H3C Bras解決方案建議書

1、H3C Bras解決方案建議書文檔密級(jí)H3C Bras解決方案建議書杭州華三通信技術(shù)有限公司Hangzhou H3C Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved目錄1組網(wǎng)方案說明61.1IRF技術(shù)優(yōu)勢(shì)71.2QinQ大二層技術(shù)82PORTAL認(rèn)證92.1PORTAL系統(tǒng)組成102.2Portal認(rèn)證的實(shí)現(xiàn)機(jī)制112.2.1發(fā)起認(rèn)證的方式112.2.2用戶?；顧C(jī)制112.2.3產(chǎn)品實(shí)現(xiàn)原理122.3PORTAL協(xié)議框架132.4對(duì)EAD系統(tǒng)的支持142.5認(rèn)證方式152.5.1認(rèn)證方式分類152.5.2二層Portal認(rèn)證過程162.5.

2、3三層Portal認(rèn)證過程173PPPoE技術(shù)實(shí)現(xiàn)方案203.1PPPoE組網(wǎng)結(jié)構(gòu)203.2PPPoE報(bào)文格式223.3PPPoE工作過程233.3.1Discovery階段233.3.2Session階段243.3.3Terminate階段243.4典型組網(wǎng)應(yīng)用254UAM Portal服務(wù)器配置254.1配置服務(wù)254.2配置接入設(shè)備及認(rèn)證網(wǎng)段264.3增加接入用戶285CAMS計(jì)費(fèi)配置305.1計(jì)費(fèi)組件配置30表目錄表1 IMC組件版本列表7圖目錄圖表 1 Portal直接認(rèn)證組網(wǎng)圖6圖表 2 二次地址認(rèn)證組網(wǎng)圖23圖表 3 NAT穿越組網(wǎng)圖27圖表 4 Portal雙機(jī)熱備組網(wǎng)圖311

3、 組網(wǎng)方案說明在網(wǎng)絡(luò)核心部署兩臺(tái)Bras設(shè)備，實(shí)現(xiàn)園區(qū)網(wǎng)用戶的統(tǒng)一接入認(rèn)證管理，兩臺(tái)Bras設(shè)備通過虛擬化技術(shù)IRF2虛擬化成邏輯上的一臺(tái)設(shè)備，免去配置VRRP、BFD等繁瑣的配置。用戶側(cè)匯聚交換僅通過鏈路捆綁上連至核心Bras設(shè)備，簡(jiǎn)化組網(wǎng)應(yīng)用。傳統(tǒng)的SR路由器承接Mobile、Business、IPTV等電信業(yè)務(wù)，BRAS作為寬帶網(wǎng)絡(luò)應(yīng)用的接入網(wǎng)關(guān)，完成用戶的認(rèn)證和管理， MSE（Multi Service Edge）設(shè)備集SR和BRAS功能于一身，提高運(yùn)營商、園區(qū)網(wǎng)、校園網(wǎng)多業(yè)務(wù)邊緣設(shè)備利用率、降低投資。提供豐富的用戶接入認(rèn)證手段，支持PPPoE、PPPoEoVLAN、PPPoEoQ以及

4、PPPoEoA等，IPoE、Portal、L2TP VPN等。在園區(qū)網(wǎng)中，普通用戶之間的橫向訪問較少，為了避免ARP病毒的泛濫，建議用戶之間通過QinQ技術(shù)實(shí)現(xiàn)完全隔離，QinQ的終結(jié)統(tǒng)一集中在核心Bras上。1.1 IRF技術(shù)優(yōu)勢(shì)簡(jiǎn)化管理。IRF形成之后，用戶通過任意成員設(shè)備的任意端口均可以登錄IRF系統(tǒng)，對(duì)IRF內(nèi)所有成員設(shè)備進(jìn)行統(tǒng)一管理。而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行。IRF形成的虛擬設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，例如路由協(xié)議會(huì)作為單一設(shè)備統(tǒng)一計(jì)算。這樣省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。

5、IRF技術(shù)的這一特性是常見的集群技術(shù)所不具備的，后者僅僅能完成設(shè)備管理上的統(tǒng)一，而集群中的設(shè)備在網(wǎng)絡(luò)中仍然分別作為獨(dú)立節(jié)點(diǎn)運(yùn)行。低成本：IRF技術(shù)是將一些較低端的設(shè)備虛擬成為一個(gè)相對(duì)高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。比直接使用高端設(shè)備具有成本優(yōu)勢(shì)。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展IRF系統(tǒng)的端口數(shù)、帶寬和處理能力。保護(hù)用戶投資。由于具有強(qiáng)大的擴(kuò)展能力，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，不需要替換掉原有設(shè)備，只需要增加新設(shè)備既可。很好的保護(hù)了用戶投資。高可靠性。IRF的高可靠性體現(xiàn)在多個(gè)方面，例如：成員設(shè)備之間IRF物理端口支持聚合功能，IRF系統(tǒng)

