PPPOE綜合模擬實(shí)驗(yàn)

PPPOE綜合模擬實(shí)驗(yàn)CompanyDocumentnumber：WTUT-WT88Y-W8BBGB-BWYTT-19998PPPOE綜合模擬實(shí)驗(yàn)

第一部分自從CiscoPacket功能多了，能做出很多有趣的實(shí)驗(yàn)，小T我一直嘗試將自己所學(xué)的各中技術(shù)，在CiscoPacketTracer系列模擬器中，盡肯能的體現(xiàn)出來。但這個(gè)畢竟是初級(jí)模擬，所以大家不要對(duì)他奢望太多哦。呵呵。。。廢話不多說，現(xiàn)在讓小T我給大家獻(xiàn)上我精心構(gòu)思的“佳肴”。首先給出的是小T我構(gòu)思的，能在CiscoPacketTracer上實(shí)驗(yàn)PPPOE小小綜合實(shí)驗(yàn)拓?fù)?，如圖：上圖就是小T我的實(shí)驗(yàn)構(gòu)想圖了。現(xiàn)在由我從左向右邊，給大家一一介紹。在左邊的區(qū)域，模擬的是一個(gè)小小企業(yè)的內(nèi)部網(wǎng)絡(luò)。這個(gè)企業(yè)網(wǎng)主要山一臺(tái)出口路山器(qiye_Router)，一臺(tái)PPPOE內(nèi)部服務(wù)器(qiye_PPPOE_server)，若干交換機(jī)和客戶PC組成。出口路山器主要提供NAT和上網(wǎng)功能，內(nèi)部PPPOE服務(wù)器主要為內(nèi)部客戶PC提供PPPOE服務(wù)，在企業(yè)內(nèi)部部署PPPOE服務(wù)器可以有效的集中控制接入上網(wǎng)(如，計(jì)費(fèi)，帶寬控制等，但是不支持這些高級(jí)功能的)，使用PPPOE協(xié)議，可以讓客戶PC不會(huì)被網(wǎng)絡(luò)中的ARP病毒所欺騙，免受其害，這是因?yàn)樵谡麄€(gè)數(shù)據(jù)過程中，沒有使用ARP協(xié)議，就更談不上被ARP病毒欺騙了，但注意，這只是保證了PC不受ARP病毒的欺騙，不能根絕ARP病毒主機(jī)發(fā)起的攻擊，也就說網(wǎng)絡(luò)中ARP病毒時(shí)時(shí)刻刻攻擊在進(jìn)行，只是其他主機(jī)用PPPOE協(xié)議通信，他們不會(huì)受ARP病毒的影響，所以PPPOE是只能治標(biāo)不治本，最終解決辦法就是找到發(fā)起ARP病毒攻擊的主機(jī)對(duì)其隔離殺毒。在我構(gòu)想的小小企業(yè)中的PPPOE服務(wù)器我是用cisco2811路山器模擬的，只具備認(rèn)證接入，認(rèn)證使用的用戶名密碼使用服務(wù)器本地用戶庫，為通過PPPOE接入的客戶PC提供到其他網(wǎng)絡(luò)或Internet網(wǎng)的路山。中間區(qū)域依然模擬的Internet網(wǎng)絡(luò)(就是沒有私網(wǎng)IP路山的路山器，這樣模擬效果就更為真實(shí))o中間最上面的兩個(gè)服務(wù)器是Internet網(wǎng)中的PPPOE的AAA服務(wù)器和DNSJVEB服務(wù)器，PPPOE_AAA_Sever是為接入通過PPPOE接入到Internet的客戶PC提供認(rèn)證、授權(quán)、審計(jì)（計(jì)費(fèi)）功能等,DNS_WEB_Server服務(wù)器是Internet的DNS服務(wù)器和WEB服務(wù)器，我是把他們合成在一個(gè)服務(wù)器上，起測(cè)試作用。PPPOE_AAA_Server我的構(gòu)想主要是為\vuxian_PPPOE_Sever和ADSL_PPPOE_Server提供用戶數(shù)據(jù)管理，所有通過\v-uxian_PPPOE_Sever和ADSL_PPPOE_Server接入Internet的客戶PC提供用戶名和密碼查詢認(rèn)證。下圖是PPPOE_AAA_Server配置圖：我采用的Radius這個(gè)國(guó)際標(biāo)準(zhǔn)協(xié)議，上圖配置對(duì)ADSL_PPPOE_Server和wuxian_PPPOE_Server服務(wù)器的密鑰認(rèn)證和他們的管理IP‘圖中下面就是用戶信息庫了。中間就是用一臺(tái)路山器模擬了整個(gè)Internet網(wǎng)了，這臺(tái)路山器有到達(dá)所有公網(wǎng)IP網(wǎng)段的路山。下面我模擬的是通過各種無線技術(shù)，如WIFI,3G等技術(shù)接入Internet網(wǎng)絡(luò)。