PPPOE工作原理

與傳統(tǒng)的接入方式相比，PPPoE具有較高的性價比，它在包括小區(qū)組網(wǎng)建設(shè)等一系列應(yīng)用中被廣泛采用，目前流行的寬帶接入方式ADSL 就使用了PPPoE協(xié)議。

隨著低成本的寬帶技術(shù)變得日益流行，DSL（Digital Subscriber Line）數(shù)字用戶線技術(shù)更是使得許多計算機在互聯(lián)網(wǎng)上能夠酣暢淋漓的沖浪了。但是這也增加了DSL服務(wù)提供商們對于網(wǎng)絡(luò)安全的擔(dān)心。

通過ADSL方式上網(wǎng)的計算機大都是通過以太網(wǎng)卡（Ethernet）與互聯(lián)網(wǎng)相連的。同樣使用的還是普通的TCP/IP方式，并沒有附加新的協(xié)議。另外一方面，調(diào)制解調(diào)器的撥號上網(wǎng)，使用的是PPP協(xié)議，即Point to Point Protocol，點到點協(xié)議，該協(xié)議具有用戶認(rèn)證及通知IP地址的功能。PPP over Ethernet（PPPoE）協(xié)議，是在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù)，尤其適用于ADSL等方式。

工作原理

PPPoE協(xié)議的工作流程包含發(fā)現(xiàn)和會話兩個階段，發(fā)現(xiàn)階段是無狀態(tài)的，目的是獲得PPPoE終結(jié)端（在局端的ADSL設(shè)備上）的以太網(wǎng)MAC地址，并建立一個唯一的PPPoE SESSION-ID。發(fā)現(xiàn)階段結(jié)束后，就進(jìn)入標(biāo)準(zhǔn)的PPP會話階段。

當(dāng)一個主機想開始一個PPPoE會話，它必須首先進(jìn)行發(fā)現(xiàn)階段，以識別局端的以太網(wǎng)MAC地址，并建立一個PPPoE SESSION-ID。在發(fā)現(xiàn)階段，基于網(wǎng)絡(luò)的拓?fù)洌鳈C可以發(fā)現(xiàn)多個接入集中器，然后允許用戶選擇一個。當(dāng)發(fā)現(xiàn)階段成功完成，主機和選擇的接入集中器都有了他們在以太網(wǎng)上建立PPP連接的信息。直到PPP會話建立，發(fā)現(xiàn)階段一直保持無狀態(tài)的Client/Server（客戶/服務(wù)器）模式。一旦PPP會話建立，主機和接入集中器都必須為PPP虛接口分配資源。

PPPoE協(xié)議會話的發(fā)現(xiàn)和會話兩個階段具體進(jìn)程如下。

發(fā)現(xiàn)階段

在發(fā)現(xiàn)（Discovery）階段中用戶主機以類似廣播的方式尋找所連接的所有接入集中器（或交換機），并獲得其以太網(wǎng)MAC地址。然后選擇需要訪問的接入集中器，并確定所要建立的PPP會話唯一標(biāo)識號碼。發(fā)現(xiàn)階段有4個步驟，當(dāng)此階段完成，通信的兩端都知道PPPoE SESSION-ID和對端的以太網(wǎng)地址，他們一起唯一定義PPPoE會話。這4個步驟如下。

（1）主機廣播發(fā)起分組（PADI），分組的目的地址為以太網(wǎng)的廣播地址0xffffffffffff，CODE（代碼）字段值為0x09，SESSION-ID（會話ID）字段值為0x0000。PADI分組必須至少包含一個服務(wù)名稱類型的標(biāo)簽（標(biāo)簽類型字段值為0x0101），向接入集中器提出所要求提供的服務(wù)。

（2）接入集中器收到在服務(wù)范圍內(nèi)的PADI分組，發(fā)送PPPoE有效發(fā)現(xiàn)提供包（PADO）分組，以響應(yīng)請求。其中CODE字段值為0x07，SESSION-ID字段值仍為0x0000。PADO分組必須包含一個接入集中器名稱類型的標(biāo)簽（標(biāo)簽類型字段值為0x0102），以及一個或多個服務(wù)名稱類型標(biāo)簽，表明可向主機提供的服務(wù)種類。

