|
|
马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
大型 PPPoE 服务的综合应用
PPPoE 认证由于是基于 OSI 七层参考模型第二层运行,所以不会受 IP 层数据的影响,特别是 ARP 协议,这样 可以避免现在比较常见的 ARP 病毒攻击。PPPoE 是让每一个用户在二层 MAC 地址间建立一个虚拟的隧道,即 保证了数据的安全,又保证了稳定。比起通过 IP 方式认证的 Web 页面要稳定安全的多。在一些网吧为了避免 ARP 病毒的侵扰,也在网吧内部建立的 PPPoE 认证方式,避免 ARP 对网吧带来上网电脑频繁掉线问题。
现在几乎所有的人都在使用 WindowsXP 或以上的操作系统,这些操作系统都自带了 PPPoE 拨号软件,即用户 不需要太复杂的操作,就可以建立一个虚拟拨号连接。下面是一个 PPPoE 认证系统的网络结构:
-- 1、首先采用 RouterOS 作为接入路由器和外网防火墙,这里我们采用 RB1000 设备或者 RouterOS x86PC 系统作为外网接入路由器,可以实现多线路多运营商的路由器,并作为 nat 转换设备,减轻 PPPoE 认证服务器的压力。
-- 2、在接入路由器下面,我们可以根据用户数量,建立多个 PPPoE 服务器,采用 PPPoE 集群服务器方 式均衡用户,一般通过一台高性能的 PC,如双核的服务器支持 1000 个左右 PPPoE 认证用户同时在线, 更高的 PC 配置可以获得更高的在线用户数量。
-- 3、通过核心交换 VLAN 的 Trunk 连接用户层交换机,并分配每个用户连接那个 PPPoE 服务器,这样 可以通过 VLAN 划分用户区域,隔离不必要的数据,减小广播风暴。用户接入可以通过以太网的有线连 接,也可以通过无线的 AP 接入网络,连接方式灵活多样化。
-- 4、所有 PPPoE 服务器都采用同一个 Radius 服务器,这样帐号便于管理,特别在多 PPPoE 的集群认 证下有利于冗余的工作,在一台 PPPoE 服务器停机后,其余的设备可以接替工作。配置 Radius 服务器也可以分担 RouterOS 在账号管理的负荷。
故障分析
-- 我能够连接到服务器,Ping 也能完全通过,但我仍然不能打开 web 页面?
确定你在路由器上指定了正确的 DNS 服务器(在/ip dns 或在/ppp profile 中的 dns-server 参数)
-- 我能使 PPPoE 连接小点的数据包 (例如 pings)
你需要改变所以经过 PPPoE 连接的 mss 数据包为 1440:
[RouterOS@ROSABC] interface pppoe-server server> set 0 max-mtu=1440 max-mru=1440
[RouterOS@ROSABC] interface pppoe-server server> print
Flags: X - disabled
0 service-name="mt" interface=wlan1 max-mtu=1440 max-mru=1440 authentication=pap,chap,mschap1,mschap2 keepalive-timeout=10
one-session-per-host=yes max-sessions=0 default-profile=default
[RouterOS@ROSABC] interface pppoe-server server>
-- 我的 windows PPPoE 客户端得到了来至 MikroTik PPPoE server 的 IP 地址和默认网关,但不能出 PPPoE server 并且不能连接外部网络.
PPPoE 服务器没有与客户端连接, 为 PPPoE 客户端的地址配置伪装(masquerading)或是确定你为客户端分配 的地址段指定了正确的路由,或是你在以太网卡上启用了 Proxy-ARP (请看 IP 地址和地址解析协议 Address Resolution Protocol (ARP) )
-- 我的 Windows XP 不能连接到 PPPoE 服务器
你要在 XP 的 pppoe 客户端属性中指明"Service Name"。或是没有在 MikroTik PPPoE 服务器配置服务名(service name),这样你会得到“line is busy”错误或是系统显示"verifying password - unknown error"
-- 我想要记录连接建立的日志
在/system logging facility 中配置日志信息并启用 ppp 日志类型
|
|
[复制链接]
发表于 2013-4-21 03:55:54