BRAS技术与认证

更新时间：2023-12-14 15:59:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

bras技术主要分为哪几层推荐度：
相关推荐

BRAS技术与认证

第一章宽带接入服务器原理 ..................................................................................................................... 2 1.1 1.2

宽带接入服务器定义 ........................................................................................................................ 2

宽带接入服务器的系统介绍 ............................................................................................................ 3 1.2.1硬件设计结构 ................................................................................................................................................. 3 1.2.2接口类型和接入方式 ..................................................................................................................................... 3 1.2.3接入数量 ......................................................................................................................................................... 4 宽带接入服务器的扩展功能 ............................................................................................................ 4 1.3.1业务选择 ......................................................................................................................................................... 4 1.3.2 QoS支持 ......................................................................................................................................................... 5 1.3.3 VPN（虚拟专用网络）实现 .......................................................................................................................... 5 1.3.4端口批发 ......................................................................................................................................................... 5 1.3.5组播支持 ......................................................................................................................................................... 5 1.3.6 IP流量的转发管理，实现防火墙功能 ....................................................................................................... 6

1.3

第二章设备功能原理 ................................................................................................................................. 6 2.1设备体系结构 ........................................................................................................................................ 6 第三章 PPP和MP ......................................................................................................................................... 9 3.1 PPP和MP简介 ...................................................................................................................................... 9 3.1.1 PPP的引入 ..................................................................................................................................................... 9 3.1.2 PPP的简介 ................................................................................................................................................... 10 3.1.3 PPP的基本构架 ........................................................................................................................................... 10 3.1.4 PPP报文格式 ............................................................................................................................................... 11 3.1.5 MP简介 ......................................................................................................................................................... 14 3.2 PPP的运行过程 .................................................................................................................................. 14 3.2.1 PPP的协商过程 ........................................................................................................................................... 14 3.2.2 PPP的PAP验证协议 ................................................................................................................................... 16 3.2.3 PPP的CHAP验证协议 ................................................................................................................................. 19 3.3 PPP的报文压缩 .................................................................................................................................. 22 第四章 PPPoE ............................................................................................................................................. 23 4.1 PPPoE简介 .......................................................................................................................................... 23 4.1.1 PPPoE的引入 ............................................................................................................................................... 23 4.1.2 PPPoE简介 ................................................................................................................................................... 23 4.1.3 PPPoE的数据帧 ........................................................................................................................................... 23 4.2 Discovery阶段 .................................................................................................................................. 24 4.2.1 Discovery阶段简介 ................................................................................................................................... 24 4.2.2 PADI数据包 ................................................................................................................................................. 29 4.2.3 PADO数据包 ................................................................................................................................................. 29 4.2.4 PADR数据包 ................................................................................................................................................. 30 4.2.5 PADS数据包 ................................................................................................................................................. 30 4.2.6 PADT数据包 ................................................................................................................................................. 30 4.3 PPP会话阶段 ...................................................................................................................................... 31

BRAS技术与认证

4.4 PPPoE注意事项 .................................................................................................................................. 31 4.4.1 LCP方面 ....................................................................................................................................................... 31 4.4.2安全方面 ....................................................................................................................................................... 32 4.4.3其它方面 ....................................................................................................................................................... 32 4.5 PPPoE的应用 ...................................................................................................................................... 32 第五章 AAA及用户管理 ............................................................................................................................ 34 5.1 AAA简介 .............................................................................................................................................. 34 5.1.1 AAA的引入 ................................................................................................................................................... 34 5.1.2 AAA的基本构架 ........................................................................................................................................... 35 5.1.3 AAA的基本概念 ........................................................................................................................................... 36 5.2 RADIUS协议简介 ................................................................................................................................ 36 5.2.1 RADIUS协议的概述 ..................................................................................................................................... 36 5.2.2使用RADIUS协议对用户进行认证、计费的流程 ..................................................................................... 37 5.2.3 RADIUS协议的特性 ..................................................................................................................................... 37 5.3基于域的用户管理 .............................................................................................................................. 38 5.3.1基于域的用户管理概述 ............................................................................................................................... 38 5.3.2路由器对接入用户的管理 ........................................................................................................................... 38 5.3.3 AAA对PPP用户的地址分配原则 ............................................................................................................... 38 5.4 AAA及用户管理的应用 ...................................................................................................................... 39 5.4.1使用RADIUS对接入用户进行管理 ............................................................................................................. 39

第一章宽带接入服务器原理 1.1 宽带接入服务器定义

宽带接入服务器（Broadband Remote Access Server,BRAS）是面向宽带网络应用的新型接入网关。它位于骨干网络的汇接层或边缘层，可以完成用户带宽的（或高速的）IP/ATM网的数据接入（目前接入手段主要基于xDSL/Cable modem/高速以太网技术/无线宽带数据接入等），实现多种业务的汇聚和转发，解决不同用户对传输容量﹑带宽利用率的要求,为用户提供VPN服务、构建企业内部Intranet、支持ISP向

BRAS技术与认证

用户批发业务等应用，以达到对各种宽带数据网络的综合管理。

下图为宽带接入服务器的网络定位参考图。

宽带接入服务器的网络定位参考图

BRAS是IP城域网骨干层中的重要设备，是联系宽带接入网和骨干网络之间的桥梁。它承担着宽带接入网络的管理工作，完成宽带IP/ATM网的数据接入，实现网络的IP接入一体化，解决宽带用户在业务上、流量上和管理上的汇聚，达到了用户终端只通过一条网络连接便可以灵活、自主、方便地选择服务网络的目的，是目前城域网汇接／分配层中的核心设备。 1.2 宽带接入服务器的系统介绍 1.2.1硬件设计结构

宽带接入服务器具有高速、高效的包转发特性，在性能上有效地解决宽带网络高性能、高负荷、高突发所带来的问题，具有至少2G以上的交换背板容量，100Kpps以上的独立包转发性能。从硬件系统结构上看，宽带接入服务器已从早期低效的集中式包处理结构向当前分布式处理结构演变，前后插板（接口板和处理板）的设计思路成为主流。采用这样的系统结构，处理模块可以直接处理来自同一槽位接口模块的用户流量，而且对于输出在同一槽位上的网络流量能够不经过系统背板和交换矩阵模块直接进行转发，从而有效减轻系统负荷。另一方面，为了理想地实现在不同槽位间的包转发，系统结构必须提供高容量、相对独立、有冗余备份能力的系统交换矩阵模块和相应容量的背板总线，保证宽带接入服务器总体性能随接口模块增加呈线性增长的态势。 1.2.2接口类型和接入方式

