PPPOE综合模拟实验.docx
《PPPOE综合模拟实验.docx》由会员分享,可在线阅读,更多相关《PPPOE综合模拟实验.docx(28页珍藏版)》请在冰豆网上搜索。
PPPOE综合模拟实验
PPPOE综合模拟实验
第一部分
自从CiscoPacketTracer5、3功能多了,能做出很多有趣的实验,小T我一直尝试将自己所学的各中技术,在CiscoPacketTracer系列模拟器中,尽肯能的体现出来。
但这个毕竟就是初级模拟,所以大家不要对她奢望太多哦。
呵呵。
。
。
废话不多说,现在让小T我给大家献上我精心构思的“佳肴”。
首先给出的就是小T我构思的,能在CiscoPacketTracer5、3上实验PPPOE小小综合实验拓扑,如图:
上图就就是小T我的实验构想图了。
现在由我从左向右边,给大家一一介绍。
在左边的区域,模拟的就是一个小小企业的内部网络。
这个企业网主要由一台出口路由器(qiye_Router),一台PPPOE内部服务器(qiye_PPPOE_server),若干交换机与客户PC组成。
出口路由器主要提供NAT与上网功能,内部PPPOE服务器主要为内部客户PC提供PPPOE服务,在企业内部部署PPPOE服务器可以有效的集中控制接入上网(如,计费,带宽控制等,但PT5、3就是不支持这些高级功能的),使用PPPOE协议,可以让客户PC不会被网络中的ARP病毒所欺骗,免受其害,这就是因为在整个数据过程中,没有使用ARP协议,就更谈不上被ARP病毒欺骗了,但注意,这只就是保证了PC不受ARP病毒的欺骗,不能根绝ARP病毒主机发起的攻击,也就说网络中ARP病毒时时刻刻攻击在进行,只就是其她主机用PPPOE协议通信,她们不会受ARP病毒的影响,所以PPPOE就是只能治标不治本,最终解决办法就就是找到发起ARP病毒攻击的主机对其隔离杀毒。
在我构想的小小企业中的PPPOE服务器我就是用cisco 2811路由器模拟的,只具备认证接入,认证使用的用户名密码使用服务器本地用户库,为通过PPPOE接入的客户PC提供到其她网络或Internet网的路由。
中间区域依然模拟的Internet网络(就就是没有私网IP路由的路由器,这样模拟效果就更为真实)。
中间最上面的两个服务器就是Internet网中的PPPOE的AAA服务器与DNS_WEB服务器,PPPOE_AAA_Sever就是为接入通过PPPOE接入到Internet的客户PC提供认证、授权、审计(计费)功能等,DNS_WEB_Server服务器就是Internet的DNS服务器与WEB服务器,我就是把她们合成在一个服务器上,起测试作用。
PPPOE_AAA_Server我的构想主要就是为wuxian_PPPOE_Sever与ADSL_PPPOE_Server提供用户数据管理,所有通过wuxian_PPPOE_Sever与ADSL_PPPOE_Server接入Internet的客户PC提供用户名与密码查询认证。
下图就是PPPOE_AAA_Server配置图:
我采用的Radius这个国际标准协议,上图配置对ADSL_PPPOE_Server与wuxian_PPPOE_Server服务器的密钥认证与她们的管理IP,图中下面就就是用户信息库了。
中间就就是用一台路由器模拟了整个Internet网了,这台路由器有到达所有公网IP网段的路由。
下面我模拟的就是通过各种无线技术,如WIFI,3G等技术接入Internet网络。
我为了与最右边的无线路由的SSI区别,我在构思模拟的时候,给中间那个无线AP设置的SSID名称就是:
chinanet,使用了wap来加密无线链路,下图就是AP配置图:
右边的无线路由器的的SSID就是我构思的就是home,具体配置,我将在下篇博文《【分享】PPPOE模拟小综合—配置篇》在说明。
然后设置客户PC无线网络接入相应的无线设备。
AP下面就是一个笔记本与pad设备,通过WIFI接入到Internet。
她们的无线网卡设置配置如图:
笔记本:
选择chinanet,然后点右边的connet连接,进入配置。
选择相应的加密与配置好密钥,点击connet就连接上去了。
PAD的配置如图(注意:
PT5、3的PAD的无线网卡只能如下图设置)
最后就是我右边区域的思路构想了。
模拟的通过ADSL接入到Internet网,通过ADSL线路向PPPOE服务器认证上网。
注意我的整个网络拓扑中的ADSL_PPPOE_Server那个网云,大家可以在PT中双击这个网云进去瞧瞧,如下图一样:
双击后就是下图的拓扑(注意就是还没连接下面两个modem的拓扑)
