination_ADDR域为发送域为发送PADI包的主机单播地址，包的主机单播地址，CODE域被设为域被设为0 x07，SES SION_ID被设为被设为0 x0000。PADO必须包含一个必须包含一个AC-Name TAG，它有接入服务器，它有接入服务器 名字，一个与名字，一个与PADI包有相同包有相同Service-Name的的TAG，和其它指示接入服务器所能，和其它指示接入服务器所能 提供服务的提供服务的Service-Name TAGs。如果接入服务器不能为。如果接入服务器不能为PADI包服务，它就不能包服务，它就不能

15、用用PADO包应答。包应答。 精选课件19 3、主机发、主机发PADR（PPPOE Active Discovery Request）包）包 PADI被广播之后，主机可以收到被广播之后，主机可以收到1个以上的个以上的PADO。主机检查它所收到的。主机检查它所收到的PADO 包，并从中选包，并从中选1。然后主机给它所选中的接入服务器发一个。然后主机给它所选中的接入服务器发一个PADR包。包。Destinati on_ADDR域被置为发送域被置为发送PADO包的接入服务器的单播以太网地址，包的接入服务器的单播以太网地址，CODE域被域被 设为设为0 x19，SESSION_ID被设为被设为0 x0

16、000。 4、接入服务器发、接入服务器发PADS（PPPOE Active Discovery Session-confirmation）包）包 当接入服务器收到当接入服务器收到PADR包的时候，它准备开始一个包的时候，它准备开始一个PPP过程。它为过程。它为PPPOE进进 程产生一个唯一的程产生一个唯一的SESSION_ID并给主机发并给主机发PADS包。包。Destination_ADDR域是域是 发发PADR包的主机单播以太网地址。包的主机单播以太网地址。CODE域被设为域被设为0 x65，SESSION_ID必须设必须设 为给这个为给这个PPPOE进程所产生的唯一值。如果接入服务器不同

17、意进程所产生的唯一值。如果接入服务器不同意PADR中的中的Servi ce-Name，它必须回复一个，它必须回复一个TAG_TYPE为为Service-Name-Error的的TAG。在这种。在这种 情况下情况下SESSION_ID必须被设为必须被设为0 x0000。 精选课件20 5、PADT（PPPOE Active Discovery Terminate）包）包 这个包可以在进程开始后的任何时候发送，指示一个这个包可以在进程开始后的任何时候发送，指示一个PPPOE进程已经被终止。进程已经被终止。 它可以被主机或接入服务器发送。它可以被主机或接入服务器发送。Destination_ADDR

18、域是单播以太网地址，域是单播以太网地址，CO DE域被设为域被设为0 xa7，SESSION_ID指示要被终止的进程，不需要指示要被终止的进程，不需要TAG。当收到。当收到PA DT的时候，不允许利用这个进程发送的时候，不允许利用这个进程发送PPP流量。在收到或发送流量。在收到或发送PADT后甚至正常后甚至正常 的的PPP终止包也不能被发送。终止包也不能被发送。 精选课件21 PPP过程过程: 当当PPPOE进程开始后，进程开始后，PPP数据同其他数据同其他PPP封装一样发送。全部以太网包封装一样发送。全部以太网包 都是单播的。都是单播的。Ether_TYPE域被设为域被设为0 x8864，P

19、PPOE CODE域必须被设为域必须被设为 0 x00。SESSION_ID不能被不能被PPPOE进程所改变，必须是在初始化阶段中被进程所改变，必须是在初始化阶段中被 分配的值。分配的值。 精选课件22 HostZXIP10-CMS PADI PADS PADO PADR PPP Data PADT 精选课件23 Part3:RADIUS 协协 议议 精选课件24 精选课件25 一个网络允许外部用户通过公用网对其进行访问。于是用户在地理上可以一个网络允许外部用户通过公用网对其进行访问。于是用户在地理上可以 极为分散。大量分散用户通过极为分散。大量分散用户通过Modem等设备从不同的地方可以对这

20、个网络等设备从不同的地方可以对这个网络 进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个 网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成 为很重要的问题了。大量的为很重要的问题了。大量的modem形成了形成了Modem pools。对。对modem pool 的的 管理就成为网络接入服务器的任务。管理的内容有管理就成为网络接入服务器的任务。管理的内容有: 1。哪些用户是否可以获得访问权，。哪些用户是否可以获得访问权， 2。获得访问权的