6、和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了IRF系統(tǒng)的可靠性；IRF系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)IRF系統(tǒng)的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過IRF系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備的1:N備份。IRF是網(wǎng)絡(luò)可靠性保障的最優(yōu)解決方案。高性能。由于IRF系統(tǒng)是由多個(gè)支持IRF特性的單機(jī)設(shè)備虛擬化而成的，IRF系統(tǒng)的交換容量和端口數(shù)量就是IRF內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。因此，IRF技術(shù)能夠通過多個(gè)單機(jī)設(shè)備的虛擬化，輕易的將設(shè)備的核心交換能力、

7、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交換機(jī)特性，并且能夠高效穩(wěn)定地運(yùn)行這些功能，大大擴(kuò)展了IRF設(shè)備的應(yīng)用范圍。廣泛的產(chǎn)品支持。IRF技術(shù)作為一種通用的虛擬化技術(shù)，對(duì)不同形態(tài)產(chǎn)品的虛擬化一體化的實(shí)現(xiàn)，使用同一技術(shù)，同時(shí)支持盒式設(shè)備的虛擬化，以及框式分布式設(shè)備的虛擬化。1.2 QinQ大二層技術(shù)QinQ技術(shù)（也稱Stacked VLAN 或Double VLAN）是指將用戶私網(wǎng)VLAN標(biāo)簽封裝在公網(wǎng)VLAN標(biāo)簽中，使報(bào)文帶著兩層VLAN標(biāo)簽穿越運(yùn)營商的骨干網(wǎng)絡(luò)，在公網(wǎng)中只根據(jù)外層VLAN標(biāo)

8、簽傳播，私網(wǎng)VLAN標(biāo)簽被屏蔽，這樣，不僅對(duì)數(shù)據(jù)流進(jìn)行了區(qū)分，而且由于私網(wǎng)VLAN標(biāo)簽被透明傳送，不同的用戶VLAN標(biāo)簽可以重復(fù)使用，只需要外層VLAN標(biāo)簽的在公網(wǎng)上唯一即可，實(shí)際上也擴(kuò)大了可利用的VLAN標(biāo)簽數(shù)量。當(dāng)前靈活QinQ主要應(yīng)用在運(yùn)營商的接入網(wǎng)絡(luò)中，在運(yùn)營商網(wǎng)絡(luò)中給接入用戶分配一個(gè)VLAN，以達(dá)到便于問題追蹤和防止不同用戶間互訪，用外層標(biāo)簽區(qū)分用戶的應(yīng)用；或在接入的環(huán)境中用外層標(biāo)簽來區(qū)分不同的接入地點(diǎn)，用內(nèi)外兩層標(biāo)簽唯一標(biāo)識(shí)出一個(gè)接入用戶。在這樣的應(yīng)用中需要BRAS/SR設(shè)備支持QinQ的應(yīng)用（能夠終結(jié)雙Tag）。下面我們看一下靈活QinQ的應(yīng)用場(chǎng)景：在S9500上實(shí)施QinQ，并

9、在S9500上進(jìn)行業(yè)務(wù)分流，分流的方式是利用靈活QinQ功能，靈活QinQ分流的依據(jù)有下面幾種： 1) 根據(jù)端口的VLAN區(qū)間分流：比如PC的VLAN范圍11000，STB的VLAN范圍10012000，網(wǎng)吧的VLAN范圍20013000；2) 根據(jù)報(bào)文的協(xié)議號(hào)分流：比如PC采用PPPoE、STB采用IPoE，這些終端都通過一個(gè)VLAN上行，可以根據(jù)PPPoE和IPoE報(bào)文不同的協(xié)議號(hào)作為QinQ的分流依據(jù)； 3) 根據(jù)報(bào)文的目標(biāo)IP地址分流：對(duì)于相同源IP地址，相同報(bào)文封裝不同的業(yè)務(wù)應(yīng)用報(bào)文，比如PC上的SoftPhone產(chǎn)生的報(bào)文，需要根據(jù)報(bào)文目的IP地址實(shí)施靈活QinQ進(jìn)行業(yè)務(wù)分流； 4

