第6章以太网接入技术6.1.1以太网接入及其优点1.以太网接入以太网接入技术是从传统的以太网技术上发展而来的一种宽带接入技术。利用以太网技术把以前在局域网上的应用拓展到公用电信网的接入网中,来解决用户的宽带接入问题。2.以太网接入优点(1)协议简单、成熟,设备的兼容性好。(2)设备廉价(3)以太网技术与IP技术无缝融合6.1以太网接入技术概述6.1.2以太网接入技术在应用中存在的问题以太网技术和其它局域网技术一样,主要是针对小型的私有网络环境而设计的,适用于办公环境。如果将这种适用于私有网络环境的技术不加改造地照搬到公用网络环境中,必然会出现很多问题。(1)认证计费问题。(2)用户信息的隔离。(3)服务质量(QoS)保证。6.2以太网接入的主要技术利用虚拟局域网(VirtualLAN,VLAN)技术可以解决接入用户之间的信息隔离问题,VLAN把局域网交换机的每个端口配置成一个独立的VLAN,享有独立的VID(VLAN的标识),并且对应于每个用户。1.VLAN方式的网络结构如图6-1所示6.2.1用VLAN隔离用户信息InternetPC1PC2PCn局域网交换机路由器图6-1VLAN方式的网络结构2.VLAN解决方式的局限(1)无法对用户进行认证、授权为了识别用户的合法性,可以将用户的IP地址与该用户所连接的端口VID进行绑定,这样设备可以通过核实IP地址与VID来识别用户是否合法,但是,这种解决方案带来的问题是用户IP地址与所在端口捆绑在一起,只能进行静态IP地址的配置(2)地址利用率低每个用户处在逻辑上独立的网内,所以对每一个用户至少要配置一个子网的4个IP地址:子网地址,网关地址,子网广播地址和用户主机地址,这样会造成地址利用率极低。目前主流的以太网宽带接入管理技术有:PPPoE、IEEE802.1x。1.PPPoE技术基于以太网的点对点通信协议(PointtoPointProtocoloverEthernet,PPPoE)是为了满足宽带接入而制定的新标准,它基于2个被广泛接受的标准:局域网Ethernet和PPP点对点拨号协议。由于采用动态分配IP地址方式,用户拨号后无需自行配置IP地址、网关、域名等,它们均是自动生成,不存在用户自行更改IP地址的问题,对用户管理方便,而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装,这两个封装加起来也只有8个字节,广播开销很小6.2.2以太网接入管理技术2.PPPoE的实现过程PPPoE协议共包括两个阶段,即PPPoE的发现阶段(PPPoEDiscoveryStage)和PPPoE的会话阶段(PPPoESessionStage)。(1)发现阶段当一个主机希望发起一个PPP会话时,首先必须通过发现阶段去确认对端的以太MAC地址,并建立一个PPPoE的会话标识。发现阶段建立的是一种客户服务器的关系。发现阶段可分为以下四个步骤:①主机在本以太网内广播一个PADI包,在此包中包含主机想要得到的服务类型信息。②以太网内所有接入服务器在收到这个初始化包后,的接入服务器发回PADO包。③主机可能收到多个服务器的PADO包,通过PADO的内容,依据一定的条件从发回的PADO包可提供服务的接入服务器中挑选一个,并向它发回一个会话请求包PADR(非广播),在这个包中再次包含所想得到的服务信息。④被选定的接入服务器收到会话请求包PADR后,就开始备进入PPP会话阶段。(2)会话阶段PPPoE的会话阶段也称PPP数据传输阶段。在这个阶段双方在这点对点的PPPoE逻辑链路上传输PPP数据帧,PPP数据帧封装在PPPoE数据报文中,PPPoE数据报文封装在以太网帧的数据域中传输。PPP具有链路创建阶段、认证阶段和网络协商阶段。①PPP链路创建阶段在PPP链路创建阶段,利用LCP创建链路。链路两端设备通过LCP向对方发送配置信息报文(ConfigurePacket)。另一端返回配置确认报文(Configure-Ackpacket),就完成了配置信息交换,则PPP链路建立。②用户验证在这个阶段,客户端会将自己的身份发送给远端的接入服务器认证。最常用的认证协议有口令验证协议(PAP)和挑战握手验证协议(CHAP)。③调用网络层协议认证阶段完成之后,PPP将调用在链路创建阶段选定的各种网络控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题,例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。3.PPPoE报文格式所有的PPPoE的数据报文均是被封装在以太网的数据域(净载荷区)中传送的。(1)以太网的帧格式目前大多数的网络中都在使用以太网2.0版(EthernetII),它被作为一种事实上的工业标准而广泛使用,如图为以太网的帧格式。目标MAC地址(6字节)源MAC地址(6字节)类型(2字节)数据(46-1500字节)帧校验(4字节)•以太网目的地址(目的MAC地址)和以太网源地址(源MAC地址):是我们大家最为熟悉的数据链路层地址。它包括单播地址、多播地址和广播地址,而对于PPPoE协议中要使用到单播地址和广播地址。•以太网类型域:指明数据域中承载的数据报文的类型,对于PPPoE的两大阶段,也正是通过以太网的类型域进行区分的。在PPPoE的发现阶段时,以太网的类型域填充0x8863;而在PPPoE的会话阶段时,以太网的类型域填充为0x8864。•数据域(净载荷):主要是用来承载类型域中所指示的数据报文。•校验域:主要用来保证链路层数据帧传送的正确性。