我為了和最右邊的無線路山的SSI區(qū)別，我在構(gòu)思模擬的時(shí)候，給中間那個(gè)無線AP設(shè)置的SSID名稱是：chinanet,使用了wap來加密無線鏈路，下圖是AP配置圖：右邊的無線路山器的的SSID是我構(gòu)思的是home,具體配置，我將在下篇博文《【分拿】PPPOE模擬小綜合一配置篇》在說明。然后設(shè)置客戶PC無線網(wǎng)絡(luò)接入相應(yīng)的無線設(shè)備。AP下面是一個(gè)筆記本和pad設(shè)備，通過WIFI接入到Internet。他們的無線網(wǎng)卡設(shè)置配置如圖：筆記本：選擇chinanet,然后點(diǎn)右邊的connet連接，進(jìn)入配置。選擇相應(yīng)的加密和配置好密鑰，點(diǎn)擊connet就連接上去了。PAD的配置如圖（注意：的PAD的無線網(wǎng)卡只能如下圖設(shè)置）最后是我右邊區(qū)域的思路構(gòu)想了。模擬的通過ADSL接入到Internet網(wǎng)，通過ADSL線路向PPPOE服務(wù)器認(rèn)證上網(wǎng)。注意我的整個(gè)網(wǎng)絡(luò)拓?fù)渲械腁DSL_PPPOE_Server那個(gè)網(wǎng)云，大家可以在PT中雙擊這個(gè)網(wǎng)云進(jìn)去看看，如下圖一樣：雙擊后是下圖的拓?fù)洌ㄗ⒁馐沁€沒連接下面兩個(gè)modem的拓?fù)洌┢鋵?shí)也就是用一個(gè)路山器模擬PPPOE服務(wù)器，然后接一個(gè)交換機(jī)，讓交換機(jī)連接這下面這個(gè)網(wǎng)云，注意這個(gè)網(wǎng)云是PT本身就有的，他可以模擬幀中繼、POST、DSL等（我前面的那個(gè)ADSL網(wǎng)云是利用newcluter按鈕把這兒個(gè)設(shè)備用云標(biāo)識(shí)）?？纯催@個(gè)DSL云的配置：FastEthernet3和FastEthernet4就是和交換機(jī)的接口，他們分別與云上的modemO和modeml形成映射。然后分部與右邊的客J*1modem連接，這個(gè)云相肖一個(gè)大modem提供數(shù)據(jù)信號(hào)和模擬信號(hào)轉(zhuǎn)換。右邊下面就是模擬家庭PC的常見兩種情況，一個(gè)是PC連接modem,山PC撥號(hào)上網(wǎng)；另一個(gè)山一個(gè)無線寬帶路山器連接modem,有無線寬帶路山器完成撥號(hào)上網(wǎng)并實(shí)現(xiàn)家庭多臺(tái)PC共享上網(wǎng)。第二部分為了體現(xiàn)我的構(gòu)思，我嘗試用在盡可能的體現(xiàn)出來。本篇主要簡(jiǎn)單講講PPPOE服務(wù)器如何在cisco路曲器配置，以及整個(gè)實(shí)驗(yàn)在上體現(xiàn)出來的效果。下面結(jié)合拓?fù)鋱D來講解：（看不清圖請(qǐng)雙擊放大）在開始講配置之間，簡(jiǎn)單講講PPPOE協(xié)議過程。PPPOE整個(gè)過程分為：PPPOE發(fā)現(xiàn)階段、PPPOE會(huì)話階段、PPPOE結(jié)束階段。一、PPPOE發(fā)現(xiàn)階段。主要是用來發(fā)現(xiàn)PPPOE服務(wù)器和為PPPOE會(huì)話階段做好準(zhǔn)備。PPPOE發(fā)現(xiàn)階段主要分為四步（這四個(gè)步驟，細(xì)心地朋友可能會(huì)發(fā)現(xiàn)類似DHCP的四個(gè)過程）。（1）首先，PPPOE客戶端會(huì)發(fā)起一個(gè)PPPOE發(fā)現(xiàn)服務(wù)報(bào)文，以廣播的形成向網(wǎng)絡(luò)中所

有節(jié)點(diǎn)發(fā)送，只有PPPOE服務(wù)器才會(huì)應(yīng)答這個(gè)報(bào)文。這里的廣播是采用二層的廣播MAC地址（|_|標(biāo)MAC全為F）進(jìn)行廣播的。（2） 所有PPPOE服務(wù)器都會(huì)收到這個(gè)廣播的報(bào)文，PPPOE服務(wù)器提取報(bào)文中的信息與自己所能提供的服務(wù)進(jìn)行比較，一旦滿足要求PPPOE便會(huì)向PPPOE客戶端發(fā)送PPPOE發(fā)現(xiàn)提供報(bào)文，告訴PPPOE客戶端自己能滿足要求。此時(shí)的數(shù)據(jù)是以口標(biāo)MAC為PPPOE客戶端，源為PPPOE服務(wù)器自己MAC的單播傳輸。