PPPoE用戶上線交互過(guò)程

1、PPPoE用戶上線交互過(guò)程PPPoE用戶上線要經(jīng)過(guò) PPPoE協(xié)商、LCP協(xié)商、PAP/CHAP認(rèn)證、NCP協(xié)商幾個(gè)階段PPPoE協(xié)商PPPoE協(xié)商是 ME設(shè)備為用戶分配 PPPoE接入用的 Session ID ，該Session ID 在每ME設(shè)備上唯一，用來(lái)唯一標(biāo)識(shí)一條用戶與ME設(shè)備之間的PPPoE虛擬鏈路。PPPoE的協(xié)商流程見(jiàn)下圖。圖1 PPPoE的協(xié)商流程UserME601 PADI紂皿04.PADS1. 用戶廣播一個(gè) PADI包，在此包中包含用戶想要得到的服務(wù)類型信息。2. 以太網(wǎng)內(nèi)的所有接入集中器（如上圖中的ME設(shè)備）在收到這個(gè)初始化包后，將其中請(qǐng)求的服務(wù)與自己能提供的服務(wù)進(jìn)行

2、比較，其中可以為此用戶提供此服務(wù)的接入集中 器發(fā)回PADO包。3. 用戶可能會(huì)收到多個(gè)集中器返回的PADO包。用戶根據(jù)一定的條件從返回PADO包的接入集中器中選定符合條件的接入集中器，并向它返回一個(gè)會(huì)話請(qǐng)求包PADR非廣播），在PADF包中封裝所需的服務(wù)信息。4. 被選定的接入集中器在收到PADR包后開始進(jìn)入 PPP會(huì)話階段。它會(huì)產(chǎn)生一個(gè)會(huì)話標(biāo)識(shí)以唯一的標(biāo)識(shí)它和主機(jī)的這段PPPoE會(huì)話。并把這個(gè)特定的會(huì)話標(biāo)識(shí)包含在會(huì)話確認(rèn)包PADS中發(fā)回給用戶，如果沒(méi)有錯(cuò)誤發(fā)生就進(jìn)入到PPP會(huì)話階段，而主機(jī)在收到會(huì)話確認(rèn)包后如果沒(méi)有錯(cuò)誤發(fā)生也進(jìn)入到PPP會(huì)話階段。LCP協(xié)商LCP協(xié)商的過(guò)程如下：協(xié)商雙方互相發(fā)

3、送一個(gè)LCP Co nfig-Request報(bào)文，確認(rèn)收到的Con fig-Request報(bào)文中的協(xié)商選項(xiàng)，根據(jù)這些選項(xiàng)的支持與接受情況，做岀適當(dāng)?shù)幕貞?yīng)。若兩端都回應(yīng)了 Config-ACK，則標(biāo)志LCP鏈路建立成功，否則會(huì)繼續(xù)發(fā)送Request報(bào)文，直到對(duì)端回應(yīng)了 ACK報(bào)文為止。I 4說(shuō)明： Config-ACK :若完全支持對(duì)端的LCP選項(xiàng)，則回應(yīng) Config-ACK報(bào)文，報(bào)文中必須完全協(xié)帶對(duì)端Request報(bào)文中的選項(xiàng)。 Config-NAK :若支持對(duì)端的協(xié)商選項(xiàng)，但不認(rèn)可該項(xiàng)協(xié)商的內(nèi)容，則回應(yīng)Config-NAK報(bào)文，在Config-NAK的選項(xiàng)中填上自己期望的內(nèi)容，如：對(duì)端MR

4、U直為1500，而自己期望MRU值為1492，則在Config-NAK報(bào)文中埴上自己的期望值1492。 Con fig-Reject:若不能支持對(duì)端的協(xié)商選項(xiàng)，則回應(yīng)Co nfig-Reject報(bào)文，報(bào)文中帶上不能支持的選項(xiàng)，如Windows撥號(hào)器會(huì)協(xié)商 CBCP(被叫回呼)，而ME60不支持CBCP功能，則回將此選項(xiàng)拒絕掉。圖2 LCP協(xié)商的基本過(guò)程ClientServerCPCon1ig-reCon1ig*ackCofrfig-reqConfig-tick1. 當(dāng)用戶與 ME設(shè)備互相發(fā)送 LCP Config-Request報(bào)文并且互相回應(yīng) LCP Config-Ack報(bào)文時(shí)，標(biāo)志著 LC

