PPPOE协议

2024-05-22

PPPOE协议（精选8篇）

PPPOE协议篇1

0 引言

PPPo E即基于以太网的点对点协议 (Point to Point Protocol over Ethernet) , 当前的PPPOE主要被ISP用于xDSL和cable modems与用户端的连接。PPPoE是一种标准的点对点协议 (PPP) 。

PPPoE由于采用动态分配IP地址方式, 用户拨号后无需自行配置IP地址、网关、域名等, 它们均是自动生成, 不存在用户自行更改IP地址的问题, 对用户管理方便。而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装, 这两个封装加起来也只有8个字节, 广播开销很小。

在校园网的安全管理中, ARP病毒、端口扫描、蠕虫病毒等安全问题一直威胁着客户端计算机。虽然对客户端计算机进行VLAN划分能够将客户端计算机进行逻辑隔离, 但是这种划分依然是以组为单位, 对交换机的配置复杂, 要求接入层的交换机支持VLAN划分。采用PPPoE作为Internet接入技术后, 有效的抑制了ARP病毒的传播, 对终端计算机进行了有效的隔离, 并且组合利用防火墙技术提高了终端计算机的安全性。

1 PPPoE协议工作过程

PPPoE协议是一个将PPP帧封装在以太网帧里的协议。PPP协议是为通过电话线连接计算机和服务器彼此通信而制定的点对点的通信协议。PPP可以运行于异步串行链路上, 这种运行模式称为异步PPP。由于异步串行链路不能标志帧的边界, 所以异步PPP需要字节扩充来定义帧的边界。PPP也可以运行于同步数据链路上, 这种模式称为同步PPP。由于同步数据链路是有帧结构的, 所以同步PPP帧不需要任何字节扩充, 而直接封装于同步数据包中。PPPoE中的PPP帧就属于同步PPP。

一次完整的PPP回话过程包括四个阶段:链路建立阶段、确定链路质量阶段、网络层控制协议阶段和链路终止阶段。当一台主机初始化一个PPP Session时, 它必须首先执行发现协议, 选择可以满足自己的需求的以太网Server, 之后, 识别对方MAC地址建立一个PPPo E session id。当PPP定义了一个端到端的关系后, 之后的发现过程是一个client-server关系。

在发现过程中, 主机 (client) 发现了一台或多台接入服务器 (servers) 后, 根据自己的需要选择一台服务器 (servers) 。

当发现过程成功完成后, 主机和主机选择的服务器在以太网上建立PPP session连接。PPP seeeion建立之后, 主机和接入服务器必须为这个虚拟结构分配资源。PPPseeeion建立阶段主要是LCP、认证、NCP 3个协议的协商过程, LCP阶段主要完成建立、配置和检测数据链路连接, 认证协议类型由LCP协商 (CHAP或者PAP) , NCP是一个协议族, 用于配置不同的网络层协议, 常用的是IP控制协议 (IPCP) , 它负责配置用户的IP和DNS等工作, 整个过程如图1所示。

PPPoE协议的会话帧结构如图2所示。

2 校园网常见安全问题

2.1 ARP病毒

ARP地址欺骗类病毒 (以下简称ARP病毒) 是一类特殊的病毒, 该病毒一般属于木马 (Trojan) 病毒, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 因此它的危害比一些蠕虫还要严重得多。

ARP全称为Address Resolution Protocol, 地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。这时就涉及到一个问题, 一个局域网中的电脑少则几台, 多则上百台, 这么多的电脑之间, 如何能准确的记住对方电脑网卡的MAC地址, 以便数据的发送呢?在局域网的任何一台主机中, 都有一个ARP缓存表, 该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候, 会根据ARP缓存表里的对应关系进行发送。

ARP病毒能够在局域网内发动ARP攻击, ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括对主机发动IP冲突攻击、数据包轰炸, 切断局域网上任何一台主机的网络连接等。

IP冲突攻击:制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了惟一性要求, 受害主机会自动向用户弹出警告对话框, 大量的攻击数据包能令受害主机耗费大量的系统资源。

ARP欺骗攻击:攻击主机只要欺骗两台准备通信的主机的任一台, 伪造另一方的MAC地址, 就可以终止两台主机之间的任何基于IP通信。动态映射对存在过期的问题, 而且主机B、C之间也会进行正常的ARP数据包交互。要解决这个问题, 主机A可以选择比较小的时间间隔持续发送伪造的数据包, 就可以使B、C间通信一直中断。

ARP溢出攻击:攻击主机持续把伪造的MAC-IP映射对发给受害主机, 受害主机会耗费大量的系统资源去维护ARP高速缓存。可以进一步采用分布式攻击, 由一台进攻主机控制远端几台中间主机发动攻击, 可以取得更好的攻击效果。

2.2 端口扫描

对于局域网这种平面型的网络, 所有处于同一网络中的计算机都处于平等的地位, 因此可以使用端口扫描工具对局域网内的任意计算机进行端口扫描, 扫描出系统漏洞后可以采取各种攻击手段对目标计算机发动攻击。

