H3C Bras解決方案建議書

1、H3C Bras解決方案建議書文檔密級H3C Bras解決方案建議書杭州華三通信技術(shù)有限公司Hangzhou H3C Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved目錄1組網(wǎng)方案說明61.1IRF技術(shù)優(yōu)勢71.2QinQ大二層技術(shù)82PORTAL認證92.1PORTAL系統(tǒng)組成102.2Portal認證的實現(xiàn)機制112.2.1發(fā)起認證的方式112.2.2用戶保活機制112.2.3產(chǎn)品實現(xiàn)原理122.3PORTAL協(xié)議框架132.4對EAD系統(tǒng)的支持142.5認證方式152.5.1認證方式分類152.5.2二層Portal認證過程162.5.

2、3三層Portal認證過程173PPPoE技術(shù)實現(xiàn)方案203.1PPPoE組網(wǎng)結(jié)構(gòu)203.2PPPoE報文格式223.3PPPoE工作過程233.3.1Discovery階段233.3.2Session階段243.3.3Terminate階段243.4典型組網(wǎng)應(yīng)用254UAM Portal服務(wù)器配置254.1配置服務(wù)254.2配置接入設(shè)備及認證網(wǎng)段264.3增加接入用戶285CAMS計費配置305.1計費組件配置30表目錄表1 IMC組件版本列表7圖目錄圖表 1 Portal直接認證組網(wǎng)圖6圖表 2 二次地址認證組網(wǎng)圖23圖表 3 NAT穿越組網(wǎng)圖27圖表 4 Portal雙機熱備組網(wǎng)圖311

3、 組網(wǎng)方案說明在網(wǎng)絡(luò)核心部署兩臺Bras設(shè)備，實現(xiàn)園區(qū)網(wǎng)用戶的統(tǒng)一接入認證管理，兩臺Bras設(shè)備通過虛擬化技術(shù)IRF2虛擬化成邏輯上的一臺設(shè)備，免去配置VRRP、BFD等繁瑣的配置。用戶側(cè)匯聚交換僅通過鏈路捆綁上連至核心Bras設(shè)備，簡化組網(wǎng)應(yīng)用。傳統(tǒng)的SR路由器承接Mobile、Business、IPTV等電信業(yè)務(wù)，BRAS作為寬帶網(wǎng)絡(luò)應(yīng)用的接入網(wǎng)關(guān)，完成用戶的認證和管理， MSE（Multi Service Edge）設(shè)備集SR和BRAS功能于一身，提高運營商、園區(qū)網(wǎng)、校園網(wǎng)多業(yè)務(wù)邊緣設(shè)備利用率、降低投資。提供豐富的用戶接入認證手段，支持PPPoE、PPPoEoVLAN、PPPoEoQ以及

4、PPPoEoA等，IPoE、Portal、L2TP VPN等。在園區(qū)網(wǎng)中，普通用戶之間的橫向訪問較少，為了避免ARP病毒的泛濫，建議用戶之間通過QinQ技術(shù)實現(xiàn)完全隔離，QinQ的終結(jié)統(tǒng)一集中在核心Bras上。1.1 IRF技術(shù)優(yōu)勢簡化管理。IRF形成之后，用戶通過任意成員設(shè)備的任意端口均可以登錄IRF系統(tǒng)，對IRF內(nèi)所有成員設(shè)備進行統(tǒng)一管理。而不用物理連接到每臺成員設(shè)備上分別對它們進行配置和管理。簡化網(wǎng)絡(luò)運行。IRF形成的虛擬設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，例如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算。這樣省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。

5、IRF技術(shù)的這一特性是常見的集群技術(shù)所不具備的，后者僅僅能完成設(shè)備管理上的統(tǒng)一，而集群中的設(shè)備在網(wǎng)絡(luò)中仍然分別作為獨立節(jié)點運行。低成本：IRF技術(shù)是將一些較低端的設(shè)備虛擬成為一個相對高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。比直接使用高端設(shè)備具有成本優(yōu)勢。強大的網(wǎng)絡(luò)擴展能力。通過增加成員設(shè)備，可以輕松自如的擴展IRF系統(tǒng)的端口數(shù)、帶寬和處理能力。保護用戶投資。由于具有強大的擴展能力，當用戶進行網(wǎng)絡(luò)升級時，不需要替換掉原有設(shè)備，只需要增加新設(shè)備既可。很好的保護了用戶投資。高可靠性。IRF的高可靠性體現(xiàn)在多個方面，例如：成員設(shè)備之間IRF物理端口支持聚合功能，IRF系統(tǒng)

