计算机网络-PPP与PPPoE协议

我们之前学习的大多是局域网LAN内常用的技术，但是我们总是需要访问Internet，需要访问百度、B站等等，那怎样让局域网访问外面的资源呢，其实我们已经学习过了NAT转换，但是那对于广域网的架构我们还是需要学习下的。

一、广域网概述

广域网是连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家，或横跨几个洲提供远距离通信，形成国际性的远程网络。

早期广域网与局域网的区别在于数据链路层和物理层的差异性，在TCP/IP参考模型中，其他各层无差异。

广域网络设备基本角色有三种，CE（Customer Edge，用户边缘设备）、PE （Provider Edge，服务提供商边缘设备）和P（Provider ，服务提供商设备）。

CE：用户端连接服务提供商的边缘设备。CE连接一个或多个PE，实现用户接入。
PE：服务提供商连接CE的边缘设备。PE同时连接CE和P设备，是重要的网络节点。
P：服务提供商不连接任何CE的设备。

简单说CE就是企业出口设备，PE就相当于光猫，P就是运营商内部设备。

早期广域网应用在CE和PE间一般使用PPP协议进行安全验证，以及现在的PPPoE协议。一般我们不需要关心运营商内部的网络。

二、PPP协议

2.1 概述

PPP（Point-to-Point Protocol，点到点协议）是一种常见的广域网 数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。
PPP提供了安全认证协议族PAP（Password Authentication Protocol，密码验证协议）和CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）。
PPP协议具有良好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。
PPP协议提供LCP（Link Control Protocol，链路控制协议），用于各种链路层参数的协商，例如最大接收单元，认证模式等。
PPP协议提供各种NCP（Network Control Protocol，网络控制协议），如IPCP（IP Control Protocol ，IP控制协议），用于各网络层参数的协商，更好地支持了网络层协议。

概况：PPP是数据链路层协议，提供了PAP和CHAP认证方式，可以扩展为PPPoE,使用LCP和NCP进行网络层参数协商。

2.2 协商过程

PPP链路的建立有三个阶段的协商过程，链路层协商、认证协商（可选）和网络层协商。

链路层协商：通过LCP报文进行链路参数协商，建立链路层连接。
认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证。使用PAP和CHAP认证
网络层协商：通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

链路层协商： PPP报文可由Protocol字段标识不同类型的PPP报文。例如，当Protocol字段为0xC021时，代表是LCP报文。此时又由Code字段标识不同类型LCP报文，如下表所示。 LCP报文格式 LCP协商由不同的LCP报文交互完成。协商由任意一方发送Configure-Request报文发起。如果对端接收此报文且参数匹配，则通过回复Configure-Ack响应协商成功。正常协商在LCP报文交互中出现LCP参数不匹配时，接收方回复Configure-Nak响应告知对端修改参数然后重新协商。协商失败

认证协商： 链路协商成功后，进行认证协商（此过程可选）。认证协商有两种模式，PAP和CHAP。

PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。
CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。

PAP: PAP

CHAP: CHAP

网络层协商： PPP认证协商后，双方进入NCP协商阶段，协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例，它分为静态IP地址协商和动态IP地址协商。

静态IP地址协商需要手动在链路两端配置IP地址。

动态IP地址协商支持PPP链路一端为对端配置IP地址。

协商过程概述：第一阶段协商比如请求类型、链路状态，第二阶段进行认证，第三阶段确定两端地址，保证从物理层到网络层两端参数都匹配才能开始传输数据。

配置示例：

# 配置接口封装PPP协议,需要使用S串口
[Huawei-Serial0/0/0] link-protocol ppp

# 服务器端，也就是验证端配置账号密码
# 配置验证方以PAP方式认证对端
[Huawei]aaa
[Huawei-aaa] local-user user-name  password { cipher | irreversible-cipher } password
[Huawei-aaa] local-user user-name service-type ppp

# 被验证方输入提前设置的账号密码
# 配置被验证方以PAP方式被对端认证，进入相连接口配置
[Huawei-Serial0/0/0] ppp pap local-user user-name password { cipher | simple } password

