?
?
?因小區(qū)大多數(shù)環(huán)境都為PPPoE環(huán)境,我們主要以PPPoE環(huán)境的搭建,PPPoE故障的排查思路,常見的內(nèi)容攻擊簡介為講解內(nèi)容
一.?PPPoE環(huán)境的搭建
?首先我們講解PPPoE環(huán)境的搭建,很多人認(rèn)為PPPOE搭建是件很容易的事情,點(diǎn)擊開啟按鈕就好了。但是事實(shí)并不是如此簡單。
?下面我們分為三種類型的PPPOE服務(wù)器搭建來給大家分析下:單lan PPPoE服務(wù)器,多lan PPPoE服務(wù)器,VLAN PPPoE服務(wù)器搭建
?1.單lan PPPOE環(huán)境搭建
?
?這種情況是大家比較常見的情況,只有lan1情況下只需要點(diǎn)擊啟用按鈕即可開啟PPPoE服務(wù)器。
?地址池可以保持默認(rèn)即可。
2.多lan PPPOE環(huán)境搭建
?多l(xiāng)an環(huán)境的搭建我們分為:PPPOE服務(wù)器的開啟和必須在特定網(wǎng)卡下?lián)芴杻煞N情況的講解
①多lanPPPOE服務(wù)器開啟:
下面以兩個(gè)lan口來舉例說明多l(xiāng)an PPPOE服務(wù)器的搭建
例如,存在兩個(gè)lan,lan1與lan2
第一步:
PPPoE服務(wù)端開啟
第二步:
客戶端地址池處添加lan2的地址池,如下圖
②PPPOE賬號必須在特定LAN口下進(jìn)行撥號。
具體思路是這樣的:賬號綁定LAN,PPPoE服務(wù)端綁定LAN。
具體步驟如下圖:
1)我創(chuàng)建賬號為321的賬號,在創(chuàng)建賬號時(shí),“綁定網(wǎng)卡”選擇網(wǎng)卡lan2.
2)PPPOE服務(wù)端高級設(shè)置勾選綁定網(wǎng)卡選項(xiàng)
?
這樣,設(shè)置了綁定網(wǎng)卡賬號321必須在特定lan2撥號了。
3.多VLAN情況下PPPoE環(huán)境的搭建
?比較大型的小區(qū)環(huán)境,一般會使用VLAN的方式進(jìn)行隔離,下面就講解下VLAN PPPOE的搭建。
?可通過兩種方法實(shí)現(xiàn)VLAN情況下的撥號。
第一種:
VLAN交換機(jī)連接愛快lan口的端口設(shè)置為trunk口,接電腦的口設(shè)置為access口。
?? (VLAN交換機(jī)的詳細(xì)設(shè)置,這里就不做介紹,根據(jù)自己廠商進(jìn)行咨詢即可。)
愛快路由VLAN設(shè)置功能項(xiàng)中,設(shè)置VLAN,該VLAN下的終端撥號上網(wǎng)。
這里以VLAN交換機(jī)劃分了VLAN10為例進(jìn)行講解:
①愛快VLAN設(shè)置:添加VLAN10如下圖
注意事項(xiàng):
?vlan設(shè)置中IP以及掩碼必須填寫。
②PPPoE添加VLAN10的地址池:
?
第二種方法:
思路:PPPoE賬號設(shè)置綁定VLAN,PPPoE服務(wù)端勾選綁定VLAN功能
VLAN交換機(jī)連接愛快lan口的端口設(shè)置為trunk口,接電腦的口設(shè)置為access口。
(VLAN交換機(jī)的詳細(xì)設(shè)置,這里就不做介紹,根據(jù)自己廠商進(jìn)行咨詢即可。)
以VLAN交換機(jī)劃分了VLAN10為例進(jìn)行講解:
①創(chuàng)建賬號123,設(shè)置“綁定VLAN”設(shè)置綁定10
? ??
?②PPPOE服務(wù)端地址池不需要添加,只需要在高級設(shè)置中勾選“綁定VLAN”。
? ?
?? 這樣賬號123只能在VLAN10下面進(jìn)行撥號,并且獲取lan1 PPPoE地址池的IP。
擴(kuò)展:
?內(nèi)網(wǎng)環(huán)境QINQ環(huán)境下?lián)芴?/span>
?思路:此種方式與上面第二種方法類似。
1)以下是QINQ環(huán)境架構(gòu)
?
