第三课-数据链路层协议（二）-PPPoE.pptVIP

数据链路层协议（2）－PPPoE 孙钢锋 Sungangfeng@ 提纲 PPPoE简介 PPPoE作用 PPPOE通信流程 PPP会话续传（L2TP VPN） PPPoE简介 PPPOE协议参照RFC2516。PPPOE实现PPP帧在Ethernet上的适配，并提供Ethernet上的PPP连接。图1是以太网上的PPPOE协议栈。 PPPoE简介 PPPOE连接示意图 PPPoE作用 通过PPPOE，在一个共享的以太网上的多个主机，可以通过一个或多个简单的桥接入设备，与远程接入集中器进行多个PPP会话。使用这种模型，每个主机使用它自己的PPP协议栈，并且提供给用户一个熟悉的用户接口。接入控制、计费和服务类型能够基于每用户，而不是每站点来处理。 PPPOE通信流程 PPPOE有两个不同的阶段：发现阶段和PPP会话阶段。 当一个主机想开始一个PPPOE会话，它必须首先进行发现阶段以识别对端的以太网MAC地址，并建立一个PPPOE SESSION_ID。 注意：在发现阶段，基于网络的拓扑，主机可以发现多个接入集中器。发现阶段允许主机发现所有的接入集中器，然后选择一个。 PPPOE通信流程 当发现阶段成功完成，主机和选择的接入集中器都有了他们在以太网上建立PPP连接的信息。直到PPP会话建立，发现阶段一直保持无状态的状态。一旦PPP会话建立，主机和接入集中器都必须为PPP虚接口分配资源。 PPPOE通信流程 下图显示了PPPOE通信流程。 PPPOE通信流程 发现阶段 主机广播一个发起分组（PADI）， 一个或多个接入集中器发送给予分组（PADO）， 主机发送单播会话请求分组（PADR），选择的接入集中器发送一个确认分组（PADS）。 当主机接收到确认分组，它可以开始进行PPP会话阶段。当接入集中器发送出确认分组，它可以开始进行PPP会话阶段。 PPPOE通信流程 PPP会话阶段：PPP会话的建立分为三个阶段：LCP协商、认证、IPCP协商。 PPPOE通信流程 PPPOE协议状态机 PPPOE通信流程 LCP协商 LCP协商主要完成某些链路路特性和认证方式的协商，LCP协商成功后，用户根据协商的认证方式向接入服务器发起认证请求，用户认证的方式采用PAP或CHAP方式。 PPPOE通信流程 LCP协商 PAP为两次握手认证，口令为明文。PAP认证过程如下：拨号用户发送用户名和口令到接入服务器，接入服务器通过RADIUS协议到RADIUS服务器上去查看是否有此用户，口令是否正确，然后发送相应的响应。 RADIUS（ Remote Authentication Dial In User Service）远程用户拨号认证系统由RFC2865/2866定义 PPPOE通信流程 LCP协商 CHAP为三次握手认证，口令为密文。CHAP拨号用户发送用户名到接入服务器，接入服务器发送一些随机产生的报文，交给被拨号用户，拨号用户用自己的口令用MD5算法进行加密，传回密文，接入服务器用从RADIUS服务器取得的用户口令及随机报文用MD5算法加密，比较二者的密文，根据比较结果返回认证成功或失败的响应。 PPPOE通信流程 NCP协商 在认证阶段，如果在用户数据库中为该用户名配置了IP地址，则RADIUS服务器将这个IP地址返回给接入服务器，作为这个用户上网使用的IP地址。 如果用户在认证阶段还没有获得IP地址，就需要在IPCP阶段协商IP地址。一般来说，运营商为用户提供接入服务时，应该有一批IP地址，即IP地址池，用户上网所需要的IP地址就来自与此，当用户上网时，从IP地址池分配一个IP地址，当用户下网时，这个IP地址归还到地址池。在运营商开通接入服务时，将IP地址池配置到接入服务器中，在IPCP阶段，接入服务器从IP地址池分配一个空闲的IP地址给用户，作为用户上网的IP地址。如果已经没有可用的IP地址，则IPCP协商失败，关闭PPP连接，在用户看来，则是拨号失败，ISP暂时不能为他提供接入服务。 PPP会话续传（L2TP VPN） PPP会话续传（L2TP VPN）的具体过程如下 ： 远程用户通过PPPOA或PPPOE向LAC请求建立PPP连接。LAC接受远程用户的PPP连接。 LAC认证远程用户是否VPDN用户。如果远程用户不是VPDN客户，则以普通用户方式接入Internet；如果远程用户是VPDN客户，就连接某一指定的LNS。 注意：L2TP是第二层隧道协议 VPDN——（Virtual Private Dail-up Network虚拟拨号专用网）， PPP会话续传（L2TP VPN） PPP会话续传（L