架設(shè)pppoe服務(wù)器撥號(hào)上網(wǎng) 防范ARP欺騙

【IT168 專稿】ARP病毒是局域網(wǎng)中的一個(gè)不可回避的話題， 但是這個(gè)問(wèn)題在撥號(hào)用戶那兒好象沒(méi)怎么聽(tīng)說(shuō)過(guò)， 現(xiàn)在電信或者網(wǎng)通的家庭用戶一般都是使用PPPOE撥號(hào)的方法上網(wǎng)， 我到親戚家?guī)椭�調(diào)試網(wǎng)絡(luò)的時(shí)侯就發(fā)現(xiàn)怎么他的機(jī)器里面IP地址與網(wǎng)關(guān)的地址是一致的（呵呵， 象我們?cè)诰钟蚓W(wǎng)中調(diào)試網(wǎng)絡(luò)習(xí)慣了， 拿到一個(gè)機(jī)器先打ipconfig/all命令看看， 了解一下網(wǎng)絡(luò)的基本情況）， 一般來(lái)說(shuō)電信或網(wǎng)通ADSL貓PPPOE撥號(hào)的網(wǎng)絡(luò)拓?fù)淙鐖D1所示：

　　圖1

　　是的， 盡管解決ARP地址欺騙的方法有很多， 但是我們?cè)诰钟蚓W(wǎng)中借鑒ADSL所采用PPPOE撥號(hào)上網(wǎng)的方法， 在局域網(wǎng)中建立PPPOE服務(wù)器， 讓局域網(wǎng)用戶也通過(guò)PPPOE服務(wù)器撥號(hào)上網(wǎng)， 使局域網(wǎng)中的微機(jī)既可以上網(wǎng)， 又使其獲得的IP地址與網(wǎng)關(guān)地址一致， 從而達(dá)到防止利用ARP地址欺騙在局域網(wǎng)中發(fā)動(dòng)攻擊的可能， 不也是一種思路嗎。

　　一、搞清楚PPPOE網(wǎng)絡(luò)拓?fù)?/b>

　　從網(wǎng)上大家也可以找到PPPOE配置的教程， 但是如果沒(méi)有一個(gè)明白人指點(diǎn)的話， 自己摸索著配置很難成功， 為什么， 因?yàn)榫W(wǎng)上的教程都是直接從命令配置說(shuō)起， 沒(méi)有把網(wǎng)絡(luò)拓?fù)湔f(shuō)清楚， 如果是在虛擬機(jī)中進(jìn)行配置， 那個(gè)網(wǎng)絡(luò)拓?fù)渚透�難說(shuō)清楚， 所以為了把PPPOE服務(wù)器的配置講清楚， 先要搞清楚網(wǎng)絡(luò)拓?fù)洌?先說(shuō)一下， 正常的PPPOE服務(wù)器在局域網(wǎng)中的拓?fù)鋱D（如圖2）。

　圖2

　　結(jié)合圖2我們要再說(shuō)明一下， 一般來(lái)說(shuō)在單位的局域網(wǎng)中， 用戶上網(wǎng)都是先通過(guò)網(wǎng)線連接到交換機(jī)， 交換機(jī)再上連NAT（地址轉(zhuǎn)換）設(shè)備（寬帶路由器或硬件防火墻或?qū)拵�上網(wǎng)管理系統(tǒng)）來(lái)實(shí)現(xiàn)的， PPPOE服務(wù)器位于交換機(jī)與NAT設(shè)備之間， 起到驗(yàn)證撥號(hào)用戶信息和分配IP地址等作用， 但是PPPOE服務(wù)器分配給用戶的IP地址與DHCP服務(wù)器分配給用戶的IP地址是不一樣， DHCP服務(wù)器分配給了用戶完整的IP地址/子網(wǎng)掩碼/網(wǎng)關(guān)/DNS等信息， 但是PPPOE分配給用戶的只是IP地址和DNS服務(wù)器地址。

　　如果我們要在虛擬機(jī)中拿routeros軟件作PPPOE服務(wù)器的實(shí)驗(yàn)， 就要更加好好的規(guī)劃一下網(wǎng)絡(luò)拓?fù)洌?

