pppoe原理和配置

1、PPPOE業(yè)務(wù)原理及配置業(yè)務(wù)原理及配置Part 1：點到點協(xié)議（：點到點協(xié)議（PPP） 概念：概念： 點對點協(xié)議點對點協(xié)議(PPP)提供了在點對點鏈路上傳輸多種協(xié)議數(shù)據(jù)包的一種提供了在點對點鏈路上傳輸多種協(xié)議數(shù)據(jù)包的一種 標(biāo)準(zhǔn)方法。標(biāo)準(zhǔn)方法。 PPP主要由三部分組成：主要由三部分組成： 1。 一種封裝多種協(xié)議數(shù)據(jù)包的方法；一種封裝多種協(xié)議數(shù)據(jù)包的方法； 2。一個鏈路控制協(xié)議（。一個鏈路控制協(xié)議（LCP）,用于建立，配置，測試數(shù)據(jù)鏈路的連接；用于建立，配置，測試數(shù)據(jù)鏈路的連接； 3。一系列的網(wǎng)絡(luò)控制協(xié)議。一系列的網(wǎng)絡(luò)控制協(xié)議(NCPs)，用于配置和建立不同的網(wǎng)絡(luò)層協(xié)議。，用于配置和建立不同的網(wǎng)絡(luò)

2、層協(xié)議。 鏈路控制協(xié)議（鏈路控制協(xié)議（LCP): 主要用于建立，維護，拆除兩個主要用于建立，維護，拆除兩個PPP LCP實體之間的物實體之間的物理路徑。在建起鏈路之后，理路徑。在建起鏈路之后，LCP還提供對鏈路的測試，檢測鏈還提供對鏈路的測試，檢測鏈路是否正常。路是否正常。 網(wǎng)絡(luò)層控制協(xié)議網(wǎng)絡(luò)層控制協(xié)議(NCP): 主要用于協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式主要用于協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式 與類型與類型 PPP協(xié)議的特點：協(xié)議的特點： 1.PPP協(xié)議是數(shù)據(jù)鏈路層協(xié)議；協(xié)議是數(shù)據(jù)鏈路層協(xié)議； 2.支持點到點的連接支持點到點的連接 3.物理層可以是同步電路或異步電路（如物理層可以

3、是同步電路或異步電路（如framerelay必須為同步電路）；必須為同步電路）； 4.具有各種具有各種NCP協(xié)議，如協(xié)議，如IPCP, IPXCP更好地支持了網(wǎng)絡(luò)層協(xié)議；更好地支持了網(wǎng)絡(luò)層協(xié)議； 5.具有驗證協(xié)議具有驗證協(xié)議CHAP,PAP，更好了保證了網(wǎng)絡(luò)的安全性。，更好了保證了網(wǎng)絡(luò)的安全性。PPP中的認(rèn)證協(xié)議中的認(rèn)證協(xié)議v 一一. PAP為兩次握手協(xié)議，它通過用戶名及口令來為兩次握手協(xié)議，它通過用戶名及口令來對用戶進行驗證。對用戶進行驗證。o PAP驗證過程如下：驗證過程如下：0當(dāng)兩端鏈路可相互傳輸數(shù)據(jù)時，被驗證方發(fā)送本端的用戶名及口令到驗證方，驗證方根據(jù)本端的用戶表（或radius服務(wù)器

4、）查看是否有此用戶，口令是否正確。如正確則會給對端發(fā)送ACK報文，通告對端已被允許進入下一階段協(xié)商；0否則發(fā)送NAK報文，通告對端驗證失敗。此時，并不會直接將鏈路關(guān)閉。只有當(dāng)驗證不過次數(shù)達到一定值（缺省為4）時，才會關(guān)閉鏈路，來防止因誤傳、網(wǎng)絡(luò)干擾等造成不必要的LCP重新協(xié)商過程（每次撥號撥通后，主動方會送四次username/password給校驗方。如果不通就此次檢驗失敗，并在下次撥通后retry）o 。 PAP的特點的特點:0是在網(wǎng)絡(luò)上以明文的方式傳遞用戶名及口令，如在傳輸過程中被截獲，便有可能對網(wǎng)絡(luò)安全造成極大的威脅。因此，它適用于對網(wǎng)絡(luò)安全要求相對較低的環(huán)境。PAP驗證為明文驗證驗證

