PPPoE協(xié)議在寬帶接入網(wǎng)中的應(yīng)用

近年來，網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)發(fā)展迅速，寬帶用戶呈爆炸式的增長，運營商在采用xDSL，LAN，HFC，無線等多種接入方式的同時，為了構(gòu)建一個可運營、可管理、可盈利的寬帶網(wǎng)絡(luò)，十分關(guān)心如何有效地完成用戶的管理，PPPoE就是隨之出現(xiàn)的多種認(rèn)證技術(shù)中的一種。

1 PPPoE協(xié)議概述

1.1PPPoE的工作原理

PPPoE（PPP over Ethernet）是在以太網(wǎng)上建立PPP連接，由于以太網(wǎng)技術(shù)十分成熟且使用廣泛，而PPP協(xié)議在傳統(tǒng)的撥號上網(wǎng)應(yīng)用中顯示出良好的可擴(kuò)展性和優(yōu)質(zhì)的管理控制機(jī)制，二者結(jié)合而成的PPPoE協(xié)議得到了寬帶接入運營商的認(rèn)可并廣為采用。

PPPoE建立過程可以分為Discovery階段和PPP會話階段。Discovery階段是一個無狀態(tài)的階段，該階段主要是選擇接入服務(wù)器，確定所要建立的PPP會話標(biāo)識符Session ID，同時獲得對方點到點的連接信息；PPP會話階段執(zhí)行標(biāo)準(zhǔn)的PPP過程。

一個典型的Discovery階段包括以下4個步驟：

(1)主機(jī)首先主動發(fā)送廣播包PADI尋找接入服務(wù)器，PADI必須至少包含一個服務(wù)名稱類型的TAG，以表明主機(jī)所要求提供的服務(wù)。

(2)接入服務(wù)器收到包后如果可以提供主機(jī)要求

0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1

以太網(wǎng)類=0x8863/8864版本（Ver）類型(Type)編碼（CODE）

會話ID（Session ID）長度（Length）

凈荷(Payload)

(3)主機(jī)在回應(yīng)PADO的接入服務(wù)器中選擇一個合適的，并發(fā)送PADR告知接入服務(wù)器，PADR中必須聲明向接入服務(wù)器請求的服務(wù)種類。

(4)接入服務(wù)器收到PADR包后開始為用戶分配一個唯一的會話標(biāo)識符Session ID，啟動PPP狀態(tài)機(jī)以準(zhǔn)備開始PPP會話，并發(fā)送一個會話確認(rèn)包PADS。

主機(jī)收到PADS后，雙方進(jìn)入PPP會話階段。在會話階段，PPPoE的以太網(wǎng)類域設(shè)置為0x8864，CODE為0x00，Session ID必須是Discovery階段所分配的值。

PPP會話階段主要是LCP、認(rèn)證、NCP 3個協(xié)議的協(xié)商過程，LCP階段主要完成建立、配置和檢測數(shù)據(jù)鏈路連接，認(rèn)證協(xié)議類型由LCP協(xié)商（CHAP或者PAP），NCP是一個協(xié)議族，用于配置不同的網(wǎng)絡(luò)層協(xié)議，常用的是IP控制協(xié)議（IPCP），它負(fù)責(zé)配置用戶的IP和DNS等工作。

PADT包是會話中止包，它可以由會話雙方的任意一方發(fā)起，但必須是會話建立之后才有效。

1.2PPPoE的特點

PPPoE不僅有以太網(wǎng)的快速簡便的特點，同時還有PPP的強大功能，任何能被PPP封裝的協(xié)議都可以通過PPPoE傳輸，此外還有如下特點：

（1)PPPoE很容易檢查到用戶下線，可通過一個PPP會話的建立和釋放對用戶進(jìn)行基于時長或流量的統(tǒng)計，計費方式靈活方便。

（2)PPPoE可以提供動態(tài)IP地址分配方式，用戶無需任何配置，網(wǎng)管維護(hù)簡單，無需添加設(shè)備就可解決IP地址短缺問題，同時根據(jù)分配的IP地址，可以很好地定位用戶在本網(wǎng)內(nèi)的活動。

（3)用戶通過免費的PPPoE客戶端軟件（如EnterNet），輸入用戶名和密碼就可以上網(wǎng)，跟傳統(tǒng)的撥號上網(wǎng)差不多，最大程度地延續(xù)了用戶的習(xí)慣，從運營商的角度來看，PPPoE對其現(xiàn)存的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行變更也很小。

DSLAM是ADSL匯聚設(shè)備，其內(nèi)核采用ATM或IP但上聯(lián)口為以太網(wǎng)口，BAS是局端實現(xiàn)PPPoE功能的接入服務(wù)器，它終結(jié)由用戶側(cè)發(fā)起的PPPoE進(jìn)程。下行的以太幀從IP城域網(wǎng)經(jīng)路由器送到BAS，被加上PPPoE的頭后送到DSLAM封裝成AAL5幀，經(jīng)過交叉模塊發(fā)送到ADSL Modem，由其完成AAL5幀重組并解出以太幀發(fā)送到客戶端，客戶端從PPPoE包中取出IP數(shù)據(jù)包。

