當(dāng)用戶和接入服務(wù)器之間的PPPOE建立之后，就可以在上面建立PPP會話。PPP會話的建立分為三個階段：LCP協(xié)商、認(rèn)證、IPCP協(xié)商。

對于PPP終結(jié)和PPP續(xù)傳，LCP協(xié)商階段是相同的。認(rèn)證和IPCP協(xié)商不同。

LCP協(xié)商

LCP協(xié)商主要完成某些鏈路路特性和認(rèn)證方式的協(xié)商，LCP協(xié)商成功后，用戶根據(jù)協(xié)商的認(rèn)證方式向接入服務(wù)器發(fā)起認(rèn)證請求，用戶認(rèn)證的方式采用PAP或CHAP方式

PPP終結(jié)時的認(rèn)證和IP地址分配

PAP為兩次握手認(rèn)證，口令為明文。PAP認(rèn)證過程如下：撥號用戶發(fā)送用戶名和口令到接入服務(wù)器，接入服務(wù)器通過RADIUS協(xié)議到RADIUS服務(wù)器上去查看是否有此用戶，口令是否正確，然后發(fā)送相應(yīng)的響應(yīng)。
CHAP為三次握手認(rèn)證，口令為密文。CHAP撥號用戶發(fā)送用戶名到接入服務(wù)器，接入服務(wù)器發(fā)送一些隨機(jī)產(chǎn)生的報文，交給被撥號用戶，撥號用戶用自己的口令用MD5算法進(jìn)行加密，傳回密文，接入服務(wù)器用從RADIUS服務(wù)器取得的用戶口令及隨機(jī)報文用MD5算法加密，比較二者的密文，根據(jù)比較結(jié)果返回認(rèn)證成功或失敗的響應(yīng)。
接入服務(wù)器和RADIUS服務(wù)器之間通過一個共享密鑰以密文方式通信。
在認(rèn)證階段，如果在用戶數(shù)據(jù)庫中為該用戶名配置了IP地址，則RADIUS服務(wù)器將這個IP地址返回給接入服務(wù)器，作為這個用戶上網(wǎng)使用的IP地址。
如果用戶在認(rèn)證階段還沒有獲得IP地址，就需要在IPCP階段協(xié)商IP地址。一般來說，運(yùn)營商為用戶提供接入服務(wù)時，應(yīng)該有一批IP地址，即IP地址池，用戶上網(wǎng)所需要的IP地址就來自與此，當(dāng)用戶上網(wǎng)時，從IP地址池分配一個IP地址，當(dāng)用戶下網(wǎng)時，這個IP地址歸還到地址池。在運(yùn)營商開通接入服務(wù)時，將IP地址池配置到接入服務(wù)器中，在IPCP階段，接入服務(wù)器從IP地址池分配一個空閑的IP地址給用戶，作為用戶上網(wǎng)的IP地址。如果已經(jīng)沒有可用的IP地址，則IPCP協(xié)商失敗，關(guān)閉PPP連接，在用戶看來，則是撥號失敗，ISP暫時不能為他提供接入服務(wù)。

PPP續(xù)傳時的認(rèn)證和IP地址分配

LCP協(xié)商結(jié)束后，如果經(jīng)RADIUS服務(wù)器檢查這是一個VPN用戶，則接入服務(wù)器為這個用戶建立到LNS的會話，如果沒有隧道還要建立隧道。認(rèn)證分為兩種情況：一次認(rèn)證和兩次認(rèn)證。
一次認(rèn)證是指只在LAC的RADIUS服務(wù)器上認(rèn)證一次，LNS信任LAC的RADIUS服務(wù)器。用戶的IP地址可以由LAC的RADIUS服務(wù)器指定，也可以由用戶和LNS進(jìn)行IPCP協(xié)商獲得。
兩次認(rèn)證是指用戶需要輸入兩次用戶名和口令，一個是接入Internet的權(quán)限驗(yàn)證，一個是進(jìn)入VPN的權(quán)限驗(yàn)證。認(rèn)證的時候需要LAC的RADIUS服務(wù)器和LNS的RADIUS服務(wù)器共同配合。IP地址的可以由LNS的RADIUS服務(wù)器指定，也可以由用戶和LNS進(jìn)行IPCP協(xié)商獲得。

RADIUS協(xié)議擴(kuò)展

為實(shí)現(xiàn)對用戶更全面的管理，在RADIUS協(xié)議中，至少應(yīng)該擴(kuò)展以下屬性：用戶的接入帶寬、用戶接入所使用的PVC，如果用戶間希望互相通信，需要指明對方的用戶名或IP地址。客戶端和服務(wù)器端同時支持。

【相關(guān)文章】

• PPP背對背連接
  

• 運(yùn)營商網(wǎng)絡(luò)結(jié)構(gòu)及IP地址分配原則
  

• 利用注冊表管理IP地址 防止更改IP地址