pppoe和乙太網的區別（3.1.0廣域網簡介）

2023-04-22 04:42:13

觀前溫馨提示：

篇幅較大，本章主要有以下大點，可通過目錄與右側導航跳轉觀看：

（1）廣域網基本概念

（2）ppp協議介紹

（3）PAP與CHAP認證

（4）PPPoE介紹與配置

簡介廣域網組網廣域網早期組網的X.25隻能提供64Kbit/s的帶寬其後DDN（Digital Data Network）數據網和FR（Frame Relay）幀中繼提供的帶寬提高到2Mbit/sSDH（Synchronous Digital Hierachy）同步數字結構和ATM（Asynnchronous Transfer Mode）異步傳輸模式，進下一步把提升到了10Gbit/s最後發展到當前以IP為基礎的10Gbit/s甚至更高帶寬的廣域網絡廣域網中的路由角色(PE/CE/P)概念CE(CustomerEdge)：用戶的邊緣設備，服務提供商所連接的用戶端路由器。

CE路由器通過連接一個或多個PE路由器，為用戶提供多點服務接入。

CE路由器通常是一臺IP路由器，它與連接的PE路由器建立鄰接關係。

PE(ProviderEdge)：運營商的邊緣設備，Provide的邊緣設備，服務提供商骨幹網的邊緣路由器，它相當於標籤邊緣路由器(LER)。

PE路由器連接CE路由器和P路由器，是最重要的網絡節點。

用戶的流量通過PE路由器流入用戶網絡，或者通過PE路由器流到組網骨幹網。

P(Provider)：運營商的內部核心層設備，提供商路由器，服務提供商是不連接任何CE路由器的骨幹網路由設備，它相當於標籤交換路由器(LSR)。PPP協議

ppp 端對端/點對點 協議（Peer-Peer Protocol）

ppp有什麼用？用來幹嘛的？

答：PPP是一種點到點鏈路層協議，主要用於在全雙工的同異步鏈路上[Serial串行接口]進行點到點的數據傳輸。

PPP協議的優勢

1、支持LCP協商：鏈路層參數協商

2、支持NCP協商：網絡層參數協商

3、支持用戶認證：PAP、CHAP

4、支持擴展：ppp可擴展的支持低層鏈路

乙太網網絡，PPP可擴展為PPPOEATM網絡，PPP可擴展為PPPOAPPP協議之用戶認證PAP認證PAP密碼認證協議（Password Authentication Protocol）PAP是明文交互認證PAP的簡要認證過程1、認證方（伺服器）上創建認證的帳號密碼，被認證方（客戶端）上設置好用於認證的帳號密碼2、由被認證方向認證方發送認證信息（帳號密碼），認證方檢查帳號密碼，匹配成功則回復認證成功否則回復認證失敗。【客戶端】》主動認證》【伺服器】

CHAP認證CHAP 挑戰握手認證協議（Challenge Handshake Authentication Protocol ）CHAP是密文交互認證CHAP的簡要認證過程：

1、認證方（伺服器）上創建認證的帳號密碼，被認證方（客戶端）上設置好用於認證的帳號密碼

2、認證方主動向被認證方發送挑戰報文

含有：（接口認證帳號、認證序號A、認證方隨機數）

在單向chap認證中，認證方的接口認證帳號可有可無。

3、被認證方收到挑戰報文，查看接口是否存在chap帳號密碼：

存在，則回復答覆報文：報文序號A、接口認證帳號、HASH值 HASH值（認證序號A、認證方隨機數、接口認證的密碼，三者進行MD5加密得出HASH值）報文序號從始至終都是認證方發送的報文序號。

不存在，則不回覆信息，默認認證失敗。

4、認證方收到答覆報文：

（1）對收到的帳號在帳號資料庫中檢索出「密碼」

（2）基於報文序號，取出之前產生的「隨機數」

（3）進行（報文序號A 認證方隨機數帳號對應密碼）三者進行MD5加密得到一個HASH值

5、兩個HASH值對比，一樣則說明認證成功，否則失敗。

PPP協議之地址下發

在PPP協議中，可以只在一端上配置地址實現將指定地址下發給對端。

[AR1]int s4/0/0[AR1-Serial4/0/0]ip add 192.168.1.1 24[AR1-Serial4/0/0]remote address 192.168.1.2 # 指定對端使用的地址[AR2]int s4/0/0[AR2-Serial4/0/0]ip add ppp-negotiate # 通過鄰居獲取地址Dec 19 2022 18:28:38-08:00 Huawei %IFNET/4/LINK_STATE(l)[63]:The line protocol PPP IPCP on the interface Serial1/0/0 has entered the UP state. # 出現該提示說明成功獲取到地址

PPP協議的詳細建立過程1、LCP協商主動發送request報文給AR2進行鏈路層參數的協商。request報文內容：MRU、認證協議、MP-Group、魔術字MRU最大傳輸單元：保障雙向傳輸數據過程中不會因為MRU不同導致丟包現象。認證協議：為下一個階段做鋪墊，表明是否需要認證。MP-Group：表明是否存在鏈路聚合。魔術字：隨機產生，起到防止環路現象，如果在接口收到自己所發送的魔術字，則直接丟棄。

