王洪波++王珍珍

摘 要

本文針對(duì)高校公共機(jī)房存在的網(wǎng)絡(luò)安全問(wèn)題，提出了一種基于RouterOS軟路由進(jìn)行PPPoE服務(wù)器構(gòu)建和應(yīng)用的解決方法，著重解決高校公共機(jī)房的ARP欺騙攻擊和流量控制等問(wèn)題，該系統(tǒng)對(duì)硬件設(shè)備的性能要求不高，不僅能夠顯著減少高校在網(wǎng)絡(luò)硬件設(shè)備上的資金投入，而且還能夠有效解決ARP欺騙攻擊和流量控制等問(wèn)題，提高了網(wǎng)絡(luò)的訪問(wèn)速度和吞吐量，因此具有極高的性價(jià)比。

【關(guān)鍵詞】Router0S PPPoE ARP 欺騙攻擊 流量控制

隨著網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的高速發(fā)展，寬帶用戶數(shù)量也逐年呈現(xiàn)出爆炸增長(zhǎng)態(tài)勢(shì)，互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)系統(tǒng)與信息安全、網(wǎng)絡(luò)可擴(kuò)展性、互聯(lián)網(wǎng)管理與運(yùn)營(yíng)之間的矛盾等等，互聯(lián)網(wǎng)還缺乏統(tǒng)一和集中的管理，特別是對(duì)于局域網(wǎng)的有效管理，仍有較大的提升空間。

1 高校公共機(jī)房存在的網(wǎng)絡(luò)安全問(wèn)題

目前在高校公共機(jī)房中普遍使用的是靜態(tài)或動(dòng)態(tài)分配IP地址的方式，這種上網(wǎng)方式存在諸多不足，例如ARP欺騙攻擊和流量控制等問(wèn)題，對(duì)于出現(xiàn)的問(wèn)題一般是通過(guò)拔插網(wǎng)線、逐一地對(duì)各個(gè)端口進(jìn)行排查的方法加以解決，這樣不僅工作量非常大、效率低，并且需要較長(zhǎng)的時(shí)間來(lái)進(jìn)行故障處理。同時(shí)，大多解決方法都是以ARP協(xié)議為前提的，要想徹底解決ARP病毒攻擊等問(wèn)題，最好的方式就是不采用ARP協(xié)議進(jìn)行上網(wǎng)。如果擁有足夠的資金，購(gòu)買(mǎi)先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，問(wèn)題當(dāng)然也就迎刃而解，但是對(duì)于絕大多數(shù)學(xué)校以及中小企業(yè)、社區(qū)而言，網(wǎng)絡(luò)設(shè)備上的資金投入非常匱乏，因此要依靠高性能網(wǎng)絡(luò)安全硬件設(shè)備來(lái)解決此類(lèi)問(wèn)題對(duì)它們而言不太現(xiàn)實(shí)。

2 Router0S軟路由的技術(shù)優(yōu)勢(shì)

RouterOS軟路由誕生于歐洲，系統(tǒng)功能非常強(qiáng)大，包括路由交換、認(rèn)證計(jì)費(fèi)、PPPoE、帶寬控制和防火墻等功能，采用RouterOS軟路由搭建的PPPoE服務(wù)器認(rèn)證系統(tǒng)，由于采用PPPoE協(xié)議方式上網(wǎng)，它不使用ARP協(xié)議，所以能從根本上解決ARP病毒攻擊的問(wèn)題。

相比傳統(tǒng)以太網(wǎng)接入方式，該方法主要還有以下幾個(gè)方面的優(yōu)勢(shì)：

（1）可根據(jù)不同用戶的需求，分配不同的帶寬，這樣可以有效而充分地利用帶寬資源，發(fā)揮出最大的效果；

（2）可以對(duì)各個(gè)用戶的流量進(jìn)行實(shí)時(shí)的監(jiān)控，并且能夠生成LOG文件進(jìn)行存檔，日后如果需要，可以查閱以幫助分析、解決故障；

（3）可以利用RouterOS軟路由創(chuàng)建路由策略、規(guī)則等，可對(duì)相關(guān)應(yīng)用進(jìn)行優(yōu)化，使用戶獲得更好的上網(wǎng)體驗(yàn)；

（4）RouterOS軟路由是基于X86架構(gòu)的，對(duì)硬件性能要求不高，相比專(zhuān)業(yè)路由器，不僅成本低廉，而且又能達(dá)到高級(jí)路由器的效果，具有極高的性價(jià)比。

