美橙互联 网站备案,在线短链接生成网址,旅游网,怎样免费做彩票网站PPPoE#xff08;Point to Point Protocol over Ethernet#xff0c;基于以太网的点对点协议#xff09;的工作流程包含发现#xff08;Discovery#xff09;和会话#xff08;Session#xff09;两个阶段#xff0c;发现阶段是无状态的#xff0c;目的是获得 PPPoE 终… PPPoEPoint to Point Protocol over Ethernet基于以太网的点对点协议的工作流程包含发现Discovery和会话Session两个阶段发现阶段是无状态的目的是获得 PPPoE 终端在局端的ADSL设备上的以太网 MAC 地址并建立一个惟一的 PPPoE SESSION-ID。发现阶段结束后就进入标准的PPP会话阶段。 1.发现阶段PPPoEDPPPoE Discovery 1.1 PADIPPPoE Active Discovery Initiation 主机广播发起分组分组的目的地址为以太网的广播地址 0xffffffffffffCODE代码字段值为0×09PADI CodeSESSION-ID会话ID字段值为0x0000。PADI分组必须至少包含一个服务名称类型的标签Service Name Tag字段值为0x0101向接入集中器提出所要求提供的服务。 1.2 PADOPPPoE Active Discovery Offer 接入集中器收到在服务范围内的PADI分组发送PPPoE有效发现提供包分组以响应请求。其中CODE字段值为0×07PADO CodeSESSION-ID字段值仍为0x0000。PADO分组必须包含一个接入集中器名称类型的标签Access Concentrator Name Tag字段值为0x0102以及一个或多个服务名称类型标签表明可向主机提供的服务种类。PADO和PADI的Host-Uniq Tag值相同。 1.3 PADRPPPoE Active Discovery Request 主机在可能收到的多个PADO分组中选择一个合适的PADO分组然后向所选择的接入集中器发送PPPoE有效发现请求分组。其中CODE字段为0x19PADR CodeSESSION_ID字段值仍为0x0000。PADR分组必须包含一个服务名称类型标签确定向接入集线器或交换机请求的服务种类。当主机在指定的时间内没有接收到PADO它应该重新发送它的PADI分组并且加倍等待时间这个过程会被重复期望的次数。 1.4 PADSPPPoE Active Discovery Session-confirmation 接入集中器收到PADR分组后准备开始PPP会话它发送一个PPPoE有效发现会话确认PADS分组。其中CODE字段值为0×65PADS CodeSESSION-ID字段值为接入集中器所产生的一个惟一的PPPoE会话标识号码。PADS分组也必须包含一个接入集中器名称类型的标签以确认向主机提供的服务。当主机收到PADS 分组确认后双方就进入PPP会话阶段。PADS和PADR的Host-Uniq Tag值相同。 图1 PPPoE的协商流程 2.会话阶段PPPoESPPPoE Session PPP会话的建立需要两端的设备都发送LCP数据包来配置和测试数据通信链路。 用户主机与接入集中器根据在发现阶段所协商的PPP会话连接参数进行PPP会话。一旦PPPoE会话开始PPP数据就可以以任何其他的PPP封装形式发送。所有的以太网帧都是单播的。PPPoE会话的SESSION-ID一定不能改变并且必须是发现阶段分配的值。 2.1 LCP协商阶段LCPLink Control Protocol LCP的Request主机和AC都要给对方发送LCP协商阶段完成最大传输单元MTU是否进行认证和采用何种认证方式Authentication Type的协商。 1LCP协议数据报文分类 链路配置报文用来建立和配置一条链路主要包括Configure-Request、Configure-Ack、Configure-Nak和Configure-Reject报文 链路维护报文用来管理和调试链路主要包括Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply和Discard-Request报文 链路终止报文用来终止一条链路主要包括Terminate-Request和Terminate-Reply报文 2LCP协商过程 LCP协商的过程如下协商双方互相发送一个LCP Config-Request报文确认收到的Config-Request报文中的协商选项根据这些选项的支持与接受情况做出适当的回应。