PPPoE

PPPoE（共7篇）

PPPoE 篇1

客户端的功能是用户通过安装客户端软件，实现和服务器端的连接与会话，完成对用户的认证、授权与计费功能。客户端用户登录系统提供完整的单点登录支持，用户只登录一次，就可以使用同一凭证，在整个平台上的各种资源系统中按授予的权限访问网络资源，用户不会因为访问不同的业务资源系统而要求多次登录。本文使用的是数字电视综合业务管理系统宽带接入客户端专用软件：标准PPPoE软件+LDAP。

随着数字电视综合业务的全面展开，认证系统对于网络的管理和运营是至关重要的，它根据用户的属性，使用户享有相应的权利，并杜绝非法用户接入网络中。RADIUS认证服务器接收来自接入服务器的认证请求，从用户认证服务器LDAP取得相关用户资料并进行认证，将结果返回接入服务器。在一个用户请求处理过程中，RADIUS需进行接包/发包、拆包/打包、加密/解密、访问用户资料、计算用户访问次数、认证处理、写日志等多项工作。下面介绍RADIUS与LDAP结合实现对系统接入用户的认证。

RADIUS是“远程拨入用户认证服务”的简写，它是一种基于UDP协议的应用层协议，定义了在网络接入服务器NAS和集中存放认证信息的RADIUS服务器之间传输认证、授权和配置信息的协议。其协议最新标准定义在RFC2865和RFC2866中。RADIUS服务器提供3个基本功能：Authe ntication(认证)、Authorization(授权)、Accounting(计费)。

LDAP负责为RADIUS认证服务器提供信息数据，在认证系统中，LDAP负责存储接入服务器的信息：主要包括服务器的IP地址及共享密钥和用户的相关信息：主要包括用户的登录名、登录密码及用户当前的状态 (如开通、暂停、终止) 。

PPPPoE+LDAP认证系统的实现流程如下：

首先客户端发送认证请求到接入服务器 (NAS) ，NAS将请求通过RADIUS协议转发到RADIUS服务器，RADIUS服务器收到网络接入服务器 (NAS) 发来的认证请求后，先到LDAP的分节点中确认该接入服务器的IP地址是否合法，如果接入服务器的IP地址不在节点中，则不作应答;若存在，则从该节点提取出共享密钥，以对用户密码进行校验，然后到LDAP的另一分节点中寻找用户名并验证密码。

如果用户名和密码正确，返回“Access-Accept”数据包，内含“AuthenticationSuccess”信息给接入服务器，用户认证通过。

如果用户名不存在，返回“Access-Reject”数据包，内含“Improper”.User-Name.“specification”信息，用户认证失败。

如果用户名存在，但密码不正确 (或送来的密码为空) ，返回“Acce s s-Re je ct”数据包，内含“Pas s w ord failure”信息，用户认证失败。

当RADIUS服务器进行认证成功，RADIUS服务器将授权给用户端使用网络。认证成功的同时NAS发送“Accounting-Request”计费请求数据包给RADIUS服务器。计费请求信息分为两种情况：一是Start，即当用户认证通过并连接成功时发出的信息;一是Stop，即用户断链时发出的信息，通知该用户断链，停止计费。两者是由ACCT—STATUS—TYPE来区分的。当RADIUS服务器收到C1ie nt端送来的计费请求时，会返回计费应答“Accounting-Response”数据包，告诉C1ient端已收到该信息并开始计费。用户在使用网络的过程中，NAS采集各种流量信息，用户使用完网络后，NAS又发送计费结束数据包给RADIUS服务器，RADIUS服务器将计费信息过滤后加入到LDAP服务器可以访问的计费原始数据文件中，LDAP服务器对原始计费数据按照客户订购业务的资费配置实时计算费用，并将结果记入数据库，同时LDAP服务器也进行帐务分析和处理，实现业务管理、客户管理和维护管理等。客户则可以通过访问用户支持服务器查询网络使用信息和其他相关的信息。

将上述PPPoE认证需要信息的用户名、密码、帐号等信息存入LDAPSe rve r，充分利用LDAP本身的很多优点诸如实现了一个通用的平台无关的结构，提供一个操作系统和应用程序需要的信息服务的类型;LDAP既是一个访问协议，又是一个灵活的目录系统;通过使用查找操作实现列表操作和读操作，同时省去了X.500中复杂而很少使用的服务控制和安全性，只保留常用的特性，简化了LDAP的实现，使之有更简单的功能，更少的系统开销，便于实现。

总之用户认证客户端的功能是用户通过安装客户端软件，实现和服务器端的连接与会话，再结合LDAPServer进行验证，完成对用户的认证、授权与计费功能。

摘要：客户端 (Clien) t或称为用户端, 是指与服务器相对应, 为客户提供本地服务的程序。一般安装在普通的客户机上, 需要与服务端互相配合运行。本文使用的是数字电视综合业务管理系统宽带接入客户端专用软件:标准PPPoE软件+LDAP。

关键词：客户端,PPPoE,LDAP,认证

参考文献

[1]舒毅, 李秉智.欧阳春.宽带接入系统中认证方式的研究[J].计算机应用研究, 2005.

[2]余宁, 吴宇红, 汪惠忠.基于Radius协议的网络计费系统设计与实现[J].电子科技, 2004.

