基于RouterOS軟路由的PPPoE服務器構建與應用

王洪波++王珍珍

摘 要

本文針對高校公共機房存在的網絡安全問題，提出了一種基于RouterOS軟路由進行PPPoE服務器構建和應用的解決方法，著重解決高校公共機房的ARP欺騙攻擊和流量控制等問題，該系統對硬件設備的性能要求不高，不僅能夠顯著減少高校在網絡硬件設備上的資金投入，而且還能夠有效解決ARP欺騙攻擊和流量控制等問題，提高了網絡的訪問速度和吞吐量，因此具有極高的性價比。

【關鍵詞】Router0S PPPoE ARP 欺騙攻擊 流量控制

隨著網絡數據業務的高速發展，寬帶用戶數量也逐年呈現出爆炸增長態勢，互聯網面臨網絡系統與信息安全、網絡可擴展性、互聯網管理與運營之間的矛盾等等，互聯網還缺乏統一和集中的管理，特別是對于局域網的有效管理，仍有較大的提升空間。

1 高校公共機房存在的網絡安全問題

目前在高校公共機房中普遍使用的是靜態或動態分配IP地址的方式，這種上網方式存在諸多不足，例如ARP欺騙攻擊和流量控制等問題，對于出現的問題一般是通過拔插網線、逐一地對各個端口進行排查的方法加以解決，這樣不僅工作量非常大、效率低，并且需要較長的時間來進行故障處理。同時，大多解決方法都是以ARP協議為前提的，要想徹底解決ARP病毒攻擊等問題，最好的方式就是不采用ARP協議進行上網。如果擁有足夠的資金，購買先進的網絡安全設備，問題當然也就迎刃而解，但是對于絕大多數學校以及中小企業、社區而言，網絡設備上的資金投入非常匱乏，因此要依靠高性能網絡安全硬件設備來解決此類問題對它們而言不太現實。

2 Router0S軟路由的技術優勢

RouterOS軟路由誕生于歐洲，系統功能非常強大，包括路由交換、認證計費、PPPoE、帶寬控制和防火墻等功能，采用RouterOS軟路由搭建的PPPoE服務器認證系統，由于采用PPPoE協議方式上網，它不使用ARP協議，所以能從根本上解決ARP病毒攻擊的問題。

相比傳統以太網接入方式，該方法主要還有以下幾個方面的優勢：

（1）可根據不同用戶的需求，分配不同的帶寬，這樣可以有效而充分地利用帶寬資源，發揮出最大的效果；

（2）可以對各個用戶的流量進行實時的監控，并且能夠生成LOG文件進行存檔，日后如果需要，可以查閱以幫助分析、解決故障；

（3）可以利用RouterOS軟路由創建路由策略、規則等，可對相關應用進行優化，使用戶獲得更好的上網體驗；

（4）RouterOS軟路由是基于X86架構的，對硬件性能要求不高，相比專業路由器，不僅成本低廉，而且又能達到高級路由器的效果，具有極高的性價比。

3 具體解決方案

筆者提出的解決方案實施對象為某高校公共機房，著重解決該高校公共機房的ARP欺騙攻擊和流量控制等問題，該高校公共機房的網絡拓撲圖如圖1所示。

本解決方案的網絡硬件設備需要購買1臺RouterOS軟路由服務器、1臺Radius認證計費服務器和若干臺思科2960交換機，整套網絡硬件設備大約投資1.5萬元。使用基于Router0S軟路由的PPPoE服務器應用可以有效解決ARP病毒問題，但如果高校公共機房網絡用戶過多的話，使用RouterOS本身來管理PPPoE客戶端數據庫會對服務器產生負荷，為了能讓RouterOS更加高效的工作，我們可以將PPPoE的客戶端數據庫管理交給Radius認證計費服務器來完成。

在本解決方案中，RouterOS軟路由需要配置以下主要內容：RouterOS軟路由服務器外網接口和內網接口的IP地址配置、NAT配置、DHCP服務、靜態路由、訪問控制列表、PPPoE策略規則等。需要注意的是，RouterOS軟路由要成功對接Radius認證計費服務器，要在RouterOS軟路由上面開放Radius功能，建立PPP的策略，寫出Radius認證計費服務器的IP地址、對接密鑰、認證計費端口號1812和1813等內容。Radius認證計費服務器則需要配置以下主要內容：NAS名稱、RouterOS軟路由服務器的IP地址、NAS的設備類型、對接密鑰、建立上網流量控制策略、限制上傳速率、限制下載速率、創建撥號上網的用戶名和賬號等。

某高校公共機房實施該方案后，筆者對整個網絡進行了大量的測試，測試內容主要分為兩部分，一是網絡流量測試，包括每臺電腦不撥號時的流量測試和每臺電腦撥號成功后上網的流量測試；二是防止ARP攻擊流量測試，檢測RouterOS系統和Radius服務部署的策略是否真正有效。通過大量的測試和數據分析，測試結果表明本方案達到了預期效果。

4 總結

基于RouterOS軟路由的PPPoE服務器搭建與應用對于高校公共機房網絡管理是一個很好的解決方案，不僅非常實用而且資金投入少，它最大限度地保證了上網用戶的安全，避免了ARP欺騙攻擊等網絡威脅，值得推廣到其他兄弟院校以及其他企事業單位使用。

參考文獻

[1]閻秀富.利用軟路由實現網絡流量控制[J].遼寧行政學院學報，2010（10）：168.

[2]施游，桂陽.網絡規劃設計師考試輔導教程[M].北京：電子工業出版社，2010：374.

作者簡介

王洪波（1979-），男，廣西壯族自治區容縣人。工程碩士學位?，F為賀州學院計算機科學與信息工程學院講師。研究方向為計算機網絡。

作者單位

賀州學院計算機科學與信息工程學院 廣西壯族自治區賀州市 542899