(2)PPPoE的数据报文格式PPPoE报文分成两大块:一块是PPPoE的数据报头,另一块是PPPoE的净载荷(数据域),如图为PPPoE报文的格式版本类型代码会话ID长度域净载荷(数据域)版本域:4位,填充内容0x01。类型域:4位,填充内容0x01。代码域:1个字节,对于PPPoE的不同阶段这个域内的内容也是不一样的。会话ID:2个字节,当访问集中器还未分配唯一的会话ID给用户主机的话,则该域内的内容必须填充为0x0000,一旦主机获取了会话ID后,那么在后续的所有报文中该域必须填充那个唯一的会话ID值。长度域:2个字节,用来指示PPPoE数据报文中净载荷的长度。数据域:有时也称之为净载荷域,在PPPoE的不同阶段该域内的数据内容会有很大的不同。在PPPoE的发现阶段时,该域内会填充一些Tag(标记);而在PPPoE的会话阶段,该域则携带的是PPP的报文。4.PPPoE认证的优缺点(1)PPPoE认证的优点:①PPPoE很容易检查到用户下线,可通过一个会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。②PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。③PPPoE是传统PSTN窄带拨号接入技术在以太网接入技术的延伸,和原由窄带网络用户接入认证体系一致,最终(2)PPPoE认证的缺点:①PPPoE在发现阶段会产生大量的广播流量;②PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低;③PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵;④组播业务开展比较困难;⑤用户端PC设备必须安装PPPoE客户端软件6.2.3802.1x技术1.802.1x认证的体系结构802.1x的体系结构如图所示。它的体系结构中包括三个部分:请求者系统、认证系统、认证服务器系统。请求者PEA认证系统提供的服务认证系统PEA认证服务器请求者系统认证系统认证服务器系统受授端口非受授端口EAPoLLANEAPoP/CHAR/PAP等①请求者系统请求者是位于局域网链路一端的实体,请求者通常是支持802.1x认证的用户终端设备。②认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。③认证服务器系统认证服务器是为认证系统提供认证服务的实体,2.802.1x工作过程①用户通过IEEE802.1x客户端软件发起认证(EAPoL报文)报文给交换机。②交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。③客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。④认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。⑤客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理,并通过交换机传给认证服务器。⑥认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开受控端口的指令,允许用户的业务流通过端口访问网络。3.802.1x认证的优缺点(1)802.1x认证的优点①802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。②通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。③业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求(2)802.1x认证的缺点:①需要特定客户端软件②网络现有楼道交换机的问题:存在对已经在网上的用户交换机的升级处理问题;③IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;④计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。6.2.4PPPoE与802.1x认证方式的比较PPPoE认证方式成熟,计费准确,能够较好地控制用户属性,但BAS价格昂贵,容易造成单点故障。802.1x简洁高效,纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。更加适合在宽带以太网中的使用。两种认证技术比较如表所示认证方式PPPoE802.1x标准程度RFC2516IEEE标准封装开销较大小IP地址认证后分配认证后分配多播支持差好客户端软件需要需要对设备的要求较高(BAS)低6.2.5基于VLAN+PPPoE的以太网接入技术方案VLAN+PPPoE接入是一种比较理想的宽带接入,VLAN+PPPoE网络结构如图。VLAN+PPPoE方案可以解决用户数据的安全性问题,同时由于PPP协议提供用户认证,授权以及分配用户IP地址的功能,所以不会造成上述VLAN方案所出现的问题。PC1PC2PCn局域网交换机路由器宽带接入服务器BRASPPP6.3IEEE802.3ah以太接入网6.3.1IEEE802.3ah概要IEEE802.3ah项目的研究范围包括宽带以太网必备的所有技术要素,包括25运行在铜线、点对点光纤、点对多点光纤上的物理层规范,运行管理与维护的通用机制,形成对商业和住宅用户提供宽带业务的能力等。6.3.2铜线以太接入1.短距离铜线以太接入标准在802.3ah中定义了短距离铜线以太接入模式10PASS-TS,其主要特点是:•基于ITU-TG.993、ANSIT1.424(VDSL)•