为了实现对各种宽带接入类型的支持，宽带接入服务器提供了丰富的接口类型。如今，在用户侧方面，宽带接入服务器已经可以提供：

☆DS3/OC3/OC12的ATM光接口,实现纯ATM接入或DSLAM（DSL的用户集中器）的接入 ☆提供100/1000M快速以太网接口,实现局域网用户和HFC用户的接入

BRAS技术与认证

☆提供高密度信道化或非信道化E1/T1/DS3的帧中继接口,实现帧中继用户的接入在网络侧方面, 宽带接入服务器已经可以提供： ☆ 100/1000M快速以太网接口 ☆OC3/OC12的ATM接口

☆ OC12的POS接口，实现流量的汇聚转发

与以往窄带拨号服务器不同的是，宽带接入服务器接入过程依托于底层（数据链路层，主要是ATM层和以太网层）对数据包的封装重组。利用底层的技术特点，不仅在接入组网方式上灵活多变，而且可以有效地捆绑上ATM和以太网自身的技术优势，实现服务质量保证。具体来说：

☆通过RFC1490和RFC1483第二层的桥接技术，RFC1577第三层的IP路由技术，实现宽带用户的静态IP接入

☆通过PPP Over ATM和PPP Over Ethernet实现用户的动态IP接入 ☆通过L2TP的二层VPN隧道技术，实现企业用户和小型ISP的VPN接入要求

宽带接入主流的应用方向是PPP接入方式。而在PPP接入技术中，由于PPPOE可以适用于多种接入网络，应用灵活，易于实现业务选择，同时又保护目前用户的已有投资。 1.2.3接入数量

由于以往拨号接入服务器采用TDM技术，系统通过每一个DS0时隙接收来自PSTN网络的数据，系统的最大接入数就是系统可以终结的DS0时隙数，也就是系统可以集成的最大Modem数。这种基于时隙交换的技术，要想扩大系统接入数量在一定程度上只能通过扩大系统的集成度来实现，具有相当的局限性。在宽带网络中，宽带接入服务器由接口处理模块直接完成对各种协议栈的封装重组处理，比如：PPPOE或PPPOA的呼叫。由于ASIC（专用集成电路）技术的引入，系统包处理能力显著提高，接入实现的时长大大降低（通常要求小于5秒，包括RADIUS认证时间）；系统各处理模块的合理配合使得系统更加稳定，而且能够很好地完成对多用户并发接入情况的调度处理。目前，一台中等规模的宽带接入服务器应能支持8000个以上的并发PPP（包括PPPOA和PPPOE）呼叫，大型的宽带接入服务器可以实现100K个呼叫接入。 1.3 宽带接入服务器的扩展功能 1.3.1业务选择

目前主要采用两种模式：由终端直接进行业务选择模式和统一通过后台服务选择网关模式。 ☆终端直接进行业务选择模式：首先是通过拨号软件由用户进行业务选择，然后利用远端RADIUS服务器对用户进行业务授权确认，最后激活接入服务器内部相应的业务模型实现业务的指向。但是，采用这

BRAS技术与认证

种业务选择方式，终端用户无法直观地、全面地获知宽带接入服务器提供的各种业务类型，增加了终端用户的实际操作，具有一定的局限性。另一方面，用户要实现业务间的切换必须重新进行虚拟拨号，实现上也不方便。

☆后台服务选择网关模式：用户通过PPP或DHCP方式接入并动态得到IP地址后，被强制访问与宽带接入服务器直连的服务选择网关。在用户终端一般可以通过Web的交互式界面得到可选择业务的相关信息，填入相应的用户数据后，通过远端RADIUS对申请进入这一业务的用户进行授权认证，然后根据业务的不同对用户实行必要的IP覆盖，最后仍然是通过激活接入服务器内部相应的业务模型实现业务的选择。

其实，这两种选择模式的实现内核基本趋于一致，业务选择的核心都是在宽带接入服务器实现，差别仅仅在用户接口形式上。但是，从运营的实际需要出发，采用后台服务选择网关模式不仅大大提高了接入用户操作的透明度，减少了用户终端的配臵过程，而且可以起到业务门户的作用，为下一步的服务扩展提供空间。 1.3.2 QoS支持

前面所述，宽带接入服务器支持ATM和FR接入。显而易见，通过ATM或FR自身的QoS实现机理就可以很好地解决用户的QoS问题。但是不要忘记，在宽带接入服务器中除了ATM和FR接入外，还有各种类型的纯IP接入。对于这一类型的接入流量，可以利用IP报头的服务类型标记（ToS）字段。通过业务发起侧对IP包打上相应的ToS标记，在接入服务器内部进行相应的流量映射或业务映射，区分各种流量等级，实现网络的QoS。

1.3.3 VPN（虚拟专用网络）实现

目前，在网络第二层的VPN实现上，宽带接入服务器提供L2TP隧道加密技术。它一般既可以作为LAC（L2TP访问集中器），也可以作为LNS（L2TP网络服务器），组网应用灵活。在网络第三层的VPN实现上，由于IPSec是较新的协议标准，因此这种VPN的实现还不普及。如今只有部分的宽带接入服务器开始支持该项功能。 1.3.4端口批发

在宽带接入服务器中可以通过划分VLAN或创建虚拟路由器（Virtual Router）的方式来实现。这些技术的实现，在本质上都是将系统进行子资源划分，在每一个子系统中独立完成网络二、三层的相应功能，完成端口批发业务。其实，站在VPN的角度上看，我们也可以认为端口批发业务是实现VPN应用的另一途径，且应用灵活方便。 1.3.5组播支持

宽带接入服务器必须支持组播，在网络层上完成组播视频流的末端分发。网络主机安装相应的组播应用程序来支持组播协议，通过主动提出组播申请，选择所需的组播服务，以使之连接到本地支持IGMP的路由器或组播服务器上。宽带接入服务器主要起到转发在网络终端和支持IGMP的组播服务器或路由器之间的组播流量。第一、二版的协议标准，但是在很大程度上仅仅是扮演着IGMP代理（Proxy）或IGMP欺

BRAS技术与认证

骗（Snooping）的角色，简单地完成网络末端组播包的透明传递和分发，终端用户感觉不到与实际应用时的不同。为了进一步提高宽带接入服务器组播应用的灵活性，一些设备厂商在实际的产品中已经开始对组播路由协议（如：PIM，DVMRP等）的支持。 1.3.6 IP流量的转发管理，实现防火墙功能