端口扫描并不是一种黑客攻击方式, 但是它却是黑客获取目标系统信息的重要手段, 因此限制局域网端口扫描, 就能够从源头防止黑客的攻击行为。

2.3 计算机蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播, 传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序, 它能通过网络传播它自身功能的拷贝或它的某些部分到其他的计算机系统中, 与一般病毒不同, 蠕虫不需要将其自身附着到宿主程序。

计算机蠕虫很难突破防火墙感染内部网络, 但是一旦内部网络中有一台计算机感染了蠕虫病毒, 由于局域网的平面特性, 使得蠕虫在很短的时间内便会感染整个局域网内的计算机, 其危害性特别大。

3 基于RouterOS平台架设PPPoE服务器

MikroTik RouterOS是一种路由操作系统, 并通过该软件将标准的PC电脑变成专用的路由器, 在软件的开发和应用上不断的更新和发展, 软件经历了多次更新和改进, 使其功能在不断增强和完善。RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线等于一身, 可以根据需要增加或删除相应的功能, 是许多路由器所无法实现的。同时MikroTik RouterBOARD专门为RouterOS设计的路由硬件, 能稳定的应用在各种网络环境中。

3.1 网络拓扑结构

Router OS服务器设置两块网卡, 终端计算机通过交换机以PPPo E协议拨入到服务器, 然后通过服务器的NAT访问Internet。

3.2 RouterOS服务器安装与设置

下载RouterOS光盘镜像文件, 刻录成安装CD, 将计算机设置成CD引导, 安装时根据需要选择组件, 对硬盘进行分区后自动安装。安装完成后重新启动系统, 输入管理员用户名和密码后登录系统, 系统提示[admin@MikRoTik]>即可已开始系统配置。使用Enable命令启用网卡后, 设置内网卡的IP地址、子网掩码和默认网关, 服务器端的配置完成。

3.3 利用Winbox对服务器进行管理与设置

在局域网任意一台计算机上输入服务器内部网卡IP地址, 即可以登录到RouterOS的Web界面, 下载GUI配置工具WinBox, 运行WinBox并登录服务器进行配置。

在WinBox中为服务器配置外网网卡的参数, 建立PPPoE服务器, 添加PPPoE客户, 在防火墙中为NAT添加srcnat, 动作设置为masquerade, 此时局域网计算机都可以使用PPPoE协议拨入到服务器并且访问外网。

3.4 客户端设置

客户端的设置比较简单, 只需要添加一个PPPoE的连接, 输入用户名和密码即可以连接网络。

4 网络安全分析及实际应用情况

使用PPPoE方式来实现对Internet的访问后, 有效的防止了Arp欺骗。当客户端计算机建立了PPPoE连接之后, 在客户端计算机的路由表中添加了一条度量为1的默认路由, PPPoE如同在客户端计算机与PPPoE服务器之间建立了一条隧道, 直接进入到PPPoE服务器内部, 由服务器分配IP地址并进行路由。而ARP病毒的基于伪造局域网网关MAC地址来实现IP数据包的截取自然无效。

由于采用PPPoE之后, 本地网卡的所有IP参数的设置不再对连接Internet产生影响, 因此客户端的IP地址设置不再按照分配进行, 也无需采用DHCP服务器来分配, 在这种无规律的分配下进行地址扫描和端口扫描更加困难。

由于PPPoE接入服务器对所有的连接进行了隔离, 因此所有的客户端计算机都觉得自己是与服务器单独相连接, 阻止了客户端之间的自由访问, 增强了系统的安全性。

通过在湖南城建职业技术学院实行客户端PPPoE接入以后, 明显提高了整个网络的安全性, 带病毒的计算机被控制在个体域内, 增强了网络的可用性, 获得了良好的应用效果。

5 总结

采用PPPoE协议进行Internet接入管理之后, 有效的防止了局域网的ARP欺骗攻击, 即使计算机感染了ARP病毒, 由于PPPoE对客户端的隔离, 病毒也无法队对其他计算机进行攻击, 有效的保证了局域网对Internet访问的可用性。而如何利用RouterOS来进行层次化网络结构下集成的网络接入和安全管理则是继续需要研究的内容。

摘要：本文描述了PPPoE协议原理以及在以太网宽带介入中的应用, 分析了以太网安全管理中的一些问题, 介绍了如何在RouterOS中实现PPPoE服务, 并结合湖南城建职业技术学院校园网中PPPoE的应用给出了一个基于校园网的PPPoE接入方案。

关键词：PPPoE,网络安全,ARP病毒,网络接入

参考文献

[1]景建笃, 俞宁.Linux内核模式下PPPoE拨号上网的实现.计算机应用研究.2005.4.

[2]刘兴国.基于以太网的点对点协议的安全隐患及解决方案.华中科技大学.2004.4.

[3]李海鹰, 程灏, 吕志强.针对ARP攻击的网络防御模式设计与实现.计算机工程.2005.3.

