第6章 以太网接入技术

④ 认证服务器收到交换机转发上来的用户名信息后， 将该信息与数据库中的用户名表相比对，找到该用户名 对应的口令信息，用随机生成的一个加密字对它进行加 密处理，同时也将此加密字传送给交换机，由交换机传 给客户端程序。 ⑤ 客户端程序收到由交换机传来的加密字后，用该加 密字对口令部分进行加密处理，并通过交换机传给认证 服务器。 ⑥ 认证服务器将送上来的加密后的口令信息和其自己 经过加密运算后的口令信息进行对比，如果相同，则认 为该用户为合法用户，反馈认证通过的消息，并向交换 机发出打开受控端口的指令，允许用户的业务流通过端 口访问网络。
② 用户验证 在这个阶段，客户端会将自己的身份发送给远端的 接入服务器认证。最常用的认证协议有口令验证协 议（PAP)和挑战握手验证协议（CHAP)。 ③ 调用网络层协议 认证阶段完成之后，PPP将调用在链路创建阶段选 定的各种网络控制协议（NCP)。选定的NCP解决 PPP链路之上的高层协议问题，例如，在该阶段IP 控制协议（IPCP)可以向拨入用户分配动态地址。
3. PPPoE报文格式 所有的PPPoE的数据报文均是被封装在以太网的数据域（净 载荷区）中传送的。 (1) 以太网的帧格式 目前大多数的网络中都在使用以太网2.0版（Ethernet II）， 它被作为一种事实上的工业标准而广泛使用，如图为以太网 的帧格式。
目标MAC地址 (6字节)
源MAC地址 (6字节)
类型 (2字节)
数据 (46-1500字节)
帧校验 (4字节)
•以太网目的地址（目的MAC地址）和以太网源地址（源MAC 地址）：是我们大家最为熟悉的数据链路层地址。它包括单 播地址、多播地址和广播地址，而对于PPPoE协议中要使用 到单播地址和广播地址。 •以太网类型域：指明数据域中承载的数据报文的类型，对 于PPPoE的两大阶段，也正是通过以太网的类型域进行区分 的。在PPPoE的发现阶段时，以太网的类型域填充0x8863； 而在PPPoE的会话阶段时，以太网的类型域填充为0x8864。 •数据域（净载荷）：主要是用来承载类型域中所指示的数 据报文。 •校验域：主要用来保证链路层数据帧传送的正确性。
(2)地址利用率低
每个用户处在逻辑上独立的网内，所以对每一个用户至少要配置一个子 网的4个IP地址：子网地址，网关地址，子网广播地址和用户主机地址， 这样会造成地址利用率极低。
6.2.2 以太网接入管理技术
目前主流的以太网宽带接入管理技术有: PPPoE、IEEE802.1x。 1.PPPoE技术 基于以太网的点对点通信协议（Point to Point Protocol over Ethernet，PPPoE）是为了满足宽带接入而制定的新标 准，它基于2个被广泛接受的标准：局域网Ethernet和PPP点 对点拨号协议。由于采用动态分配IP地址方式，用户拨号后 无需自行配置IP地址、网关、域名等，它们均是自动生成， 不存在用户自行更改IP地址的问题，对用户管理方便，而且 PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封 装，这两个封装加起来也只有8个字节，广播开销很小
6.2
以太网接入的主要技术
6.2.1 用VLAN隔离用户信息
利用虚拟局域网（Virtual LAN，VLAN）技术可以解决接入 用户之间的信息隔离问题，VLAN把局域网交换机的每个端 口配置成一个独立的VLAN，享有独立的VID（VLAN的标
识），并且对应于每个用户。 1.VLAN方式的网络结构如图6-1所示
认证方式 标准程度 封装开销 IP地址 多播支持 PPPoE RFC2516 较大 认证后分配 差 802.1x IEEE标准 小 认证后分配 好
客户端软件
对设备的要求
需要
较高（BAS）
需要
低
6.2.5 基于VLAN＋PPPoE的以太网接入技术方案
VLAN+PPPoE接入是一种比较理想的宽带接入 ，VLAN＋ PPPoE网络结构如图。 VLAN＋PPPoE方案可以解决用户数据的安全性问题， 同时由于PPP协议提供用户认证，授权以及分配用户IP地 址的功能，所以不会造成上述VLAN方案所出现的问题。
