1cf2 发表于 2005-4-9 05:15:35

如题,很重要的问题,对我来说。昨天收到ISP警告,让我关掉我的PPPoE Server,原因是我把它开在了和ISP连接的界面卡上,结果很多用户拨到我这里来了,后果是很多用户上不了网,而且还把他们的密码和账号发给我了,呵呵

1cf2 发表于 2005-4-9 05:23:56

1PPPoE协议概述   1.1PPPoE的工作原理   PPPoE(PPP over Ethernet)是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。   PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。   一个典型的Discovery阶段包括以下4个步骤:   (1)主机首先主动发送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的TAG,以表明主机所要求提供的服务。   (2)接入服务器收到包后如果可以提供主机要求   0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1   以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)   会话ID(Session ID)长度(Length)   净荷(Payload)   (3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR中必须声明向接入服务器请求的服务种类。   (4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID,启动PPP状态机以准备开始PPP会话,并发送一个会话确认包PADS。   主机收到PADS后,双方进入PPP会话阶段。在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,Session ID必须是Discovery阶段所分配的值。   PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。   PADT包是会话中止包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。   1.2PPPoE的特点   PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输,此外还有如下  特点:   (1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。   (2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。   (3)用户通过免费的PPPoE客户端软件(如EnterNet),输入用户名和密码就可以上网,跟传统的拨号上网差不多,最大程度地延续了用户的习惯,从运营商的角度来看,PPPoE对其现存的网络结构进行变更也很小。   DSLAM是ADSL汇聚设备,其内核采用ATM或IP但上联口为以太网口,BAS是局端实现PPPoE功能的接入服务器,它终结由用户侧发起的PPPoE进程。下行的以太帧从IP城域网经路由器送到BAS,被加上PPPoE的头后送到DSLAM封装成AAL5帧,经过交叉模块发送到ADSL Modem,由其完成AAL5帧重组并解出以太帧发送到客户端,客户端从PPPoE包中取出IP数据包。   上行的PPPoE包在ADSL Modem中封装成AAL5帧,由ATM信元传输到局端的DSLAM,DSLAM负责终结ATM,重新组合出PPPoE包,并通过设好的PVC(永久虚电路)传送到BAS处理。   从上面可以看出,PPPoE将PPP承载到以太网之上,实质是在共享介质的网络上提供一条逻辑上的点到点链路,对用户而言,在DSLAM和ADSL Modem之间的ATM传输是透明的,如果将中间的DSLAM和ADSL Modem换成有线电视的接入设备,就是典型的HFC接入,BAS对PPPoE包的处理方式不变。   3PPPoE在BAS上的实现   PPPoE拨号软件在应用中已经很成熟(Windows XP中自带),下面重点讨论PPPoE在接入服务器BAS中的实现方式。   3.1PPPoE的效率   从PPPoE协议模型可以看出,BAS汇聚了用户的所有数据流,它必须将每一个PPPoE包都拆开检查处理,这在很大程度上是沿袭了传统的PPP处理的方式,虽然有很好的安全性,但一旦用户很多,数据包数量很大,解封装速度就需要很快,BAS很大的精力花在检测用户的数据包上,容易形成接入的“瓶颈”。   为此,在BAS的硬件结构上可以采用分布式网络处理器(NP)和ASIC芯片设计。网络处理器是专门针对电信网络设备而开发的专用处理器,它有一套专门的指令集,用于处理电信网络的各种协议和业务,可以大大提高设备的处理能力。同时,ASIC芯片转发数据包时接近硬件的转发性能,远非CPU软件方式可比,采用这种方式将PPPoE数据流的处理与转发分开,工作效率大大提高。此外在软件系统结构上还应该与其他技术相结合,更好地发挥PPPoE的性能。   3.2PPPoE与VLAN的结合   VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个不同的网段,从而实现虚拟工作组的技术。划分VLAN的目的,一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验;二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部。   PPPoE是一个客户端/服务器协议,客户端需要发送PADI包寻找BAS,因此它必须同BAS在同一个广播式的二层网络内,与VLAN的结合很好地解决了这方面的安全隐患。此外通过将不同业务类型的用户分配到不同的VLAN处理,可以灵活地开展业务,加快处理流程,当然VLAN的规划必须在二层设备和BAS之间统一协调。   BAS收到上行的PPPoE包后,首先判别VLAN ID的所属类别,如果是普通的拨号用户,则确定是Discovery阶段还是会话阶段的数据包,并严格按照PPPoE协议处理。在会话阶段,根据不同的用户类型从不同的地址池中向用户分配IP地址,地址池由上层网管配置。如果是已经通过认证的用户的数据包,则根据该用户的服务类型处理,比如,如果是本地认证的拨号用户,且对方也申请有同样的功能,则直接由本地转发。   