PPPOE协议篇2

Building configuration…

Current configuration : 6200 bytes

! Last configuration change at 15:13:00 UTC Tue Jan 21 by anchnet

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname XXXX

boot-start-marker

boot-end-marker

logging buffered 51200 warnings

no aaa new-model

crypto pki trustpoint TP-self-signed-1543760446

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-1543760446

revocation-check none

rsakeypair TP-self-signed-1543760446

ip cef

ip dhcp excluded-address 192.168.20.1

ip dhcp pool ccp-pool

import all

network 192.168.20.0 255.255.255.0

default-router 192.168.20.1

dns-server 8.8.8.8 4.4.4.4

lease 0 2

no ip domain lookup

ip domain name yourdomain.com

no ipv6 cef

multilink bundle-name authenticated

license udi pid CISCO891-K9 sn FGL172624VJ

username XXX privilege 15 secret 4 XXX

redundancy

crypto ipsec transform-set ccie esp-3des esp-sha-hmac

mode tunnel

crypto map 121 1 ipsec-isakmp

! Incomplete

interface FastEthernet0

no ip address

interface FastEthernet1

no ip address

interface FastEthernet2

no ip address

interface FastEthernet3

no ip address

interface FastEthernet4

no ip address

interface FastEthernet5

no ip address

interface FastEthernet6

no ip address

interface FastEthernet7

no ip address

interface FastEthernet8

no ip address

duplex auto

speed auto

interface GigabitEthernet0

description To_Link

no ip address

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

crypto map 121

interface Vlan1

description $ETH_LAN$

ip address 192.168.20.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip tcp adjust-mss 1452

interface Async1

no ip address

encapsulation slip

interface Dialer1

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly in

encapsulation ppp

dialer pool 1

ppp pap sent-username XXX password 0 XXX

no cdp enable

crypto map 121

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source list 101 interface Dialer1 overload

ip route 0.0.0.0 0.0.0.0 Dialer1

ip sla auto discovery

access-list 100 permit ip 192.168.20.0 0.0.0.255 10.8.8.0 0.0.0.255

access-list 101 deny ip 192.168.20.0 0.0.0.255 10.8.8.0 0.0.0.255

access-list 101 permit ip 192.168.20.0 0.0.0.255 any

no cdp run

control-plane

mgcp profile default

line con 0

line 1

modem InOut

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

privilege level 15

transport input telnet ssh

line vty 5 15

privilege level 15

transport input telnet ssh

PPPOE协议篇3

随着数字电视综合业务的全面展开，认证系统对于网络的管理和运营是至关重要的，它根据用户的属性，使用户享有相应的权利，并杜绝非法用户接入网络中。RADIUS认证服务器接收来自接入服务器的认证请求，从用户认证服务器LDAP取得相关用户资料并进行认证，将结果返回接入服务器。在一个用户请求处理过程中，RADIUS需进行接包/发包、拆包/打包、加密/解密、访问用户资料、计算用户访问次数、认证处理、写日志等多项工作。下面介绍RADIUS与LDAP结合实现对系统接入用户的认证。

RADIUS是“远程拨入用户认证服务”的简写，它是一种基于UDP协议的应用层协议，定义了在网络接入服务器NAS和集中存放认证信息的RADIUS服务器之间传输认证、授权和配置信息的协议。其协议最新标准定义在RFC2865和RFC2866中。RADIUS服务器提供3个基本功能：Authe ntication(认证)、Authorization(授权)、Accounting(计费)。

LDAP负责为RADIUS认证服务器提供信息数据，在认证系统中，LDAP负责存储接入服务器的信息：主要包括服务器的IP地址及共享密钥和用户的相关信息：主要包括用户的登录名、登录密码及用户当前的状态 (如开通、暂停、终止) 。

PPPPoE+LDAP认证系统的实现流程如下：

首先客户端发送认证请求到接入服务器 (NAS) ，NAS将请求通过RADIUS协议转发到RADIUS服务器，RADIUS服务器收到网络接入服务器 (NAS) 发来的认证请求后，先到LDAP的分节点中确认该接入服务器的IP地址是否合法，如果接入服务器的IP地址不在节点中，则不作应答;若存在，则从该节点提取出共享密钥，以对用户密码进行校验，然后到LDAP的另一分节点中寻找用户名并验证密码。

如果用户名和密码正确，返回“Access-Accept”数据包，内含“AuthenticationSuccess”信息给接入服务器，用户认证通过。

如果用户名不存在，返回“Access-Reject”数据包，内含“Improper”.User-Name.“specification”信息，用户认证失败。

如果用户名存在，但密码不正确 (或送来的密码为空) ，返回“Acce s s-Re je ct”数据包，内含“Pas s w ord failure”信息，用户认证失败。

当RADIUS服务器进行认证成功，RADIUS服务器将授权给用户端使用网络。认证成功的同时NAS发送“Accounting-Request”计费请求数据包给RADIUS服务器。计费请求信息分为两种情况：一是Start，即当用户认证通过并连接成功时发出的信息;一是Stop，即用户断链时发出的信息，通知该用户断链，停止计费。两者是由ACCT—STATUS—TYPE来区分的。当RADIUS服务器收到C1ie nt端送来的计费请求时，会返回计费应答“Accounting-Response”数据包，告诉C1ient端已收到该信息并开始计费。用户在使用网络的过程中，NAS采集各种流量信息，用户使用完网络后，NAS又发送计费结束数据包给RADIUS服务器，RADIUS服务器将计费信息过滤后加入到LDAP服务器可以访问的计费原始数据文件中，LDAP服务器对原始计费数据按照客户订购业务的资费配置实时计算费用，并将结果记入数据库，同时LDAP服务器也进行帐务分析和处理，实现业务管理、客户管理和维护管理等。客户则可以通过访问用户支持服务器查询网络使用信息和其他相关的信息。