6、和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了IRF系統(tǒng)的可靠性；IRF系統(tǒng)由多臺成員設(shè)備組成，Master設(shè)備負責IRF系統(tǒng)的運行、管理和維護，Slave設(shè)備在作為備份的同時也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過IRF系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備的1:N備份。IRF是網(wǎng)絡(luò)可靠性保障的最優(yōu)解決方案。高性能。由于IRF系統(tǒng)是由多個支持IRF特性的單機設(shè)備虛擬化而成的，IRF系統(tǒng)的交換容量和端口數(shù)量就是IRF內(nèi)部所有單機設(shè)備交換容量和端口數(shù)量的總和。因此，IRF技術(shù)能夠通過多個單機設(shè)備的虛擬化，輕易的將設(shè)備的核心交換能力、

7、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交換機特性，并且能夠高效穩(wěn)定地運行這些功能，大大擴展了IRF設(shè)備的應(yīng)用范圍。廣泛的產(chǎn)品支持。IRF技術(shù)作為一種通用的虛擬化技術(shù)，對不同形態(tài)產(chǎn)品的虛擬化一體化的實現(xiàn)，使用同一技術(shù)，同時支持盒式設(shè)備的虛擬化，以及框式分布式設(shè)備的虛擬化。1.2 QinQ大二層技術(shù)QinQ技術(shù)（也稱Stacked VLAN 或Double VLAN）是指將用戶私網(wǎng)VLAN標簽封裝在公網(wǎng)VLAN標簽中，使報文帶著兩層VLAN標簽穿越運營商的骨干網(wǎng)絡(luò)，在公網(wǎng)中只根據(jù)外層VLAN標

8、簽傳播，私網(wǎng)VLAN標簽被屏蔽，這樣，不僅對數(shù)據(jù)流進行了區(qū)分，而且由于私網(wǎng)VLAN標簽被透明傳送，不同的用戶VLAN標簽可以重復使用，只需要外層VLAN標簽的在公網(wǎng)上唯一即可，實際上也擴大了可利用的VLAN標簽數(shù)量。當前靈活QinQ主要應(yīng)用在運營商的接入網(wǎng)絡(luò)中，在運營商網(wǎng)絡(luò)中給接入用戶分配一個VLAN，以達到便于問題追蹤和防止不同用戶間互訪，用外層標簽區(qū)分用戶的應(yīng)用；或在接入的環(huán)境中用外層標簽來區(qū)分不同的接入地點，用內(nèi)外兩層標簽唯一標識出一個接入用戶。在這樣的應(yīng)用中需要BRAS/SR設(shè)備支持QinQ的應(yīng)用（能夠終結(jié)雙Tag）。下面我們看一下靈活QinQ的應(yīng)用場景：在S9500上實施QinQ，并

9、在S9500上進行業(yè)務(wù)分流，分流的方式是利用靈活QinQ功能，靈活QinQ分流的依據(jù)有下面幾種： 1) 根據(jù)端口的VLAN區(qū)間分流：比如PC的VLAN范圍11000，STB的VLAN范圍10012000，網(wǎng)吧的VLAN范圍20013000；2) 根據(jù)報文的協(xié)議號分流：比如PC采用PPPoE、STB采用IPoE，這些終端都通過一個VLAN上行，可以根據(jù)PPPoE和IPoE報文不同的協(xié)議號作為QinQ的分流依據(jù)； 3) 根據(jù)報文的目標IP地址分流：對于相同源IP地址，相同報文封裝不同的業(yè)務(wù)應(yīng)用報文，比如PC上的SoftPhone產(chǎn)生的報文，需要根據(jù)報文目的IP地址實施靈活QinQ進行業(yè)務(wù)分流； 4

10、) 根據(jù)QinQ的內(nèi)層標簽的區(qū)間，在某些級聯(lián)交換機的組網(wǎng)模式中，下連的交換機已經(jīng)實施了基于端口的QinQ，為了實現(xiàn)業(yè)務(wù)分流，可以根據(jù)QinQ的內(nèi)層VLAN標簽的區(qū)間實施靈活QinQ進行業(yè)務(wù)分流。 上述應(yīng)用場景可以用圖4來直觀的加以描述：                               &