10、) 根據(jù)QinQ的內(nèi)層標(biāo)簽的區(qū)間，在某些級(jí)聯(lián)交換機(jī)的組網(wǎng)模式中，下連的交換機(jī)已經(jīng)實(shí)施了基于端口的QinQ，為了實(shí)現(xiàn)業(yè)務(wù)分流，可以根據(jù)QinQ的內(nèi)層VLAN標(biāo)簽的區(qū)間實(shí)施靈活QinQ進(jìn)行業(yè)務(wù)分流。 上述應(yīng)用場(chǎng)景可以用圖4來直觀的加以描述：                               &

11、#160;                                                 &

12、#160;        靈活QinQ對(duì)多業(yè)務(wù)的識(shí)別標(biāo)記2 PORTAL認(rèn)證Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。它提供了一種較為簡(jiǎn)單的用戶認(rèn)證方法，對(duì)用戶而言，相對(duì)其它認(rèn)證方式更易于使用。它有兩大特色： 免客戶端只需要網(wǎng)頁瀏覽器（如IE）支持，即可為用戶提供認(rèn)證服務(wù)，不需要安裝專門的客戶端或者撥號(hào)程序。免客戶端軟件對(duì)于像賓館、酒店等公共網(wǎng)絡(luò)節(jié)點(diǎn)，免客戶端軟件是一個(gè)基本要求。 新業(yè)務(wù)載體利用Portal認(rèn)證的門戶功能，運(yùn)營商可以將小區(qū)廣播、廣

13、告、信息查詢、網(wǎng)上購物等業(yè)務(wù)放到Portal上。用戶上網(wǎng)時(shí)會(huì)強(qiáng)制地看到上述信息。Portal認(rèn)證的基本方式是通過在Portal頁面的顯著位置設(shè)置認(rèn)證窗口，用戶開機(jī)獲取IP地址后，通過登錄Portal認(rèn)證頁面進(jìn)行認(rèn)證，認(rèn)證通過后即可訪問Internet。對(duì)于用戶來說有兩種方式訪問認(rèn)證頁面： 主動(dòng)Portal：用戶必須知道PORTAL服務(wù)器的IP地址，主動(dòng)登陸PORTAL服務(wù)器進(jìn)行認(rèn)證，之后才能訪問網(wǎng)絡(luò)。 強(qiáng)制Portal：未認(rèn)證用戶訪問網(wǎng)址，都會(huì)先強(qiáng)制定向到PORTAL服務(wù)器進(jìn)行認(rèn)證，用戶不需要記憶Portal服務(wù)器的IP地址。Portal業(yè)務(wù)可以為運(yùn)營商提供方便的管理功能，基于其門戶網(wǎng)站可以開

14、展廣告、社區(qū)服務(wù)、個(gè)性化的業(yè)務(wù)等，使寬帶運(yùn)營商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。2.1 PORTAL系統(tǒng)組成 認(rèn)證客戶端安裝于用戶終端的客戶端系統(tǒng)，如運(yùn)行HTTP/HTTPS協(xié)議的瀏覽器或運(yùn)行Portal客戶端軟件的主機(jī)等。對(duì)接入終端的安全性檢測(cè)是通過Portal客戶端和安全策略服務(wù)器之間的信息交流完成的。 接入設(shè)備（BAS）交換機(jī)、路由器等寬帶接入設(shè)備的統(tǒng)稱，主要有三方面的作用：在認(rèn)證之前，將用戶的所有HTTP請(qǐng)求都重定向到Portal服務(wù)器。在認(rèn)證過程中，與Portal服務(wù)器、安全策略服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器交互，完成身份認(rèn)證/安全認(rèn)證/計(jì)費(fèi)的功能。在認(rèn)證通過后，允許用戶訪

15、問被管理員授權(quán)的互聯(lián)網(wǎng)資源。 Portal服務(wù)器接收Portal客戶端認(rèn)證請(qǐng)求的服務(wù)器端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。 認(rèn)證/計(jì)費(fèi)服務(wù)器與接入設(shè)備進(jìn)行交互，完成對(duì)用戶的認(rèn)證和計(jì)費(fèi)。以上四個(gè)基本要素的交互過程為：1 未認(rèn)證用戶訪問網(wǎng)絡(luò)時(shí)，在Web瀏覽器地址欄中輸入一個(gè)互聯(lián)網(wǎng)的地址，那么此HTTP請(qǐng)求在經(jīng)過接入設(shè)備時(shí)會(huì)被重定向到Portal服務(wù)器的Web認(rèn)證主頁上；2 用戶在認(rèn)證主頁/認(rèn)證對(duì)話框中輸入認(rèn)證信息后提交，Portal服務(wù)器會(huì)將用戶的認(rèn)證信息傳遞給接入設(shè)備；3 然后接入設(shè)備再與認(rèn)證/計(jì)費(fèi)服務(wù)器通信進(jìn)行認(rèn)證和計(jì)費(fèi)；4 認(rèn)證通過后，則接入設(shè)