将上述PPPoE认证需要信息的用户名、密码、帐号等信息存入LDAPSe rve r，充分利用LDAP本身的很多优点诸如实现了一个通用的平台无关的结构，提供一个操作系统和应用程序需要的信息服务的类型;LDAP既是一个访问协议，又是一个灵活的目录系统;通过使用查找操作实现列表操作和读操作，同时省去了X.500中复杂而很少使用的服务控制和安全性，只保留常用的特性，简化了LDAP的实现，使之有更简单的功能，更少的系统开销，便于实现。

总之用户认证客户端的功能是用户通过安装客户端软件，实现和服务器端的连接与会话，再结合LDAPServer进行验证，完成对用户的认证、授权与计费功能。

摘要：客户端 (Clien) t或称为用户端, 是指与服务器相对应, 为客户提供本地服务的程序。一般安装在普通的客户机上, 需要与服务端互相配合运行。本文使用的是数字电视综合业务管理系统宽带接入客户端专用软件:标准PPPoE软件+LDAP。

关键词：客户端,PPPoE,LDAP,认证

参考文献

[1]舒毅, 李秉智.欧阳春.宽带接入系统中认证方式的研究[J].计算机应用研究, 2005.

[2]余宁, 吴宇红, 汪惠忠.基于Radius协议的网络计费系统设计与实现[J].电子科技, 2004.

PPPOE协议篇4

二、接着为电脑指定IP地址，如果电脑不多的话，建议用户手动指定IP，这里我们以常用XP操作系统为例，在桌面上右键网上邻居-属性-在本地连接右键-属性-打开TCP/IP 协议的属性，选择自动获取IP地址以及自动获取DNS服务器地址，点击确定，然后在电脑上执行开始-运行，输入CMD，确定，出现命令提示符窗口，输入i电脑onfig/all，如果出现了IP，表明网卡已经从路由器那里获取到了IP。

三、如果网卡获取不到IP，或者得到的IP地址为“169.254.X.X”，那么请手工指定IP，设置方法为，在桌面上右键-网上邻居-选择属性-在本地连接上右键-属性-选择Internet协议(TCP/IP)-点击属性，路由器默认的LAN口IP地址为192.168.1.1，因此网关需要设置为192.168.1.1，范围为2~254，如果有多台电脑共享上网，每台电脑手工指定的IP要设置为不同，否则在一个局域网内会发生冲突，

四、DNS服务器地址为你所用宽带的DNS服务器地址，如果你不清楚，那么请向我的网络提供商咨询DNS服务器地址，并填写到对话框中，也可以暂时不填，在路由器WAN口获取到IP及DNS服务器地址后，再将获取到的DNS填写到电脑中。

五、打开IE浏览器，在地址栏中输入192.168.1.1 会出现路由器的管理界面的对话框。输入登录路由器的用户名和密码后点击确定，进入路由器的管理界面，点击网络参数—WAN口设置，进入到WAN口设置页面，对于使用PPPOE拔号的ADSL用户，在WAN口连接类型中选择PPPOE，填入上网帐号和上网口令，并保存设置，选择好对应的连接方式后点击连接。

六、当你输入完上网口令后，密码框里的口令长度与输入的实际位数可能不符，这是路由器内置的密码保护机制，只要确认所填写的密码是正确的即可。

PPPOE协议篇5

按照国家教育部、公安部关于高校校园网必须实行身份认证管理的规定,我校在认真论证的基础上,与中国电信吉安分公司共同确定了以PPPoE方式实现校园网用户上网身份认证的实施方案,并于2007年6月在学校各办公楼、教学楼、实验楼以及各综合楼正式实施PPPoE上网方式。通过该上网方式,可以对校内上网用户进行身份合法性验证,拒绝非注册用户通过校园网络上网。

1 PPPoE认证

PPP(Point-to-Point Protocol点到点协议)是在同等单元之间传输数据包并使传输过程简单化的链路层协议。利用以太网资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE认证。

PPPoE认证要求用户安装、设置PPPoE客户端拨号软件,由宽带接入服务器BRAS(Broadband Remote Access Server,简称BRAS)配合RADIUS服务器实现对用户的认证、计费。

认证过程:用户通过客户端拨号软件广播PPPoE有效发现初始(PADI)包发出请求,经过网络传送到宽带接入服务器BRAS,BRAS服务器接到请求后向RADIUS服务器发出ACCESS REQUEST请求包,其中含有用户的帐号、密码、端口类型等,经RADIUS服务器核实后,向BRAS回送ACCESS REPONSE响应包,其中包含用户的合法性和一些配置信息,如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以接入网络,联网期间BRAS不断向RADIUS发送计费信息,这些信息包括用户的上网时间、用户流量、用户下网时间等,以便RADIUS准确计费。

