局域网PPPoE服务剖析.doc

第 33 章 局域网PPPoE服务 部分 VI. 服务应用 第 33 章 局域网PPPoE服务 目录 33.1. 什么是局域网 PPPoE 33.2. PPPoE 服务端的设定 33.3. PPPoE 客户端设置( Windows ) 33.4. 测试 PPPoE 连接 33.5. 管理已拨号用户 33.6. 客户机无法访问Internet 33.1. 什么是局域网 PPPoE 局域网PPPoE就是在一个局域网内所有客户机都采用PPPoE拨号到网关，通过网关的共享上网。 内网使用 PPPoE 的优点： 安装与操作方式简单，终端用户只需要建立一个宽带拨号 允许多个终端用户共享一个高速数据接入链路 利用 RADIUS 协议可以进行认证服务，针对不同的用户进行计费和控制管理 可避免传统网关模式ARP欺骗的困扰 适应小型企业和小区楼宇宽带运营商 可与现有网络结构相融合 33.2. PPPoE 服务端的设定 登录Web主页面，进入“服务应用”-“PPPoE 拨号服务”，勾选 启用 PPPoE 拨号服务，具体配置如下： 图 33.1. PPPoE 拨号服务 在“用户认证模式”中有以下三个选项（用户可依据需求选择）： 无需验证 —— 任何用户名和密码均可拨入。 简单验证模式 —— 设置的账号可以同时拨入多次。 RADIUS 认证 —— 可以限制账户拨入次数、时间、带宽、有效期等。 下面的 自动绑定客户机的MAC地址 是针对RADIUS认证账号而设置的，勾选后即对所有含PPPoE拨号服务的RADIUS认证账号启用MAC地址绑定，当客户机第一次运行PPPoE拨号时，自动将其帐号与MAC地址绑定。 设置完后点击“保存设置”。 注意 PPPoE 拨号服务分配给客户机的地址空间不要太大，否则会影响到客户端拨号的连接速度。 在高级页面中，可以设置PPPoE用户上网主页，允许用户自行修改拨号密码等，如下图： 图 33.2. PPPoE拨号服务高级设置 上图中对于网卡MAC地址为90-E6-BA-DC-87-42的计算机，即使用户名和密码正确也无法通过RADIUS用户认证进行拨号上网。对于内网所有计算机均强制采用PPPoE拨号上网，仅对于IP地址为192.168.0.91的计算机例外。 如果您需要对PPPoE客户端设置为不能互访（如小区内用户），可以通过ACL策略来实现。 进入“防火墙”-“访问控制列表”，将您设置客户机的地址空间填入源IP和目的IP中，动作设为丢弃，如图： 图 33.3. 禁止PPPoE用户互访 33.3. PPPoE 客户端设置( Windows ) 使用海蜘蛛的 PPPoE 服务器功能，不需改变局域网的拓扑结构，很容易就能实现内网 PPPoE 拨号，具有方便可靠、成本低廉的特点。 Windows 2000/XP/2003/Vista 自带有 PPPoE 的拨号客户端，无需另外安装软件。以 Windows XP 为例，设置步骤如下： 启动新建连接向导 依次点击“开始”-“设置”-“网络连接”-“新建连接向导”即可。 或右键单击桌面上的“网上邻居”图标，选择“属性”，在“向导”栏双击“新建连接向导”。 点击“下一步”继续 选择连接类型 设置连接名和账户信息 此用户名和密码必须是路由器上“服务应用”-“用户账号管理”里面已配置好的用户名和密码。 完成连接向导 图 33.4. 完成连接向导 打开建立的拨号连接，输入您的用户名和密码（test/test），点击“连接”即可。 图 33.5. PPPoE 连接 33.4. 测试 PPPoE 连接 查看服务器端IP 在windows客户端打开网络连接，双击拨号连接图标，进入支持页面，单击详细信息选项卡，如下图所示： 测试PPPoE连接 进入DOS环境，使用ping命令测试连接是否正常。 注意 如果路由设置了“防火墙”-“基本安全设置”中“完全禁止了PING”，客户端是无法 Ping 通的。 33.5. 管理已拨号用户 已拨号用户管理是对已经通过PPPoE方式拨号成功的用户进行管理。 登录海蜘蛛路由系统，进入“服务应用”下的“PPPoE 拨号服务”，单击“在线用户”进入PPP连接信息页面，这里显示了所有通过PPPoE拨号的连接信息，如下图所示： 图 33.6. 管理在线用户 单击 用户名 即可进入修改用户信息界面。 在某种情况下，管理员需要强制断开某个客户端的连接，此时只需点击“连接名”就可以断开相应连接，在客户端会出现断开提示： 图 33.7. 断开用户链接 PPPoE拨号的设置 首先登陆路由主页面，进入“服务应用”-“PPPoE拨号服务”，启用PPPoE拨号服务： 图 53.2. PPPoE 拨号服务的设置 用户认证模式根据实际情况自行选择，如这里的无需