因小区大多数环境都为PPPoE环境,我们主要以PPPoE环境的搭建,PPPoE故障的排查思路,常见的内容攻击简介为讲解内容
一. PPPoE环境的搭建
首先我们讲解PPPoE环境的搭建,很多人认为PPPOE搭建是件很容易的事情,点击开启按钮就好了。但是事实并不是如此简单。
下面我们分为三种类型的PPPOE服务器搭建来给大家分析下:单lan PPPoE服务器,多lan PPPoE服务器,VLAN PPPoE服务器搭建
1.单lan PPPOE环境搭建
这种情况是大家比较常见的情况,只有lan1情况下只需要点击启用按钮即可开启PPPoE服务器。
地址池可以保持默认即可。
2.多lan PPPOE环境搭建
多lan环境的搭建我们分为:PPPOE服务器的开启和必须在特定网卡下拨号两种情况的讲解
①多lanPPPOE服务器开启:
下面以两个lan口来举例说明多lan PPPOE服务器的搭建
例如,存在两个lan,lan1与lan2
第一步:
PPPoE服务端开启
第二步:
客户端地址池处添加lan2的地址池,如下图
②PPPOE账号必须在特定LAN口下进行拨号。
具体思路是这样的:账号绑定LAN,PPPoE服务端绑定LAN。
具体步骤如下图:
1)我创建账号为321的账号,在创建账号时,“绑定网卡”选择网卡lan2.
2)PPPOE服务端高级设置勾选绑定网卡选项
这样,设置了绑定网卡账号321必须在特定lan2拨号了。
3.多VLAN情况下PPPoE环境的搭建
比较大型的小区环境,一般会使用VLAN的方式进行隔离,下面就讲解下VLAN PPPOE的搭建。
可通过两种方法实现VLAN情况下的拨号。
第一种:
VLAN交换机连接爱快lan口的端口设置为trunk口,接电脑的口设置为access口。
(VLAN交换机的详细设置,这里就不做介绍,根据自己厂商进行咨询即可。)
爱快路由VLAN设置功能项中,设置VLAN,该VLAN下的终端拨号上网。
这里以VLAN交换机划分了VLAN10为例进行讲解:
①爱快VLAN设置:添加VLAN10如下图
注意事项:
vlan设置中IP以及掩码必须填写。
②PPPoE添加VLAN10的地址池:
第二种方法:
思路:PPPoE账号设置绑定VLAN,PPPoE服务端勾选绑定VLAN功能
VLAN交换机连接爱快lan口的端口设置为trunk口,接电脑的口设置为access口。
(VLAN交换机的详细设置,这里就不做介绍,根据自己厂商进行咨询即可。)
以VLAN交换机划分了VLAN10为例进行讲解:
①创建账号123,设置“绑定VLAN”设置绑定10
②PPPOE服务端地址池不需要添加,只需要在高级设置中勾选“绑定VLAN”。
这样账号123只能在VLAN10下面进行拨号,并且获取lan1 PPPoE地址池的IP。
扩展:
内网环境QINQ环境下拨号
思路:此种方式与上面第二种方法类似。
1)以下是QINQ环境架构
PC1想要上网,到达路由会打上两层标签:内层标签为200,外层标签为1000.使用账号123拨号上网
PC2想要上网,到达路由会打上两层标签:内层标签为300,外层标签为1000.使用账号456拨号上网。
2)下面以PC1为例来进行讲解具体设置。
思路:针对此情况爱快有对应的最佳解决方法请看下面讲解:
①账号处设置:以账号“123”为例
②PPPOE服务端设置
注意事项:
如使用上述方法,那么千万不要在VLAN设置里面添加对应Vlan的对接策略,否则会造成冲突,造成使用问题。
开启绑定VLAN功能,终端拨号携带VLAN信息才能拨号成功,未开启绑定VLAN功能或者未做VLAN标准对接条件下,终端拨号携带VLAN信息进行拨号无法拨号成功。
开启绑定VLAN功能,会先放行所有带VLAN信息的拨号数据在校验,所以会有个现象:如果您配置错误,客户端现象是拨号成功一会又掉线的情况,日志会显示VLAN对应错误的提示,请知悉。
4.重要字段:
①强制拨号上网:
开启了PPPoE服务的接口都需要进行拨号才能上网。(lan或者VLAN)②
②LCP探测
PPPoE是基于PPP协议的,使用LCP的探测来确定拨号连接是否正常。
LCP探测失败,PPPoE日志中就会报错客户端无响应,断开拨号连接。
如果网络环境不是很稳定,可以把间隔时间增大,探测次数增加,或者勾选增强断线检测。
在探测失败后,等待一段时间后才会断开连接。
③客户端互访限速:
拨号客户端相互访问的速度,受账号设置的限速数值的限制
二.PPPoE故障排查方法:
1.首先我们可以根据客户端拨号来判断问题。
这里我们介绍几种客户端宽带连接的常见报错
①651/678/815:
故障原因:
1.对应接口未开启PPPoE服务。
如上述所说的多lan与多VLAN情况下。
例如有两个lan,lan1与lan2,
lan1与lan2都需要拨号上网,直接开启的PPPoE服务器,未添加lan2的地址池。
lan2下拨号的客户端产生如上报错。
解决方法:
PPPoE服务器中添加lan2.
2.二层不同所致,
可通过直接接路由lan口进行测试来进行对比测试,判断是否内网环境因素。
解决方法:
更换内网线路或者交换设备进行解决。
②691:
故障原因:
1.账号过期。
解决方法:
对应账号进行续租。
2.输入用户名密码错误。
解决方法:
输入正确的账号密码
③734:
故障原因:
1.拨号程序出现程序问题。
解决方法:
新建宽带连接。
2.网络组件协议出现异常。
解决方法:
本地连接中把micosoft客户端和tcp/ip协议卸载重启后在重新安装。
3.网卡驱动程序异常引起
更新下网卡驱动。
④619:
故障原因:
1.账号密码错误。
解决方法:
输入正确的账号密码。
2.在未断开宽带连接情况下,直接拔掉网线导致的故障,
解决方法:
此种情况可在在线用户在把该账号踢下线。客户端重新拨号即可。
2.通过内网拨号日志来判断问题。
通过查看里面具体的报错信息进行具体的判断。
一般的报错有以下几种:
MAC绑定错误:
账号中设置了绑定Mac,与拨号终端的Mac不匹配无法正常拨号。
服务端主动断开:
管理员强制断开在线账号
用户端主动断开:
用户端主动性行为。
用户无响应:
服务端发送的lcp探测失败。(此情况是内网中存在线路问题等产生)
踢出一个共享数超出:
拨号终端数量大于账号设置的连接数的数量。、
基本的内网PPPoE拨号的报错如上说讲。大家出现拨号错误时可通过上面的方法进行具体的判断。
三.常见的内网攻击情况分析。
内网常见的攻击:环路,arp攻击,arp欺骗。
环路:
已知的环路分为两种:线路环以及小路由环。
1.线路环。
如下图:
①交换机与交换机之间通过两根线相连
②设备上面两个口直接通过一根线相连
如下图就是一台设备上面两个口连一块的实际图:
上图就是3口与4口通过一根线直接相连导致的环路。
2.小路由问题导致环路。
小路由本身设备故障导致出现环路。
排查方法:
以上环路出现的话,没什么好的排查方法,只能通过逐级拔线法进行排除故障线路。
首先从核心交换机,上面挨个拔线,确定拔到哪跟线后网络正常。
arp欺骗:
电脑中毒或者使用ARP软件导致向局域网中发送一个不存在的MAC地址出现的报错。
比如说一些内网使用的arp软件,比如说网络剪刀手。
出现此类情况,
ARP欺骗主要有下面几种:
1.截获网关数据,伪造假地址发送给路由器。导致真实的主机地址无法发送给路由器。
2.伪造网关,建立假网关,导致内网终端只能向假网关发送数据不能通过正常的路由途径上网。
下面讲解下局域网ARP预防小技巧
第一,做好第一道防线,实现网关和终端双向绑定IP和MAC地址。
第二,通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址,然后在局域网中的每台电脑中实现静态ARP绑定。
第三,付出少需的代价换来局域网的长久平静。打开安全防护软件的ARP防火墙功能。
第四,斩草除根,彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后,在相应的计算机上安装ARP专杀工具进行查杀操作。
想了解详细的ARP欺骗,可点击:
https://baike.baidu.com/item/ARP%E6%94%BB%E5%87%BB