2 PPPoE上网方式的实施

我校校园网络规模不大,教职工上网用户将近3000人,同时在线人数不超过500人,如图1为我校网络拓扑简图。防火墙出口连接Internet服务提供商,用于控制数据包的进出以及实现高性能NAT转换,完成校园网数据包私有地址与公网地址的转化;在PPPoE接入中,以华为MA5200G作为BRAS和DHCP,以华为3COM公司的CAMS综合访问管理服务器作为Radius服务器来实现用户认证和计费;核心交换机主要承担校园网的数据交换和路由服务;交换机1、2、3、4是汇聚层交换机,分别与各接入层交换机连接,提供LAN接入服务。

所有用户要访问Internet,都必须先通过宽带接入服务BRAS,认证通过后才能成功访问外网,没有经过认证的用户无法建立PPPOE连接就也无法上网。接入服务器BRAS和Radius服务器通过标准Radius协议紧密相连,提供用户准确、详细的上网信息,包括用户何时上线、下线,使用时长,流入、流出流量是多少,给计费提供可靠的原始数据。Radius服务器可以计费,可以控制用户上、下网,断开使用情况异常的连接,可以指定带宽,限制用户的最大上行速率和最大下行速率。因此采用PPPOE接入上网方式可以很好地解决普通以太网环境难以计费和进行用户管理的问题。

3 PPPoE上网方式的优势[1]

我校校园网采用PPPoE上网方式已有两年,用户从一开始的不理解,认为要记住各自的上网帐号和密码以及使用PPPoE客户端拨号上网感到不方便,到逐渐适应这种上网方式。对于个别网管人员,也从一开始的不赞成这种上网方式,担心上网速度会减慢和网内文件共享不方便等问题,到逐渐认可这种上网方式。校园网经过近两年的运行,让我们认识到PPPoE上网方式有诸多的优势:

1)有效控制广播风暴:PPPoE上网方式由于采用二层认证,所有链路设备都工作在第二层,故不存在第三层广播风暴问题。

2)防止ARP病毒攻击:ARP病毒攻击一直是高校传统以太网上网的顽疾,而通过PPPoE拨号上网,在PPPoE认证过程中上网主机获取BRAS服务器(网关)MAC地址的方法不是使用ARP协议,而是通过在PPPoE发现阶段的PADI报文和PADO报文的交换获得MAC地址,从而完全杜绝了ARP病毒的攻击。

3)防止IP冲突:采用PPPoE接入方式可方便采用动态分配IP地址,不存在用户自行更改IP地址而产生IP地址冲突的问题。

4)支持QoS,方便管理:采用PPPoE接入方式支持业务QoS,可方便地对用户进行不同的流量控制,能够实现基于时间或流量的上网计费以及基于帐号的用户管理,可防止用户在工作时间频繁使用在线音频/视频、P2P下载而影响网络的的正常应用。

5)有效阻止病毒的校内蔓延:PPPoE协议是把PPP协议(即点对点协议)移植到以太网上应用的一种协议,用户在逻辑上是互不相通的,这种点对点通信可有效防范网上病毒、木马和网络蠕虫感染其它用户的机器。

6)有效阻止监听软件对网络敏感信息如资金帐号、密码等信息的非法监听:对于监听软件通常是利用以太网的广播特性或ARP协议来实现监听,而采用PPPoE接入方式中的网络用户间通信是点对点通信,不适合监听软件的工作环境。

7)采用PPPoE接入方式后,减少了网络蠕虫病毒、广播风暴、IP冲突等网络故障的频繁发生,节省了网络管理员疲于奔波在各用户中解决网络故障的时间,从而拥有了更多的时间处理其它核心业务。

4 PPPoE上网方式的不足

采用PPPoE拨号上网,是在数据链路层的以太帧中封装PPP报文,增加了网络开销,会使传输效率有所下降。而且,要求BRAS服务器有更高的处理能力。由于PPP是一个点到点的协议,故PPPoE上网方式不支持组播业务[2]。另外,采用PPPoE拨号上网后,用户设置文件共享或打印机共享相对来说不方便,当然我们仍然可以通过有关技术来实现文件或打印机共享。随着校园网带宽不断提升,以及TCP/IP协议组播业务的完善,PPPoE上网方式的些许不足换取校园网管理的极大便利以及校园网的安全是值得的。

5 结束语

PPPoE技术利用已被广泛接收的以太网协议和PPP协议,弥补两者在面向用户的接入管理中存在的不足,并继承以太网的快速和PPP拨号的简便特点。PPPoE上网方式的实施,大大提高了我校校园网的可管性和安全性,为保证校园网的稳定运行提供了有力的技术支持平台。

参考文献

[1]陈肖飞.PPPoE加强校园安全管理[J].中国教育网络,2008,(11):47-48.