[3]王一帆.基于OpenRadius实现有线宽带用户接入认证[J].中国有线电视, 2006.

PPPoE 篇2

1.1 背景

以太网是一种广播网络。在传统的IP接入方式,不可避免地因协议等漏洞出现ARP欺骗、广播包过多、接入认证管理复杂等影响网络正常运行的问题,而一个好的接入模式不仅能够使网络安全稳定可靠地运行,也能方便地开展各种业务,实现灵活的计费,更好地进行用户进行管理。本文拟通过对各种IP网络接入模式的讨论和PPPoE协议的剖析,同一物理网络中实现多PPPoE拨号接入方式,解决网络在运行过程中的认证、计费和管理等问题,构建和谐校园(园区)网。

1.2 该文概要

本文接下来的内容组织如下:第二部分总结Intranet接入模式,同时一些弊端也进行了讨论对比;第三部分概述了PPPoE背景及协议;第四部分测试在同一物理链路上实现多PPPoE接入模式的实现;第五部分简单介绍AAA系统的原理,完成Intranet中统一身份认证基础;第六部分为结论。

2 Intranet接入模式

2.1 Intranet接入需要实现的基本功能

1)用户管理:及时掌握接入网络用户的各种信息,对其进行数据通信进行认证与授权,使得合法用户能方便快捷地接入,防止非法用户接入和占用网络资源。

2)安全管理:合法用户在数据通信时保障其数据安全,隔离用户个人信息的数据包;对于主要网络设备防止其受到攻击而造成网络瘫痪。

3)业务管理:为保证业务的QoS,管理人员必须根据具体情况为用户提供一定的带宽控制能力,例如保证用户的最低接入速率,限制用户的最高接入速率等。

4)计费管理:接入时要能够拥有灵活的计费策略,根据用户类别、使用时长、用户流量、目的地址、源地址等数据进行计费。

5)多运营商接入与出口的考虑。

2.2 固定IP,DHCP,PPPoE,802.1X接入模式讨论

目前Intranet接入认证模式主要有:固定IP/DHCP,PPPoE,802.1x。

从表1的比较可以看出,PPPOE与其他接入方式相比具有较大优势,因此PPPOE目前被各大运营商普遍采用。

3 PPPoE协议

3.1 PPPoE背景

PPPoE,全称Point-to-Point Protocol Over Ethernet,它工作于OSI的数据链路层,PPPoE协议提供了在广播式的网络(如以太网)中多台主机连接到远端的访问集中器上的一种标准。PPPoE协议于1998年由Redback网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETFRFC的基础上联合开发的,利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对每个接入主机实现控制,计费功能,极高的性能价格比使得PPPoE在运营商组网建设中得到广泛采用。

3.2 PPPoE协议

3.2.1 PPPoE的工作原理

PPPoE协议共包括两个阶段,即PPPoE的发现阶段(PP-PoE Discovery Stage)和PPPoE的会话阶段(PPPoE Session Stage),其中发现阶段为广播形成,会话阶段为单播形式。而两者的主要区别在于只是在PPP的数据报文前封装了PPPoE的报文头。

接入验证过程:

1)当主机开始一个PPPoE会话时,主机以广播形式在网络上发送PADI(PPPoE Active Discovery Initiation)数据,它的作用是询问网络上有没有提供相应服务的访问集中器(AC,Access Concentration),如有能提供相同服务的访问集中器,则将会以一个单播发送的PADO(PPPoE Active Discovery Offer)作为回应,之后两者之间的所有数据包都是单播发送的。

2)如果网络上存在多台验证访问集中器时,用户计算机会与最先收到的PADO报文所对应的访问集中器进行后续的验证过程,不再向其它的访问集中器发送任何数据。

3)验证过程中,主机会在一个单播数据包中发送用户名和密码,只有验证访问集中器会收到。

4)验证成功后,双方则在建立好逻辑上的点对点连接的基础上,采用PPP协议来交换数据报文,从而完成一系列PPP的过程,最终将在这点对点的逻辑通道上进行网络层数据报的传送,用户就可以正常上网了。

3.2.2 PPPoE的下线过程

在PPP架构中,通常通过传送控制协议IPCP(IP Control Protocol)终止消息而中断已建立的会话。否则,链路控制协议LCP(link control protocol)周期性轮检机制能够检测出PPP会话是否已终止。如果检测到会话已中止,则分配给用户终端的IP地址将被释放回IP地址池中。

1)主动下线

用户通过PPPoE客户端,主动向访问集中器发送Terminate-Request;访问集中器向PPPoE客户端返回Terminate-Ack报文;用户主动下线断开连接。

2)异常下线

验证访问集中器会定时向用户发送Echo-Request数据包,用户则会回应一个Echo-Reply数据包,它们的作用是测试连接是否正常,如果访问集中器多次没有收到用户的Echo-Request,就认为用户已经失去响应,并断开连接。

对于接入带宽控制等功能均可通过PPPoE的访问集中器来解决,在此不作累述,可参考相关资料与书籍。

4 同一物理链路上的多PPPoE接入认证的测试实现(VM虚拟环境下)

