PPPOE综合模拟实验

./PPPOE综合模拟实验第一部分自从CiscoPacketTracer5.3功能多了,能做出很多有趣的实验,小T我一直尝试将自己所学的各术,在CiscoPacketTracer系列模拟器中,尽肯能的体现出来。但这个毕竟是初级模拟,所以大家不要对他奢望太多哦。呵呵。。。废话不多说,现在让小T我给大家献上我精心构思的"佳肴"。首先给出的是小T我构思的,能在CiscoPacketTracer5.3上实验PPPOE小小综合实验拓扑,如图：上图就是小T我的实验构想图了。现在由我从左向右边,给大家一一介绍。在左边的区域,模拟的是一个小小企业的部网络。这个企业网主要由一台出口路由器〔qiye_Router,一台PPPOE部服务器〔qiye_PPPOE_server,若干交换机和客户PC组成。出口路由器主要提供NAT和上网功能,部PPPOE服务器主要为部客户PC提供PPPOE服务,在企业部部署PPPOE服务器可以有效的集中控制接入上网〔如,计费,带宽控制等,但PT5.3是不支持这些高级功能的,使用PPPOE协议,可以让客户PC不会被网络中的ARP病毒所欺骗,免受其害,这是因为在整个数据过程中,没有使用ARP协议,就更谈不上被ARP病毒欺骗了,但注意,这只是保证了ＰＣ不受ＡＲＰ病毒的欺骗,不能根绝ＡＲＰ病毒主机发起的攻击,也就说网络中ＡＲＰ病毒时时刻刻攻击在进行,只是其他主机用ＰＰＰＯＥ协议通信,他们不会受ＡＲＰ病毒的影响,所以PPPOE是只能治标不治本,最终解决办法就是找到发起ＡＲＰ病毒攻击的主机对其隔离杀毒。在我构想的小小企业中的PPPOE服务器我是用cisco2811路由器模拟的,只具备认证接入,认证使用的用户名密码使用服务器本地用户库,为通过PPPOE接入的客户ＰＣ提供到其他网络或Internet网的路由。中间区域依然模拟的Internet网络<就是没有私网IP路由的路由器,这样模拟效果就更为真实>。中间最上面的两个服务器是Internet网中的PPPOE的AAA服务器和DNS_WEB服务器,PPPOE_AAA_Sever是为接入通过PPPOE接入到Internet的客户PC提供认证、授权、审计<计费>功能等,DNS_WEB_Server服务器是Internet的DNS服务器和WEB服务器,我是把他们合成在一个服务器上,起测试作用。PPPOE_AAA_Server我的构想主要是为wuxian_PPPOE_Sever和ADSL_PPPOE_Server提供用户数据管理,所有通过wuxian_PPPOE_Sever和ADSL_PPPOE_Server接入Internet的客户ＰＣ提供用户名和密码查询认证。下图是PPPOE_AAA_Server配置图：我采用的Radius这个国际标准协议,上图配置对ADSL_PPPOE_Server和wuxian_PPPOE_Server服务器的密钥认证和他们的管理IP,图中下面就是用户信息库了。中间就是用一台路由器模拟了整个Internet网了,这台路由器有到达所有公网IP网段的路由。下面我模拟的是通过各种无线技术,如WIFI,3G等技术接入Internet网络。我为了和最右边的无线路由的SSI区别,我在构思模拟的时候,给中间那个无线AP设置的SSID名称是：chinanet,使用了wap来加密无线链路,下图是AP配置图：右边的无线路由器的的SSID是我构思的是home,具体配置,我将在下篇博文《[分享]PPPOE模拟小综合—配置篇》在说明。然后设置客户PC无线网络接入相应的无线设备。AP下面是一个笔记本和pad设备,通过WIFI接入到Internet。他们的无线网卡设置配置如图：笔记本：选择chinanet,然后点右边的connet连接,进入配置。选择相应的加密和配置好密钥,点击connet就连接上去了。PAD的配置如图〔注意：PT5.3的PAD的无线网卡只能如下图设置最后是我右边区域的思路构想了。模拟的通过ADSL接入到Internet网,通过ADSL线路向PPPOE服务器认证上网。注意我的整个网络拓扑中的ADSL_PPPOE_Server那个网云,大家可以在PT中双击这个网云进去看看,如下图一样：双击后是下图的拓扑〔注意是还没连接下面两个modem的拓扑其实也就是用一个路由器模拟PPPOE服务器,然后接一个交换机,让交换机连接这下面这个网云,注意这个网云是PT本身就有的,他可以模拟帧中继、POST、DSL等〔我前面的那个ADSL网云是利用newcluter按钮把这几个设备用云标识。看看这个DSL云的配置：FastEthernet3和FastEthernet4就是和交换机的接口,他们分别与云上的modem0和modem1形成映射。