PPPoA体系结构的关键点
此部分在PPPoA体系 结构描述三个关键点:CPE,IP管理和到达服务目的地。
由 于PAT的本质,嵌入的某些应用程序IP 信息在有效载荷在此方案不 能工作。解决此问题,适用子网IP地址而不是单个IP地址。
在此体系结构因为IP地址分配到CPE ,NAP/NSP远程登录到CPE配置和排除故障是容易。
CPEs能根据subscriber?s配置文件 使用不同的选项。例如,为了一个住宅用户CPE 可能配置没 有PAT/DHCP。为订户用超过一个PC,CPEs可以为PAT/DHCP或 方式配置和那一个住宅用户一样。如果有IP电话接通到CPE, CPE可能为超过一个PVC配置。
IP管理
在 PPPoA体系结构,订户CPE IP地址分配在拨号模式下使用IPCP协商, PPP的同一个原理。 IP地址根据订户使用的服务类型分配。 如果订户有仅互联网访问从NSP,NSP将结束那些PPP交易从 订户并且分配IP地址。 IP地址从一个本地定义的池分配, DHCP 服务器或者可以是适用从RADIUS服务器。 并且,当订 户起动PPP会话时,ISP可能提供了一套静态IP地址给订户并且可能 不动态地分配IP地址。在此方案,服务提供商将使用仅 RADIUS服务器验证用户。
如果订户 喜欢有多个服务可用,NSP 可能需要实现SSG。以下可能性 为分配IP 地址。
-
SP可能提供IP地 址给订户通过其本地地址池或RADIUS服务器。在用户选择一 项服务之后,SSG寄user?s数据流给该目的地。 如果SSG使用 代理模式,最终目的地可能提供IP地址,SSG将使用作为可视地址为 NAT。
-
PPP会话在服务provider?s会 聚路由器没获得终止。他们被建立隧道或转发到最终目的地 或家庭网关,最终将结束PPP交易。 最终目的地或家庭网关 与订户协商IPCP,从而动态地提供IP地址。只要最终目的地 分配了那些IP地址并且有路由到他们,静态地址也是可能的。
在Cisco IOS软件版本12.0.5DC之前 Cisco 6400 NRP ,没有办法为了服务提供商能提供子网IP地址给订 户。Cisco 6400平台和Cisco 600系列CPEs在CPE允许IP子网 动态地配置在PPP协商期间。 一IP地址从此子网分配到CPE并 且剩余IP 地址动态地分配到位置通过DHCP。当使用时此功 能,CPEs不需要为PAT配置,不与一些应用程序一起使用。
服务目的 地如何到达
在PPPoA体系结构,服务目的地可以到达用不同的方 式。某些最普通配置的方法是:
-
结束PPP交易在服务提供商
-
L2TP建立隧道
-
使用 SSG
在所有三个方法有从CPE定义的 一个固定的PVC组对在会聚路由器被交换对一个固定的PVC组的DSLAM 。PVC从DSLAM被映射到会聚路由器通过ATM云。
服务目的地可能使用其他方法这样 的PPPoA与SVCs或者多协议标签交换/虚拟专用网也到达。这 些方法是超出本文的范围之外并且讨论在其它论文。
终止PPP 在聚合
订 户起动的PPP交易结束在验证使用一个本地数据库在路由器或通过 RADIUS服务器的用户的服务提供商。在用户验证之后,IPCP 协商发生并且IP地址分配到CPE。在IP地址分配之后,有主机 路由设立了在CPE和在会聚路由器。IP地址分配到订户,如果 合法,做通告到边界路由器。边界路由器是订户能访问互联 网的网关。如果IP地址是专用的,服务提供商转换他们在做 通告他们之前为边界路由器。
L2TP/L2F建立隧道
PPP 会话,根据服务提供商或公司、隧道对上行终止点使用L2TP或L2F而 不是被终止在服务provider?s会聚路由器。此终止点验证用 户名并且订户通过DHCP或本地地址池分配IP 地址。为此方 案通常有一条隧道设立在L2TP访问Concentrator/network接入服务 器(LAC/NAS之间)和家庭网关或者L2TP Network Server (LNS)。 LAC验证根据域名的流入的会话; 用户名验证在最终目 的地或家庭网关。
在此型号然而, 用户只只访问最终目的地并且能每次访问一个目的地。例如 ,如果CPE用rtr@cisco.com用户名配置,个人计算机在该CPE之后能 只访问Cisco域。如果他们想要连接到另一个公司网络,他们 在CPE需要更改用户名和口令反射该公司域名。隧道目的地通 过使用路由协议,静态路由或者执行在这种情况下到达经典 IP over ATM (如果ATM更喜欢作为第二层)。
使用服务选择网关 (SSG)
SSG 的主要优点胜过建立隧道是SSG提供一对多的服务映射,而建立隧道 提供仅一对一映射。这变得非常有用当单个用户需要对多个 服务的时访问,或者多个用户在每需要访问对一项唯一服务的单个 位置。SSG使用基于Web的服务选择公告(SSD),包括不同的服 务并且供给用户。用户能一次访问一项服务或多个服务。 使用SSG的另一个优点是服务提供商能发单根据服务使用和会 议时间的用户,并且用户能启用服务断断续续通过SSD。
当 PPP会话自订户,进来用户验证。 用户是指定的IP地址从本 地地址池或RADIUS 服务器。在用户成功验证之后,来源对 象是由SSG代码创建的并且提供用户对默认网络的访问。默认 网络包含SSD服务器。 使用浏览器,用户登录对显示板,根 据在RADIUS服务器存储的user?s配置文件验证由AAA 服务器和,为 访问提供服务集合。
每次一个认证 的用户选择一项服务,SSG创建一个目的地对象为该用户。目 的地对象包含信息例如目的地地址、DNS服务器地址为该目的地和分 配的IP原地址从家庭网关。 进来自user?s边的信息包转发到 根据信息的目的地包含在目的地对象。
SSG可以为代理服务、透明转接或者PTA 配置。 当订户请求对代理服务的访问,NRP-SSG将通过访问请求对远 程RADIUS服务器。 在接受access-accept,SSG回应订户带有 access-accept。SSG出现作为客户端到远程RADIUS 服务器 。
透明转接在任何一个方向允许未 经鉴定的用户数据流通过SSG被路由。使用过滤器控制透明转 接数据流。
PTA可能由PPP类型用户 只使用。 认证、授权和记帐在代理服务类型确切地执行正如 。订户登录到服务使用表user@service的用户名。SSG 转发那到RADIUS 服务器,然后装载服务配置文件对SSG。 SSG 寄请求给远程RADIUS服务器如由服务 profile?s RADIUS 服务器属性指定。在请求验证之后, IP 地址分配到订户。NAT没有执行。所有用户数据流 聚集对远程网络。与PTA,用户只能访问一项服务和不访问默 认网络或SSD。
[page]
PPPOA体系结构的操作说明
当CPE首先供给动力时,开始发送 LCP 配置请求到会聚服务器。会聚服务器,用PVC配置,在 一个虚拟访问接口也派出LCP配置请求(联合PVC)。当每一个 看其他的配置请求时,他们承认请求并且打开LCP状态。
为认证阶段,CPE发送认证请求到 会聚服务器。服务器,根据其配置,二者之一验证根据域名 的用户(如果供应),或者用户名使用其本地数据库或RADIUS服务器 。以username@domainname的形式,如果请求从订户是,会聚 服务器将设法创建隧道对目的地,如果你已经不是那里。在 隧道被创建之后,会聚服务器转发PPP请求从订户到目的地。 目的地,反过来,验证用户并且分配IP 地址。如果 请求从订户不包括域名,用户由本地数据库验证。如果SSG在 会聚路由器配置,用户访问默认网络如指定并且能获得选项选择不 同的服务。
结论
因为是高度可升级的,使用SSG功能,并且提供安全,PPPoA成为最 适当的体系结构为许多服务提供商。因为本文焦点是PPPoA 体系结构,包括功能类似SSG详细是不可能的。这些功能在随 后的文件将报道。在本文讨论的不同的方案的示例配置在其 它论文也将被呈现并且解释。
转载地址:http://www.net130.com/CMS/Pub/Tech/tech_config/11311.htm