16、備會(huì)打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。2.2 Portal認(rèn)證的實(shí)現(xiàn)機(jī)制2.2.1 發(fā)起認(rèn)證的方式雖然免客戶端認(rèn)證是Portal認(rèn)證的一種主流方式，但在需要實(shí)現(xiàn)更安全靈活的功能的前提下，也可以采用客戶端認(rèn)證的方式進(jìn)行認(rèn)證，這兩種方式的認(rèn)證流程大致如下：對(duì)于通過Web進(jìn)行認(rèn)證的用戶（免客戶端方式），采用對(duì)HTTP報(bào)文重定向的方式，接入設(shè)備對(duì)用戶連接進(jìn)行TCP仿冒和認(rèn)證客戶端建立TCP連接，然后將頁面重定向到Portal服務(wù)器，而從實(shí)現(xiàn)向客戶推出認(rèn)證頁面。用戶通過在該頁面登錄將用戶信息傳遞給了Portal服務(wù)器，隨后Portal服務(wù)器通過PAP或CHAP的方式向接入設(shè)備

17、傳遞用戶信息。接入設(shè)備獲取到用戶信息后，將該信息通過AAA模塊完成認(rèn)證。對(duì)于使用客戶端進(jìn)行認(rèn)證的用戶，直接使用portal協(xié)議報(bào)文與portal-server進(jìn)行交互，實(shí)現(xiàn)對(duì)客戶端的相關(guān)控制和用戶狀態(tài)的實(shí)時(shí)上報(bào)。隨后Portal服務(wù)器與接入設(shè)備交互，接入設(shè)備再通過AAA模塊完成認(rèn)證。2.2.2 用戶?；顧C(jī)制用戶通過WEB實(shí)現(xiàn)認(rèn)證時(shí)，認(rèn)證后在線窗口處于開打狀態(tài)，并采用上層的http協(xié)議的get動(dòng)作實(shí)現(xiàn)心跳機(jī)制，用戶下線時(shí)需要在該頁面上主動(dòng)點(diǎn)擊下線按鈕觸發(fā)下線動(dòng)作，如果該頁面或用戶PC不正常關(guān)閉，可能導(dǎo)致用戶在一定時(shí)間內(nèi)無法手動(dòng)下線，直到Portal服務(wù)器側(cè)超時(shí)后，再觸發(fā)下線動(dòng)作，通知接入設(shè)備將用

18、戶下線。用戶使用專用的客戶端時(shí)，使用Portal握手報(bào)文來確認(rèn)用戶是否在線。對(duì)于客戶端來說，4個(gè)心跳沒有收到答復(fù)，就認(rèn)為自己已經(jīng)下線，重新發(fā)起認(rèn)證；對(duì)于Portal服務(wù)器，在指定的時(shí)間內(nèi)沒有收到心跳報(bào)文，就認(rèn)為用戶下線，并通知接入設(shè)備將用戶下線。2.2.3 產(chǎn)品實(shí)現(xiàn)原理產(chǎn)品對(duì)Portal的實(shí)現(xiàn)是基于ACL的，通過QACL模塊來支持對(duì)用戶報(bào)文的重定向以及限制用戶可以使用的相關(guān)資源;通常我們把Portal使用的ACL分為4類(對(duì)于底層沒有什么區(qū)別，主要是查找匹配的順序)Type1：FreeIP規(guī)則，動(dòng)作是permit(到Portal-Server的規(guī)則為第1個(gè)freeip)Type2：用戶認(rèn)證通過

19、后添加的規(guī)則，動(dòng)作是permitType3：用戶網(wǎng)段重定向規(guī)則，對(duì)HTTP報(bào)文重定向到CPU(實(shí)現(xiàn)認(rèn)證頁面的推出)Type4：用戶網(wǎng)段禁止規(guī)則，動(dòng)作是denyPortal規(guī)則在端口上下發(fā)，排列需要有嚴(yán)格的順序，匹配時(shí)按照Type1-4的順序從前往后排列。如果在一個(gè)端口上既有普通ACL規(guī)則（通過命令行配置的ACL）下發(fā)，又啟用了portal，則portal所添加的規(guī)則會(huì)排列在普通ACL之后。2.3 PORTAL協(xié)議框架Portal協(xié)議主要涉及Portal服務(wù)器（Portal Server）和接入設(shè)備（BAS），采用C/S結(jié)構(gòu)，基于UDP。端口定義：PortalServer通過默認(rèn)端口（50100