5、為明文驗證，過程如下：ClientServerauthor reqauth ackauth nakff 03 c0 23 01 (id) (len) username passwordff 03 c0 23 02 (id) (len) msgff 03 c0 23 03 (id) (len) msgPAP驗證過程v二二. CHAP為三次握手協(xié)議。為三次握手協(xié)議。o 它的特點是，只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸用戶口它的特點是，只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸用戶口令，因此它的安全性要比令，因此它的安全性要比PAP高。高。vCHAP的驗證過程為：的驗證過程為：o 首先由驗證方向被驗證方發(fā)送一些隨

6、機產(chǎn)生的報文，并同首先由驗證方向被驗證方發(fā)送一些隨機產(chǎn)生的報文，并同時將本端的主機名附帶上一起發(fā)送給被驗證方。被驗證方時將本端的主機名附帶上一起發(fā)送給被驗證方。被驗證方接到對端對本端的驗證請求接到對端對本端的驗證請求(Challenge)時，便根據(jù)此報文時，便根據(jù)此報文中驗證方的主機名和本端的用戶表查找用戶口令字，如找中驗證方的主機名和本端的用戶表查找用戶口令字，如找到用戶表中與驗證方主機名相同的用戶，便利用報文到用戶表中與驗證方主機名相同的用戶，便利用報文ID、此用戶的密鑰用此用戶的密鑰用Md5算法生成應(yīng)答（算法生成應(yīng)答（Response），隨后將），隨后將應(yīng)答和自己的主機名送回。驗證方接到

7、此應(yīng)答后，用報文應(yīng)答和自己的主機名送回。驗證方接到此應(yīng)答后，用報文ID、本方保留的口令字（密鑰）和隨機報文用、本方保留的口令字（密鑰）和隨機報文用Md5算法得算法得出結(jié)果，與被驗證方應(yīng)答比較，根據(jù)比較結(jié)果返回相應(yīng)的出結(jié)果，與被驗證方應(yīng)答比較，根據(jù)比較結(jié)果返回相應(yīng)的結(jié)果（結(jié)果（ACK or NAK）。）。ClientServerresponsecode successcode failureff 03 c2 23 02 (id) (len) (md5)ff 03 c0 23 03 (id) (len) msgff 03 c0 23 04 (id) (len) msgCHAP驗證過程challen

8、geff 03 c2 23 01 (id) (len) (challenge) CHAP驗證為加密驗證驗證為加密驗證，過程如下：Part 2：PPPOE協(xié)議協(xié)議IPPPPOEAAL5SAREthernet 1483PPPAAL5AAL5上的上的PPPOEPPPOE協(xié)議棧協(xié)議棧IPPPPOEEthernetPPP以太網(wǎng)上的以太網(wǎng)上的PPPOEPPPOE協(xié)議棧協(xié)議棧ATM 協(xié)議概述協(xié)議概述vPPPOE有兩個明顯的階段有兩個明顯的階段:o 初始化階段初始化階段0 當(dāng)一個主機想開始PPPOE進程的時候，它必須先識別對端的以太網(wǎng) MAC地址，建立PPPOE的SESSION_ID 。PPP協(xié)議定義端到端之

9、間的關(guān)系是客戶機-服務(wù)器的關(guān)系。在初始化過程中，主機（客戶機）發(fā)現(xiàn)接入集中器（服務(wù)器）。根據(jù)網(wǎng)絡(luò)拓?fù)?，主機可以和一個以上的接入服務(wù)器進行通訊。初始化過程允許主機與所有的接入服務(wù)器通信，并從中選一。當(dāng)主機和接入服務(wù)器都有了它們要用來在以太網(wǎng)上建立點對 點連接的信息時，初始化完成。o PPP過程階段過程階段0 初始化過程保持原來狀態(tài)直至PPP過程開始建立。當(dāng)PPP過程開始被建立，主機和接入服務(wù)器必須把資源分配給PPP協(xié)議的虛擬接口。Destination_ADDR域包括單播以太網(wǎng)目的地址或以太網(wǎng)廣播地址（域包括單播以太網(wǎng)目的地址或以太網(wǎng)廣播地址（0 xffffffff）。在初始化包中，值是單播或廣