其实也就就是用一个路由器模拟PPPOE服务器,然后接一个交换机,让交换机连接这下面这个网云,注意这个网云就是PT本身就有的,她可以模拟帧中继、POST、DSL等(我前面的那个ADSL网云就是利用newcluter按钮把这几个设备用云标识)。
瞧瞧这个DSL云的配置:
FastEthernet3与FastEthernet4就就是与交换机的接口,她们分别与云上的modem0与modem1形成映射。
然后分部与右边的客户modem连接,这个云相当一个大modem提供数据信号与模拟信号转换。
右边下面就就是模拟家庭PC的常见两种情况,一个就是PC连接modem,由PC拨号上网;另一个由一个无线宽带路由器连接modem,有无线宽带路由器完成拨号上网并实现家庭多台PC共享上网。
第二部分
为了体现我的构思,我尝试用在PT5、3尽可能的体现出来。
本篇主要简单讲讲PPPOE服务器如何在cisco路由器配置,以及整个实验在PT5、3上体现出来的效果。
下面结合拓扑图来讲解:
(瞧不清图请双击放大)
在开始讲配置之间,简单讲讲PPPOE协议过程。
PPPOE整个过程分为:
PPPOE发现阶段、PPPOE会话阶段、PPPOE结束阶段。
一、PPPOE发现阶段。
主要就是用来发现PPPOE服务器与为PPPOE会话阶段做好准备。
PPPOE发现阶段主要分为四步(这四个步骤,细心地朋友可能会发现类似DHCP的四个过程)。
(1)首先,PPPOE客户端会发起一个PPPOE发现服务报文,以广播的形成向网络中所有节点发送,只有PPPOE服务器才会应答这个报文。
这里的广播就是采用二层的广播MAC地址(目标MAC全为F)进行广播的。
(2)所有PPPOE服务器都会收到这个广播的报文,PPPOE服务器提取报文中的信息与自己所能提供的服务进行比较,一旦满足要求PPPOE便会向PPPOE客户端发送PPPOE发现提供报文,告诉PPPOE客户端自己能满足要求。
此时的数据就是以目标MAC为PPPOE客户端,源为PPPOE服务器自己MAC的单播传输。
(3)PPPOE服务器发送的PPPOE发现提供报文被传送到PPPOE客户端(PPPOE客户端可能收到多个PPPOE服务器发送过来的这种报文,PPPOE只会选择第一个到达的报文进行应答),PPPOE客户端以一个PPPOE发现请求报文来向选定的PPPOE服务器发送请求服务。
此过程也就是单播传输(一旦与选定的PPPOE服务器确定了,以后的数据都就是单播)。
(4)PPPOE服务器收到了来之PPPOE客户端的PPPOE发现请求报文,便会产生一个唯一的会话ID,标识即将与PPPOE客户端进入PPPOE会话阶段,通过PPPOE发现会话报文传输给PPPOE客户端,一旦PPPOE客户端确认无误,PPPOE会话阶段开始。
二、PPPOE会话阶段。
PPPOE发现阶段结束后,进入的PPPOE会话阶段,在这个阶段主要靠的就是PPP协议在进一步完成协商与业务数据。
PPP的协商过程,小T我就简单的描述下。
整个过程就就是PPP协商过程,分三步:
LCP、认证、NCP。
(1)LCP完成建立、配置与检测数据链路连接。
(2)LCP完成后,进入认证阶段,认证方式有chap与pap等,认证方式的决定就是由LCP协商好的。
值得注意的就是chap就是密文认证,pap就是明文认证,在安全性商chap更为安全。
(3)认证完成后便进入了NCP阶段,NCP就是一个协议族,适用于配置不同网络类型的,这也PPP被广泛采用的原因之一。
PPOE调用的就是IPCP协议,负责给PPPOE客户端提供IP与DNS服务地址等。
这个阶段完成后,业务数据就能正常传输了。
数据的封装就是自上而下的,那么PPPOE数据封装过程(以TCP/IP模型讨论)就是这样的;应用层数据封装于传输层,再被网络层封装,再被PPP协议头部封装,再接着被PPPOE协议头部封装,最后就就是MAC封装。
三、PPPOE结束阶段。
在断开PPPOE连接的时候,PPPOE客户端会一个PPPOE发现终结报文告诉PPPOE服务器,来断开连接。
从PPPOE的协议过程来瞧,整个过程都没有出现ARP协议,所以您查瞧arp表就是瞧不到任何MAC与IP绑定关系的。
因此PPPOE可以保护客户不中ARP病毒攻击。
以上就就是小T我总结的过程,讲的不好还请各位见谅。
下面开始聊聊配置。
首先给出我的IP规划。
Internet网:
Internet_Router:
Internet_Router_to_qiye_Router:
100、1、1、1255、255、255、0
Internet_Router_to_wuxian_pppoe_server:
210、1、1、1255、255、0
Internet_Router_to_pppoe_dns_web_server:
202、103、96、1255、255、255、0
Internet_Router_to_ADSL_PPPOE_server:
200、1、1、1255、255、255、0
wuxian_pppoe_server:
wuxian_pppoe_server_to_Internet_Router:
210、1、1、2255、255、255、0
wuxian_pppoe_server_to_ap:
220、1、1、1255、2552、55、0
无线地址池范围:
wuxian_pppoe_server_pool:
220、1、1、2-220、1、1、254
ADLS_PPPOE_server:
ADLS_PPPOE_server_to_Internet_Router:
200、1、1、2255、255、255、0
ADLS_PPPOE_server_to_home:
150、1、1、1255、255、255、0
ADSL的地址池范围:
ADSL_PPPOE_server:
150、1、1、2-150、1、1、254
Internet上PPPOE服务的AAA服务器地址:
PPPOE_AAA_server:
202、103、96、100255、255、255、0
Internet上DNS服务器与测试web服务器的IP:
DNS_WEB_Server:
202、103、96、112
测试web域名:
企业:
qiye_Router:
qiye_Router_to_Internet_Router:
100、1、1、2255、255、255、0
qiye_Router_to_neibu:
192、168、1、1255、255、255、0
qiye_PPPOE_server:
192、168、1、2255、255、255、0
企业内部PPPOE地址池范围:
qiye_PPPOE_server:
10、1、1、2-10、1、1、254
home家庭无线路由对内IP网段为:
192、168、0、2-192、168、0、254
PPPOE服务器的配置,小T我就是这样构思的,在企业内部PPPOE服务器采用路由器本地认证,Internet网上的PPPOE服务采用的就是从AAA服务器上的用户数据库认证。
先来瞧瞧我企业内部PPPOE服务的配置:
vpdnenable(开启vpdn)
vpdn-groupqiye_PPPOE_server(配置vpdn-group名字为qiye_PPPOE_server)
accept-dialin(接受拨入)
protocolpppoe(拨入的协议为PPPOE)
virtual-template1(与虚拟接口绑定)
exit
exit
userxiaot_1passwordxiaot01(本地用户数据库)
userxiaot_2passwordxiaot02
iplocalpoolqiye_PPPOE10、1、1、210、1、1、254(本地地址池,给PPPOE客户端下发的地址池)
ipname-server202、103、96、112(DNS服务器)
ipdnsserver(开启路由器DNS功能,注意PT5、3不支持这条命令,故模拟一部分效果用域名访问瞧不到)
interfacevirtual-Template1
ipunnumberedfastEthernet0/0(使用无编号,调用fa0/0的IP作为自己的IP)
pppauthenticationchap(使用chap认证)
peerdefaultipaddresspoolqiye_PPPOE(下发的IP从本地地址池找)
exit
interfacefastEthernet0/0
pppoeenable(开启PPPOE)
exit
以上就就是企业PPPOE服务器的配置了,注意在企业出口路由要有能到企业分配的PPPOE的地址池的网段的路由。
(本实验的配置参考见附件)。
由于PT5、3不支持DNS的下发,小T我再简单介绍两个配置方法下发DNS。
方法一:
调用DHCP的地址池来发放
ipdhcppoolpppoe(DHCP地址池名)
network10、1、1、0255、255、255、0
default-router10、1、1、1
dns-server202、103、96、1128、8、8、8(主辅两个DNS)
interfacevirtual-Template1
peerdefaultipaddressdhcp-poolpppoe
exit