如果是专线用户,则不用经过PPPoE复杂的认证过程,直接根据用户的VLAN ID便可进入专线用户处理流程,接入速度大大提高。此外为了统一网管,在BAS与其他设备之间需要通信,这些数据包是内部数据包,也可根据VLAN ID来辨别。   对于下行数据,由于BAS负责分配和解析用户的IP,兼有网关的功能,它收到数据包的目的IP是用户的,因此以IP为索引查找用户的信息比根据MAC要方便得多,这一点与普通的交换机有所不同,具体过程跟上行处理差不多。   3.3PPPoE对多业务选择的支持   多业务选择指的是用户通过一条终结到BAS的PPP连接来自主地选择后台网络运营商所提供的多种业务。之所以要支持多业务的选择,一方面是因为各种业务的具体实现在技术上的侧重点是不同的,对网络性能的要求也不尽相同,以前采取的固定分配的方式非常不便;另一方面,从网络应用的发展看,网络内容服务供应商ICP与网络接入商ISP的分离是必然趋势,在接入汇聚侧,ISP必须严格保证将用户选择的业务流转发到相应的ICP中去。   目前采用的方法是用户先在PPPoE拨号软件中选择相应的业务,然后对用户进行业务授权确认,最后激活BAS内部相应的处理模块。但是采用这种方式,用户只能知道业务的名字,无法直观地、全面地获知BAS提供的各种业务类型,特别是在新业务的开展上十分困难,有很大的局限性。   因此可以将BAS与后台业务选择网关及RADIUS服务器相配合,采取先认证后选择业务的方式,具体操作如下:   (1)主机发送PADI寻找BAS,PADI中包含一个服务名类型的TAG,它的值为空,表示该用户可以接受任何类型的服务。   (2)BAS收到包后回送PADO,PADO中包含所有可以提供的服务的TAG,同时,还包含一个服务名为General的TAG。   (3)主机发送PADR。用户选择已知的服务名,也可以选择General服务。   (4)BAS收到PADR包后为用户分配资源,并开始PPP协商过程。在PPP过程中,BAS将用户输入的账号和密码等信息送到RADIUS服务器上认证。   (5)通过认证的用户,享受BAS提供的该项服务,但如果选择的是General,则被强制访问与BAS直连的服务选择网关。后台的服务选择网关是一台具有Web Server功能的服务器,用户可以通过Web的交互式界面得到可选择业务的相关信息(包括费用、带宽等),同时显示该用户账号对应的信息。   (6)用户选择相应的业务,同时服务选择网关会定义各种用户的业务范围和操作权限。   (7)服务选择网关激活接入服务器内部相应的业务模型实现该业务。以上方式是严格按照PPPoE协议执行的,与当前流行的拨号软件完全兼容,如果用户对其他的业务根本不感兴趣而对已申请的业务非常熟悉,也不影响用户的习惯。   从BAS的角度考虑,PPPoE的操作流程也没有什么改变,只是多添了一种服务类型而已。如果运营商当前没有服务选择网关,可以通过网管配置,在对PADI包的回应时不包含General服务就可以了。   对于运营商来说,采用以上方式不仅大大提高了接入用户操作的透明度,还可以起到业务门户的作用,为下一步的服务扩展提供空间,而且从宽带接入网以后发展的趋势来看,按需分配与业务类型相应的带宽和QoS是必然的,PPPoE的这种业务选择运营模式是今后业务选择的发展方向。   3.4PPPoE对组播的支持   PPPoE本身是一个点到点的协议,每一个用户与BAS之间都有一条PPP的链接,用户与BAS之间是通过这条链路经二层设备以单播的形式传输数据。但是随着网上视频业务的不断发展,人们对带宽的需求越来越大,PPPoE对组播的支持显得非常重要。PPPoE所支持的组播协议通常指的是二层组播协议IGMP proxy或IGMP Snooping,采取的基本方法是对每个组播数据包分组传送,下面分析这两种协议的实现方式。   3.4.1IGMP Snooping   IGMP Snooping是靠侦听用户与路由器之间通信的IGMP报文维护组播地址和VLAN的对应表的对应关系,它将同一组播组的活动成员映射为一个VLAN,在收到组播数据包后,仅向该组播组所对应的VLAN成员转发。主要操作流程如下:   (1)主机与BAS进行PPPoE协商,通过PPPoE认证。   (2)主机向路由器发送IGMP成员报告包,BAS监听到该包,并从PPPoE数据包中得到组播组的地址,将该用户添加到对应的VLAN,如果该用户是组播组的第一个用户,则为这个组播组产生一个组播条目,并将该报文转发至上层路由器以更新组播路由表。   (3)BAS收到路由器的组播数据报文时,根据组播MAC地址和组播IP地址的对应关系,找到对应的VLAN,然后将数据包封装成PPPoE的会话包,向VLAN内的成员转发。   (4)当收到来自主机的申请离开组播组的包时,BAS把收到该包的端口从相应的VLAN中删除,若该用户是组播组最后一个用户(此时VLAN为空),则把该VLAN删除,并把该包内容通过上行端口转发出去。 IGMP Snooping的规则比较简单,下行方向透传查询包,上行方向根据需要转发加入或离开包,但要求BAS必须有3层提取功能,它对于主机和路由器是透明的。   3.4.2IGMP Proxy   IGMP Proxy是靠拦截用户和路由器之间的IGMP报文建立组播表,Proxy设备的上联端口执行主机的角色,下联端口执行路由器的角色。   下面是简要流程:   (1)主机与BAS进行PPPoE协商,通过PPPoE认证。   (2)上联端口执行主机的角色,响应来自路由器的查询,当新增用户组或者某组最后一个用户退出时,主动发送成员报告包或者离开包。   (3)下行方向的业务包按照组播表进行转发。   (4)下联端口执行路由器的角色,完全按照IGMP V2中规定的机制执行,包括查询者选举机制,定期发送通用查询信息,收到离开包时发送特定查询等。 IGMP Proxy在两个端口分别实现不同的功能,工作量相对较大,其优点是当网络中没有路由器时,IGMP Proxy设备可以起到查询者的作用,而且如果要扩展组播路由功能,Proxy比Snooping方便。考虑到BAS复制PPPoE多播数据对底层设备造成的巨大压力,而且当前的交换机和部分DSLAM(尤其是以IP为内核的DSLAM)已经开始支持二层组播,所以从发展的角度看采用IGMP Proxy更好一些。   4结束语   采用NP的硬件结构以及PPPoE+VLAN的设计思想,大大提高了PPPoE的效率、安全性和可管理性,而增加PPPoE多业务选择和组播业务的支持,向用户提供优质灵活的服务,将为正在蓬勃发展的宽带建设注入新的活力。