21、用户可以允许使用哪些服务，。获得访问权的用户可以允许使用哪些服务， 3。如何对使用网络资源的用户进行记费。如何对使用网络资源的用户进行记费。 AAA很好的完成了这三项任务。很好的完成了这三项任务。 RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行 验证验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIU S 协议的验证和记账端口号分别为协议的验证和记账端口号分别为1812(1645)和和1813(1646)。 精选课件26 概述：概述： RA

22、DIUS(Remote Authentication Dial In User Service)定义了如何装载位定义了如何装载位 于网络接入服务器于网络接入服务器(NAS)与与RADIUS认证服务器认证服务器(RAS用户口令在用户口令在NAS,RA DIUS Seerver间加密间加密. 3).灵活的认证体系灵活的认证体系 RADIUS提供多种用户认证方法提供多种用户认证方法,包括包括: 通常的通常的username+password PPP PAP&CHAP UNIX login 精选课件28 RADIUS的工作流程的工作流程: 1. 用户拨入时用户拨入时,向接入服务器输入用户名向接入服务器

23、输入用户名,口令口令 2. 位于接入服务器上的位于接入服务器上的RADIUS客户端向客户端向RADIUS服务器发服务器发 送验证请求送验证请求 3. RADIUS服务器向服务器向RADIUS客户端回送验证结果客户端回送验证结果 4. 接入服务器根据回送的结果决定是否允许用户上网接入服务器根据回送的结果决定是否允许用户上网,如果如果 允许用户上网允许用户上网,则则: RADIUS客户端向客户端向RADIUS服务器发送记账开始包服务器发送记账开始包 5. 在用户下网时在用户下网时, RADIUS客户端向客户端向RADIUS服务器发送记账服务器发送记账 结束包结束包 在第三步在第三步, RADIUS

24、服务器回送验证结果时服务器回送验证结果时,同时可以送回用户同时可以送回用户 的配置信息的配置信息,如如:用户的用户的IP地址地址,过滤标识过滤标识,最大上网时长等最大上网时长等. 在记账包中在记账包中,包含有记账所需要的信息包含有记账所需要的信息,如主叫号码如主叫号码,被叫号码被叫号码,接接 入端口号入端口号,出出入的字节数入的字节数,会话时长等会话时长等. 精选课件29 RADIUS的验证：的验证： PPPPPP认证和阶段分析认证和阶段分析 1).1).外部事件表明物理层就绪外部事件表明物理层就绪, UP, UP事件使事件使LCPLCP有限自动机进入建立链接阶段有限自动机进入建立链接阶段 2

25、).2).交换交换ConfigureConfigure数据包数据包,LCP,LCP进入进入OPENEDOPENED状态状态, ,转向认证阶段转向认证阶段( (如果申请认如果申请认 证证)NCP)NCP阶段或认证阶段收到认证请求阶段或认证阶段收到认证请求(Configure-Request)(Configure-Request)将回到该阶段将回到该阶段 3).3).认证阶段认证阶段: :包括包括LCP,LCP,认证协议认证协议, ,链接质量监视数据包链接质量监视数据包 4).NCP4).NCP阶段阶段:NCP:NCP进入进入OPENOPEN状态状态 5).5).链接终止阶段链接终止阶段 PAP(

26、C021) 使用简单的使用简单的2 2路握手办法为用户建立身份路握手办法为用户建立身份, ,在链路建立基础上进行在链路建立基础上进行. . 口令在传输中是透明的口令在传输中是透明的.PAP.PAP可以在允许用纯文本口令注册远程主机的情况中可以在允许用纯文本口令注册远程主机的情况中 使用使用. CHAP(C223) 使用使用3 3路握手检查用户身份路握手检查用户身份, ,在链路建立基础上进行且提出随时认证在链路建立基础上进行且提出随时认证. . 精选课件30 Part4:宽带接入服务器简介宽带接入服务器简介 精选课件31 概述概述： 宽带网络接入服务器位于骨干网的边缘层，作为用户接入网和骨干网之