20、）偵聽BAS發(fā)來的報(bào)文；BAS通過端口2000偵聽來自PortalServer的所有報(bào)文。2.4 對(duì)EAD系統(tǒng)的支持通過EAD的系統(tǒng)中的安全策略服務(wù)器，Portal可以實(shí)現(xiàn)其擴(kuò)展認(rèn)證功能，實(shí)現(xiàn)基于客戶端與安全策略服務(wù)器之間的交互來進(jìn)行后續(xù)的安全檢測(cè)功能。Portal對(duì)EAD的支持需要用戶在終端上安裝專用的Portal客戶端軟件，用戶在通過Portal認(rèn)證后，安全策略服務(wù)器通過與Portal客戶端、接入設(shè)備進(jìn)行交互，完成對(duì)用戶的安全認(rèn)證。若對(duì)用戶采用了安全策略，則用戶的安全檢測(cè)通過之后，安全策略服務(wù)器根據(jù)用戶的安全策略，授權(quán)用戶訪問非受限資源。Portal在EAD系統(tǒng)中通過聯(lián)動(dòng)的機(jī)制主動(dòng)的實(shí)施安

21、全策略，聯(lián)動(dòng)的基本方式如下： 客戶端與安全策略服務(wù)器聯(lián)動(dòng)1、客戶端上線時(shí)Portal服務(wù)器會(huì)在Login-Response報(bào)文中攜帶EAD服務(wù)器的IP地址及端口號(hào)；2、用戶上線后客戶端和安全策略服務(wù)器進(jìn)行交互，服務(wù)器下發(fā)檢查策略，客戶端按策略檢查所在PC的安全情況，并上報(bào)服務(wù)器；3、用戶在線過程中客戶端仍會(huì)定期上報(bào)安全情況，以適應(yīng)動(dòng)態(tài)檢測(cè)(即EAD心跳)，安全檢測(cè)使用的報(bào)文為UDP，通常端口號(hào)是9019(Server)/10102(Client)。 接入設(shè)備與安全策略服務(wù)器的聯(lián)動(dòng) H3C對(duì)Radius協(xié)議進(jìn)行了擴(kuò)展，定義了Type20(Session-Control)，當(dāng)用戶上線后，通過該類型

22、的Radius報(bào)文下發(fā)隔離ACL，等通過安全檢查后，再下發(fā)安全ACL。2.5 認(rèn)證方式2.5.1 認(rèn)證方式分類不同的組網(wǎng)方式下，可采用不同的Portal認(rèn)證方式。按照網(wǎng)絡(luò)中實(shí)施Portal認(rèn)證的網(wǎng)絡(luò)層次來分，Portal的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。 二層認(rèn)證方式二層認(rèn)證方式支持在接入設(shè)備連接用戶的二層端口上開啟Portal認(rèn)證功能，只允許源MAC地址通過認(rèn)證的用戶才能訪問外部網(wǎng)絡(luò)資源。目前，該認(rèn)證方式僅支持本地Portal認(rèn)證，即接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)。 三層認(rèn)證方式三層認(rèn)證方式支持在接入設(shè)備連接用戶的三層接口上開啟Portal認(rèn)證功能。

23、三層接口Portal認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和跨三層認(rèn)證方式。直接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶端必須通過二層直接連接到接入設(shè)備；跨三層認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。直接認(rèn)證用戶在認(rèn)證前通過手工配置或DHCP直接獲取一個(gè)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的free IP地址；認(rèn)證通過后即可訪問網(wǎng)絡(luò)資源。認(rèn)證流程相對(duì)二次地址分配認(rèn)證較為簡(jiǎn)單。二次地址分配認(rèn)證用戶在認(rèn)證前通過DHCP獲取一個(gè)私網(wǎng)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過后，用戶會(huì)重新申請(qǐng)到一個(gè)公網(wǎng)IP地址，即可

