PPPOE綜合模擬實驗參考模板

1、PPPOE綜合模擬實驗第一部分 自從Cisco Packet Tracer5.3功能多了，能做出很多有趣的實驗，小T我一直嘗試將自己所學的各中技術，在Cisco Packet Tracer 系列模擬器中，盡肯能的體現(xiàn)出來。但這個畢竟是初級模擬，所以大家不要對他奢望太多哦。呵呵。廢話不多說，現(xiàn)在讓小T我給大家獻上我精心構思的“佳肴”。首先給出的是小T我構思的，能在Cisco Packet Tracer 5.3上實驗PPPOE小小綜合實驗拓撲，如圖：上圖就是小T我的實驗構想圖了?，F(xiàn)在由我從左向右邊，給大家一一介紹。在左邊的區(qū)域，模擬的是一個小小企業(yè)的內部網絡。這個企業(yè)網主要由一臺出口路由器（qiy

2、e_Router）,一臺PPPOE內部服務器（qiye_PPPOE_server）,若干交換機和客戶PC組成。出口路由器主要提供NAT和上網功能，內部PPPOE服務器主要為內部客戶PC提供PPPOE服務，在企業(yè)內部部署PPPOE服務器可以有效的集中控制接入上網（如，計費，帶寬控制等，但2 / 33PT5.3是不支持這些高級功能的），使用PPPOE協(xié)議，可以讓客戶PC不會被網絡中的ARP病毒所欺騙，免受其害，這是因為在整個數(shù)據(jù)過程中，沒有使用ARP協(xié)議，就更談不上被ARP病毒欺騙了，但注意，這只是保證了不受病毒的欺騙，不能根絕病毒主機發(fā)起的攻擊，也就說網絡中病毒時時刻刻攻擊在進行，只是其他主機用

3、協(xié)議通信，他們不會受病毒的影響，所以PPPOE是只能治標不治本，最終解決辦法就是找到發(fā)起病毒攻擊的主機對其隔離殺毒。在我構想的小小企業(yè)中的PPPOE服務器我是用cisco2811路由器模擬的，只具備認證接入，認證使用的用戶名密碼使用服務器本地用戶庫，為通過PPPOE接入的客戶提供到其他網絡或Internet網的路由。中間區(qū)域依然模擬的Internet網絡(就是沒有私網IP路由的路由器，這樣模擬效果就更為真實)。中間最上面的兩個服務器是Internet網中的PPPOE的AAA服務器和DNS_WEB服務器，PPPOE_AAA_Sever是為接入通過PPPOE接入到Internet的客戶PC提供認證

4、、授權、審計(計費)功能等，DNS_WEB_Server服務器是Internet的DNS服務器和WEB服務器，我是把他們合成在一個服務器上，起測試作用。PPPOE_AAA_Server我的構想主要是為wuxian_PPPOE_Sever和ADSL_PPPOE_Server提供用戶數(shù)據(jù)管理，所有通過wuxian_PPPOE_Sever和ADSL_PPPOE_Server接入Internet的客戶提供用戶名和密碼查詢認證。下圖是PPPOE_AAA_Server配置圖：我采用的Radius這個國際標準協(xié)議，上圖配置對ADSL_PPPOE_Server和wuxian_PPPOE_Server服務器的密

5、鑰認證和他們的管理IP，圖中下面就是用戶信息庫了。中間就是用一臺路由器模擬了整個Internet網了，這臺路由器有到達所有公網IP網段的路由。下面我模擬的是通過各種無線技術，如WIFI，3G等技術接入Internet網絡。我為了和最右邊的無線路由的SSI區(qū)別，我在構思模擬的時候，給中間那個無線AP設置的SSID名稱是：chinanet，使用了wap來加密無線鏈路，下圖是AP配置圖：右邊的無線路由器的的SSID是我構思的是home，具體配置，我將在下篇博文【分享】PPPOE模擬小綜合配置篇在說明。然后設置客戶PC無線網絡接入相應的無線設備。AP下面是一個筆記本和pad設備，通過WIFI接入到In