然后分部与右边的客户modem连接,这个云相当一个大modem提供数据信号和模拟信号转换。右边下面就是模拟家庭PC的常见两种情况,一个是PC连接modem,由PC拨号上网；另一个由一个无线宽带路由器连接modem,有无线宽带路由器完成拨号上网并实现家庭多台PC共享上网。第二部分为了体现我的构思,我尝试用在PT5.3尽可能的体现出来。本篇主要简单讲讲PPPOE服务器如何在cisco路由器配置,以及整个实验在PT5.3上体现出来的效果。下面结合拓扑图来讲解：<看不清图请双击放大在开始讲配置之间,简单讲讲PPPOE协议过程。PPPOE整个过程分为：PPPOE发现阶段、PPPOE会话阶段、PPPOE结束阶段。一、PPPOE发现阶段。主要是用来发现PPPOE服务器和为PPPOE会话阶段做好准备。PPPOE发现阶段主要分为四步〔这四个步骤,细心地朋友可能会发现类似DHCP的四个过程。〔1首先,PPPOE客户端会发起一个PPPOE发现服务报文,以广播的形成向网络中所有节点发送,只有PPPOE服务器才会应答这个报文。这里的广播是采用二层的广播MAC地址〔目标MAC全为F进行广播的。〔2所有PPPOE服务器都会收到这个广播的报文,PPPOE服务器提取报文中的信息与自己所能提供的服务进行比较,一旦满足要求PPPOE便会向PPPOE客户端发送PPPOE发现提供报文,告诉PPPOE客户端自己能满足要求。此时的数据是以目标MAC为PPPOE客户端,源为PPPOE服务器自己MAC的单播传输。〔3PPPOE服务器发送的PPPOE发现提供报文被传送到PPPOE客户端〔PPPOE客户端可能收到多个PPPOE服务器发送过来的这种报文,PPPOE只会选择第一个到达的报文进行应答,PPPOE客户端以一个PPPOE发现请求报文来向选定的PPPOE服务器发送请求服务。此过程也是单播传输〔一旦与选定的PPPOE服务器确定了,以后的数据都是单播。〔4PPPOE服务器收到了来之PPPOE客户端的PPPOE发现请求报文,便会产生一个唯一的会话ＩＤ,标识即将与PPPOE客户端进入PPPOE会话阶段,通过PPPOE发现会话报文传输给PPPOE客户端,一旦PPPOE客户端确认无误,PPPOE会话阶段开始。二、PPPOE会话阶段。PPPOE发现阶段结束后,进入的PPPOE会话阶段,在这个阶段主要靠的是PPP协议在进一步完成协商和业务数据。ＰＰＰ的协商过程,小Ｔ我就简单的描述下。整个过程就是ＰＰＰ协商过程,分三步：ＬＣＰ、认证、NCP。〔1LCP完成建立、配置和检测数据链路连接。〔2LCP完成后,进入认证阶段,认证方式有chap和pap等,认证方式的决定是由LCP协商好的。值得注意的是chap是密文认证,pap是明文认证,在安全性商chap更为安全。〔3认证完成后便进入了NCP阶段,NCP是一个协议族,适用于配置不同网络类型的,这也PPP被广泛采用的原因之一。PPOE调用的是IPCP协议,负责给PPPOE客户端提供IP和DNS服务地址等。这个阶段完成后,业务数据就能正常传输了。数据的封装是自上而下的,那么PPPOE数据封装过程〔以TCP/IP模型讨论是这样的；应用层数据封装于传输层,再被网络层封装,再被PPP协议头部封装,再接着被PPPOE协议头部封装,最后就是MAC封装。三、PPPOE结束阶段。在断开PPPOE连接的时候,PPPOE客户端会一个PPPOE发现终结报文告诉PPPOE服务器,来断开连接。从PPPOE的协议过程来看,整个过程都没有出现ARP协议,所以你查看arp表是看不到任何MAC和IP绑定关系的。因此PPPOE可以保护客户不中ARP病毒攻击。以上就是小T我总结的过程,讲的不好还请各位见谅。下面开始聊聊配置。首先给出我的IP规划。Internet网:Internet_Router:Internet_Routewuxian_pppoe_server:无线地址池围：ADLS_PPPOE_server:ADSL的地址池围：Internet上PPPOE服务的AAA服务器地址：PInternet上DNS服务器和测试web服务器的IP：测试web域名：.xiaot.企业：qiye_Router:企业部PPPOE地址池围：PPPOE服务器的配置,小T我是这样构思的,在企业部PPPOE服务器采用路由器本地认证,Internet网上的PPPOE服务采用的是从AAA服务器上的用户数据库认证。