因小区大多数环境都为PPPoE环境,我们主要以PPPoE环境的搭建,PPPoE故障的排查思路,常见的内容攻击简介为讲解内容

一. PPPoE环境的搭建

 首先我们讲解PPPoE环境的搭建,很多人认为PPPOE搭建是件很容易的事情,点击开启按钮就好了。但是事实并不是如此简单。

 下面我们分为三种类型的PPPOE服务器搭建来给大家分析下:单lan PPPoE服务器,多lan PPPoE服务器,VLAN PPPoE服务器搭建

 1.lan PPPOE环境搭建

 

 这种情况是大家比较常见的情况,只有lan1情况下只需要点击启用按钮即可开启PPPoE服务器。

 地址池可以保持默认即可。

2.lan PPPOE环境搭建

 多lan环境的搭建我们分为:PPPOE服务器的开启和必须在特定网卡下拨号两种情况的讲解

lanPPPOE服务器开启

下面以两个lan口来举例说明多lan PPPOE服务器的搭建

例如,存在两个lanlan1lan2

第一步:

PPPoE服务端开启

第二步:

客户端地址池处添加lan2的地址池,如下图

②PPPOE账号必须在特定LAN口下进行拨号。

具体思路是这样的:账号绑定LANPPPoE服务端绑定LAN

具体步骤如下图:

1)我创建账号为321的账号,在创建账号时,“绑定网卡”选择网卡lan2.

2)PPPOE服务端高级设置勾选绑定网卡选项

 

这样,设置了绑定网卡账号321必须在特定lan2拨号了。

3.多VLAN情况下PPPoE环境的搭建

 比较大型的小区环境,一般会使用VLAN的方式进行隔离,下面就讲解下VLAN PPPOE的搭建。

 可通过两种方法实现VLAN情况下的拨号。

第一种:

VLAN交换机连接爱快lan口的端口设置为trunk口,接电脑的口设置为access口。
   (VLAN交换机的详细设置,这里就不做介绍,根据自己厂商进行咨询即可。)

爱快路由VLAN设置功能项中,设置VLAN,该VLAN下的终端拨号上网。

这里以VLAN交换机划分了VLAN10为例进行讲解:

爱快VLAN设置:添加VLAN10如下图

注意事项:

 vlan设置中IP以及掩码必须填写。

PPPoE添加VLAN10的地址池:

 

第二种方法

思路:PPPoE账号设置绑定VLANPPPoE服务端勾选绑定VLAN功能

VLAN交换机连接爱快lan口的端口设置为trunk口,接电脑的口设置为access口。
(VLAN交换机的详细设置,这里就不做介绍,根据自己厂商进行咨询即可。)
以VLAN交换机划分了VLAN10为例进行讲解:

创建账号123,设置“绑定VLAN”设置绑定10

    

 PPPOE服务端地址池不需要添加,只需要在高级设置中勾选“绑定VLAN”。

   

   这样账号123只能在VLAN10下面进行拨号,并且获取lan1 PPPoE地址池的IP

扩展:

 内网环境QINQ环境下拨号

 思路:此种方式与上面第二种方法类似。

1)以下是QINQ环境架构

图片9.png 

PC1想要上网,到达路由会打上两层标签:内层标签为200,外层标签为1000.使用账号123拨号上网

PC2想要上网,到达路由会打上两层标签:内层标签为300,外层标签为1000.使用账号456拨号上网。

2)下面以PC1为例来进行讲解具体设置。

思路:针对此情况爱快有对应的最佳解决方法请看下面讲解:

①账号处设置:以账号“123”为例

 

PPPOE服务端设置

 

注意事项:

 如使用上述方法,那么千万不要在VLAN设置里面添加对应Vlan的对接策略,否则会造成冲突,造成使用问题。

 开启绑定VLAN功能,终端拨号携带VLAN信息才能拨号成功,未开启绑定VLAN功能或者未做VLAN标准对接条件下,终端拨号携带VLAN信息进行拨号无法拨号成功。

 开启绑定VLAN功能,会先放行所有带VLAN信息的拨号数据在校验,所以会有个现象:如果您配置错误,客户端现象是拨号成功一会又掉线的情况,日志会显示VLAN对应错误的提示,请知悉。

 

4.重要字段:

强制拨号上网:

