大型 PPPoE 服务 应用

来自深圳捷联讯通科技有限公司
跳转至: 导航搜索
PPPoE 认证由于是基于 OSI 七层参考模型第二层运行,所以不会受 IP 层数据的影响,特别是 ARP 协议,这样可以避免现在比较常见的 ARP 病毒攻击。PPPoE 是让每
一个用户在二层 MAC 地址间建立一个虚拟的隧道,即保证了数据的安全,又保证了稳定。比起通过 IP 方式认证的 Web 页面要稳定安全的多。在一些网吧为了避免ARP 病毒
的侵扰,也在网吧内部建立的 PPPoE 认证方式,避免 ARP 对网吧带来上网电脑频繁掉线问题。
现在几乎所有的人都在使用 WindowsXP 或以上的操作系统,这些操作系统都自带了 PPPoE 拨号软件,即用户不需要太复杂的操作,就可以建立一个虚拟拨号连接。下面
是一个 PPPoE 认证系统的网络结构:
22-18.png
♦ 首先采用 RouterOS 作为接入路由器和外网防火墙,这里我们采用 CCR1036 设备或者选择更强劲的x86 服务器系统作为外网接入路由器,可以实现多线路多运营商的路由
器,并作为 nat 转换设备,减轻PPPoE 认证服务器的压力。
♦ 在 NAT 路由器下面,我们可以根据用户数量,建立多个 PPPoE 服务器,采用 PPPoE 集群服务器方式均衡用户,一般高性能的至强服务器,能支持 2000 个左右 PPPoE
认证用户同时在线(建议使用 RouterOS6.0)。
♦ 通过核心交换 VLAN 的 Trunk 连接用户层交换机,并分配每个用户连接那个 PPPoE 服务器,这样可以通过 VLAN 划分用户区域,隔离不必要的数据,减小广播风暴。用
户接入可以通过以太网的有线连接,也可以通过无线的 AP 接入网络,连接方式灵活多样化。
♦ 在实际使用中发现如果 2 台或者多台 RouterOS 的 PPPoE 认证服务器在同一个 VLAN 下,相同的Service name 能实现用户拨号的自动负载均衡和冗余,只能使用在划分
802.1q 的网络,普通交换机不支持。
♦ 所有 PPPoE 服务器都采用同一个 RADIUS 服务器,这样帐号便于管理,特别在多 PPPoE 的集群认证下有利于冗余的工作,在一台 PPPoE 服务器停机后,其余的设备可以
接替工作。配置 RADIUS 服务器也可以分担 RouterOS 在账号管理的负荷。
注 : 关于 VLAN 的配置和事例请见第十五章 VLAN 介绍

故障分析

♦ 我能够连接到服务器,Ping 也能完全通过,但我仍然不能打开 web
确定你在路由器上指定了正确的 DNS 服务器(在/ip dns 或在/ppp profile 中的 dns-server 参数)
♦ 我能使 PPPoE 连接小点的数据包 ( 例如 pings)
你需要改变所以经过 PPPoE 连接的 mss 数据包为 1440:
22-19.png
♦ 我的 windows PPPoE 客户端得到了来至 MikroTik PPPoE server 的 的 IP 地址和默认网关,但不出 能出 PPPoE server 并且不能连接外 部网络.
PPPoE 服务器没有与客户端连接, 为 PPPoE 客户端的地址配置伪装(masquerading)或是确定你为客户端分配的地址段指定了正确的路由,或是你在以太网卡上启用了
Proxy-ARP (请看 IP 地址和地址解析协议 Address Resolution Protocol (ARP) )
♦ 我的 Windows XP 不能连接到 PPPoE 服务器
你要在 XP 的 pppoe 客户端属性中指明"Service Name"。或是没有在 MikroTik PPPoE 服务器配置服务名(service name),这样你会得到“line is busy”错误或是
系统显示"verifying password - unknown error"
♦ 我想要记录连接建立的日志
在/system logging facility 中配置日志信息并启用 ppp 日志类型
作者:余松

上一页 下一页