（3） PPPOE服務(wù)器發(fā)送的PPPOE發(fā)現(xiàn)提供報(bào)文被傳送到PPPOE客戶端（PPPOE客戶端可能收到多個(gè)PPPOE服務(wù)器發(fā)送過來的這種報(bào)文，PPPOE只會(huì)選擇第一個(gè)到達(dá)的報(bào)文進(jìn)行應(yīng)答）,PPPOE客戶端以一個(gè)PPPOE發(fā)現(xiàn)請(qǐng)求報(bào)文來向選定的PPPOE服務(wù)器發(fā)送請(qǐng)求服務(wù)。此過程也是單播傳輸（一旦與選定的PPPOE服務(wù)器確定了，以后的數(shù)據(jù)都是單播）。（4） PPPOE服務(wù)器收到了來之PPPOE客戶端的PPPOE發(fā)現(xiàn)請(qǐng)求報(bào)文，便會(huì)產(chǎn)生一個(gè)唯一的會(huì)話ID,標(biāo)識(shí)即將與PPPOE客戶端進(jìn)入PPPOE會(huì)話階段，通過PPPOE發(fā)現(xiàn)會(huì)話報(bào)文傳輸給PPPOE客戶端，一旦PPPOE客戶端確認(rèn)無誤，PPPOE會(huì)話階段開始。二、PPPOE會(huì)話階段。PPPOE發(fā)現(xiàn)階段結(jié)束后，進(jìn)入的PPPOE會(huì)話階段，在這個(gè)階段主要幕的是PPP協(xié)議在進(jìn)一步完成協(xié)商和業(yè)務(wù)數(shù)據(jù)。PPP的協(xié)商過程，小T我就簡(jiǎn)單的描述下。整個(gè)過程就是PPP協(xié)商過程，分三步：LCP、認(rèn)證、NCPo（1）LCP完成建立、配置和檢測(cè)數(shù)據(jù)鏈路連接。（2） LCP完成后，進(jìn)入認(rèn)證階段，認(rèn)證方式有chap和pap等，認(rèn)證方式的決定是lljLCP協(xié)商好的。值得注意的是chap是密文認(rèn)證，pap是明文認(rèn)證，在安全性商chap更為安全。（3） 認(rèn)證完成后便進(jìn)入了\CP階段，NCP是一個(gè)協(xié)議族,適用于配置不同網(wǎng)絡(luò)類型的，這也PPP被廣泛采用的原因之一。PPOE調(diào)用的是IPCP協(xié)議，負(fù)責(zé)給PPPOE客戶端提供IP和DXS服務(wù)地址等。這個(gè)階段完成后，業(yè)務(wù)數(shù)據(jù)就能正常傳輸了。數(shù)據(jù)的封裝是自上而下的，那么PPPOE數(shù)據(jù)封裝過程（以TCP/IP模型討論）是這樣的；應(yīng)用層數(shù)據(jù)封裝于傳輸層，再被網(wǎng)絡(luò)層封裝，再被PPP協(xié)議頭部封裝，再接著被PPPOE協(xié)議頭部封裝，最后就是MAC封裝。三、PPPOE結(jié)束階段。在斷開PPPOE連接的時(shí)候，PPPOE客戶端會(huì)一個(gè)PPPOE發(fā)現(xiàn)終結(jié)報(bào)文告訴PPPOE服務(wù)器，來斷開連接。從PPPOE的協(xié)議過程來看，整個(gè)過程都沒有出現(xiàn)ARP協(xié)議，所以你查看arp表是看不到任何MAC和IP綁定關(guān)系的。因此PPPOE可以保護(hù)客戶不中ARP病毒攻擊。以上就是小T我總結(jié)的過程，講的不好還請(qǐng)各位見諒。下面開始聊聊配置。首先給出我的IP規(guī)劃。Internet網(wǎng)：Internet^Router:Internet_Router_to_qiye_Routerwuxian_pppoe_server:無線地址池范圍：ADLS_PPPOE_server:ADSL的地址池范禺：ADSL_PPPOE_serverInternet上PPPOE服務(wù)的AAA服務(wù)器地址：Internet上DNS服務(wù)器和測(cè)試web服務(wù)器的IP：企業(yè)：qiye_Router：企業(yè)內(nèi)部PPPOE地址池范用:PPPOE服務(wù)器的配置，小T我是這樣構(gòu)思的，在企業(yè)內(nèi)部PPPOE服務(wù)器采用路山器本地認(rèn)證，Internet網(wǎng)上的PPPOE服務(wù)釆用的是從AAA服務(wù)器上的用戶數(shù)據(jù)庫認(rèn)證。先來看看我企業(yè)內(nèi)部PPPOE服務(wù)的配置：vpdnenable（開啟vpdn）vpdn-groupqiye_PPPOE_server（配近vpdn-group名？