PPPoE原理配置

1.前言

数字用户线路 DSL(Digital Subscriber Line）是以电话线为传输介质的传输数字信号的技术,人们通常把所有的DSL技术统称为XDSL,X代表不同种类的数字用户线路技术。目前比较流行的宽带接入方式为ADSL,ADSL是非对称DSL技术,使用的是 PPPoE( PPP over Ethernet)协议。
PPPoE协议通过在以太网上提供点到点的连接,建立PPP会话,使得以太网中的主机能够连接到远端的宽带接入服务器上。 PPPOE具有适用范围广安全性高、计费方便等特点。

2.简介

定义
PPP（Point-to-Point Protocol）协议是一种在点到点链路上传输、封装网络层数据包的数据链路层协议。由于它能够提供用户认证、易于扩充，并且支持同/异步通信，因而获得广泛应用。

PPPoE(PPP over Ethernet)属于链路层协议，主要功能是在以太网上提供点到点的连接，建立PPP会话，以及封装PPP数据包的方法，是PPP协议在更广范围内应用的补充性协议。

image.png

3.DSL应用场景

image.png

• 数字用户线路DSL是以电话线为传输介质的传输技术。
• DSLAM：DSLAM是Digital Subscriber Line Access Multiplexer的简称，中文称呼数字用户线路接入复用器。DSLAM是各种DSL系统的局端设备属于最后一公里接入设备（the last mile），其功能是接纳所有的DSL线路，汇聚流量，相当于一个二层交换机。
• BRAS：宽带远程接入服务器（Broadband Remote Access Server,简称BRAS）是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户带宽的IP/ATM网的数据接入（目前接入手段主要基于xDSL/Cable Modem/高速以太网技术（LAN）/无线宽带数据接入(WLAN)等），实现商业楼宇及小区住户的宽带上网、基于IPSec（IP Security Protocol）的IP VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
  PPPoE在DSL中的应用
  image.png

4.PPPoE报文

image.png

各个字段解释如下：

image.png

• PPPoE报文是使用Etherner格式来进行封装的。

5.PPPoE会话建立过程

介绍PPPoE的实现原理。
PPPoE协议采用Client/Server方式，它将PPP报文封装在以太网帧之内，在以太网上提供点对点的连接。
PPPoE可分为三个阶段，即Discovery阶段（发现阶段）、Session阶段（会话阶段）、Terminate阶段（会话终结阶段）。

image.png image.png image.png

Discovery阶段为PPPoE认证的PPPoE协商阶段，由四个过程组成。

image.png
image.png

PPPoE Client广播发送一个PADI（PPPoE Active Discovery Initial）报文，在此报文中包含PPPoE Client想要得到的服务类型信息。

image.png

所有的PPPoE Server收到PADI报文之后，将其中请求的服务与自己能够提供的服务进行比较，如果可以提供，则单播回复一个PADO（PPPoE Active Discovery Offer）报文。

image.png

根据网络的拓扑结构，PPPoE Client可能收到多个PPPoE Server发送的PADO报文，PPPoE Client选择最先收到的PADO报文对应的PPPoE Server做为自己的PPPoE Server，并单播发送一个PADR（PPPoE Active Discovery Request）报文。

image.png

PPPoE Server产生一个唯一的会话ID（Session ID），标识和PPPoE Client的这个会话，通过发送一个PADS（PPPoE Active Discovery Session-confirmation）报文把会话ID发送给PPPoE Client，会话建立成功后便进入PPPoE Session阶段。

完成之后通信双方都会知道PPPoE的Session_ID以及对方以太网地址，它们共同确定了唯一的PPPoE Session。

Session阶段

PPPoE Discovery阶段的工作为PPPoE Client和PPPoE Server之间建立了Session，之后PPPoE便进入到Session阶段，Session阶段可划分为两部分，一是PPPoE认证的PPP协商阶段，二是PPP报文传输阶段。