10、播地址。在初始化包中，值是單播或廣播地址。Source_ADDR域必須包含源設(shè)備的域必須包含源設(shè)備的以太網(wǎng)以太網(wǎng)MAC地址。地址。Ether_TYPE被定義為被定義為0 x8863（初始化階段）或（初始化階段）或0 x8864（PPP過程階段）。過程階段）。 以太網(wǎng)幀結(jié)構(gòu)以太網(wǎng)幀結(jié)構(gòu) Destination_ADDR（6 octets）Source_ADDR（6 octets）Ether_TYPE（2 octets）payloadChecksum0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 Ether headerPPPOE的以太網(wǎng)的以太網(wǎng)payload域定義如圖域定義如

11、圖 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1VER TYPECODESESSION_IDLENGTHpayloadVER和和TYPE域是域是4位，在這位，在這PPPOE說明的版本都必須被設(shè)為說明的版本都必須被設(shè)為0 x1。CODE域是域是8位。位。SESSION_ID域是域是16位，被給定的位，被給定的PPP進程所固定。進程所固定。實際上，實際上，SESSION_ID和和Source_ADDR，Destination_ADDR域一起定義一個域一起定義一個PPP進程。進程。LENGTH域為域為16位，它的值指示

12、位，它的值指示PPPOE的的payload域長度，它不包括以太網(wǎng)或域長度，它不包括以太網(wǎng)或PPPOE頭的長度在內(nèi)。頭的長度在內(nèi)。初始化過程初始化過程:初始化過程有四步。它完成的時候，兩端都知道初始化過程有四步。它完成的時候，兩端都知道PPPOE的的SESSION_ID和對和對端的以太網(wǎng)地址，這兩個值一起定義一個唯一的端的以太網(wǎng)地址，這兩個值一起定義一個唯一的PPPOE進程。步驟包括主機進程。步驟包括主機廣播一個初始化包，一個或多個接入服務(wù)器發(fā)回應(yīng)答包，接著主機發(fā)單播請廣播一個初始化包，一個或多個接入服務(wù)器發(fā)回應(yīng)答包，接著主機發(fā)單播請求包，被選中的接入服務(wù)器發(fā)回確認(rèn)包。當(dāng)主機收到確認(rèn)包的時候，它

13、可以求包，被選中的接入服務(wù)器發(fā)回確認(rèn)包。當(dāng)主機收到確認(rèn)包的時候，它可以進入到進入到PPP過程階段。當(dāng)接入服務(wù)器發(fā)出確認(rèn)包的時候，它也可以進入到過程階段。當(dāng)接入服務(wù)器發(fā)出確認(rèn)包的時候，它也可以進入到PPP過程階段。所有初始化以太網(wǎng)幀都把過程階段。所有初始化以太網(wǎng)幀都把Ether_TYPE域值設(shè)為域值設(shè)為0 x8863。1、主機發(fā)、主機發(fā)PADI（PPPOE Active Discovery Initiation）包）包主機發(fā)一個把主機發(fā)一個把Destination_ADDR設(shè)為廣播地址的設(shè)為廣播地址的PADI包，包，CODE域被設(shè)為域被設(shè)為0 x09，SESSION_ID域設(shè)為域設(shè)為0 x000

14、0。PADI包必須準(zhǔn)確地包含一個包必須準(zhǔn)確地包含一個TAG_TYPE為為Service-Name的的TAG，指示主機要求的服務(wù)和其它數(shù)目的，指示主機要求的服務(wù)和其它數(shù)目的TAG類型。類型。例例1：PADI 數(shù)據(jù)報文數(shù)據(jù)報文FF FF FF FF FF FF 00 10 A4 97 C1 D9 88 63 11 09 00 00 00 0C 01 03 00 04 010000 00 01 01 00 00例例1：PADI 數(shù)據(jù)報文數(shù)據(jù)報文FF FF FF FF FF FF 00 10 A4 97 C1 D9 88 63 11 09 00 00 00 0C 01 03 00 04 010000