PC1想要上網(wǎng),到達(dá)路由會打上兩層標(biāo)簽:內(nèi)層標(biāo)簽為200,外層標(biāo)簽為1000.使用賬號123撥號上網(wǎng)
PC2想要上網(wǎng),到達(dá)路由會打上兩層標(biāo)簽:內(nèi)層標(biāo)簽為300,外層標(biāo)簽為1000.使用賬號456撥號上網(wǎng)。
2)下面以PC1為例來進(jìn)行講解具體設(shè)置。
思路:針對此情況愛快有對應(yīng)的最佳解決方法請看下面講解:
①賬號處設(shè)置:以賬號“123”為例
?
②PPPOE服務(wù)端設(shè)置
?
注意事項(xiàng):
?如使用上述方法,那么千萬不要在VLAN設(shè)置里面添加對應(yīng)Vlan的對接策略,否則會造成沖突,造成使用問題。
?開啟綁定VLAN功能,終端撥號攜帶VLAN信息才能撥號成功,未開啟綁定VLAN功能或者未做VLAN標(biāo)準(zhǔn)對接條件下,終端撥號攜帶VLAN信息進(jìn)行撥號無法撥號成功。
?開啟綁定VLAN功能,會先放行所有帶VLAN信息的撥號數(shù)據(jù)在校驗(yàn),所以會有個(gè)現(xiàn)象:如果您配置錯(cuò)誤,客戶端現(xiàn)象是撥號成功一會又掉線的情況,日志會顯示VLAN對應(yīng)錯(cuò)誤的提示,請知悉。
?
4.重要字段:
①強(qiáng)制撥號上網(wǎng):
?開啟了PPPoE服務(wù)的接口都需要進(jìn)行撥號才能上網(wǎng)。(lan或者VLAN)②
②LCP探測
?PPPoE是基于PPP協(xié)議的,使用LCP的探測來確定撥號連接是否正常。
?LCP探測失敗,PPPoE日志中就會報(bào)錯(cuò)客戶端無響應(yīng),斷開撥號連接。
?如果網(wǎng)絡(luò)環(huán)境不是很穩(wěn)定,可以把間隔時(shí)間增大,探測次數(shù)增加,或者勾選增強(qiáng)斷線檢測。
??
?在探測失敗后,等待一段時(shí)間后才會斷開連接。
③客戶端互訪限速:
? 撥號客戶端相互訪問的速度,受賬號設(shè)置的限速數(shù)值的限制
?
二.PPPoE故障排查方法:
1.首先我們可以根據(jù)客戶端撥號來判斷問題。
?這里我們介紹幾種客戶端寬帶連接的常見報(bào)錯(cuò)
①651/678/815:
故障原因:
???? 1.對應(yīng)接口未開啟PPPoE服務(wù)。
????? 如上述所說的多lan與多VLAN情況下。
????? 例如有兩個(gè)lan,lan1與lan2,
????? lan1與lan2都需要撥號上網(wǎng),直接開啟的PPPoE服務(wù)器,未添加lan2的地址池。
????? lan2下?lián)芴柕目蛻舳水a(chǎn)生如上報(bào)錯(cuò)。
?
???? 解決方法:
?????
PPPoE服務(wù)器中添加lan2.
???? 2.二層不同所致,
?????? 可通過直接接路由lan口進(jìn)行測試來進(jìn)行對比測試,判斷是否內(nèi)網(wǎng)環(huán)境因素。
????? 解決方法:
? 更換內(nèi)網(wǎng)線路或者交換設(shè)備進(jìn)行解決。
?????????????
? ②691:
??? 故障原因:
??? 1.賬號過期。
?? ? 解決方法:
????? 對應(yīng)賬號進(jìn)行續(xù)租。
??? 2.輸入用戶名密碼錯(cuò)誤。
??? 解決方法:
????? 輸入正確的賬號密碼
?
? ③734:
?? 故障原因:?
?? 1.撥號程序出現(xiàn)程序問題。
??? 解決方法:
? ?? 新建寬帶連接。
?? 2.網(wǎng)絡(luò)組件協(xié)議出現(xiàn)異常。
?? 解決方法:
??? 本地連接中把micosoft客戶端和tcp/ip協(xié)議卸載重啟后在重新安裝。
?? 3.網(wǎng)卡驅(qū)動程序異常引起
??? 更新下網(wǎng)卡驅(qū)動。
?