uctip 发表于 2005-4-9 11:18:45

我觉得电信的警告是无理的!XP自带的是一个简易的拨号程序,好比xp带了写字板,就不用装OFFICE 了么?用专用的PPPOE拨号软件就能看到所有的PPPOE server如图:上面的是我自己建立私有的,下面的数字的是电信的,互不干涉

uctip 发表于 2005-4-9 11:23:33

你怎么截获他们密码的?嗬嗬交流一下啊!

parphy 发表于 2005-4-9 11:56:33

回楼主,PPPOE是在L2上的,和DHCP一样,作为客户机,谁先发现就先用谁的,因此阁下的行为的确扰乱了电信网络的正常运行,而且,既然PPPOE是L2的,你在外网上作PPPOE是本身没有什么用的,因为PPPOE这种认证通常是无法通过路由的,建议你在选择远程网认证方式时要注意选择合适的方案如VPN等。另外,uctip小朋友,也要注意多学习业务知识,XP的确自带了PPPOE程序但那是客户端,而非服务器端,用户也的确可以选择所拨入的网络,但对大部分用户来说,他们根本没有这样的技术能力来判断应该如何选择。另外,你的网络道德观需要更正,你可以安装你所需要的软件来给自己提供各种需要,但前提是不影响他人的利益。“我觉得电信的警告是无理的”,这样的说法更是可笑,你的车交了养路费,并不代表你可以任意在路上横行直撞,你必须遵守交通规则,道路是大家共用的,网络也一样。“你怎么截获他们密码的?嗬嗬交流一下啊!”既然你自己都产生了这种想法,侵害别人隐私,你还能理直气壮的说“我觉得电信的警告是无理的”吗?这种的行为岂不是在干扰网络正常秩序下又加了一重罪??危害网络安全。学习网络知识网络安全是好的,但不能拿无辜的人开刀。我猜,你大概不会仅仅因为好玩,就去杀人吧?如果非要练手,拿日本鬼子的机器练去,别祸害身边的无辜百姓,可以吗?

jack_i5 发表于 2005-4-9 11:59:45

QUOTE (1cf2 @ Apr 9 2005, 05:15 AM)
如题,很重要的问题,对我来说。昨天收到ISP警告,让我关掉我的PPPoE Server,原因是我把它开在了和ISP连接的界面卡上,结果很多用户拨到我这里来了,后果是很多用户上不了网,而且还把他们的密码和账号发给我了,呵呵
楼主如此建立PPPOE ,有什么特殊目的嘛?