5、P協(xié)商己經(jīng)成功了。接下來(lái)ME設(shè)備會(huì)周期性的向用戶發(fā)送LCPEcho-Request報(bào)文，探測(cè)用戶是否在線。2. LCP協(xié)議通過(guò)互相發(fā)送 Echo-Request報(bào)文，然后接收對(duì)端回應(yīng)的Echo-reply 報(bào)文,來(lái)探測(cè)LCP鏈接是否正常，以維持LCP連接。LU說(shuō)明：* Echo-Request報(bào)文，只能支持回應(yīng) Echo-Reply報(bào)文, Echo是PPPoE用戶的探測(cè)報(bào)文。 Echo探測(cè)次數(shù)為3次，每20秒為一個(gè)周期，BRAS設(shè)備從用戶上線的一個(gè)周期后開始探測(cè)，探測(cè)3次都未收到用戶的 Reply報(bào)文，即20 * (3 + 1) = 80秒后，會(huì)將用戶 CUT下線。認(rèn)證階段 PAP認(rèn)證PAP為

6、兩次握手協(xié)議，它通過(guò)用戶名及口令來(lái)對(duì)用戶進(jìn)行驗(yàn)證。PAP驗(yàn)證過(guò)程如下：當(dāng)兩端鏈路可相互傳輸數(shù)據(jù)時(shí)，被驗(yàn)證方發(fā)送本端的用戶名及口令到驗(yàn)證方，驗(yàn)證方根據(jù)本端的用戶表(或 Radius服務(wù)器)查看是否有此用戶，口令是否正確。如正確則會(huì)給對(duì)端發(fā)送 Authenticate-ACK報(bào)文，通告對(duì)端已被允許進(jìn)入下一階段協(xié)商；否則發(fā)送NAK報(bào)文，通告對(duì)端驗(yàn)證失敗。此時(shí)，并不會(huì)直接將鏈路關(guān)閉。只有當(dāng)驗(yàn)證不過(guò)次數(shù)達(dá)到一定值(缺省為 10)時(shí)，才會(huì)關(guān)閉鏈路。PAP的特點(diǎn)是在網(wǎng)絡(luò)上以明文的方式傳遞用戶名及口令，如在傳輸過(guò)程中被截獲，便有可能對(duì)網(wǎng)絡(luò)安全造成極大的威脅。因此，它適用于對(duì)網(wǎng)絡(luò)安全要求相對(duì)較低的環(huán)境。用戶發(fā)送

7、認(rèn)證端發(fā)驗(yàn)證請(qǐng)求報(bào)文、并且接收到ME設(shè)備回應(yīng)認(rèn)的證成功報(bào)文后，表示PAP認(rèn)證己經(jīng)成功。否則 ME設(shè)備會(huì)回應(yīng)認(rèn)證失敗報(bào)文，通知用戶認(rèn)證不成功。圖3 PAP認(rèn)證流程ClientServerRadiusPITAuth-req認(rèn)誑階段Aulh-ackAuth-ackP CHAP認(rèn)證CHAP為三次握手協(xié)議。只在網(wǎng)絡(luò)上傳輸用戶名，并不傳輸用戶口令，因此它的安全性要比PAP高。CHAP的驗(yàn)證過(guò)程為：首先由驗(yàn)證方向被驗(yàn)證方發(fā)送一些隨機(jī)產(chǎn)生的報(bào)文，并同時(shí)將本端的主機(jī)名附帶上一起發(fā)送給被驗(yàn)證方。被驗(yàn)證方接到對(duì)端對(duì)本端的驗(yàn)證請(qǐng)求(Challenge)時(shí)，便根據(jù)此報(bào)文中驗(yàn)證方的主機(jī)名和本端的用戶表查找用戶口令字，如找