# 如果配置CHAP认证方式，两端配置稍有不同
# 配置验证方以CHAP方式认证对端
[Huawei-aaa] local-user user-name  password { cipher | irreversible-cipher } password
[Huawei-aaa] local-user user-name service-type ppp

# 修改验证方式，华为默认PAP
[Huawei-Serial0/0/0] ppp authentication-mode chap

# 配置被验证方以CHAP方式被对端认证
[Huawei-Serial0/0/0] ppp chap user user-name
[Huawei-Serial0/0/0] ppp chap password { cipher | simple } password

简单说就是一端配置账号密码，一端进行认证，方式有PAP和CHAP，要在对应的S口进行配置，验证通过才能开始传输数据。

三、PPPoE协议

3.1 PPPoE概述

PPPoE（PPP over Ethernet，以太网承载PPP协议）是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。

PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。 PPPoE报文

PPPoE其实就是我们现在用的拨号上网的方式，可以在以太网的基础上进行PPP认证，实现上网，运营商进行计费。

3.2 会话建立

PPPoE的会话建立有三个阶段，PPPoE发现阶段、PPPoE会话阶段和PPPoE终结阶段。

PPPoE协议发现有四个步骤：客户端发送请求、服务端响应请求、客户端确认响应和建立会话。发现阶段

PPPoE会话阶段会进行PPP协商，分为LCP协商、认证协商、NCP协商三个阶段。

当PPPoE客户端希望关闭连接时，会向PPPoE服务器端发送一个PADT报文，用于关闭连接。同样，如果PPPoE服务器端希望关闭连接时，也会向PPPoE客户端发送一个PADT报文。会话终结

3.3 配置示例

# 通过拨号规则来配置发起PPPoE会话的条件
[Huawei] dialer-rule

# 配置拨号接口用户名，此用户名必须与对端服务器用户名相同
[Huawei-Dialer1]dialer user username

# 将接口置于一个拨号访问组
[Huawei-Dialer1]dialer-group group-number  

# 指定当前拨号接口使用的拨号绑定
[Huawei-Dialer1]dialer-bundle number   

# 将物理端口与dialer-bundle进行绑定
[Huawei-Ethernet0/0/0]pppoe-client dial-bundle-number number

完整示例：

# 服务器端
interface Virtual-Template1
 ppp authentication-mode chap 
 remote address pool ppp
 ppp ipcp remote-address forced
 ip address 10.0.0.1 255.255.255.0 
aaa
 local-user admin password cipher %$%$A~V^OzCA%%loI4/-k+_@wG+I%$%$
 local-user admin service-type ppp
# 强制对端ip池
ip pool ppp
 gateway-list 10.0.0.1 
 network 10.0.0.0 mask 255.255.255.252 
 lease day 0 hour 2 minute 0 
 
# 绑定接口
interface GigabitEthernet0/0/0
 pppoe-server bind Virtual-Template 1
 
# 客户端
interface Dialer1
link-protocol ppp
ppp chap user admin
ppp chap password cipher %$%$hC,-2I/<$MpVSkReGa@$,.LI%$%$
ip address ppp-negotiate
dialer user admin
dialer bundle 1
dialer-group 1

# 放通规则
dialer-rule
 dialer-rule 1 ip permit
 
# 绑定端口
interface GigabitEthernet0/0/0
 pppoe-client dial-bundle-number 1

大概就是先创建一个虚拟的拨号模板，定义了账号密码以及获取地址的方式，然后绑定到物理接口上。服务器端事先配置账号密码以及分配的地址池。

总结：广域网区别局域网，由几部分组成：CE，局域网出口，PE，运营商连接CE端，P，运营商内部，我们只关注CE-PE端即可。一般使用PPP协议和PPPoE协议进行验证。实际中就是运营商分配一个账号密码，然后分配一个光猫，输入账号密码进行上网。

如果对文章感兴趣欢迎微信搜索公众号：不喜欢热闹的孩子