pppoe原理和配置PPT格式课件下载.ppt

pppoe原理和配置PPT格式课件下载.ppt

《pppoe原理和配置PPT格式课件下载.ppt》由会员分享，可在线阅读，更多相关《pppoe原理和配置PPT格式课件下载.ppt（42页珍藏版）》请在冰豆网上搜索。

在建起链路之后，LCP还提供对链路的测试，检测链路是否正常。

网络层控制协议（NCP）:

主要用于协商在该数据链路上所传输的数据包的格式与类型,PPP协议的特点：

1.PPP协议是数据链路层协议；

2.支持点到点的连接3.物理层可以是同步电路或异步电路（如framerelay必须为同步电路）；

4.具有各种NCP协议，如IPCP,IPXCP更好地支持了网络层协议；

5.具有验证协议CHAP,PAP，更好了保证了网络的安全性。

PPP中的认证协议,一.PAP为两次握手协议，它通过用户名及口令来对用户进行验证。

PAP验证过程如下：

当两端链路可相互传输数据时，被验证方发送本端的用户名及口令到验证方，验证方根据本端的用户表（或radius服务器）查看是否有此用户，口令是否正确。

如正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商；

否则发送NAK报文，通告对端验证失败。

此时，并不会直接将链路关闭。

只有当验证不过次数达到一定值（缺省为4）时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程（每次拨号拨通后，主动方会送四次username/password给校验方。

如果不通就此次检验失败，并在下次拨通后retry）。

PAP的特点:

是在网络上以明文的方式传递用户名及口令，如在传输过程中被截获，便有可能对网络安全造成极大的威胁。

因此，它适用于对网络安全要求相对较低的环境。

PAP验证为明文验证，过程如下：

二.CHAP为三次握手协议。

它的特点是，只在网络上传输用户名，而并不传输用户口令，因此它的安全性要比PAP高。

CHAP的验证过程为：

首先由验证方向被验证方发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方。

被验证方接到对端对本端的验证请求（Challenge）时，便根据此报文中验证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用报文ID、此用户的密钥用Md5算法生成应答（Response），随后将应答和自己的主机名送回。

验证方接到此应答后，用报文ID、本方保留的口令字（密钥）和随机报文用Md5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果（ACKorNAK）。

CHAP验证为加密验证，过程如下：

Part2：

PPPOE协议,PPPOE,RFC2516实现PPP帧在以太网上的适配,PPPOE的封装格式,协议概述PPPOE有两个明显的阶段:

初始化阶段当一个主机想开始PPPOE进程的时候，它必须先识别对端的以太网MAC地址，建立PPPOE的SESSION_ID。

PPP协议定义端到端之间的关系是客户机-服务器的关系。

在初始化过程中，主机（客户机）发现接入集中器（服务器）。

根据网络拓扑，主机可以和一个以上的接入服务器进行通讯。

初始化过程允许主机与所有的接入服务器通信，并从中选一。

当主机和接入服务器都有了它们要用来在以太网上建立点对点连接的信息时，初始化完成。

PPP过程阶段初始化过程保持原来状态直至PPP过程开始建立。

当PPP过程开始被建立，主机和接入服务器必须把资源分配给PPP协议的虚拟接口。

Destination_ADDR域包括单播以太网目的地址或以太网广播地址（0xffffffff）。

在初始化包中，值是单播或广播地址。

Source_ADDR域必须包含源设备的以太网MAC地址。

Ether_TYPE被定义为0x8863（初始化阶段）或0x8864（PPP过程阶段）。

以太网帧结构,PPPOE的以太网payload域定义如图,VER和TYPE域是4位，在这PPPOE说明的版本都必须被设为0x1。

CODE域是8位。

SESSION_ID域是16位，被给定的PPP进程所固定。

实际上，SESSION_ID和Source_ADDR，Destination_ADDR域一起定义一个PPP进程。

LENGTH域为16位，它的值指示PPPOE的payload域长度，它不包括以太网或PPPOE头的长度在内。

初始化过程:

初始化过程有四步。

它完成的时候，两端都知道PPPOE的SESSION_ID和对端的以太网地址，这两个值一起定义一个唯一的PPPOE进程。

步骤包括主机广播一个初始化包，一个或多个接入服务器发回应答包，接着主机发单播请求包，被选中的接入服务器发回确认包。

当主机收到确认包的时候，它可以进入到PPP过程阶段。

当接入服务器发出确认包的时候，它也可以进入到PPP过程阶段。

所有初始化以太网帧都把Ether_TYPE域值设为0x8863。

1、主机发PADI（PPPOEActiveDiscoveryInitiation）包主机发一个把Destination_ADDR设为广播地址的PADI包，CODE域被设为0x09，SESSION_ID域设为0x0000。

PADI包必须准确地包含一个TAG_TYPE为Service-Name的TAG，指示主机要求的服务和其它数目的TAG类型。

2、接入服务器发PADO（PPPOEActiveDiscoveryOffer）包Destination_ADDR域为发送PADI包的主机单播地址，CODE域被设为0x07，SESSION_ID被设为0x0000。

PADO必须包含一个AC-NameTAG，它有接入服务器名字，一个与PADI包有相同Service-Name的TAG，和其它指示接入服务器所能提供服务的Service-NameTAGs。