方法二:
利用PPP的IPCP来下发:
interfacevirtual-Template1
pppipcpdns202、103、96、1128、8、8、8(主辅两个DNS)
在Internet网上的两个PPPOE配置跟qiye的差不多,我的构思就是调用了AAA服务器来认证的。
PPPOE的服务配置我不重复了,主要瞧AAA的配置。
以wuxian_pppoe_server为例:
radius-serverhost202、103、96、100keyxiaot1234(配置与AAA服务器通信实验的key)
aaanew-model(开启AAA服务)
aaaauthenticationpppdefaultgroupradius(PPP认证使用AAA)
aaaauthenticationlogindefaultgroupradius(设备登入认证使用AAA)
aaaauthorizationnetworkdefaultgroupradius(授权使用AAA)
配置好后,我们认证的用户数据库,将向AAA服务器查找。
下面就是AAA服务器的配置图:
篇主要体现在用ciscoPacketTracer5、3模拟器模拟出来的效果,虽然它功能不就是能强,也基本实现了80%符合小T在《【分享】PPPOE模拟小综合--构思篇》中构想。
注意:
在附件中将分享小T我最终完成的PKT文件,打开PKT文件后稍微等段时间再实验,无线自动连接要点时间,但所有线路就是绿色的时候就可以实验了。
首先,就是企业PC的PPPOE拨号接入配置及效果图,如下:
打开PC0,选择Desktop,然后点击最后一排的PPPOEDialoer。
然后输入用户名:
xiaot_1与密码:
xiaot01。
企业的用户信息库我做在企业PPPOE服务器上的,详细见前篇的配置。
后然点击connect。
等待一会儿,只要出现PPPOEConnected表示已经连接成功了(如果没成功也会提示的,大家自己注意吧),后然按图中的1与2顺序关闭窗口,在点击commandprompt进入CMD模式,查瞧我们获取的IP情况。
图中获取到了10、1、1、3的IP,但没有DNS信息,注意就是PT5、3不支持DNS的下发。
关于DNS下发配置见前篇配置。
所以我们在访问我在Internet做的web服务器,只能用IP了,关闭CMD窗口,点击webbrowser进入流量器,用202、103、96、112(模拟器重的DNS与Web服务器的IP)访问。
就可以瞧到小T我在web服务器发布的内容了。
那么企业中的那个笔记本也就是同样配置。
现在瞧瞧中间无线模拟的效果。
中间无线的SSID就是chinanet,使用wpa方式加密无线链路,值得一提的就是,这仅仅就是物理链路的加密,如果被别人攻破接入进了就可以“蹭网”了,所以,我们部署PPPOE提供再次认证接入,这样提高了安全性。
下图就是笔记本的无线接入配置,PPPOE接入配置与前面一样。
注意,笔记本要换成无线网卡。
注意:
Internet无线接入与家庭的用户数据库就是AAA服务器重,在前篇有,大家注意瞧一下。
选择PCWireless进入无线网卡的配置。
选择chinanet的SSID,然后图中的顺序操作,进入下一步配置。
输入密钥xiaot1234,再图操作完成无线网卡配置。
然后PPPOE的配置与前面的一样。
右边的PDA的无线接入配置,在PT5、3不能配置PCWireless,在《【分享】PPPOE模拟小综合--构思篇》篇说明了如何配置。
由于叶不能下发DNS,故效果也就是月上同样。
在最右边就是模拟的就是家庭的情况上网,左边mode接PC,其PPPOE的配置也就是一样的,右边用的无线宽带路由器做家庭共享上网用的。
如果大家玩过TP-link与DLink的宽带无线路由器,这个您就不会陌生了。
首先瞧瞧这个无线宽带路由的PPPOE配置。
接入选择PPPOE协议,输入PPPOE用户:
cs_0734与密码:
0734,下面就是命名。
页面下拉,就就是家庭内部的DCHP配置了,这时候,我们可以用DHCP下发DNS。
记得下拉直到最下面save保存配置,每步配置都要保存。
下面就是家庭无线宽带路由的SSID与密钥认证配置。
命名SSID为home,其她默认,然后进入无线安全配置。
也就是用wpa方式加密,密钥就是tim12345,然后家庭的无线网卡配置选择home的SSID再输入这个密码就可以了,最终无线宽带路由器的状态时如下就为成功。
获取到了PPPOE下发的IP与。
下面就是PC的DHCP获取IP与域名访问效果图。
本实验完!
完成PKT见附件下载!
升级会员 