Ipoe или l2tp что лучше
Перейти к содержимому

Ipoe или l2tp что лучше

  • автор:

Проблема IPoE

В последнее время очень популярна стала технология IPoE. Популярна настолько, что некоторые провайдеры решились внедрить её в существующую сеть. И ведь действительно, на первый взгляд сплошные плюсы.

Приведу несколько плюсов на вскидку: в отличии, от PPPoE, не нужен дорогостоящий BRAS, не нужно тратиться на подсети внешних адресов, меньшая нагрузка на оборудование, за счет отсутствия тоннелей, нет необходимости гонять внутренний трафик через BRAS. Плюсов можно найти кучу, но, почему-то, мало кто задумался о минусах. На данную технологию даже нет RFC, не говоря уже о том, что многое дешевое оборудование, использующееся на доступе, не всегда корректно работает с options 82.
Самый главный минус, на мой взгляд – безопасность конечных пользователей.

Рассмотрим для примера metro ethernet сеть, в которой услуга предоставляется по технологии PPPoE (рис.1).

image

рис.1

  • первый коммутатор 1 порт – vlan 101, 2 порт – vlan – 102;
  • второй коммутатор 1 порт – vlan 201, 2 порт – vlan – 202.

Далее, на L3 коммутаторе агрегации, это собирается в C-Vlan вида 33290101, 33290102 итд.
В таком виде, это отправляется к BRAS. Причем, оборудование, которое стоит на канале между BRAS и роутером в кольце агрегации может и не поддерживать Q-in-Q.
При такой схеме, у каждого пользователя есть свой логин/пароль. И, даже если его украдет злоумышленник, то использовать он его сможет только с порта абонента. Если включится в другой порт, логин/пароль будет бесполезен.

Теперь, рассмотрим ситуацию, Когда пришел начальник Ибрагим Аврамович и сказал – я хочу IPoE (рис.2).

image

рис.2

Сказано – сделано. Вы перетрясли всю сеть. Сделали IPoE. В наиболее распространенном варианте, привязка будет идти к порту и маку коммутатора доступа. Завязали ваш dhcp сервер с биллингом, причем, вся завязка состоит в том, что биллинг отправляет куски конфига на dhcp сервер.
Поставили NAT! Теперь можно давать хомячкам серые адреса и натить, экономия же! Ибрагим Аврамович доволен, но замечает, что можно выдавать и белые адреса особо ретивым пользователям, за отдельную плату конечно.
Q-in-Q вы решили оставить, чтобы хоть как-то разделить пользователей.
Вы все сделали – вы молодец. От пользователей теперь не требуется вбивать логин и пароль, тех. поддержка забыла про ошибки 691. Ибрагим Аврамович выбирает новый Лексус. Вам дали прtмию 2048 рублей. Все счастливы.

Казалось бы, что может нарушить данную стройную идиллию? А нарушить её может схема, изображенная на рисунке 3.

image

рис.3

  • мыльницу-роутер (а-ля dir-100);
  • несколько метров витой пары;
  • обжимку, пару конекторов.

Пока, тетя Глаша и прочие жильцы на работе, Василий нагло врезается в кабель тети Глаши. Проводит кабель к себе домой. По 1,2,3,6 жиле, он будет сосать халявный интернет, а по оставшимся, он подключит тётю Глашу (что называется – по обратке), чтобы она ничего не заподозрила и не вызвала монтажника. Так как, никаких логин/паролей нет. Ничто не помешает Василию получить свой бесплатный интернет. А далее – дело техники. На роутере поднимается dhcp и NAT. Причем, при желании ip тете Глаше можно выдать из той же подсети, что использует провайдер, чтобы свести подозрения к минимуму. В случае, если серые ip выдаются не из пула, а существует жесткая привязка ip к порту, все ещё проще.

И так, Вася получил халявный интернет. Тетя Глаша ничего не заметила, только стала удивляться столь частым взломам любимых однакласников и – «картинкидолгогрузятся».