2． 802.1x工作过程 ① 用户通过IEEE802.1x客户端软件发起认证(EAPoL报 文)报文给交换机。 ② 交换机收到请求认证的数据帧后，将发出一个请求 帧要求用户的客户端程序将输入的用户名送上来。 ③ 客户端程序响应交换机发出的请求，将用户名信息 通过数据帧送给交换机。交换机将客户端送上来的数据 帧经过封包处理后送给认证服务器进行处理。
非受授端口
EAPoL
LAN
① 请求者系统 请求者是位于局域网链路一端的实体，请求者通常是支 持802.1x认证的用户终端设备 。 ② 认证系统 认证系统对连接到链路对端的认证请求者进行认证。认 证系统通常为支持802.lx协议的网络设备，它为请求者提 供服务端口，该端口可以是物理端口也可以是逻辑端口， 一般在用户接入设备(如LAN Switch和AP)上实现802.1x认 证。 ③ 认证服务器系统 认证服务器是为认证系统提供认证服务的实体，
(2) PPPoE认证的缺点： ① PPPoE在发现阶段会产生大量的广播流量； ② PPP协议和Ethernet技术本质上存在差异，PPP协议需要被 再次封装到以太帧中，所以封装效率很低； ③ PPPoE认证一般需要外置BAS，认证完成后，业务数据流也 必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备 通常非常昂贵； ④ 组播业务开展比较困难； ⑤ 用户端PC设备必须安装PPPoE客户端软件
6.2.3 802.1x技术
1．802.1x认证的体系结构 802.1x的体系结构如图所示。它的体系结构中包括三个部 分：请求者系统、认证系统、认证服务器系统。
请求者系统 认证系统 认证系统 提供的服务 认证系统 PEA 认证服务器系统
请求者PEA
认证服务器 EAPoP/ CHAR/ PAP等
受授端口
(2) PPPoE的数据报文格式 PPPoE报文分成两大块 ：一块是PPPoE的数据报头，另一 块是PPPoE的净载荷（数据域），如图为PPPoE报文的格 式
版本 类型 长度域 代码 会话ID 净载荷(数据域)
版本域：4位，填充内容0x01。 类型域： 4位，填充内容0x01。 代码域：1个字节，对于PPPoE 的不同阶段这个域内的内容也 是不一样的。 会话ID：2个字节，当访问集中器还未分配唯一的会话ID给用 户主机的话，则该域内的内容必须填充为0x0000，一旦主机 获取了会话ID后，那么在后续的所有报文中该域必须填充那个 唯一的会话ID值。 长度域：2个字节，用来指示PPPoE数据报文中净载荷的长度。 数据域：有时也称之为净载荷域，在PPPoE的不同阶段该域 内的数据内容会有很大的不同。在PPPoE的发现阶段时，该 域内会填充一些Tag（标记）；而在PPPoE的会话阶段，该域 则携带的是PPP的报文。
(2) 会话阶段 PPPoE的会话阶段也称PPP数据传输阶段。在这个阶段双方 在这点对点的PPPoE逻辑链路上传输PPP数据帧，PPP数据 帧封装在PPPoE数据报文中，PPPoE数据报文封装在以太 网帧的数据域中传输。PPP具有链路创建阶段、认证阶段和 网络协商阶段。 ① PPP链路创建阶段 在PPP链路创建阶段，利用LCP创建链路。链路两端设备通 过LCP向对方发送配置信息报文（Configure Packet)。另一 端返回配置确认报文（Configure－Ack packet)，就完成了 配置信息交换，则PPP链路建立。
第6章 以太网接入技术
6.1
以太网接入技术概述
6.1.1 以太网接入及其优点
1.以太网接入 以太网接入技术是从传统的以太网技术上发展而来的一种宽 带接入技术。利用以太网技术把以前在局域网上的应用 拓展到公用电信网的接入网中，来解决用户的宽带接入 问题 。 2.以太网接入优点 (1) 协议简单、成熟，设备的兼容性好。 (2) 设备廉价 (3) 以太网技术与IP技术无缝融合
PC1