　　第一個(gè)要點(diǎn)：真實(shí)的機(jī)器中虛擬出一臺(tái)XP的系統(tǒng)（作為撥號(hào)測(cè)試的客戶端）， 再虛擬出一臺(tái)routeros系統(tǒng)（作為PPPOE服務(wù)器）。

　　第二個(gè)要點(diǎn)， 虛擬的routeros系統(tǒng)要設(shè)置兩塊網(wǎng)卡， 而且都處于橋接模式， 網(wǎng)絡(luò)拓?fù)淙鐖D2所示：

　　圖3

　　但是實(shí)際上我們是沒(méi)有這兩臺(tái)交換機(jī)的， 但是由于虛擬機(jī)的橋接網(wǎng)卡的功能， 我們可以按照上面的圖示理解。

二、PPPOE服務(wù)器網(wǎng)絡(luò)配置

　　結(jié)合我配置PPPOE服務(wù)器的經(jīng)驗(yàn)（也可以說(shuō)總結(jié)多次不成功的經(jīng)歷所帶來(lái)的教訓(xùn)吧）， 很多次都是配置過(guò)程中某一個(gè)小環(huán)節(jié)出現(xiàn)問(wèn)題導(dǎo)致失敗， 所以說(shuō)要想成功的配置好PPPOE服務(wù)器， 先要知道在哪兒出現(xiàn)問(wèn)題了， 也就是說(shuō)要保證前面的操作是正確的， 總體來(lái)說(shuō)， 有關(guān)網(wǎng)絡(luò)設(shè)置的操作有如下幾步：

　　（一）設(shè)置網(wǎng)卡的名字和IP地址信息

　　[admin@MikroTik] interface> set 0 name=lan

　　[admin@MikroTik] interface> set 1 name=wan

　　[admin@MikroTik] interface> print

　　Flags: X - disabled, D - dynamic, R - running

　　 #    NAME                         TYPE             RX-RATE    TX-RATE    MTU 

　　 0  R lan                          ether            0          0          1500

　　 1  R wan                          ether            0          0          1500

　　[admin@MikroTik] interface> /ip

　　[admin@MikroTik] ip> address

　　[admin@MikroTik] ip address> add

　　address: 10.70.10.10/16

　　interface: wan

　　 [admin@MikroTik] ip address> print

　　Flags: X - disabled, I - invalid, D - dynamic

　　 #   ADDRESS            NETWORK         BROADCAST       INTERFACE

　　 0   10.70.10.10/16     10.70.0.0       10.70.255.255   wan  

　　經(jīng)過(guò)以上的設(shè)置， 我們就為這臺(tái)PPPOE服務(wù)器設(shè)置了必要的網(wǎng)絡(luò)參數(shù)， 有了IP地址， 我們就可以登錄http://10.70.10.10， 從上面下載winbox這款軟件， 以后的操作都可以圖形界面中進(jìn)行了。 　�。ǘ�）設(shè)置默認(rèn)路由

　　PPPOE服務(wù)器也可以理解為一臺(tái)路由器， 因此也必須設(shè)置默認(rèn)路由。

　　>IP>Router， 添加一條新的路由即可， 本機(jī)設(shè)置的為10.70.0.1

　　設(shè)置好以后， 我們可以點(diǎn)擊winbox中的New Terminal， 登錄進(jìn)入這臺(tái)PPPOE服務(wù)器， 進(jìn)行一下ping網(wǎng)關(guān)的操作， 如果能夠ping通， 說(shuō)明網(wǎng)絡(luò)設(shè)置已經(jīng)沒(méi)有問(wèn)題了三、PPPOE服務(wù)器的設(shè)置