如果接入服务器不能为PADI包服务，它就不能用PADO包应答。

3、主机发PADR（PPPOEActiveDiscoveryRequest）包PADI被广播之后，主机可以收到1个以上的PADO。

主机检查它所收到的PADO包，并从中选1。

然后主机给它所选中的接入服务器发一个PADR包。

Destination_ADDR域被置为发送PADO包的接入服务器的单播以太网地址，CODE域被设为0x19，SESSION_ID被设为0x0000。

4、接入服务器发PADS（PPPOEActiveDiscoverySession-confirmation）包当接入服务器收到PADR包的时候，它准备开始一个PPP过程。

它为PPPOE进程产生一个唯一的SESSION_ID并给主机发PADS包。

Destination_ADDR域是发PADR包的主机单播以太网地址。

CODE域被设为0x65，SESSION_ID必须设为给这个PPPOE进程所产生的唯一值。

如果接入服务器不同意PADR中的Service-Name，它必须回复一个TAG_TYPE为Service-Name-Error的TAG。

在这种情况下SESSION_ID必须被设为0x0000。

5、PADT（PPPOEActiveDiscoveryTerminate）包这个包可以在进程开始后的任何时候发送，指示一个PPPOE进程已经被终止。

它可以被主机或接入服务器发送。

Destination_ADDR域是单播以太网地址，CODE域被设为0xa7，SESSION_ID指示要被终止的进程，不需要TAG。

当收到PADT的时候，不允许利用这个进程发送PPP流量。

在收到或发送PADT后甚至正常的PPP终止包也不能被发送。

PPP过程:

当PPPOE进程开始后，PPP数据同其他PPP封装一样发送。

全部以太网包都是单播的。

Ether_TYPE域被设为0x8864，PPPOECODE域必须被设为0x00。

SESSION_ID不能被PPPOE进程所改变，必须是在初始化阶段中被分配的值。

PPPOE的通信流程,Part3:

RADIUS协议,一个网络允许外部用户通过公用网对其进行访问。

于是用户在地理上可以极为分散。

大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问。

用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。

由于存在内外的双向数据流动，网络安全就成为很重要的问题了。

大量的modem形成了Modempools。

对modempool的管理就成为网络接入服务器的任务。

管理的内容有:

哪些用户是否可以获得访问权，2。

获得访问权的用户可以允许使用哪些服务，3。

如何对使用网络资源的用户进行记费。

AAA很好的完成了这三项任务。

RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行验证;

存储传递给用户的服务类型以及相应的配置信息来完成授权。

RADIUS协议的验证和记账端口号分别为1812（1645）和1813（1646）。

概述：

RADIUS（RemoteAuthenticationDialInUserService）定义了如何装载位于网络接入服务器（NAS）与RADIUS认证服务器（RAS&

RADIUSServer&

3AServer）之间用于认证,授权和配置的信息.其中RADIUSServer对NAS链接作出认证.RADIUS通过管理用户数据库（包括安全,授权和计费）,管理和为用户提供业务（如PPP,SLIP,telnet,rlogin）的详细配置信息来完成如下三方面工作:

1）认证（Authentication）:

2）授权（Authorzation）:

3）计费（Accounting）:

RADIUS特性包括:

1）.C/S模型Client:

网络接入服务器（NAS）向RADIUSServer传递用户信息,对应答作出响应.Server:

RADIUSServer接收用户连接请求,认证用户,向NAS返回所有配置信息（用于NAS向user发送业务）.2）.网络安全NAS与RADIUSServer共享secret（不在网络上传送）;

用户口令在NAS,RADIUSSeerver间加密.3）.灵活的认证体系RADIUS提供多种用户认证方法,包括:

通常的username+passwordPPPPAP&

CHAPUNIXlogin,RADIUS的工作流程:

1.用户拨入时,向接入服务器输入用户名,口令2.位于接入服务器上的RADIUS客户端向RADIUS服务器发送验证请求3.RADIUS服务器向RADIUS客户端回送验证结果4.接入服务器根据回送的结果决定是否允许用户上网,如果允许用户上网,则:

RADIUS客户端向RADIUS服务器发送记账开始包5.在用户下网时,RADIUS客户端向RADIUS服务器发送记账结束包在第三步,RADIUS服务器回送验证结果时,同时可以送回用户的配置信息,如:

用户的IP地址,过滤标识,最大上网时长等.在记账包中,包含有记账所需要的信息,如主叫号码,被叫号码,接入端口号,出入的字节数,会话时长等.,RADIUS的验证：

PPP认证和阶段分析1）.外部事件表明物理层就绪,UP事件使LCP有限自动机进入建立链接阶段2）.交换Configure数据包,LCP进入OPENED状态,转向认证阶段（如果申请认证）NCP阶段或认证阶段收到认证请求（Configure-Request）将回到该阶段3）.认证阶段:

包括LCP,认证协议,链接质量监视数据包4）.NCP阶段:

NCP进入OPEN状态5）.链接终止阶段PAP（C021）使用简单的2路握手办法为用户建立身份,在链路建立基础上进行.口令在传输中是透明的.PAP可以在允许用纯文本口令注册远程主机的情况中使用.CHAP（C223）使用3路握手检查用户身份,在链路建立基础上进行且提出随时认证.,Part4:

宽带接入服务器简介,概述：

宽带网络接入服务器