8、到用戶表中與驗(yàn)證方主機(jī)名相同的用戶，便利用報(bào)文ID、此用戶的密鑰用 Md5算法生成應(yīng)答(Response )，隨后將應(yīng)答和自己的主機(jī)名送回。驗(yàn)證方接到此應(yīng)答后，用報(bào)文ID、本方保留的口令字(密鑰)和隨機(jī)報(bào)文用Md5算法得岀結(jié)果，與被驗(yàn)證方應(yīng)答比較，根據(jù)比較結(jié)果返回相應(yīng)的結(jié)果(ACK or NAK )接受認(rèn)證端發(fā)送 Challe nge申請(qǐng)認(rèn)證端發(fā)驗(yàn)證請(qǐng)求報(bào)文 接受認(rèn)證端回應(yīng)認(rèn)證接受報(bào)文經(jīng)過(guò)以上三次報(bào)文交互后，CHAP認(rèn)證完成，報(bào)文流程見(jiàn)下圖圖4 CHAP認(rèn)證流程ClientServerRadiusppp認(rèn)加段Challenge(CHAP)Auth-reqAuth-reqAuth-ackAjih

9、-ackNCP階段NCP有很多種，女口 IPCP、BCP、IPV6CP,最為常用的是IPCP協(xié)議。NCP的主要功能是協(xié)商 PPP報(bào) 文的網(wǎng)絡(luò)層參數(shù)，如 IP地址，DNS Server IP 地址，WINS Server IP 地址等。PPPoE用戶主要 通過(guò)IPCP來(lái)獲取訪問(wèn)網(wǎng)絡(luò)的IP地址或IP地址段。NCP流程與LCP流程類似，用戶與 ME設(shè)備之間互相發(fā)送 NCPConfig-Request 報(bào)文并且互相回應(yīng)NCP Co nfig-Ack 報(bào)文后，標(biāo)志 NCP己協(xié)商完，用戶上線成功，可以正常訪問(wèn)網(wǎng)絡(luò)了。 IPCPIPCP的協(xié)商過(guò)程是基于 PPP狀態(tài)機(jī)進(jìn)行協(xié)商的。經(jīng)過(guò)雙方協(xié)商，通過(guò)配置請(qǐng)求、配

10、置確認(rèn)、配置否認(rèn)等包文交換配置信息，最終由initial （ 或closed）狀態(tài)變?yōu)镺pened狀態(tài)。IPCP狀態(tài)變?yōu)镺pened的條件必須是發(fā)送方和接收方都發(fā)送和接收過(guò)確認(rèn)包文。IPCP協(xié)商過(guò)程中，協(xié)商包文可包含多個(gè)選項(xiàng)，即參數(shù)。各個(gè)選項(xiàng)的拒絕或否認(rèn)都不能影響IPCP的UP, IPCP可以無(wú)選項(xiàng)協(xié)商，無(wú)選項(xiàng)協(xié)商也同樣能夠UP。選項(xiàng)有IP Address、網(wǎng)關(guān)、掩碼等，其中IP Address是最重要的一個(gè)選項(xiàng)，有些廠家的實(shí)現(xiàn)必須這個(gè)選項(xiàng) 得到確認(rèn)，大多數(shù)廠家的實(shí)現(xiàn)允許這個(gè)選項(xiàng)為空。NCP的基本協(xié)商流程見(jiàn)下圖:圖5 NCP的基本協(xié)商流程ClientServerNCPParmeter-reqParmeter-ackPgrmetr-rq協(xié)輛段Parmeter*acKPPPoE接入流程PPPoE-CHAP為例，PPP用戶接入流程如下:圖6 PPP用戶接入流程IJIE60AAA ServerUser1.PADI1.PADI2.PADO2.PADO協(xié)圈3 PADR3 PADR4 PADS4 PADSPPR協(xié)商- lP協(xié)陽(yáng)CHAF認(rèn)證）（3- lP協(xié)陽(yáng)CHAF認(rèn)證）6