ISP 如何通过其 radius 服务器或任何其他方法对宽带用户进行身份验证。我是否可以通过数据包捕获、半桥模式、ip tracert 等方式找到此服务器?
该服务器是否是我的宽带网关(显示在路由器 WAN 页面中)
感谢您的时间
答案1
在英国,大多数较小的零售 ISP 从 BT Wholesale 的主干网购买服务,而不是直接从 Openreach(本地接入网络提供商)购买服务并提供自己的主干网和 BRAS 设备。
大多数骨干网络提供商(包括 BT Wholesale)都使用 PPPoE。有些提供商(如 Sky)使用 IPoE。Sky 使用 DHCP 和路由器的选项 61 MAC 地址来验证客户,也许使用选项 82 来验证线路。选项 82 取决于供应商,包含 VLAN 信息(允许每个最终用户线路拥有 1 个 CVLAN)或入口接口 ID,或两者兼有,并由 DSLAM 交换机上的 DHCP 中继代理插入。DHCP 服务器将这些转换为 radius 属性,并在分配 IP 之前发出访问请求。服务器位于 BRAS 上,并且 IPoE 会话在这里终止,而不是在 ISP LNS 上终止,这意味着从 Openreach 购买本地接入服务的批发提供商有责任分配 IP,联系他们自己的 DHCP 服务器,或者如果 TalkTalk 有 ISP 客户,则联系 ISP 的 DHCP 服务器,然后将所有数据包从这些 IP 隧道传输到 ISP LNS。
对于使用基于 BT Wholesale 的 ISP 的最终用户,用户名是[电子邮件保护]没有密码,VLAN 101,这是 Openreach 为其客户 GEA 电缆链路数据分配的 VLAN。这意味着它使用 PADI 身份验证,而不仅仅是 CHAP。DSLAM 交换机有一个 PPPoE 中继代理,当 PPPoE PADI 数据包穿越到 BRAS 的 PPPoE 服务器时,它会根据 DSLAM 上的入口端口将特定于供应商的电路 ID 标签插入到 PPPoE PADI 数据包中。BT Wholesale 有自己的 BRAS,Sky 和 TalkTalk 也有,但从 BT Wholesale 购买的 ISP 没有。
PPPoE 服务器配置为将电路 ID 作为半径属性 87 (NAS-Port-ID) 发送到 Radius 服务器,作为对来自客户端的 CHAP 质询响应的响应,同时发送 CHAP 用户名。电路 ID 包含 DSLAM 的 MAC 或序列号以及入口接口 ID。在访问接受中,将有 ISP 的 LNS 的 IP 和 L2TP 隧道 ID。在我看来,DSLAM 电路 ID 不太可能位于 ISP 的半径服务器上,因此这很可能全部由 BRAS 处理。建立隧道后,CHAP 用户名和密码将传递到 LNS 并在 ISP 的半径上或与 LNS 分开进行验证。然后,ISP 使用 IPCP 从 IP 池中分配 IP,或者从访问接受中的半径服务器中获取特定于订阅者的 IP。我猜隧道可能是 IP over PPP over L2TPv3 over IP over MPLS over Ethernet over DWDM。