1)访问集中器-1:地址池:172.16.50.1-200,服务名:szjm.edu.cn(学院自主)。

2)访问集中器-2:地址池:172.16.51.1-200,服务名:szjm.edu.cn(学院自主,且服务名同访问集中器-1)。

3)访问集中器-3:地址池:172.16.52.1-200,服务名:ChinaNet(假设为电信的PPPoE访问集中集或其他运营商的访问集中器)。

4)PPPoE客户端。PPPoE客户端的服务名设置分别为szjm.edu.cn和ChinaNet后进行拨号,得到的IP地址如下:

(1)PPP adapter aaa:(服务名设置为szjm.edu.cn)

(2)PPP adapter aaa:(服务名设置为ChinaNet)

对比二者数据,充分地说明了通过设置不同的服务名,可在同一物理网络上实现多PPPoE的拨号接入服务且相互不干扰,这对于大量节约基础链路的投资有着重要的意义,对建设节约型数字化校园同样也具有重要的意义。当然也可通过设置不同的服务名进行多业务服务。

5 AAA系统简介

所谓的AAA系统是指:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。其在网络管理与安全问题中是十分有效的。

首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。

接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。

最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。

所有的验证、授权和帐户由AAA服务器来提供。目前常用的AAA协议是远程用户拨号认证系统RADIUS[3](Remote Authentication Dial In User Service),参见RFC 2865[4],RFC 2866[5]。最新的发展是Diameter协议族[6],其支持移动IP、NAS请求和移动代理的认证、授权和计费工作,协议的实现和RADIUS类似,采用AVP,属性值对(采用Attribute-Length-Value三元组形式)来实现,但是其中详细规定了错误处理,failover机制,采用TCP协议,支持分布式计费,克服了RADIUS的许多缺点。

6 结论

PPPoE接入方式和AAA系统对于用户管理的方便性、计费的灵活性、网络的安全性都有一定的优势;但也有它的不足,如对组播支持等问题,其可通过802.1Q[7]协议进行解决。PPPoE接入作为一种技术成熟、运营管理方便的接入方式,目前已被各运营商普遍采用。同时对多PPPoE拨号接入、多业务认证计费等的实现,对于园区宽带或校园网建设节约投资有着非常大的现实意义。

参考文献

[1]RFC2516-A Method for Transmitting PPP Over Ethernet(PPPoE)February 1999[S].

[2]802.1X-2010-IEEE Standard for Local and metropolitan area networks-Port-Based Network Access Control,2010[S].

[3]RADIUS协议[OL].http://baike.baidu.com/view/1499967.htm

[4]RFC 2865-Remote Authentication Dial In User Service(RADIUS),June 2000[S].

[5]RFC 2866-RADIUS Accounting,June 2000[S].

[6]Diameter协议[OL].http://baike.baidu.com/view/1267566.htm

PPPoE 篇3

r1(config)#vpdn enable 开启虚拟拨号VPDN

r1(config)#vpdn-group pppoe 定义组名(pppoe)

r1(config-vpdn)#request-dialin 这里是请求拨入

r1(config-vpdn-req-in)#protocol pppoe 设置拨号协议为PPPOE

r1(config)#in ethernet 0 进入E0端口

r1(config-if)#half-duplex 半双工

r1(config-if)#pppoe enable 使用PPPOE

r1(config-if)#pppoe-client dial-pool-number 1 把该物理端口加入到拨号池1中

r1(config-if)#bandwidth 640 宽带640

r1(config-if)#no cdp enable 关闭CDP协议

r1(config-if)#no sh 启用端口

r1(config)#interface dialer 1 建立一个虚拟拨号端口

r1(config-if)#bandwidth 640 宽带640

r1(config-if)#ip address negotiated 由于局端提供动态地址

r1(config-if)#ip mtu 1492 修改MTU值适用于ADSL网络，默认为1500,我们要修改为1452

r1(config-if)#ip tcp adjust-mss 1452 IP 的TCP调整

r1(config-if)#ip nat outside 启用NAT转换，设置外网端口为外部网

r1(config-if)#dialer pool 1 使用拨号池，因为ETH0加入到拨号池，实际使用ETH0

r1(config-if)#dialer idle-timeout 0 拨号闲置-超时0(保持连接)

r1(config-if)#dialer hold-queue 100 断线了可以保持100个封包

r1(config-if)#dialer persistent 不断线拨号

r1(config-if)#dialer-group 1

r1(config-if)#encapsulation PPp 使用PPP的帧格式

r1(config-if)#PPp authentication pap chap callin 设置拨号的验证方式为PAP 和CHAP

r1(config-if)#ppp pap sent-username bj147258 password 123456 上网帐号和密码

r1(config-if)#no cdp enable 不走CDP

PPPoE 篇4

关键词：校园网认证,PPPOE,BRAS,RADIUS,MYSQL

1 引言

随着高校信息化应用的不断深入和推进,构建全面满足教学、科研、管理与服务的开放性、协同化的网络环境,部署完善的安全管理策略,提供简单、高效、统一的用户管理模式和灵活的认证、计费和管理系统,为高校师生的学习、教学、科研、生活提供全方位的信息服务。

PPPOE能很好地结合以太网,运用PPP协议(点到点连接协议),通过一个远端接入设备接入网络,并对接入的每一个主机进行灵活的管理和控制,性能价格比,在宽带接入服务中更具有优势,因此逐渐成为宽带接入方式的最佳选择。

