PPPOE綜合模擬實(shí)驗(yàn)

1、.PPPOE綜合模擬實(shí)驗(yàn)第一部分 自從Cisco Packet Tracer5.3功能多了，能做出很多有趣的實(shí)驗(yàn)，小T我一直嘗試將自己所學(xué)的各中技術(shù)，在Cisco Packet Tracer 系列模擬器中，盡肯能的體現(xiàn)出來。但這個畢竟是初級模擬，所以大家不要對他奢望太多哦。呵呵。廢話不多說，現(xiàn)在讓小T我給大家獻(xiàn)上我精心構(gòu)思的“佳肴”。首先給出的是小T我構(gòu)思的，能在Cisco Packet Tracer 5.3上實(shí)驗(yàn)PPPOE小小綜合實(shí)驗(yàn)拓?fù)?，如圖：上圖就是小T我的實(shí)驗(yàn)構(gòu)想圖了?，F(xiàn)在由我從左向右邊，給大家一一介紹。在左邊的區(qū)域，模擬的是一個小小企業(yè)的內(nèi)部網(wǎng)絡(luò)。這個企業(yè)網(wǎng)主要由一臺出口路由器（qi

2、ye_Router）,一臺PPPOE內(nèi)部服務(wù)器（qiye_PPPOE_server）,若干交換機(jī)和客戶PC組成。出口路由器主要提供NAT和上網(wǎng)功能，內(nèi)部PPPOE服務(wù)器主要為內(nèi)部客戶PC提供PPPOE服務(wù)，在企業(yè)內(nèi)部部署PPPOE服務(wù)器可以有效的集中控制接入上網(wǎng)（如，計(jì)費(fèi)，帶寬控制等，但PT5.3是不支持這些高級功能的），使用PPPOE協(xié)議，可以讓客戶PC不會被網(wǎng)絡(luò)中的ARP病毒所欺騙，免受其害，這是因?yàn)樵谡麄€數(shù)據(jù)過程中，沒有使用ARP協(xié)議，就更談不上被ARP病毒欺騙了，但注意，這只是保證了不受病毒的欺騙，不能根絕病毒主機(jī)發(fā)起的攻擊，也就說網(wǎng)絡(luò)中病毒時(shí)時(shí)刻刻攻擊在進(jìn)行，只是其他主機(jī)用協(xié)議通信，

3、他們不會受病毒的影響，所以PPPOE是只能治標(biāo)不治本，最終解決辦法就是找到發(fā)起病毒攻擊的主機(jī)對其隔離殺毒。在我構(gòu)想的小小企業(yè)中的PPPOE服務(wù)器我是用cisco2811路由器模擬的，只具備認(rèn)證接入，認(rèn)證使用的用戶名密碼使用服務(wù)器本地用戶庫，為通過PPPOE接入的客戶提供到其他網(wǎng)絡(luò)或Internet網(wǎng)的路由。中間區(qū)域依然模擬的Internet網(wǎng)絡(luò)(就是沒有私網(wǎng)IP路由的路由器，這樣模擬效果就更為真實(shí))。中間最上面的兩個服務(wù)器是Internet網(wǎng)中的PPPOE的AAA服務(wù)器和DNS_WEB服務(wù)器，PPPOE_AAA_Sever是為接入通過PPPOE接入到Internet的客戶PC提供認(rèn)證、授權(quán)、審

4、計(jì)(計(jì)費(fèi))功能等，DNS_WEB_Server服務(wù)器是Internet的DNS服務(wù)器和WEB服務(wù)器，我是把他們合成在一個服務(wù)器上，起測試作用。PPPOE_AAA_Server我的構(gòu)想主要是為wuxian_PPPOE_Sever和ADSL_PPPOE_Server提供用戶數(shù)據(jù)管理，所有通過wuxian_PPPOE_Sever和ADSL_PPPOE_Server接入Internet的客戶提供用戶名和密碼查詢認(rèn)證。下圖是PPPOE_AAA_Server配置圖：我采用的Radius這個國際標(biāo)準(zhǔn)協(xié)議，上圖配置對ADSL_PPPOE_Server和wuxian_PPPOE_Server服務(wù)器的密鑰認(rèn)證和他

5、們的管理IP，圖中下面就是用戶信息庫了。中間就是用一臺路由器模擬了整個Internet網(wǎng)了，這臺路由器有到達(dá)所有公網(wǎng)IP網(wǎng)段的路由。下面我模擬的是通過各種無線技術(shù)，如WIFI，3G等技術(shù)接入Internet網(wǎng)絡(luò)。我為了和最右邊的無線路由的SSI區(qū)別，我在構(gòu)思模擬的時(shí)候，給中間那個無線AP設(shè)置的SSID名稱是：chinanet，使用了wap來加密無線鏈路，下圖是AP配置圖：右邊的無線路由器的的SSID是我構(gòu)思的是home，具體配置，我將在下篇博文【分享】PPPOE模擬小綜合配置篇在說明。然后設(shè)置客戶PC無線網(wǎng)絡(luò)接入相應(yīng)的無線設(shè)備。AP下面是一個筆記本和pad設(shè)備，通過WIFI接入到Interne

