基于RouterOS软路由的PPPoE服务器构建与应用.docVIP

基于RouterOS软路由的PPPoE服务器构建与应用 　　摘 要 　　本文针对高校公共机房存在的网络安全问题，提出了一种基于RouterOS软路由进行PPPoE服务器构建和应用的解决方法，着重解决高校公共机房的ARP欺骗攻击和流量控制等问题，该系统对硬件设备的性能要求不高，不仅能够显著减少高校在网络硬件设备上的资金投入，而且还能够有效解决ARP欺骗攻击和流量控制等问题，提高了网络的访问速度和吞吐量，因此具有极高的性价比。 　　【关键词】Router0S PPPoE ARP 欺骗攻击 流量控制 　　随着网络数据业务的高速发展，宽带用户数量也逐年呈现出爆炸增长态势，互联网面临网络系统与信息安全、网络可扩展性、互联网管理与运营之间的矛盾等等，互联网还缺乏统一和集中的管理，特别是对于局域网的有效管理，仍有较大的提升空间。 　　1 高校公共机房存在的网络安全问题 　　目前在高校公共机房中普遍使用的是静态或动态分配IP地址的方式，这种上网方式存在诸多不足，例如ARP欺骗攻击和流量控制等问题，对于出现的问题一般是通过拔插网线、逐一地对各个端口进行排查的方法加以解决，这样不仅工作量非常大、效率低，并且需要较长的时间来进行故障处理。同时，大多解决方法都是以ARP协议为前提的，要想彻底解决ARP病毒攻击等问题，最好的方式就是不采用ARP协议进行上网。如果拥有足够的资金，购买先进的网络安全设备，问题当然也就迎刃而解，但是对于绝大多数学校以及中小企业、社区而言，网络设备上的资金投入非常匮乏，因此要依靠高性能网络安全硬件设备来解决此类问题对它们而言不太现实。 　　2 Router0S软路由的技术优势 　　RouterOS软路由诞生于欧洲，系统功能非常强大，包括路由交换、认证计费、PPPoE、带宽控制和防火墙等功能，采用RouterOS软路由搭建的PPPoE服务器认证系统，由于采用PPPoE协议方式上网，它不使用ARP协议，所以能从根本上解决ARP病毒攻击的问题。 　　相比传统以太网接入方式，该方法主要还有以下几个方面的优势： 　　（1）可根据不同用户的需求，分配不同的带宽，这样可以有效而充分地利用带宽资源，发挥出最大的效果； 　　（2）可以对各个用户的流量进行实时的监控，并且能够生成LOG文件进行存档，日后如果需要，可以查阅以帮助分析、解决故障； 　　（3）可以利用RouterOS软路由创建路由策略、规则等，可对相关应用进行优化，使用户获得更好的上网体验； 　　（4）RouterOS软路由是基于X86架构的，对硬件性能要求不高，相比专业路由器，不仅成本低廉，而且又能达到高级路由器的效果，具有极高的性价比。 　　3 具体解决方案 　　笔者提出的解决方案实施对象为某高校公共机房，着重解决该高校公共机房的ARP欺骗攻击和流量控制等问题，该高校公共机房的网络拓扑图如图1所示。 　　本解决方案的网络硬件设备需要购买1台RouterOS软路由服务器、1台Radius认证计费服务器和若干台思科2960交换机，整套网络硬件设备大约投资1.5万元。使用基于Router0S软路由的PPPoE服务器应用可以有效解决ARP病毒问题，但如果高校公共机房网络用户过多的话，使用RouterOS本身来管理PPPoE客户端数据库会对服务器产生负荷，为了能让RouterOS更加高效的工作，我们可以将PPPoE的客户端数据库管理交给Radius认证计费服务器来完成。 　　在本解决方案中，RouterOS软路由需要配置以下主要内容：RouterOS软路由服务器外网接口和内网接口的IP地址配置、NAT配置、DHCP服务、静态路由、访问控制列表、PPPoE策略规则等。需要注意的是，RouterOS软路由要成功对接Radius认证计费服务器，要在RouterOS软路由上面开放Radius功能，建立PPP的策略，写出Radius认证计费服务器的IP地址、对接密钥、认证计费端口号1812和1813等内容。Radius认证计费服务器则需要配置以下主要内容：NAS名称、RouterOS软路由服务器的IP地址、NAS的设备类型、对接密钥、建立上网流量控制策略、限制上传速率、限制下载速率、创建拨号上网的用户名和账号等。 　　某高校公共机房实施该方案后，笔者对整个网络进行了大量的测试，测试内容主要分为两部分，一是网络流量测试，包括每台电脑不拨号时的流量测试和每台电脑拨号成功后上网的流量测试；二是防止ARP攻击流量测试，检测RouterOS系统和Radius服务部署的策略是否真正有效。通过大量的测试和数据分析，测试结果表明本方案达到了预期效果。 　　4 总结 　　基于RouterOS软路由的PPPoE服务器搭建与应用对于高校公共机房网络管理是一个很好的解决方案，不仅非常实