智能生态小区的优缺点（爱快小区实用环境系列讲解）

智能生态小区的优缺点（爱快小区实用环境系列讲解）多lan环境的搭建我们分为：PPPOE服务器的开启和必须在特定网卡下拨号两种情况的讲解2.多lan PPPOE环境搭建 1.单lan PPPOE环境搭建 这种情况是大家比较常见的情况，只有lan1情况下只需要点击启用按钮即可开启PPPoE服务器。 地址池可以保持默认即可。

小区大多数环境都为PPPOE环境，我们主要以PPPoE环境的搭建，PPPoE故障的排查思路，常见的内容攻击简介为讲解内容

一. PPPoE环境的搭建

首先我们讲解PPPoE环境的搭建，很多人认为PPPOE搭建是件很容易的事情，点击开启按钮就好了。但是事实并不是如此简单。

下面我们分为三种类型的PPPOE服务器搭建来给大家分析下：单lan PPPoE服务器，多lan PPPoE服务器，Vlan PPPoE服务器搭建

1.单lan PPPOE环境搭建

这种情况是大家比较常见的情况，只有lan1情况下只需要点击启用按钮即可开启PPPoE服务器。

地址池可以保持默认即可。

2.多lan PPPOE环境搭建

多lan环境的搭建我们分为：PPPOE服务器的开启和必须在特定网卡下拨号两种情况的讲解

①多lanPPPOE服务器开启：

下面以两个lan口来举例说明多lan PPPOE服务器的搭建

例如，存在两个lan，lan1与lan2

第一步：

PPPoE服务端开启

第二步：

客户端地址池处添加lan2的地址池，如下图

②PPPOE账号必须在特定LAN口下进行拨号。

具体思路是这样的：账号绑定LAN，PPPoE服务端绑定LAN。

具体步骤如下图：

1）我创建账号为321的账号，在创建账号时，“绑定网卡”选择网卡lan2.

2）PPPOE服务端高级设置勾选绑定网卡选项

这样，设置了绑定网卡账号321必须在特定lan2拨号了。

3.多VLAN情况下PPPoE环境的搭建

比较大型的小区环境，一般会使用VLAN的方式进行隔离，下面就讲解下VLAN PPPOE的搭建。

可通过两种方法实现VLAN情况下的拨号。

第一种：

VLAN交换机连接爱快lan口的端口设置为trunk口，接电脑的口设置为access口。

（VLAN交换机的详细设置，这里就不做介绍，根据自己厂商进行咨询即可。）

爱快路由VLAN设置功能项中，设置VLAN，该VLAN下的终端拨号上网。

这里以VLAN交换机划分了VLAN10为例进行讲解：

①爱快VLAN设置：添加VLAN10如下图

注意事项：

vlan设置中IP以及掩码必须填写。

②PPPoE添加VLAN10的地址池：

第二种方法：

思路：PPPoE账号设置绑定VLAN，PPPoE服务端勾选绑定VLAN功能

VLAN交换机连接爱快lan口的端口设置为trunk口，接电脑的口设置为access口。

（VLAN交换机的详细设置，这里就不做介绍，根据自己厂商进行咨询即可。）

以VLAN交换机划分了VLAN10为例进行讲解：

①创建账号123，设置“绑定VLAN”设置绑定10

②PPPOE服务端地址池不需要添加，只需要在高级设置中勾选“绑定VLAN”。

这样账号123只能在VLAN10下面进行拨号，并且获取lan1 PPPoE地址池的IP。

扩展：

内网环境QINQ环境下拨号

思路：此种方式与上面第二种方法类似。

1）以下是QINQ环境架构

PC1想要上网，到达路由会打上两层标签：内层标签为200，外层标签为1000.使用账号123拨号上网

PC2想要上网，到达路由会打上两层标签：内层标签为300，外层标签为1000.使用账号456拨号上网。

2）下面以PC1为例来进行讲解具体设置。

思路：针对此情况爱快有对应的最佳解决方法请看下面讲解：

①账号处设置：以账号“123”为例

②PPPOE服务端设置

注意事项：

如使用上述方法，那么千万不要在VLAN设置里面添加对应Vlan的对接策略，否则会造成冲突，造成使用问题。

开启绑定VLAN功能，终端拨号携带VLAN信息才能拨号成功，未开启绑定VLAN功能或者未做VLAN标准对接条件下，终端拨号携带VLAN信息进行拨号无法拨号成功。

开启绑定VLAN功能，会先放行所有带VLAN信息的拨号数据在校验，所以会有个现象：如果您配置错误，客户端现象是拨号成功一会又掉线的情况，日志会显示VLAN对应错误的提示，请知悉。