為qiye_PPPOE_server）accept-dialinprotocolpppoe（撥入的協(xié)議為protocolpppoe（撥入的協(xié)議為PPPOE）virtual-template1virtual-template1（與虛擬接口綁定）exitexituserxiaot_lpasswordxiaotOl （本地用八數(shù)據(jù)庫）userxiaot_2passwordxiaot02iplocalpoolqiye_PPPOEipipdnsserver（開啟路山器ipdnsserver（開啟路山器D\S功能，注意不支持這條命令,故模擬一部分效果用域名訪問看不到）interfacevirtual-Template1ipunnumberedfastEthernet0/0（使用無編號(hào)，調(diào)川fa0/0的IP作為自己的IP）pppauthenticationchap（使用pppauthenticationchap（使用chap認(rèn)證）peerdefaultipaddresspoolqiye_PPPOE（下發(fā)的IP從本地地址池找）exitinterfacefastEthernet0/0

pppoeenable（開啟PPPOE）exit以上就是企業(yè)PPPOE服務(wù)器的配置了，注意在企業(yè)出口路山要有能到企業(yè)分配的PPPOE的地址池的網(wǎng)段的路山。（本實(shí)驗(yàn)的配置參考見附件）。山于不支持DNS的下發(fā)，小T我再簡(jiǎn)單介紹兩個(gè)配置方法下發(fā)DNSo方法一：調(diào)用DHCP的地址池來發(fā)放ipdhcppoolpppoe（DHCP地址池名）networkdefault-routerdnsinterfacevirtual-Template1peerdefaultipaddressdhcp-poolpppoeexit方法二：利用PPP的IPCP來下發(fā):interfacevirtual-Template1pppipcpdns在Internet網(wǎng)上的兩個(gè)PPPOE配置跟qiye的差不多，我的構(gòu)思是調(diào)用了AAA服務(wù)器來認(rèn)證的。PPPOE的服務(wù)配置我不重復(fù)了，主要看AAA的配置。以wuxian_pppoe_server為例：aaanew-model（開啟AAA服務(wù)）aaanew-model（PPP認(rèn)證使用AAA）（設(shè)備登入認(rèn)證使用（PPP認(rèn)證使用AAA）（設(shè)備登入認(rèn)證使用AAA）（授權(quán)使用AAA）authenticationlogindefaultgroupradiusaaaauthorizationnetworkdefaultgroupradius配置好后，我們認(rèn)證的用戶數(shù)據(jù)庫，將向AAA服務(wù)器查找。下面是AAA服務(wù)器的配置圖:篇主要體現(xiàn)在用ciscoPacket模擬器模擬出來的效果，雖然它功能不是能強(qiáng)，也基本實(shí)現(xiàn)了80%符合小T在中構(gòu)想。注意：在附件中將分享小T我最終完成的PKT文件，打開PKT文件后稍微等段時(shí)間再實(shí)驗(yàn)，無線自動(dòng)連接要點(diǎn)時(shí)間，但所有線路是綠色的時(shí)候就可以實(shí)驗(yàn)了。首先，是企業(yè)PC的PPP0E撥號(hào)接入配置及效果圖，如下：打開PC0,選擇Desktop,然后點(diǎn)擊最后一排的PPPOEDialoero然后輸入用戶名:xiaot.l和密碼：xiaotOlo企業(yè)的用戶信息庫我做在企業(yè)PPPOE服務(wù)器上的，詳細(xì)見前篇的配置。后然點(diǎn)擊connecto等待一會(huì)兒，只要出現(xiàn)PPPOEConnected表示已經(jīng)連接成功了（如果沒成功也會(huì)提示的，大家自己注意吧），后然按圖中的1和2順序關(guān)閉窗口，在點(diǎn)擊commandprompt進(jìn)入CMD模式，查看我們獲取的IP情況。就可以看到小T我在web服務(wù)器發(fā)布的內(nèi)容了。那么企業(yè)中的那個(gè)筆記本也是同樣配置?，F(xiàn)在看看中間無線模擬的效果。中間無線的SSID是chinanet,使用wpa方式加密無線鏈路，值得一提的是，這僅僅是物理鏈路的加密，如果被別人攻破接入進(jìn)了就可以“蹭網(wǎng)”了，所以，我們部署PPPOE提供再次認(rèn)證接入，這樣提高了安全性。下圖是筆記本的無線接入配置，PPPOE接入配置與前面一樣。注意，筆記本要換成無線網(wǎng)卡。注意：In