长距离以太网 (LRE) 和数字用户线 (xDSL) : PPPoE/PPPoA (以太网点对点协议/ ATM点对点协议)

PPPoA 基准 体系结构

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文描述端到端不对称数字用户线路(ADSL)体系结构使用在异步传输模式的点对点协议(PPPoA)。虽然多数是根据桥接体系结构来部署,但是PPPoA非常流行,并且将在未来ADSL部署中占有更大部分。

假定

基准体系结构使用PPPoA的作为核心骨干网假设需要为最终用户提供高速互联网访问和公司接入。我们将讨论基于专用的虚拟信道的(PVC)体系结构,它是当前部署中最常用的方法。体系结构使用交换虚拟电路(SVC)在其它论文讨论。

本文根据体系结构的现有部署以及内部测试。

"本文假定读者了解并且熟悉""RFC1483桥接基线体系结构白皮书""中所述的网络接入提供商(NAP)设计注意事项。"

技术简介

点对点协议(PPP) (RFC 1331)提供封装在点对点连接间的更高层协议标准方法。它用16位协议标识符扩展高级数据链路控制(HDLC)数据包结构,此标识符包含关于数据包内容的信息。

数据包包含信息的三种类型:

  • 链路控制协议(LCP) –协商验证的链路参数、数据包大小或者类型

  • 网络控制协议(NCP) 包含了更高层协议(包括IP和IPX)以及它们的控制协议(IP的IPCP)的信息。

  • 包含数据的数据帧

PPP over ATM适配层5 (AAL5) (RFC 2364) 使用AAL5作为成帧协议,该协议支持PVC和SVC。作为ADSL一部分, PPPoA主要实现。它依靠RFC1483,操作在逻辑链路控制子网访问协议或VC-Mux模式。客户端前置设备(CPE)基于RFC封装PPP会话,用于在整个ADSL环路和数字用户线访问多路复用器(DSLAM)上传输。

PPPoA 体系结构的优点和缺点

PPPoA体系结构继承了拨号模式的PPP的大多数优点。某些关键点下面是列出的。

优点

  • 每会话验证基于的密码认证协议或质询握手验证协议(CHAP)。因为认证克服了桥接体系结构中的安全漏洞,这是PPPoA的最大的优势。

  • 根据每个会话进行记帐是可能的,它允许服务提供商根据提供各种服务的会话时间收取用户的费用。每个会话记帐可以使服务提供商提供最低费用的最低访问级别,然后收取用户使用其它服务的费用。

  • 在CPE的IP地址保存。这只允许服务提供商使用为网络地址转换(NAT)配置的CPE为CPE分配一个IP地址。在CPE后面的所有用户可以使用单个IP地址,到达不同目的地。当保存IP地址时,服务于每个人用户的网络接入提供商/网络服务提供商(NAP/NSP)的IP管理开销减少了。另外,服务提供商可以提供一段小子网IP地址,以摆脱端口地址转换(PAT)和NAT的限制。

  • NAP/NSP提供到公司网关的安全访问,而不需要管理端到端的PVC,也不需要使用第三层路由或第二层转发/第二层隧道协议(L2F/L2TP)隧道。因此,他们能扩展他们的出售的批发服务商业模式。

  • 排除故障个体用户。NSP能根据活动PPP会话轻易地识别哪些用户是在线那些是下线,而不是使用像桥接体系结构中的故障排除整个组的方法。

  • NSP能通过为每个用户使用一个业界标准 的远程验证拨入用户服务 (RADIUS) 服务器配置空闲和会话超时,来实现超额预定。

  • 高可朔性,我们能终止聚合路由器的一个数目非常大的PPP会话。认证、授权和记帐可以为使用外部RADIUS服务器的每个用户被处理。

  • 功能充分利用在服务选择网关(SSG)的。

缺点

  • 仅单个会话每个在一个虚拟信道的CPE。因为用户名和密码配置在CPE上,所以所有CPE之后的用户为特定的VC只能访问一个服务集合。用户不能选择不同服务集合,虽然可以在不同VC上使用多个VC,并建立不同PPP会话。

  • CPE设置的增加的复杂性。服务提供商的帮助人员需要更加熟知。因为用户名和密码配置在CPE上,所以订户或CPE 供应商将需要改动设置。使用多个VC增加配置的复杂性。然而,该问题的解决可以通过还没有发布的自动配置功能。

  • 服务提供商需要维护用户名和密码数据库所有用户的。如果使用了隧道或代理服务,则认证可以根据域名进行,而用户认证在公司网关上进行。这减少服务提供商必须维护数据库的大小。