15、00 01 01 00 00這個報文中包括兩個標(biāo)記：一個是主機的只唯一標(biāo)識，這個報文中包括兩個標(biāo)記：一個是主機的只唯一標(biāo)識，另一個則是服務(wù)名標(biāo)記，從上面這另一個則是服務(wù)名標(biāo)記，從上面這個報文中可以看出服務(wù)名沒有具體實際的內(nèi)容，說明對個報文中可以看出服務(wù)名沒有具體實際的內(nèi)容，說明對于用戶主機可以接受任何由訪問集中器所提供的服務(wù)。于用戶主機可以接受任何由訪問集中器所提供的服務(wù)。2、接入服務(wù)器發(fā)、接入服務(wù)器發(fā)PADO（PPPOE Active Discovery Offer）包）包Destination_ADDR域為發(fā)送域為發(fā)送PADI包的主機單播地址，包的主機單播地址，CODE域被設(shè)為域被設(shè)為0

16、x07，SESSION_ID被設(shè)為被設(shè)為0 x0000。PADO必須包含一個必須包含一個AC-Name TAG，它有接入服，它有接入服務(wù)器務(wù)器名字，一個與名字，一個與PADI包有相同包有相同Service-Name的的TAG，和其它指示接入服務(wù)器，和其它指示接入服務(wù)器所能所能提供服務(wù)的提供服務(wù)的Service-Name TAGs。如果接入服務(wù)器不能為。如果接入服務(wù)器不能為PADI包服務(wù)，它包服務(wù)，它就不能就不能用用PADO包應(yīng)答。包應(yīng)答。例例2：PADO 數(shù)據(jù)報文數(shù)據(jù)報文00 10 A4 97 C1 D9 00 B0 D0 BC AB 75 88 63 11 07 00 00 00 1A 01

17、 02 00 06 4D 44 35 35 30 30 01 03 00 04 01 00 00 00 01 01 00 00 00 00 00 00例例2：PADO 數(shù)據(jù)報文數(shù)據(jù)報文00 10 A4 97 C1 D9 00 B0 D0 BC AB 75 88 63 11 07 00 00 00 1A 01 02 00 06 4D 44 35 35 30 30 01 03 00 04 01 00 00 00 01 01 00 00 00 00 00 00這個報文中包括這個報文中包括4個標(biāo)記，在個標(biāo)記，在PADI所提供的標(biāo)記的基礎(chǔ)上又增所提供的標(biāo)記的基礎(chǔ)上又增加了兩個標(biāo)記，一個是訪問加了兩個標(biāo)記

18、，一個是訪問集中器名，而且還包含一個標(biāo)記結(jié)束標(biāo)記。集中器名，而且還包含一個標(biāo)記結(jié)束標(biāo)記。 3、主機發(fā)、主機發(fā)PADR（PPPOE Active Discovery Request）包）包PADI被廣播之后，主機可以收到被廣播之后，主機可以收到1個以上的個以上的PADO。主機檢查它所收到的。主機檢查它所收到的PADO包，并從中選包，并從中選1。然后主機給它所選中的接入服務(wù)器發(fā)一個。然后主機給它所選中的接入服務(wù)器發(fā)一個PADR包。包。Destination_ADDR域被置為發(fā)送域被置為發(fā)送PADO包的接入服務(wù)器的單播以太網(wǎng)地址，包的接入服務(wù)器的單播以太網(wǎng)地址，CODE域被域被設(shè)為設(shè)為0 x19，S

19、ESSION_ID被設(shè)為被設(shè)為0 x0000。4、接入服務(wù)器發(fā)、接入服務(wù)器發(fā)PADS（PPPOE Active Discovery Session-confirmation）包）包當(dāng)接入服務(wù)器收到當(dāng)接入服務(wù)器收到PADR包的時候，它準(zhǔn)備開始一個包的時候，它準(zhǔn)備開始一個PPP過程。它為過程。它為PPPOE進進程產(chǎn)生一個唯一的程產(chǎn)生一個唯一的SESSION_ID并給主機發(fā)并給主機發(fā)PADS包。包。Destination_ADDR域是域是發(fā)發(fā)PADR包的主機單播以太網(wǎng)地址。包的主機單播以太網(wǎng)地址。CODE域被設(shè)為域被設(shè)為0 x65，SESSION_ID必須設(shè)必須設(shè)為給這個為給這個PPPOE進程所產(chǎn)生