6、ternet。他們的無線網卡設置配置如圖：筆記本：選擇chinanet，然后點右邊的connet連接，進入配置。選擇相應的加密和配置好密鑰，點擊connet就連接上去了。PAD的配置如圖（注意：PT5.3的PAD的無線網卡只能如下圖設置）最后是我右邊區(qū)域的思路構想了。模擬的通過ADSL接入到Internet網，通過ADSL線路向PPPOE服務器認證上網。注意我的整個網絡拓撲中的ADSL_PPPOE_Server那個網云，大家可以在PT中雙擊這個網云進去看看，如下圖一樣：雙擊后是下圖的拓撲（注意是還沒連接下面兩個modem的拓撲）  其實也就是用一個路由器模擬PPPOE服務器

7、，然后接一個交換機，讓交換機連接這下面這個網云，注意這個網云是PT本身就有的，他可以模擬幀中繼、POST、DSL等（我前面的那個ADSL網云是利用new cluter按鈕把這幾個設備用云標識）?？纯催@個DSL云的配置：   FastEthernet3和FastEthernet4就是和交換機的接口，他們分別與云上的modem0和modem1形成映射。然后分部與右邊的客戶modem連接，這個云相當一個大modem提供數(shù)據(jù)信號和模擬信號轉換。右邊下面就是模擬家庭PC的常見兩種情況，一個是PC連接modem，由PC撥號上網；另一個由一個無線寬帶路由器連接modem，有無線

8、寬帶路由器完成撥號上網并實現(xiàn)家庭多臺PC共享上網。第二部分為了體現(xiàn)我的構思，我嘗試用在PT5.3盡可能的體現(xiàn)出來。本篇主要簡單講講PPPOE服務器如何在cisco路由器配置，以及整個實驗在PT5.3上體現(xiàn)出來的效果。下面結合拓撲圖來講解：(看不清圖請雙擊放大）  在開始講配置之間，簡單講講PPPOE協(xié)議過程。PPPOE整個過程分為：PPPOE發(fā)現(xiàn)階段、PPPOE會話階段、PPPOE結束階段。一、PPPOE發(fā)現(xiàn)階段。主要是用來發(fā)現(xiàn)PPPOE服務器和為PPPOE會話階段做好準備。PPPOE發(fā)現(xiàn)階段主要分為四步（這四個步驟，細心地朋友可能會發(fā)現(xiàn)類似DHCP的四個過程）。（1）首先，PPPO

9、E客戶端會發(fā)起一個PPPOE發(fā)現(xiàn)服務報文，以廣播的形成向網絡中所有節(jié)點發(fā)送，只有PPPOE服務器才會應答這個報文。這里的廣播是采用二層的廣播MAC地址（目標MAC全為F）進行廣播的。（2）所有PPPOE服務器都會收到這個廣播的報文，PPPOE服務器提取報文中的信息與自己所能提供的服務進行比較，一旦滿足要求PPPOE便會向PPPOE客戶端發(fā)送PPPOE發(fā)現(xiàn)提供報文，告訴PPPOE客戶端自己能滿足要求。此時的數(shù)據(jù)是以目標MAC為PPPOE客戶端，源為PPPOE服務器自己MAC的單播傳輸。（3）PPPOE服務器發(fā)送的PPPOE發(fā)現(xiàn)提供報文被傳送到PPPOE客戶端（PPPOE客戶端可能收到多個PPPO

10、E服務器發(fā)送過來的這種報文，PPPOE只會選擇第一個到達的報文進行應答），PPPOE客戶端以一個PPPOE發(fā)現(xiàn)請求報文來向選定的PPPOE服務器發(fā)送請求服務。此過程也是單播傳輸（一旦與選定的PPPOE服務器確定了，以后的數(shù)據(jù)都是單播）。（4）PPPOE服務器收到了來之PPPOE客戶端的PPPOE發(fā)現(xiàn)請求報文，便會產生一個唯一的會話，標識即將與PPPOE客戶端進入PPPOE會話階段，通過PPPOE發(fā)現(xiàn)會話報文傳輸給PPPOE客戶端，一旦PPPOE客戶端確認無誤，PPPOE會話階段開始。二、PPPOE會話階段。PPPOE發(fā)現(xiàn)階段結束后，進入的PPPOE會話階段，在這個階段主要靠的是PPP協(xié)議在進一

