双栈 授权和计费报文交互过程

PPPoE协商

PPPoE协商是Device为用户分配PPPoE接入用的Session ID，用来唯一标识一条用户与Device之间的PPPoE虚拟链路。PPPoE的协商过程如图6-1所示。

1. 用户广播一个PADI（PPPoE Active Discovery Initiation，PPPoE激活发现起始）报文，在此报文中包含用户想要得到的服务类型信息。

2. 以太网内的所有接入集中器（如图中的Device）在收到这个初始化报文后，将其中请求的服务与自己能提供的服务进行比较，其中可以为此用户提供此服务的Device回应PADO（PPPoE Active Discovery Offer，PPPoE激活发现服务）报文。

3. 用户可能会收到多个Device回应的PADO报文。用户根据一定的条件从返回PADO报文的Device中选定符合条件的Device，并向它返回一个会话请求报文PADR（非广播）（PPPoE Active Discovery Request，PPPoE激活发现请求），在PADR报文中封装所需的服务信息。

4. 被选定的Device在收到PADR报文后开始进入PPP会话阶段。它会产生一个会话标识以唯一的标识它和主机的这段PPPoE会话。并把这个特定的会话标识包含在会话确认报文PADS（PPPoE Active Discovery Session-confirmation，PPPoE激活发现会话确认）中回应给用户，如果没有错误发生就进入到PPP会话阶段，而用户在收到会话确认报文后如果没有错误发生也进入到PPP会话阶段。

图6-1 PPPoE协商过程

PPP协商

PPP协商包括LCP协商、PAP/CHAP认证、NCP协商等阶段。

• LCP协商

  进入PPP协商阶段后，首先开始LCP协商，LCP协商过程如图6-2所示：

  1. 用户与Device互相发送LCP Configure-Request报文。
  2. 双方收到Configure-Request报文后，根据报文中协商选项支持情况做出适当的回应（请参见表6-1）。若两端都回应了Configure-ACK，则标志LCP链路建立成功，否则会继续发送Request报文：
     • 如果在设定的LCP协商间隔与协商次数内，对端回应了Configure-ACK，则LCP链路建立成功。
     • 如果在超过了设定的LCP协商次数后，对端尚未回应Configure-ACK，则终止LCP协商。
  3. LCP链路建立成功后，Device会周期性的向用户发送LCP Echo-Request报文，然后接收对端回应的Echo-Reply报文，来探测LCP链路是否正常，以维持LCP连接。

  表6-1 回应报文类型列表

  回应报文类型	含义
  Configure-ACK	若完全支持对端的LCP选项，则回应Configure-ACK报文，报文中必须完全协带对端Request报文中的选项。
  Configure-NAK	若支持对端的协商选项，但不认可该项协商的内容，则回应Configure-NAK报文，在Configure-NAK的选项中填上本端期望的内容，如：对端MRU值为1500，而本端期望MRU值为1492，则在Configure-NAK报文中埴上1492。
  Configure-Reject	若不能支持对端的协商选项，则回应Configure-Reject报文，报文中带上不能支持的选项。

  图6-2 LCP协商的基本过程
  
  

• 认证阶段

  LCP协商完成后，进入认证阶段，分为PAP认证和CHAP认证两种认证方式。

  PAP认证

  PAP为两次握手协议，它通过用户名及密码来对用户进行认证，且以明文的方式传递用户名及密码，因此，适用于对网络安全要求相对较低的环境。PAP认证过程如图6-3所示：

  1. 被认证方发送本端的用户名及密码到认证方。
  2. 认证方根据本端的用户表查看是否存在此用户。
     • 若存在，则认证密码是否正确。
       • 若密码正确，则发送Authenticate-ACK报文到对端，通告对端已被允许进入下一阶段协商。
       • 若密码不正确，则发送Authenticate-NAK报文到对端，通告对端认证失败。
     • 若不存在，则认证失败。
      说明：