20、的唯一值。如果接入服務(wù)器不同意進程所產(chǎn)生的唯一值。如果接入服務(wù)器不同意PADR中的中的Service-Name，它必須回復(fù)一個，它必須回復(fù)一個TAG_TYPE為為Service-Name-Error的的TAG。在這種。在這種情況下情況下SESSION_ID必須被設(shè)為必須被設(shè)為0 x0000。5、PADT（PPPOE Active Discovery Terminate）包）包這個包可以在進程開始后的任何時候發(fā)送，指示一個這個包可以在進程開始后的任何時候發(fā)送，指示一個PPPOE進程已經(jīng)被終止。進程已經(jīng)被終止。它可以被主機或接入服務(wù)器發(fā)送。它可以被主機或接入服務(wù)器發(fā)送。Destination_AD

21、DR域是單播以太網(wǎng)地址，域是單播以太網(wǎng)地址，CODE域被設(shè)為域被設(shè)為0 xa7，SESSION_ID指示要被終止的進程，不需要指示要被終止的進程，不需要TAG。當(dāng)收到。當(dāng)收到PADT的時候，不允許利用這個進程發(fā)送的時候，不允許利用這個進程發(fā)送PPP流量。在收到或發(fā)送流量。在收到或發(fā)送PADT后甚至正常后甚至正常的的PPP終止包也不能被發(fā)送。終止包也不能被發(fā)送。PPP過程過程:當(dāng)當(dāng)PPPOE進程開始后，進程開始后，PPP數(shù)據(jù)同其他數(shù)據(jù)同其他PPP封裝一樣發(fā)送。全部以太網(wǎng)包封裝一樣發(fā)送。全部以太網(wǎng)包都是單播的。都是單播的。Ether_TYPE域被設(shè)為域被設(shè)為0 x8864，PPPOE CODE域必

22、須被設(shè)為域必須被設(shè)為0 x00。SESSION_ID不能被不能被PPPOE進程所改變，必須是在初始化階段中被進程所改變，必須是在初始化階段中被分配的值。分配的值。HostZXIP10-CMSPADIPADSPADOPADRPPP DataPADTPart3:RADIUS 協(xié)協(xié) 議議一個網(wǎng)絡(luò)允許外部用戶通過公用網(wǎng)對其進行訪問。于是用戶在地理上可以一個網(wǎng)絡(luò)允許外部用戶通過公用網(wǎng)對其進行訪問。于是用戶在地理上可以極為分散。大量分散用戶通過極為分散。大量分散用戶通過Modem等設(shè)備從不同的地方可以對這個網(wǎng)絡(luò)等設(shè)備從不同的地方可以對這個網(wǎng)絡(luò)進行隨機的訪問。用戶可以把自己的信息傳遞給這個網(wǎng)絡(luò)，也可以從這個

23、進行隨機的訪問。用戶可以把自己的信息傳遞給這個網(wǎng)絡(luò)，也可以從這個網(wǎng)絡(luò)得到自己想要的信息。由于存在內(nèi)外的雙向數(shù)據(jù)流動，網(wǎng)絡(luò)安全就成網(wǎng)絡(luò)得到自己想要的信息。由于存在內(nèi)外的雙向數(shù)據(jù)流動，網(wǎng)絡(luò)安全就成為很重要的問題了。大量的為很重要的問題了。大量的modem形成了形成了Modem pools。對。對modem pool 的的管理就成為網(wǎng)絡(luò)接入服務(wù)器的任務(wù)。管理的內(nèi)容有管理就成為網(wǎng)絡(luò)接入服務(wù)器的任務(wù)。管理的內(nèi)容有: 1。哪些用戶是否可以獲得訪問權(quán)，。哪些用戶是否可以獲得訪問權(quán)， 2。獲得訪問權(quán)的用戶可以允許使用哪些服務(wù)，。獲得訪問權(quán)的用戶可以允許使用哪些服務(wù)， 3。如何對使用網(wǎng)絡(luò)資源的用戶進行記費。如何

24、對使用網(wǎng)絡(luò)資源的用戶進行記費。AAA很好的完成了這三項任務(wù)。很好的完成了這三項任務(wù)。RADIUS通過建立一個唯一的用戶數(shù)據(jù)庫，存儲用戶名，用戶的密碼來進行通過建立一個唯一的用戶數(shù)據(jù)庫，存儲用戶名，用戶的密碼來進行驗證驗證; 存儲傳遞給用戶的服務(wù)類型以及相應(yīng)的配置信息來完成授權(quán)。存儲傳遞給用戶的服務(wù)類型以及相應(yīng)的配置信息來完成授權(quán)。RADIUS 協(xié)議的驗證和記賬端口號分別為協(xié)議的驗證和記賬端口號分別為1812(1645)和和1813(1646)。概述：概述：RADIUS(Remote Authentication Dial In User Service)定義了如何裝載位定義了如何裝載位于網(wǎng)絡(luò)接