24、訪問網(wǎng)絡(luò)資源。該認(rèn)證方式解決了IP地址規(guī)劃和分配問題，對(duì)未認(rèn)證通過的用戶不分配公網(wǎng)IP地址。例如運(yùn)營商對(duì)于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時(shí)才分配公網(wǎng)IP?？缛龑诱J(rèn)證和直接認(rèn)證方式基本相同，但是這種認(rèn)證方式允許認(rèn)證用戶和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。對(duì)于以上三種認(rèn)證方式，IP地址都是用戶的唯一標(biāo)識(shí)。接入設(shè)備基于用戶的IP地址下發(fā)ACL對(duì)接口上通過認(rèn)證的用戶報(bào)文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶的MAC地址，接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對(duì)用戶報(bào)文轉(zhuǎn)發(fā)的控制粒度。2.5.2 二層Portal認(rèn)證過程(1) Porta

25、l用戶通過HTTP或HTTPS協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過配置了本地Portal服務(wù)器的接入設(shè)備的端口時(shí)會(huì)被重定向到本地Portal服務(wù)器的監(jiān)聽IP地址，本地Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。該本地Portal服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個(gè)與用戶之間路由可達(dá)的三層接口IP地址（通常為L(zhǎng)oopback接口IP）。(2) 接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互，對(duì)用戶身份進(jìn)行驗(yàn)證。(3) 如果RADIUS認(rèn)證成功，則接入設(shè)備上的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁面，通知客戶端認(rèn)證（上線）成功。2.5.3 三層Portal

26、認(rèn)證過程直接認(rèn)證和可跨三層Portal認(rèn)證的流程直接認(rèn)證/可跨三層Portal認(rèn)證流程：(1) Portal用戶通過HTTP協(xié)議發(fā)起認(rèn)證請(qǐng)求。HTTP報(bào)文經(jīng)過接入設(shè)備時(shí)，對(duì)于訪問Portal服務(wù)器或設(shè)定的免費(fèi)訪問地址的HTTP報(bào)文，接入設(shè)備允許其通過；對(duì)于訪問其它地址的HTTP報(bào)文，接入設(shè)備將其重定向到Portal服務(wù)器。Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。(2) Portal服務(wù)器與接入設(shè)備之間進(jìn)行CHAP（Challenge Handshake Authentication Protocol，質(zhì)詢握手驗(yàn)證協(xié)議）認(rèn)證交互。若采用PAP（Password Auth

27、entication Protocol，密碼驗(yàn)證協(xié)議）認(rèn)證則直接進(jìn)入下一步驟。(3) Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請(qǐng)求報(bào)文發(fā)往接入設(shè)備，同時(shí)開啟定時(shí)器等待認(rèn)證應(yīng)答報(bào)文。(4) 接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。(5) 接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報(bào)文。(6) Portal服務(wù)器向客戶端發(fā)送認(rèn)證通過報(bào)文，通知客戶端認(rèn)證（上線）成功。(7) Portal服務(wù)器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。(8) 客戶端和安全策略服務(wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測(cè)接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非

28、法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。(9) 安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(8)、(9)為Portal認(rèn)證擴(kuò)展功能的交互過程二次地址分配認(rèn)證方式的流程：二次地址分配認(rèn)證流程：(1)(4)同直接/可跨三層Portal認(rèn)證中步驟(1)(4)。(5) 用戶在接入設(shè)備上認(rèn)證成功后，BAS向Portal-Server發(fā)送帶有IP-Config屬性的認(rèn)證回應(yīng)報(bào)文，指出用戶需要更新IP地址。(6) Portal-Server再向客戶端發(fā)送帶有IP-Config屬性的認(rèn)證通過報(bào)文（Login-Response），要求客戶程序

29、釋放再申請(qǐng)IP地址。(7) 客戶端成功更新IP地址后，向Portal-Server報(bào)告更新IP地址成功。(8) Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。(9) 接入設(shè)備通過檢測(cè)ARP協(xié)議報(bào)文檢測(cè)到了用戶IP變化，并通告Portal服務(wù)器已檢測(cè)到用戶IP變化。(10) Portal服務(wù)器通知客戶端上線成功。(11) Portal服務(wù)器向接入設(shè)備發(fā)送IP變化確認(rèn)報(bào)文。(12) 客戶端和安全策略服務(wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測(cè)接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。(13) 安全策略服務(wù)器根據(jù)用戶的安

