pppoe原理和配置.pptVIP

一. PAP为两次握手协议，它通过用户名及口令来对用户进行验证。 PAP验证过程如下： 当两端链路可相互传输数据时，被验证方发送本端的用户名及口令到验证方，验证方根据本端的用户表（或radius服务器）查看是否有此用户，口令是否正确。如正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商； 否则发送NAK报文，通告对端验证失败。此时，并不会直接将链路关闭。只有当验证不过次数达到一定值（缺省为4）时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程（每次拨号拨通后，主动方会送四次username/password给校验方。如果不通就此次检验失败，并在下次拨通后retry） 。 PAP的特点: 是在网络上以明文的方式传递用户名及口令，如在传输过程中被截获，便有可能对网络安全造成极大的威胁。因此，它适用于对网络安全要求相对较低的环境。 二. CHAP为三次握手协议。 它的特点是，只在网络上传输用户名，而并不传输用户口令，因此它的安全性要比PAP高。 CHAP的验证过程为： 首先由验证方向被验证方发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方。被验证方接到对端对本端的验证请求(Challenge)时，便根据此报文中验证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用报文ID、此用户的密钥用Md5算法生成应答（Response），随后将应答和自己的主机名送回。验证方接到此应答后，用报文ID、本方保留的口令字（密钥）和随机报文用Md5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果（ACK or NAK）。 协议概述 PPPOE有两个明显的阶段: 初始化阶段 当一个主机想开始PPPOE进程的时候，它必须先识别对端的以太网 MAC地址，建立PPPOE的SESSION_ID 。PPP协议定义端到端之间的关系是客户机-服务器的关系。在初始化过程中，主机（客户机）发现接入集中器（服务器）。根据网络拓扑，主机可以和一个以上的接入服务器进行通讯。初始化过程允许主机与所有的接入服务器通信，并从中选一。当主机和接入服务器都有了它们要用来在以太网上建立点对 点连接的信息时，初始化完成。 PPP过程阶段 初始化过程保持原来状态直至PPP过程开始建立。当PPP过程开始被建立，主机和接入服务器必须把资源分配给PPP协议的虚拟接口。 RADIUS特性包括: ? 1).C/S模型 Client: 网络接入服务器(NAS) 向RADIUS Server 传递用户信息,对应答作出响应. Server: RADIUS Server 接收用户连接请求,认证用户,向NAS返回所有配置信息(用于NAS向user发 送业务). 2).网络安全 NAS 与RADIUS Server共享secret(不在网络上传送);用户口令在NAS,RA DIUS Seerver间加密. 3).灵活的认证体系 RADIUS提供多种用户认证方法,包括: 通常的username+password PPP PAPCHAP UNIX login ? RADIUS的工作流程: 1. 用户拨入时,向接入服务器输入用户名,口令 2. 位于接入服务器上的RADIUS客户端向RADIUS服务器发 送验证请求 3. RADIUS服务器向RADIUS客户端回送验证结果 4. 接入服务器根据回送的结果决定是否允许用户上网,如果 允许用户上网,则: RADIUS客户端向RADIUS服务器发送记账开始包 5. 在用户下网时, RADIUS客户端向RADIUS服务器发送记账 结束包 在第三步, RADIUS服务器回送验证结果时,同时可以送回用户 的配置信息,如:用户的IP地址,过滤标识,最大上网时长等. 在记账包中,包含有记账所需要的信息,如主叫号码,被叫号码,接 入端口号,出\入的字节数,会话时长等. RADIUS的验证： PPP认证和阶段分析 1).外部事件表明物理层就绪, UP事件使LCP有限自动机进入建立链接阶段 2).交换Configure数据包,LCP进入OPENED状态,转向认证阶段(如果申请认 证)NCP阶段或认证阶段收到认证请求(Configure-Request)将回到该阶段 3).认证阶段:包括LCP,认证协议,链接质量监视数据包 4).NCP阶段:NCP进入OPE