對端收到發送的Request報文進行報文內的參數協商：

1、如果協商的參數內容都是正常的，則向對端回復ACK報文，協商成功。2、如果協商的參數內容都識別，但存在不認可的參數，則回復NAK報文，NAK中攜帶自己認可的參數。收到NAK後的源將再次發送Request報文同時填充使用NAK報文內的參數。3、如果協商的參數有不識別的內容，則回復Reject報文，要求源重新協商，源將去除目標不識別的內容進行剔除再發送Request。

LCP協商完成之後，則周期發送Echo-Request、Echo-Replay維護鏈路狀態

2、pap/chap認證協商

如果沒有配置ppp authentication-mode，即沒有設置認證，則直接跳過該階段。

pap認證協商

被認證《主動向》認證方發送Request報文進行參數協商：（攜帶認證帳號、明文密碼）認證方收到Request報文，將報文內的認證帳號密碼和自身資料庫中的認證帳號密碼進行對比：①對比結果相同，回復ACK報文，認證通過②對比結果不同，回復NAK報文，認證失敗

chap認證協商

認證方《主動向》被認證方，發送的Chalenge信息（接口認證帳號、認證序號ID、認證方隨機數 ）被認證方，查看接口是否存在chap帳號密碼：

存在，則回復的response報文：報文序號A、接口認證帳號、HASH值 HASH值（認證序號A、認證方隨機數、接口認證的密碼，三者進行MD5加密得到一個HASH值）報文序號從始至終都是認證方發送的報文序號。

不存在，則不回覆信息，默認認證失敗。

認證方，收到回復的response報文：

（1）對收到的認證帳號，在帳號資料庫中檢索出「密碼」

（2）基於報文序號，取出之前產生的「認證方隨機數」

（3）進行（報文序號A 隨機數帳號對應密碼）三者進行MD5加密得到一個HASH值

認證方兩個HASH值對比，一樣則說明認證成功Success，否則失敗Failure。

3、NCP協商最常見的NCP協議是IPCP，用來協商IP參數。如果該階段沒有協商成功》display ip interface brief，查看接口狀態時會看到Protocol欄位處於down狀態

認證方《主動向》被認證方，發送的Request信息，攜帶本端接口IP位址。被認證方收到Request報文：

如果參數不存在問題（地址沒有衝突、合法）則回復ACK報文如果參數存在問題（地址有衝突或不合規）則回復NAK報文NCP協商並不看你地址是否相同網段，而是看你的地址信息是否有誤。

當認證方收到ACK報文，表示協商成功，雙方將建立一條直連路由。這也是為什麼ppp鏈路中不同段地址也能互通的原因。

4、建立完成之後，通過Echo Request、Echo Replay保活5、建立chap認證方式的建立全過程抓包信息：

Chap認證建立會話抓包信息下載（Wireshark 3.6.6 ）下載連結：https://download.csdn.net/download/qq_45443704/87320707

PPP協議建立的狀態機

1.通信雙方開始建立PPP鏈路時，先進入到Establish階段。

2.在Establish階段，進行LCP協商：協商通信雙方的MRU（Maximum Receive Unit，最大接收單元）、認證方式和魔術字（Magic Number）等選項。協商成功後進入Opened狀態，表示底層鏈路已建立。

3.如果配置了認證，將進入Authenticate階段。否則直接進入Network階段。

4.在Authenticate階段，會根據連接建立階段協商的認證方式進行鏈路認證。認證方式有兩種：PAP和CHAP。如果認證成功，進入Network階段，否則進入Terminate階段，拆除鏈路，LCP狀態轉為Down。

5.在Network階段，PPP鏈路進行NCP協商。通過NCP協商來選擇和配置一個網絡層協議並進行網絡層參數協商。(選擇一個IP位址進行網絡層參數協商)最常見的NCP協議是IPCP，用來協商IP參數。