宽带接入服务器的IP流量转发管理主要是根据不同用户的实际权限向用户提供相应的接入能力，在一定程度上完成IP防火墙的功能，实现内部网络安全。IP的流量转发管理在很大程度上是与宽带接入服务器的VPN和业务选择相捆绑，与上层骨干边缘路由器相配合，灵活有效地实现对各种业务类型的IP分离。在技术实现上，该功能可以通过自身IP包过滤（IP Filter），针对不同业务灵活分配IP地址段和网络侧NAT（网络地址翻译）来实现。同时，从网络安全的角度出发，宽带接入服务器还应该提供防IP攻击和IP欺骗的功能。

承前所述，宽带接入服务器主要是为了适应当前各种DSL接入应用要求，尤其是ADSL接入。从全网来看，宽带接入服务器既是全网接入业务的单一汇聚点，又是用户业务流量的统一转发点。如今，以光通信为代表的新一轮数据骨干网络和接入网络迅猛发展，这对宽带接入服务器在各方面都提出了更高的要求。宽带接入服务器在性能上的提高集中表现在接入处理能力方面、交换容量方面和接口带宽、密度方面。从各厂商的发展计划上看，下一代大型宽带接入服务器的系统性能要求达到：

☆交换容量至少40G；

☆同时支持的PPP呼叫数目达到20K； ☆可配臵用户数达到100K； ☆独立包转发能力达到1Mpps以上。第二章设备功能原理 2.1设备体系结构

1. 系统内部组成

包括交换网络/时钟模块（主要包括交换网络单元和线路时钟单元）、线路接口及处理模块（主要包括FE/GE、ATM 和POS 等种类端口）、主控模块、业务处理模块、高速背板，整个系统的内部功能模块组成与相互关系框图如下图所示：

BRAS技术与认证

从图中可以看到，交换网络单元采用双平面结构，两交换平面同时工作，所有与交换网络单元连接的功能模块（主控模块、线路接口模块、业务处理模块）同时输出两路待交换的定长数据包上交换网络的两个平面，经交换网络交换后的数据包分别送往相应功能模块，由该功能模块的板上逻辑决定采用哪个平面的输入数据。

BRAS设备逻辑上具体可以分为如下几个部分： ? ? ? ? ? 交换网络/时钟模块主控模块

线路接口及处理模块业务处理模块高速背板模块

各模块具体功能如下： ? 交换网络/时钟模块

交换网络/时钟模块包含了交换网络和时钟两个子模块，共同集成于NET 板中，主要完成定长数据包交换和向系统提供同步的线路时钟，其中交换网络单元采用双平面结构，线路时钟单元采用主从同步的双平面方式工作。整机一般需要配臵两块NET 板，以双平面形式工作，两块NET 板各自接收同样的输入并各自分别输出结果，接收该信号的单板根据当前状况或系统需要对两工作平面输出的信号进行选择，以获得更良好的信号保证。

? 主控模块

模块完成系统配臵、状态监视、计费代理、检测功能、倒换控制、呼叫处理和路由协议处理等功能。 ? 线路接口及处理模块

包含输入/输出接口单元（I/O）和线路处理单元两部分。线路接口及处理模块提供基本的业务处理能力，IP 业务流业务的接入，并带有分布转发功能，此外还可处理PPPoE、PPPoA、IPoA、VLAN 等业务流，分为LPUx（包括LPUA、LPUB、LPUC 和LPUD）和LPUH 两种，LPUx 提供纯粹的线路接口及处理功能，LPUH 还能提供基本BAS 功能。线路接口模块分为ATM 线路接口模块与帧线路接口模块两种：ATM 线路接口模

BRAS技术与认证

块主要提供各种ATM 特性接口和ATM 业务引擎，完成ATM物理层和ATM 层的主要功能，并根据链路信息对用户数据流进行处理和排队工作。帧线路接口模块主要负责IP 业务的接入，具有分布转发功能，并向用户提供各种物理层和二层接口。线路接口模块由I/O 扣板提供，通过选择不同的扣板，可以配臵上不同的接口，如FE 接口、GE 接口、ATM 接口、POS 接口。

? 业务处理模块

业务处理板可以加载不同的软件来分别完成BAS、PORTAL 和NAT 功能，处理能力强大。业务处理相对接口数据，属于资源共享或分布式业务处理，当采用资源共享方式时，相对接口的数据处理就可动态分配，线路接口升级灵活。

? 高速背板模块

提供了各单板高速信号线和控制线的互联通道。

BRAS技术与认证

第三章 PPP和MP

3.1 PPP和MP简介

3.1.1 PPP的引入

PPP（Point-to-Point Protocol）是一种点到点方式的链路层协议，是在SLIP协议的基础上发展起来的。

SLIP协议的基本概念

串行线IP协议（Serial Line IP）协议出现在80年代中期，它是一种在串行线路上封装IP包的简单形式，它并不是Internet的标准协议。

因为SLIP简单好用，所以后来被大量使用在线路速率从1200bit/s到19.2Kbit/s的专用线路和拨号线路上，互连主机和路由器。并被使用在BSD UNIX主机和SUN的工作站上，到目前为止仍有部分UNIX主机支持该协议。

在80年代末90年代初期，SLIP被广泛用于家庭计算机和Internet的连接。一般这些计算机都用RS232串口和调制解调器连接到Internet。

SLIP的帧格式由IP包加上END字符组成。通过在被发送IP数据报的尾部增加特殊的END字符（0xC0）从而形成一个简单的SLIP的数据帧，而后该帧会被传送到物理层进行发送。END是判断一个SLIP帧结束的标志。

SLIP帧格式

IP PacketsEND(0xC0)

为了防止线路噪声被当成数据报的内容在线路上传输，通常发送端在被传送数据报的开始处也传一个END字符。如果线路上的确存在噪声，则该数据报起始位臵的END字符将结束这份错误的报文。这样当前正确的数据报文就能正确的传送了，而前一个含有无意义报文的数据帧会在对端的高层被丢弃，不会影响下一个数据报文的传送。

SLIP协议的缺点

SLIP只支持IP网络层协议，不支持IPX等网络层协议。并且，因为帧格式中没有类型字段，致使如果一条串行线路如果用于SLIP，那么在网络层只能使用一种协议。

SLIP不提供纠错机制，错误只能依靠对端的上层协议实现。

BRAS技术与认证

由于SLIP协议只支持异步传输方式、无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在以后的发展过程中，逐步被PPP协议所替代。 3.1.2 PPP的简介

点到点的直接连接是广域网连接的一种比较简单的形式，点到点连接的线路上链路层封装的协议主要有PPP和HDLC。但是HDLC协议只支持同步方式，而PPP协议支持同、异步两种传输方式，因此得到广泛的应用。

从1994年至今，PPP协议本身并没有太大的改变，但由于PPP协议所具有的其他链路层协议所无法比拟的特性，它得到了越来越广泛的应用，其扩展支持协议也层出不穷，随之而来的是PPP协议功能的逐步强大。

PPP协议是一种在点到点链路上传输、封装网络层数据包的数据链路层协议。PPP协议处于OSI（Open Systems Interconnection）参考模型的数据链路层，同时也处于TCP/IP协议栈的链路层，主要用在支持全双工的同异步链路上，进行点到点之间的数据传输。 3.1.3 PPP的基本构架 PPP在协议栈中的位臵

SNMPTELNETSOCKETTCPICMPIPARPPPPPhysical LayerUDPFTPRADIOUS PPP主要由三类协议组成：

? ?