6、t。他們的無線網(wǎng)卡設(shè)置配置如圖：筆記本：選擇chinanet，然后點(diǎn)右邊的connet連接，進(jìn)入配置。選擇相應(yīng)的加密和配置好密鑰，點(diǎn)擊connet就連接上去了。PAD的配置如圖（注意：PT5.3的PAD的無線網(wǎng)卡只能如下圖設(shè)置）最后是我右邊區(qū)域的思路構(gòu)想了。模擬的通過ADSL接入到Internet網(wǎng)，通過ADSL線路向PPPOE服務(wù)器認(rèn)證上網(wǎng)。注意我的整個網(wǎng)絡(luò)拓?fù)渲械腁DSL_PPPOE_Server那個網(wǎng)云，大家可以在PT中雙擊這個網(wǎng)云進(jìn)去看看，如下圖一樣：雙擊后是下圖的拓?fù)洌ㄗ⒁馐沁€沒連接下面兩個modem的拓?fù)洌┢鋵?shí)也就是用一個路由器模擬PPPOE服務(wù)器，然后接一個交換機(jī)，讓交換機(jī)連接這

7、下面這個網(wǎng)云，注意這個網(wǎng)云是PT本身就有的，他可以模擬幀中繼、POST、DSL等（我前面的那個ADSL網(wǎng)云是利用new cluter按鈕把這幾個設(shè)備用云標(biāo)識）?？纯催@個DSL云的配置：FastEthernet3和FastEthernet4就是和交換機(jī)的接口，他們分別與云上的modem0和modem1形成映射。然后分部與右邊的客戶modem連接，這個云相當(dāng)一個大modem提供數(shù)據(jù)信號和模擬信號轉(zhuǎn)換。右邊下面就是模擬家庭PC的常見兩種情況，一個是PC連接modem，由PC撥號上網(wǎng)；另一個由一個無線寬帶路由器連接modem，有無線寬帶路由器完成撥號上網(wǎng)并實(shí)現(xiàn)家庭多臺PC共享上網(wǎng)。第二部分為了體現(xiàn)我的

8、構(gòu)思，我嘗試用在PT5.3盡可能的體現(xiàn)出來。本篇主要簡單講講PPPOE服務(wù)器如何在cisco路由器配置，以及整個實(shí)驗(yàn)在PT5.3上體現(xiàn)出來的效果。下面結(jié)合拓?fù)鋱D來講解：(看不清圖請雙擊放大） 在開始講配置之間，簡單講講PPPOE協(xié)議過程。PPPOE整個過程分為：PPPOE發(fā)現(xiàn)階段、PPPOE會話階段、PPPOE結(jié)束階段。一、PPPOE發(fā)現(xiàn)階段。主要是用來發(fā)現(xiàn)PPPOE服務(wù)器和為PPPOE會話階段做好準(zhǔn)備。PPPOE發(fā)現(xiàn)階段主要分為四步（這四個步驟，細(xì)心地朋友可能會發(fā)現(xiàn)類似DHCP的四個過程）。（1）首先，PPPOE客戶端會發(fā)起一個PPPOE發(fā)現(xiàn)服務(wù)報(bào)文，以廣播的形成向網(wǎng)絡(luò)中所有節(jié)點(diǎn)發(fā)送，只有P

9、PPOE服務(wù)器才會應(yīng)答這個報(bào)文。這里的廣播是采用二層的廣播MAC地址（目標(biāo)MAC全為F）進(jìn)行廣播的。（2）所有PPPOE服務(wù)器都會收到這個廣播的報(bào)文，PPPOE服務(wù)器提取報(bào)文中的信息與自己所能提供的服務(wù)進(jìn)行比較，一旦滿足要求PPPOE便會向PPPOE客戶端發(fā)送PPPOE發(fā)現(xiàn)提供報(bào)文，告訴PPPOE客戶端自己能滿足要求。此時(shí)的數(shù)據(jù)是以目標(biāo)MAC為PPPOE客戶端，源為PPPOE服務(wù)器自己MAC的單播傳輸。（3）PPPOE服務(wù)器發(fā)送的PPPOE發(fā)現(xiàn)提供報(bào)文被傳送到PPPOE客戶端（PPPOE客戶端可能收到多個PPPOE服務(wù)器發(fā)送過來的這種報(bào)文，PPPOE只會選擇第一個到達(dá)的報(bào)文進(jìn)行應(yīng)答），PPPO

