【IT168 專稿】ARP病毒是局域網中的一個不可回避的話題， 但是這個問題在撥號用戶那兒好象沒怎么聽說過， 現在電信或者網通的家庭用戶一般都是使用PPPOE撥號的方法上網， 我到親戚家幫著調試網絡的時侯就發現怎么他的機器里面IP地址與網關的地址是一致的（呵呵， 象我們在局域網中調試網絡習慣了， 拿到一個機器先打ipconfig/all命令看看， 了解一下網絡的基本情況）， 一般來說電信或網通ADSL貓PPPOE撥號的網絡拓撲如圖1所示：

　　圖1

　　是的， 盡管解決ARP地址欺騙的方法有很多， 但是我們在局域網中借鑒ADSL所采用PPPOE撥號上網的方法， 在局域網中建立PPPOE服務器， 讓局域網用戶也通過PPPOE服務器撥號上網， 使局域網中的微機既可以上網， 又使其獲得的IP地址與網關地址一致， 從而達到防止利用ARP地址欺騙在局域網中發動攻擊的可能， 不也是一種思路嗎。

　　一、搞清楚PPPOE網絡拓撲

　　從網上大家也可以找到PPPOE配置的教程， 但是如果沒有一個明白人指點的話， 自己摸索著配置很難成功， 為什么， 因為網上的教程都是直接從命令配置說起， 沒有把網絡拓撲說清楚， 如果是在虛擬機中進行配置， 那個網絡拓撲就更難說清楚， 所以為了把PPPOE服務器的配置講清楚， 先要搞清楚網絡拓撲， 先說一下， 正常的PPPOE服務器在局域網中的拓撲圖（如圖2）。

　圖2

　　結合圖2我們要再說明一下， 一般來說在單位的局域網中， 用戶上網都是先通過網線連接到交換機， 交換機再上連NAT（地址轉換）設備（寬帶路由器或硬件防火墻或寬帶上網管理系統）來實現的， PPPOE服務器位于交換機與NAT設備之間， 起到驗證撥號用戶信息和分配IP地址等作用， 但是PPPOE服務器分配給用戶的IP地址與DHCP服務器分配給用戶的IP地址是不一樣， DHCP服務器分配給了用戶完整的IP地址/子網掩碼/網關/DNS等信息， 但是PPPOE分配給用戶的只是IP地址和DNS服務器地址。

　　如果我們要在虛擬機中拿routeros軟件作PPPOE服務器的實驗， 就要更加好好的規劃一下網絡拓撲，

　　第一個要點：真實的機器中虛擬出一臺XP的系統（作為撥號測試的客戶端）， 再虛擬出一臺routeros系統（作為PPPOE服務器）。

　　第二個要點， 虛擬的routeros系統要設置兩塊網卡， 而且都處于橋接模式， 網絡拓撲如圖2所示：

　　圖3

　　但是實際上我們是沒有這兩臺交換機的， 但是由于虛擬機的橋接網卡的功能， 我們可以按照上面的圖示理解。

二、PPPOE服務器網絡配置

　　結合我配置PPPOE服務器的經驗（也可以說總結多次不成功的經歷所帶來的教訓吧）， 很多次都是配置過程中某一個小環節出現問題導致失敗， 所以說要想成功的配置好PPPOE服務器， 先要知道在哪兒出現問題了， 也就是說要保證前面的操作是正確的， 總體來說， 有關網絡設置的操作有如下幾步：

　　（一）設置網卡的名字和IP地址信息

　　[admin@MikroTik] interface> set 0 name=lan

　　[admin@MikroTik] interface> set 1 name=wan

　　[admin@MikroTik] interface> print

　　Flags: X - disabled, D - dynamic, R - running

　　 #    NAME                         TYPE             RX-RATE    TX-RATE    MTU 

　　 0  R lan                          ether            0          0          1500

　　 1  R wan                          ether            0          0          1500

　　[admin@MikroTik] interface> /ip

　　[admin@MikroTik] ip> address

　　[admin@MikroTik] ip address> add

　　address: 10.70.10.10/16

　　interface: wan

　　 [admin@MikroTik] ip address> print

　　Flags: X - disabled, I - invalid, D - dynamic

　　 #   ADDRESS            NETWORK         BROADCAST       INTERFACE

　　 0   10.70.10.10/16     10.70.0.0       10.70.255.255   wan  

　　經過以上的設置， 我們就為這臺PPPOE服務器設置了必要的網絡參數， 有了IP地址， 我們就可以登錄http://10.70.10.10， 從上面下載winbox這款軟件， 以后的操作都可以圖形界面中進行了。 　　（二）設置默認路由