链路控制协议族（Link Control Protocol），主要用来建立、拆除和监控PPP数据链路。网络层控制协议族（Network Control Protocol），主要用来协商在该数据链路上所传输的 PPP扩展协议族（如PPPoE）主要用于提供对PPP功能的进一步支持。随着网络技术的不断发

数据包的格式与类型。

展，网络带宽已不再是瓶颈，所以PPP扩展协议的应用也就越来越少了。人们在叙述PPP协议的时候经常会忘记它的存在。

同时，PPP还提供了用于网络安全方面的验证协议族(PAP和CHAP)。

BRAS技术与认证

3.1.4 PPP报文格式 PPP报文格式

PPP报文封装格式Flag01111110AddressControl1111111100000011Protocol8/16bitsInformationFCS16bitsFlag01111110LCP报文封装格式Code8bitsIdentifier8bitsLength16bitsData……LCP报文配置参数选项的封装格式Type8bitsLength8bitsData……Type8bitsLength8bitsData…………

PPP报文封装的帧格式

真正属于PPP报文内容的是Address、Control、Protocol、Information域所包含内容。各字段的含义如下。

Flag域 Address域

Flag域标识了一个物理帧的起始和结束，该字节为0x7E。

Address域是“11111111”表示此为PPP广播地址。PPP协议是被运用在点对点的链路上，它可以唯一标识对方。因此使用PPP协议互连的通信设备的两端无须知道对方的数据链路层地址。所以该字节已无任何意义，按照协议的规定将该字节填充为全1的广播地址。

Control域

同Address域一样，PPP数据帧的Control域也没有实际意义，按照协议的规定通信双方将该字节的内容填充为0x03。Address、Control域一起表示了此报文为PPP报文，即PPP报文头为FF03。

Protocol域

协议域可用来区分PPP数据帧中信息域所承载的数据报文的内容。协议域的内容必须依据ISO 3309的地址扩展机制所给出的规定。该机制规定协议域所填充的内容必须为奇数，也就是要求低字节的最低位为“1”，高字节的最低位为“0”。如果当发送端发送的PPP数据帧的协议域字段不符合上述规定，则接收端会认为此数据帧是不可识别的。接收端会向发送端发送一个 Protocol-Reject报文，在该报文尾部将完整地填充被拒绝的报文。

Information域

信息域缺省时最大长度不能超过1500字节，其中包括填充域的内容。1500字节大小等于PPP协议中配臵参数选项MRU（Maximum Receive Unit）的缺省值。在实际应用当中可根据实际需要进行信息域最大封装长度选项的协商。信息域如果不足1500字节时可被填充，但不是必须的。如果填充则需通信双方的两端能辨认出有用与无用的信息方可正常通信。通常在通信设备的配臵过程中，经常使用MTU（Maximum Transmit Unit）。对于一个设备而言，它网络的层次均使用MTU和 MRU两个值，本端MTU会和对端MRU进行比较，取较小值赋予本端MTU。

FCS域

校验域主要是对PPP数据帧传输的正确性进行检测。在数据帧中引入了一些传输的保证机制，会

BRAS技术与认证

引入更多的开销，这样可能会增加应用层交互的延迟。

LCP报文封装格式

LCP数据报文是在链路建立阶段被交换的。此时它作为PPP的净载荷被封装在PPP数据帧的信息域中，PPP数据帧的协议域固定填充0xC021。在链路建立阶段的整个过程中信息域的内容是变化的，它包括很多种类型的报文，所以这些报文也要通过相应的字段来区分。

Code域

代码域表明了此报文是哪种PPP协商报文。代码域的长度为一个字节，主要是用来标识LCP数据报文的类型。在链路建立阶段时，接收方收到LCP数据报文的代码域无法识别时，就会向对端发送一个LCP的代码拒绝报文（Code-Reject报文）。如果是IP报文，则不存在此域，取而代之的是IP报文数据内容。

Identifier域

标识域用于进行协商报文的匹配。标识域也是一个字节，其目的是用来匹配请求和响应报文。一般而言，在进入链路建立阶段时，通信双方任何一端都会连续发送几个配臵请求报文（Config-Request报文）。这几个请求报文的数据域可能是完全一样的，仅仅是它们的标志域不同。通常一个配臵请求报文的ID是从0x01开始逐步加1的。当对端接收到该配臵请求报文后，无论使用何种报文回应对方，但必须要求回应报文中的ID要与接收报文中的ID一致。当通信设备收到回应后就可以将该回应与发送时的进行比较来决定下一步的操作。

Length域

长度域表示此协商报文长度，它包含Code域及Identifier域的长度。长度域的值就是该LCP报文的总字节数据。它是代码域、标志域、长度域和数据域四个域长度的总和。长度域所指示字节数之外的字节将被当作填充字节而忽略掉，而且该域的内容不能超过MRU的值。

Data域

Type为协商选项类型。

Length为协商选项长度，它包含Type域。 Data域为协商的选项具体内容。

数据域所包含的是协商报文的内容。

? ? ?

常见的协议代码协议代码 0021 002b 002d 002f 8021 802b 8031 协议类型 Internet Protocol Novell IPX Van Jacobson Compressed TCP/IP Van Jacobson Uncompressed TCP/IP Internet Protocol Control Protocol Novell IPX Control Protocol Bridging NC 12

BRAS技术与认证协议代码协议类型 C021 Link Control Protocol C023 Password Authentication Protocol C223 Challenge Handshake Authentication Protocol

常用code值 code值报文类型 0x01 Configure-Request 0x02 Configure-Ack 0x03 Configure-Nak 0x04 Configure-Reject 0x05 Terminate-Request 0x06 Terminate-Ack 0x07 Code-Reject 0x08 Protocol-Reject 0x09 Echo-Request 0x0A Echo-Reply 0x0B Discard-Request 0x0C Reserved 常用协商类型值协商类型值协商报文类型 0x01 Maximum-Receive-Unit 0x02 Async-Control-Character-Map 0x03 Authentication-Protocol 0x04 Quality-Protocol 0x05 Magic-Number 0x06 RESERVED 0x07 Protocol-Field-Compression 0x08 Address-and-Control-Field-Compression