25、入服務(wù)器于網(wǎng)絡(luò)接入服務(wù)器(NAS)與與RADIUS認(rèn)證服務(wù)器認(rèn)證服務(wù)器(RAS&RADIUS Server&3A Server)之間用于認(rèn)證之間用于認(rèn)證,授權(quán)和配置的信息授權(quán)和配置的信息.其中其中RADIUS Server對對NAS鏈鏈接作出認(rèn)證接作出認(rèn)證.RADIUS通過管理用戶數(shù)據(jù)庫通過管理用戶數(shù)據(jù)庫(包括安全包括安全,授權(quán)和計費授權(quán)和計費),管理和為用戶提供業(yè)管理和為用戶提供業(yè)務(wù)務(wù)(如如PPP,SLIP,telnet,rlogin)的詳細(xì)配置信息來完成如下三方面工作的詳細(xì)配置信息來完成如下三方面工作: 1)認(rèn)證認(rèn)證(Authentication): 2)授權(quán)授權(quán)(Auth

26、orzation): 3)計費計費(Accounting):RADIUS特性包括特性包括: 1).C/S模型模型 Client: 網(wǎng)絡(luò)接入服務(wù)器網(wǎng)絡(luò)接入服務(wù)器(NAS) 向向RADIUS Server 傳遞用戶信息傳遞用戶信息,對應(yīng)答作出響應(yīng)對應(yīng)答作出響應(yīng). Server: RADIUS Server 接收用戶連接請求接收用戶連接請求,認(rèn)證用戶認(rèn)證用戶,向向NAS返回所有配置信息返回所有配置信息(用于用于NAS向向user發(fā)發(fā) 送業(yè)務(wù)送業(yè)務(wù)). 2).網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 NAS 與與RADIUS Server共享共享secret(不在網(wǎng)絡(luò)上傳送不在網(wǎng)絡(luò)上傳送);用戶口令在用戶口令在NAS,RA

27、DIUS Seerver間加密間加密. 3).靈活的認(rèn)證體系靈活的認(rèn)證體系 RADIUS提供多種用戶認(rèn)證方法提供多種用戶認(rèn)證方法,包括包括: 通常的通常的username+password PPP PAP&CHAP UNIX login RADIUS的工作流程的工作流程:1. 用戶撥入時用戶撥入時,向接入服務(wù)器輸入用戶名向接入服務(wù)器輸入用戶名,口令口令2. 位于接入服務(wù)器上的位于接入服務(wù)器上的RADIUS客戶端向客戶端向RADIUS服務(wù)器發(fā)服務(wù)器發(fā) 送驗證請求送驗證請求3. RADIUS服務(wù)器向服務(wù)器向RADIUS客戶端回送驗證結(jié)果客戶端回送驗證結(jié)果4. 接入服務(wù)器根據(jù)回送的結(jié)果決定是

28、否允許用戶上網(wǎng)接入服務(wù)器根據(jù)回送的結(jié)果決定是否允許用戶上網(wǎng),如果如果 允許用戶上網(wǎng)允許用戶上網(wǎng),則則: RADIUS客戶端向客戶端向RADIUS服務(wù)器發(fā)送記賬開始包服務(wù)器發(fā)送記賬開始包5. 在用戶下網(wǎng)時在用戶下網(wǎng)時, RADIUS客戶端向客戶端向RADIUS服務(wù)器發(fā)送記賬服務(wù)器發(fā)送記賬 結(jié)束包結(jié)束包在第三步在第三步, RADIUS服務(wù)器回送驗證結(jié)果時服務(wù)器回送驗證結(jié)果時,同時可以送回用戶同時可以送回用戶的配置信息的配置信息,如如:用戶的用戶的IP地址地址,過濾標(biāo)識過濾標(biāo)識,最大上網(wǎng)時長等最大上網(wǎng)時長等.在記賬包中在記賬包中,包含有記賬所需要的信息包含有記賬所需要的信息,如主叫號碼如主叫號碼,被