11、#160;                                                 &

12、#160;        靈活QinQ對多業(yè)務(wù)的識別標記2 PORTAL認證Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。它提供了一種較為簡單的用戶認證方法，對用戶而言，相對其它認證方式更易于使用。它有兩大特色： 免客戶端只需要網(wǎng)頁瀏覽器（如IE）支持，即可為用戶提供認證服務(wù)，不需要安裝專門的客戶端或者撥號程序。免客戶端軟件對于像賓館、酒店等公共網(wǎng)絡(luò)節(jié)點，免客戶端軟件是一個基本要求。 新業(yè)務(wù)載體利用Portal認證的門戶功能，運營商可以將小區(qū)廣播、廣

13、告、信息查詢、網(wǎng)上購物等業(yè)務(wù)放到Portal上。用戶上網(wǎng)時會強制地看到上述信息。Portal認證的基本方式是通過在Portal頁面的顯著位置設(shè)置認證窗口，用戶開機獲取IP地址后，通過登錄Portal認證頁面進行認證，認證通過后即可訪問Internet。對于用戶來說有兩種方式訪問認證頁面： 主動Portal：用戶必須知道PORTAL服務(wù)器的IP地址，主動登陸PORTAL服務(wù)器進行認證，之后才能訪問網(wǎng)絡(luò)。 強制Portal：未認證用戶訪問網(wǎng)址，都會先強制定向到PORTAL服務(wù)器進行認證，用戶不需要記憶Portal服務(wù)器的IP地址。Portal業(yè)務(wù)可以為運營商提供方便的管理功能，基于其門戶網(wǎng)站可以開

14、展廣告、社區(qū)服務(wù)、個性化的業(yè)務(wù)等，使寬帶運營商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個產(chǎn)業(yè)生態(tài)系統(tǒng)。2.1 PORTAL系統(tǒng)組成 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，如運行HTTP/HTTPS協(xié)議的瀏覽器或運行Portal客戶端軟件的主機等。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務(wù)器之間的信息交流完成的。 接入設(shè)備（BAS）交換機、路由器等寬帶接入設(shè)備的統(tǒng)稱，主要有三方面的作用：在認證之前，將用戶的所有HTTP請求都重定向到Portal服務(wù)器。在認證過程中，與Portal服務(wù)器、安全策略服務(wù)器、認證/計費服務(wù)器交互，完成身份認證/安全認證/計費的功能。在認證通過后，允許用戶訪

15、問被管理員授權(quán)的互聯(lián)網(wǎng)資源。 Portal服務(wù)器接收Portal客戶端認證請求的服務(wù)器端系統(tǒng)，提供免費門戶服務(wù)和基于Web認證的界面，與接入設(shè)備交互認證客戶端的認證信息。 認證/計費服務(wù)器與接入設(shè)備進行交互，完成對用戶的認證和計費。以上四個基本要素的交互過程為：1 未認證用戶訪問網(wǎng)絡(luò)時，在Web瀏覽器地址欄中輸入一個互聯(lián)網(wǎng)的地址，那么此HTTP請求在經(jīng)過接入設(shè)備時會被重定向到Portal服務(wù)器的Web認證主頁上；2 用戶在認證主頁/認證對話框中輸入認證信息后提交，Portal服務(wù)器會將用戶的認證信息傳遞給接入設(shè)備；3 然后接入設(shè)備再與認證/計費服務(wù)器通信進行認證和計費；4 認證通過后，則接入設(shè)

16、備會打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。2.2 Portal認證的實現(xiàn)機制2.2.1 發(fā)起認證的方式雖然免客戶端認證是Portal認證的一種主流方式，但在需要實現(xiàn)更安全靈活的功能的前提下，也可以采用客戶端認證的方式進行認證，這兩種方式的認證流程大致如下：對于通過Web進行認證的用戶（免客戶端方式），采用對HTTP報文重定向的方式，接入設(shè)備對用戶連接進行TCP仿冒和認證客戶端建立TCP連接，然后將頁面重定向到Portal服務(wù)器，而從實現(xiàn)向客戶推出認證頁面。用戶通過在該頁面登錄將用戶信息傳遞給了Portal服務(wù)器，隨后Portal服務(wù)器通過PAP或CHAP的方式向接入設(shè)備