2 PPPOE及RADIUS概述

PPPOE全称是Point to Point Protocol over Etherne(基于局域网的点对点通讯协议),它基于Ethernet和PPP点对点协议,为了满足越来越多的宽带上网设备和越来越快的网络之间的通讯而新制定开发的标准。

2.1 PPPOE协议

PPPOE是一种数据链路层通信协议,通常被用在宽带有线接入网中。是将PPP帧封装在以太网帧中进行传输。PPPOE的通信过程分探测(Discovery)和PPP会话(PPPSession)两个阶段。当一个主机想开始一个PPPOE会话,它必须首先进行探测阶段以识别对端的以太网MAC地址,并建立一个PPPOE SESSION_ID。在探测阶段,基于网络的拓扑,主机可以探测多个接入交换机。当探测阶段成功完成,主机和选择的接入交换机都有了它们在以太网上建立PPP连接的信息。直到PPP会话建立,探测阶段一直保持无状态的状态。一旦PPP会话建立,主机和接入交换机都必须为PPP虚接口分配资源。图1显示了PPPOE通信流程。

2.2 RADIUS协议

RADIUS是远程认证接入用户服务(Remote Authentication Dial In User Service)。用以实现局端对接入用户的认证和计费。RADIUS认证系统是由接入服务器端(如PPPOE接入中心)的RADIUS客户和远程RADIUS服务器所构成的。RADIUS客户端负责将用户的认证计费信息发送到RADIUS服务器,然后由RADIUS服务器对这些信息做出响应,最终完成论证和计费的过程。RADIUS具有安全性好、扩展灵活、易于管理等特点,同时具有很强的记账功能。

3 PPPOE认证系统设计

我校现有校园网接入认证系统,应用PPPOE协议在网络汇聚层设多个PPPOE接入中心(PPPOE服务器),用户先通过有线或是无线等方式连接到的汇集交换机,然后再向接入中心发起PPPOE会话,终端用户只要通过了RADIUS服务器的认证,就可以接入校园网。

所有客户机的连接处理都由汇聚层的接入中心来负责,这样的优势是便于管理,但是接入中心的压力会很大,因此,汇聚交换机要采用中高等设备,同时改进和优化系统性能,才能达到理想的效果,图2为PPPOE接入认证系统的网络拓扑图。

4 安装PPPOE服务器

PPPOE服务器硬件配备了两张光纤网卡,分别是eth0和eth1。其中eth0连接到接入层交换机,IP地址为192.168.16.177;eth1连接到校园网核心交换机,IP地址为192.168.228.123。

PPPOE服务器操作系统采用Red Hat Enterprise Linux 4 Update 1,为了支持PPP协议和微软点对点加密MPPE,还要对其内核增加补丁,如表1中的软件安装包。

4.1 添加动态内核模块

4.2 安装PPPOE服务器

Linux内核动态调PPPOE模块,要由PPP进程和rp-PPPo E软件包生成,因此需要安装ppp和rp-PPPo E两个软件包。

4.3 PPP会话配置文件

(3)设置测试用户文件(先实现文本文件密码认证)

4.4 测试

(1)启动PPPOE拨入服务:

(2)启动IP转发,使客户端可以通过PPPOE服务器访问外网。

通过以上的测试,可以使用PPPOE拨号接入,并实现了连接互联网。为了不限于文本文件的认证方式,需要采用更加安全严密的radius认证,同时结合数据库的应用,更利于用户信息管理。

5 建立RADIUS认证服务器

RADIUS是一种在宽带远程接入服务器BRAS和认证服务器之间承载认证授权计费和配置信息的协议。

5.1 安装freeradius

5.2 配置freeradius

(1)/usr/local/freeradius/etc/raddb/clients.conf

编辑clients.conf文件中的client IP是网络接入认证服务器的IP,如果采用分布式接入Radius服务器,可以设置多个radius客户端IP,还有设置密码等信息。

(2)增加Nas列表

(3)加入测试用户信息

5.3 测试

如果有类似Access-Accept的字样出现,则表示radius开始工作了。

6 数据库Mysql支持RADIUS认证

6.1 创建数据库

6.2 配置

(1)编辑sql.conf,使radius可以访问mysql

(2)编辑radius.conf使其支持mysql认证

6.3 增加数据库记录

(1)加入分组信息

(2)增加用户信息

(3)用户分组

6.4 用户安全管理

6.4.1 IP与MAC绑定

为了保障用户账号安全,可以在Radius Server上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,从而限制上网账号的唯一使用性。用户在进行PPPOE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给Radius Server,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,确保了用户账号的安全。

6.4.2 技术实现

(1)Mysql的数据库Radius中的表radcheck增加一个mac字段,varchar(50)类型。

(2)修改sql.conf中的authorize_check_query,这里修改验证方式,加上MAC验证。

(3)把postauth_query改为记录mac地址的过程了。

Radius服务器运行后,就可以实现使用Radius进行验证,同时会在用户首次登录时记录其MAC地址,验证时就会是用户名和MAC地址相符才可以通过验证,避免了用户账号被盗用的可能。

6.5 测试

通过测试,可以看到Access-Accept radius服务器应答,这时radiusd已可以与mysql正常工作了。

6.6 配置PPPD入RADIUS认证

为了使pppd进程能够使用radius进行认证,需要在PPPOE服务器中加入radius认证插件,修改/etc/ppp/options,加上radius支持。

经过系统的配置,PPPOE服务器已经结合radius和mysql认证,客户端只要建立虚拟拔号,录入有效的用户信息,通过拔号,就可以顺利完成整个认证过程并访问校内外资源。