  • 如果单个IP地址提供给CPE,而且实施了NAT/PAT,某些将IP信息嵌入有效载荷中的应用,例如IPTV,将不能运行。另外,如果使用IP子网功能,IP地址也必须为CPE保留。

PPPoA 体系结构实施注意事项

要考虑的关键点在实现PPPoA体系结构前包括:

  • 目前和将来服务的用户数量,这将影响所需的PPP会话数量。

  • PPP会话是否终止在服务提供商?s聚合路由器或转发对其他公司网关或网络服务提供商(ISP)。

  • 服务提供商或最终服务目的地是否提供IP地址给用户?s CPE。

  • 提供的IP地址是否法律公共或私有。CPE将执行NAT/PAT,还是NAT将在终结目的地上执行?

  • 终端用户、住宅用户、小型办公室家庭办公室(SOHO)客户和远程办公者配置文件。

  • 一旦超过一个用户,无论所有用户是否需要到达同一个最终目的地或服务,或者它们全部有不同的服务目的地。

  • 服务提供商提供任何增值服务类似语音或视频?服务提供商需要所有订户在到达最终目的地之前首先访问特定的网络吗?当用户使用SSG时,他们 会使用转接服务、PPP终端聚合(PTA),仲裁设备或者代理吗?

  • 服务提供商如何发单基于用户的在一个固定费率,每使用的会话使用或者服务。

  • 部署和CPE设置、DSLAMs和聚合点在线状态(POPs)。

  • NAP的商业模式。模型还包括批发出售服务(类似安全的企业访问)和增值服务(类似语音和视频)吗?NAP是否是和NSPs同一个实体?

  • 公司的商业模式。与独立的市话运营商(ILEC),具有竞争力的市话运营商(CLEC)或ISP它是否是可比较的?

  • NSP将提供给终端用户应用程序的种类。

  • 期望的上行和下行数据流量。

请记住这几点,我们将讨论PPPoA体系结构是如何适合和扩展到服务提供商的不同商业模式,和使用这个体系结构如何使服务提供商受益。

典型的 PPPoA 网络体系结构

以下图表显示一个典型的PPPoA网络体系结构。使用CPE的用户可以通过Cisco DSLAM连接到服务提供商,Cisco DSLAM使用ATM连接到Cisco 6400聚集器。

/image/gif/paws/12914/pppoa_arch_1.gif

PPPoA 体系结构设计注意事项

在本文的"实施注意事项"部分,PPPoA体系结构可以根据服务提供商的具体情况,使用不同的方案部署。s商业模式。在此部分中,我们将讨论在部署解决方案之前服务提供商必须记住的不同的可能性和考虑。

在配置PPPoA体系结构和为此体系结构配置的一个特定的解决方案之前,需要了解服务提供商吗?s商业模式。考虑服务提供商将提供的服务。服务提供商会为最终用户提供高速互联网访问这样的服务,还是会将业务批发给不同的ISP,并且为那些用户提供增值服务呢?服务提供商是否将提供所有?

一旦高速互联网访问一个NSP和NAP相同 的环境,用户s PPP会话在配置的聚合路由器必须终止。在这个方案中,服务提供商需要考虑在一个路由器汇聚装置上可以终止多少PPP会话,用户如何被验证,他们怎样完成记帐,一旦用户会话被终止,它们通过哪条路径访问互联网。根据PPP会话和用户的数量,聚合路由器可以是Cisco 6400或Cisco 7200。今天?s Cisco 6400用7个节点路由处理器(NRP)能终止14,000 PPP会话。Cisco7200对2,000 PPP会话被限制。这些编号随新的版本将改变。请检查版本说明和产品文件,以了解每个聚合路由器可以支持会话的确切的数量。

在这种情况下,处理用户认证和记帐的最佳方式是:使用行业标准的RADIUS服务器,它可以根据用户名或正在使用的虚拟路径标识符/虚拟信道标识符(VPI/VCI)来进行验证。

对于高速互联网访问, NSPs通常寄账单给客户每固定费率。大多当前部署实现这样。当NSP和NAP是同一个实体时,客户按照一个固定的速率计费对访问计费,并按照另一个固定的速率对互联网访问计费。当服务提供商开始提供增值服务,此型号更改。根据服务的类型和服务的使用期限,服务提供商可以向用户收费。用户使用路由协议,如开放式最短路径优先(OSPF),通过聚合路由器连接到互联网,或者使用增强的内部网关路由协议(EIGRP),连接到可能正在运行边界网关协议(BGP)的边界路由器。