若两端都回应了Config-ACK则标志LCP链路建立成功否则会继续发送Request报文直到对端回应了ACK报文为止。 图2 LCP协商的基本过程 说明 1Config-ACK若完全支持对端的LCP选项则回应Config-ACK报文报文中必须完全协带对端Request报文中的选项。 2Config-NAK若支持对端的协商选项但不认可该项协商的内容则回应Config-NAK报文在Config-NAK的选项中填上自己期望的内容如:对端MRU值为1500而自己期望MRU值为1492则在Config-NAK报文中埴上自己的期望值1492。 3Config-Reject若不能支持对端的协商选项则回应Config-Reject报文报文中带上不能支持的选项如Windows拨号器会协商CBCP被叫回呼而ME60不支持CBCP功能则回将此选项拒绝掉。 2.2 认证阶段PPP AuthenticationPAP/CHAP 会话双方通过LCP协商好的认证方法进行认证如果认证通过了才可以进行下面的网络层的协商。认证过程在链路协商结束后就进行。 Ⅰ PAPPassword Authentication Protocol口令认证协议认证 PAP为两次握手协议它通过用户名及口令来对用户进行验证。PAP验证过程如下 当两端链路可相互传输数据时被验证方发送本端的用户名及口令到验证方验证方根据本端的用户表或Radius服务器查看是否有此用户口令是否正确。如正确则会给对端发送Authenticate-ACK报文通告对端已被允许进入下一阶段协商否则发送NAK报文通告对端验证失败。此时并不会直接将链路关闭。只有当验证不过次数达到一定值缺省为10时才会关闭链路。 PAP的特点是在网络上以明文的方式传递用户名及口令如在传输过程中被截获便有可能对网络安全造成极大的威胁。因此它适用于对网络安全要求相对较低的环境。 图3 PAP认证流程 Ⅱ CHAPChallenge Handshake Authentication Protocol质询握手认证协议认证 CHAP为三次握手协议。只在网络上传输用户名并不传输用户口令因此它的安全性要比PAP高。CHAP的验证过程为 首先由验证方Server向被验证方Client发送一些随机产生的报文并同时将本端的主机名附带上一起发送给被验证方。被验证方接到对端对本端的验证请求Challenge时便根据此报文中验证方的主机名和本端的用户表查找用户口令字如找到用户表中与验证方主机名相同的用户便利用报文ID、此用户的密钥用Md5算法生成应答Response随后将应答和自己的主机名送回。验证方接到此应答后用报文ID、本方保留的口令字密钥和随机报文用Md5算法得出结果与被验证方应答比较根据比较结果返回相应的结果ACK or NAK 1接受认证端发送Challenge 2申请认证端发验证请求报文 3接受认证端回应认证接受报文 经过以上三次报文交互后CHAP认证完成。 图4 CHAP认证流程 2.3 NCP协商阶段NCPNetwork Control Protocol NCP有很多种如IPCP、BCP、IPv6CP最为常用的是IPCPInternet Protocol Control Protocol协议。NCP的主要功能是协商PPP报文的网络层参数如IP地址DNS Server IP地址WINS Server IP地址等。PPPoE用户主要通过IPCP来获取访问网络的IP地址或IP地址段。 NCP流程与LCP流程类似用户与ME设备之间互相发送NCP Config-Request报文并且互相回应NCP Config-Ack报文后标志NCP己协商完用户上线成功可以正常访问网络了。 IPCP的协商过程是基于PPP状态机进行协商的。经过双方协商通过配置请求、配置确认、配置否认等包文交换配置信息最终由initial (或closed)状态变为Opened状态。IPCP状态变为Opened的条件必须是发送方和接收方都发送和接收过确认包文。 IPCP协商过程中协商包文可包含多个选项即参数。各个选项的拒绝或否认都不能影响IPCP的UPIPCP可以无选项协商无选项协商也同样能够UP。选项有IP Address、网关、掩码等其中IP Address是最重要的一个选项有些厂家的实现必须这个选项得到确认大多数厂家的实现允许这个选项为空。 