29、叫號碼被叫號碼,接接入端口號入端口號,出出入的字節(jié)數(shù)入的字節(jié)數(shù),會話時長等會話時長等.RADIUS的驗證：的驗證：PPPPPP認(rèn)證和階段分析認(rèn)證和階段分析 1).1).外部事件表明物理層就緒外部事件表明物理層就緒, UP, UP事件使事件使LCPLCP有限自動機進入建立鏈接階段有限自動機進入建立鏈接階段2).2).交換交換ConfigureConfigure數(shù)據(jù)包數(shù)據(jù)包,LCP,LCP進入進入OPENEDOPENED狀態(tài)狀態(tài), ,轉(zhuǎn)向認(rèn)證階段轉(zhuǎn)向認(rèn)證階段( (如果申請認(rèn)如果申請認(rèn) 證證)NCP)NCP階段或認(rèn)證階段收到認(rèn)證請求階段或認(rèn)證階段收到認(rèn)證請求(Configure-Request)(C

30、onfigure-Request)將回到該階段將回到該階段3).3).認(rèn)證階段認(rèn)證階段: :包括包括LCP,LCP,認(rèn)證協(xié)議認(rèn)證協(xié)議, ,鏈接質(zhì)量監(jiān)視數(shù)據(jù)包鏈接質(zhì)量監(jiān)視數(shù)據(jù)包4).NCP4).NCP階段階段:NCP:NCP進入進入OPENOPEN狀態(tài)狀態(tài)5).5).鏈接終止階段鏈接終止階段PAP(C021)使用簡單的使用簡單的2 2路握手辦法為用戶建立身份路握手辦法為用戶建立身份, ,在鏈路建立基礎(chǔ)上進行在鏈路建立基礎(chǔ)上進行. .口令在傳輸中是透明的口令在傳輸中是透明的.PAP.PAP可以在允許用純文本口令注冊遠程主機的情況中可以在允許用純文本口令注冊遠程主機的情況中使用使用.CHAP(C22

31、3)使用使用3 3路握手檢查用戶身份路握手檢查用戶身份, ,在鏈路建立基礎(chǔ)上進行且提出隨時認(rèn)證在鏈路建立基礎(chǔ)上進行且提出隨時認(rèn)證. .Part4:寬帶接入服務(wù)器簡介寬帶接入服務(wù)器簡介概述概述：寬帶網(wǎng)絡(luò)接入服務(wù)器位于骨干網(wǎng)的邊緣層，作為用戶接入網(wǎng)和骨干網(wǎng)之寬帶網(wǎng)絡(luò)接入服務(wù)器位于骨干網(wǎng)的邊緣層，作為用戶接入網(wǎng)和骨干網(wǎng)之間的網(wǎng)關(guān)，終結(jié)來自用戶接入網(wǎng)的連接（主要是高速的用戶接入網(wǎng)），間的網(wǎng)關(guān)，終結(jié)來自用戶接入網(wǎng)的連接（主要是高速的用戶接入網(wǎng)），提供接入到寬帶核心業(yè)務(wù)網(wǎng)（主要為提供接入到寬帶核心業(yè)務(wù)網(wǎng)（主要為IP網(wǎng)和網(wǎng)和ATM網(wǎng)）的服務(wù)。網(wǎng)）的服務(wù)。寬帶網(wǎng)絡(luò)接入服務(wù)器的參考結(jié)構(gòu)。寬帶網(wǎng)絡(luò)接入服務(wù)器的參考

32、結(jié)構(gòu)。 ADSL接入網(wǎng)PSTN/ISDN高速以太網(wǎng)接入網(wǎng) FR接入網(wǎng)BNAS用戶 ATM骨干網(wǎng)IP骨干網(wǎng)FR骨干網(wǎng) 網(wǎng)絡(luò)管理中心接入模塊協(xié)議處理模塊業(yè)務(wù)管理模塊網(wǎng)絡(luò)管理模塊NMS/RADIUS根據(jù)功能性劃分根據(jù)功能性劃分 ，寬帶接入服務(wù)器應(yīng)具備的模塊，寬帶接入服務(wù)器應(yīng)具備的模塊 接入功能模塊接入功能模塊接入功能模塊包括用戶側(cè)的接口模塊（包括接入功能模塊包括用戶側(cè)的接口模塊（包括FR接口模塊、接口模塊、ADSL接口接口模塊、模塊、10/100/1000Mbps接口模塊等）和網(wǎng)絡(luò)側(cè)的接口模塊（包括接口模塊等）和網(wǎng)絡(luò)側(cè)的接口模塊（包括ATM接接口模塊、口模塊、FR接口模塊、接口模塊、 以太網(wǎng)接口模塊

