城域网BRAS之PPPOE

城域网华为BRAS有 ME60系列、NE40系列等，下图为华为ME60 X系列：

    BRAS （Broadband remote access server ）是一种面向宽带网络应用的接入网关设备。常用业务有家宽、OTV、专线、VPN等业务。

   一、 本次介绍BRAS之PPPOE协议

          1、 应用场景

用户通过PPPOE拨号到BRAS，通过3A服务器完成认证、计费，BRAS为用户分配IP。

1. 用户IPv4终端设备（如PC）通过CPE设备发起到BRAS设备的PPPoE协商，并且协商会话ID；

2. 在PPPoE协商完成后，进入PPP协商阶段，完成LCP阶段协商；

3. 在PPP认证协商阶段，BRAS设备向认证服务器（如AAA服务器）发起认证；

4. 认证成功后，进行IPCP协商，CPE设备从BRAS设备获取分配的IPv4地址；

5. 用户IPv4终端设备（如PC）通过CPE设备获取分配的内网地址，通过CPE设备所提供的NAT功能，使用BRAS分配的公网IP地址来访问外部网络IPv4网络；

  

   2、PPP认证方式

    常用的认证方式为PAP、CHAP以及MSCHAP

   （1） PAP（Password Authentication Protocol）密码验证协议

PAP使用明文的账号+密码认证，如果有此账号，就核实密码是否正确，如果密码不正确就释放链路，是两次握手，然而明文传输账号、密码容易造成泄露。

   （2）CHAP （Challenge Handshake Authentication Protocol）质询握手协议

CHAP为三次握手，加密传输密码。

CHAP认证如下：

           1、服务器向用户发送随即产生的challenge报文；

           2、拨号用户用自己的密码和服务器同样的MD5算法对随即报文进行加密，将生成的密文发送给认证方（Response）。

           3、服务器用自己保存的用户密码和MD5算法对随即报文进行加密，比较二者的密文，如果一样就进入NCP阶段，双方建立通信，如果不一致，则释放链路。

CHAP比PAP更安全，因为CHAP发送的“用户名+密码+随即数”。

         （3）MSCHAP

           MSCHAP是Microsoft对CHAP协议进行扩展后的认证协议，MSCHAP协议集成了加密算法和散列算法，适用于局域网用户。MSCHAP分为V1和V2两个版本。使用MSCHAP时，NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串，会话ID和用户口令的MD4哈希值。

         采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令，使用MSCHAP协议，客户端和NAS双方各自生成一个用于随后数据加密的起始密钥?

PPP的PAP和CHAP认证方法常用在PPPoE接入的认证中。PPPoE认证是接入认证中最广泛使用的一种认证方式，适合于按照时间计费的上网服务，但不适合作为IPTV这种组播场景下的认证方法。

    3、PPPOE上线认证流程

PPPOE属于链路层协议，主用是建立两段的PPP协议。

1. 用户客户端向BRAS设备发送一个PADI报文，开始PPPoE接入

2. BRAS向客户端发送PADO报文。

3. 客户端根据回应，发起PADR请求给BRAS。

4. BRAS产生一个Session ID，通过PADS发给客户端。

5. 客户端和BRAS之间进行PPP的LCP协商，建立链路层通信。同时，协商使用CHAP认证方式。

6. BRAS通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。

7. 客户端收到Challenge报文后，将密码和Challenge做MD5算法后，在Response回应报文中把它发送给BRAS。

8. BRAS将Challenge和用户名一起送到AAA服务器，由AAA服务器进行认证。

9. AAA服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到BRAS。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。

10. BRAS将认证结果返回给客户端。

11. 用户进行NCP（如IPCP、IPv6CP）协商，通过BRAS获取到规划的IP地址、IPv6接口ID等参数。

12. 认证如果成功，PPPoE服务器发起记费开始请求给RADIUS用户认证服务器；
    

13.  RADIUS用户认证服务器回应记费开始请求报文。 

    用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。

4、PPPOE 下线流程

        1) 用户通过PPPoE客户端，主动向PPPoE服务器发送Terminate-Request；

        2) PPPoE服务器向PPPoE客户端返回Terminate-Ack报文；

        3) PPPoE服务器向AAA服务器发送记费停止请求的报文；

        4) AAA服务器向认证点回记费停止请求报文的回应。

5、PPPOE报文 

        PADI（PPPoE Active Discovery Initiation）：PPPOE发现阶段的第一步，也即是由用户主机首先以广播的方式发送这样一个报文，用于发现访问集中器。

       PADO（PPPoE Active Discovery Offer）：PPPOE发现阶段的第二步，也即是由访问集中器回应各用户主机发送的PADI报文。

       PADR（PPPoE Active Discovery Request）：PPPOE发现阶段的第三步，也即是由用户主机向访问服务器发送单播的请求报文。

       PADS（PPPoE Active Discovery Session-confirmation）：PPPOE发现阶段的第四步，访问集中器对PADR报文的回应报文，会对会话分配一个唯一的会话进程ID。

       PADT（PPPOE Active Discovery Terminate）：PADT报文可能在会话进行开始之后的任意时间内被发送，主要是用来终止一个PPPOE会话。