您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > PPPoE在校园网中的应用
PPP协议一、介绍PPP(Point-to-PointProtocol点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。二、PPP链路建立过程PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样几个部分:链路控制协议LCP(LinkControlProtocol);网络控制协议NCP(NetworkControlProtocol);认证协议,最常用的包括口令验证协议PAP(PasswordAuthenticationProtocol)和挑战握手验证协议CHAP(Challenge-HandshakeAuthenticationProtocol)。LCP负责创建,维护或终止一次物理连接。NCP是一族协议,负责解决物理连接上运行什么网络协议,以及解决上层网络协议发生的问题。下面介绍PPP链路建立的过程:一个典型的链路建立过程分为三个阶段:创建阶段、认证阶段和网络协商阶段。阶段1:创建PPP链路LCP负责创建链路。在这个阶段,将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文(ConfigurePackets)。一旦一个配置成功信息包(Configure-Ackpacket)被发送且被接收,就完成了交换,进入了LCP开启状态。应当注意,在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。阶段2:用户验证在这个阶段,客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前,禁止从认证阶段前进到网络层协议阶段。如果认证失败,认证者应该跃迁到链路终止阶段。在这一阶段里,只有链路控制协议、认证协议,和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。最常用的认证协议有口令验证协议(PAP)和挑战握手验证协议(CHAP)。认证方式介绍在第三部分中介绍。阶段3:调用网络层协议认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题,例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。这样,经过三个阶段以后,一条完整的PPP链路就建立起来了。三、认证方式1)口令验证协议(PAP)PAP是一种简单的明文验证方式。NAS(网络接入服务器,NetworkAccessServer)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。2)挑战-握手验证协议(CHAP)CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrarychallengestring)。远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replayattack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclientimpersonation)进行攻击。四、PPP协议的应用PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线,AsymmetricalDigitalSubscriberLoop)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPPoverEthernet),PPPoA(PPPoverATM)。利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。同样,在ATM(异步传输模式,AsynchronousTransferMode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同;不同的是它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准。PPP协议的简单完整使它得到了广泛的应用,相信在未来的网络技术发展中,它还可以发挥更大的作用。PPPoE在校园网中的应用作者:边永涛出处:计算机与信息技术摘要介绍了PPPoE与VLAN相结合的校园网宽带接入方式,详细分析了BRAS与RADIUS的配置情况。关键词PPPoE;VLAN;BRAS;RADIUS1引言当前,随着高校校园网络规模不断扩大,除建立一个稳定可靠的网络外,选择一个好的宽带接入方式也尤为重要。传统以太网接入方式主要有3种,固定IP、DHCP和PPPoE。分别在网络不同发展阶段发挥相应的作用。但随着网络规模扩大和复杂度增加,PPPoE接入方式越来越体现出较强的优越性。我校将VLAN技术与PPPoE相结合,采用BRAS和RADIUS接入认证,完成了PPPoE在校园网中的部署。2三种宽带接入方式的比较2.1用户管理和开销方面:随着网络规模的扩大,传统上固定IP地址管理方式变得比较困难,用户恶意更改或者尝试自行设置自己的IP地址,都会造成管理上的麻烦,增加管理的额外开销。而DHCP管理方式,一方面存在较多的广播开销,对于用户较多的局域网会造成网络运行效率下降和配置困难;另一方面,仍然无法解决用户自行配置IP地址的问题。