BRAS技术与认证

3.1.5 MP简介

MP是出于增加带宽的考虑，将多个PPP链路捆绑使用的技术。可以在支持PPP的接口（如Serial接口或低速POS接口）上应用。 3.2 PPP的运行过程

3.2.1 PPP的协商过程

PPP链路的建立是通过一系列的协商完成的。

LCP除了用于建立、拆除和监控PPP数据链路，还主要进行链路层参数的协商，如MRU、验证 NCP主要用于协商在该数据链路上所传输的数据包的格式与类型，如IP地址。

方式。

数据通信设备的两端如果希望通过PPP协议建立点对点的通信，无论哪一端的设备都需发送LCP数据报文来建立链路。

LCP的配臵参数选项协商完后，通信的双方就会根据LCP配臵请求报文中所协商的认证配臵参数选项，决定链路两端设备所采用的认证方式。

协议缺省情况下双方是不进行认证的，直接进入到NCP配臵参数选项的协商。直至所经历的几个配臵过程全部完成后，点对点的双方就可以开始通过已建立好的链路进行网络层数据报文的传送了，整个链路就处于可用状态。

任何一端收到LCP或NCP的链路关闭报文，物理层无法检测到载波或管理人员对该链路进行关闭操作，都会将该条链路断开，从而终止PPP会话。一般而言，协议是不要求NCP有关闭链路的能力的，因此通常情况下关闭链路的数据报文是在LCP协商阶段或应用程序会话阶段发出的。下图是PPP协议整个链路过程需经历阶段的状态转移图：

DeadUPEstablishOPENEDAuthenticateSUCCESS/NONEFAILFAILDOWNTerminateCLOSINGNetwork

PPP运行的过程简单描述如下。

? ?

开始建立PPP链路时，先进入到Establish阶段。

在Establish阶段，PPP链路进行LCP协商。协商内容包括工作方式是SP（Single-link PPP）

还是MP（Multilink PPP）、最大接收单元MRU、验证方式、魔术字（magic number）和异步字符映射等选项。LCP协商成功后进入Opened状态，表示底层链路已经建立。

如果配臵了验证，将进入Authenticate阶段，开始CHAP或PAP验证。如果没有配臵验证，

则直接进入NCP协商阶段。

BRAS技术与认证

主机在本以太网内广播一个PADI（PPPoE Active Discovery Initial）报文，在此报文中包含主机想要得到的服务类型信息。

主机以广播形式发送PADI报文

ServerAPADIPADIPADIServerBPCPADIServerC

说明?

如果在PPPoE的服务器端配臵service-name，client将发送Discovery阶段的PADI报文给服务器端请求建立连接。

如果该PADI报文中包含有不为空的service-name时，服务器端将用配臵的

service-name和该报文中的service-name进行完全匹配性检测。如果两者完全相同，服务器端提供后续服务，否则，服务器端不提供服务。

以上是两者的service-name都不为空时的情况。但如果两者中有一个service-name为空，就不进行此项检测，直接按照原来的程序执行。

以太网内的所有服务器收到这个PADI报文后，将其中请求的服务与自己能提供的服务进行比较，可以提供此服务的服务器发回PADO（PPPoE Active Discovery Offer）报文。如0中，ServerA和ServerB都可以提供服务，所以都会向主机发回PADO报文。

服务器发回PADO报文

ServerAPADO-APADO-APADO-BPADO-BServerBPCServerC

主机可能收到多个服务器的PADO报文，主机将依据PADO的内容，从多个服务器中选择一个，并向它发回一个会话请求报文PADR（PPPoE Active Discovery Request）。

例如在图中，主机选择ServerA，并发回PADR报文。

BRAS技术与认证 PADRPADRServerBPCServerCServerA 服务器产生唯一的会话标识，标识和主机的这段PPPoE会话。并把此会话标识通过会话确认报文PADS（PPPoE Active Discovery Session-confirmation）发回给主机，如果没有错误，双方进入PPP Session阶段。例如在图中，ServerA收到PADR报文后，会向主机发送PADS报文。

ServerAPADSPADSServerBPCServerC

接入服务器发送确认数据包后，它就可以进入到PPP会话阶段。当主机接收到该确认数据包后，它就可以进入PPP会话阶段。

Discovery阶段所有的以太网帧的Ethernet_Type域都设臵为0x8863。

PPPoE的Payload部分包含0个或多个Tag。一个Tag是一个TLV（Type-Length-Value）结构，其帧结构定义如图所示。

0Tag_TypeTag_Value......15Tag_Length31 各域的含义如下：

Tag_Type域的长度是16比特，也就是网络字节序。图列出了各种Tag_Type和Tag_Value的

对应关系和含义。 Tag_Value Tag_Type 0x0000 End-Of-List 含义该Tag值表明表中是最后一个Tag。该Tag的Tag_Length必须总是0。不要求使用该标签，它是为了向后兼容。 26

BRAS技术与认证 Tag_Value Tag_Type 含义 0x0101 Service-Name 该Tag表明后面紧跟的是服务的名称。 ? Tag_Value是不以NULL结束的字符串。 ? 当Tag_Length为0时，该TAG用于表明接受任何服务。使用Service-Name标签的例子是表明Internet服务提供商ISP或者一类服务或者服务的质量。 0x0102 AC-Name 该Tag表明后面紧跟的字符串唯一地表示了某个特定的接入服务器。它可以是商标、型号以及序列号等信息的集合，或者该接入服务器MAC地址的一个简单表示。它不以NULL来结束。 0x0103 Host-Uniq 该Tag由主机用于把接入服务器的响应报文（PADO或者PADS）与主机的某个唯一特定的请求联系起来。 Tag_Value是主机选择的长度和值，可以是任意的二进制数据。它不能由接入服务器解释。主机可以在PADI或者PADR中包含一个Host-Uniq标签。如果接入服务器收到了该标签，它必须在对应的PADO或者PADS中不加改变的包含该标签。 0x0104 AC-Cookie 该Tag由接入服务器用于防止服务攻击。接入服务器可以在PADO数据包中包含该Tag。如果主机收到了该标签，它必须在接下来的PADR中不加改变的包含该标签。 Tag_Value的长度和值都是任意的二进制数据。 0x0105 Vendor-Specific 该Tag用来传送厂商自定义的信息。 Tag_Value的前4个字节包含了厂商的识别码，其余字节尚未定义。厂商识别码的高字节为0，低3个字节为网络字节序的厂商的SMI网络管理专用企业码。不推荐使用该Tag。为了确保互操作性，在实现过程中，可以悄悄的忽略Vendor-Specific Tag。 27