服务提供商提供高速互联网接入的另外一个选择方案是:将来自用户的入局PPP会话转发到使用L2TP/L2F隧道的独立ISP。使用L2x建立隧道时,应该特别考虑如何到达隧道目的地。可用选项运行某些路由协议或在聚合路由器中提供静态路由。限制,当使用L2TP或L2F通道时是:(1)可以在那些隧道中支持隧道的数量和会话的数量;并且(2)路由协议的使用与第三方ISP不兼容,它可能需要使用静态路由。

如果服务提供商为不同的ISP或公司网关对终端用户提供服务,他们可能需要在聚合路由器上实施SSG功能。通过使用基于Web的服务选择,这允许用户选择不同的服务目的。服务提供商既可将所有发送到ISP的会话结合到一个PVC,以进行传输,转发用户的PPP会话,或者如果服务提供商提供多个级别的服务,则可在核心中建立多个PVC,以转发PPP会话。

在批发服务模型中,服务提供商可能不使用SSG功能。在此型号中,服务提供商对家用网关扩大所有PPP会话。家用网关提供IP地址给终端用户并且验证最终用户。

在任何情况下,我们都会重点考虑的一个问题是:服务提供商如何才能为不同业务提供不同的服务质量(QoS),他们如何计算带宽分配。目前,方式多数服务提供商部署此体系结构提供在不同PVC的另外QoS。他们可能有在核心的独立的PVC住宅和商业用户的。使用不同PVC允许服务提供商指定另外服务的另外QoS。这样, QoS能在独立的PVC或在第3层。

在第3层适用QoS,要求服务提供商知道最终目的地,这可能是限定系数。但是,如果与第二层QoS结合使用(在不同的VC中应用),对服务提供商来说将非常有用的。此类型的限制是它是固定的并且服务提供商需要提前设置QoS。QoS在服务的选择不动态地得到应用。当前,没有这样的选项,使用户只需单击鼠标就可以为不同的服务选择不同带宽;然而,大量的工程工作投资了开发此功能。

由于CPE需要进行用户名和密码的配置,因而在这个体系结构中,CPE的部署、管理和设置可能非常具有挑战性。作为一个简单的解决方案,一些服务提供商把同一个用户名和密码用于所有CPE。这提交重大的安全风险。另外,如果CPE需要同时打开不同的会话,则必须在CPE、NAP和NSP上设置额外的虚拟电路。思科DSLAMs和聚合设备有能力简化CPE配置和供应。直通业务管理工具为端到端PVC物资供应也是可用的。因为每个不同的PVC都需要被管理,所以为在NSP使用PVC为太多用户设置是一个限制性的因素。另外,没有通过点击几下鼠标或输入几个关键命令,在单个NRP上设置2000 PVC的简单方法。

现在,对于这个体系结构中的不同组件,我们使用不同的管理应用程序,比如使用Viewrunner管理DSLAM、使用SCM管理Cisco 6400。没有一个管理平台可以管理所有的组件。这是公认的限制,并且已付出了巨大努力获得一个全面的管理应用,以设置 CPE、DSLAM和Cisco 6400。另外,目前我们有一种解决方案,可以执行带有SVC的PPPoA,这将大大简化部署。带有SVC的PPPoA也将允许终端用户动态地选择目的地和QoS。

使用此体系结构进行ADSL大规模部署的另一个要点应该记住的是从聚合路由器到RADIUS服务器的通信。如果NRP前端出故障,当几千个PPP会话在聚合设备结束时,必须重建所有那些PPP会话。这意味着一旦建立连接必须验证所有用户并且终止和重新启动它们的计费记录。当许多订户设法获得同时认证时,通往RADIUS服务器的管道可能是一个瓶颈。一些订户不可能得到认证,这将为服务提供商制造问题。

具有一条连接到具有足够带宽的RADIUS服务器的链路是非常重要的,以便同时容纳所有用户。此外, RADIUS服务器应该是足够强大的同意权限对所有用户。在成千上万用户的情况下,应该考虑在可用的RADIUS服务器之间负载平衡的选项。此功能是可用的在思科IOS�软件方面。

作为最终考虑事项,聚合路由器必须充分地执行适应许多PPP会话。运用其他实施使用的同样流量工程原理。以前,用户必须配置在点对点子接口的PVC。今天PPPoA允许用户配置在多点子接口以及点对点的多条PVC。每个PPPoA连接不再要求二个接口描述符模块(IDB) ,一个用于虚拟访问接口,一个用于ATM子接口。此增强增加运行在路由器的PPPoA会话最大。