Hansxia 发表于 2005-4-9 12:00:43

楼上:赞一个!

1cf2 发表于 2005-4-9 14:12:41

详细的说一下吧,我的笔记本电脑只有2个PCMICIA口,由于型号老,没有板载网卡。原来我是2块网卡,一个负责PPPoE到ISP,另外一个负责内网的PPPoE Server,这样互不干扰,相安无事。上周弄了个无线卡,发现插槽不够了,所以不得已把内网卡和外网卡合并到一张卡上了,腾出一个口插无线卡,这样我的Router就又多了无线AP功能,没有意识到会发生这样的事情。我根本没有想去盗窃别人的密码,就算现在知道也不会去做。但是翻过一想,PPPoE也太不安全了,如果有人故意去这么做呢?现在我已经把我的PPPoE Server关掉了,开始研究有没有别的两全其美的办法。

zif2003 发表于 2005-4-9 15:11:09

真奇怪, 你还没拔上网就有人要登录到你的pppoe server?我倒是个偷密码的好主意.

uctip 发表于 2005-4-9 16:16:57

QUOTE (parphy @ Apr 9 2005, 11:56 AM)
回楼主,PPPOE是在L2上的,和DHCP一样,作为客户机,谁先发现就先用谁的,因此阁下的行为的确扰乱了电信网络的正常运行,而且,既然PPPOE是L2的,你在外网上作PPPOE是本身没有什么用的,因为PPPOE这种认证通常是无法通过路由的,建议你在选择远程网认证方式时要注意选择合适的方案如VPN等。另外,uctip小朋友,也要注意多学习业务知识,XP的确自带了PPPOE程序但那是客户端,而非服务器端,用户也的确可以选择所拨入的网络,但对大部分用户来说,他们根本没有这样的技术能力来判断应该如何选择。另外,你的网络道德观需要更正,你可以安装你所需要的软件来给自己提供各种需要,但前提是不影响他人的利益。“我觉得电信的警告是无理的”,这样的说法更是可笑,你的车交了养路费,并不代表你可以任意在路上横行直撞,你必须遵守交通规则,道路是大家共用的,网络也一样。“你怎么截获他们密码的?嗬嗬交流一下啊!”既然你自己都产生了这种想法,侵害别人隐私,你还能理直气壮的说“我觉得电信的警告是无理的”吗?这种的行为岂不是在干扰网络正常秩序下又加了一重罪??危害网络安全。学习网络知识网络安全是好的,但不能拿无辜的人开刀。我猜,你大概不会仅仅因为好玩,就去杀人吧?如果非要练手,拿日本鬼子的机器练去,别祸害身边的无辜百姓,可以吗?
无语,你是电信的吧?

chatbug 发表于 2005-4-9 17:20:22

最好将PPPOE服务器限定在内网的网卡上.由于你笔记本限制,你可以考虑用USB网卡来扩充你的网络接口数.

lzx8876446 发表于 2005-4-9 17:23:49

不明白~不明白~~~~

1cf2 发表于 2005-4-9 17:28:03

QUOTE (chatbug @ Apr 9 2005, 05:20 PM)
最好将PPPOE服务器限定在内网的网卡上.由于你笔记本限制,你可以考虑用USB网卡来扩充你的网络接口数.
好办法啊,忘了USB了,不过还真不知道ROS能支持USB网卡

zyling 发表于 2005-4-10 00:47:11

ros 能支持USB网卡?什么型号?无线USB网卡行不行呢?

cholin 发表于 2005-8-2 23:53:58

QUOTE(uctip @ Apr 9 2005, 11:18 AM)
我觉得电信的警告是无理的!

XP自带的是一个简易的拨号程序,

好比xp带了写字板,就不用装OFFICE 了么?

用专用的PPPOE拨号软件就能看到所有的PPPOE server

如图:上面的是我自己建立私有的,下面的数字的是电信的,互不干涉
43833




请问你这个图是在哪里可以看到啊?
页: [1] 2
查看完整版本: 一个交换机上同时连接2个或者以上的PPPoE Server