10、E客戶端以一個PPPOE發(fā)現(xiàn)請求報(bào)文來向選定的PPPOE服務(wù)器發(fā)送請求服務(wù)。此過程也是單播傳輸（一旦與選定的PPPOE服務(wù)器確定了，以后的數(shù)據(jù)都是單播）。（4）PPPOE服務(wù)器收到了來之PPPOE客戶端的PPPOE發(fā)現(xiàn)請求報(bào)文，便會產(chǎn)生一個唯一的會話，標(biāo)識即將與PPPOE客戶端進(jìn)入PPPOE會話階段，通過PPPOE發(fā)現(xiàn)會話報(bào)文傳輸給PPPOE客戶端，一旦PPPOE客戶端確認(rèn)無誤，PPPOE會話階段開始。二、PPPOE會話階段。PPPOE發(fā)現(xiàn)階段結(jié)束后，進(jìn)入的PPPOE會話階段，在這個階段主要靠的是PPP協(xié)議在進(jìn)一步完成協(xié)商和業(yè)務(wù)數(shù)據(jù)。的協(xié)商過程，小我就簡單的描述下。整個過程就是協(xié)商過程，分三步

11、：、認(rèn)證、NCP。（1）LCP完成建立、配置和檢測數(shù)據(jù)鏈路連接。（2）LCP完成后，進(jìn)入認(rèn)證階段，認(rèn)證方式有chap和pap等，認(rèn)證方式的決定是由LCP協(xié)商好的。值得注意的是chap是密文認(rèn)證，pap是明文認(rèn)證，在安全性商chap更為安全。（3）認(rèn)證完成后便進(jìn)入了NCP階段，NCP是一個協(xié)議族，適用于配置不同網(wǎng)絡(luò)類型的，這也PPP被廣泛采用的原因之一。PPOE調(diào)用的是IPCP協(xié)議，負(fù)責(zé)給PPPOE客戶端提供IP和DNS服務(wù)地址等。這個階段完成后，業(yè)務(wù)數(shù)據(jù)就能正常傳輸了。數(shù)據(jù)的封裝是自上而下的，那么PPPOE數(shù)據(jù)封裝過程（以TCP/IP模型討論）是這樣的；應(yīng)用層數(shù)據(jù)封裝于傳輸層，再被網(wǎng)絡(luò)層封裝，

12、再被PPP協(xié)議頭部封裝，再接著被PPPOE協(xié)議頭部封裝，最后就是MAC封裝。三、PPPOE結(jié)束階段。在斷開PPPOE連接的時(shí)候，PPPOE客戶端會一個PPPOE發(fā)現(xiàn)終結(jié)報(bào)文告訴PPPOE服務(wù)器，來斷開連接。從PPPOE的協(xié)議過程來看，整個過程都沒有出現(xiàn)ARP協(xié)議，所以你查看arp表是看不到任何MAC和IP綁定關(guān)系的。因此PPPOE可以保護(hù)客戶不中ARP病毒攻擊。以上就是小T我總結(jié)的過程，講的不好還請各位見諒。下面開始聊聊配置。首先給出我的IP規(guī)劃。Internet網(wǎng):Internet_Router:Internet_Router_to_qiye_Router: 255.25

13、5.255.0Internet_Router_to_wuxian_pppoe_server: 255.255.0Internet_Router_to_pppoe_dns_web_server: Internet_Router_to_ADSL_PPPOE_server: wuxian_pppoe_server:wuxian_pppoe_server_to_Internet_Router: wuxian_pppoe_server_to_ap:2

14、 255.2552.55.0無線地址池范圍：wuxian_pppoe_server_pool:-54ADLS_PPPOE_server:ADLS_PPPOE_server_to_Internet_Router: ADLS_PPPOE_server_to_home: ADSL的地址池范圍：ADSL_PPPOE_server：-54Internet上PPPOE服務(wù)的AAA服務(wù)器地址：PPPOE_AAA_server:202.

15、103.96.100 Internet上DNS服務(wù)器和測試web服務(wù)器的IP：DNS_WEB_Server:12測試web域名：企業(yè)：qiye_Router:qiye_Router_to_Internet_Router: qiye_Router_to_neibu: qiye_PPPOE_server: 企業(yè)內(nèi)部PPPOE地址池范圍：qiye_PPPOE_server:10.1.1.