PPPOE协议篇6

关键词：校园网认证,PPPOE,BRAS,RADIUS,MYSQL

1 引言

随着高校信息化应用的不断深入和推进,构建全面满足教学、科研、管理与服务的开放性、协同化的网络环境,部署完善的安全管理策略,提供简单、高效、统一的用户管理模式和灵活的认证、计费和管理系统,为高校师生的学习、教学、科研、生活提供全方位的信息服务。

PPPOE能很好地结合以太网,运用PPP协议(点到点连接协议),通过一个远端接入设备接入网络,并对接入的每一个主机进行灵活的管理和控制,性能价格比,在宽带接入服务中更具有优势,因此逐渐成为宽带接入方式的最佳选择。

2 PPPOE及RADIUS概述

PPPOE全称是Point to Point Protocol over Etherne(基于局域网的点对点通讯协议),它基于Ethernet和PPP点对点协议,为了满足越来越多的宽带上网设备和越来越快的网络之间的通讯而新制定开发的标准。

2.1 PPPOE协议

PPPOE是一种数据链路层通信协议,通常被用在宽带有线接入网中。是将PPP帧封装在以太网帧中进行传输。PPPOE的通信过程分探测(Discovery)和PPP会话(PPPSession)两个阶段。当一个主机想开始一个PPPOE会话,它必须首先进行探测阶段以识别对端的以太网MAC地址,并建立一个PPPOE SESSION_ID。在探测阶段,基于网络的拓扑,主机可以探测多个接入交换机。当探测阶段成功完成,主机和选择的接入交换机都有了它们在以太网上建立PPP连接的信息。直到PPP会话建立,探测阶段一直保持无状态的状态。一旦PPP会话建立,主机和接入交换机都必须为PPP虚接口分配资源。图1显示了PPPOE通信流程。

2.2 RADIUS协议

RADIUS是远程认证接入用户服务(Remote Authentication Dial In User Service)。用以实现局端对接入用户的认证和计费。RADIUS认证系统是由接入服务器端(如PPPOE接入中心)的RADIUS客户和远程RADIUS服务器所构成的。RADIUS客户端负责将用户的认证计费信息发送到RADIUS服务器,然后由RADIUS服务器对这些信息做出响应,最终完成论证和计费的过程。RADIUS具有安全性好、扩展灵活、易于管理等特点,同时具有很强的记账功能。

3 PPPOE认证系统设计

我校现有校园网接入认证系统,应用PPPOE协议在网络汇聚层设多个PPPOE接入中心(PPPOE服务器),用户先通过有线或是无线等方式连接到的汇集交换机,然后再向接入中心发起PPPOE会话,终端用户只要通过了RADIUS服务器的认证,就可以接入校园网。

所有客户机的连接处理都由汇聚层的接入中心来负责,这样的优势是便于管理,但是接入中心的压力会很大,因此,汇聚交换机要采用中高等设备,同时改进和优化系统性能,才能达到理想的效果,图2为PPPOE接入认证系统的网络拓扑图。

4 安装PPPOE服务器

PPPOE服务器硬件配备了两张光纤网卡,分别是eth0和eth1。其中eth0连接到接入层交换机,IP地址为192.168.16.177;eth1连接到校园网核心交换机,IP地址为192.168.228.123。

PPPOE服务器操作系统采用Red Hat Enterprise Linux 4 Update 1,为了支持PPP协议和微软点对点加密MPPE,还要对其内核增加补丁,如表1中的软件安装包。

4.1 添加动态内核模块

4.2 安装PPPOE服务器

Linux内核动态调PPPOE模块,要由PPP进程和rp-PPPo E软件包生成,因此需要安装ppp和rp-PPPo E两个软件包。

4.3 PPP会话配置文件

(3)设置测试用户文件(先实现文本文件密码认证)

4.4 测试

(1)启动PPPOE拨入服务:

(2)启动IP转发,使客户端可以通过PPPOE服务器访问外网。

通过以上的测试,可以使用PPPOE拨号接入,并实现了连接互联网。为了不限于文本文件的认证方式,需要采用更加安全严密的radius认证,同时结合数据库的应用,更利于用户信息管理。

5 建立RADIUS认证服务器

RADIUS是一种在宽带远程接入服务器BRAS和认证服务器之间承载认证授权计费和配置信息的协议。

5.1 安装freeradius

5.2 配置freeradius

(1)/usr/local/freeradius/etc/raddb/clients.conf

编辑clients.conf文件中的client IP是网络接入认证服务器的IP,如果采用分布式接入Radius服务器,可以设置多个radius客户端IP,还有设置密码等信息。

(2)增加Nas列表

(3)加入测试用户信息

5.3 测试

如果有类似Access-Accept的字样出现,则表示radius开始工作了。

6 数据库Mysql支持RADIUS认证

6.1 创建数据库

6.2 配置

(1)编辑sql.conf,使radius可以访问mysql

(2)编辑radius.conf使其支持mysql认证

6.3 增加数据库记录

(1)加入分组信息

(2)增加用户信息

(3)用户分组

6.4 用户安全管理

6.4.1 IP与MAC绑定

为了保障用户账号安全,可以在Radius Server上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,从而限制上网账号的唯一使用性。用户在进行PPPOE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给Radius Server,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,确保了用户账号的安全。

6.4.2 技术实现

(1)Mysql的数据库Radius中的表radcheck增加一个mac字段,varchar(50)类型。

(2)修改sql.conf中的authorize_check_query,这里修改验证方式,加上MAC验证。

(3)把postauth_query改为记录mac地址的过程了。

Radius服务器运行后,就可以实现使用Radius进行验证,同时会在用户首次登录时记录其MAC地址,验证时就会是用户名和MAC地址相符才可以通过验证,避免了用户账号被盗用的可能。