上行的PPPoE包在ADSL Modem中封裝成AAL5幀，由ATM信元傳輸?shù)骄侄说腄SLAM，DSLAM負(fù)責(zé)終結(jié)ATM，重新組合出PPPoE包，并通過設(shè)好的PVC（永久虛電路）傳送到BAS處理。

從上面可以看出，PPPoE將PPP承載到以太網(wǎng)之上，實質(zhì)是在共享介質(zhì)的網(wǎng)絡(luò)上提供一條邏輯上的點到點鏈路，對用戶而言，在DSLAM和ADSL Modem之間的ATM傳輸是透明的，如果將中間的DSLAM和ADSL Modem換成有線電視的接入設(shè)備,就是典型的HFC接入，BAS對PPPoE包的處理方式不變。
 
2 PPPoE在BAS上的實現(xiàn)

PPPoE撥號軟件在應(yīng)用中已經(jīng)很成熟（Windows XP中自帶），下面重點討論PPPoE在接入服務(wù)器BAS中的實現(xiàn)方式。

2.1PPPoE的效率

從PPPoE協(xié)議模型可以看出，BAS匯聚了用戶的所有數(shù)據(jù)流，它必須將每一個PPPoE包都拆開檢查處理，這在很大程度上是沿襲了傳統(tǒng)的PPP處理的方式，雖然有很好的安全性，但一旦用戶很多，數(shù)據(jù)包數(shù)量很大，解封裝速度就需要很快，BAS很大的精力花在檢測用戶的數(shù)據(jù)包上，容易形成接入的“瓶頸”。

為此，在BAS的硬件結(jié)構(gòu)上可以采用分布式網(wǎng)絡(luò)處理器（NP）和ASIC芯片設(shè)計。網(wǎng)絡(luò)處理器是專門針對電信網(wǎng)絡(luò)設(shè)備而開發(fā)的專用處理器，它有一套專門的指令集，用于處理電信網(wǎng)絡(luò)的各種協(xié)議和業(yè)務(wù)，可以大大提高設(shè)備的處理能力。同時，ASIC芯片轉(zhuǎn)發(fā)數(shù)據(jù)包時接近硬件的轉(zhuǎn)發(fā)性能，遠(yuǎn)非CPU軟件方式可比，采用這種方式將PPPoE數(shù)據(jù)流的處理與轉(zhuǎn)發(fā)分開，工作效率大大提高。此外在軟件系統(tǒng)結(jié)構(gòu)上還應(yīng)該與其他技術(shù)相結(jié)合，更好地發(fā)揮PPPoE的性能。

2.2PPPoE與VLAN的結(jié)合

VLAN即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個不同的網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。劃分VLAN的目的，一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗；二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)�廣播風(fēng)暴控制在一個VLAN內(nèi)部。

PPPoE是一個客戶端/服務(wù)器協(xié)議，客戶端需要發(fā)送PADI包尋找BAS，因此它必須同BAS在同一個廣播式的二層網(wǎng)絡(luò)內(nèi)，與VLAN的結(jié)合很好地解決了這方面的安全隱患。此外通過將不同業(yè)務(wù)類型的用戶分配到不同的VLAN處理，可以靈活地開展業(yè)務(wù)，加快處理流程，當(dāng)然VLAN的規(guī)劃必須在二層設(shè)備和BAS之間統(tǒng)一協(xié)調(diào)。

BAS收到上行的PPPoE包后，首先判別VLAN ID的所屬類別，如果是普通的撥號用戶，則確定是Discovery階段還是會話階段的數(shù)據(jù)包，并嚴(yán)格按照PPPoE協(xié)議處理。在會話階段，根據(jù)不同的用戶類型從不同的地址池中向用戶分配IP地址，地址池由上層網(wǎng)管配置。如果是已經(jīng)通過認(rèn)證的用戶的數(shù)據(jù)包，則根據(jù)該用戶的服務(wù)類型處理，比如，如果是本地認(rèn)證的撥號用戶，且對方也申請有同樣的功能，則直接由本地轉(zhuǎn)發(fā)。

如果是專線用戶，則不用經(jīng)過PPPoE復(fù)雜的認(rèn)證過程，直接根據(jù)用戶的VLAN ID便可進(jìn)入專線用戶處理流程，接入速度大大提高。此外為了統(tǒng)一網(wǎng)管，在BAS與其他設(shè)備之間需要通信，這些數(shù)據(jù)包是內(nèi)部數(shù)據(jù)包，也可根據(jù)VLAN ID來辨別。