PPPoE由于采用动态分配IP地址方式,用户拨号后无需自行配置IP地址、网关、域名等,它们均是自动生成,不存在用户自行更改IP地址的问题,对用户管理方便,而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装,这两个封装加起来也只有8个字节,广播开销很小。2.2计费策略方面固定IP和DHCP方式计费策略不灵活,一般采用包月制,如要实现流量计费功能则必须要有相应的流量监视或采集系统,或是在高端路由器上启动记帐功能,然后应用SNMP进行计费,这有可能造成路由器运行效率下降。PPPoE则可以实现对用户的灵活计费,可以按时长、流量计费,也可采用包月制。2.3用户服务策略定制方面固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务,若要对特定用户进行流量控制,必须购买流量控制设备。PPPoE支持业务QoS保证,可方便地对用户进行实时流量控制。2.4信息安全方面固定IP、DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题,将局域网交换机的每个端口配置成独立的VLAN,利用VLAN可以隔离ARP、DHCP等携带用户信息的广播消息,从而使用户数据安全性得到提高。固定IP地址方式为了识别用户合法性需将IP地址和端口VID进行绑定,每个用户处于逻辑上独立的网内,所以对每个用户要配置一个子网的4个IP地址:子网地址、网关地址、子网广播地址和用户主机地址,这样会造成地址利用率降低,而PPPoE采用认证、授权的方式不存在这个问题。2.5第三层广播风暴固定IP和DHCP方式都不能解决第三层广播风暴问题,第三层广播风暴影响同一IP子网所有用户的使用质量。PPPoE方式由于采用二层隧道认证,所有链路设备都工作在第二层,不存在第三层广播风暴问题。2.6PPPoE认证优势PPPoE认证客户机首先要有PPPoE协议驱动软件,在前端由BRAS服务器配合RADIUS服务器实现对用户的认证、计费。认证过程:用户拨号发出请求,经过网络传送到BRAS服务器,BRAS服务器接到请求后向RADIUS服务器发出ACCESSREQUEST请求包,其中含有用户的帐号、密码、端口类型等,经RADIUS服务器核实后,向BRAS回送ACCESSREPONSE响应包,其中包含用户的合法性和一些设置,如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络,联网期间BRAS不断向RADIUS发送计费信息,这些信息包括用户的上网时间、用户流量、用户下网时间等,以便RADIUS准确计费。以上比较可以看出,PPPoE同其它两种接入方式相比具有较大的优势。而从PPPoE认证过程可以看出,BRAS服务器在整个链路中起到关键的作用,要实现大而全的功能,包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能。3我校PPPoE接入情况中国矿业大学校园网以Cisco6513为网络核心,以Cisco6503作为边界路由器连接出口。在PPPoE接入中,以JuniperERX-310作为BRAS,与核心交换机Cisco6513的Gi12/26口做三层对接,以迪威达康认证计费管理系统作为Radius服务器。锐捷6806与锐捷21系列交换机跟Cisco6513之间起TRUNK协议,各接入层交换机下连端口指定二层VLAN158,提供认证服务。详细网络结构如图1所示。图1网络拓扑3.1Cisco6513配置做端口对接,并设置允许用于认证的二层隧道,VLAN158。interfaceGigabitEthernet12/26descriptionlink_erx_gi1/1switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan158switchportmodetrunknoipaddressrmoncollectionstats6083ownermonitor!指定对接VLANinterfaceVlan401descriptionlink-juniper310_defaultipaddress172.30.1.1255.255.255.252iproute-cacheflow!做针对地址池的路由iproute219.219.42.128255.255.255.128172.30.1.2iproute219.219.43.128255.255.255.128172.30.1.23.2JuniperERX-310对接配置interfacegigabitEthernet1/0.10vlanid401ipaddress172.30.1.2255.255.255.252!iproute0.0.0.00.0.0.0172.30.1.13.3JuniperERX-310主要配置采用default虚拟路由器(VR)配置virtual-routerdefault!aaadomain-mapnonerouter-namedefaultipv6-router-namedefault!PROFILE定义配置,PROFILE用来指定一个IP端口的相关的属性或特性,只要在全局定义一次,就可以在多个VR中被多个接口应用。profilepppoetestipunnumberedloopback0pppauthenticationpapchappppkeepalive300pppoeurlcn.j
本文标题:PPPoE在校园网中的应用
链接地址:https://www.777doc.com/doc-2887838 .html