（3）主機在可能收到的多個PADO分組中選擇一個合適的PADO分組，然后向所選擇的接入集中器發(fā)送PPPoE有效發(fā)現(xiàn)請求分組（PADR）。其中CODE字段為0x19，SESSION_ID字段值仍為0x0000。PADR分組必須包含一個服務(wù)名稱類型標(biāo)簽，確定向接入集線器（或交換機）請求的服務(wù)種類。當(dāng)主機在指定的時間內(nèi)沒有接收到PADO，完整它應(yīng)該重新發(fā)送它的PADI分組，并且加倍等待時間，這個過程會被重復(fù)期望的次數(shù)。

（4）接入集中器收到PADR分組后準(zhǔn)備開始PPP會話，它發(fā)送一個PPPoE有效發(fā)現(xiàn)會話確認(rèn)PADS分組。其中CODE字段值為0x65，SESSION-ID字段值為接入集中器所產(chǎn)生的一個唯一的PPPoE會話標(biāo)識號碼。PADS分組也必須包含一個接入集中器名稱類型的標(biāo)簽以確認(rèn)向主機提供的服務(wù)。當(dāng)主機收到PADS分組確認(rèn)后，雙方就進(jìn)入PPP會話階段。

PPP會話階段

用戶主機與接入集中器根據(jù)在發(fā)現(xiàn)階段所協(xié)商的PPP會話連接參數(shù)進(jìn)行PPP會話。一旦PPPoE會話開始，PPP數(shù)據(jù)就可以以任何其他的PPP封裝形式發(fā)送。所有的以太網(wǎng)幀都是單播的。PPPoE會話的SESSION-ID一定不能改變，并且必須是發(fā)現(xiàn)階段分配的值。

PPPoE還有一個PADT分組，它可以在會話建立后的任何時候發(fā)送，來終止PPPoE會話，也就是會話釋放。它可以由主機或者接入集中器發(fā)送。當(dāng)對方接收到一個PADT分組，就不再允許使用這個會話來發(fā)送PPP業(yè)務(wù)。PADT分組不需要任何標(biāo)簽，其CODE字段值為0xa7，SESSION-ID字段值為需要終止的PPP會話的會話標(biāo)識號碼。在發(fā)送或接收PADT后，即使正常的PPP終止分組也不必發(fā)送。PPP對端應(yīng)該使用PPP協(xié)議自身來終止PPPoE會話，但是當(dāng)PPP不能使用時，可以使用PADT。

驗證過程

1． 在STA和AP之間建立好關(guān)聯(lián)之后，客戶端向AC設(shè)備發(fā)送一個PADI報文，開始PPPOE接入的開始。

2．AC向客戶端發(fā)送PADO報文。

3．客戶端根據(jù)回應(yīng)，發(fā)起PADR請求給AC。

4．Ac產(chǎn)生一個session id，通過PADS發(fā)給客戶端。

5．客戶端和AC之間進(jìn)行PPP的LCP協(xié)商，建立鏈路層通信。同時，協(xié)商使用PAP、CHAP認(rèn)證方式。

6. AC通過Challenge報文發(fā)送給認(rèn)證客戶端，提供一個128bit的Challenge。

7．客戶端收到Challenge報文后，將密碼和Challenge做MD5算法后的Challenge—Password，在Response回應(yīng)報文中把它發(fā)送給AC設(shè)備。

8．Ac將Challenge、challenge-Password和用戶名一起送到RADIus用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。

9．RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報文到AC。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束。

10．AC將認(rèn)證結(jié)果返回給客戶端。

l1．用戶進(jìn)行NCP(如IPCP)協(xié)商，通過AC獲取到規(guī)劃的IP地址等參數(shù)。

12．認(rèn)證如果成功，AC發(fā)起計費開始請求給RADIUS用戶認(rèn)證服務(wù)器。

13．RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計費開始請求報文。用戶上線完畢，開始上網(wǎng)。

金錢貓科技