BRAS技术与认证 Tag_Value Tag_Type 0x0110 Relay-Session-Id 含义该Tag可由中继流量的中间代理加入到Discovery数据包中。 Tag_Value对主机和接入服务器都是不透明。如果主机或接入服务器收到该Tag，则它们必须在所有的Discovery数据包中包含该Tag以作为响应。所有的PADI数据包必须保证足够空间来加入Tag_Value长度为12字节的Relay-Session-Id标签。如果Discovery数据包中已经包含一个Relay-Session-Id标签，则不允许再加入该标签。这种情况下，中间代理应该使用该现有的Relay-Session-Id标签。如果它不能使用现有的标签，或者没有足够空间来增加一个Relay-Session-Id标签，那么它应该向发送者返回一个Generic-Error标签。 0x0201 Service-Name-Error 该Tag典型的有一个长度为零的数据部分。它表明了由于某种原因，没有理睬所请求的Service-Name。如果有数据部分，并且数据部分的头一个字节非0，那么它必须是一个可打印字符串，解释请求被拒绝的原因。该字符串可以不以NULL结束。 0x0202 AC-System-Error 该Tag表明了接入服务器在处理主机请求时出现了某个错误。例如没有足够资源来创建一个虚拟电路。PADS数据包中可以包含该标签。如果有数据，并且数据的第一个字节不为0，那么数据必须是一个可打印字符串，该字符串解释了错误的性质。该字符串可以不以NULL结束。 0x0203 Generic-Error 该Tag表明发生了一个错误。当发生一个不可恢复的错误并且没有其它合适的Tag时，它可被加到PADO、PADR或PADS数据包中。如果出现数据部分，那么数据必须是一个解释错误性质的字符串。该字符串不允许以NULL结束。 ?

Tag_Length域的长度是16比特，是一个网络字节序的无符号值，表明Tag_Value的字节数。

BRAS技术与认证

如果收到的Discovery数据包中包含未知的Tag_Type，则必须忽略掉该Tag，除非本文档特别指出。这样规定是为了在增加新的Tag时保持向后兼容。如果增加强制使用的Tag，则版本号version将会提高。 4.2.2 PADI数据包

主机发送Destination_address为广播地址的PADI数据包，Code域设臵为0x09，Session_ID域必须设臵为0x0000。

PADI数据包必须包含且仅包含一个Tag_Type为Service-Name的Tag，以表明主机请求的服务，以及任意数目的其它类型的TAG。整个PADI数据包，包括PPPoE头部不允许超过1484个字节，以留足空间让中继代理向数据包中增加类型为Relay-Session-Id的Tag。

PADI报文结构示例图

0150xFFFFFFFF0xFFFFHost_MAC_addressHost_MAC_address ( Continue )Ethernet_Type ( 0x8863 )Session_ID ( 0x0000 )Tag_Type ( 0x0101 )V = 1T = 1Code ( 0x09 )192331Length ( 0x0004 )Tag_Length ( 0x0000 )

4.2.3 PADO数据包

如果接入服务器能够为收到的PADI请求提供服务，它将通过发送一个PADO数据包来做出应答。Destination_address是发送PADI报文的主机的单播地址，Code域为0x07，Session_ID域必须设臵为0x0000。

PADO数据包必须包含一个类型为AC-Name的Tag，AC是接入服务器的名字。还必须包含与PADI中相同的Service-Name，以及任意数目的类型为Service-Name的Tag，表明接入服务器提供的其它服务。

如果接入服务器不能为PADI提供服务，则不允许用PADO作响应。

BRAS技术与认证

015Host_MAC_addressHost_MAC_address ( Continue )Access_Concentrator_MAC_address192331Access_Concentrator_MAC_address ( Continue )Ethernet_Type ( 0x8863 )Session_ID ( 0x0000 )Tag_Type ( 0x0101 )Tag_Type ( 0x0102 )0x470x650x630x200x730x680x6F0x640x6B0x650x680x6FV = 1T = 1Code ( 0x07 )Length ( 0x0020 )Tag_Length ( 0x0000 )Tag_Length ( 0x0018 )0x200x420x200x730x650x6F0x520x610x2D0x680x730x74

4.2.4 PADR数据包

由于PADI是广播的，主机可能收到不止一个PADO。它将审查接收到的所有PADO并从中选择一个。可以根据其中的AC-Name或PADO所提供的服务来作出选择。

主机向选中的接入服务器发送一个PADR数据包。其中，Destination_address域设臵为发送PADO的接入服务器的单播地址，Code域设臵为0x19，Session_ID必须设臵为0x0000。

PADR必须包含且仅包含一个Tag_Type为Service-Name的TAG，表明主机请求的服务，以及任意数目其他类型的Tag。 4.2.5 PADS数据包

当接入服务器收到一个PADR数据包，它就准备开始一个PPP会话。它为PPPoE会话创建一个唯一的Session_ID并用一个PADS数据包来向主机作出响应。Destination_address域是发送PADR数据包的主机的单播以太网地址，Code域设臵为0x65,Session_ID必须设臵为所创建好的PPPoE会话标识符。

PADS数据包中包含且仅包含一个Tag_Type为Service-Name的Tag，表明接入服务器已经接受的该PPPoE会话的服务类型，以及任意数目的其他类型的Tag。

如果接入服务器不接受PADR中的Service-Name，那么它必须用一个PADS来作出应答，并且该PADS中带有类型为Service-Name-Error的Tag以及任意数目的其它TAG类型。这种情况下，Session_ID必须设臵为0x0000。 4.2.6 PADT数据包

PADT（PPPoE Active Discovery Terminate）数据包可以在会话建立以后的任意时刻发送，表明PPPoE会话已经终止。

BRAS技术与认证

它可以由主机或接入服务器发送，Destination_address域为单播以太网地址，Code域设臵为0xA7，Session_ID必须表明终止的会话，这种数据包不需要任何Tag。当收到PADT以后，就不允许再使用该会话发送PPP流量了。在发送或接收到PADT后，即使是常规的PPP结束数据包也不允许发送。

PPP通信双方应该使用PPP协议自身来结束PPPoE会话，但在无法使用PPP时可以使用PADT。 4.3 PPP会话阶段

一旦PP会话（PPP Session）开始，PPP数据就像其它PPP封装一样发送。PPP报文作为PPPoE帧的净荷，封装在以太网帧发送到对端。

所有的以太网数据包都是单播的。

? ? ? ?