NCP的基本协商流程见下图 图5 NCP的基本协商流程 用户和接入设备对IP服务阶段的一些要求进行多次协商以决定双方都能够接收的约定。 如IP业务阶段使用的IP压缩协议等。双方的协议是通过报文中包含的Option项进行协商的每一个Option都是一个需要协商的问题。 最后双方都需要对方答复Configure_Ack的同意报文。 2.4 会话维持Session Keep-alive 设备主动发送Echo Request进行PPPoE心跳保活若3次未得到服务器的响应则设备主动释放地址。发LCP Echo Request 的时候魔术字字段要和之前通信的Configure_Request使用的魔术字字段保持一致。 有些设备或终端不支持主动发送 Echo-Request 报文, 只能支持回应Echo-Reply报文。 2.5 会话结束Session Termination PPPoE 还有一个PADTPPPOE Active Discovery Terminate分组它可以在会话建立后的任何时候发送来终止PPPoE会话也就是会话释放。它可以由主机或者接入集中器发送目的地址填充为对端的以太网的MAC地址。 当对方接收到一个 PADTPPPOE Active Discovery Terminate分组就不再允许使用这个会话来发送PPP业务。PADT分组不需要任何标签其CODE字段值为0xa7PADT CodeSESSION-ID字段值为需要终止的PPP会话的会话标识号码。在发送或接收PADT后即使正常的PPP终止分组也不必发送。PPP对端应该使用PPP协议自身来终止PPPoE会话但是当PPP不能使用时可以使用PADT。 3.PPPoE接入流程示例 PPP状态变迁如图6所示 图6 PPP状态变迁图 以PPPoE-CHAP为例PPP用户接入流程如图7所示 图7 PPPoE/CHAP接入认证流程 4.Linux中的PPPoE拨号守护进程pppdPoint-to-Point Protocol Daemon Linux 内核 include/uapi/linux/if_pppox.h 中定义了{PADI_CODE,PADO_CODE,PADR_CODE,PADS_CODE,PADT_CODE} 和 struct pppoe_tag/pppoe_hdrPPP/PPPoE 实现代码在 /drivers/net/ppp/ 目录下pppoe.c 中实现了 pppoe_connect、pppoe_xmit、pppoe_recvmsg 等接口。 pppd 是一个后台服务进程(daemon)是一个用户空间的进程所以把策略性的内容从内核的PPP协议处理模块移到 pppd 中是很自然的事了。pppd 实现了所有鉴权、压缩/解压和加密/解密等扩展功能的控制协议。 pppd只是一个普通的用户进程它如何扩展PPP协议呢这就是pppd与内核中的PPP协议处理模块之间约定了它们之间采用了最传统的内核空间与用户空间之间通信方式设备文件。 设备文件名是 /dev/ppp。通过read系统调用pppd可以读取PPP协议处理模块的数据包当然PPP协议处理模块只会把应该由pppd处理的数据包发给pppd。通过write系统调用pppd可以把要发送的数据包传递给PPP协议处理模块。通过ioctrl系统调用pppd可以设置PPP协议的参数可以建立/关闭连接。 参考 《PPP协议》《PPP状态机总结》《PPP协议详细解析》 《PPPoE协议篇》《PPPoE通信协议》《PPPoE拔号流程》 《PAP和CHAP认证》《PPP-CHAP原理与配置》《PPP的CHAP认证完全配置》 《PPPoE 实例》《PPPoE 过程》《PPPoE 拨号过程抓包解析》 《PPPoE 用户上线交互过程》《PPPoE 协议技术与标准培训教材》 《路由器如何设置 PPPoE 上网ADSL虚拟拨号》 《Linux 系统修改 PPPOE 配置解决 ADSL 频繁掉线问题》 《如何用 Linux 做 PPPoE 服务器》《Linux PPPoE 设置的六个步骤》 《Linux PPP 源码分析 及 收发流程》 《Linux PPP/PPPoE 框架 及 实现》 《由 PPPoE 看 Linux 网络协议栈的实现》 《PPPoE 协议和 pppd 源码分析》 《Broadcom 方案 PPPoE 实现分析》 《基于 ARM 架构的 PPPoE 移植笔记》 《关于pppd移植和3g功能》《移植——linux下使用3G拨号上网》 《成功实现Linux下pppd通过GPRS拨号上网》