 开启了PPPoE服务的接口都需要进行拨号才能上网。(lan或者VLAN)②

②LCP探测

 PPPoE是基于PPP协议的,使用LCP的探测来确定拨号连接是否正常。

 LCP探测失败,PPPoE日志中就会报错客户端无响应,断开拨号连接。

 如果网络环境不是很稳定,可以把间隔时间增大,探测次数增加,或者勾选增强断线检测。

  图片13.png

 在探测失败后,等待一段时间后才会断开连接。

③客户端互访限速:

  拨号客户端相互访问的速度,受账号设置的限速数值的限制

 

二.PPPoE故障排查方法:

1.首先我们可以根据客户端拨号来判断问题。

 这里我们介绍几种客户端宽带连接的常见报错

651/678/815

故障原因:

     1.对应接口未开启PPPoE服务。

      如上述所说的多lan与多VLAN情况下。

      例如有两个lanlan1lan2

      lan1lan2都需要拨号上网,直接开启的PPPoE服务器,未添加lan2的地址池。

      lan2下拨号的客户端产生如上报错。

 

     解决方法:

     

PPPoE服务器中添加lan2.

     2.二层不同所致,

       可通过直接接路由lan口进行测试来进行对比测试,判断是否内网环境因素。

      解决方法

  更换内网线路或者交换设备进行解决。

             

  ②691:

    故障原因:

    1.账号过期。

     解决方法

      对应账号进行续租。

    2.输入用户名密码错误。

    解决方法:

      输入正确的账号密码

 

  ③734

   故障原因: 

   1.拨号程序出现程序问题。

    解决方法

     新建宽带连接

   2.网络组件协议出现异常。

   解决方法:

    本地连接中把micosoft客户端和tcp/ip协议卸载重启后在重新安装。

   3.网卡驱动程序异常引起

    更新下网卡驱动。

 

④619

 故障原因:

1.账号密码错误。

解决方法:

 输入正确的账号密码。

2.在未断开宽带连接情况下,直接拔掉网线导致的故障,

   解决方法:

    此种情况可在在线用户在把该账号踢下线。客户端重新拨号即可。

    

 2.通过内网拨号日志来判断问题。

 通过查看里面具体的报错信息进行具体的判断。

 一般的报错有以下几种:

  MAC绑定错误:

   账号中设置了绑定Mac,与拨号终端的Mac不匹配无法正常拨号。

  服务端主动断开:

   管理员强制断开在线账号

  用户端主动断开:

   用户端主动性行为。

  用户无响应

服务端发送的lcp探测失败。(此情况是内网中存在线路问题等产生)

  踢出一个共享数超出:

   拨号终端数量大于账号设置的连接数的数量。、

 

基本的内网PPPoE拨号的报错如上说讲。大家出现拨号错误时可通过上面的方法进行具体的判断。

三.常见的内网攻击情况分析。

  内网常见的攻击:环路,arp攻击,arp欺骗。

环路:

 已知的环路分为两种:线路环以及小路由环。

 1.线路环。

如下图:

①交换机与交换机之间通过两根线相连

图片15.png

②设备上面两个口直接通过一根线相连


图片16.png

 如下图就是一台设备上面两个口连一块的实际图:

  图片17.png

 上图就是3口与4口通过一根线直接相连导致的环路。

2.小路由问题导致环路。

 小路由本身设备故障导致出现环路。

排查方法:

 以上环路出现的话,没什么好的排查方法,只能通过逐级拔线法进行排除故障线路。

 首先从核心交换机,上面挨个拔线,确定拔到哪跟线后网络正常。


arp欺骗:

电脑中毒或者使用ARP软件导致向局域网中发送一个不存在的MAC地址出现的报错。

比如说一些内网使用的arp软件,比如说网络剪刀手。

出现此类情况,

  ARP欺骗主要有下面几种:

  1.截获网关数据,伪造假地址发送给路由器。导致真实的主机地址无法发送给路由器。

  2.伪造网关,建立假网关,导致内网终端只能向假网关发送数据不能通过正常的路由途径上网。

下面讲解下局域网ARP预防小技巧

 第一,做好第一道防线,实现网关和终端双向绑定IP和MAC地址。

 第二,通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址,然后在局域网中的每台电脑中实现静态ARP绑定。

 第三,付出少需的代价换来局域网的长久平静。打开安全防护软件的ARP防火墙功能。

 第四,斩草除根,彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后,在相应的计算机上安装ARP专杀工具进行查杀操作。

想了解详细的ARP欺骗,可点击:

https://baike.baidu.com/item/ARP%E6%94%BB%E5%87%BB

 

 

 

 

 

 
以上信息是否解决您的问题?
 
在线客服
APP下载
APP下载