ipoe что это такое
Технология IPoE: что это такое, отличие от PPPoE, настройка
Друзья, приветствую вас в очередной техностатье от WiFiGid про IPoE технологию! Технология уже давняя, но и сегодня активно применяется многими провайдерами. За не повсеместной распространенностью, в отличие от тех же PPPoE или Динамического IP, обзор получится несколько сжатым.
Если же вам чего-то не хватает, остались вопросы или есть чем поделиться – обязательно напишите комментарий к этой статье. Сайт живой, в ближайшее время постараемся ответить. Быть может именно ваш комментарий поможет будущим читателям этого материала!
Преимущества и недостатки технологии
Да, сразу с корабля на бал. Ну а чего Wi-Fi мять.
Что там с безопасностью?
В общем случае – с ней все нормально. О всех проблемах известно большинству провайдеров. Методы защиты применяются. О чем я?
В первом случае для подключения к ВАШЕЙ сети нужно заморочиться – врезаться в линию, поднять PPPoE сервер, перехватить логин и пароль, а уже потом авторизоваться и думать, как остатки интернета пробросить вам, чтобы вы ничего не заметили.
Второй случай проще – во многом достаточно просто врезаться в линию. И Ваш интернет в теории потекет у вашего соседа. Ну прямо как истории со взломанными Wi-Fi, только старо-советским способом. Конечно, так вряд ли кто-то будет заморачиваться, и ни один злой человек не захочет писать от вашего имени в интернете всякие гадости, но знать о возможной проблеме стоит.
О технологии
Согласен, не по порядку. Но большей части наших читателей и не нужно ничего знать об этой «технологии», которая на самом деле и не является как таковой технологией.
IPoE – IP over Ethernet
Если вдуматься в эту расшифровку (IP поверх Ethernet), получаем банальную локальную сеть (ну так почти и есть, т.е. соединение – DHCP из 90х годов). И вот эта банальность и сделала этот способ подключения популярным в свое время у нас. Ходят древние слухи, что саму идею придумали в России, отсюда у технологии и нет никакого стандарта RFC, т.е. технология и не является технологией, а некой додумкой энтузиастов.
Т.е. в том же PPPoE или PPTP весь трафик садится в PPP туннель, а здесь все идет в чистом виде локальной сети. Вот и главное отличие этой технологии от всех других. Отсюда ее вышеупомянутые преимущества и недостатки.
Доступ клиенты получают путем привязки MAC-адресов к портам коммутатора или сразу BRAS, а порой выделяют в отдельные VLAN на каждого клиента (и это уже приводит к изоляции клиентов).
Но все банальное не было бы таким эффектным здесь, пожалуй, без расширения DHCP – дополнительно используется Option 82. Эта «опция» позволяет назначать адреса конечным пользователям не только в привязке к их MAC-адресу (ведь пользователи могут менять свое оборудование, и тогда проблемы с перепривязкой лягут на техподдержку, особенно если нет веб-интерфейса), но и в зависимости от (грубо) коммутирующего оборудования провайдера.
Разница между PPPoE и IPoE
Так как на текущий день это две самые интересные технологии для пользователя, привожу сравнение:
| Критерий | PPPoE | IPoE |
|---|---|---|
| Контроль доступа и простота настройки | Логин и пароль уже привязаны к порту, необходимо вводить при каждом подключении логин и пароль. Обязательная настройка роутера или соединения. | Очень просто настраивается. Привязка устройства по MAC происходит автоматически без участия пользователя. При первичном заходе на любой сайт необходимо ввести логин и пароль для подтверждения привязки. Выполняется один раз до смены роутера. |
| Шифрование | Все данные попадают в PPP туннель | Нет |
| Скорость и пинг | За счет работы с шифрованием чуть ниже | Нет занижения |
| Цена для провайдера | Оборудование за счет контроля и мощностей на туннелирование будет дороже | Это простая локальная сеть – издержки снижаются |
| Цена для клиента | На высокоскоростных тарифных планах для расшифровки соединения старые роутеры могут подтормаживать (не в пример L2TP, но все же) | Работают табуретки из 90х – все летает |
Разница понятна? Тогда переходим к настройке.