Ethernet_Type域设臵为0x8864。 PPPoE的Code必须设臵为0x00。

PPP会话的Session_ID不允许发生改变，必须是Discovery阶段所指定的值。 PPPoE的Payload包含一个PPP帧，帧始于PPP Protocol-ID。

15192331从主机发送到接入服务器的PPP LCP数据包示例图

0Access_Concentrator_MAC_addressAccess_Concentrator_MAC_address ( Continue )Host_MAC_addressHost_MAC_address ( Continue )Ethernet_Type ( 0x8864 )Session_ID ( 0x1234 )PPP Protocol ( 0xC021 )V = 1T = 1Code ( 0x00 )Length ( 0x???? )PPP Payload

进入PPP Session阶段后，在会话阶段，主机或服务器任何一方都可发PADT报文通知对方结束PPP会话。 4.4 PPPoE注意事项

4.4.1 LCP方面

推荐使用Magic Number LCP（Link Control Protocol）配臵选项，不推荐使用协议域压缩PFC（Protocol Field Compression）选项。不允许使用下面的任何一个选项实现请求，对这些请求必须拒绝：

? ? ?

FCS（Field Check Sequence）Alternatives ACFC（Address-and-Control-Field-Compression） ACCM（Asynchronous-Control-Character-Map）

协商后PPPoE的最大接收单元MRU（Maximum Receive Unit）不允许超过1492个字节。因为以太网的最大净载为1500字节，而PPPoE头部为6个字节，PPP Protocol-ID为2个字节，所以PPP的MRU不允许超过1492个字节。

BRAS技术与认证

推荐接入服务器不时地向主机发送回声请求（Echo-Request）数据包，以确定会话的状态。否则如果主机在没有发送结束请求（Terminate-Request）数据包的情况下终止会话，则接入服务器将无法得知该会话已经结束。

当LCP结束的时候，主机和接入服务器必须停止使用该PPPoE会话。如果主机希望开始另一个PPP会话，则它必须重新进入PPPoE Discoverey阶段。 4.4.2安全方面

为了防止拒绝服务DOS（Denial of Service）攻击，接入服务器可以使用类型为AC-Cookie的Tag。接入服务器应该能够根据PADR的Source_address来重新产生具有唯一性的Tag_Value。使用这种方法，接入服务器可以确保PADI的Source_address确实是可到达的，并对该地址的并行会话数进行限制。使用什么样的算法并没有指定。虽然AC-Cookie对防止某些DOS有用，但它不能防止所有的DOS攻击，接入服务器可以使用其它的方法来保护。很多接入服务器不希望提供信息，表明为未认证实体提供什么服务。在这种情况下，接入服务器应该使用下面两种策略之一：

? ?

根据请求中的Service-Name标签应该不拒绝该请求，并返回收到的Tag_Value。应该仅接受带有Tag_Length是0，表明任意服务的Service-Name标签的请求。推荐使用前一种方案。

4.4.3其它方面

如果主机在一段指定时间内没有收到PADO数据包，它应该重发其PADI数据包并把等待的间隔加倍。按所期望的次数重复这个动作。主机在等待接收PADS数据包时，应该采用类似的定时机制，只是主机重新发送的是PADR数据包。在重发指定次数后如果还没有收到PADS报文，主机应该重新发送PADI。Ethernet_Type的值0x8863和0x8864已经被IEEE指定专用于PPPoE，使用这两个值和PPPoE VER域将唯一标识本协议。 4.5 PPPoE的应用

PPPoE协议提供了在如以太网的广播式的网络中，多台主机连接到远端的访问集中器AC上的一种标准。而目前能完成访问集中器功能的设备一般是宽带接入服务器。

PPPoE组网图

Host...GE1/0/0POS2/0/0InternetRouter 在这种网络模型中，PPPoE可用于同一个以太网上的多个主机通过一个或多个桥接的调制解调器向多个目的主机开放其PPP会话。因此PPPoE主要用于宽带远程访问技术，即访问服务的提供者希望通过提供一个桥接的拓扑结构从而保持PPP会话。

Host 32

BRAS技术与认证

在PPPoE网络中，所有用户的主机都需要能独立地初始化自已的PPP协议栈。利用以太网将大量主机组成网络，通过一个远端接入服务器连入因特网。而且通过PPP协议本身所具有的一些特点，能实现在广播式网络上对用户进行计费和管理。由于具有很高的性能价格比，PPPoE被广泛应用于小区组网等环境中。

PPPoE协议推出后，各网络设备制造商也相继推出自已品牌的宽带接入服务器（BAS）。它不仅能支持PPPoE协议数据报文的终结，而且还能支持其它许多协议。

BRAS技术与认证

第五章 AAA及用户管理

5.1 AAA简介

5.1.1 AAA的引入

? ?

在用户接入网络的时候，运营商就不得不面临以下的问题。

如何确定用户是否有权限进入网络。运营商需要防止非法用户访问网络，以保护自身和合法如何确定用户的使用服务的范围。如何上线的用户进行准确的计费，解决方案

用户的权益。

? ? ?

可以使用AAA解决以上问题。AAA提供对用户进行认证、授权和计费三种安全功能，能够比较全面的处理上述问题。如图所示。

路由器接入用户Internet接入请求认证信息交互信息授权信息用户上线计费信息......

多用户接入时遇到的困难

大量用户接入网络时，如果由路由器负责对其进行处理的话，首先，路由器需要维护一个比较大的数据库。其次，路由器需要对接入的用户进行控制，防止非法访问。显然，大量不同类型的用户进行实时控制，会让路由器消耗大量的资源。

如果多用户接入的业务完全由路由器来承担的话，路由器上的负担就会过重，甚至影响其它业务的正常运行。

解决方案

对用户采用域管理，所有用户都属于某个域。一个域中的所有用户都具有类似的属性。采用

BRAS技术与认证

RADIUS服务器对域下的用户进行认证、授权和计费，而不使用路由器对用户的上下线进行管理。如图所示。

接入用户接入路由器服务器Internet

使用AAA解决多用户接入的优点

? ? ?

路由器上的压力减轻，不需要建立一个较大的数据库，更加专注于报文的转发。支持的用户数量较多，同时用户的请求能够得到实时的响应。用户的安全性得到了较大的保障。

5.1.2 AAA的基本构架

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下：

? ? ?

认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。授权（Authorization）：授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。

AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。如图所示。

AAA的基本构架示意图

AAA的客户端－服务器结构接入的用户接入路由器服务器Internet

BRAS技术与认证

5.1.3 AAA的基本概念 AAA支持以下认证方式：

? ?

不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配臵在宽带接入服务器远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配臵在认证服务器上。

上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。

支持通过RADIUS（Remote Authentication Dial In User Service）协议进行远端认证，由宽带接入服务器NAS（Network Access Server）做为客户端，与RADIUS服务器通信。对于RADIUS协议，可以采用标准RADIUS协议，与iTELLIN/CAMS（Comprehensive Access Management Server）等设备配合完成认证。 AAA支持以下授权方式：

? ? ? ? ?