對于下行數(shù)據(jù)，由于BAS負(fù)責(zé)分配和解析用戶的IP，兼有網(wǎng)關(guān)的功能，它收到數(shù)據(jù)包的目的IP是用戶的，因此以IP為索引查找用戶的信息比根據(jù)MAC要方便得多，這一點與普通的交換機(jī)有所不同，具體過程跟上行處理差不多。

2.3PPPoE對多業(yè)務(wù)選擇的支持

多業(yè)務(wù)選擇指的是用戶通過一條終結(jié)到BAS的PPP連接來自主地選擇后臺網(wǎng)絡(luò)運營商所提供的多種業(yè)務(wù)。之所以要支持多業(yè)務(wù)的選擇，一方面是因為各種業(yè)務(wù)的具體實現(xiàn)在技術(shù)上的側(cè)重點是不同的，對網(wǎng)絡(luò)性能的要求也不盡相同，以前采取的固定分配的方式非常不便；另一方面，從網(wǎng)絡(luò)應(yīng)用的發(fā)展看，網(wǎng)絡(luò)內(nèi)容服務(wù)供應(yīng)商ICP與網(wǎng)絡(luò)接入商ISP的分離是必然趨勢，在接入?yún)R聚側(cè)，ISP必須嚴(yán)格保證將用戶選擇的業(yè)務(wù)流轉(zhuǎn)發(fā)到相應(yīng)的ICP中去。

目前采用的方法是用戶先在PPPoE撥號軟件中選擇相應(yīng)的業(yè)務(wù)，然后對用戶進(jìn)行業(yè)務(wù)授權(quán)確認(rèn)，最后激活BAS內(nèi)部相應(yīng)的處理模塊。但是采用這種方式，用戶只能知道業(yè)務(wù)的名字，無法直觀地、全面地獲知BAS提供的各種業(yè)務(wù)類型，特別是在新業(yè)務(wù)的開展上十分困難，有很大的局限性。

因此可以將BAS與后臺業(yè)務(wù)選擇網(wǎng)關(guān)及RADIUS服務(wù)器相配合，采取先認(rèn)證后選擇業(yè)務(wù)的方式，具體操作如下：

(1)主機(jī)發(fā)送PADI尋找BAS，PADI中包含一個服務(wù)名類型的TAG，它的值為空，表示該用戶可以接受任何類型的服務(wù)。

(2)BAS收到包后回送PADO，PADO中包含所有可以提供的服務(wù)的TAG，同時，還包含一個服務(wù)名為General的TAG。

(3)主機(jī)發(fā)送PADR。用戶選擇已知的服務(wù)名，也可以選擇General服務(wù)。

(4)BAS收到PADR包后為用戶分配資源，并開始PPP協(xié)商過程。在PPP過程中，BAS將用戶輸入的賬號和密碼等信息送到RADIUS服務(wù)器上認(rèn)證。

(5)通過認(rèn)證的用戶，享受BAS提供的該項服務(wù)，但如果選擇的是General，則被強制訪問與BAS直連的服務(wù)選擇網(wǎng)關(guān)。后臺的服務(wù)選擇網(wǎng)關(guān)是一臺具有Web Server功能的服務(wù)器，用戶可以通過Web的交互式界面得到可選擇業(yè)務(wù)的相關(guān)信息（包括費用、帶寬等），同時顯示該用戶賬號對應(yīng)的信息。

(6)用戶選擇相應(yīng)的業(yè)務(wù)，同時服務(wù)選擇網(wǎng)關(guān)會定義各種用戶的業(yè)務(wù)范圍和操作權(quán)限。

(7)服務(wù)選擇網(wǎng)關(guān)激活接入服務(wù)器內(nèi)部相應(yīng)的業(yè)務(wù)模型實現(xiàn)該業(yè)務(wù)。以上方式是嚴(yán)格按照PPPoE協(xié)議執(zhí)行的，與當(dāng)前流行的撥號軟件完全兼容，如果用戶對其他的業(yè)務(wù)根本不感興趣而對已申請的業(yè)務(wù)非常熟悉，也不影響用戶的習(xí)慣。

從BAS的角度考慮，PPPoE的操作流程也沒有什么改變，只是多添了一種服務(wù)類型而已。如果運營商當(dāng)前沒有服務(wù)選擇網(wǎng)關(guān)，可以通過網(wǎng)管配置，在對PADI包的回應(yīng)時不包含General服務(wù)就可以了。

對于運營商來說，采用以上方式不僅大大提高了接入用戶操作的透明度，還可以起到業(yè)務(wù)門戶的作用，為下一步的服務(wù)擴(kuò)展提供空間，而且從寬帶接入網(wǎng)以后發(fā)展的趨勢來看，按需分配與業(yè)務(wù)類型相應(yīng)的帶寬和QoS是必然的。