Битва протоколов: что такое IPoE соединение и подключение и чем оно лучше PPPoE
С PPPoE на IPoE операторы стали массово переходить года четыре назад, но многие еще остались на старой технологии. Режим самоизоляции и карантин спровоцировали новую волну миграции провайдеров на протокол IPoE. Мы решили напомнить о нюансах и роли биллинга в таком переходе.
Сначала коротко о каждом из протоколов: что такое IPoE подключение, что такое протокол PPPoE и как они работают.
PPPoE
PPPoE (Point-to-point protocol over Ethernet) ─ сетевой протокол для передачи данных, который используется для инкапсуляции кадров PPP в кадры Ethernet. Помимо этого сочетает в себе функции аутентификации абонентов, шифрования и поддержки нескольких пользователей в локальной сети. Для включения интернета пользователь должен ввести логин и пароль, установленные провайдером ─ эту технологию поддерживают многие роутеры. Протокол PPPoE отслеживает трафик пользователя, чтобы провайдер затем мог выставить счет.
Принцип работы PPPoE можно разделить на два этапа:
Технология IPoE — что это
Если провайдер использует IPoE, то пользователю не нужно вводить логин и пароль при подключении к интернету: DHCP-сервер динамически назначает IP-адреса и другую связанную информацию о конфигурации сетевым устройствам. Сведения об IP и MAC при этом прописываются на коммутаторе автоматически. Это позволяет сэкономить ограниченное пространство IP-адресов. При использовании протокола IPoE информационные фреймы не содержат кодировочной информации, поэтому обрабатываются в разы быстрее. IPoE позволяет абонентам перемещаться в любую точку сети и автоматически получать IP-адрес при повторном подключении. С помощью технологии можно подключать к интернету все устройства в доме: телевизоры, игровые приставки, смартфоны и пр.
IPoE и PPPoE — разница между протоколами
Наглядно отличия протоколов можно представить через преимущества IPoE:
Миграция на IPoE
Несмотря на все плюсы настройки IPoE и для абонентов, и для провайдера, некоторые операторы оттягивают миграцию. Одна из причин ─ непосильные затраты:
Затраты на последние два пункта можно сократить, соединив их в один ─ покупку хорошего биллинга, который будет выполнять все рутинные операции по учету и изменению сетевых адресов и привязок. Это позволит существенно разгрузить службу техподдержки. В биллинге будет храниться вся нужна обновляемая информация: о коммутаторах и их портах, об абонентском оборудовании, владельцах, MAC-адресах и привязках к портам. А еще Forward Billing поддерживает работу с большинством популярных марок BRAS, коммутаторов, DPI и др.
Стоимость и трудозатратность миграции зависят от количества абонентов, востребованности дополнительных услуг. И еще от уверенности провайдера, что такое IPoE соединение пойдет на пользу и компании, и клиентам ─ тогда переход может стать точкой роста для бизнеса. Если вам не хватает как раз уверенности (и надежного биллинга) ─ приглашаем к обсуждению и приятной беседе с Forward Telecom.
IPoE, а также Client-VLAN и DHCP Option 82
В этой статье я опишу что из себя представляет технология доступа в Интернет IPoE, которой на самом деле не существует. А также расскажу про схему Client-VLAN и про опцию 82 DHCP (DHCP Option 82), которые стали неотъемлемой частью этой несуществующей технологии. Все это, конечно же, с технической точки зрения и с примерами конфигов.
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов – они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.
IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка – IP-трафик поверх Ethernet, грубо говоря, обычная локалка. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS или выделения VLAN на каждого абонента (так называемый Client-VLAN).
Client-VLAN
При использовании технологии Client-VLAN возникает проблема: как сэкономить IP-адреса? Ведь, если подумать, каждому клиенту надо выделять /30 подсеть. На самом деле проблема легко решаема. Привожу пример для маршрутизатора на базе Linux:
Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.
Это классический Cisco’вский ip unnumbered в Linux’овой реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты ходили только на хосты, для которых прописан роутинг. Далее поднимается VLAN и прописывается роутинг на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):
Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента – 192.0.2.101/24.
Proxy_arp
Еще одна проблема, с которой вы можете столкнуться – нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:
DHCP Option 82
При использовании IPoE DHCP упростит настройку сети на стороне абонента до нуля. Воткнул патчкорд и ты в сети. Только возникает вопрос: как DHCP узнает кому какой адрес выдавать? Можно определять по MAC, особенно если вы уже используете привязки IP-MAC. Но привязки MAC чреваты частыми звонками в поддержку, т.к. абоненты иногда меняют оборудование. Справиться с этой проблемой поможет расширение протокола DHCP – Option 82. Опция 82 содержит два поля:
В качестве DHCP-релэев при этом обычно выступают коммутаторы доступа, к которым непосредственно подключаются абоненты. В качестве Agent Remote ID обычно используется MAC коммутатора (по умолчанию в D-Link). Опция 82 поддерживается широким диапазоном оборудования, в том числе типичными у российских провайдеров D-Link DES-3526/3028/3200.
На коммутаторах D-Link есть два режима DHCP-релэя: dhcp_relay и dhcp_local_relay. dhcp_relay работает глобально, для всех портов и VLAN, при этом добавляется опция 82 и запрос передается уже не бродкастом, а непосредственно на DHCP-сервер, т.е. это полноценный DHCP-релэй. dhcp_local_relay работает для конкретных VLAN, но запрос по сути не релэится, а в него просто добавляется опция 82.
Базовые настройки dhcp_relay на D-Link’ах:
192.168.0.1 – IP-адрес DHCP-сервера, доступного в управляющем VLAN.
Базовые настройки dhcp_local_relay:
И наконец приведу базовый конфиг для ISC’s DHCP с комментариями:
Возможно, вас также заинтересует:
Инструменты пользователя
Инструменты сайта
Боковая панель
Содержание
Ссылки
Контакты
Содержание
На данный момент поддерживаются L2 и L3 способы связи с клиентами. Старт сессии по DHCP Discover и неклассифицированному пакету.
Для реализации старта сессии по неклассифицированному пакету и использования общего интерфейса разработан вспомогательный модуль ядра.
Модуль ядра для каждой сессии (кроме vlan-per-user) создаёт виртуальный интерфейс, аналог ifb.
Этот интерфейс используется для шейпера и задания белого ип (нат).
Функциональное отличие L2 от L3, заключается в том что в случае L2 входящий пакет будет проверяться на совпадение mac адреса установленного при старте сессии, а исходящие пакеты будут отправляться прямиком на этот mac адрес, без дополнительных запросов ARP, что обеспечивает защиту от подмены IP/mac адресов. В случае L3 исходящий пакет будет маршрутизироваться согласно установленным правилам маршрутизации.
Общий обзор конфигурационного файла
Использование LUA для формирования имени пользователя на основе DHCP пакета
Варианты использования
L2-connected, старт по DHCP Discover, общий интерфейс
Предположим, что клиенты находятся на интерфейсах vlan2, vlan3, vlan4.
Перед запуском accel-ppp эти интерфейсы должны быть подняты.
Далее возможны два варианта: интерфейсы конфигурируются вручную (ifcfg=0), либо это делает accel-ppp (ifcfg=1)
Если делегировать эту функцию accel-ppp, то он при старте сессии будет добавлять на интерфейс адрес siaddr с маской 32 и маршрут yiaddr src siaddr.
1. локальные адреса раздаёт локальный пул
Так-же следует отметить что в качестве адреса сервера (роутера) будет выбран первый адрес из пула, т.е. 192.168.1.1 для vlan2, 192.168.2.1 для vlan3 и 192.168.3.1 для vlan4.
Клиентам будет отправлена маска /24.
2. адреса выдаёт радиус
Т.к. эти атрибуты нестандартные их нужно добавить в словарь радиус атрибутов, например так:
3. информацию для клиента выдаёт внешний DHCP сервер
Для каждой сессии будут создаваться псевдоинтерфейсы типа vlan2.ipoe0, vlan2.ipoe1 и т.д.
Если радиус (или локальный пул) выдаст внешний ип, то он будет назначен на этот псевдоинтерфейс и с помощью него будет осуществляться NAT.
Так-же если радиус выдаст параметры для шейпера, то он будет сконфигурирован на этом псевдоинтерфейсе.
L2-connected, старт по DHCP Discover, vlan-per-user
Возможны два варианта: ip-unnumbered, либо обычный локальный ип + NAT.
Варианты конфигурации аналогичны предыдущим, за исключением того что нужно заменить shared=0. В случае ip-unnumbered вспомогательный модуль ядра не требуется, клиенту локальный IP выдавать не нужно, нужно выдать только белый IP.
Так-же в случае ip-unnumbered можно использовать имя интерфейса в качестве имени пользователя:
L2/L3-connected, старт по неклассифицированному пакету
В этом случае в качестве имени пользователя будет использован IP адрес отправителя пакета.
Адреса которые будут считаться неклассифицированными указываеются в local-net.
Гибридная конфигурация
L4-redirect
L4-redirect может осуществляться тремя способами,выбирать способ следует исходя из конфигурации:
1. через Framed-Pool (либо выдачу адреса из сети для которой будет осуществляться перенаправление)
Для этого нужно в конфигурации указать специальный пул адресов, например:
Задать для этой сети правило
Таки образом для клиентов которым нужно организовать перенаправление радиус должен прислать атрибут Framed-Pool=l4-redirect, либо Framed-IP-Address с адресом из этой сети.
Так-же, в случае DHCP, имеет смысл установить небольшое время жизни сессии с помощью атрибута Session-Timeout=300 чтобы обеспечить переавторизацию.
Если DHCP не используется, то адрес можно изменить с помощью CoA.
Не работает если в конфигурации указан ifcg=1
2. с помощью специального радиус атрибута
В этом случае если в кофиге указана l4-redirect-table для клиентов будут создаваться правила
если в уконфиге указано l4-redirect-ipset, то адреса клиентов будут добавляться в указаный ipset список.
Для этого нужно в конфиге указать атрибут через который будет приходить информация, а так-же номер таблицы или наименование ipset списка, например:
Т.к. этот атрибут нестандартный его нужно добавить в словарь радиус атрибутов, например так:
3. Access-Reject от радиуса
Что-бы включить этот режим нужно указать l4-redirect-on-reject= кол-во секунд
В этом случае если радиус ответит запретом будет создано правило
либо адрес будет добавлен в ipset список
и удалено по истечению 300 секунд, после чего будет осуществлена повторная попытка авторизации.
Добавить значения в
Для типа [ipoe] proto=100
PROXY ARP
Рекомендации
Поднимать MTU необходимо, только на qinq интерфейсе(bond и входящие в него eth).Так как используется лишний тег. На саб интерфейсах с одной меткой можно не поднимать, т.к. поле vlan id и так во фрейме есть и за счет тега не растет.
Ipoe и pppoe разница
Преимущества PPOE
Недостатки PPPoE
IPoE
Преимущества доступа в Интернет через IPoE
Отличие IPoE от PPPoE
5) Наименьшее количество проблем при устранении неполадок
7 ) Уменьшение латентности (ping, jitter)
26.02.2014, 16:36 Копылов Алексей Филиппович
Рецензия: Прежде, чем оценивать представленную работу, сделаю очень существенное замечание. В соответствии с п. 7.17 «Федерального государственного образовательного стандарта высшего профессионального образования по направлению подготовки 210700 Инфокоммуникационные технологии и системы связи (квалификация (степень) «магистр»)», утвержденному приказом Министерства образования и науки Российской Федерации от 29 марта 2010 года № 238, «Непосредственное руководство магистрами осуществляется руководителями, имеющими ученую степень или ученое звание». Судя по указанным в заголовке статьи данным, руководитель автора статьи-магистранта таким требованиям не удовлетворяет (а если удовлетворяет, следует привести эти данные). Обращаю на это самое серьезное внимание, прежде всего, самого магистранта, у которого в связи с невыполнением этого требования учебным заведением, в котором он обучается, могут возникнуть очень серьезные проблемы, вплоть до отмены будущего магистерского диплома по формальным признакам. По существу работы: представленный материал представляет собой скорее инструкцию по применению или описание разработки. Если эту инструкцию разработали авторы работы, или они провели соответствующую работу в плане разработки или усовершенствования описанной системы, то следовало указать, какую именно часть и как они переработали. Вероятнее всего, представленный материал является описанием соответствующей системы, переведенной с языка оригинала (скорее всего, английского). В представленном материалы не указывается, какие цели были поставлены при проведении работы, что сделано авторами, каковы результаты работы. Личный вклад авторов из представленных материалов определить невозможно. Научная ценность, которая должна заключаться в получении каких-либо теоретических или практических результатов, также не может быть определена из представленных материалов. Вероятнее всего, представленный материал описательного характера является кратким изложением бакалаврской выпускной работы автора, о чем свидетельствует и содержание самого материала, и форма его подачи. Представленный материал свидетельствует лишь о том, что автор в той или иной степени разобрался с представленными сетевыми протоколами, но не добрался до их модификации или переработки (да и как это можно сделать?). Название статьи вообще убивает. Это рекорд по соотношению латинских и русских букв. Это соотношение бесконечно, так как число русских букв в названии статьи равно нулю. Как русским людям можно это прочитать и понять, что здесь написано, ориентируясь по названию? Хотелось бы, чтобы название было более адаптировано к общепринятой русской речи, и читатели не чувствовали бы себя идиотами. Считаю, что представленный материал вообще не может быть поводом для написания статьи, так как не содержит материалов, показывающих оригинальные разработки автора. Статью в представленном виде публиковать не рекомендую, как не имеющую теоретической или практической ценности.
1.03.2014, 1:18 Назарова Ольга Петровна
Рецензия: Действительно, статья напоминает перевод с инструкции. Большая часть позаимствована с источников (Сайт Wikipedia). Не выдержаны требования к статье: новизна, выводы. не рекомендуется к печати.
2.03.2014, 12:11 Агакишиева Тахмина Сулейман
Рецензия: Название статьи должна быть на доступном языке.Статья не соответствует рангу начной статьи.
17.10.2017, 9:55 Зарипова Римма Солтановна
Рецензия: Библиографический список не удовлетворяет требованиям написания научных статей.
Рад новой встрече с вами, мои уважаемые читатели. Уверен, что почти все вы пользуетесь услугой кабельного Интернета, предоставляемой местными провайдерами. И когда речь заходит о наиболее комфортных вариантах подключения, то приходится вникать в чём же разница ipoe и pppoe протоколов.
Я постараюсь кратко изложить суть каждого из них в контексте отдельных параметров, и тогда будет намного проще разобраться в достоинствах и недостатках каждого способа.
Сначала познакомимся с PPPoE, так как это официально сертифицированный в RFC 2516 протокол, созданный усилиями трех серьезных организаций (RouterWare, Redback Networks и UUNET). Плодами их труда сейчас пользуются все разработчики ПО и аппаратных модулей, что дает возможность использовать PPPoE на различных платформах.
А вот о IPoE можно сказать что это «сирота», во всяком случае, о его создателях ничего не известно. Поговаривают, что создан данный способ соединения талантливыми компьютерщиками, работавшими на просторах бывшего СНГ. Используя возможности протокола динамической настройки узла и документа RFC 894, им удалось создать систему эффективной передачи стандартных кадров через Ethernet.
Как работают PPPoE и IPoE?
Разберем, как работают эти протоколы. PPPoE (Point-to-point protocol) на канальном уровне обеспечивает выделенный туннель для передачи данных от одной точки сети к другой. При этом перед сеансом связи происходит серьезная предварительная подготовка блока, который вмещает не 1500 байт полезной информации, а только 1492. 8 байт уходит на описание данных, необходимых для идентификации отправителя и декодирования.
Протокол PPPoE требует четкого прописывания в кадре MAC-адреса, типа фрейма, дополнительных кодов и контрольных цифр, благодаря которым достигается высокий уровень безопасности сеанса связи. При этом данные
Аутентификация пользователя выполняется за счет логина и пароля, выдаваемого ему провайдером или администратором локальной сети. При создании сеанса связи абоненту присваивается временный, но выделенный IP, привязанный к MAC адресу. Если вы хотите использовать Wi-Fi роутер для подключения дополнительных устройств, вам придется делать это только при включенном ПК, где потребуется предварительно ввести идентификационные данные своего аккаунта.
А что же IPoE? Он и был создан с целью упрощения входа в Интернет и может быть реализован тремя способами:
При этом DHCP-сервером провайдера клиенту выдается серый или белый АйПи, что существенного значения не имеет, поскольку он будет использоваться только в пределах локальной сети. В интернет этот адрес не попадает, поэтому вся ответственность за информационную безопасность ложится на провайдера. Но об этом позже, главное, что данная схема работает быстро, просто и эффективно.
Как вы понимаете, в этом случае от пользователя не требуется постоянного ввода пароля и логина. Это нужно сделать только один раз, «настраивая» роутер. Почему я написал слово в кавычках? Да потому что нужно всего лишь авторизироваться у провайдера и выбрать пункт «динамический IP–адрес». Все, остальные настройки автоматически придут от поставщика услуг. Несмотря на то, что IPoE это, так сказать, чисто отечественная разработка, ее поддерживают практически все роутеры, работающие с DHCP устройствами.
В использовании протокола IPoE есть еще один очевидный момент. Передаваемые информационные фреймы не содержат кодировочной информации, поэтому обрабатываются намного быстрее.
Связь через PPPoE – чистый IP и надежная защита вашей информации
Теперь, ознакомившись с теорией, нам будет проще оценить возможности и отличия IPoE и PPPoE протоколов в условиях их практического использования. Начнем, как обычно, с PPPoE и его достоинств:
Теперь о недостатках такого способа соединения:
Протокол IPoE – максимальный комфорт для пользователя (и не только для него)
На фоне PPPoE, протокол IPoE предпочтительнее, ведь предоставляемые им возможности заинтересуют любого пользователя:
Не хотелось бы заканчивать анализ разницы между PPPoE и IPoE на минорной ноте, но считаю необходимым отметить некоторые серьезные недостатки последнего способа подключения. В силу того, что они проявляют себя крайне редко, называть их существенными я не буду, но возможность возникновения неприятной ситуации обрисую. Если в PPPoE у нас реальный АйПи и качественно защищенной канал связи с системой идентификации оборудования пользователя, то в IPoE по этим показателям совсем все плохо.
Потенциальная уязвимость канала заключается в том, что имея, например, роутер и инструмент для обжима витой пары можно запросто «врезаться» в кабель, идущий к пользователю с IPoE протоколом. Чисто гипотетически злоумышленник сможет не только пользоваться оплаченной кем-то услугой, но и спокойно перехватывать чужую информацию, содержащую пароли к финансовым или почтовым сервисам. Так же он может от имени IP ничего не ведающего клиента осуществлять активный веб-серфинг с распространением контента, содержимое которого может идти в разрез с действующим законодательством.
Вот вы и узнали в чём разница ipoe и pppoe. Делайте свои выводы, что безопаснее, а что удобнее. И если ведущие к вам коммуникации надежно защищены или находятся в контролируемой зоне, то спокойно пользуйтесь протоколом IPoE, получая удовольствие от предоставляемого им комфорта.
А в целом PPPoE и IPoE прекрасно справляются с задачей передачи данных в Интернете. И как многое в нашей жизни, каждый из них лучше всего приспособлен для решения каких-то конкретных задач. Обо всех этих особенностях вы сегодня уже узнали и наверняка сможете сделать правильный выбор. На этом я с вами прощаюсь и желаю успехов и везения.
Для конечного пользователя появляется масса полезных свойств:
Чем привлекательна для подключения к интернету технология IPoE?
IPoE — это удобно и просто, а также дает пользователю дополнительные преимущества. Расскажем об IPoE подробно — в чем суть этого способа получения доступа к Сети, каковы плюсы и минусы такой технологии, как это работает с биллингом.
Что такое IPoE
О данной технологии стало известно в 2013 году. Протокол IPoE (аббревиатура от IP over Ethernet) создан с благой целью максимально упростить юзерам вход во Всемирную паутину. Включил компьютер или гаджет, открыл браузер и всё — можно серфить нужные сайты, без ввода логина с паролем.
Три способа реализовать такое подключение технически:
Заботясь о комфорте абонентов, большинство которых не желает (ленится, не умеет) выполнять настройку IPoE для своего устройства, провайдеры стараются обеспечить способ №2.
После этого настроенное нужным образом оборудование провайдера фиксирует MAC-адрес, выдает абоненту привязанный к нему IP-адрес, и в дальнейшем юзер входит в интернет свободно, не проходя каждый раз заново авторизацию, как при PPPoE.
В том и заключается между IPoE и PPPoE разница, что вторая технология, которая официально сертифицирована в RFC 2516, шифрует данные и защищает идентификатором отправителя, тем самым обеспечивая высочайшую безопасность; несертифицированный же протокол дает юзеру соединение с оборудованием провайдера без шифрования.
Много приятных плюсов и один жирный минус
Нетрудно понять, что такое IPoE подключение дает пользователю интернет гораздо бо´льшую скорость соединения с уменьшением ping и jitter. Это преимущество особенно важное для геймеров, любящих играть друг с другом онлайн, и бизнес-субъектов, чья деятельность требует качественной видеосвязи с партнерами и/либо потребителями товаров (услуг).
Другие плюсы данного протокола:
Один, но жирный минус IPoE связан с тем, что при использовании этого протокола соединение незашифрованное. Это позволяет нечистому на руку соседу абонента с помощью роутера и витой пары «врезаться» в кабель, которым добропорядочный интернет-юзер подключен к Сети. После этого злоумышленник получит возможность не только воровать чужую услугу, но и тайно распространять запрещенный законом контент.
Теоретически такой вор может также перехватывать чужие пароли к почтовым, финансовым и другим важным сервисам. Но практически это менее вероятно, так как администрация этих сервисов обеспечивает безопасность клиентов с помощью SSL-сертификатов и других средств.
Трудности провайдеров
Для провайдеров предоставление абонентам права выбора между двумя технологиями связано с серьезными затратами и техническими проблемами, так как возникает необходимость:
Выполнение этих задач требует не только обновления оборудования, но и применения новых IT-решений.
IPoE и биллинг
Предоставляя абонентам возможность применения IPoE, провайдеры предлагают им тарифы (пакеты) с безлимитным трафиком. Это избавляет поставщика услуг от необходимости вести учет трафика, потребляемого клиентом.
В этом случае на биллинге технология незашифрованного доступа в Сеть не отражается, сложных технических решений не требует. А клиенты и так предпочитают безлимит, когда объем потребляемого трафика не влияет на стоимость получаемой услуги.