不授权：不对用户进行授权处理。

直接授权：对用户非常信任，直接授权通过。

本地授权：根据宽带接入服务器上为本地用户帐号配臵的相关属性进行授权。 TACACS授权：由TACACS服务器对用户进行授权。

if-authenticated授权：如果用户通过了认证，而且使用的认证模式不是不认证，则用户授 RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS

权通过。

进行授权。

AAA支持以下计费方式：

? ?

不计费：不对用户计费。

本地计费：本地计费主要实现对用户话单的备份和管理，是对远端计费的一种保护性措施，远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

本地和远端同时计费：支持同时向本地和RADIUS服务器发送计费报文，或同时向本地和

也可以代替远端服务器在本地实现对用户的计费功能。

? ?

TACACS服务器发送计费报文。采用本地和远端同时计费可以提高计费的可靠性。 5.2 RADIUS协议简介

5.2.1 RADIUS协议的概述

AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network Access Server）系统。当用户想要通过某个网络（如电话网络）与NAS建立连接从而取得访问其他网络的权利或取得使用某些网络资源的权利时，NAS起到了认证用户或对应连接的作用。

NAS负责把用户的认证、授权和计费信息传递给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。RADIUS服务器负责接收用户的连接请求，完成认证，并把用户所需的配臵信息返回给NAS。

BRAS技术与认证

NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的，以避免用户的密码在不安全的网络上传输时被窃取。

RADIUS的消息结构如图所示。

0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7123456AttributeAuthenticatorCodeIdentifierLength 各字段的说明如下：

? ? ? ? ?

Code：指示消息类型，如接入请求、接入允许、计费请求等。 Identifier：一般是顺序递增的数字，用于匹配请求包和回应包。 Length：所有域的总长度。

Authenticator：验证字，用于验证RADIUS的合法性。 Attribute：消息的内容主体，主要是用户相关的各种属性。

5.2.2使用RADIUS协议对用户进行认证、计费的流程

RADIUS通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。RADIUS客户端与服务器间的大概消息流程如图所示。

User name（1）password（2）RequestResponse（3）用户? ?

接入服务器RADIUS服务器

用户登录路由器或接入服务器等网络设备时，会将用户名和密码发送给该网络设备；该网络设备中的RADIUS客户端（路由器或接入服务器）接收用户名和密码，并向RADIUS服 RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端。

务器发送认证请求；

客户端和RADIUS服务器之间的认证信息经过加密以后才在网络上传递，以避免用户信息在不安全的网络上被窃取。

计费的消息流程和认证/授权的消息流程类似。 5.2.3 RADIUS协议的特性

RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。RADIUS的实现比较简单，适用于大用户量时服务器端的多线程结构。宽带接入服务器作为RADIUS协议的客户端，实现以下功能：

标准RADIUS协议及扩充属性，包括RFC2865、RFC2866。

BRAS技术与认证

? ?

扩展的RADIUS+1.1协议。

对RADIUS服务器状态的主动探测功能：收到AAA的认证或计费消息后，如果当前服务器的状

态为DOWN，启动服务器探测处理，将消息转换为报文后向当前服务器发送，该报文作为服务器的探测报文，如果收到RADIUS服务器的回应，则认为该服务器重新可用。

计费结束报文的本地缓存重传功能：计费结束报文在重传发送失败次数超过配臵次数后，将

计费结束报文保存到计费结束报文缓存队列；系统定时器周期扫描该队列，如果存在计费结束缓存报文，则取出报文内容，向指定的服务器发送并启动定时器等待，如果发送失败或在超时时间内没有收到服务器回应，则重新入缓存队列。

RADIUS服务器的自动切换功能：如果当前发送的服务器的状态为不可发送，或者发送次数超

过当前服务器的最大重传次数，则需要在配臵的服务器组中选择另外的服务器发送报文。 5.3基于域的用户管理

5.3.1基于域的用户管理概述

在目前AAA的实现中，所有用户都属于某个域。用户属于哪个域是由用户名中带的“@”后的字符串来决定的，比如“user@hua”，就属于“hua”域；如果用户名中没有带“@”，就属于系统缺省的default域。除了系统缺省的default域外，AAA允许用户最多创建254个域。 5.3.2路由器对接入用户的管理

路由器通过域来进行用户管理，域下可以进行缺省授权配臵、RADIUS/TACACS模板配臵、认证和计费方案的配臵等。所有对于接入用户的认证、授权、计费都是在域视图下应用认证方案、授权方案、计费方案来实现的，在AAA视图下分别预先配臵相应的认证模式、授权模式、计费模式。AAA有缺省的认证方案、授权方案、计费方案，分别采用本地认证、本地授权、不计费。如果新创建一个域，没有在域下应用认证方案、授权方案、计费方案，那么AAA对该域将采用缺省的认证方案、授权方案和计费方案。此外，如果要对用户采用RADIUS/TACACS方案，必须预先在系统视图下配臵RADIUS/TACACS服务器模板，然后在用户所属域的视图下应用该服务器模板。当域和域下的用户同时配臵了某一属性时，基于用户的配臵优先级高于域的配臵优先级。域下配臵的授权信息较AAA服务器的授权信息优先级低，即，优先使用AAA服务器下发的授权属性，在AAA服务器无该项授权或不支持该项授权时，域的授权属性生效。这样处理的优点是：可以凭借域管理灵活增加业务，而不必受限于AAA服务器提供的属性。 5.3.3 AAA对PPP用户的地址分配原则

采用PPP方式接入的用户，可以利用PPP地址协商功能从宽带接入服务器获得本端接口的IP地址。在宽带接入服务器上，AAA对PPP用户的地址分配原则如下：

? ? ? ?

对于不认证的用户：

如果接口下配臵为对端分配IP地址，直接把该地址分配给对端。

如果接口下配臵从地址池中为对端分配地址，则从指定的全局地址池中为对端分配地址。对于认证通过的default域用户（包括两种：不加＠的，如“aaa”；用户名后加＠default，

BRAS技术与认证

如“aaa@default”）

? ? ?

如果服务器下发了IP地址，则直接把该地址分配给对端。

如果服务器下发了地址池号，则用该地址池号通过域地址池或者全局地址池给对端分配地址。在服务器既没有下发IP地址，也没有下发地址池号的情况下，如果接口下配臵了给对端的IP

地址，直接把该地址分配给对端。如果接口下配臵了从地址池中为对端分配地址，则从指定的全局地址池中为对端分配地址。

? ? ? ?