PPPoA会话在平台上支持的最大数量取决于可用系统资源,例如内存和CPU速度。每次PPPoA会话取出一个虚拟访问接口。每个虚拟访问接口包括硬件接口描述符块和一个软件接口描述符块(hwidb/swidb)对。每hwidb采取关于4.5K。每swidb采取关于2.5K。同时,虚拟访问接口要求7.5K。2000个虚拟访问接口要求2000年* 7.5K或15M。要运行2000会话,路由器需要一另外15M。由于在会话限制的增加,路由器需要支持更多IDB。该支持影响性能,因为更多的CPU周期运行更多PPC状态机的实例。

PPPoA 体系结构的关键点

此部分在PPPoA体系结构里描述三个关键点:CPE, IP管理和到达服务目的。

/image/gif/paws/12914/pppoa_arch_2.gif

由于PAT的性质,在这种情况下,某些将IP信息嵌入到有效载荷中的应用将不能运行。要解决此问题,请应用子网IP地址而不是单个IP地址。

在此体系结构中,由于已经为CPE分配了一个IP地址,NAP/NSP远程登录到CPE进行配置和故障排除变得更加简单。

CPE能使用不同的选项依靠用户?档案。例如,为了住宅用户CPE可能配置,不用PAT/DHCP。对于拥有一台以上PC的订户,既可为CPEPAT/DHCP配置CPE,也可采用与住宅用户相同的方式。如果有一个IP电话与CPE连接,那么CPE可能配置超过一个PVC。

IP 管理

pppoa_arch_3.gif

在PPPoA体系结构中,用户CPE的IP地址分配使用IPCP协商,它与拨号模式中的PPP原理相同。IP地址根据服务类型分配用户用途。如果用户只能从NSP访问互联网,那么NSP将结束那些用户的PPP会话,并将分配一个IP地址。IP地址从一个本地定义的池(DHCP服务器)分配,或者可以从RADIUS服务器应用。并且,当用户起动PPP会话时,ISP可能已经为用户提供了一套静态IP地址,并且可能不动态地分配IP地址。在此方案中,服务提供商只使用RADIUS服务器,验别用户。

如果用户希望有多个服务可用,则NSP可能需要实现SSG。以下分配IP地址的可能性。

  • SP可能提供IP地址给用户通过其本地池或RADIUS服务器。在用户选择服务后, SSG转发用户?对该目的地的s流量。如果SSG使用代理模式,最终目的地可能提供一个IP地址,SSG将使用此地址作为NAT的可视地址。

  • PPP会话在服务提供商不终止?s聚合路由器。它们建立隧道或转发到最终目的地或家庭网关,它将最终结束PPP会话。最终目的地或家用网关协商与用户的IPCP,从而动态地提供IP地址。只要最终目的地分配到这些IP地址,并且有到这些地址的路由,也可能是静态地址。

在the Cisco 6400 NRP的Cisco IOS 软件12.0.5DC以前的版本中,服务提供商还不能为用户提供子网IP地址。Cisco 6400平台和Cisco 600系列CPE允许IP子网在PPP协商期间在CPE上动态配置。来自这个子网的一个IP地址被分配给CPE,剩余的IP地址都通过DHCP动态地分配到这个位置。当使用此功能时,CPE不需要为PAT配置,它不与一些应用程序一起使用。

如何到达服务目的地

在PPPoA体系结构方面,服务目的可以到达用不同的方式。某些通常部署的方法是:

  • 终止服务提供商的PPP会话

  • L2TP建立隧道

  • 使用SSG

在这所有的三种方法中,都有固定的一组PVC被定义,从CPE到DSLAM,DSLAM在聚合路由器上交换到固定的一组PVC。PVC从DSLAM被映射到聚合路由器通过ATM云。

服务目的地可能使用其它方法连接,比如带有PPPoA的SVC或者多协议标签交换/虚拟专用网。这些方法是超出本文的范围之外,并且讨论在其它论文。

终止在聚合的PPP

pppoa_arch_4.gif

用户发起的PPP会话在服务提供商终接,服务提供商使用路由器上的本地数据库或通过RADIUS服务器,来验证用户。在用户验证之后,IPCP协商发生,并且IP地址被分配到CPE。分配IP地址后,CPE和会聚路由器上就建立了一个主机路由。IP地址分配到用户,如果法律,通告到边界路由器。边界路由器是用户能访问互联网的网关。如果IP地址是专用的,服务提供商在将它们通告给边界路由器之前转换它们。

