跨越VLAN 与PPPoE 认证平台与构建.docVIP

. . 　　 本文档下载自 HYPERLINK / 文库下载网，内容可能不完整，您可以点击以下网址继续阅读或下载：  HYPERLINK /doc/b08eb92de2bd960590c67766.html /doc/b08eb92de2bd960590c67766.html 跨越VLAN的PPPoE认证平台的构建 跨越VLAN的PPPoE认证平台的构建 网络安全 ＮｅｔｗｏｒｋＳｅｃｕｒｉｔｙ 跨越ＶＬＡＮ的ＰＰＰｏＥ　　　　认证平台的构建 陈桢　范华峰 常州机电职业技术学院　　江苏　２１３１６４ 摘要：该文讨论了跨越ＶＬＡＮ　的ＰＰＰｏＥ认证平台的分析和架设过程。ＶＬＡＮ是目前大多数局域网建设不可缺少的一项主要技术，用户认证则是网络管理的重要环节。为了使处在不同ＶＬＡＮ的ＰＰＰｏＥ客户能在同一台服务器上进行认证，需将服务器连接在交换机的中继端口。连接在中继端口的服务器物理网卡经过操作系统处理后，相当于在每个不同ＶＬＡＮ安装了一块虚拟网卡，它们彼此拥有相同的ＭＡＣ地址且互不干扰。本文给出了认证平台的构建过程。关键词：ＶＬＡＮ；ＰＰＰｏＥ；ＦｒｅｅＢＳＤ；认证 ０引言 随着网络规模的扩大，计算机拥有量越来越多。广播风暴、网络性能和网络安全性等问题日益突出，在一些大型网络中大多采用ＶＬＡＮ技术解决此类问题，用户认证作为用户管理功能的第一个环节，越来越受到人们的关注，目前虽然有一些专用的网络认证设备来解决该问题，但费用较高。本文提出了一种廉价的解决办法。 客户程序一般以目标地址为ＭＡＣ广播地址（ＦＦＦＦＦＦＦＦＦＦＦＦ），源地址为自己网卡的ＭＡＣ地址，通过发送Ｄｉｓｃｏｖｅｒｙ　Ｓｔａｇｅ数据帧来发现服务端。会话阶段进行链路的建立、参数协商、用户认证和完成认证后用户ＩＰ地址的分配。 ３　问题提出 当ＰＰＰｏＥ服务端与ＰＰＰｏＥ认证客户在同一ＶＬＡＮ中时，ＰＰＰｏＥ认证过程能顺利完成，但是处在与ＰＰＰｏＥ服务端不同ＶＬＡＮ的ＰＰＰｏＥ认证客户却不能完成认证，这也就意味着每个ＶＬＡＮ中必须要有ＰＰＰｏＥ服务端。其面临的主要问题是将多个服务端聚集在一起，为每个ＶＬＡＮ提供认证服务。 １ＶＬＡＮ概述 ＶＬＡＮ（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）即虚拟局域网，ＩＥＥＥ于１９９９年颁布了用以标准化ＶＬＡＮ实现方案的８０２．１Ｑ协议标准草案。ＶＬＡＮ是根据需求将一个物理网络逻辑划分成多个虚拟交换式网络，与用户所处的物理位置无关。ＶＬＡＮ的划分可在/doc/b08eb92de2bd960590c67766.html同一台交换机也可跨交换机，即ＶＬＡＮ可以由相同或不同的交换机端口组成。同一个ＶＬＡＮ中的端口可以接收ＶＬＡＮ中的广播包，别的ＶＬＡＮ中的端口却接收不到。这个特征限定了只有在同一ＶＬＡＮ中的端口才有广播、多播通讯。不同ＶＬＡＮ中的用户在二层不能直接通讯，必须通过第三层做交换。 ４　原理分析 从ＰＰＰｏＥ认证过程中，关键的一步是发现服务端的过程，ＰＰＰｏＥ认证客户为了获得服务端的ＭＡＣ地址，在不知道服务端ＭＡＣ地址的情况下向全网广播地址（ＦＦＦＦＦＦＦＦＦＦＦＦ）发送Ｄｉｓｃｏｖｅｒｙ　Ｓｔａｇｅ数据帧，Ｃｏｄｅ为（０９）ＰＰＰｏＥ　Ａｃｔｉｖｅ　Ｄｉｓ－ｃｏｖｅｒｙ　Ｉｎｉｔｉａｔｉｏｎ（ＰＡＤＩ）Ｐａｃｋｅｔ。 （１）当服务端与ＰＰＰｏＥ认证客户处在同一ＶＬＡＮ时，当服务端收到ＰＡＤＩ数据后，以客户端的ＭＡＣ地址为目的地址，服务端的ＭＡＣ地址为原地址进行回应，发送Ｄｉｓｃｏｖｅｒｙ　Ｓｔａｇｅ，Ｃｏｄｅ为（０７）ＰＰＰｏＥ　Ａｃｔｉｖｅ　Ｄｉｓｃｏｖｅｒｙ　Ｏｆｆｅｒ　（ＰＡＤＯ）　Ｐａｃｋｅｔ，ＰＰＰｏＥ认证客户收到服务端回应后开始与服务端进行点对点的通讯，ＰＰＰｏＥ认证客户以服务端ＭＡＣ地址为目标地址，发送ＤｉｓｃｏｖｅｒｙＳｔａｇｅ，Ｃｏｄｅ为（１９）ＰＰＰｏＥ　Ａｃｔｉｖｅ　Ｄｉｓｃｏｖｅｒｙ　Ｒｅｑｕｅｓｔ　（ＰＡＤＲ）Ｐａｃｋｅｔ，服务端收到ＰＡＤＲ数据后，向ＰＰＰｏＥ认证客户回应Ｄｉｓ－ｃｏｖｅｒｙ　Ｓｔａｇｅ，Ｃｏｄｅ为（６５）ＰＰＰｏＥ　Ａｃｔｉｖｅ　Ｄｉｓｃｏｖｅｒｙ　Ｓｅｓ－ｓｉｏｎ－ｃｏｎｆｉｒｍａｔｉｏｎ（ＰＡＤＳ）Ｐａｃｋｅｔ，并且产生惟一的Ｓｅｓｓｉｏｎ－ ２ＰＰＰｏＥ认证过程 当前普遍应用的三种主流认证技术：ＰＰＰｏＥ认证、Ｗｅｂ认证和８０２．１ｘ认证。ＰＰＰ协议标准完善，应用广泛成熟，ＰＰＰｏＥ协议实现了ＰＰＰ协议在以太网上的承载。根据ＲＦＣ２５１６标准，ＰＰＰｏＥ的建立需要两个阶段，分别是发现阶段（Ｄｉｓｃｏｖｅｒｙ）和会话阶段（Ｓｅｓｓｉｏｎ）。当启动ＰＰＰｏＥ认证客户程序时，它首先必须先完成发现阶段，以确定服务端的以太网/doc/b08eb92de2bd960590