4.重要字段：

①强制拨号上网：

开启了PPPoE服务的接口都需要进行拨号才能上网。（lan或者VLAN）②

②LCP探测

PPPoE是基于PPP协议的，使用LCP的探测来确定拨号连接是否正常。

LCP探测失败，PPPoE日志中就会报错客户端无响应，断开拨号连接。

如果网络环境不是很稳定，可以把间隔时间增大，探测次数增加，或者勾选增强断线检测。

在探测失败后，等待一段时间后才会断开连接。

③客户端互访限速：

拨号客户端相互访问的速度，受账号设置的限速数值的限制

二．PPPoE故障排查方法：

1.首先我们可以根据客户端拨号来判断问题。

这里我们介绍几种客户端宽带连接的常见报错

①651/678/815：

故障原因：

1.对应接口未开启PPPoE服务。

如上述所说的多lan与多VLAN情况下。

例如有两个lan，lan1与lan2，

lan1与lan2都需要拨号上网，直接开启的PPPoE服务器，未添加lan2的地址池。

lan2下拨号的客户端产生如上报错。

解决方法：

PPPoE服务器中添加lan2.

2.二层不同所致，

可通过直接接路由lan口进行测试来进行对比测试，判断是否内网环境因素。

解决方法：

更换内网线路或者交换设备进行解决。

②691:

故障原因：

1.账号过期。

解决方法：

对应账号进行续租。

2.输入用户名密码错误。

解决方法：

输入正确的账号密码

③734：

故障原因：

1.拨号程序出现程序问题。

解决方法：

新建宽带连接。

2.网络组件协议出现异常。

解决方法：

本地连接中把micosoft客户端和tcp/ip协议卸载重启后在重新安装。

3.网卡驱动程序异常引起

更新下网卡驱动。

④619：

故障原因：

1.账号密码错误。

解决方法：

输入正确的账号密码。

2.在未断开宽带连接情况下，直接拔掉网线导致的故障，

解决方法：

此种情况可在在线用户在把该账号踢下线。客户端重新拨号即可。

2.通过内网拨号日志来判断问题。

通过查看里面具体的报错信息进行具体的判断。

一般的报错有以下几种：

MAC绑定错误：

账号中设置了绑定Mac，与拨号终端的Mac不匹配无法正常拨号。

服务端主动断开：

管理员强制断开在线账号

用户端主动断开：

用户端主动性行为。

用户无响应：

服务端发送的lcp探测失败。（此情况是内网中存在线路问题等产生）

踢出一个共享数超出：

拨号终端数量大于账号设置的连接数的数量。、

基本的内网PPPoE拨号的报错如上说讲。大家出现拨号错误时可通过上面的方法进行具体的判断。

三．常见的内网攻击情况分析。

内网常见的攻击：环路，arp攻击，arp欺骗。

环路：

已知的环路分为两种：线路环以及小路由环。

1.线路环。

如下图：

①交换机与交换机之间通过两根线相连

②设备上面两个口直接通过一根线相连

如下图就是一台设备上面两个口连一块的实际图：

上图就是3口与4口通过一根线直接相连导致的环路。

2.小路由问题导致环路。

小路由本身设备故障导致出现环路。

排查方法：

以上环路出现的话，没什么好的排查方法，只能通过逐级拔线法进行排除故障线路。

首先从核心交换机，上面挨个拔线，确定拔到哪跟线后网络正常。

arp欺骗：

电脑中毒或者使用ARP软件导致向局域网中发送一个不存在的MAC地址出现的报错。

比如说一些内网使用的arp软件，比如说网络剪刀手。

出现此类情况，

ARP欺骗主要有下面几种：

1.截获网关数据，伪造假地址发送给路由器。导致真实的主机地址无法发送给路由器。

2.伪造网关，建立假网关，导致内网终端只能向假网关发送数据不能通过正常的路由途径上网。

下面讲解下局域网ARP预防小技巧

第一，做好第一道防线，实现网关和终端双向绑定IP和MAC地址。

第二，通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，然后在局域网中的每台电脑中实现静态ARP绑定。

第三，付出少需的代价换来局域网的长久平静。打开安全防护软件的ARP防火墙功能。

第四，斩草除根，彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后，在相应的计算机上安装ARP专杀工具进行查杀操作。