6.5 测试

通过测试,可以看到Access-Accept radius服务器应答,这时radiusd已可以与mysql正常工作了。

6.6 配置PPPD入RADIUS认证

为了使pppd进程能够使用radius进行认证,需要在PPPOE服务器中加入radius认证插件,修改/etc/ppp/options,加上radius支持。

经过系统的配置,PPPOE服务器已经结合radius和mysql认证,客户端只要建立虚拟拔号,录入有效的用户信息,通过拔号,就可以顺利完成整个认证过程并访问校内外资源。

7 PPPOE服务器性能优化

PPPOE服务器是网关型设备,如果没有合理的硬件配置和软件系统的性能优化,将可能出现网络瓶颈。在实际应用中,由于PPPOE服务器并发连接数非常高,用户使用P2P软件下载的客户端建立了大量的TCP连接,导致网关负载太重,服务器性能下降,网络连接延时增大,甚至出现数据包丢失,因此,必须调整系统默认参数,提高服务器的性能。

7.1 安装kernel源代码

7.2 系统优化

在netfilter模块中要调整的参数主要有buckets、ip_conntrack_max和tcp_timeout_established。

conntrack_max是允许的最大跟踪连接条目,hashsize存储跟踪连接条目列表的哈西表的大小,每个哈西表的条目叫一个bucket,包含了一个链接起来的跟踪连接条目linux默认hashsize=ip_conntrack_max/8,也就是满连接时每个哈希表项存储8个连接。对于高性能的应用,应该尽量扩大hashsize。系统默认的buckets数值是内存数的1/16384,即时有大于1G的内存,buckets也只是8192。因此,结合内存的大小,修改ip_conntrack_htable_size如下:

tcp_timeout_established系统默认是5天,这个数值太大了,很容易造成内存过度占用,连接数过多从而导致conntrack表占满,因此,释放不必要的TCP连接,达到提高性能的效果,修改如下,

7.3 编译netfilter模块

编译完成netfilter的模块后拷贝编译完成的模块

7.4 测试

通过查询指令,可以看出ip_conntrack_max最大值是262144,比系统默认的最大值65536,提高了4倍。

8 认证管理系统GUI设计

拥有一个友好的GUI用户管理界面,更加方便操作校园网认证管理系统,本系统采用PHP语言开发用户的管理界面,服务器端提供www服务,还要有一种能够控制Linux shell的脚本语言。因此选定目前比较流行的Apache+PHP的组合,数据库选择Mysql。服务器自动启动WWW服务。当管理终端访问服务器时,得到一个页面可以远程对认证管理系统进行操作,管理系统的GUI页面如图3。

9 结束语

利用开源软件设计并实现了对校园网用户上网的认证及计费管理,经过不断改进和优化,基于PPPOE、RADIUS与Mysql相结合的认证系统具备运行稳定,成本低,管理方便的优点。随着交换式以太网在宽带接人普及,新型的认证技术的空间越来越广阔,因此提供高速、高效、安全的新型认证方式将显示出强大的生命力。

参考文献

[1]RFC2516.A Method for Transmitting PPP Over Ethernet(PPPOE)[s].Network Working Group,1999.

[2]丘海明,徐霖洲.PPPOE原理、应用及改进建议[J].中山大学学报,2002.

[3]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009.

[4]李丹,闰晓弟.基于开放源码软件Freeradius的无线网络认证系统实现[J].中国现代教育装备,2012.

[5]牛晓妍,薛赞.基于MAC地址的Radius认证在Linux下的实现[J].山西农业大学学报:自然科学版,2009.

[6]岳洋,周创明,张杰明.Linux内核技术分析及升级[J].空军工程大学学报:自然科学版,2001.

[7]龚珍,王乘.跨平台Web网页防火墙构建[J].计算机系统应用,2005.

[8]吴志军,王娟.基于IPSec的大型机场无线局域网接入认证方法研究[J].信息网络安全,2012.

PPPOE协议篇7

MikroTik RouterOS是一种基于Unix/Linux平台的软件路由操作系统, 通过该系统可以将标准的PC电脑变成专业路由器, 能够满足中小型网络设备的接入管理, RouterOS的硬件需求并不高, 即使在普通的x86架构计算机上也可以顺利运行, 同硬件路由系统相比, RouterOS具有成本较低、扩展灵活、便于管理等优点。RouterOS功能强大, 集路由、防火墙、PPPOE服务等功能于一身, 是其他普通路由器所不能比拟的, 相对于硬件路由系统来说, Routeros的管理要便捷许多, 用户可以通过多种操作来达到最终效果, 也可以借助相应的软件来进行监控。

1 网络实际情况及分析

以校园内某微机室的应用为例, 该微机室建设初期采用的是局域网动态和静态IP相搭配的方式进行网络连接, 随着网络应用需求的增加, 各种问题随之而来。该微机室的学生时常进行网络管理方面的实验, 部分学生恶意使用网络管理软件的ARP欺骗, 影响整个机房的正常运转。该微机室曾使用绑定IP地址和物理地址的方式进行管理, 但对以上出现的网络问题改善并不理想。

此次拟使用Routeros架设PPPOE服务认证, 解决微机室中当前出现的情况。因为PPPOE协议是点对点的通迅方式, 根本不依赖于ARP服务, 所以ARP攻击无从谈起, 而且采用PPPOE不会改变原来的拓扑结构, 简单且易于实现。

