PPPoE(英语:Point-to-Point Protocol Over Ethernet),以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
使用以太网对点协议 (PPPoE) 封装,通过单个客户端设备 (CPE) 将以太网 LAN 上的多个主机连接到远程站点。本主题提供了 PPPoE 概述,并解释了如何配置 PPPoE、验证配置以及跟踪 PPPoE 操作。
PPPoE 概述
以太网对点协议 (PPPoE) 通过单个客户端设备 (CPE) 将以太网 LAN 上的多个主机连接到远程站点。主机共享通用数字用户线 (DSL)、有线调制解调器或互联网无线连接。
要使用 PPPoE,必须将路由器配置为 PPPoE 客户端,通过以太网封装 PPP 数据包,然后发起 PPPoE 会话。
M120、M320 和 MX 系列路由器可配置为 PPPoE 接入集中器服务器。要在 M120、M320 或 MX 系列以太网 逻辑接口上配置 PPPoE 服务器,请指定 PPPoE 封装,包括 pp0 伪 PPPoE 物理接口的语句,并在逻辑接口下的 PPPoE 选项中包括 server 语句。
注: ATM2 IQ 接口上的 M120、M320 或 MX 系列路由器不支持 PPPoE 封装。
多个主机可连接到服务路由器,在将流量发送至服务路由器的快速以太网或 ATM-over-ADSL 接口上的 PPPoE 会话之前,可以对其数据进行身份验证、加密和压缩。PPPoE 易于配置,支持按用户而非按站点管理服务。
此概述包含以下主题:
PPPoE 接口
PPPoE 阶段
可选 CHAP 身份验证
PPPoE 接口
两个接口的 PPPoE 配置相同。唯一的区别是,对接入集中器的底层接口进行封装:
如果接口为快速以太网,请使用 PPPoE 封装。
如果接口是 ADSL 上的 ATM,请使用 ATM 封装上的 PPPoE。
作为接入集中器的 M120 或 M320 路由器上的 PPPoE 接口可以是千兆位以太网或 10 千兆位以太网接口。
以太网接口
服务路由器将每个 PPP 帧封装在以太网帧中,然后通过以太网环路传输帧。 图 1 显示了服务路由器与以太网环路上的接入集中器之间的典型 PPPoE 会话。
图 1: 以太网环路上的 PPPoE 会话
以太网环路上的 PPPoE 会话
PPPoE 阶段
PPPoE 有两个阶段,即发现阶段和 PPPoE 会话阶段。在发现阶段,客户端可识别接入集中器的以太网媒体访问控制 (MAC) 地址并建立 PPPoE 会话 ID,从而发现接入集中器。在 PPPoE 会话阶段,客户端和接入集中器基于发现阶段收集的信息通过以太网构建点对点连接。
注: 如果在客户端上配置了特定访问集中器名称,并且提供了同一个接入集中器名称服务器,则会建立一个 PPPoE 会话。如果客户端和服务器的访问集中器名称之间不匹配,则 PPPoE 会话将关闭。
如果不配置访问集中器名称,PPPoE 会话将开始使用网络中的任何可用服务器。
PPPoE 发现阶段
PPPoE 会话阶段
PPPoE 发现阶段
服务路由器通过广播 PPPoE 主动发现初始 (PADI) 数据包来启动 PPPoE 发现阶段。要通过以太网提供点对点连接,每个 PPPoE 会话都必须学习接入集中器的以太网 MAC 地址,并建立具有唯一会话 ID 的会话。由于网络可能具有多个接入集中器,因此发现阶段允许客户端与所有接入集中器通信并选择一个。
注: 服务路由器无法从同一物理接口上的两个不同接入集中器接收 PPPoE 数据包。
PPPoE 发现阶段包含以下步骤:
PPPoE 主动发现初始 (PADI)—客户端通过在 LAN 上广播 PADI 数据包请求服务来发起会话。
PPPoE 主动发现优惠 (PADO)—任何可在 PADI 数据包回复中提供客户端请求的服务的访问集中器,其包含自己的名称、客户端的单播地址和所请求的服务。接入集中器还可使用 PADO 数据包为客户端提供其他服务。
PPPoE 主动发现请求 (PADR)—从其接收的 PADO 中,客户端根据其名称或所提供的服务选择一个接入集中器,并将其发送一个 PADR 数据包以指示所需的服务或服务。
PPPoE 主动发现会话确认 (PADS)—当选定访问集中器接收 PADR 数据包时,它将接受或拒绝 PPPoE 会话。
要接受会话,访问集中器会向客户端发送一个 PADS 数据包,其中包含 PPPoE 会话的唯一会话 ID 和一个服务名称,用于标识其接受会话的服务。
要拒绝会话,访问集中器会向客户端发送服务名称错误的 PADS 数据包,并将会话 ID 重置为零。
PPPoE 会话阶段
PPPoE 会话阶段在 PPPoE 发现阶段结束后开始。接入集中器可在将 PADS 数据包发送至客户端之后启动 PPPoE 会话,或者客户端在从访问集中器接收 PADS 数据包后可以启动 PPPoE 会话。服务路由器在每个接口上支持多个 PPPoE 会话,但服务路由器上所有接口上的 256 个 PPPoE 会话不超过 256 个。
每个 PPPoE 会话都通过对等方的以太网地址和会话 ID 进行唯一标识。建立 PPPoE 会话之后,数据将像在任何其他 PPP 封装中一样发送。PPPoE 信息封装在以太网帧中,并发送至单播地址。在此阶段,客户端和服务器都必须为 PPPoE 逻辑接口分配资源。
建立会话后,客户端或访问集中器可以随时发送 PPPoE 主动发现终止 (PADT) 数据包以终止会话。PADT 数据包包含对等方的目标地址和要终止的会话的会话 ID。发送此数据包后,会话将关闭至 PPPoE 流量。
可选 CHAP 身份验证
对于具有 PPPoE 封装的接口,您可以配置接口以支持 PPP 挑战握手身份验证协议 (CHAP)。在接口上启用 CHAP 时,接口可以对其对等方进行身份验证,并通过其对等方进行认证。
如果配置一个接口来仅处理传入的 CHAP 数据包(通过在层次结构级别中[edit interfaces interface-name ppp-options chap]包括语passive句),则接口不会对其对等方提出挑战。但是,如果接口受到挑战,则会对挑战做出响应。如果不包含语 passive 句,接口始终会挑战其对等方。