④619:
?故障原因:
1.賬號密碼錯(cuò)誤。
解決方法:
?輸入正確的賬號密碼。
2.在未斷開寬帶連接情況下,直接拔掉網(wǎng)線導(dǎo)致的故障,
?? 解決方法:
??? 此種情況可在在線用戶在把該賬號踢下線。客戶端重新?lián)芴柤纯伞?/span>
????
?2.通過內(nèi)網(wǎng)撥號日志來判斷問題。
?通過查看里面具體的報(bào)錯(cuò)信息進(jìn)行具體的判斷。
?一般的報(bào)錯(cuò)有以下幾種:
? MAC綁定錯(cuò)誤:
?? 賬號中設(shè)置了綁定Mac,與撥號終端的Mac不匹配無法正常撥號。
? 服務(wù)端主動斷開:
?? 管理員強(qiáng)制斷開在線賬號
? 用戶端主動斷開:
?? 用戶端主動性行為。
? 用戶無響應(yīng):
服務(wù)端發(fā)送的lcp探測失敗。(此情況是內(nèi)網(wǎng)中存在線路問題等產(chǎn)生)
? 踢出一個(gè)共享數(shù)超出:
?? 撥號終端數(shù)量大于賬號設(shè)置的連接數(shù)的數(shù)量。、
?
基本的內(nèi)網(wǎng)PPPoE撥號的報(bào)錯(cuò)如上說講。大家出現(xiàn)撥號錯(cuò)誤時(shí)可通過上面的方法進(jìn)行具體的判斷。
三.常見的內(nèi)網(wǎng)攻擊情況分析。
? 內(nèi)網(wǎng)常見的攻擊:環(huán)路,arp攻擊,arp欺騙。
環(huán)路:
?已知的環(huán)路分為兩種:線路環(huán)以及小路由環(huán)。
?1.線路環(huán)。
如下圖:
①交換機(jī)與交換機(jī)之間通過兩根線相連
②設(shè)備上面兩個(gè)口直接通過一根線相連
?如下圖就是一臺設(shè)備上面兩個(gè)口連一塊的實(shí)際圖:
? 
?上圖就是3口與4口通過一根線直接相連導(dǎo)致的環(huán)路。
2.小路由問題導(dǎo)致環(huán)路。
?小路由本身設(shè)備故障導(dǎo)致出現(xiàn)環(huán)路。
排查方法:
?以上環(huán)路出現(xiàn)的話,沒什么好的排查方法,只能通過逐級拔線法進(jìn)行排除故障線路。
?首先從核心交換機(jī),上面挨個(gè)拔線,確定拔到哪跟線后網(wǎng)絡(luò)正常。
arp欺騙:
電腦中毒或者使用ARP軟件導(dǎo)致向局域網(wǎng)中發(fā)送一個(gè)不存在的MAC地址出現(xiàn)的報(bào)錯(cuò)。
比如說一些內(nèi)網(wǎng)使用的arp軟件,比如說網(wǎng)絡(luò)剪刀手。
出現(xiàn)此類情況,
??ARP欺騙主要有下面幾種:
??1.截獲網(wǎng)關(guān)數(shù)據(jù),偽造假地址發(fā)送給路由器。導(dǎo)致真實(shí)的主機(jī)地址無法發(fā)送給路由器。
??2.偽造網(wǎng)關(guān),建立假網(wǎng)關(guān),導(dǎo)致內(nèi)網(wǎng)終端只能向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)不能通過正常的路由途徑上網(wǎng)。
下面講解下局域網(wǎng)ARP預(yù)防小技巧
?第一,做好第一道防線,實(shí)現(xiàn)網(wǎng)關(guān)和終端雙向綁定IP和MAC地址。
?第二,通過“網(wǎng)絡(luò)參數(shù)”-“LAN口參數(shù)”來查找路由器的MAC地址和IP地址,然后在局域網(wǎng)中的每臺電腦中實(shí)現(xiàn)靜態(tài)ARP綁定。
?第三,付出少需的代價(jià)換來局域網(wǎng)的長久平靜。打開安全防護(hù)軟件的ARP防火墻功能。
?第四,斬草除根,徹底追蹤查殺ARP病毒。利用局域網(wǎng)ARP欺騙檢測工具來確定ARP攻擊源,然后利用ARP專殺工具進(jìn)行殺毒。查找并定位到攻擊源地址以后,在相應(yīng)的計(jì)算機(jī)上安裝ARP專殺工具進(jìn)行查殺操作。
想了解詳細(xì)的ARP欺騙,可點(diǎn)擊:
https://baike.baidu.com/item/ARP%E6%94%BB%E5%87%BB
?
?
?
?