先来看看我企业部PPPOE服务的配置：vpdnenable<开启vpdnvpdn-groupqiye_PPPOE_server〔配置vpdn-group名字为qiye_PPPOE_serveraccept-dialin〔接受拨入protocolpppoe<拨入的协议为PPPOEvirtual-template1〔与虚拟接口绑定exitexituserxiaot_1passwordxiaot01〔本地用户数据库userxiaot_2passwordxiaot02iplocalpoolqiye_PPPOE10.1.1.210.1.1.254〔本地地址池,给PPPOE客户端下发的地址池ipname-server202.103.96.112〔DNS服务器ipdnsserver<开启路由器DNS功能,注意PT5.3不支持这条命令,故模拟一部分效果用域名访问看不到interfacevirtual-Template1ipunnumberedfastEthernet0/0〔使用无编号,调用fa0/0的IP作为自己的IPpppauthenticationchap〔使用chap认证peerdefaultipaddresspoolqiye_PPPOE〔下发的IP从本地地址池找exitinterfacefastEthernet0/0pppoeenable〔开启PPPOEexit以上就是企业PPPOE服务器的配置了,注意在企业出口路由要有能到企业分配的PPPOE的地址池的网段的路由。〔本实验的配置参考见附件。由于PT5.3不支持DNS的下发,小T我再简单介绍两个配置方法下发DNS。方法一：调用DHCP的地址池来发放ipdhcppoolpppoe〔DHCP地址池名dns-server202.103.96.1128.8.8.8〔主辅两个DNSinterfacevirtual-Template1peerdefaultipaddressdhcp-poolpppoeexit方法二：利用PPP的IPCP来下发：interfacevirtual-Template1pppipcpdns202.103.96.1128.8.8.8<主辅两个DNS在Internet网上的两个PPPOE配置跟qiye的差不多,我的构思是调用了AAA服务器来认证的。PPPOE的服务配置我不重复了,主要看AAA的配置。以wuxian_pppoe_server为例：radius-serverhost202.103.96.100keyxiaot1234〔配置与AAA服务器通信实验的keyaaanew-model〔开启AAA服务aaaauthenticationpppdefaultgroupradius〔PPP认证使用AAAaaaauthenticationlogindefaultgroupradius〔设备登入认证使用AAAaaaauthorizationnetworkdefaultgroupradius〔授权使用AAA配置好后,我们认证的用户数据库,将向AAA服务器查找。下面是AAA服务器的配置图：篇主要体现在用ciscoPacketTracer5.3模拟器模拟出来的效果,虽然它功能不是能强,也基本实现了80%符合小T在《[分享]PPPOE模拟小综合--构思篇》中构想。注意：在附件中将分享小T我最终完成的PKT文件,打开PKT文件后稍微等段时间再实验,无线自动连接要点时间,但所有线路是绿色的时候就可以实验了。首先,是企业PC的PPPOE拨号接入配置及效果图,如下：打开ＰＣ０,选择Desktop,然后点击最后一排的PPPOEDialoer。然后输入用户名:xiaot_1和密码：xiaot01。企业的用户信息库我做在企业PPPOE服务器上的,详细见前篇的配置。后然点击connect。等待一会儿,只要出现PPPOEConnected表示已经连接成功了〔如果没成功也会提示的,大家自己注意吧,后然按图中的1和2顺序关闭窗口,在点击commandprompt进入CMD模式,查看我们获取的IP情况。图中获取到了10.1.1.3的IP,但没有DNS信息,注意是PT5.3不支持DNS的下发。关于DNS下发配置见前篇配置。所以我们在访问我在Internet做的web服务器,只能用IP了,关闭CMD窗口,点击webbrowser进入流量器,用202.103.96.112〔模拟器重的DNS和Web服务器的IP访问。就可以看到小T我在web服务器发布的容了。那么企业中的那个笔记本也是同样配置。现在看看中间无线模拟的效果。中间无线的SSID是chinanet,使用wpa方式加密无线链路,值得一提的是,这仅仅是物理链路的加密,如果被别人攻破接入进了就可以"蹭网"了,所以,我们部署PPPOE提供再次认证接入,这样提高了安全性。下图是笔记本的无线接入配置,PPP