30、全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(12)、(13)為Portal認(rèn)證擴(kuò)展功能的交互過程PPPoE認(rèn)證對(duì)于用戶來說，PPPoE的優(yōu)點(diǎn)如下：沿襲傳統(tǒng)的撥號(hào)上網(wǎng)方式，依舊使用他們熟悉的硬件以及類似的軟件進(jìn)行Internet的接入。使用以太網(wǎng)網(wǎng)卡連接PC和xDSL Modem，允許多臺(tái)PC同時(shí)共享xDSL線路，可以節(jié)約用戶投資。對(duì)于網(wǎng)絡(luò)維護(hù)者來說，PPPoE的優(yōu)點(diǎn)如下：可以通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式提供支持多用戶的寬帶接入服務(wù)?？梢岳每煽亢褪煜さ募夹g(shù)來加速部署高速互聯(lián)網(wǎng)業(yè)務(wù)，對(duì)現(xiàn)有網(wǎng)絡(luò)部署影響小?？梢酝ㄟ^訪問控制功能對(duì)

31、用戶的身份進(jìn)行確認(rèn)，通過計(jì)費(fèi)功能對(duì)用戶進(jìn)行計(jì)費(fèi)，同時(shí)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控，保證了網(wǎng)絡(luò)安全。終端用戶可同時(shí)接入多個(gè)運(yùn)營商，這種動(dòng)態(tài)服務(wù)選擇的功能可以使運(yùn)營商容易創(chuàng)建和提供新的業(yè)務(wù)。3 PPPoE技術(shù)實(shí)現(xiàn)方案3.1 PPPoE組網(wǎng)結(jié)構(gòu)PPPoE使用Client/Server模型，PPPoE的客戶端為PPPoE Client，PPPoE的服務(wù)器端為PPPoE Server。PPPoE Client向PPPoE Server發(fā)起連接請(qǐng)求，兩者之間會(huì)話協(xié)商通過后，PPPoE Server向PPPoE Client提供接入控制、認(rèn)證等功能。根據(jù)PPP會(huì)話的起止點(diǎn)所在位置的不同，有兩種組網(wǎng)結(jié)構(gòu)：l

32、60;             第一種方式在設(shè)備之間建立PPP會(huì)話，所有主機(jī)通過同一個(gè)PPP會(huì)話傳送數(shù)據(jù)，主機(jī)上不用安裝PPPoE客戶端撥號(hào)軟件，一般是一個(gè)企業(yè)（公司）共用一個(gè)賬號(hào)（圖中PPPoE Client位于企業(yè)/公司內(nèi)部，PPPoE Server是運(yùn)營商的設(shè)備）。圖1 PPPoE組網(wǎng)結(jié)構(gòu)圖1l              第二種部署方式，PP

33、P會(huì)話建立在Host和運(yùn)營商的路由器之間，為每一個(gè)Host建立一個(gè)PPP會(huì)話，每個(gè)Host都是PPPoE Client，每個(gè)Host一個(gè)帳號(hào)，方便運(yùn)營商對(duì)用戶進(jìn)行計(jì)費(fèi)和控制。Host上必須安裝PPPoE客戶端撥號(hào)軟件。圖2 PPPoE組網(wǎng)結(jié)構(gòu)圖23.2 PPPoE報(bào)文格式PPPoE報(bào)文的格式就是在以太網(wǎng)幀中攜帶PPP報(bào)文，如圖3所示。圖3 報(bào)文格式各個(gè)字段解釋如下：l              Destination_address域：一個(gè)以太網(wǎng)單播目的地址或者以太

34、網(wǎng)廣播地址（0xffffffff）。對(duì)于Discovery數(shù)據(jù)包來說，該域的值是單播或者廣播地址，PPPoE Client尋找PPPoE Server的過程使用廣播地址，確認(rèn)PPPoE Server后使用單播地址。對(duì)于Session階段來說，該域必須是Discovery階段已確定的通信對(duì)方的單播地址。l              Source_address域：源設(shè)備的以太網(wǎng)MAC地址。l      

35、60;       Ether_type：設(shè)置為0x8863（Discovery階段或拆鏈階段）或者0x8864（Session階段）。l              Ver域：4bits，PPPoE版本號(hào)，值為0x1。l              Type域：4bits，PPPo

36、E類型，值為0x1。l              Code域：8bits，PPPoE報(bào)文類型。Code域?yàn)?x00，表示會(huì)話數(shù)據(jù)。Code域?yàn)?x09，表示PADI報(bào)文；Code域?yàn)?x07，表示PADO或PADT報(bào)文；Code域?yàn)?x19，表示PADR報(bào)文；Code域?yàn)?x65，表示PADS報(bào)文。報(bào)文的具體情況請(qǐng)參見附錄部分。l           

37、60;  Session_ID域：16bits，對(duì)于一個(gè)給定的PPP會(huì)話，該值是一個(gè)固定值，并且與以太網(wǎng)Source_address和Destination_address一起實(shí)際地定義了一個(gè)PPP會(huì)話。值0xffff為將來的使用保留，不允許使用。l              Length域：16bits，定義PPPoE的Payload域長(zhǎng)度。不包括以太網(wǎng)頭部和PPPoE頭部的長(zhǎng)度。3.3 PPPoE工作過程PPPoE的協(xié)商過程如圖4所示：圖4 PPPoE

