《PPPoE在校园网中的应用.doc》由会员分享,可在线阅读,更多相关《PPPoE在校园网中的应用.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、PPP协议一、介绍PPP(Point-to-Point Protocol点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。二、 PPP链路建立过程PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样几个部分:链路控制协议LCP(Link Control Protocol);网络控制协议NCP(Network Control Protocol);认证协议,最常
2、用的包括口令验证协议PAP(Password Authentication Protocol)和挑战握手验证协议CHAP(Challenge-Handshake Authentication Protocol)。LCP负责创建,维护或终止一次物理连接。NCP是一族协议,负责解决物理连接上运行什么网络协议,以及解决上层网络协议发生的问题。下面介绍PPP链路建立的过程:一个典型的链路建立过程分为三个阶段:创建阶段、认证阶段和网络协商阶段。阶段1:创建PPP链路LCP负责创建链路。在这个阶段,将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文(Configure Packets
3、)。一旦一个配置成功信息包(Configure-Ack packet)被发送且被接收,就完成了交换,进入了LCP开启状态。应当注意,在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。阶段2:用户验证在这个阶段,客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前,禁止从认证阶段前进到网络层协议阶段。如果认证失败,认证者应该跃迁到链路终止阶段。在这一阶段里,只有链路控制协议、认证协议,和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。最常用的认证
4、协议有口令验证协议(PAP)和挑战握手验证协议(CHAP)。 认证方式介绍在第三部分中介绍。 阶段3:调用网络层协议认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题,例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。这样,经过三个阶段以后,一条完整的PPP链路就建立起来了。三、 认证方式1)口令验证协议(PAP) PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性
5、较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。2)挑战-握手验证协议(CHAP) CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发
6、送。CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。四、PPP协议的应用PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。 家庭拨号上网就是通过PP
7、P在用户端和运营商的接入服务器之间建立通信链路。 目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线,Asymmetrical Digital Subscriber Loop)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。 利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前A
8、DSL接入方式中应用最广泛的技术标准。 同样,在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同;不同的是它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准。 PPP协议的简单完整使它得到了广泛的应用,相信在未来的网络技术发展中,它还可以发挥更大的作用。PPPoE在校园网中的应用作者:边永涛出处:计算机与信息技术 摘 要 介绍了PPPoE与VLAN相结合的校园网宽带接入方式,详细分析了BRAS与RADIUS的配置情况。 关键词 PPPoE
9、;VLAN;BRAS;RADIUS1 引言 当前,随着高校校园网络规模不断扩大,除建立一个稳定可靠的网络外,选择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有3种,固定IP、DHCP和PPPoE。分别在网络不同发展阶段发挥相应的作用。但随着网络规模扩大和复杂度增加,PPPoE接入方式越来越体现出较强的优越性。我校将VLAN技术与PPPoE相结合,采用BRAS和RADIUS接入认证,完成了PPPoE在校园网中的部署。2 三种宽带接入方式的比较2.1 用户管理和开销方面: 随着网络规模的扩大,传统上固定IP地址管理方式变得比较困难,用户恶意更改或者尝试自行设置自己的IP地址,都会造成管理
10、上的麻烦,增加管理的额外开销。 而DHCP管理方式,一方面存在较多的广播开销,对于用户较多的局域网会造成网络运行效率下降和配置困难;另一方面,仍然无法解决用户自行配置IP地址的问题。 PPPoE由于采用动态分配IP地址方式,用户拨号后无需自行配置IP地址、网关、域名等,它们均是自动生成,不存在用户自行更改IP地址的问题,对用户管理方便,而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装,这两个封装加起来也只有8个字节,广播开销很小。2.2 计费策略方面 固定IP和DHCP方式计费策略不灵活,一般采用包月制,如要实现流量计费功能则必须要有相应的流量监视或采集系统,或是在高端路由器
11、上启动记帐功能,然后应用SNMP进行计费,这有可能造成路由器运行效率下降。 PPPoE则可以实现对用户的灵活计费,可以按时长、流量计费,也可采用包月制。2.3 用户服务策略定制方面 固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务,若要对特定用户进行流量控制,必须购买流量控制设备。 PPPoE支持业务QoS保证,可方便地对用户进行实时流量控制。2.4 信息安全方面 固定IP、DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题,将局域网交换机的每个端口配置成独立的VLAN,利用VLAN可以隔离ARP、DHCP等携带用户信息的广播消息,从而使用户数
12、据安全性得到提高。固定IP地址方式为了识别用户合法性需将IP地址和端口VID进行绑定,每个用户处于逻辑上独立的网内,所以对每个用户要配置一个子网的4个IP地址:子网地址、网关地址、子网广播地址和用户主机地址,这样会造成地址利用率降低,而PPPoE采用认证、授权的方式不存在这个问题。2.5 第三层广播风暴 固定IP和DHCP方式都不能解决第三层广播风暴问题,第三层广播风暴影响同一IP子网所有用户的使用质量。PPPoE方式由于采用二层隧道认证,所有链路设备都工作在第二层,不存在第三层广播风暴问题。2.6 PPPoE认证优势 PPPoE认证客户机首先要有PPPoE协议驱动软件,在前端由BRAS服务器