11、步完成協(xié)商和業(yè)務數(shù)據(jù)。的協(xié)商過程，小我就簡單的描述下。整個過程就是協(xié)商過程，分三步：、認證、NCP。（1）LCP完成建立、配置和檢測數(shù)據(jù)鏈路連接。（2）LCP完成后，進入認證階段，認證方式有chap和pap等，認證方式的決定是由LCP協(xié)商好的。值得注意的是chap是密文認證，pap是明文認證，在安全性商chap更為安全。（3）認證完成后便進入了NCP階段，NCP是一個協(xié)議族，適用于配置不同網絡類型的，這也PPP被廣泛采用的原因之一。PPOE調用的是IPCP協(xié)議，負責給PPPOE客戶端提供IP和DNS服務地址等。這個階段完成后，業(yè)務數(shù)據(jù)就能正常傳輸了。數(shù)據(jù)的封裝是自上而下的，那么PPPOE數(shù)據(jù)封

12、裝過程（以TCP/IP模型討論）是這樣的；應用層數(shù)據(jù)封裝于傳輸層，再被網絡層封裝，再被PPP協(xié)議頭部封裝，再接著被PPPOE協(xié)議頭部封裝，最后就是MAC封裝。三、PPPOE結束階段。在斷開PPPOE連接的時候，PPPOE客戶端會一個PPPOE發(fā)現(xiàn)終結報文告訴PPPOE服務器，來斷開連接。從PPPOE的協(xié)議過程來看，整個過程都沒有出現(xiàn)ARP協(xié)議，所以你查看arp表是看不到任何MAC和IP綁定關系的。因此PPPOE可以保護客戶不中ARP病毒攻擊。以上就是小T我總結的過程，講的不好還請各位見諒。下面開始聊聊配置。首先給出我的IP規(guī)劃。Internet網:Internet_Router:Interne

13、t_Router_to_qiye_Router: 100.1.1.1 255.255.255.0Internet_Router_to_wuxian_pppoe_server:210.1.1.1 255.255.0Internet_Router_to_pppoe_dns_web_server:202.103.96.1 255.255.255.0Internet_Router_to_ADSL_PPPOE_server:200.1.1.1 255.255.255.0wuxian_pppoe_server:wuxian_pppoe_server_to_Internet_Router:210.1.1.2

14、 255.255.255.0wuxian_pppoe_server_to_ap:220.1.1.1 255.2552.55.0無線地址池范圍：wuxian_pppoe_server_pool:220.1.1.2-220.1.1.254ADLS_PPPOE_server:ADLS_PPPOE_server_to_Internet_Router:200.1.1.2 255.255.255.0ADLS_PPPOE_server_to_home:150.1.1.1 255.255.255.0ADSL的地址池范圍：ADSL_PPPOE_server：150.1.1.2-150.1.1.254Intern

15、et上PPPOE服務的AAA服務器地址：PPPOE_AAA_server:202.103.96.100 255.255.255.0Internet上DNS服務器和測試web服務器的IP：DNS_WEB_Server:202.103.96.112測試web域名：企業(yè)：qiye_Router:qiye_Router_to_Internet_Router:100.1.1.2 255.255.255.0qiye_Router_to_neibu:192.168.1.1 255.255.255.0qiye_PPPOE_server:192.168.1.2 255.255.255.0企業(yè)內部PPPOE地址池

16、范圍：qiye_PPPOE_server:10.1.1.2-10.1.1.254home家庭無線路由對內IP網段為：192.168.0.2-192.168.0.254PPPOE服務器的配置，小T我是這樣構思的，在企業(yè)內部PPPOE服務器采用路由器本地認證，Internet網上的PPPOE服務采用的是從AAA服務器上的用戶數(shù)據(jù)庫認證。先來看看我企業(yè)內部PPPOE服務的配置：vpdn enable (開啟vpdn）vpdn-group qiye_PPPOE_server （配置vpdn-group名字為qiye_PPPOE_server）accept-dialin （接受撥入）protocol p