7 PPPOE服务器性能优化

PPPOE服务器是网关型设备,如果没有合理的硬件配置和软件系统的性能优化,将可能出现网络瓶颈。在实际应用中,由于PPPOE服务器并发连接数非常高,用户使用P2P软件下载的客户端建立了大量的TCP连接,导致网关负载太重,服务器性能下降,网络连接延时增大,甚至出现数据包丢失,因此,必须调整系统默认参数,提高服务器的性能。

7.1 安装kernel源代码

7.2 系统优化

在netfilter模块中要调整的参数主要有buckets、ip_conntrack_max和tcp_timeout_established。

conntrack_max是允许的最大跟踪连接条目,hashsize存储跟踪连接条目列表的哈西表的大小,每个哈西表的条目叫一个bucket,包含了一个链接起来的跟踪连接条目linux默认hashsize=ip_conntrack_max/8,也就是满连接时每个哈希表项存储8个连接。对于高性能的应用,应该尽量扩大hashsize。系统默认的buckets数值是内存数的1/16384,即时有大于1G的内存,buckets也只是8192。因此,结合内存的大小,修改ip_conntrack_htable_size如下:

tcp_timeout_established系统默认是5天,这个数值太大了,很容易造成内存过度占用,连接数过多从而导致conntrack表占满,因此,释放不必要的TCP连接,达到提高性能的效果,修改如下,

7.3 编译netfilter模块

编译完成netfilter的模块后拷贝编译完成的模块

7.4 测试

通过查询指令,可以看出ip_conntrack_max最大值是262144,比系统默认的最大值65536,提高了4倍。

8 认证管理系统GUI设计

拥有一个友好的GUI用户管理界面,更加方便操作校园网认证管理系统,本系统采用PHP语言开发用户的管理界面,服务器端提供www服务,还要有一种能够控制Linux shell的脚本语言。因此选定目前比较流行的Apache+PHP的组合,数据库选择Mysql。服务器自动启动WWW服务。当管理终端访问服务器时,得到一个页面可以远程对认证管理系统进行操作,管理系统的GUI页面如图3。

9 结束语

利用开源软件设计并实现了对校园网用户上网的认证及计费管理,经过不断改进和优化,基于PPPOE、RADIUS与Mysql相结合的认证系统具备运行稳定,成本低,管理方便的优点。随着交换式以太网在宽带接人普及,新型的认证技术的空间越来越广阔,因此提供高速、高效、安全的新型认证方式将显示出强大的生命力。

参考文献

[1]RFC2516.A Method for Transmitting PPP Over Ethernet(PPPOE)[s].Network Working Group,1999.

[2]丘海明,徐霖洲.PPPOE原理、应用及改进建议[J].中山大学学报,2002.

[3]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009.

[4]李丹,闰晓弟.基于开放源码软件Freeradius的无线网络认证系统实现[J].中国现代教育装备,2012.

[5]牛晓妍,薛赞.基于MAC地址的Radius认证在Linux下的实现[J].山西农业大学学报:自然科学版,2009.

[6]岳洋,周创明,张杰明.Linux内核技术分析及升级[J].空军工程大学学报:自然科学版,2001.

[7]龚珍,王乘.跨平台Web网页防火墙构建[J].计算机系统应用,2005.

[8]吴志军,王娟.基于IPSec的大型机场无线局域网接入认证方法研究[J].信息网络安全,2012.

PPPoE 篇5

关键词：PPPoE,宽带接入,ARP病毒

PPPoE即基于以太网的点对点协议,提供了一种将PPP帧封装到以太帧的方法,实现了在以太网上传输PPP包[1]。采用PPPoE作为Internet接入技术后,有效的抑制了ARP病毒的传播,对终端客户进行了有效的隔离,并利用防火墙技术提高了终端计算机的安全性。

1 PPPoE协议原理

PPPoE协议将PPP帧封装在以太网帧里[2]。PPP协议是为通过电话线连接计算机和服务器彼此通信而制定的点对点的通信协议,PPP协议分为异步PPP协议和同步PPP协议。PPPoE中的PPP帧属于同步PPP。

一次完整的PPP回话过程包括四个阶段:链路建立阶段、确定链路质量阶段、网络层控制协议阶段和链路终止阶段[3]。当一台主机初始化一个PPP Session时,它必须首先执行发现协议,选择可以满足自己需求的以太网Server之后,识别对方MAC地址,建立一个PPPoE session id。PPPoe协议的协商过程如图1所示。

2 校园网常见安全问题

2.1 ARP病毒

ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,此病毒一般属于木马(Trojan)病毒。ARP病毒能够在局域网内发动ARP攻击,ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为[4]。

2.2 端口扫描

对于局域网这种平面型的网络,可以使用端口扫描工具对局域网内的任意计算机进行端口扫描,扫描出系统漏洞后可以采取各种攻击手段对目标计算机发动攻击。

2.3 计算机蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。其传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。由于局域网的平面型,使得蠕虫在很短的时间内便会感染整个局域网内的计算机。

