基于QINQ技术的IP城域网优化方案的实现

皖西学院本科毕业论文（设计）

底层up lcp opened

Dead阶段 链路建立失败 Establish阶段 Authenticate阶段 验证失败 验证通过 down 或者无验证 关闭 Terminate阶段 图3.1

如图3.1从链路整体的角度，描述了PPP链路建立所经历和涉及的几个阶段。实际上PPP链路的建立需要经过一系列的协商，这些协商又会根据PPP应用的不同而协商不同的内容，所以涉及的协商过程也会有所不同。PPP初始状态为不活动(Dead)状态，当满足以下两个条件时，PPP会进入链路建立(Establish)阶段；这两个条件是：PPP的低层报UP(符合什么条件报UP，取决于低层的特点，会由于低层类型的不同而体现出不同的特点，这里可暂时简单地理解为物理UP)、对应接口是OPEN状态(即没有被管理员PPP在Establish阶段主要进行链路控制协商(LCP)，协商内容包括：MRU (最大接收单元)、魔术字(magic number)、验证方式、异步字符映射、工作方式是否是MP等选项。LCP协商成功后，LCP状态变为UP，表示链路已经建立(注意，此时对于网络层而言PPP链路还没有建立，还不能够在上面成功传输网络层包文)；这里如果配置了验证(对端验证本端或本端验证对端)就进入Authenticate阶段，开始CHAP或PAP验证。如果验证失败则进入Terminate阶段，拆除链路，LCP状态转为Down如果验证成功就进入Network协商阶段，进行NCP的协商(如IPCP、IPXCP、BCP的协商)，此时LCP状态是UP的。网络控制协商成功后，链路就会UP，就可以开始接收与发送协商指定的网络层包文了。到此，PPP链路将一直保持通信，直至有明确的LCP或NCP帧关闭这条链路，或发生了某些外部事件(例如，用户的干预)。 3.2.3PPP认证方式

下面我们看下PPP上常用的两种验证方式：PAP的验证过程，CHAP的验证过程

（1）PAP(Password Authentication Protocol)验证

PAP为两次握手协议，它通过用户名及口令来对用户进行验证，如下图3.2所示：

验证方 被验证方

第 14页

Network阶段 皖西学院本科毕业论文（设计） 被验证方发送用户名和密码到验证方 ACK OR NOT ACK 图3.2

PAP验证过程如下：当两端链路可相互传输数据时，被验证方发送本端的用户名及口令到验证方，验证方根据本端的用户表(或Radius服务器)查看是否有此用户，口令是否正确。如正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商；否则发送NAK报文，通告对端验证失败。此时，并不会直接将链路关闭。只有当验证不过次数达到一定值时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。PAP的特点是在网络上以明文的方式传递用户名及口令，若在传输过程中被截获，便有可能对网络安全造成极大的威胁。因此，它只适用于对网络安全要求比较低的环境。

（2）CHAP(Challenge Handshake Authentication Protocol)验证 CHAP为三次握手协议．验证过程如图3.3所示。

验证方 被验证方

challenge

Response ACK OR NOT ACK

图3.3

它在网络上传输用户名，但不传输用户口令(其实是它不直接传输口令，传输的是用MD5

第 15页

皖西学院本科毕业论文（设计）

算法将口令与某随机报文ID一起计算的结果)，因此它的安全性要比PAP高。CHAP的验证过程为：首先由验证方向被验证方发送一些随机产生的报文，同时将用户名附带上一起发送始被验证方。被验证方接到对端对本端的验证请求时．便根据此报文中验证方的用户名和本端的用户表(注意，这个用户表可能在本地，也可能在另外一台服务器上)查找用户口令字，如找到用户表中与验证方用户名相同的用户．便利用收到的随机包文、报文ID、此用户的密钥用MD5算法生成应答(Response)，随后将应答和自己的用户名送回。验证方接到此应答后，根据此报文中被验证方的用户名和本端的用户表(注意：这个用户表可能在本地，也可能在另外一台服务器上)查找用户口令字，如找到用户表中与验证方用户名相同的用户，便利用原来验证方自己产生的随机报文、保留的随机报文ID、此用户的密钥用MD5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果。结果相同，则返回SUCCESS，不同，则返回FAILURE。这么一种验证过程，要求两端的口令必须是相同的。 3.4 PPPOE（point-to-point protocol over Ethernet）协议

PPPOE协议通过把以太网和点对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使网络提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便。同时该技术亦简化了最终用户在选择这些服务时的配置操作。通过PPPOE，在一个共享的以太网上的多个主机，可以通过一个或多个简单的桥接入设备，与BRAS进行多个PPP会话。使用这种模型，每个主机使用它自己的PPP协议栈，并且提供给用户一个熟悉的用户接口，完成AAA认证。接入控制、计费和服务类型能够基于每用户，而不是每站点来处理。

3.3.1 PPPOE通信流程

PPPOE有两个不同的阶段：发现阶段和PPP会话阶段。当一个主机想建立PPPOE会话，首先知道远端访问集中器的MAC地址，并建立一个唯一的PPOE会话ID。在发现阶段，基于网络的拓扑，主机可以发现多个接入集中器。发现阶段允许主机发现所有的接入集中器，然后选择一个。当发现阶段成功完成，主机和选择的接入集中器都有了它们在以太网上建立PPP连接的信息。直到PPP会话建立，发现阶段一直保持无状态的状态。一旦PPP会话建立，主机和接入集中器都必须为PPP虚接口分配资源。图3.4是PPPOE的通信过程：

第 16页

皖西学院本科毕业论文（设计）

Host AC PADI PADO PADR PADS PPP DATA PADT

图3.4 发现阶段有四个步骤，当此阶段完成，通信双方都知道PPPOE 会话ID和对端的以太网MAC地址，它们一起唯一定义PPPOE会话。这些步骤包括：

（1）用户主机发出PPPOE有效发现初始包(PADI（PPPOE Active Discovery Initiation)）)。以太网目的地址为广播地址0xffffffff，CODE为0x09，会话ID为0x0000。PADI分组必须至少包含一个服务名称类型的标签(标签类型字段为0x0101)， 向AC提出所要求提供的服务。

（2）接入设备收到在服务范围内的PADI包后，发送PPPOE 有效发现提供包(PADO)以响应请求。其CODE字段为0x07，会话ID仍为0x0000。PADO必须包含一个接入设备名称类型(AC-Name)的标签(标签类型字段为0x0102)以及一个或多个服务名称类型标签，表明可向用户主机提供的服务种类。

（3）用户主机在可能收到的多个PADO包中选择一个合适的接入设备，选择的原则是根据PADO中接入设备名称类型标签和服务名称类型标签的内容。然后向所选择的接入设备发送PPPOE有效发现请求包(PADR)。其CODE字段为0x19，SESSION ID仍为0x0000。PADR报文必须含有一个服务名称类型标签，确定向接入设备请求的服务种类。当一个用户主机在确定时间没有收到PADO，它会重发一个PADI，同时等待两倍的时间。根据需要重复多次。

（4）接入设备收到PADR包后准备开始PPP会话，它发送一个PPPOE有效发现会话确认包(PADS)。SESSION ID为接入设备所产生的一个唯一的PPPOE会话标识号码。0xffff作为预留资源，目前不能被使用作会话ID。PADS包也必须包含一个服务名称类型的标签确认向用户主机

第 17页