PPPoE认证过程中的PPP协商和普通的PPP协商方式一致，分为LCP、认证、NCP三个阶段。

• LCP协商
  LCP协商阶段主要完成建立、配置和检测数据链路连接。LCP协商的过程如下：协商双方互相发送一个Config-Request报文，确认收到的Config-Request报文中的协商选项，根据这些选项的支持与接受情况，做出适当的回应。若两端都回应了Config-ACK，则标志LCP链路建立成功，否则双方会继续发送Config-Request报文，直到对端回应了Config-ACK报文为止。
  LCP协商的基本过程
  

  image.png

• 认证阶段
  LCP协商成功后，开始进行认证工作，认证协议类型由LCP协商结果（CHAP或者PAP）决定。
  PAP验证过程
  PAP验证协议为两次握手验证，口令为明文。
  PAP验证的过程如图
  

  image.png

• PPPoE Client把本地用户名和口令发送到PPPoE Server。

• PPPoE Server根据本地用户表查看是否有PPPoE Client的用户名
  若有，则查看口令是否正确，若口令正确，则认证通过；若口令不正确，则认证失败。
  若没有，则认证失败。
  CHAP验证过程
  CHAP验证协议为三次握手验证协议，它在网络上采用加密形式传输用户密码，因此安全性要比PAP高。
  CHAP的验证过程如图
  

  image.png

• PPPoE Server主动发起验证请求，PPPoE Server向PPPoE Client发送一些随机产生的报文（Challenge）。

• PPPoE Client接到PPPoE Server的验证请求后，利用报文ID、CHAP密码和MD5算法对该随机报文进行加密，将生成的密文和自己的用户名发回PPPoE Server（Response）。

• PPPoE Server用自己保存的PPPoE Client密码和MD5算法对原随机报文加密，比较二者的密文，若比较结果一致，认证通过，若比较结果不一致，认证失败。
  CHAP与PAP验证过程对比

• PAP认证中，口令以明文方式在链路上发送，完成PPP链路建立后，PPPoE Client会不停地在链路上反复发送用户名和口令，直到身份验证过程结束，所以安全性不高。当实际应用过程中，对安全性要求不高时，可以采用PAP认证建立PPP连接。

• CHAP认证中，验证协议为三次握手验证协议。它只在网络上传输用户名，而并不传输用户密码，因此安全性比PAP认证高。当实际应用过程中，对安全性要求较高时，可以采用CHAP认证建立PPP连接。
  NCP阶段

• 认证成功后，PPP进入NCP阶段。NCP阶段的主要功能是协商PPP报文的网络层参数，如IP地址，DNS Server IP地址，WINS Server IP地址等。

• NCP协商支持多种协议，如IPCP协议、BCP协议,最为常用的是IPCP协议。PPPoE用户主要通过IPCP来获取访问网络的IP地址或IP地址段。

• IPCP的协商过程是基于PPP状态机进行协商的。经过双方协商，通过配置请求、配置确认、配置否认等包文交换配置信息，最终由initial (或closed)状态变为Opened状态。IPCP状态变为Opened的条件必须是发送方和接收方都发送和接收过确认包文。

• IPCP协商过程中，协商包文可包含多个选项，即参数。各个选项的拒绝或否认都不能影响IPCP的UP，IPCP可以无选项协商，无选项协商也同样能够UP。选项有IP Address、网关、掩码等，其中IP Address是最重要的一个选项，有些厂家的实现必须这个选项得到确认，大多数厂家的实现允许这个选项为空。

• NCP协商流程与LCP协商流程类似，协商双方互相发送NCP报文，并且互相回应Ack报文后，标志NCP己协商完，用户上线成功，可以正常访问网络了。
  NCP的基本协商流程如图
  

  image.png

• PPPoE Session的PPP协商成功后，就可以承载PPP数据报文。在PPPoE Session阶段所有的以太网数据包都是单播发送的。
  Terminate阶段

• PPP通信双方应该使用PPP协议自身来结束PPPoE会话，但在无法使用PPP协议结束会话时可以使用PADT（PPPoE Active Discovery Terminate）报文。

• 进入PPPoE Session阶段后，PPPoE Client和PPPoE Server都可以通过发送PADT报文的方式来结束PPPoE连接。PADT数据包可以在会话建立以后的任意时刻单播发送。在发送或接收到PADT后，就不允许再使用该会话发送PPP流量了。