16、2-54home家庭無線路由對內(nèi)IP網(wǎng)段為：-54PPPOE服務(wù)器的配置，小T我是這樣構(gòu)思的，在企業(yè)內(nèi)部PPPOE服務(wù)器采用路由器本地認(rèn)證，Internet網(wǎng)上的PPPOE服務(wù)采用的是從AAA服務(wù)器上的用戶數(shù)據(jù)庫認(rèn)證。先來看看我企業(yè)內(nèi)部PPPOE服務(wù)的配置：vpdn enable (開啟vpdn）vpdn-group qiye_PPPOE_server （配置vpdn-group名字為qiye_PPPOE_server）accept-dialin （接受撥入）protocol pppoe (撥入的協(xié)議為PPPOE）virtual-te

17、mplate 1 （與虛擬接口綁定）exitexituser xiaot_1 password xiaot01 （本地用戶數(shù)據(jù)庫）user xiaot_2 password xiaot02ip local pool qiye_PPPOE 54 （本地地址池，給PPPOE客戶端下發(fā)的地址池）ip name-server 12 （DNS服務(wù)器）ip dns server (開啟路由器DNS功能，注意PT5.3不支持這條命令，故模擬一部分效果用域名訪問看不到）interface virtual-Template 1ip unnumbered

18、fastEthernet 0/0 （使用無編號，調(diào)用fa 0/0的IP作為自己的IP）ppp authentication chap （使用chap認(rèn)證）peer default ip address pool qiye_PPPOE （下發(fā)的IP從本地地址池找）exitinterface fastEthernet 0/0pppoe enable （開啟PPPOE）exit以上就是企業(yè)PPPOE服務(wù)器的配置了，注意在企業(yè)出口路由要有能到企業(yè)分配的PPPOE的地址池的網(wǎng)段的路由。（本實(shí)驗(yàn)的配置參考見附件）。由于PT5.3不支持DNS的下發(fā)，小T我再簡單介紹兩個配置方法下發(fā)DNS。方法一：調(diào)用DHC

19、P的地址池來發(fā)放ip dhcp pool pppoe （DHCP地址池名） network default-router dns-server 12 （主輔兩個DNS） interface virtual-Template 1 peer default ip address dhcp-pool pppoe exit方法二：利用PPP的IPCP來下發(fā)： interface virtual-Template 1 ppp ipcp dns 12 (主輔兩個D

20、NS）在Internet網(wǎng)上的兩個PPPOE配置跟qiye的差不多，我的構(gòu)思是調(diào)用了AAA服務(wù)器來認(rèn)證的。PPPOE的服務(wù)配置我不重復(fù)了，主要看AAA的配置。以wuxian_pppoe_server為例：radius-server host 00 key xiaot1234 （配置與AAA服務(wù)器通信實(shí)驗(yàn)的key）aaa new-model （開啟AAA服務(wù)）aaa authentication ppp default group radius （PPP認(rèn)證使用AAA）aaa authentication login default group radius （設(shè)備登入認(rèn)

21、證使用AAA）aaa authorization network default group radius （授權(quán)使用AAA）配置好后，我們認(rèn)證的用戶數(shù)據(jù)庫，將向AAA服務(wù)器查找。下面是AAA服務(wù)器的配置圖：篇主要體現(xiàn)在用cisco Packet Tracer5.3 模擬器模擬出來的效果，雖然它功能不是能強(qiáng)，也基本實(shí)現(xiàn)了80%符合小T在【分享】PPPOE模擬小綜合-構(gòu)思篇中構(gòu)想。注意：在附件中將分享小T我最終完成的PKT文件，打開PKT文件后稍微等段時(shí)間再實(shí)驗(yàn)，無線自動連接要點(diǎn)時(shí)間，但所有線路是綠色的時(shí)候就可以實(shí)驗(yàn)了。首先，是企業(yè)PC的PPPOE撥號接入配置及效果圖,如下： 打開，選擇Desk

22、top，然后點(diǎn)擊最后一排的PPPOE Dialoer。然后輸入用戶名:xiaot_1和密碼：xiaot01。企業(yè)的用戶信息庫我做在企業(yè)PPPOE服務(wù)器上的，詳細(xì)見前篇的配置。后然點(diǎn)擊connect。 等待一會兒，只要出現(xiàn)PPPOE Connected表示已經(jīng)連接成功了（如果沒成功也會提示的，大家自己注意吧），后然按圖中的1和2順序關(guān)閉窗口，在點(diǎn)擊command prompt進(jìn)入CMD模式，查看我們獲取的IP情況。圖中獲取到了的IP，但沒有DNS信息，注意是PT5.3不支持DNS的下發(fā)。關(guān)于DNS下發(fā)配置見前篇配置。所以我們在訪問我在Internet做的web服務(wù)器，只能用IP了，關(guān)閉CMD窗口，點(diǎn)擊web browser進(jìn)入流量器，用12（模擬器重的DNS和Web服務(wù)器的IP）訪問。就可以看到小T我在web服務(wù)器發(fā)布的內(nèi)容了。那么企業(yè)中的那個筆記本也是同樣配置?，F(xiàn)在看看中間無線模擬的效果。中間無線的SSID是chinanet，使用wpa方式加密無線鏈路，值得一提的是，