3 在RouterOS上实现PPPoE服务

MikroTik RouterOS是一种路由操作系统,并通过此软件将标准的PC电脑变成专用的路由器,此软件经历了多次更新和改进,其功能在不断增强和完善。RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线等于一身,可以根据需要增加或删除相应的功能,是许多路由器所无法实现的。

3.1 网络拓扑结构

RouterOS服务器设置两块网卡,终端计算机通过交换机以PPPoE协议拨入到服务器,然后通过服务器的NAT访问Internet。

3.2 RouterOS服务器安装与设置

RouterOS安装时根据需要选择组件,对硬盘进行分区后自动安装。安装完成后重新启动系统。

3.3 利用Winbox对服务器进行管理与设置

在局域网任意一台计算机上输入服务器内部网卡IP地址,即可以登陆到RouterOS的Web界面,下载GUI配置工具WinBox,运行WinBox并登陆服务器进行配置。

在WinBox中为服务器配置外网网卡的参数,建立PP-PoE服务器,添加PPPoE客户。

3.4 客户端设置

客户端的设置只需添加一个PPPoE的连接,输入Winbox设置的用户名和密码即可以连接网络。

4 PPPoE协议在校园网中的应用

使用PPPoE方式实现对Internet的访问后,有效的防止了Arp欺骗。当客户端计算机建立了PPPoE连接之后,在客户端计算机的路由表中添加了一条度量为1的默认路由,PPPoE如同在客户端计算机与PPPoE服务器之间建立了一条隧道,直接进入到PPPoE服务器内部,由服务器分配IP地址并进行路由。

采用PPPoE之后,本地网卡的所有IP参数的设置不再对连接Internet产生影响。

由于PPPoE接入服务器对所有的连接进行了隔离,因此所有的客户端计算机都觉得自己是与服务器单独相连接,阻止了客户端之间的自由访问,增强了系统的安全性。

5 结束语

采用PPPoE协议进行Internet接入管理之后,有效的防止了局域网的ARP欺骗攻击,保证了局域网对Internet访问的可用性。

参考文献

[1]SIMPSON W.The Point-to-Point Protocol(PPP)[Z].RFC16-61,July1994.

[2]景建笃,俞宁.Linux内核模式下PPPoE拨号上网的实现.成都:计算机应用研究,2005(4).

[3]刘兴国.基于以太网的点对点协议的安全隐患及解决方案.武汉华中科技大学(硕士学位论文),2004-04.

PPPoE 篇6

经过一段时间的使用, 暴露出了一些问题:

(1) 用户IP地址混乱, 用户私自更换IP地址的现象频繁发生, 导致了IP地址资源和维护资源的浪费。

(2) 同一VLAN的用户量太大, 导致广播流量泛滥。广播占用了网络的很大一部分带宽, 影响正常业务流量。

(3) 用户私自接入的现象屡禁不止。

(4) 用户信息监控处于不可控状态, 无法查询用户的上网记录, 不利于网络的安全管理。

(5) 有的用户中病毒以后, 对交换机和其他用户影响太大, 常常导致大面积障碍的发生。

为了解决上述问题, 我们想到了QINQ+pppoe技术可以提供解决方法。QINQ, 顾名思义, 就是两层标签封装, 就是在原有VLAN标签的基础上再封装一层标签。QinQ是对802.1Q的扩展, 其核心思想是将用户私网VLAN tag封装到公网VLAN tag上, 报文带着两层tag穿越服务商的骨干网络, 从而为用户提供一种二层VPN隧道。

根据上面的理念, 我们在新开的LAN小区进行了QINQ+pppoe试点测试, QINQ+pppoe是在QINQ的基础上进行扩展, 每个终端用户的内层标签在小区交换机上进行封装, 在BAS上终结, 同时给每个用户开一个账号, 在RADIUS系统上进行账号绑定, 这样LAN用户就可以像普通ADSL拨号用户一样具有可控性和可管理性。

下面把具体的过程说明一下:

(1) 采购支持QINQ的小区核心设备。两层VLAN标签的封装都在这个设备上完成。

(2) 规划LAN小区的业务VLAN和管理VLAN。

(3) 规划终端用户的VLAN (楼宇交换机上的用户VLAN) 。

(4) 规划核心交换机和楼宇交换机的IP地址。

(5) 做城域网数据, 在城域网上做VLAN透传到BAS。

(6) 做BAS上的相应数据, 按照规划做好数据, 做两层VLAN标签的终结。

(7) 在RADIUS上开账号, 作对应BAS的格式的账号绑定, 绑定两层VLAN标签, 使得一个用户一个账号, 而且账号不能混用。

开通时要注意几个问题:

(1) 保证安全性:核心交换机和楼宇交换机均要设置用户名和口令, 不要用默认的口令, 并由专人定期更改。

(2) 数据完整性:要认真填写用户资料表, 如有改动及时更新, 保证用户数据的完整准确。

(3) 用户可控性:保证所有交换机可以远程登录。没用的设备端口及时关闭, 防止用户私接, 乱接, 保证用户可控。

(4) 楼宇交换机上的用户VLAN要严格按照规划中的数据配置, 否则可能不通。

(5) 中心交换机上要配置QINQ, 即外层VLAN为规划好的业务VLAN, 内层VLAN为楼宇交换机上所配置的用户VLAN。

改造完成后的效果:

