校園網中PPPOE上網方式的設計與實現

摘要:論文介紹了PPPoE上網方式的基本原理，設計了應用于校園網的接入系統應用方案，討論了校園網實施的技術優勢與不足之處。

關鍵詞:寬帶接入;以太網;PPPoE

中圖分類號:TP311文獻標識碼:A 文章編號:1009-3044(2009)25-7118-02

Design and Implementation of PPPoE Access Technology for Campus Network

XIAO Yuan-e1，KANG Yong-ping2

(Network Information Center， Jinggangshan University，Ji'an 343009，China )

Abstract:This paper introduces the basic principle of PPPoE，and draws out an application scheme of PPPoE for campus network access management. It also discusses the advantages and disadvantages of using such a technology for campus network.

Key words:broad band access; Ethernet; PPPoE

在寬帶接入技術中，以太網接入技術以其高速度、實施容易、成本低廉等特點，一直被眾多的高校和用戶青睞。高校校園網經過幾年的運行，網絡管理者逐漸發現，這種接入方式難以實現用戶認證和流量計費以及不能有效管理IP地址的分配等用戶管理。

按照國家教育部、公安部關于高校校園網必須實行身份認證管理的規定，我校在認真論證的基礎上，與中國電信吉安分公司共同確定了以PPPoE方式實現校園網用戶上網身份認證的實施方案，并于2007年6月在學校各辦公樓、教學樓、實驗樓以及各綜合樓正式實施PPPoE上網方式。通過該上網方式，可以對校內上網用戶進行身份合法性驗證，拒絕非注冊用戶通過校園網絡上網。

1 PPPoE認證

PPP(Point-to-Point Protocol點到點協議)是在同等單元之間傳輸數據包并使傳輸過程簡單化的鏈路層協議。利用以太網資源，在以太網上運行PPP來進行用戶認證接入的方式稱為PPPoE認證。

PPPoE認證要求用戶安裝、設置PPPoE客戶端撥號軟件，由寬帶接入服務器BRAS(Broadband Remote Access Server，簡稱BRAS)配合RADIUS服務器實現對用戶的認證、計費。

認證過程:用戶通過客戶端撥號軟件廣播PPPoE有效發現初始(PADI)包發出請求，經過網絡傳送到寬帶接入服務器BRAS，BRAS服務器接到請求后向RADIUS服務器發出ACCESS REQUEST請求包，其中含有用戶的帳號、密碼、端口類型等，經RADIUS服務器核實后，向BRAS回送ACCESS REPONSE響應包，其中包含用戶的合法性和一些配置信息，如用戶IP地址、掩碼、網關、域名、用戶可使用的帶寬等。用戶接收到這些信息后就可以接入網絡，聯網期間BRAS不斷向RADIUS發送計費信息，這些信息包括用戶的上網時間、用戶流量、用戶下網時間等，以便RADIUS準確計費。

2 PPPoE上網方式的實施

我校校園網絡規模不大，教職工上網用戶將近3000人，同時在線人數不超過500人，如圖1為我校網絡拓撲簡圖。防火墻出口連接Internet服務提供商，用于控制數據包的進出以及實現高性能NAT轉換，完成校園網數據包私有地址與公網地址的轉化;在PPPoE接入中，以華為MA5200G作為BRAS和DHCP，以華為3COM公司的CAMS綜合訪問管理服務器作為Radius服務器來實現用戶認證和計費;核心交換機主要承擔校園網的數據交換和路由服務;交換機1、2、3、4是匯聚層交換機，分別與各接入層交換機連接，提供LAN接入服務。

所有用戶要訪問Internet，都必須先通過寬帶接入服務BRAS，認證通過后才能成功訪問外網，沒有經過認證的用戶無法建立PPPOE連接就也無法上網。接入服務器BRAS和Radius服務器通過標準Radius協議緊密相連，提供用戶準確、詳細的上網信息，包括用戶何時上線、下線，使用時長，流入、流出流量是多少，給計費提供可靠的原始數據。Radius服務器可以計費，可以控制用戶上、下網，斷開使用情況異常的連接，可以指定帶寬，限制用戶的最大上行速率和最大下行速率。因此采用PPPOE接入上網方式可以很好地解決普通以太網環境難以計費和進行用戶管理的問題。