     认证失败后，不会直接将链路关闭。只有当认证不过次数达到一定值时，才会关闭链路。

  图6-3 PAP认证流程
  

  CHAP认证

  CHAP为三次握手协议。只在网络上传输用户名，并不传输用户密码，因此它的安全性要比PAP高。CHAP的认证如图6-4所示。

  1. 认证方主动发起认证请求，认证方向被认证方发送一些随机产生的报文（Challenge），并同时将本端的用户名附带上一起发送给被认证方。
  2. 被认证方接到认证方的认证请求后，先检查本端接口上是否配置了CHAP密码，
     • 若已配置CHAP密码，则被认证方通过MD5算法对报文ID、配置的密码进行加密，将生成密钥和自己的用户名发回认证方（Response）。
     • 若未配置CHAP密码，则根据此报文中认证方的用户名在本端的用户表查找该用户对应的密码，用报文ID、此用户的密码和MD5算法对该随机报文进行加密，将生成的密文和被认证方自己的用户名发回认证方（Response）。
  3. 验证方用自己保存的被验证方密码和MD5算法对原随机报文加密，比较二者的密文，若比较结果一致，认证通过，若比较结果不一致，认证失败。

  图6-4 CHAP认证流程
  

• NCP协商

  NCP协商主要功能是协商PPP报文的网络层参数，如IPCP、IPv6CP等，其中最为常见的是IPCP协议。PPPoE用户主要通过IPCP协议来获取访问网络的IP地址或IP地址段。

  如图6-5所示，NCP流程与LCP流程类似，用户与Device之间互相发送Configure-Request报文并且互相回应Configure-ACK报文后，标志NCP协商成功，可以正常访问网络。

  图6-5 NCP的基本协商流程
  

  下面将介绍NCP协商中常见的IPCP协议及IPv6CP协议。

  • IPCP

    IPCP协商过程是基于PPP状态机进行协商的。经过双方协商，通过配置请求、配置确认、配置否认等报文交换配置信息，最终IPCP状态由initial（或closed）状态变为Opened状态。IPCP状态变为Opened的条件必须是发送方和接收方都发送和接收过确认报文。

    IPCP协商过程中，协商报文可包含多个选项，即参数，如IP Address、网关、掩码等。各个选项的拒绝或否认都不影响IPCP的协商成功，此外，IPCP还支持无选项协商。

  • IPv6CP

    IPv6控制协议（IPv6CP）是一种网络控制协议。IPv6CP主要负责在点对点链路终端双方上配置，可用及停用IPv6协议模块，可协商的参数包括接口ID和IPv6压缩协议。IPv6CP使用与链路控制协议（LCP）相同的包交换机制。但只有在PPP达到网络层协议阶段时，IPv6CP包才可以被交换。在达到这种阶段前接收的IPv6CP包需要被丢弃。

    目前，IPv6CP协商的选项只支持接口ID的协商，不支持IPv6压缩协议的协商。

    IPv6网络中，PPP用户与IPoE用户都需要使用ND协议或DHCPv6协议完成全球单播地址和配置信息的分配，使用DHCPv6协议的IA_PD选项完成CPE路由模式下LAN口IPv6前缀的分配。

根据PPPoE会话起止点所在位置不同，有两种组网结构。

• 第一种组网结构如图6-6所示，在设备之间建立PPP会话，所有主机通过同一个PPP会话传送数据，主机上不用安装PPPoE客户端拨号软件，一般是一个企业（公司）共用一个账号（图中的CPE为PPPoE客户端设备，位于企业/公司内部，PPPoE服务器是运营商的设备）。

  图6-6 PPPoE组网图
  
• 第二种组网结构如图6-7所示，PPP会话建立在Host和运营商的设备之间，为每一个Host建立一个PPP会话。每个Host都是PPPoE客户端，运营商的设备作为PPPoE服务器。每个Host一个帐号，方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。这种组网适用于校园、小区等环境。

  图6-7 PPPoE组网图