PC2
局域网交换机
路由器
Internet
PCn
图6-1 VLAN方式的网络结构
2.VLAN解决方式的局限 (1)无法对用户进行认证、授权
为了识别用户的合法性，可以将用户的IP地址与该用户所连接的端口VID 进行绑定，这样设备可以通过核实IP地址与VID来识别用户是否合法，但 是，这种解决方案带来的问题是用户IP地址与所在端口捆绑在一起，只 能进行静态IP地址的配置
6.1.2 以太网接入技术在应用中存在的问题
以太网技术和其它局域网技术一样，主要是针对小型的 私有网络环境而设计的，适用于办公环境。如果将这种适用 于私有网络环境的技术不加改造地照搬到公用网络环境中， 必然会出现很多问题。 (1) 认证计费问题。 (2) 用户信息的隔ຫໍສະໝຸດ Baidu。 (3) 服务质量（QoS）保证。
(2) 802.1x认证的缺点： ① 需要特定客户端软件 ② 网络现有楼道交换机的问题：存在对已经在网上的 用户交换机的升级处理问题； ③ IP地址分配和网络安全问题：802.1x协议是一个2层 协议，只负责完成对用户端口的认证控制，对于完成端口 认证后，用户进入三层IP网络后，需要继续解决用户IP地 址分配、三层网络安全等问题，因此，单靠以太网交换机 ＋802.1x，无法全面解决城域网以太接入的可运营、可管 理以及接入安全性等方面的问题； ④ 计费问题：802.1x协议可以根据用户完成认证和离 线间的时间进行时长计费，不能对流量进行统计，因此无 法开展基于流量的计费或满足用户永远在线的要求。
6.2.4 PPPoE与802.1x认证方式的比较
PPPoE认证方式成熟，计费准确，能够较好地控制用 户属性，但BAS价格昂贵，容易造成单点故障。802.1x简 洁高效，纯以太网技术内核，保持了IP网络无连接特性， 不需要进行协议间的多层封装，去除了不必要的开销和冗 余；消除网络认证计费瓶颈和单点故障，易于支持多业务 和新兴流媒体业务。更加适合在宽带以太网中的使用。 两种认证技术比较如表所示
4. PPPoE认证的优缺点 (1)PPPoE认证的优点： ① PPPoE很容易检查到用户下线，可通过一个会话的建立 和释放对用户进行基于时长或流量的统计，计费方式灵 活方便。 ② PPPoE可以提供动态IP地址分配方式，用户无需任何配 置，网管维护简单，无需添加设备就可解决IP地址短缺 问题，同时根据分配的IP地址，可以很好地定位用户在 本网内的活动。 ③ PPPoE是传统PSTN窄带拨号接入技术在以太网接入技 术的延伸，和原由窄带网络用户接入认证体系一致，最终
① 主机在本以太网内广播一个PADI包，在此包中包含主机 想要得到的服务类型信息。 ② 以太网内所有接入服务器在收到这个初始化包后，的接入 服务器发回PADO包。 ③ 主机可能收到多个服务器的PADO包，通过PADO的内容， 依据一定的条件从发回的PADO包可提供服务的接入服务器 中挑选一个，并向它发回一个会话请求包PADR（非广播）， 在这个包中再次包含所想得到的服务信息。 ④ 被选定的接入服务器收到会话请求包PADR后，就开始备 进入PPP会话阶段。
3． 802.1x认证的优缺点 (1) 802.1x认证的优点 ① 802.1x协议为二层协议，不需要到达三层，而 且接入层交换机无需支持802.1q的VLAN，对设备的整体性 能要求不高，可以有效降低建网成本。 ② 通过组播实现，解决其他认证协议广播问题， 对组播业务的支持性好。 ③ 业务报文直接承载在正常的二层报文上，用户 通过认证后，业务流和认证流实现分离，对后续的数据包 处理没有特殊要求
2. PPPoE的实现过程
PPPoE协议共包括两个阶段，即PPPoE的发现阶段 （PPPoE Discovery Stage）和PPPoE的会话阶段（PPPoE Session Stage）。 (1)发现阶段 当一个主机希望发起一个PPP会话时，首先必须通过发现阶 段去确认对端的以太MAC地址，并建立一个PPPoE的会话 标识。发现阶段建立的是一种客户服务器的关系。发现阶段 可分为以下四个步骤：