　　PPPOE服務器也可以理解為一臺路由器， 因此也必須設置默認路由。

　　>IP>Router， 添加一條新的路由即可， 本機設置的為10.70.0.1

　　設置好以后， 我們可以點擊winbox中的New Terminal， 登錄進入這臺PPPOE服務器， 進行一下ping網關的操作， 如果能夠ping通， 說明網絡設置已經沒有問題了三、PPPOE服務器的設置

　　PPPOE服務器的設置分為4步：

　　（一）添加一個地址池

　　IP>Pool

　　Name:pool1

　　Address:192.168.0.10-192.168.0.100

　　從這兒就可以看到， 我們為用戶分配的地址只有IP地址， 沒有子網掩碼， 也沒有網關。

　　（二）在PPP中添加一個新的Profile文件

　　PPP>Profiles， 新建一個

　　Name:profile1

　　Loacl Address:192.168.1.1

　　Remote Address:pool1（即為客戶端分配地址池pool1的地址）

　　（三）在PPP的Secrets中添加撥號用戶

　　PPP>Secrets

　　Name:ppp1

　　Password:ppp1

　　Service:pppoe

　　Profile:profile1

　　當然了， 如果要添加多個用戶的話， 就在這兒多添加幾個吧。

　　（四）添加PPPOE服務

　　這個步驟是沒有錯， 只是要特別的提醒大家， 是在PPP>Interfaces下已經有PPPoE Server了， 我們要選中這一項， 再點添加"+"， 這時就會出現相應的選項：

　　Service Name:Service1

　　Interface:lan

　　Default profile:profile1

　　以上四步設置完成了， PPPOE服務器也就架設好了， 在另一臺虛擬的XP上就可以新建一個寬帶連接， 服務器名填"service1"， 用戶名和密碼均為"ppp1"， 應該可以很順利的就撥號上去了， 用ipconfig命令看一下， 會得到如下信息：

　　PPP adapter service1:

　　        Connection-specific DNS Suffix  . :

　　        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

　　        Physical Address. . . . . . . . . : 00-53-45-00-00-00

　　        Dhcp Enabled. . . . . . . . . . . : No

　　        IP Address. . . . . . . . . . . . : 192.168.0.98

　　        Subnet Mask . . . . . . . . . . . : 255.255.255.255

　　        Default Gateway . . . . . . . . . : 192.168.0.98

　　        DNS Servers . . . . . . . . . . . : 222.175.169.91

　　                               219.146.0.130

　　        NetBIOS over Tcpip. . . . . . . . : Disabled

　　從中可以看出IP地址與網關地址是一致的， 而且子網掩碼是255.255.255.255（表示一臺主機）， 當然現在還是無法上網的， 還需要下面的兩步設置。

　　（五）設置NAT

　　IP>Fireware>NAT

　　注意， 我們要在右上角的位置選擇"srcnat"， 即針對源地址作NAT

　　Out.Interface:wan

　　Action:masquerade（即作IP偽裝）。

　　（六）設置DNS

　　IP>DNS>Static>Settings

　　Primary DNS:222.175.169.91

　　Seconday DNS:219.146.0.130

　　以上六步建立好以后， 用戶再次PPPOE撥號上網， 就可以正式上網了。

　　利用routeros軟件建立PPPOE服務， 大致步驟就是這樣， 搞清楚了網絡拓撲， 再掌握必要的配置命令， 利用routeros來建立一臺PPPOE服務器并不是一件很困難的事， 但是一個不可回避的事實是routeros是一款商業軟件， 價格不菲， 所以我們要尋求替代產品， 紅旗LINUX6.0桌面版就可以勝任， 下一篇文章就介紹一下利用通用的LINUX系統來架設PPPOE服務器。