27、宽带网络接入服务器位于骨干网的边缘层，作为用户接入网和骨干网之 间的网关，终结来自用户接入网的连接（主要是高速的用户接入网），间的网关，终结来自用户接入网的连接（主要是高速的用户接入网）， 提供接入到宽带核心业务网（主要为提供接入到宽带核心业务网（主要为IP网和网和ATM网）的服务。网）的服务。 精选课件32 宽带网络接入服务器的参考结构。宽带网络接入服务器的参考结构。 ADSL接入网 PSTN/ISDN 高速以太网 接入网 FR接入网 BNAS 用户 ATM骨干网 IP骨干网 FR骨干网 网络管理中心 精选课件33 接入模块 协议处理模块业务 管理 模块 网络管理 模块 NMS/RADIUS

28、 根据功能性划分根据功能性划分 ，宽带接入服务器应具备的模块，宽带接入服务器应具备的模块 精选课件34 接入功能模块接入功能模块 接入功能模块包括用户侧的接口模块（包括接入功能模块包括用户侧的接口模块（包括FR接口模块、接口模块、ADSL接口接口 模块、模块、10/100/1000Mbps接口模块等）和网络侧的接口模块（包括接口模块等）和网络侧的接口模块（包括ATM接接 口模块、口模块、FR接口模块、接口模块、 以太网接口模块）以太网接口模块） 通信协议处理模块通信协议处理模块 通信协议处理模块包括众多通信协议，用户侧通信协议（例如通信协议处理模块包括众多通信协议，用户侧通信协议（例如FR U

29、NI, PPPoA/PPPoE等等,）和网络侧通信协议（例如）和网络侧通信协议（例如TCP/IP, IEEE802.3z, L2TP,IPSec等）等） 业务管理模块业务管理模块 宽带网络接入服务器的业务管模块包括网络接入认证与授权模块、计费模宽带网络接入服务器的业务管模块包括网络接入认证与授权模块、计费模 块和统计模块。实现对接入用户的合法性认证、访问授权以及计费信息和统块和统计模块。实现对接入用户的合法性认证、访问授权以及计费信息和统 计信息的收集。计信息的收集。 网络管理模块网络管理模块 宽带网络接入服务器的网管模块包括宽带网络接入服务器的网管模块包括SNMP代理功能模块，代理功能模块，

30、Telnet服务器功能模服务器功能模 块和设备监控功能模块。通过这三种途径方式，可对宽带网络接入服务器进行配块和设备监控功能模块。通过这三种途径方式，可对宽带网络接入服务器进行配 置、控制和管理。置、控制和管理。 精选课件35 1. 用户以用户以PPPoE或或PPPoA方式上网方式上网 2. BNAS完成用户完成用户PPP的验证，可以据此来划分用户级别和限制接入速率，的验证，可以据此来划分用户级别和限制接入速率， 并进行针对用户的计费和安全管理。注意并进行针对用户的计费和安全管理。注意BNAS需要根据用户的输入选择需要根据用户的输入选择 不同不同ISP的的AAA服务器完成认证。服务器完成认证。

31、 3. BNAS需要与各个需要与各个ISP之间建立一个逻辑连接（虚拟接口），（可以用之间建立一个逻辑连接（虚拟接口），（可以用IPoA 或或PPPoA的的PVC）BNAS根据用户的输入选择不同的根据用户的输入选择不同的PVC接口发送业务包，接口发送业务包， 或者通过以太网接口连接。或者通过以太网接口连接。 精选课件36 该方式的协议栈结构该方式的协议栈结构 精选课件37 精选课件38 IP地址的管理和分配：地址的管理和分配： IP地址的管理和分配是地址的管理和分配是IP网上接入设备的核心技术。宽带接入服务器一般网上接入设备的核心技术。宽带接入服务器一般 采取分布式、模块化的处理技术，用户采取分布式、模块化的处理技术，用户IP地址既可以分布在接入服务器的地址既可以分布在接入服务器的 每个处理单元上，也可以由外部的每个处理单元上，也可以由外部的AAA SERVER或专门的地址分配中心或专门的地址分配中心 （IMC）在授权时（）在授权时（Authorization）统一提供。在用户通过认证后，接入）统一提供。在用户通过认证后，接入 处理单元会将获得的用户处理单元会将获得的用户IP地址发送到地址发送到PPP模块，由模块，由PPP模块与用户协商完模块与用户协商完 成最终用户地址的分配。成最终用户地址的分配。 精选课件39 一般来说，需要宽带接入服务