13、配合RADIUS服务器实现对用户的认证、计费。 认证过程:用户拨号发出请求,经过网络传送到BRAS服务器,BRAS服务器接到请求后向RADIUS服务器发出ACCESS REQUEST请求包,其中含有用户的帐号、密码、端口类型等,经RADIUS服务器核实后,向BRAS回送ACCESS REPONSE响应包,其中包含用户的合法性和一些设置,如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络,联网期间BRAS不断向RADIUS发送计费信息,这些信息包括用户的上网时间、用户流量、用户下网时间等,以便RADIUS准确计费。 以上比较可以看出,PPPoE同其它两种接入
14、方式相比具有较大的优势。而从PPPoE认证过程可以看出,BRAS服务器在整个链路中起到关键的作用,要实现大而全的功能,包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能。3 我校PPPoE接入情况 中国矿业大学校园网以Cisco6513为网络核心,以Cisco6503作为边界路由器连接出口。在PPPoE接入中,以Juniper ERX-310作为BRAS,与核心交换机Cisco6513的Gi12/26口做三层对接,以迪威达康认证计费管理系统作为Radius服务器。锐捷6806与锐捷21系列交换机跟Cisco6513之间起TRUNK协议,各接入层交换机下连端口指定二层VLAN158,提供认
15、证服务。详细网络结构如图1所示。图1 网络拓扑3.1 Cisco6513配置 做端口对接,并设置允许用于认证的二层隧道,VLAN158。 interface GigabitEthernet12/26 description link_erx_gi1/1 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 158 switchport mode trunk no ip address rmon collection stats 6083 owner monitor ! 指定对接VLAN int
16、erface Vlan401 description link-juniper310_default ip address 172.30.1.1 255.255.255.252 ip route-cache flow ! 做针对地址池的路由 ip route 219.219.42.128 255.255.255.128 172.30.1.2 ip route 219.219.43.128 255.255.255.128 172.30.1.23.2 Juniper ERX-310对接配置 interface gigabitEthernet 1/0.10 vlan id 401 ip addres
17、s 172.30.1.2 255.255.255.252 ! ip route 0.0.0.0 0.0.0.0 172.30.1.13.3 Juniper ERX-310主要配置 采用default 虚拟路由器(VR)配置 virtual-router default ! aaa domain-map none router-name default ipv6-router-name default ! PROFILE定义配置,PROFILE用来指定一个IP 端口的相关的属性或特性,只要在全局定义一次,就可以在多个VR中被多个接口应用。 profile pppoetest ip unnumbe
18、red loopback 0 ppp authentication pap chap ppp keepalive 300 pppoe url ! aaa详细参数配置 virtual-router default aaa authentication atm1483 default radius aaa accounting atm1483 default radius aaa authentication ip default radius aaa accounting ip default radius aaa authentication ipsec default radius aaa
19、accounting ipsec default radius aaa dns primary 202.119.200.10 aaa dns secondary 202.119.199.67 aaa authentication ppp default radius aaa accounting ppp default radius ! ip address-pool local aaa authentication radius-relay default radius aaa accounting radius-relay default radius aaa authentication
20、 tunnel default radius aaa accounting tunnel default radius ! 指定域名解析服务器配置 ip domain-lookup ip name-server 202.119.199.67 ip name-server 202.119.200.10 ! 配置作为参考用的LOOPBACK端口 interface null 0 interface loopback 0 ip address 219.219.43.129 255.255.255.255 ! 局域网PPPoE接口配置,在这里一定要指明用于透传的Vlan id。 interface g
21、igabitEthernet 1/1.158 vlan id 158 pppoe pppoe auto-configure pppoe profile any pppoetest ! 地址池配置 ip local pool tel ip local pool tel 219.219.43.130 219.219.43.254 ip local pool tel 219.219.42.130 219.219.42.254 指定Radius认证服务器,并且设置密钥。 radius authentication server 202.119.199.7 key ! radius accounting
22、 server 202.119.199.7 key ! radius update-source-addr 219.219.43.129 ! 3.4 Radius服务器配置 Radius 服务器采用迪威达康认证计费管理系统。 其中最重要的一步操作是指定与BRAS地址池定义相匹配的网关。 详细网关设置情况,如图2所示。 在这里设置网关分别为219.219.42.129、219.219.43.129,密钥为”,跟Juniper ERX-310的配置相一致。 通过认证计费管理系统,可以进行方便的管理,这里仅以在线列表统计情况为例。 详情如图3所示。图2 网关设置 图3 在线列表统计3.5 PPPoE
23、客户端说明 WinXP及以后的版本,系统自带比较好用的PPPoE客户端软件,Linux系统也可以通过PPPoE拨号认证上网,win2000及以前的本版,需要另外下载PPPoE客户端软件。4 结论 经使用和论证,PPPoE+VLAN技术可以作为校园网比较理想的宽带接入方式。但在实际使用中,一些病毒比较集中的区域,如多媒体教学区,会存在二层广播流量大,导致交换机CPU利用率偏高的问题,对于这种情况,可以结合PVLAN、QinQ等技术进行实施,以完善PPPoE接入,提高网络运行效率。 参考文献1思科网络技术学院教程.美.cisco system公司.cisco networking academy program著2PPPOE宽带接入技术及常见故障分析.http:/3http:/ Entry.do?id=887194http:/ 2005-08-06/Article_43119.html