Настройка IPoE
Друзья, это соединение было придумано для того, чтобы упростить жизнь всем пользователям (ну и разгрузить провайдера конечно же). Т.е. если вы подключаете свой компьютер-ноутбук напрямую без постороннего оборудования – ничего настраивать не нужно. При первом входе в интернет вам выкинется примерно такое окно:
Т.е. разово введете логин и пароль – и все. Но обычно у пользователей дома стоят роутеры, которые и дальше раздают интернет в вашей локальной сети (ведь у вас же не только один компьютер, но и телевизоры, телефоны, видеокамеры и прочая умная техника, пользующаяся интернетом).
Спешу успокоить – обычно достаточно просто подключить роутер, и на этом весь процесс настройки заканчивается (т.е. снова при первом входе в интернет нужно будет разово ввести логин и пароль, а дальше все будет работать уже автоматом).
Почему так происходит? Как правило, роутеры по умолчанию используют тип подключения «Динамический IP» (ну или DHCP), т.е. что и подразумевает автоматическое получение IP адреса. Обычно, мы, наоборот, входили в роутер, чтобы поменять эту настройку на ту же PPPoE, но по факту при этом типе соединения заходить никуда и не нужно.
Но порой роутерам все-таки нужно насильно задать этот режим. Как это сделать? Во-первых, узнайте точную модель своего роутера. Далее достаточно найти на нашем сайте или том же Ютубе инструкцию по его настройки, войти в веб-интерфейс и поставить этот тип подключения:
О провайдерах
Этот раздел как дополнение о работе провайдеров. Быть может, при необходимости и ваших просьбах будет пополняться. Вот список провайдеров, которые так или иначе были замечены в применении IPoE (пусть и не везде)
Некоторые провайдеры предоставляют своим пользователям возможность выбора – подключаться через PPPoE или IPoE. Эдакий выбор между приватностью и скоростью. У некоторых наоборот, выбор IPoE возможен только на определенных тарифах или регионах.
Битва протоколов: что такое IPoE соединение и подключение и чем оно лучше PPPoE
С PPPoE на IPoE операторы стали массово переходить года четыре назад, но многие еще остались на старой технологии. Режим самоизоляции и карантин спровоцировали новую волну миграции провайдеров на протокол IPoE. Мы решили напомнить о нюансах и роли биллинга в таком переходе.
Сначала коротко о каждом из протоколов: что такое IPoE подключение, что такое протокол PPPoE и как они работают.
PPPoE
PPPoE (Point-to-point protocol over Ethernet) ─ сетевой протокол для передачи данных, который используется для инкапсуляции кадров PPP в кадры Ethernet. Помимо этого сочетает в себе функции аутентификации абонентов, шифрования и поддержки нескольких пользователей в локальной сети. Для включения интернета пользователь должен ввести логин и пароль, установленные провайдером ─ эту технологию поддерживают многие роутеры. Протокол PPPoE отслеживает трафик пользователя, чтобы провайдер затем мог выставить счет.
Принцип работы PPPoE можно разделить на два этапа:
Технология IPoE — что это
Если провайдер использует IPoE, то пользователю не нужно вводить логин и пароль при подключении к интернету: DHCP-сервер динамически назначает IP-адреса и другую связанную информацию о конфигурации сетевым устройствам. Сведения об IP и MAC при этом прописываются на коммутаторе автоматически. Это позволяет сэкономить ограниченное пространство IP-адресов. При использовании протокола IPoE информационные фреймы не содержат кодировочной информации, поэтому обрабатываются в разы быстрее. IPoE позволяет абонентам перемещаться в любую точку сети и автоматически получать IP-адрес при повторном подключении. С помощью технологии можно подключать к интернету все устройства в доме: телевизоры, игровые приставки, смартфоны и пр.
IPoE и PPPoE — разница между протоколами
Наглядно отличия протоколов можно представить через преимущества IPoE:
Миграция на IPoE
Несмотря на все плюсы настройки IPoE и для абонентов, и для провайдера, некоторые операторы оттягивают миграцию. Одна из причин ─ непосильные затраты:
Затраты на последние два пункта можно сократить, соединив их в один ─ покупку хорошего биллинга, который будет выполнять все рутинные операции по учету и изменению сетевых адресов и привязок. Это позволит существенно разгрузить службу техподдержки. В биллинге будет храниться вся нужна обновляемая информация: о коммутаторах и их портах, об абонентском оборудовании, владельцах, MAC-адресах и привязках к портам. А еще Forward Billing поддерживает работу с большинством популярных марок BRAS, коммутаторов, DPI и др.
