基于RouterOS軟路由的PPPoE服務器構(gòu)建與應用

王洪波++王珍珍

摘 要

本文針對高校公共機房存在的網(wǎng)絡安全問題，提出了一種基于RouterOS軟路由進行PPPoE服務器構(gòu)建和應用的解決方法，著重解決高校公共機房的ARP欺騙攻擊和流量控制等問題，該系統(tǒng)對硬件設備的性能要求不高，不僅能夠顯著減少高校在網(wǎng)絡硬件設備上的資金投入，而且還能夠有效解決ARP欺騙攻擊和流量控制等問題，提高了網(wǎng)絡的訪問速度和吞吐量，因此具有極高的性價比。

【關(guān)鍵詞】Router0S PPPoE ARP 欺騙攻擊 流量控制

隨著網(wǎng)絡數(shù)據(jù)業(yè)務的高速發(fā)展，寬帶用戶數(shù)量也逐年呈現(xiàn)出爆炸增長態(tài)勢，互聯(lián)網(wǎng)面臨網(wǎng)絡系統(tǒng)與信息安全、網(wǎng)絡可擴展性、互聯(lián)網(wǎng)管理與運營之間的矛盾等等，互聯(lián)網(wǎng)還缺乏統(tǒng)一和集中的管理，特別是對于局域網(wǎng)的有效管理，仍有較大的提升空間。

1 高校公共機房存在的網(wǎng)絡安全問題

目前在高校公共機房中普遍使用的是靜態(tài)或動態(tài)分配IP地址的方式，這種上網(wǎng)方式存在諸多不足，例如ARP欺騙攻擊和流量控制等問題，對于出現(xiàn)的問題一般是通過拔插網(wǎng)線、逐一地對各個端口進行排查的方法加以解決，這樣不僅工作量非常大、效率低，并且需要較長的時間來進行故障處理。同時，大多解決方法都是以ARP協(xié)議為前提的，要想徹底解決ARP病毒攻擊等問題，最好的方式就是不采用ARP協(xié)議進行上網(wǎng)。如果擁有足夠的資金，購買先進的網(wǎng)絡安全設備，問題當然也就迎刃而解，但是對于絕大多數(shù)學校以及中小企業(yè)、社區(qū)而言，網(wǎng)絡設備上的資金投入非常匱乏，因此要依靠高性能網(wǎng)絡安全硬件設備來解決此類問題對它們而言不太現(xiàn)實。

2 Router0S軟路由的技術(shù)優(yōu)勢

RouterOS軟路由誕生于歐洲，系統(tǒng)功能非常強大，包括路由交換、認證計費、PPPoE、帶寬控制和防火墻等功能，采用RouterOS軟路由搭建的PPPoE服務器認證系統(tǒng)，由于采用PPPoE協(xié)議方式上網(wǎng)，它不使用ARP協(xié)議，所以能從根本上解決ARP病毒攻擊的問題。

相比傳統(tǒng)以太網(wǎng)接入方式，該方法主要還有以下幾個方面的優(yōu)勢：

（1）可根據(jù)不同用戶的需求，分配不同的帶寬，這樣可以有效而充分地利用帶寬資源，發(fā)揮出最大的效果；

（2）可以對各個用戶的流量進行實時的監(jiān)控，并且能夠生成LOG文件進行存檔，日后如果需要，可以查閱以幫助分析、解決故障；

（3）可以利用RouterOS軟路由創(chuàng)建路由策略、規(guī)則等，可對相關(guān)應用進行優(yōu)化，使用戶獲得更好的上網(wǎng)體驗；

（4）RouterOS軟路由是基于X86架構(gòu)的，對硬件性能要求不高，相比專業(yè)路由器，不僅成本低廉，而且又能達到高級路由器的效果，具有極高的性價比。

3 具體解決方案

筆者提出的解決方案實施對象為某高校公共機房，著重解決該高校公共機房的ARP欺騙攻擊和流量控制等問題，該高校公共機房的網(wǎng)絡拓撲圖如圖1所示。

本解決方案的網(wǎng)絡硬件設備需要購買1臺RouterOS軟路由服務器、1臺Radius認證計費服務器和若干臺思科2960交換機，整套網(wǎng)絡硬件設備大約投資1.5萬元。使用基于Router0S軟路由的PPPoE服務器應用可以有效解決ARP病毒問題，但如果高校公共機房網(wǎng)絡用戶過多的話，使用RouterOS本身來管理PPPoE客戶端數(shù)據(jù)庫會對服務器產(chǎn)生負荷，為了能讓RouterOS更加高效的工作，我們可以將PPPoE的客戶端數(shù)據(jù)庫管理交給Radius認證計費服務器來完成。

在本解決方案中，RouterOS軟路由需要配置以下主要內(nèi)容：RouterOS軟路由服務器外網(wǎng)接口和內(nèi)網(wǎng)接口的IP地址配置、NAT配置、DHCP服務、靜態(tài)路由、訪問控制列表、PPPoE策略規(guī)則等。需要注意的是，RouterOS軟路由要成功對接Radius認證計費服務器，要在RouterOS軟路由上面開放Radius功能，建立PPP的策略，寫出Radius認證計費服務器的IP地址、對接密鑰、認證計費端口號1812和1813等內(nèi)容。Radius認證計費服務器則需要配置以下主要內(nèi)容：NAS名稱、RouterOS軟路由服務器的IP地址、NAS的設備類型、對接密鑰、建立上網(wǎng)流量控制策略、限制上傳速率、限制下載速率、創(chuàng)建撥號上網(wǎng)的用戶名和賬號等。

某高校公共機房實施該方案后，筆者對整個網(wǎng)絡進行了大量的測試，測試內(nèi)容主要分為兩部分，一是網(wǎng)絡流量測試，包括每臺電腦不撥號時的流量測試和每臺電腦撥號成功后上網(wǎng)的流量測試；二是防止ARP攻擊流量測試，檢測RouterOS系統(tǒng)和Radius服務部署的策略是否真正有效。通過大量的測試和數(shù)據(jù)分析，測試結(jié)果表明本方案達到了預期效果。

4 總結(jié)

基于RouterOS軟路由的PPPoE服務器搭建與應用對于高校公共機房網(wǎng)絡管理是一個很好的解決方案，不僅非常實用而且資金投入少，它最大限度地保證了上網(wǎng)用戶的安全，避免了ARP欺騙攻擊等網(wǎng)絡威脅，值得推廣到其他兄弟院校以及其他企事業(yè)單位使用。

參考文獻

[1]閻秀富.利用軟路由實現(xiàn)網(wǎng)絡流量控制[J].遼寧行政學院學報，2010（10）：168.

[2]施游，桂陽.網(wǎng)絡規(guī)劃設計師考試輔導教程[M].北京：電子工業(yè)出版社，2010：374.

作者簡介

王洪波（1979-），男，廣西壯族自治區(qū)容縣人。工程碩士學位。現(xiàn)為賀州學院計算機科學與信息工程學院講師。研究方向為計算機網(wǎng)絡。

作者單位

賀州學院計算機科學與信息工程學院 廣西壯族自治區(qū)賀州市 542899