彻底解决局域网因ARP引起的掉线.docVIP

彻底解决局域网因ARP引起的掉线 　　摘要:该文从创新的角度提出了彻底解决因ARP引起的掉线、网速慢、内部数据被盗等问题,以一个实例来说明如何在局域网中使用点对点协议完成局域网共享上网。 　　关键词:局域网;掉线;ARP;PPPoE;ROS软路由 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2128-02 　　因ARP攻击而导致局网络瘫痪的例子举不胜举,很多学校和企业面对攻击束手无策,对于ARP攻击原理及常规防止方法,本文不再详细列出,各大技术网站都有专栏说明。本文将以一个实例来说明如何在局域网中使用点对点协议完成局域网共享上网。在局域网内部架设PPPoE服务器,对于传统的局域网,似乎是多此一举。大家对PPPoE协议并不会陌生,家庭用户目前用的ADSL就是采用此协议,的确在以前作局域网时没有人会考虑用PPPoE协议来上网,但现在情况不一样了,因为ARP病毒来了,当双向绑定无效,使用各种补丁后仍掉线严重时,我们可以考虑用PPPoE这个点对点的协议来换掉广播式的ARP了。 大家都知道局域网站设置好IP地址、网关和DNS后即可路由器或代理服务器上网,通过ARP协议建立MAC与IP的对应关系,也就是ARP地址映射表,当有工作站打开了带有ARP攻击的网页或游戏外挂时,此工作站便会生成一个伪ARP地址映射表,并向局域网中所有机器发出ARP欺骗包,导致学校、网吧、企业办公网等局域网用户频繁掉线,目前防范ARP攻击的方法也是五花八门,软的硬的都有,但总是跟不上ARP变种的速度,ARP欺骗已成为局域网的一个顽疾,如何从根本上解决ARP欺骗问题,最根本的解决方法就是不用ARP协议共享Internet,工作站通过PPPoE像家用的ADSL一样上网。以下通过ROS软路由PPPoE设置和工作站端设置等方面介绍。 　　1 ROS软路由PPPoE设置 　　1.1 设置IP地址池 　　进入winbox,单击IP→Pool如图1所示。 　　出现“IP Pool”界面,单击菜单下方的“+”号,如图2所示。 　　出现“New IP Pool”界面,单击“Addresses”后方的向下前头,如图3所示。 　　输入地址池范围,本例为192.168.6.11-192.168.6.252,如图4所示,完成后,单击“OK”退出。 　　1.2 设置PPPoE服务 　　在主菜单中,单击“PPP”如图5所示。 　　出现“PPP”对话框,单击“Secrets”标签后,再单击左上角的“+”,如图6所示。 　　出现“New PPP Secret”对话框,Name为登录名,Password为登录密码,我们这里设置为“111”, 在“Service”中选择“pppoe” ,若需要对工作站限速可以在下方的Limit Bytes In和Limit Bytes Out框中设置上行和下行限速,注意单位为字节/秒,若要限制为1M的速度,可以设置为1024000。完成后如图7所示,单击“OK”完成由帐号的设置。 　　回到“PPP”设置界面,单击“Profiles”标签,双击默认的配置文件default,如图8所示。 　　在Local Address和Remote Address中选择前面建立的地址池名,本例为pool1,在“DNS Server”框中,填入DNS地址,若有多个DNS,可能单击“DNS Server”框后面向下的箭头。完成后如图9所示。单击“OK”按钮退出。 　　回到“PPP”设置界面,单击“Interfaces”标签,再单击“PPPoE Server”如图10所示。 　　出现“New PPPoE Service”对话框,在“Interface”框中选择内网网卡,本例为Lan,勾选中“One Session Per Host ”选项。完成后如图11所示。单击“OK”按钮完成设置。 　　至此路由器端已设置完成。IP→Firwall中的设置跟常规设置一样。加一条NAT规则,Chain中选择“srcnat”,Src.Address的内网网段,也可能不设置网段,即对所以网段都进行转发。Action中设置“Action”为“masquerade”,设置完成后,如图12 和图13所示。 　　2 工作站端的设置(以windows xp 为例) 　　在工作站建立一下PPPoE的连接。右击“网上邻居”图标,选择“属性”,出现如图14所示的设置界面,单击“文件”菜单,选择“新建连接…”。 　　在“新建连接向导”点击“下一步”按钮,按设置向导中的提示,将网络连接类型选择“连接到Internet(C)”;在“准备好”界面中,选择“手动设置我的连接(m)”;在“Internet连接”界面中,选择“用要用户名和密码的宽带连接来连接