L2TP/L2F建立隧道

pppoa_arch_5.gif

PPP会话使用L2TP或L2F(取决于服务提供商或公司),通过隧道连接到上行终接点,而不是在服务提供商终接。s聚合路由器。此终止点验证用户名并且订户通过DHCP或本地池分配IP地址。对于这种情况,L2TP接入集中器/网络接入服务器(LAC/NAS)与家庭网关或L2TP网络服务器(LNS)之间通常只建立了一条隧道。LAC验证根据域名的流入的会话;用户名验证在最终目的地或家用网关。

然而在此模型中,用户只能访问最终目的地并且每次只能访问一个目的地。例如,如果CPE使用rtr@cisco.com用户名配置,则该CPE后面的PC就只能访问Cisco域。如果它们想要连接到另一个公司网络,它们需要在CPE上更改用户名和密码,以反应该公司的域名。在这种情况下,可以使用路由协议、静态路由,或者进行经典IP over ATM(如果ATM作为第二层优先),以达到隧道目的地。

使用服务选择网关(SSG)

/image/gif/paws/12914/pppoa_arch_6.gif

SSG over tunneling 的主要优点是:SSG提供一对多的服务映射,而隧道仅提供一对一的映射。当单个用户需要访问多个服务,或同一个位置的多个用户需要同时访问同一个服务时,这就变得十分有用。SSG使用基于Web的服务选择指示板(SSD),它由不同的服务组成,并且对于用户来说是可获得的。用户能一次访问一服务或多个服务。使用SSG的另外一个优点是:服务提供商可以根据用户使用的服务和会话时间,来为用户记帐,用户也可以通过SSD开通或取消服务。

/image/gif/paws/12914/pppoa_arch_7.gif

当PPP会话自用户,进来用户验证。用户分配从本地池或RADIUS服务器的IP地址。在用户成功验证之后,来源目标由SSG代码创建并且为用户提供对默认网络的访问。默认网络包含SSD服务器。使用浏览器,用户登陆到指示板上,由AAA服务器进行验证,取决于用户的类型。在RADIUS服务器存储的档案,提供访问的服务集合。

认证用户每一次选择服务时,SSG就为该用户创建目的地对象。目的地目标包含以下信息:目的地地址、该目的地的DNS服务器地址、家用网关分配的源IP地址。来自用户的数据包?根据目的地对象包含的信息,s端被转发到目的地。

SSG可以为代理服务、透明转接或者PTA配置。当用户要求访问代理服务时,NRP-SSG会将访问请求发送到远程RADIUS服务器当接收access-accept后, SSG响应给有access-accept的用户。SSG出现作为客户端到远程RADIUS服务器。

透明转接在任何一个方向允许通过SSG将路由的未经鉴定的用户数据流。请使用过滤器控制透明转接流量。

PTA可能由PPP类型用户只使用。验证、授权和核算在代理服务服务类型正确地执行正如。用户登陆对服务使用表user@service的用户名。SSG将把它转发到RADIUS 服务器,然后将服务档案加载到SSG。如服务档案中指定的,SSG将请求转发到远程RADIUS服务器。s RADIUS服务器属性。在请求验证后, IP地址分配到用户。NAT没有执行。所有用户数据流聚集对远程网络。通过PTA,用户可以访问一项服务,将不访问默认网络或SSD。

PPPoA 体系结构的操作说明

CPE首次通电时,它便开始将LCP配置请求发送到会聚服务器。配置了PVC的会聚服务器也在虚拟访问接口上(与PVC相连)发送LCP配置请求。当每一个看到其它的配置请求时,它们承认请求并且打开LCP状态。

对于认证阶段, CPE发送认证请求到聚合服务器。服务器既可以根据域名(如果提供)来验证用户,也可以使用它的本地数据库或RADIUS服务器来根据用户名验证,取决于它的配置。如果用户请求是username@domainname形式,并且没有通向目的地的隧道,聚合服务器将会尝试创建一条这样的隧道。在创建隧道之后,会聚服务器从订户将PPP请求转发到目的地。目的地,反过来,验证用户并且分配IP地址。如果用户的请求不包括域名,那么用户可以通过本地数据库认证。如果SSG在聚合路由器上配置,那么用户可以访问指定的默认网络并且能获得选择不同服务的选项。

结论

PPPoA成为许多服务提供商的最适当的体系结构,因为它具有高可扩展性,并使用SSG功能,还提供安全性。因为本文焦点是PPPoA体系结构,所以不可能包括类似SSG的详细功能。这些功能在随后的文件将报道。在本文讨论的不同的情况的配置示例也将在其它论文中展示和说明。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 12914