6.在Terminate階段，如果所有的資源都被釋放，通信雙方將回到Dead階段。

PPPOEPPPOE簡介

PPPOE（PPP Over Ethernet）乙太網承載PPP協議

1、PPPOE實現乙太網上提供點到點的連接，PPPOE客戶端與PPPOE伺服器之間建立PPP進行傳輸數據。

2、使用PPP數據封裝的同時，為乙太網上的主機提供接入服務，實現用戶連接控制和計費，在企業網絡與運營商網絡中應用廣泛。

PPP的幀結構

目前HCIA階段，簡要觀看即可。

PPPOE的會話建立大致過程

參考華為HCIA-Datacom V1.0 培訓教材.pdf (116.68MB)【章節：17 廣域網】
下載地址：https://e.huawei.com/cn/talent/#/resources 搜索下載：hcia-datacom v1.0
1、PPPOE會話發現
提前給你打個預防針，其實挺像DHCP的報文交互的…
1-PPPOE PADI 查找開始
1、PPPoE客戶端在本地乙太網中廣播一個PPPOED PADI報文，此PADI報文中包含了客戶端需要的服務信息。[類似於DHCP的Discover報文]
》PADI報文的目的MAC地址是一個廣播地址，Code欄位為0x09，Session ID欄位為0x0000。
》所有PPPoE伺服器端收到PADI報文之後，會將報文中所請求的服務與自己能夠提供的服務進行比較。
2-PPPOE PADO 提供信息
2、如果伺服器端可以提供客戶端請求的服務，就會回復一個PADO報文。[類似於DHCP的Offer報文]
》PADO報文的目的地址是發送PADI報文的客戶端MAC地址，Code欄位為0x07，Session ID欄位為0x0000。
3-PPPOE PADR 請求信息
3、客戶端可能會收到多個PADO報文[就像DHCP可以收到多個Offer報文]，此時將選擇最先收到的PADO報文對應的PPPoE伺服器端，並發送一個PADR報文給這個伺服器端。
》PADR報文的目的地址是選中的伺服器端的MAC地址，Code欄位為0x19，Session ID欄位為0x0000。
4-PPPOE PADS 會話確認
4、PPPoE伺服器端收到PADR報文後，會生成一個唯一的Session ID來標識和PPPoE客戶端的會話，並發送PADS報文。
》PADS報文的目的地址是PPPoE客戶端的MAC地址，Code欄位為0x65，Session ID欄位是PPPoE伺服器端為本PPPoE會話產生的Session ID。
5-華為的PPPOE會話發現邏輯示意圖
2、PPPOE會話階段
PPPoE會話階段會進行PPP協商，分為LCP協商、認證協商、NCP協商三個階段。
華為的PPPOE會話階段邏輯示意圖
3、PPPOE會話終結
當PPPoE客戶端希望關閉連接時，會向PPPoE伺服器端發送一個PADT報文，用於關閉連接。
同樣，如果PPPoE伺服器端希望關閉連接時，也會向PPPoE客戶端發送一個PADT報文。
在客戶端上進行會話斷開：reset pppoe-client allDec 19 2022 23:23:27-08:00 Client %PPP/4/PHYSICALDOWN(l)[0]:On the interface Dialer1:0, PPP link was closed because the status of the physical layer was Down. Dec 19 2022 23:23:27-08:00 Client %IFNET/4/LINK_STATE(l)[1]:The line protocol PPP on the interface Dialer1:0 has entered the DOWN state. Dec 19 2022 23:23:27-08:00 Client %IFNET/4/LINK_STATE(l)[2]:The line protocol PPP IPCP on the interface Dialer1:0 has entered the DOWN state.
華為的PPPOE會話終結邏輯示意圖PPPOE的配置環境介紹：PPPOE伺服器撥號地址為192.168.1.254、地址池為192.168.1.0/24、撥號虛擬模板序號1、使用chap認證、帳號密碼均是pppoe。PPPOE客戶端使用撥號數字10與PPPOE伺服器進行建立會話。PPPOE建立會話過程抓包信息（Wireshark 3.6.6）下載連結：https://download.csdn.net/download/qq_45443704/87320944
伺服器：# 1、創建DHCP地址池，給PPPOE撥號用戶下發地址[Server]dhcp enable [Server]ip pool ppp[Server-ip-pool-ppp]network 192.168.1.0 mask 24[Server-ip-pool-ppp]gateway-list 192.168.1.254[Server-ip-pool-ppp]q# 2、配置PPPOE服務端使用chap認證，利用PPP的NCP協商給客戶端下發地址[Server]interface Virtual-Template 1[Server-Virtual-Template1]ppp authen chap[Server-Virtual-Template1]ip add 192.168.1.254 24[Server-Virtual-Template1]remote add pool ppp[Server-Virtual-Template1]q# 3、配置chap認證的帳號密碼（命令有所縮寫）[Server]aaa[Server-aaa]local pppoe pa cip pppoe[Server-aaa]local pppoe ser ppp[Server-aaa]q# 4、接口應用PPPOE撥號模板[Server]int g0/0/0[Server-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1# 你可能會有的疑惑：# 1、接口不需要配置地址的嗎？# 【撥號模板中已經設置有了,應用模板也相當於應用了地址】# 2、客戶端不需地址嗎？# 【客戶端會通過發送PADI、PADO、PADR、PADS等報文協助PPPOE的建立】# 上面的PPPOE會話建立過程有所提到客戶端：[Client]interface Dialer 1[Client-Dialer1]lin ppp[Client-Dialer1]ppp chap user pppoe[Client-Dialer1]ppp chap password ci pppoe[Client-Dialer1]ip add ppp-negotiate [Client-Dialer1]dialer user client1[Client-Dialer1]dialer bundle 10[Client-Dialer1]q[Client]int g0/0/0[Client-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 10# PPPOE自動撥號成功提示[Client]Dec 19 2022 22:14:50-08:00 Client %IFNET/4/LINK_STATE(l)[1]:The line protocol PPP on the interface Dialer1:0 has entered the UP state. [Client]Dec 19 2022 22:14:50-08:00 Client %IFNET/4/LINK_STATE(l)[2]:The line protocol PPP IPCP on the interface Dialer1:0 has entered the UP state. [Client]
,