33、）以太網(wǎng)接口模塊） 通信協(xié)議處理模塊通信協(xié)議處理模塊 通信協(xié)議處理模塊包括眾多通信協(xié)議，用戶側(cè)通信協(xié)議（例如通信協(xié)議處理模塊包括眾多通信協(xié)議，用戶側(cè)通信協(xié)議（例如FR UNI, PPPoA/PPPoE等等,）和網(wǎng)絡(luò)側(cè)通信協(xié)議（例如）和網(wǎng)絡(luò)側(cè)通信協(xié)議（例如TCP/IP, IEEE802.3z, L2TP,IPSec等）等） 業(yè)務(wù)管理模塊業(yè)務(wù)管理模塊寬帶網(wǎng)絡(luò)接入服務(wù)器的業(yè)務(wù)管模塊包括網(wǎng)絡(luò)接入認(rèn)證與授權(quán)模塊、計費模寬帶網(wǎng)絡(luò)接入服務(wù)器的業(yè)務(wù)管模塊包括網(wǎng)絡(luò)接入認(rèn)證與授權(quán)模塊、計費模塊和統(tǒng)計模塊。實現(xiàn)對接入用戶的合法性認(rèn)證、訪問授權(quán)以及計費信息和統(tǒng)塊和統(tǒng)計模塊。實現(xiàn)對接入用戶的合法性認(rèn)證、訪問授權(quán)以及計費

34、信息和統(tǒng)計信息的收集。計信息的收集。 網(wǎng)絡(luò)管理模塊網(wǎng)絡(luò)管理模塊寬帶網(wǎng)絡(luò)接入服務(wù)器的網(wǎng)管模塊包括寬帶網(wǎng)絡(luò)接入服務(wù)器的網(wǎng)管模塊包括SNMP代理功能模塊，代理功能模塊，Telnet服務(wù)器功能模服務(wù)器功能模塊和設(shè)備監(jiān)控功能模塊。通過這三種途徑方式，可對寬帶網(wǎng)絡(luò)接入服務(wù)器進行配塊和設(shè)備監(jiān)控功能模塊。通過這三種途徑方式，可對寬帶網(wǎng)絡(luò)接入服務(wù)器進行配置、控制和管理。置、控制和管理。 1. 用戶以用戶以PPPoE或或PPPoA方式上網(wǎng)方式上網(wǎng) 2. BNAS完成用戶完成用戶PPP的驗證，可以據(jù)此來劃分用戶級別和限制接入速率，的驗證，可以據(jù)此來劃分用戶級別和限制接入速率， 并進行針對用戶的計費和安全管理。注意并

35、進行針對用戶的計費和安全管理。注意BNAS需要根據(jù)用戶的輸入選擇需要根據(jù)用戶的輸入選擇 不同不同ISP的的AAA服務(wù)器完成認(rèn)證。服務(wù)器完成認(rèn)證。 3. BNAS需要與各個需要與各個ISP之間建立一個邏輯連接（虛擬接口），（可以用之間建立一個邏輯連接（虛擬接口），（可以用IPoA 或或PPPoA的的PVC）BNAS根據(jù)用戶的輸入選擇不同的根據(jù)用戶的輸入選擇不同的PVC接口發(fā)送業(yè)務(wù)包，接口發(fā)送業(yè)務(wù)包， 或者通過以太網(wǎng)接口連接?；蛘咄ㄟ^以太網(wǎng)接口連接。該方式的協(xié)議棧結(jié)構(gòu)該方式的協(xié)議棧結(jié)構(gòu) IP地址的管理和分配：地址的管理和分配：IP地址的管理和分配是地址的管理和分配是IP網(wǎng)上接入設(shè)備的核心技術(shù)。寬帶接入服務(wù)器一般網(wǎng)上接入設(shè)備的核心技術(shù)。寬帶接入服務(wù)器一般采取分布式、模塊化的處理技術(shù)，用戶采取分布式、模塊化的處理技術(shù)，用戶IP地址既可以分布在接入服務(wù)器的地址既可以分布在接入服務(wù)器的每個處理單元上，也可以由外部的每個處理單