ISP宽带出租样防止用户私接路由.docVIP

ISP宽带出租怎样防止用户私接路由声明：该贴转自友情论坛??（anywlan中国无线论坛）版权归该论坛网友：twinsandme3?所有，在此表示感谢！为了方便大有阅读和理解，我们稍有编译。--------------------------------------------------------------------------------------------------　　做二级ISP宽带出租业务的ＢＯＳＳ（自己找电信联通租条光纤宽带，再把这条宽带分租给小区里面的住户。这其中有正规的，也有非法营运的），一直被二级路由器的问题严重影响，例如原本能对外出租50个用户，结果很多人买了无线路由与隔壁分享多络分摊费用。这样下来，很多客户就流失了，多人通过路由器共享宽带，严重影响ISP的盈利，所以要坚决予以打击....怎么样才能防止用户私接路由呢？下面针对几个网上已有的方法进行探讨，802.1X认证不在此讨论之列（主要是成本高）　　1.传说中的绑定IP、MAC地址（无效）　　2.传说中的修改链接数与限速（不推荐）　　3.传说中的修改TTL（部分路由器有效）　　4.传说中的网页认证（最搞笑可谓这个，简直是不知所谓，完全无效）　　5.修改PPPOE认证方式（部分路由器有效）　　6.配合PA做二级路由器检测（有效）　　7.客户端修改密码（有效）　　8.另类方法（有效）1.传说中的绑定IP、MAC地址　　　通过计费系统绑定用户电脑的MAC地址，首次拨号的时候服务器自动把客户电脑的MAC地址与IP地址捆绑，如果客户换了电脑那MAC地址也就变化了，以此来判定用户是不是用了多人共享。很久以前电信有使用过这种方法，但是现在很多路由器都支持MAC克隆，所以这个方法基本上已经失效。2.传说中的修改链接数与限速　　这个方法主要是通过限制链接数和速度，它不会限制用户使用二级路由器，但是限制了用户速度和链接数后容易造成误伤。比如如果单个用户它开了下载，你限制链接数后就很容易造成他下载时网页也不能正常打开。（在楼主看来，这个才是王道，这种方法比较适合很多非法营运的ISP，因为它们自身的互联网出口带宽就不够??，所以包括有些电信运营商现在都在使用这种方法对付用户路由！从我们收到的消息来看，某些运营商只给ADSL端口每线400个左右的连接数，你要是用二台以上机器就没通道可用）3.传说中的修改TTL　　TTL?是数据包为了防止数据包在网络中无限制的循环，而设定的网络数据包在网络传输中最大的转发次数。因为每转发一次在路由器，就会转向下一跳，所以，又通常称为最大跳数。具体的含义是这样的。我们本地机器会发出一个数据包，数据包经过一定数量的路由器传送到目的主机，但是由于很多的原因，一些数据包不能正常传送到目的主机，那如果不给这些数据包一个生存时间的话，这些数据包会一直在网络上传送，导致网络开销的增大。当数据包传送到一个路由器之后，TTL就自动减1，如果减到0了还是没有传送到目的主机，那么路由就会自动把数据包抛弃。　　例如:你定义了数据包的TTL为64.那么在你的数据包被转发了64次，也就是经过了63个中间路由器后，还没有到达目的网络，那么，你的电脑就会显示Requet?time?out?（请求超时）了。这就是TTL的意思了。至于TTL有没有效果呢？答案是有的，但是并不是适用于所有路由器　上面的2张图片是TTL修改前后的效果，修改前接了一个TP?R402作为二级路由器，ping?ROS网关的TTL值为64，如果按照上面的理论，在ROS里面修改TTL为0的时候，理论上应该ping不通ROS的，但是实际上还是可以ping通，这个方法只适用于某部分的路由器，不过现在对于TP这类，连最低端的R402都可以自动把TTL值+1，其它的openwrt、tomato、ROS更加不用说了。所以打算通过TTL封二级路由器的朋友请无视吧，成功率实在是杯具。4.传说中的网页认证　　如果网页认证能封到二级路由器，那么还中继CMCC、Chinanet个P啊？二级路由器就本身是一个NAT功能，把内网的一堆IP映射到外网的一个IP，在一级路由器上面看到二级路由器，会把它当做为一个合法用户。用户只需要把路由器的WAN口设置为自动获取IP地址，自己电脑访问任何IP均会转跳到认证页面，输入用户名密码后就能得到正确的ＩＰ地址（现在CMCC和CHINANET会同时使用多种认证方法，所以中继了也不能共享！）5.修改PPPOE认证方式　　这个方法比较靠谱，一般PPPOE服务器都会使用PAP、CHAP、MSCHAP?V1，MSCHAP?V2这4种认证方法，先来科普一下密码身份验证协议?(PAP)密码身份验证协议?(PAP)?是一种简单