Стоимость и трудозатратность миграции зависят от количества абонентов, востребованности дополнительных услуг. И еще от уверенности провайдера, что такое IPoE соединение пойдет на пользу и компании, и клиентам ─ тогда переход может стать точкой роста для бизнеса. Если вам не хватает как раз уверенности (и надежного биллинга) ─ приглашаем к обсуждению и приятной беседе с Forward Telecom.
IPoE, а также Client-VLAN и DHCP Option 82
В этой статье я опишу что из себя представляет технология доступа в Интернет IPoE, которой на самом деле не существует. А также расскажу про схему Client-VLAN и про опцию 82 DHCP (DHCP Option 82), которые стали неотъемлемой частью этой несуществующей технологии. Все это, конечно же, с технической точки зрения и с примерами конфигов.
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов – они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.
IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка – IP-трафик поверх Ethernet, грубо говоря, обычная локалка. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS или выделения VLAN на каждого абонента (так называемый Client-VLAN).
Client-VLAN
При использовании технологии Client-VLAN возникает проблема: как сэкономить IP-адреса? Ведь, если подумать, каждому клиенту надо выделять /30 подсеть. На самом деле проблема легко решаема. Привожу пример для маршрутизатора на базе Linux:
Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.
Это классический Cisco’вский ip unnumbered в Linux’овой реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты ходили только на хосты, для которых прописан роутинг. Далее поднимается VLAN и прописывается роутинг на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):
Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента – 192.0.2.101/24.
Proxy_arp
Еще одна проблема, с которой вы можете столкнуться – нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:
DHCP Option 82
При использовании IPoE DHCP упростит настройку сети на стороне абонента до нуля. Воткнул патчкорд и ты в сети. Только возникает вопрос: как DHCP узнает кому какой адрес выдавать? Можно определять по MAC, особенно если вы уже используете привязки IP-MAC. Но привязки MAC чреваты частыми звонками в поддержку, т.к. абоненты иногда меняют оборудование. Справиться с этой проблемой поможет расширение протокола DHCP – Option 82. Опция 82 содержит два поля:
В качестве DHCP-релэев при этом обычно выступают коммутаторы доступа, к которым непосредственно подключаются абоненты. В качестве Agent Remote ID обычно используется MAC коммутатора (по умолчанию в D-Link). Опция 82 поддерживается широким диапазоном оборудования, в том числе типичными у российских провайдеров D-Link DES-3526/3028/3200.
На коммутаторах D-Link есть два режима DHCP-релэя: dhcp_relay и dhcp_local_relay. dhcp_relay работает глобально, для всех портов и VLAN, при этом добавляется опция 82 и запрос передается уже не бродкастом, а непосредственно на DHCP-сервер, т.е. это полноценный DHCP-релэй. dhcp_local_relay работает для конкретных VLAN, но запрос по сути не релэится, а в него просто добавляется опция 82.
Базовые настройки dhcp_relay на D-Link’ах:
192.168.0.1 – IP-адрес DHCP-сервера, доступного в управляющем VLAN.
Базовые настройки dhcp_local_relay:
И наконец приведу базовый конфиг для ISC’s DHCP с комментариями:
Возможно, вас также заинтересует:
Проблема IPoE
В последнее время очень популярна стала технология IPoE. Популярна настолько, что некоторые провайдеры решились внедрить её в существующую сеть. И ведь действительно, на первый взгляд сплошные плюсы.
Приведу несколько плюсов на вскидку: в отличии, от PPPoE, не нужен дорогостоящий BRAS, не нужно тратиться на подсети внешних адресов, меньшая нагрузка на оборудование, за счет отсутствия тоннелей, нет необходимости гонять внутренний трафик через BRAS. Плюсов можно найти кучу, но, почему-то, мало кто задумался о минусах. На данную технологию даже нет RFC, не говоря уже о том, что многое дешевое оборудование, использующееся на доступе, не всегда корректно работает с options 82.
Самый главный минус, на мой взгляд – безопасность конечных пользователей.
Рассмотрим для примера metro ethernet сеть, в которой услуга предоставляется по технологии PPPoE (рис.1).
рис.1
Далее, на L3 коммутаторе агрегации, это собирается в C-Vlan вида 33290101, 33290102 итд.
В таком виде, это отправляется к BRAS. Причем, оборудование, которое стоит на канале между BRAS и роутером в кольце агрегации может и не поддерживать Q-in-Q.
При такой схеме, у каждого пользователя есть свой логин/пароль. И, даже если его украдет злоумышленник, то использовать он его сможет только с порта абонента. Если включится в другой порт, логин/пароль будет бесполезен.