(1) 每个用户都有自己的业务VLAN, 最大限度地减少了广播的流量, 避免了由于一个用户发生障碍导致大面积故障的问题。

(2) 每个合法用户都有自己的账号, 每个账号都只能在相应的设备端口使用, 防止了私接的发生和账号盗用。

(3) 用户可以需要选择相应的速率和资费政策, 可以实现灵活的资费政策。

(4) 节省了IP地址资源, 回收了大量的IP地址。

(5) 减小了业务的流量, 实现了用户流量的可控性。

(6) 可以根据IP地址和在线时间查询到用户的上网账号, 有利于网络的安全管理。

在唐山的唐人起居LAN小区的QINQ测试, 取得了良好的效果, 达到了预期的目的, 已经在唐山新开的LAN小区进行了推广, 对于原来的老小区, 也在逐步的进行QINQ+pppoe改造。

参考文献

PPPoE 篇7

PPPo E即基于以太网的点对点协议 (Point to Point Protocol over Ethernet) , 当前的PPPOE主要被ISP用于xDSL和cable modems与用户端的连接。PPPoE是一种标准的点对点协议 (PPP) 。

PPPoE由于采用动态分配IP地址方式, 用户拨号后无需自行配置IP地址、网关、域名等, 它们均是自动生成, 不存在用户自行更改IP地址的问题, 对用户管理方便。而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装, 这两个封装加起来也只有8个字节, 广播开销很小。

在校园网的安全管理中, ARP病毒、端口扫描、蠕虫病毒等安全问题一直威胁着客户端计算机。虽然对客户端计算机进行VLAN划分能够将客户端计算机进行逻辑隔离, 但是这种划分依然是以组为单位, 对交换机的配置复杂, 要求接入层的交换机支持VLAN划分。采用PPPoE作为Internet接入技术后, 有效的抑制了ARP病毒的传播, 对终端计算机进行了有效的隔离, 并且组合利用防火墙技术提高了终端计算机的安全性。

1 PPPoE协议工作过程

PPPoE协议是一个将PPP帧封装在以太网帧里的协议。PPP协议是为通过电话线连接计算机和服务器彼此通信而制定的点对点的通信协议。PPP可以运行于异步串行链路上, 这种运行模式称为异步PPP。由于异步串行链路不能标志帧的边界, 所以异步PPP需要字节扩充来定义帧的边界。PPP也可以运行于同步数据链路上, 这种模式称为同步PPP。由于同步数据链路是有帧结构的, 所以同步PPP帧不需要任何字节扩充, 而直接封装于同步数据包中。PPPoE中的PPP帧就属于同步PPP。

一次完整的PPP回话过程包括四个阶段:链路建立阶段、确定链路质量阶段、网络层控制协议阶段和链路终止阶段。当一台主机初始化一个PPP Session时, 它必须首先执行发现协议, 选择可以满足自己的需求的以太网Server, 之后, 识别对方MAC地址建立一个PPPo E session id。当PPP定义了一个端到端的关系后, 之后的发现过程是一个client-server关系。

在发现过程中, 主机 (client) 发现了一台或多台接入服务器 (servers) 后, 根据自己的需要选择一台服务器 (servers) 。

当发现过程成功完成后, 主机和主机选择的服务器在以太网上建立PPP session连接。PPP seeeion建立之后, 主机和接入服务器必须为这个虚拟结构分配资源。PPPseeeion建立阶段主要是LCP、认证、NCP 3个协议的协商过程, LCP阶段主要完成建立、配置和检测数据链路连接, 认证协议类型由LCP协商 (CHAP或者PAP) , NCP是一个协议族, 用于配置不同的网络层协议, 常用的是IP控制协议 (IPCP) , 它负责配置用户的IP和DNS等工作, 整个过程如图1所示。

PPPoE协议的会话帧结构如图2所示。

2 校园网常见安全问题

2.1 ARP病毒

ARP地址欺骗类病毒 (以下简称ARP病毒) 是一类特殊的病毒, 该病毒一般属于木马 (Trojan) 病毒, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 因此它的危害比一些蠕虫还要严重得多。

ARP全称为Address Resolution Protocol, 地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。这时就涉及到一个问题, 一个局域网中的电脑少则几台, 多则上百台, 这么多的电脑之间, 如何能准确的记住对方电脑网卡的MAC地址, 以便数据的发送呢?在局域网的任何一台主机中, 都有一个ARP缓存表, 该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候, 会根据ARP缓存表里的对应关系进行发送。

ARP病毒能够在局域网内发动ARP攻击, ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括对主机发动IP冲突攻击、数据包轰炸, 切断局域网上任何一台主机的网络连接等。

IP冲突攻击:制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了惟一性要求, 受害主机会自动向用户弹出警告对话框, 大量的攻击数据包能令受害主机耗费大量的系统资源。

ARP欺骗攻击:攻击主机只要欺骗两台准备通信的主机的任一台, 伪造另一方的MAC地址, 就可以终止两台主机之间的任何基于IP通信。动态映射对存在过期的问题, 而且主机B、C之间也会进行正常的ARP数据包交互。要解决这个问题, 主机A可以选择比较小的时间间隔持续发送伪造的数据包, 就可以使B、C间通信一直中断。