38、協(xié)商過程PPPoE可分為三個(gè)階段，即Discovery階段、Session階段和Terminate階段。3.3.1 Discovery階段Discovery階段由四個(gè)過程組成。完成之后通信雙方都會(huì)知道PPPoE的Session_ID 以及對(duì)方以太網(wǎng)地址，它們共同確定了唯一的PPPoE Session。(1)        PPPoE Client廣播發(fā)送一個(gè)PADI報(bào)文，在此報(bào)文中包含PPPoE Client想要得到的服務(wù)類型信息。(2)        所

39、有的PPPoE Server收到PADI報(bào)文之后，將其中請(qǐng)求的服務(wù)與自己能夠提供的服務(wù)進(jìn)行比較，如果可以提供，則單播回復(fù)一個(gè)PADO報(bào)文。(3)        根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，PPPoE Client可能收到多個(gè)PPPoE Server發(fā)送的PADO報(bào)文，PPPoE Client選擇最先收到的PADO報(bào)文對(duì)應(yīng)的PPPoE Server做為自己的PPPoE Server，并單播發(fā)送一個(gè)PADR報(bào)文。(4)        PPPoE Server產(chǎn)生一個(gè)唯

40、一的會(huì)話ID（SESSION ID），標(biāo)識(shí)和PPPoE Client的這個(gè)會(huì)話，通過發(fā)送一個(gè)PADS報(bào)文把會(huì)話ID發(fā)送給PPPoE Client，如果沒有錯(cuò)誤，會(huì)話建立后便進(jìn)入PPPoE Session階段。3.3.2 Session階段PPPoE Discovery階段的工作為PPPoE Client和PPPoE之間建立了Session，之后PPPoE便進(jìn)入了Session階段，Session階段可劃分為兩部分，一是PPP協(xié)商階段，二是PPP報(bào)文傳輸階段。PPPoE Session上的PPP協(xié)商和普通的PPP協(xié)商方式一致，分為L(zhǎng)CP、認(rèn)證、NCP三個(gè)階段。(1)  

41、60;     LCP階段主要完成建立、配置和檢測(cè)數(shù)據(jù)鏈路連接。(2)        LCP協(xié)商成功后，開始進(jìn)行認(rèn)證工作，認(rèn)證協(xié)議類型由LCP協(xié)商結(jié)果（CHAP或者PAP）決定。(3)        認(rèn)證成功后，PPP進(jìn)入NCP階段，NCP是一個(gè)協(xié)議族，用于配置不同的網(wǎng)絡(luò)層協(xié)議，常用的是IP控制協(xié)議（IPCP），它負(fù)責(zé)配置用戶的IP和DNS等工作。PPPoE Session的PPP協(xié)商成功后，其上就可以承載PPP數(shù)據(jù)

42、報(bào)文。在PPPoE Session階段所有的以太網(wǎng)數(shù)據(jù)包都是單播發(fā)送的。3.3.3 Terminate階段PPP通信雙方應(yīng)該使用PPP協(xié)議自身（比如PPP終結(jié)報(bào)文）來結(jié)束PPPoE會(huì)話，但在無法使用PPP協(xié)議結(jié)束會(huì)話時(shí)可以使用PADT報(bào)文。進(jìn)入PPPoE Session階段后，PPPoE Client和PPPoE Server都可以通過發(fā)送PADT報(bào)文的方式來結(jié)束PPPoE連接。PADT數(shù)據(jù)包可以在會(huì)話建立以后的任意時(shí)刻單播發(fā)送。在發(fā)送或接收到PADT后，就不允許再使用該會(huì)話發(fā)送PPP流量了，即使是常規(guī)的PPP結(jié)束數(shù)據(jù)包也不允許發(fā)送。3.4 典型組網(wǎng)應(yīng)用利用ADSL Modem將局域網(wǎng)接入Internet企業(yè)希望使用一個(gè)公共帳號(hào)訪問Internet：l              Router A作為PPPoE Client，通過一個(gè)帳號(hào)訪問Internet（相當(dāng)于整個(gè)企業(yè)的員工公用這個(gè)帳號(hào)）。l              Router B作為PPPoE Server連接至DSLAM，提供RADIUS認(rèn)證、計(jì)費(fèi)等功能，同時(shí)