17、傳遞用戶信息。接入設(shè)備獲取到用戶信息后，將該信息通過AAA模塊完成認證。對于使用客戶端進行認證的用戶，直接使用portal協(xié)議報文與portal-server進行交互，實現(xiàn)對客戶端的相關(guān)控制和用戶狀態(tài)的實時上報。隨后Portal服務(wù)器與接入設(shè)備交互，接入設(shè)備再通過AAA模塊完成認證。2.2.2 用戶?；顧C制用戶通過WEB實現(xiàn)認證時，認證后在線窗口處于開打狀態(tài)，并采用上層的http協(xié)議的get動作實現(xiàn)心跳機制，用戶下線時需要在該頁面上主動點擊下線按鈕觸發(fā)下線動作，如果該頁面或用戶PC不正常關(guān)閉，可能導致用戶在一定時間內(nèi)無法手動下線，直到Portal服務(wù)器側(cè)超時后，再觸發(fā)下線動作，通知接入設(shè)備將用

18、戶下線。用戶使用專用的客戶端時，使用Portal握手報文來確認用戶是否在線。對于客戶端來說，4個心跳沒有收到答復，就認為自己已經(jīng)下線，重新發(fā)起認證；對于Portal服務(wù)器，在指定的時間內(nèi)沒有收到心跳報文，就認為用戶下線，并通知接入設(shè)備將用戶下線。2.2.3 產(chǎn)品實現(xiàn)原理產(chǎn)品對Portal的實現(xiàn)是基于ACL的，通過QACL模塊來支持對用戶報文的重定向以及限制用戶可以使用的相關(guān)資源;通常我們把Portal使用的ACL分為4類(對于底層沒有什么區(qū)別，主要是查找匹配的順序)Type1：FreeIP規(guī)則，動作是permit(到Portal-Server的規(guī)則為第1個freeip)Type2：用戶認證通過

19、后添加的規(guī)則，動作是permitType3：用戶網(wǎng)段重定向規(guī)則，對HTTP報文重定向到CPU(實現(xiàn)認證頁面的推出)Type4：用戶網(wǎng)段禁止規(guī)則，動作是denyPortal規(guī)則在端口上下發(fā)，排列需要有嚴格的順序，匹配時按照Type1-4的順序從前往后排列。如果在一個端口上既有普通ACL規(guī)則（通過命令行配置的ACL）下發(fā)，又啟用了portal，則portal所添加的規(guī)則會排列在普通ACL之后。2.3 PORTAL協(xié)議框架Portal協(xié)議主要涉及Portal服務(wù)器（Portal Server）和接入設(shè)備（BAS），采用C/S結(jié)構(gòu)，基于UDP。端口定義：PortalServer通過默認端口（50100

20、）偵聽BAS發(fā)來的報文；BAS通過端口2000偵聽來自PortalServer的所有報文。2.4 對EAD系統(tǒng)的支持通過EAD的系統(tǒng)中的安全策略服務(wù)器，Portal可以實現(xiàn)其擴展認證功能，實現(xiàn)基于客戶端與安全策略服務(wù)器之間的交互來進行后續(xù)的安全檢測功能。Portal對EAD的支持需要用戶在終端上安裝專用的Portal客戶端軟件，用戶在通過Portal認證后，安全策略服務(wù)器通過與Portal客戶端、接入設(shè)備進行交互，完成對用戶的安全認證。若對用戶采用了安全策略，則用戶的安全檢測通過之后，安全策略服務(wù)器根據(jù)用戶的安全策略，授權(quán)用戶訪問非受限資源。Portal在EAD系統(tǒng)中通過聯(lián)動的機制主動的實施安

21、全策略，聯(lián)動的基本方式如下： 客戶端與安全策略服務(wù)器聯(lián)動1、客戶端上線時Portal服務(wù)器會在Login-Response報文中攜帶EAD服務(wù)器的IP地址及端口號；2、用戶上線后客戶端和安全策略服務(wù)器進行交互，服務(wù)器下發(fā)檢查策略，客戶端按策略檢查所在PC的安全情況，并上報服務(wù)器；3、用戶在線過程中客戶端仍會定期上報安全情況，以適應(yīng)動態(tài)檢測(即EAD心跳)，安全檢測使用的報文為UDP，通常端口號是9019(Server)/10102(Client)。 接入設(shè)備與安全策略服務(wù)器的聯(lián)動 H3C對Radius協(xié)議進行了擴展，定義了Type20(Session-Control)，當用戶上線后，通過該類型