6.PPPoE配置

实验环境：

image.png

服务器端

[AR2]ip pool pppoe    //创建一个名为pppoe的地址池。因为服务器要分配地址，所以需要配置ip地址池
Info: It's successful to create an IP address pool. 
[AR2-ip-pool-pppoe]network 10.1.1.0 mask 24     //配置分配的ip地址的范围
[AR2-ip-pool-pppoe]gateway-list 10.1.1.2      //配置分配的网关
[AR2-ip-pool-pppoe]q
[AR2]aaa
[AR2-aaa]local-user pppoe password cipher ppp    //配置用于PPP认证的用户名密码
Info: Add a new user.
[AR2-aaa]local-user pppe service-type ppp    //配置用户用于ppp认证
Info: Add a new user.
[AR2-aaa]q
[AR2]
[AR2]interface Virtual-Template 1    //创建一个虚拟接口“1”
[AR2-Virtual-Template1]ip add 10.1.1.2 24   //本端vt接口的ip地址为10.1.1.2
[AR2-Virtual-Template1]remote address pool pppoe       //为远程pppoe客户端分配ip地址池“pppoe”中的ip地址    
[AR2-Virtual-Template1]ppp authentication-mode chap     //配置PPP认证为chap
[AR2-Virtual-Template1]dis this 
[V200R003C00]
#
interface Virtual-Template1
 ppp authentication-mode chap 
 remote address pool pppoe
 ip address 10.1.1.2 255.255.255.0 
#
return
[AR2-Virtual-Template1]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1  
[AR2-GigabitEthernet0/0/0]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0
 pppoe-server bind Virtual-Template 1    //将物理接口与VT虚拟接口进行绑定，实现pppoe协议的封装
#
return
[AR2-GigabitEthernet0/0/0]q
[AR2]

客户端

[AR1]
[AR1]dialer-rule    
[AR1-dialer-rule]dialer-rule 10 ip permit         //配置什么样的流量才可以触发pppoe的拨号
[AR1-Dialer1]interface Dialer 1        //创建一个dialer口，实际上就是一个ppp接口
[AR1-Dialer1]link-protocol ppp    //配置dialer1口的协议为PPP
[AR1-Dialer1]ip address ppp-negotiate         //ip地址通过ppp协商阶段获得
[AR1-Dialer1]ppp chap user pppoe          //服务器会做chap认证:用户名
[AR1-Dialer1]ppp chap password simple ppp     // //服务器会做chap认证:密码
[AR1-Dialer1]dialer user pppoe      //这里的用户名“pppoe”必须和服务器配置的用户名密码数据库中的用户名保持一致   
[AR1-Dialer1]dialer-group  10        //这里“10”需要和前面“dialer-rule 10 ip permit ”中的数字保持一致
[AR1-Dialer1]dialer bundle 2      //dialer必须要和具体的一个以太口绑定，绑定的号就是bundle后面的数字
[AR1-Dialer1]q
[AR1]
[AR1]interface GigabitEthernet 0/0/0      //具体发起pppoe拨号的以太口
[AR1-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 2 on-demand     //这里的"2"要和前面bundle后面的数字保持一致。on-demand 是需要通过pppoe传送数据包的时候进行拨号连接（有流量发就拨号没流量发就不拨号）
[AR1-GigabitEthernet0/0/0]q
[AR1]ip route-static 0.0.0.0 0 Dialer 1   //配置缺省路由，在数据包向外发送的时候都从 dialer 1口往出发
[AR1]interface Dialer 1
[AR1-Dialer1]dis this     //查看dialer口的配置
[V200R003C00]
#
interface Dialer1
 link-protocol ppp
 ppp chap user pppoe
 ppp chap password simple ppp
 ip address ppp-negotiate
 dialer user pppoe
 dialer bundle 2
 dialer-group 10
#
return
[AR1-Dialer1]q
[AR1]

如果不配置on-demand（有流量拨号没流量不拨号）的话直接undo掉这些命令就可以

1.pppoe-client dial-bundle-number 2 on-demand 
2.dialer-rule   
3.dialer-rule 10 ip permit 
4.dialer-group  10  

配置验证：
1.display interface Dialer 1——查看拨号接口的配置

display interface Dialer 1

image.png
当拨号成功的时候 物理层面以及协议层面都是up的，lcp和ipcp都是opened的。
2.display pppoe-client session summary——查看PPPoE客户端的PPPoE会话状态和统计信息。

display pppoe-client session summary

image.png
image.png

State是IDLE时PPPoE是没有拨号成功的，UP时就说明拨号成功了。