3 PPPoE上網方式的優勢[1]

我校校園網采用PPPoE上網方式已有兩年，用戶從一開始的不理解，認為要記住各自的上網帳號和密碼以及使用PPPoE客戶端撥號上網感到不方便，到逐漸適應這種上網方式。對于個別網管人員，也從一開始的不贊成這種上網方式，擔心上網速度會減慢和網內文件共享不方便等問題，到逐漸認可這種上網方式。校園網經過近兩年的運行，讓我們認識到PPPoE上網方式有諸多的優勢:

1) 有效控制廣播風暴:PPPoE上網方式由于采用二層認證，所有鏈路設備都工作在第二層，故不存在第三層廣播風暴問題。

2) 防止ARP病毒攻擊:ARP病毒攻擊一直是高校傳統以太網上網的頑疾，而通過PPPoE撥號上網，在PPPoE認證過程中上網主機獲取BRAS服務器(網關)MAC地址的方法不是使用ARP協議，而是通過在PPPoE發現階段的PADI報文和PADO報文的交換獲得MAC地址，從而完全杜絕了ARP病毒的攻擊。

3) 防止IP沖突:采用PPPoE接入方式可方便采用動態分配IP地址，不存在用戶自行更改IP地址而產生IP地址沖突的問題。

4) 支持QoS，方便管理:采用PPPoE接入方式支持業務QoS，可方便地對用戶進行不同的流量控制，能夠實現基于時間或流量的上網計費以及基于帳號的用戶管理，可防止用戶在工作時間頻繁使用在線音頻/視頻、P2P下載而影響網絡的的正常應用。

5) 有效阻止病毒的校內蔓延:PPPoE協議是把PPP協議(即點對點協議)移植到以太網上應用的一種協議，用戶在邏輯上是互不相通的，這種點對點通信可有效防范網上病毒、木馬和網絡蠕蟲感染其它用戶的機器。

6) 有效阻止監聽軟件對網絡敏感信息如資金帳號、密碼等信息的非法監聽:對于監聽軟件通常是利用以太網的廣播特性或ARP協議來實現監聽，而采用PPPoE接入方式中的網絡用戶間通信是點對點通信，不適合監聽軟件的工作環境。

7) 采用PPPoE接入方式后，減少了網絡蠕蟲病毒、廣播風暴、IP沖突等網絡故障的頻繁發生，節省了網絡管理員疲于奔波在各用戶中解決網絡故障的時間，從而擁有了更多的時間處理其它核心業務。

4 PPPoE上網方式的不足

采用PPPoE撥號上網，是在數據鏈路層的以太幀中封裝PPP報文，增加了網絡開銷，會使傳輸效率有所下降。而且，要求BRAS服務器有更高的處理能力。由于PPP是一個點到點的協議，故PPPoE上網方式不支持組播業務[2]。另外，采用PPPoE撥號上網后，用戶設置文件共享或打印機共享相對來說不方便，當然我們仍然可以通過有關技術來實現文件或打印機共享。隨著校園網帶寬不斷提升，以及TCP/IP協議組播業務的完善，PPPoE上網方式的些許不足換取校園網管理的極大便利以及校園網的安全是值得的。

5 結束語

PPPoE技術利用已被廣泛接收的以太網協議和PPP協議，彌補兩者在面向用戶的接入管理中存在的不足，并繼承以太網的快速和PPP撥號的簡便特點。PPPoE上網方式的實施，大大提高了我校校園網的可管性和安全性，為保證校園網的穩定運行提供了有力的技術支持平臺。

參考文獻:

[1] 陳肖飛. PPPoE加強校園安全管理[J]. 中國教育網絡，2008，(11):47-48.

[2] 朱曉峰，張月琳. 基于虛擬撥號的用戶接入技術研究與實現[J]. 計算機工程與科學，2003(2):61-63.