2 Routeros的安装与网络配置配置

1) 安装Routeros系统

(1) 利用光盘引导RouterOS安装,

(2) 进入安装界面, 选择Install RouteOS

(3) 选择必须的安装组件并键入“I”键确认安装。

(4) 然后开始自动的格式化磁盘、安装核心及组件。

(5) 重新引导后, 使用用户名和密码进行配置 (默认用户名为admin, 密码为空) 。

至此, Routeros系统安装完毕, 可以通过命令的方式进行操作, 也可以利用RouterOS专用的设置软件“winbox”进行设置。

2) 设置网卡的名字和IP地址信息

(1) 将软路由的内网和外网网卡分别设置为Lan和Wan

(2) 设置外网网卡的IP地址为172.16.1.1, 子网掩码为255.255.0.0, 内网部分采用PPPOE认证服务, 可以不进行IP地址的分配

3 PPPOE服务的配置

1) 为PPPOE服务设置IP地址池

2) 添加一个名称为myserver的PPP配置文件

3) 在PPPOE服务添加相应的用户名和密码

4) 添加一个PPPoE认证服务, 命名为mypppoe, 如下图1所示

5) 配置NAT (网络地址转换)

由于我们在局域网内部使用的是私有IP地址, 为了使学生可以正常上网, 还要配置NAT进行地址翻译才可以。

在此采用的是RouterOs的“伪装”方式。

6) 为路由器配置默认路由, IP地址172.16.1.1为下一跳地址

4 配置客户机并连接测试

在客户机上创建PPPOE拨号链接或者安装PPPOE软件进行拨号连接, 可获得如下参数:

上述信息表示IP地址分配正常, 也意味着PPPOE服务工作正常。

5 结束语

通过重复上述的配置, 为其他学生创建相应的用户名和密码, 并要求学生严格按照自己的用户名进行登陆, 微机室的网络环境明显变好, ARP冲突等现象彻底被清除。在经过数周的测试中, Routeros服务器运行稳定, 系统资源占用率极低, 很好的解决了微机室的教学、上网等需求, 并且对学生上网的控制管理也极为方便。

参考文献

[1][DB/OL].http://www.mikrotik.com.cn/.

[2]胡刚, 段炜.利用ROUTEROS架设PPPOE SERVER方案[J].声屏世界, 2011 (12) .

[3]沈坚.利用PPPoE认证构建和谐校园网[J].电脑知识与技术, 2011 (30) .

[4]纪春坡.使用PPPoE拨号方式解决校园网ARP病毒[J].运城学院学报.2010 (5) .

PPPOE协议篇8

经过一段时间的使用, 暴露出了一些问题:

(1) 用户IP地址混乱, 用户私自更换IP地址的现象频繁发生, 导致了IP地址资源和维护资源的浪费。

(2) 同一VLAN的用户量太大, 导致广播流量泛滥。广播占用了网络的很大一部分带宽, 影响正常业务流量。

(3) 用户私自接入的现象屡禁不止。

(4) 用户信息监控处于不可控状态, 无法查询用户的上网记录, 不利于网络的安全管理。

(5) 有的用户中病毒以后, 对交换机和其他用户影响太大, 常常导致大面积障碍的发生。

为了解决上述问题, 我们想到了QINQ+pppoe技术可以提供解决方法。QINQ, 顾名思义, 就是两层标签封装, 就是在原有VLAN标签的基础上再封装一层标签。QinQ是对802.1Q的扩展, 其核心思想是将用户私网VLAN tag封装到公网VLAN tag上, 报文带着两层tag穿越服务商的骨干网络, 从而为用户提供一种二层VPN隧道。

根据上面的理念, 我们在新开的LAN小区进行了QINQ+pppoe试点测试, QINQ+pppoe是在QINQ的基础上进行扩展, 每个终端用户的内层标签在小区交换机上进行封装, 在BAS上终结, 同时给每个用户开一个账号, 在RADIUS系统上进行账号绑定, 这样LAN用户就可以像普通ADSL拨号用户一样具有可控性和可管理性。

下面把具体的过程说明一下:

(1) 采购支持QINQ的小区核心设备。两层VLAN标签的封装都在这个设备上完成。

(2) 规划LAN小区的业务VLAN和管理VLAN。

(3) 规划终端用户的VLAN (楼宇交换机上的用户VLAN) 。

(4) 规划核心交换机和楼宇交换机的IP地址。

(5) 做城域网数据, 在城域网上做VLAN透传到BAS。

(6) 做BAS上的相应数据, 按照规划做好数据, 做两层VLAN标签的终结。

(7) 在RADIUS上开账号, 作对应BAS的格式的账号绑定, 绑定两层VLAN标签, 使得一个用户一个账号, 而且账号不能混用。

开通时要注意几个问题:

(1) 保证安全性:核心交换机和楼宇交换机均要设置用户名和口令, 不要用默认的口令, 并由专人定期更改。

(2) 数据完整性:要认真填写用户资料表, 如有改动及时更新, 保证用户数据的完整准确。

(3) 用户可控性:保证所有交换机可以远程登录。没用的设备端口及时关闭, 防止用户私接, 乱接, 保证用户可控。