3 具體解決方案

筆者提出的解決方案實(shí)施對(duì)象為某高校公共機(jī)房，著重解決該高校公共機(jī)房的ARP欺騙攻擊和流量控制等問(wèn)題，該高校公共機(jī)房的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

本解決方案的網(wǎng)絡(luò)硬件設(shè)備需要購(gòu)買(mǎi)1臺(tái)RouterOS軟路由服務(wù)器、1臺(tái)Radius認(rèn)證計(jì)費(fèi)服務(wù)器和若干臺(tái)思科2960交換機(jī)，整套網(wǎng)絡(luò)硬件設(shè)備大約投資1.5萬(wàn)元。使用基于Router0S軟路由的PPPoE服務(wù)器應(yīng)用可以有效解決ARP病毒問(wèn)題，但如果高校公共機(jī)房網(wǎng)絡(luò)用戶過(guò)多的話，使用RouterOS本身來(lái)管理PPPoE客戶端數(shù)據(jù)庫(kù)會(huì)對(duì)服務(wù)器產(chǎn)生負(fù)荷，為了能讓RouterOS更加高效的工作，我們可以將PPPoE的客戶端數(shù)據(jù)庫(kù)管理交給Radius認(rèn)證計(jì)費(fèi)服務(wù)器來(lái)完成。

在本解決方案中，RouterOS軟路由需要配置以下主要內(nèi)容：RouterOS軟路由服務(wù)器外網(wǎng)接口和內(nèi)網(wǎng)接口的IP地址配置、NAT配置、DHCP服務(wù)、靜態(tài)路由、訪問(wèn)控制列表、PPPoE策略規(guī)則等。需要注意的是，RouterOS軟路由要成功對(duì)接Radius認(rèn)證計(jì)費(fèi)服務(wù)器，要在RouterOS軟路由上面開(kāi)放Radius功能，建立PPP的策略，寫(xiě)出Radius認(rèn)證計(jì)費(fèi)服務(wù)器的IP地址、對(duì)接密鑰、認(rèn)證計(jì)費(fèi)端口號(hào)1812和1813等內(nèi)容。Radius認(rèn)證計(jì)費(fèi)服務(wù)器則需要配置以下主要內(nèi)容：NAS名稱(chēng)、RouterOS軟路由服務(wù)器的IP地址、NAS的設(shè)備類(lèi)型、對(duì)接密鑰、建立上網(wǎng)流量控制策略、限制上傳速率、限制下載速率、創(chuàng)建撥號(hào)上網(wǎng)的用戶名和賬號(hào)等。

某高校公共機(jī)房實(shí)施該方案后，筆者對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行了大量的測(cè)試，測(cè)試內(nèi)容主要分為兩部分，一是網(wǎng)絡(luò)流量測(cè)試，包括每臺(tái)電腦不撥號(hào)時(shí)的流量測(cè)試和每臺(tái)電腦撥號(hào)成功后上網(wǎng)的流量測(cè)試；二是防止ARP攻擊流量測(cè)試，檢測(cè)RouterOS系統(tǒng)和Radius服務(wù)部署的策略是否真正有效。通過(guò)大量的測(cè)試和數(shù)據(jù)分析，測(cè)試結(jié)果表明本方案達(dá)到了預(yù)期效果。

4 總結(jié)

基于RouterOS軟路由的PPPoE服務(wù)器搭建與應(yīng)用對(duì)于高校公共機(jī)房網(wǎng)絡(luò)管理是一個(gè)很好的解決方案，不僅非常實(shí)用而且資金投入少，它最大限度地保證了上網(wǎng)用戶的安全，避免了ARP欺騙攻擊等網(wǎng)絡(luò)威脅，值得推廣到其他兄弟院校以及其他企事業(yè)單位使用。

參考文獻(xiàn)

[1]閻秀富.利用軟路由實(shí)現(xiàn)網(wǎng)絡(luò)流量控制[J].遼寧行政學(xué)院學(xué)報(bào)，2010（10）：168.

[2]施游，桂陽(yáng).網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試輔導(dǎo)教程[M].北京：電子工業(yè)出版社，2010：374.

作者簡(jiǎn)介

王洪波（1979-），男，廣西壯族自治區(qū)容縣人。工程碩士學(xué)位?，F(xiàn)為賀州學(xué)院計(jì)算機(jī)科學(xué)與信息工程學(xué)院講師。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。

作者單位

賀州學(xué)院計(jì)算機(jī)科學(xué)與信息工程學(xué)院 廣西壯族自治區(qū)賀州市 542899