22、的Radius報文下發(fā)隔離ACL，等通過安全檢查后，再下發(fā)安全ACL。2.5 認證方式2.5.1 認證方式分類不同的組網(wǎng)方式下，可采用不同的Portal認證方式。按照網(wǎng)絡(luò)中實施Portal認證的網(wǎng)絡(luò)層次來分，Portal的認證方式分為兩種：二層認證方式和三層認證方式。 二層認證方式二層認證方式支持在接入設(shè)備連接用戶的二層端口上開啟Portal認證功能，只允許源MAC地址通過認證的用戶才能訪問外部網(wǎng)絡(luò)資源。目前，該認證方式僅支持本地Portal認證，即接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認證服務(wù)。 三層認證方式三層認證方式支持在接入設(shè)備連接用戶的三層接口上開啟Portal認證功能。

23、三層接口Portal認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端必須通過二層直接連接到接入設(shè)備；跨三層認證方式下，認證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。直接認證用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的free IP地址；認證通過后即可訪問網(wǎng)絡(luò)資源。認證流程相對二次地址分配認證較為簡單。二次地址分配認證用戶在認證前通過DHCP獲取一個私網(wǎng)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費訪問地址；認證通過后，用戶會重新申請到一個公網(wǎng)IP地址，即可

24、訪問網(wǎng)絡(luò)資源。該認證方式解決了IP地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP?？缛龑诱J證和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。對于以上三種認證方式，IP地址都是用戶的唯一標識。接入設(shè)備基于用戶的IP地址下發(fā)ACL對接口上通過認證的用戶報文轉(zhuǎn)發(fā)進行控制。由于直接認證和二次地址分配認證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學習到用戶的MAC地址，接入設(shè)備可以利用學習到MAC地址增強對用戶報文轉(zhuǎn)發(fā)的控制粒度。2.5.2 二層Portal認證過程(1) Porta

25、l用戶通過HTTP或HTTPS協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過配置了本地Portal服務(wù)器的接入設(shè)備的端口時會被重定向到本地Portal服務(wù)器的監(jiān)聽IP地址，本地Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進行認證。該本地Portal服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個與用戶之間路由可達的三層接口IP地址（通常為Loopback接口IP）。(2) 接入設(shè)備與RADIUS服務(wù)器之間進行RADIUS協(xié)議報文的交互，對用戶身份進行驗證。(3) 如果RADIUS認證成功，則接入設(shè)備上的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁面，通知客戶端認證（上線）成功。2.5.3 三層Portal

26、認證過程直接認證和可跨三層Portal認證的流程直接認證/可跨三層Portal認證流程：(1) Portal用戶通過HTTP協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過接入設(shè)備時，對于訪問Portal服務(wù)器或設(shè)定的免費訪問地址的HTTP報文，接入設(shè)備允許其通過；對于訪問其它地址的HTTP報文，接入設(shè)備將其重定向到Portal服務(wù)器。Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進行認證。(2) Portal服務(wù)器與接入設(shè)備之間進行CHAP（Challenge Handshake Authentication Protocol，質(zhì)詢握手驗證協(xié)議）認證交互。若采用PAP（Password Auth

27、entication Protocol，密碼驗證協(xié)議）認證則直接進入下一步驟。(3) Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認證請求報文發(fā)往接入設(shè)備，同時開啟定時器等待認證應(yīng)答報文。(4) 接入設(shè)備與RADIUS服務(wù)器之間進行RADIUS協(xié)議報文的交互。(5) 接入設(shè)備向Portal服務(wù)器發(fā)送認證應(yīng)答報文。(6) Portal服務(wù)器向客戶端發(fā)送認證通過報文，通知客戶端認證（上線）成功。(7) Portal服務(wù)器向接入設(shè)備發(fā)送認證應(yīng)答確認。(8) 客戶端和安全策略服務(wù)器之間進行安全信息交互。安全策略服務(wù)器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非

28、法軟件、是否更新操作系統(tǒng)補丁等。(9) 安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(8)、(9)為Portal認證擴展功能的交互過程二次地址分配認證方式的流程：二次地址分配認證流程：(1)(4)同直接/可跨三層Portal認證中步驟(1)(4)。(5) 用戶在接入設(shè)備上認證成功后，BAS向Portal-Server發(fā)送帶有IP-Config屬性的認證回應(yīng)報文，指出用戶需要更新IP地址。(6) Portal-Server再向客戶端發(fā)送帶有IP-Config屬性的認證通過報文（Login-Response），要求客戶程序