Теперь, рассмотрим ситуацию, Когда пришел начальник Ибрагим Аврамович и сказал – я хочу IPoE (рис.2).
рис.2
Сказано – сделано. Вы перетрясли всю сеть. Сделали IPoE. В наиболее распространенном варианте, привязка будет идти к порту и маку коммутатора доступа. Завязали ваш dhcp сервер с биллингом, причем, вся завязка состоит в том, что биллинг отправляет куски конфига на dhcp сервер.
Поставили NAT! Теперь можно давать хомячкам серые адреса и натить, экономия же! Ибрагим Аврамович доволен, но замечает, что можно выдавать и белые адреса особо ретивым пользователям, за отдельную плату конечно.
Q-in-Q вы решили оставить, чтобы хоть как-то разделить пользователей.
Вы все сделали – вы молодец. От пользователей теперь не требуется вбивать логин и пароль, тех. поддержка забыла про ошибки 691. Ибрагим Аврамович выбирает новый Лексус. Вам дали прtмию 2048 рублей. Все счастливы.
Казалось бы, что может нарушить данную стройную идиллию? А нарушить её может схема, изображенная на рисунке 3.
рис.3
Пока, тетя Глаша и прочие жильцы на работе, Василий нагло врезается в кабель тети Глаши. Проводит кабель к себе домой. По 1,2,3,6 жиле, он будет сосать халявный интернет, а по оставшимся, он подключит тётю Глашу (что называется – по обратке), чтобы она ничего не заподозрила и не вызвала монтажника. Так как, никаких логин/паролей нет. Ничто не помешает Василию получить свой бесплатный интернет. А далее – дело техники. На роутере поднимается dhcp и NAT. Причем, при желании ip тете Глаше можно выдать из той же подсети, что использует провайдер, чтобы свести подозрения к минимуму. В случае, если серые ip выдаются не из пула, а существует жесткая привязка ip к порту, все ещё проще.
И так, Вася получил халявный интернет. Тетя Глаша ничего не заметила, только стала удивляться столь частым взломам любимых однакласников и – «картинкидолгогрузятся».
Послесловие:
Согласен, что некоторые делают ещё и привязку к mac адресу абонента. Но, господа, вы создаете себе геморрой. А если у хомячка нет локалки/роутера, а компьютера два, три итд? А если сгорела сетевая? Каждый раз звонить в тех/ поддержку и диктовать mac. И хорошо, если хомячек не впадет в панику, при слове mac. К тому же, Васе mac узнать не составляет труда, а подменить ещё проще.
К вопросу о СОРМЕ и кровавой Гэбне. Что мешает потомственному ваххабиту Ашоту прийти в любой подъезд, скрутить кабель, написать похабщины в интернете /накачать торрентов и скрыться не пойманным? Здесь не будет стопорных механизмов публичных wi-fi сетей.
На какое-то серьёзное исследование по безопасности естественно не претендую, но, на мой взгляд, есть повод задуматься.
IPoE, а также Client-VLAN и DHCP Option 82
В этой статье я опишу что из себя представляет технология доступа в Интернет IPoE, которой на самом деле не существует. А также расскажу про схему Client-VLAN и про опцию 82 DHCP (DHCP Option 82), которые стали неотъемлемой частью этой несуществующей технологии. Все это, конечно же, с технической точки зрения и с примерами конфигов.
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов – они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.
IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка – IP-трафик поверх Ethernet, грубо говоря, обычная локалка. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS или выделения VLAN на каждого абонента (так называемый Client-VLAN).
Client-VLAN
При использовании технологии Client-VLAN возникает проблема: как сэкономить IP-адреса? Ведь, если подумать, каждому клиенту надо выделять /30 подсеть. На самом деле проблема легко решаема. Привожу пример для маршрутизатора на базе Linux:
Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.
Это классический Cisco’вский ip unnumbered в Linux’овой реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты ходили только на хосты, для которых прописан роутинг. Далее поднимается VLAN и прописывается роутинг на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):
Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента – 192.0.2.101/24.
Proxy_arp
Еще одна проблема, с которой вы можете столкнуться – нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:
DHCP Option 82
192.168.0.1 – IP-адрес DHCP-сервера, доступного в управляющем VLAN.
Базовые настройки dhcp_local_relay:
И наконец приведу базовый конфиг для ISC’s DHCP с комментариями: