Mr.Chan

导航

PPPoA基准体系结构

前言

本文使用在异步传输模 式(PPPoA的) 点对点协议描述一个端到端不对称数字用户线路( ADSL)体系结构。虽然多数配置根据桥接体系结构,PPPoA得 到极大的大众化并且形成将来ADSL部署的一个更大的部分。

假定

基准体系结构假设对提 供高速互联网访问和公司接入的需要对使用PPPoA的最终用户作为核 心骨干网。我们讨论根据专用的虚拟信道的此体系结构(PVC) ,在当前配置经常的使用的方法。体系结构使用交换虚拟电 路(SVC)在一个其它论文讨论。

本文 根据现有部署并且体系结构的内部测试。

本文假定在RFC 1483桥接基线体系结构 白皮书读者熟知和熟悉网络接入提供商(NAP)的 设计注意事项 如所描述 。

技术简要

点对点协议 (PPP) (RFC 1331)提供封装更高层协议一个标准方法横跨点到点连 接。它扩大高级数据链路控制(HDLC)信息包结构带有包含 关于信息包的内容的信息的16位协议标识符。

信息包包含信息的三个类型:

  • 链路控制协议(LCP) – 协商链路参数、 认证的信息包大小或者类型

  • 网络控制 协议(NCP) – 包含关于更高层协议的信息包括IP和IPX 和他们的控制协议(IPCP为IP)

  • 包含数 据的数据帧

PPP over ATM适应第五层 (AAL5) (RFC 2364)使用AAL5作为加外框的协议,支持PVC和SVC。 PPPoA 是主要被实施作为ADSL一部分。它依靠RFC1483 ,运行在逻辑链路控制子网访问协议或VC Mux模式下。客户 端前置设备(CPE)设备封装根据此RFC的PPP会话为传输横跨ADSL环和 digital subscriber line access multiplexer (DSLAM)。

PPPoA体系 结构的优点和缺点

PPPoA体系结构继承用于拨号型号的大多PPP的优点。 某些关键点下面是列出的。

优点

  • 根据密码验证协议(PAP) 或质询握手验证协议(CHAP)的每回话认证。因为认证在桥接 体系结构,解决安全漏洞这是PPPoA的最巨大的优点。

  • 每回话记帐是可能的,允许服务提供 商充电根据会议时间的订户因为提供的不同服务。每回话记 帐允许服务提供商提供最低费用的最低访问级别然后充电订户为使 用的其它服务。

  • IP地址保存在CPE。 这只允许服务提供商为CPE分配一IP地址,用为网络地址转换 (NAT)的CPE配置。所有用户在一个CPE 之后能使用单个IP地 址到达不同的目的地。 顶上为网络接入提供商/网络服务提 供商(NAP/NSP)为每个人用户减少IP管理当保存IP地址时。另 外,服务提供商能提供一个小的子网IP地址解决限制关于端口地址 转换(PAT)和NAT。

  • NAPs/NSPs提供对 公司网关的安全访问没有管理端到端PVC和使用第三层路由或第二层 Forwarding/Layer 2隧道协议(L2F/L2TP)隧道。因此,他们 能扩展他们的商业模式为卖批发服务。

  • 排除个体用户故障。NSP能容易地识别哪些订 户继续下去或基于活动PPP会话,而不是故障排除整个组这一点是案 件伴随着桥接体系结构。

  • NSP能通过 配置空闲和会话超时过度预定使用一个业界标准的远程验证拨入用 户服务(RADIUS)服务器为每个订户。

  • 高度可升级我们在会聚路由器能终止PPP会话的非常 大数字。验证、授权和记帐可以为使用外部的RADIUS服务器 的每个用户被处理。

  • 最佳的使用功能 在服务选择网关(SSG)。

缺点

  • 仅 单个会话每个CPE在一个虚拟信道。从用户名和口令在CPE只 配置,所有用户在CPE之后为该特定的VC能访问一个服务集合。 用户不能选择不同的服务集合,虽然使用多个VC并且建立不 同的PPP会话在不同的VC是可能的。

  • CPE设置的增加的复杂性。帮助人员在服务提 供商需要更加熟知。从用户名和口令在CPE配置,订户或CPE 供应商将需要做设置变动。使用多个VC增量配置复杂性。 这然而,可以由没有发布的自动配置功能解决。

  • 服务提供商需要维护用户名和口令数 据库为所有订户。如果使用隧道或代理服务,则认证可以根 据域名完成并且用户认证完成在公司网关。这减少服务提供 商必须维护数据库的大小。

  • 如果单个 IP地址提供给CPE和NAT/PAT是被实施,某些应用程序例如IPTV,在 有效载荷嵌入IP信息,不会工作。另外,如果使用IP 子网 功能,IP地址必须也是后备的为CPE。

PPPoA体系结构的实施注意 事项

要考虑的关键点 在实现PPPoA体系结构之前包括:

  • 当 前和在将来服务订户的数量,这影响必需的PPP会话的数量。

  • PPP交易是否结束在服务provider?s 会聚路由器或发送到其他公司网关或网络服务提供商(ISP)。

  • 服务提供商或最终服务目的地是否提 供IP地址给subscriber?s CPE。

  • 提供 的IP地址是否是合法共享或专用的。CPE执行NAT/PAT或NAT是 否将执行在终结目的地?

  • 最终用户、 住宅用户、Small Office Home Office(SOHO)用户和远程办公者 档案。

  • 一旦超过一个用户,所有用户是否需要到达同一项最 终目的地或服务,或者他们全部有不同的服务目的地。

  • 服务提供商提供任何增值服务类似语 音或视频?服务提供商是否要求所有订户对首先去一个特定 网络在到达最终目的地之前?订户何时使用SSG,他们使用转 接服务、点到点协议终接汇聚(PTA),仲裁设备或者代理?

  • 服务提供商在使用的固定费率、每 回话使用方法或者服务如何发单subscribers—based。

  • CPEs、DSLAMs和聚合 Points of Presence (PoPs) 配置和物资供应。

  • 商业模式为NAP。型号是否也包括卖批发服务 类似安全的企业访问和增值服务类似语音和视频?NAP是否是 和NSPs同一个实体?

  • 公司的商业模式 。与一个独立的市话运营商(ILEC),具有竞争力的市话运营 商(CLEC)或ISP它是否是可比较的?

  • NSP为最终用户将提供应用程序的种类。

  • 期望的上行和下行数据流量。

保留这些点在头脑,我们讨论 PPPoA 体系结构如何将适合并且扩展对不同的商业模式为服务提供 商并且提供商如何能使用此体系结构有益于。

[page]

典型的PPPoA网络体系结构

以下图表显示一个典 型的PPPoA网络体系结构。使用CPEs的用户接通到服务提供商 网络通过Cisco DSLAM,连接到Cisco 6400 聚集器使用ATM。

 

PPPoA体系结构的设计注意事项

在本文的"实施注意事 项"部分,PPPoA 体系结构可以使用不同的方案配置根据服务 provider?s商业模式。在此部分,我们讨论服务提供商必须 在配置解决方案之前记住的不同的可能性和考虑。

在配置PPPoA体系结构和一个特定的解决方案之前为 此体系结构,了解服务provider?s 商业模式是重要的。考 虑服务提供商将提供的服务。服务提供商是否将提供一项服 务类似对其最终用户的高速互联网访问或是否将卖批发服务对不同 的ISPs并且提供增值服务给那些订户?服务提供商是否将提 供所有?

一旦高速互联网访问在NSP 和NAP其中是相同的环境里,在配置的会聚路由器必须结束 subscriber?s PPP交易。在此方案,服务提供商需要考虑多 少场PPP交易在一个单个路由器汇聚设备可以结束,用户如何验证, 他们如何执行记帐和路径对互联网一旦用户会话被终止。根 据PPP会话和订户的数量,会聚路由器能是Cisco 6400或Cisco 7200 。Today?s Cisco 6400用7个节点路由处理器(NRP)能结束 14,000 场PPP交易。Cisco 7200对2,000次PPP会话被限制。 这些编号将更改与新的版本。请检查版本说明并且产 品文件为每个会聚路由器可以支持会话的确切的数字。

用户认证和记帐在这些方案通过使用 一个工业标准的RADIUS服务器最好处理,能验证根据用户名或虚拟 路径标识符/虚信道标识符的用户(VPI/VCI)使用。

为高速互联网访问,NSPs通常发单用户一个固定费率 。大多当前配置实现此样。当NSP和NAP是同一个实体 时,用户被发单以一个固定速度为访问和另一个固定速度为互联网 访问。此模型变动当服务提供商开始提供增值服务。服务提供商能充电根据服务类型的用户并且服务使用期限。用户接通到互联网通过会聚路由器使用路由协议类似开放式最短路 径优先(OSPF)或增强的内部网关路由协议(EIGRP)到可能运行边界 网关协议(BGP)的边界路由器。

服务 提供商有为提供高速互联网访问的另一个选项是发送流入的PPP会话 从订户到独立的ISP使用L2TP/L2F建立隧道。当使用时L2x建 立隧道,应该为产生特别注意事项隧道目的地如何可以到达。 可用的选项对用一些路由协议或提供静态路由在会聚路由器 。 限制当时使用L2TP或L2F隧道是:(1) 隧道的数量 和在那些隧道可以支持会话的数量; 并且(2)使用路由协议不 兼容与第三方ISPs,可能使用静态路由要求。

如果服务提供商为最终用户提供服务为不同的ISPs或 公司网关,他们在会聚路由器可能需要实现SSG功能。这允许 订户通过使用基于Web的服务选择选择不同的服务目的地。服 务提供商能或者向前订户PPP会话对他们所选的目的地通过结合所有 会话被注定对ISP到单个PVC为传输,或者如果服务提供商提供多个 服务级别,超过一个PVC可能横跨核心设立。

在一个批发服务模型,服务提供商可能不使用SSG功 能。在此型号,服务提供商对家庭网关扩大所有PPP会话。 家庭网关提供IP地址给最终用户并且验证终端用户。

一个主要考虑在任何这些方案是服 务提供商如何能提供不同的服务质量(QoS)为不同的服务并且他们 如何计算带宽分配。 当前,方式多数服务提供商在不同的 PVC 配置此体系结构提供另外QoS。他们在核心可能有独立 的PVC为住宅和商业用户。 使用不同的PVC允许服务提供商为 不同的服务指定另外QoS。此样,QoS能在独立的PVC或在第三 层。

适用QoS在第三层要求服务提供 商知道最终目的地,可能是一个限定系数。但,如果使用与 第二层QoS的组合(通过适用它在不同的VC),它可以是有用的为服务 提供商。 限制与此型号是是固定的并且服务提供商需要为 QoS事先提供。QoS在服务的选择没获得动态地适用。当前,没有能选择不同的带宽的用户的选项为不同的服务带有鼠标 的点击; 然而,投资了大量的工程工作开发此功能。

CPE配置、管理和物资供应可能是非 常富挑战性在此体系结构,CPE需要为用户名和口令配置。作 为一个简单解决方案,一些服务提供商为所有CPEs使用同一个用户 名和口令。这提交重大的安全风险。另外,如果CPE需 要同时打开不同的会话、另外的VC 需要提供在CPE,NAP和NSP。 Cisco DSLAMs和汇聚设备有能力简化CPE配置和物资供应。 流通过管理工具为端到端PVC物资供应也是可用的。因为必须管理,提供在NSP为使用PVC的许多订户是一个限定系数所 有不同的PVC。另外,没有物资供应2000 PVC简单方法在单个 NRP通过点击鼠标或输入少量keystorkes。

今天我们有不同的管理应用为此体系结构不同的组件 ,例如Viewrunner为DSLAM和SCM 为那里Cisco 6400是将提供所有组 件的没有管理平台。这是一个很好被认可的限制并且投资大 量精力有单个,综合管理应用程序提供CPE,DSLAM和Cisco 6400。 另外,我们当前有一个解决方案实现PPPoA与SVC,极大将实 现配置。PPPoA与SVC也将允许终端用户动态地选择目的地和 QoS。

要记住的另一个重要点为大 ADSL部署使用此体系结构是通信从会聚路由器到RADIUS 服务器。 如果NRP前端失去作用当几一千场PPP交易在汇聚设备时结束 ,必须重建所有那些PPP会话。这意味着必须验证所有订户并 且他们的计费记录被终止和重新启动一旦连接被建立。当许 多订户设法获得同时时验证,管道到RADIUS服务器可以是瓶颈。 一些订户可能不能验证并且这能制造问题为服务提供商。

有RADIUS服务器的一条链路以同时 适应所有订户的足够的带宽是非常重要的。 此外,RADIUS服 务器应该是足够强大的同意权限所有订户。一旦千位订户, 应该设想一个选项对负载平衡在可用的RADIUS服务器之间。此功能是可用的在® Cisco IOS软件。

作为最终考虑事项,会聚路由器必 须满足执行适应许多PPP会话。运用其他实施使用的同样流量 工程原理。早先,用户在点对点子接口必须配置PVC。今天PPPoA在多点子接口允许用户配置多个PVC以及点到点。 每PPPoA连接不再要求二个接口描述符模块(IDBs),一个为虚拟访问 接口和一个为ATM 子接口。此增进增加PPPoA会话的最大数 量运行在路由器的。

平台支持最大 数量PPPoA会话取决于可用系统资源例如内存和CPU速度。每 次PPPoA 会话取出一个虚拟访问接口。每个虚拟访问接口包 括硬件接口描述阻塞和一个软件接口描述阻塞(hwidb/swidb)对。 每hwidb采取关于4.5K.每swidb一起采取关于2.5K.,虚拟访 问接口要求7.5K. 2000虚拟访问接口要求2000年* 7.5K 或15M。 运行2000次会话,路由器需要一另外15M。由于在会话 限制的增量,路由器需要支持更多IDBs。此技术支持影响性 能由于更多CPU周期运行PPP状态机的更多实例。

PPPoA体系结构的关键点

此部分在PPPoA体系 结构描述三个关键点:CPE,IP管理和到达服务目的地。

 

由 于PAT的本质,嵌入的某些应用程序IP 信息在有效载荷在此方案不 能工作。解决此问题,适用子网IP地址而不是单个IP地址。

在此体系结构因为IP地址分配到CPE ,NAP/NSP远程登录到CPE配置和排除故障是容易。

CPEs能根据subscriber?s配置文件 使用不同的选项。例如,为了一个住宅用户CPE 可能配置没 有PAT/DHCP。为订户用超过一个PC,CPEs可以为PAT/DHCP或 方式配置和那一个住宅用户一样。如果有IP电话接通到CPE, CPE可能为超过一个PVC配置。

IP管理

 

在 PPPoA体系结构,订户CPE IP地址分配在拨号模式下使用IPCP协商, PPP的同一个原理。 IP地址根据订户使用的服务类型分配。 如果订户有仅互联网访问从NSP,NSP将结束那些PPP交易从 订户并且分配IP地址。 IP地址从一个本地定义的池分配, DHCP 服务器或者可以是适用从RADIUS服务器。 并且,当订 户起动PPP会话时,ISP可能提供了一套静态IP地址给订户并且可能 不动态地分配IP地址。在此方案,服务提供商将使用仅 RADIUS服务器验证用户。

如果订户 喜欢有多个服务可用,NSP 可能需要实现SSG。以下可能性 为分配IP 地址。

  • SP可能提供IP地 址给订户通过其本地地址池或RADIUS服务器。在用户选择一 项服务之后,SSG寄user?s数据流给该目的地。 如果SSG使用 代理模式,最终目的地可能提供IP地址,SSG将使用作为可视地址为 NAT。

  • PPP会话在服务provider?s会 聚路由器没获得终止。他们被建立隧道或转发到最终目的地 或家庭网关,最终将结束PPP交易。 最终目的地或家庭网关 与订户协商IPCP,从而动态地提供IP地址。只要最终目的地 分配了那些IP地址⑶矣新酚傻剿牵蔡刂芬彩强赡艿摹?/P>

在Cisco IOS软件版本12.0.5DC之前 Cisco 6400 NRP ,没有办法为了服务提供商能提供子网IP地址给订 户。Cisco 6400平台和Cisco 600系列CPEs在CPE允许IP子网 动态地配置在PPP协商期间。 一IP地址从此子网分配到CPE并 且剩余IP 地址动态地分配到位置通过DHCP。当使用时此功 能,CPEs不需要为PAT配置,不与一些应用程序一起使用。

服务目的 地如何到达

在PPPoA体系结构,服务目的地可以到达用不同的方 式。某些最普通配置的方法是:

  • 结束PPP交易在服务提供商

  • L2TP建立隧道

  • 使用 SSG

在所有三个方法有从CPE定义的 一个固定的PVC组对在会聚路由器被交换对一个固定的PVC组的DSLAM 。PVC从DSLAM被映射到会聚路由器通过ATM云。

服务目的地可能使用其他方法这样 的PPPoA与SVCs或者多协议标签交换/虚拟专用网也到达。这 些方法是超出本文的范围之外并且讨论在其它论文。

终止PPP 在聚合

 

订 户起动的PPP交易结束在验证使用一个本地数据库在路由器或通过 RADIUS服务器的用户的服务提供商。在用户验证之后,IPCP 协商发生并且IP地址分配到CPE。在IP地址分配之后,有主机 路由设立了在CPE和在会聚路由器。IP地址分配到订户,如果 合法,做通告到边界路由器。边界路由器是订户能访问互联 网的网关。如果IP地址是专用的,服务提供商转换他们在做 通告他们之前为边界路由器。

L2TP/L2F建立隧道

 

PPP 会话,根据服务提供商或公司、隧道对上行终止点使用L2TP或L2F而 不是被终止在服务provider?s会聚路由器。此终止点验证用 户名并且订户通过DHCP或本地地址池分配IP 地址。为此方 案通常有一条隧道设立在L2TP访问Concentrator/network接入服务 器(LAC/NAS之间)和家庭网关或者L2TP Network Server (LNS)。 LAC验证根据域名的流入的会话; 用户名验证在最终目 的地或家庭网关。

在此型号然而, 用户只只访问最终目的地并且能每次访问一个目的地。例如 ,如果CPE用rtr@cisco.com用户名配置,个人计算机在该CPE之后能 只访问Cisco域。如果他们想要连接到另一个公司网络,他们 在CPE需要更改用户名和口令反射该公司域名。隧道目的地通 过使用路由协议,静态路由或者执行在这种情况下到达经典 IP over ATM (如果ATM更喜欢作为第二层)。

使用服务选择网关 (SSG)

 

SSG 的主要优点胜过建立隧道是SSG提供一对多的服务映射,而建立隧道 提供仅一对一映射。这变得非常有用当单个用户需要对多个 服务的时访问,或者多个用户在每需要访问对一项唯一服务的单个 位置。SSG使用基于Web的服务选择公告(SSD),包括不同的服 务并且供给用户。用户能一次访问一项服务或多个服务。 使用SSG的另一个优点是服务提供商能发单根据服务使用和会 议时间的用户,并且用户能启用服务断断续续通过SSD。

 

当 PPP会话自订户,进来用户验证。 用户是指定的IP地址从本 地地址池或RADIUS 服务器。在用户成功验证之后,来源对 象是由SSG代码创建的并且提供用户对默认网络的访问。默认 网络包含SSD服务器。 使用浏览器,用户登录对显示板,根 据在RADIUS服务器存储的user?s配置文件验证由AAA 服务器和,为 访问提供服务集合。

每次一个认证 的用户选择一项服务,SSG创建一个目的地对象为该用户。目 的地对象包含信息例如目的地地址、DNS服务器地址为该目的地和分 配的IP原地址从家庭网关。 进来自user?s边的信息包转发到 根据信息的目的地包含在目的地对象。

SSG可以为代理服务、透明转接或者PTA 配置。 当订户请求对代理服务的访问,NRP-SSG将通过访问请求对远 程RADIUS服务器。 在接受access-accept,SSG回应订户带有 access-accept。SSG出现作为客户端到远程RADIUS 服务器 。

透明转接在任何一个方向允许未 经鉴定的用户数据流通过SSG被路由。使用过滤器控制透明转 接数据流。

PTA可能由PPP类型用户 只使用。 认证、授权和记帐在代理服务类型确切地执行正如 。订户登录到服务使用表user@service的用户名。SSG 转发那到RADIUS 服务器,然后装载服务配置文件对SSG。 SSG 寄请求给远程RADIUS服务器如由服务 profile?s RADIUS 服务器属性指定。在请求验证之后, IP 地址分配到订户。NAT没有执行。所有用户数据流 聚集对远程网络。与PTA,用户只能访问一项服务和不访问默 认网络或SSD。

[page]

PPPOA体系结构的操作说明

当CPE首先供给动力时,开始发送 LCP 配置请求到会聚服务器。会聚服务器,用PVC配置,在 一个虚拟访问接口也派出LCP配置请求(联合PVC)。当每一个 看其他的配置请求时,他们承认请求并且打开LCP状态。

为认证阶段,CPE发送认证请求到 会聚服务器。服务器,根据其配置,二者之一验证根据域名 的用户(如果供应),或者用户名使用其本地数据库或RADIUS服务器 。以username@domainname的形式,如果请求从订户是,会聚 服务器将设法创建隧道对目的地,如果你已经不是那里。在 隧道被创建之后,会聚服务器转发PPP请求从订户到目的地。 目的地,反过来,验证用户并且分配IP 地址。如果 请求从订户不包括域名,用户由本地数据库验证。如果SSG在 会聚路由器配置,用户访问默认网络如指定并且能获得选项选择不 同的服务。

结论

因为是高度可升级的,使用SSG功能,并且提供安全,PPPoA成为最 适当的体系结构为许多服务提供商。因为本文焦点是PPPoA 体系结构,包括功能类似SSG详细是不可能的。这些功能在随 后的文件将报道。在本文讨论的不同的方案的示例配置在其 它论文也将被呈现并且解释。

 

posted on 2005-05-22 22:59  cunshen  阅读(770)  评论(0编辑  收藏  举报