29、釋放再申請IP地址。(7) 客戶端成功更新IP地址后，向Portal-Server報告更新IP地址成功。(8) Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。(9) 接入設(shè)備通過檢測ARP協(xié)議報文檢測到了用戶IP變化，并通告Portal服務(wù)器已檢測到用戶IP變化。(10) Portal服務(wù)器通知客戶端上線成功。(11) Portal服務(wù)器向接入設(shè)備發(fā)送IP變化確認報文。(12) 客戶端和安全策略服務(wù)器之間進行安全信息交互。安全策略服務(wù)器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作系統(tǒng)補丁等。(13) 安全策略服務(wù)器根據(jù)用戶的安

30、全性授權(quán)用戶訪問非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(12)、(13)為Portal認證擴展功能的交互過程PPPoE認證對于用戶來說，PPPoE的優(yōu)點如下：沿襲傳統(tǒng)的撥號上網(wǎng)方式，依舊使用他們熟悉的硬件以及類似的軟件進行Internet的接入。使用以太網(wǎng)網(wǎng)卡連接PC和xDSL Modem，允許多臺PC同時共享xDSL線路，可以節(jié)約用戶投資。對于網(wǎng)絡(luò)維護者來說，PPPoE的優(yōu)點如下：可以通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式提供支持多用戶的寬帶接入服務(wù)?？梢岳每煽亢褪煜さ募夹g(shù)來加速部署高速互聯(lián)網(wǎng)業(yè)務(wù)，對現(xiàn)有網(wǎng)絡(luò)部署影響小。可以通過訪問控制功能對

31、用戶的身份進行確認，通過計費功能對用戶進行計費，同時對用戶的網(wǎng)絡(luò)行為進行監(jiān)控，保證了網(wǎng)絡(luò)安全。終端用戶可同時接入多個運營商，這種動態(tài)服務(wù)選擇的功能可以使運營商容易創(chuàng)建和提供新的業(yè)務(wù)。3 PPPoE技術(shù)實現(xiàn)方案3.1 PPPoE組網(wǎng)結(jié)構(gòu)PPPoE使用Client/Server模型，PPPoE的客戶端為PPPoE Client，PPPoE的服務(wù)器端為PPPoE Server。PPPoE Client向PPPoE Server發(fā)起連接請求，兩者之間會話協(xié)商通過后，PPPoE Server向PPPoE Client提供接入控制、認證等功能。根據(jù)PPP會話的起止點所在位置的不同，有兩種組網(wǎng)結(jié)構(gòu)：l

32、60;             第一種方式在設(shè)備之間建立PPP會話，所有主機通過同一個PPP會話傳送數(shù)據(jù)，主機上不用安裝PPPoE客戶端撥號軟件，一般是一個企業(yè)（公司）共用一個賬號（圖中PPPoE Client位于企業(yè)/公司內(nèi)部，PPPoE Server是運營商的設(shè)備）。圖1 PPPoE組網(wǎng)結(jié)構(gòu)圖1l              第二種部署方式，PP

33、P會話建立在Host和運營商的路由器之間，為每一個Host建立一個PPP會話，每個Host都是PPPoE Client，每個Host一個帳號，方便運營商對用戶進行計費和控制。Host上必須安裝PPPoE客戶端撥號軟件。圖2 PPPoE組網(wǎng)結(jié)構(gòu)圖23.2 PPPoE報文格式PPPoE報文的格式就是在以太網(wǎng)幀中攜帶PPP報文，如圖3所示。圖3 報文格式各個字段解釋如下：l              Destination_address域：一個以太網(wǎng)單播目的地址或者以太

34、網(wǎng)廣播地址（0xffffffff）。對于Discovery數(shù)據(jù)包來說，該域的值是單播或者廣播地址，PPPoE Client尋找PPPoE Server的過程使用廣播地址，確認PPPoE Server后使用單播地址。對于Session階段來說，該域必須是Discovery階段已確定的通信對方的單播地址。l              Source_address域：源設(shè)備的以太網(wǎng)MAC地址。l      

35、60;       Ether_type：設(shè)置為0x8863（Discovery階段或拆鏈階段）或者0x8864（Session階段）。l              Ver域：4bits，PPPoE版本號，值為0x1。l              Type域：4bits，PPPo

36、E類型，值為0x1。l              Code域：8bits，PPPoE報文類型。Code域為0x00，表示會話數(shù)據(jù)。Code域為0x09，表示PADI報文；Code域為0x07，表示PADO或PADT報文；Code域為0x19，表示PADR報文；Code域為0x65，表示PADS報文。報文的具體情況請參見附錄部分。l           

37、60;  Session_ID域：16bits，對于一個給定的PPP會話，該值是一個固定值，并且與以太網(wǎng)Source_address和Destination_address一起實際地定義了一個PPP會話。值0xffff為將來的使用保留，不允許使用。l              Length域：16bits，定義PPPoE的Payload域長度。不包括以太網(wǎng)頭部和PPPoE頭部的長度。3.3 PPPoE工作過程PPPoE的協(xié)商過程如圖4所示：圖4 PPPoE

38、協(xié)商過程PPPoE可分為三個階段，即Discovery階段、Session階段和Terminate階段。3.3.1 Discovery階段Discovery階段由四個過程組成。完成之后通信雙方都會知道PPPoE的Session_ID 以及對方以太網(wǎng)地址，它們共同確定了唯一的PPPoE Session。(1)        PPPoE Client廣播發(fā)送一個PADI報文，在此報文中包含PPPoE Client想要得到的服務(wù)類型信息。(2)        所

39、有的PPPoE Server收到PADI報文之后，將其中請求的服務(wù)與自己能夠提供的服務(wù)進行比較，如果可以提供，則單播回復一個PADO報文。(3)        根據(jù)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，PPPoE Client可能收到多個PPPoE Server發(fā)送的PADO報文，PPPoE Client選擇最先收到的PADO報文對應(yīng)的PPPoE Server做為自己的PPPoE Server，并單播發(fā)送一個PADR報文。(4)        PPPoE Server產(chǎn)生一個唯

40、一的會話ID（SESSION ID），標識和PPPoE Client的這個會話，通過發(fā)送一個PADS報文把會話ID發(fā)送給PPPoE Client，如果沒有錯誤，會話建立后便進入PPPoE Session階段。3.3.2 Session階段PPPoE Discovery階段的工作為PPPoE Client和PPPoE之間建立了Session，之后PPPoE便進入了Session階段，Session階段可劃分為兩部分，一是PPP協(xié)商階段，二是PPP報文傳輸階段。PPPoE Session上的PPP協(xié)商和普通的PPP協(xié)商方式一致，分為LCP、認證、NCP三個階段。(1)  

41、60;     LCP階段主要完成建立、配置和檢測數(shù)據(jù)鏈路連接。(2)        LCP協(xié)商成功后，開始進行認證工作，認證協(xié)議類型由LCP協(xié)商結(jié)果（CHAP或者PAP）決定。(3)        認證成功后，PPP進入NCP階段，NCP是一個協(xié)議族，用于配置不同的網(wǎng)絡(luò)層協(xié)議，常用的是IP控制協(xié)議（IPCP），它負責配置用戶的IP和DNS等工作。PPPoE Session的PPP協(xié)商成功后，其上就可以承載PPP數(shù)據(jù)

42、報文。在PPPoE Session階段所有的以太網(wǎng)數(shù)據(jù)包都是單播發(fā)送的。3.3.3 Terminate階段PPP通信雙方應(yīng)該使用PPP協(xié)議自身（比如PPP終結(jié)報文）來結(jié)束PPPoE會話，但在無法使用PPP協(xié)議結(jié)束會話時可以使用PADT報文。進入PPPoE Session階段后，PPPoE Client和PPPoE Server都可以通過發(fā)送PADT報文的方式來結(jié)束PPPoE連接。PADT數(shù)據(jù)包可以在會話建立以后的任意時刻單播發(fā)送。在發(fā)送或接收到PADT后，就不允許再使用該會話發(fā)送PPP流量了，即使是常規(guī)的PPP結(jié)束數(shù)據(jù)包也不允許發(fā)送。3.4 典型組網(wǎng)應(yīng)用利用ADSL Modem將局域網(wǎng)接入Internet企業(yè)希望使用一個公共帳號訪問Internet：l              Router A作為PPPoE Client，通過一個帳號訪問Internet（相當于整個企業(yè)的員工公用這個帳號）。l              Router B作為PPPoE Server連接至DSLAM，提供RADIUS認證、計費等功能，同時