17、ppoe (撥入的協(xié)議為PPPOE）virtual-template 1 （與虛擬接口綁定）exitexituser xiaot_1 password xiaot01 （本地用戶數(shù)據(jù)庫）user xiaot_2 password xiaot02ip local pool qiye_PPPOE 10.1.1.2 10.1.1.254 （本地地址池，給PPPOE客戶端下發(fā)的地址池）ip name-server 202.103.96.112 （DNS服務器）ip dns server (開啟路由器DNS功能，注意PT5.3不支持這條命令，故模擬一部分效果用域名訪問看不到）interface virt

18、ual-Template 1ip unnumbered fastEthernet 0/0 （使用無編號，調用fa 0/0的IP作為自己的IP）ppp authentication chap （使用chap認證）peer default ip address pool qiye_PPPOE （下發(fā)的IP從本地地址池找）exitinterface fastEthernet 0/0pppoe enable （開啟PPPOE）exit以上就是企業(yè)PPPOE服務器的配置了，注意在企業(yè)出口路由要有能到企業(yè)分配的PPPOE的地址池的網段的路由。（本實驗的配置參考見附件）。由于PT5.3不支持DNS的下發(fā)，小

19、T我再簡單介紹兩個配置方法下發(fā)DNS。方法一：調用DHCP的地址池來發(fā)放ip dhcp pool pppoe （DHCP地址池名） network 10.1.1.0 255.255.255.0 default-router 10.1.1.1 dns-server 202.103.96.112 8.8.8.8 （主輔兩個DNS） interface virtual-Template 1 peer default ip address dhcp-pool pppoe exit方法二：利用PPP的IPCP來下發(fā)： interface virtual-Template 1 ppp ipcp dns 2

20、02.103.96.112 8.8.8.8 (主輔兩個DNS）在Internet網上的兩個PPPOE配置跟qiye的差不多，我的構思是調用了AAA服務器來認證的。PPPOE的服務配置我不重復了，主要看AAA的配置。以wuxian_pppoe_server為例：radius-server host 202.103.96.100 key xiaot1234 （配置與AAA服務器通信實驗的key）aaa new-model （開啟AAA服務）aaa authentication ppp default group radius （PPP認證使用AAA）aaa authentication login

21、 default group radius （設備登入認證使用AAA）aaa authorization network default group radius （授權使用AAA）配置好后，我們認證的用戶數(shù)據(jù)庫，將向AAA服務器查找。下面是AAA服務器的配置圖：篇主要體現(xiàn)在用cisco Packet Tracer5.3 模擬器模擬出來的效果，雖然它功能不是能強，也基本實現(xiàn)了80%符合小T在【分享】PPPOE模擬小綜合-構思篇中構想。注意：在附件中將分享小T我最終完成的PKT文件，打開PKT文件后稍微等段時間再實驗，無線自動連接要點時間，但所有線路是綠色的時候就可以實驗了。首先，是企業(yè)PC的P

22、PPOE撥號接入配置及效果圖,如下： 打開，選擇Desktop，然后點擊最后一排的PPPOE Dialoer。然后輸入用戶名:xiaot_1和密碼：xiaot01。企業(yè)的用戶信息庫我做在企業(yè)PPPOE服務器上的，詳細見前篇的配置。后然點擊connect。 等待一會兒，只要出現(xiàn)PPPOE Connected表示已經連接成功了（如果沒成功也會提示的，大家自己注意吧），后然按圖中的1和2順序關閉窗口，在點擊command prompt進入CMD模式，查看我們獲取的IP情況。圖中獲取到了10.1.1.3的IP，但沒有DNS信息，注意是PT5.3不支持DNS的下發(fā)。關于DNS下發(fā)配置見前篇配置。所以我們在訪問我在Internet做的web服務器，只能用IP了，關閉CMD窗口，點擊web browser進入流量器，用202.103.96.112（模擬器重的DNS和Web服務器的IP）訪問。就可以看到小T我在web服務器發(fā)布的內容了。那么企業(yè)中的那個筆記本也是同樣配置。現(xiàn)在看看中間無線模擬的效果。中間無線的SSID是chinanet，使用wpa方式加密無線鏈路，值得一