　　PPPOE服務(wù)器的設(shè)置分為4步：

　�。ㄒ唬┨砑右粋�(gè)地址池

　　IP>Pool

　　Name:pool1

　　Address:192.168.0.10-192.168.0.100

　　從這兒就可以看到， 我們?yōu)橛脩舴峙涞牡刂分挥蠭P地址， 沒(méi)有子網(wǎng)掩碼， 也沒(méi)有網(wǎng)關(guān)。

　�。ǘ�）在PPP中添加一個(gè)新的Profile文件

　　PPP>Profiles， 新建一個(gè)

　　Name:profile1

　　Loacl Address:192.168.1.1

　　Remote Address:pool1（即為客戶端分配地址池pool1的地址）

　�。ㄈ�）在PPP的Secrets中添加撥號(hào)用戶

　　PPP>Secrets

　　Name:ppp1

　　Password:ppp1

　　Service:pppoe

　　Profile:profile1

　　當(dāng)然了， 如果要添加多個(gè)用戶的話， 就在這兒多添加幾個(gè)吧。

　　（四）添加PPPOE服務(wù)

　　這個(gè)步驟是沒(méi)有錯(cuò)， 只是要特別的提醒大家， 是在PPP>Interfaces下已經(jīng)有PPPoE Server了， 我們要選中這一項(xiàng)， 再點(diǎn)添加"+"， 這時(shí)就會(huì)出現(xiàn)相應(yīng)的選項(xiàng)：

　　Service Name:Service1

　　Interface:lan

　　Default profile:profile1

　　以上四步設(shè)置完成了， PPPOE服務(wù)器也就架設(shè)好了， 在另一臺(tái)虛擬的XP上就可以新建一個(gè)寬帶連接， 服務(wù)器名填"service1"， 用戶名和密碼均為"ppp1"， 應(yīng)該可以很順利的就撥號(hào)上去了， 用ipconfig命令看一下， 會(huì)得到如下信息：

　　PPP adapter service1:

　　        Connection-specific DNS Suffix  . :

　　        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

　　        Physical Address. . . . . . . . . : 00-53-45-00-00-00

　　        Dhcp Enabled. . . . . . . . . . . : No

　　        IP Address. . . . . . . . . . . . : 192.168.0.98

　　        Subnet Mask . . . . . . . . . . . : 255.255.255.255

　　        Default Gateway . . . . . . . . . : 192.168.0.98

　　        DNS Servers . . . . . . . . . . . : 222.175.169.91

　　                               219.146.0.130

　　        NetBIOS over Tcpip. . . . . . . . : Disabled

　　從中可以看出IP地址與網(wǎng)關(guān)地址是一致的， 而且子網(wǎng)掩碼是255.255.255.255（表示一臺(tái)主機(jī)）， 當(dāng)然現(xiàn)在還是無(wú)法上網(wǎng)的， 還需要下面的兩步設(shè)置。

　�。ㄎ澹┰O(shè)置NAT

　　IP>Fireware>NAT

　　注意， 我們要在右上角的位置選擇"srcnat"， 即針對(duì)源地址作NAT

　　Out.Interface:wan

　　Action:masquerade（即作IP偽裝）。

　�。�六）設(shè)置DNS

　　IP>DNS>Static>Settings

　　Primary DNS:222.175.169.91

　　Seconday DNS:219.146.0.130

　　以上六步建立好以后， 用戶再次PPPOE撥號(hào)上網(wǎng)， 就可以正式上網(wǎng)了。

　　利用routeros軟件建立PPPOE服務(wù)， 大致步驟就是這樣， 搞清楚了網(wǎng)絡(luò)拓?fù)洌?再掌握必要的配置命令， 利用routeros來(lái)建立一臺(tái)PPPOE服務(wù)器并不是一件很困難的事， 但是一個(gè)不可回避的事實(shí)是routeros是一款商業(yè)軟件， 價(jià)格不菲， 所以我們要尋求替代產(chǎn)品， 紅旗LINUX6.0桌面版就可以勝任， 下一篇文章就介紹一下利用通用的LINUX系統(tǒng)來(lái)架設(shè)PPPOE服務(wù)器。