ARP溢出攻击:攻击主机持续把伪造的MAC-IP映射对发给受害主机, 受害主机会耗费大量的系统资源去维护ARP高速缓存。可以进一步采用分布式攻击, 由一台进攻主机控制远端几台中间主机发动攻击, 可以取得更好的攻击效果。

2.2 端口扫描

对于局域网这种平面型的网络, 所有处于同一网络中的计算机都处于平等的地位, 因此可以使用端口扫描工具对局域网内的任意计算机进行端口扫描, 扫描出系统漏洞后可以采取各种攻击手段对目标计算机发动攻击。

端口扫描并不是一种黑客攻击方式, 但是它却是黑客获取目标系统信息的重要手段, 因此限制局域网端口扫描, 就能够从源头防止黑客的攻击行为。

2.3 计算机蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播, 传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序, 它能通过网络传播它自身功能的拷贝或它的某些部分到其他的计算机系统中, 与一般病毒不同, 蠕虫不需要将其自身附着到宿主程序。

计算机蠕虫很难突破防火墙感染内部网络, 但是一旦内部网络中有一台计算机感染了蠕虫病毒, 由于局域网的平面特性, 使得蠕虫在很短的时间内便会感染整个局域网内的计算机, 其危害性特别大。

3 基于RouterOS平台架设PPPoE服务器

MikroTik RouterOS是一种路由操作系统, 并通过该软件将标准的PC电脑变成专用的路由器, 在软件的开发和应用上不断的更新和发展, 软件经历了多次更新和改进, 使其功能在不断增强和完善。RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线等于一身, 可以根据需要增加或删除相应的功能, 是许多路由器所无法实现的。同时MikroTik RouterBOARD专门为RouterOS设计的路由硬件, 能稳定的应用在各种网络环境中。

3.1 网络拓扑结构

Router OS服务器设置两块网卡, 终端计算机通过交换机以PPPo E协议拨入到服务器, 然后通过服务器的NAT访问Internet。

3.2 RouterOS服务器安装与设置

下载RouterOS光盘镜像文件, 刻录成安装CD, 将计算机设置成CD引导, 安装时根据需要选择组件, 对硬盘进行分区后自动安装。安装完成后重新启动系统, 输入管理员用户名和密码后登录系统, 系统提示[admin@MikRoTik]>即可已开始系统配置。使用Enable命令启用网卡后, 设置内网卡的IP地址、子网掩码和默认网关, 服务器端的配置完成。

3.3 利用Winbox对服务器进行管理与设置

在局域网任意一台计算机上输入服务器内部网卡IP地址, 即可以登录到RouterOS的Web界面, 下载GUI配置工具WinBox, 运行WinBox并登录服务器进行配置。

在WinBox中为服务器配置外网网卡的参数, 建立PPPoE服务器, 添加PPPoE客户, 在防火墙中为NAT添加srcnat, 动作设置为masquerade, 此时局域网计算机都可以使用PPPoE协议拨入到服务器并且访问外网。

3.4 客户端设置

客户端的设置比较简单, 只需要添加一个PPPoE的连接, 输入用户名和密码即可以连接网络。

4 网络安全分析及实际应用情况

使用PPPoE方式来实现对Internet的访问后, 有效的防止了Arp欺骗。当客户端计算机建立了PPPoE连接之后, 在客户端计算机的路由表中添加了一条度量为1的默认路由, PPPoE如同在客户端计算机与PPPoE服务器之间建立了一条隧道, 直接进入到PPPoE服务器内部, 由服务器分配IP地址并进行路由。而ARP病毒的基于伪造局域网网关MAC地址来实现IP数据包的截取自然无效。

由于采用PPPoE之后, 本地网卡的所有IP参数的设置不再对连接Internet产生影响, 因此客户端的IP地址设置不再按照分配进行, 也无需采用DHCP服务器来分配, 在这种无规律的分配下进行地址扫描和端口扫描更加困难。

由于PPPoE接入服务器对所有的连接进行了隔离, 因此所有的客户端计算机都觉得自己是与服务器单独相连接, 阻止了客户端之间的自由访问, 增强了系统的安全性。

通过在湖南城建职业技术学院实行客户端PPPoE接入以后, 明显提高了整个网络的安全性, 带病毒的计算机被控制在个体域内, 增强了网络的可用性, 获得了良好的应用效果。

5 总结

采用PPPoE协议进行Internet接入管理之后, 有效的防止了局域网的ARP欺骗攻击, 即使计算机感染了ARP病毒, 由于PPPoE对客户端的隔离, 病毒也无法队对其他计算机进行攻击, 有效的保证了局域网对Internet访问的可用性。而如何利用RouterOS来进行层次化网络结构下集成的网络接入和安全管理则是继续需要研究的内容。

摘要：本文描述了PPPoE协议原理以及在以太网宽带介入中的应用, 分析了以太网安全管理中的一些问题, 介绍了如何在RouterOS中实现PPPoE服务, 并结合湖南城建职业技术学院校园网中PPPoE的应用给出了一个基于校园网的PPPoE接入方案。

关键词：PPPoE,网络安全,ARP病毒,网络接入

参考文献

[1]景建笃, 俞宁.Linux内核模式下PPPoE拨号上网的实现.计算机应用研究.2005.4.

[2]刘兴国.基于以太网的点对点协议的安全隐患及解决方案.华中科技大学.2004.4.