Послесловие:
Согласен, что некоторые делают ещё и привязку к mac адресу абонента. Но, господа, вы создаете себе геморрой. А если у хомячка нет локалки/роутера, а компьютера два, три итд? А если сгорела сетевая? Каждый раз звонить в тех/ поддержку и диктовать mac. И хорошо, если хомячек не впадет в панику, при слове mac. К тому же, Васе mac узнать не составляет труда, а подменить ещё проще.

К вопросу о СОРМЕ и кровавой Гэбне. Что мешает потомственному ваххабиту Ашоту прийти в любой подъезд, скрутить кабель, написать похабщины в интернете /накачать торрентов и скрыться не пойманным? Здесь не будет стопорных механизмов публичных wi-fi сетей.

На какое-то серьёзное исследование по безопасности естественно не претендую, но, на мой взгляд, есть повод задуматься.

Ipoe или l2tp что лучше

При работе по протоколу L2TP клиент обязан тратить аппаратные ресурсы своего оборудования (ПК, маршрутизатора) для тоннелирования данных (процесс организации тоннелирования требует как программной поддержки протокола L2TP, так и при начале работы организации авторизованного РРР соединения).

Протокол IPoE (частный случай ISG) не требует дополнительных ресурсов оборудования со стороны клиента (ПК, маршрутизатора) при работе в сети. Клиент первоначально должен пройти процедуру регистрации на портале (процедура не отличается от процедуры регистрации на каком-то форуме или сайте) и работать в сети до момента пока не сменится MAC адрес клиентского оборудования (фактически установится другое оборудование), номер порта клиента на коммутаторе оператора или сам коммутатор.

Кратко плюсы и минусы протоколов в реализации К Телекома.

L2TP

Необходимость довольно значительных аппаратных ресурсов от клиента,

Необходимость процесса авторизации каждый раз при доступе к сети,

Сессионный доступ — максимальный период сессии 3-е суток, после которого необходимо возобновить сессию послав РРР вызов с авторизацией.

+ Возможность «ночного удвоения» полосы пропускания для клиента,

+ Предоставление клиенту при авторизации «публичного динамического ip-адреса из пула».

IPoE

Необходимость разовой авторизации, которая привязана к 3-м параметрам (MAC абонента, коммутатор оператора и номер порта на коммутаторе оператора),

Клиенту для работы в сети предоставляется «внутренний динамический ip-адрес из пула», выходящий во внешнюю сеть из-под NAT (при этом возможны проблемы с игровыми серверами требующим прямого доступа до клиентского оборудования, раздачи в торрент-клиентах и невозможность организовать сервисы на стороне клиента, на которые есть необходимость доступа их внешней сети).

+ Простота первичной авторизации (не сложнее чем регистрация на форумах и сайтах), отсутствие необходимости такой авторизации каждый раз при необходимости доступа в сеть

+ Нет необходимости иметь со стороны клиента значительных аппаратных ресурсов, которые нужны для работы по протоколу L2TP

Все в порядке, но.

Этот текст мало кто будет читать и мы можем написать здесь все, что угодно, например.
Вы живете в неведении. Роботы уже вторглись в нашу жизнь и быстро захватывают мир, но мы встали на светлый путь и боремся за выживание человечества. А если серьезно, то.

В целях обеспечения безопасности сайта от кибератак нам необходимо убедиться, что вы человек. Если данная страница выводится вам часто, есть вероятность, что ваш компьютер заражен или вы используете для доступа IP адрес зараженных компьютеров.

Если это ваш частный компьютер и вы пытаетесь зайти на сайт, например, из дома — мы рекомендуем вам проверить ваш компьютер на наличие вирусов.

Если вы пытаетесь зайти на сайт, например, с работы или открытых сетей — вам необходимо обратиться с системному администратору и сообщить, что о возможном заражении компьютеров в вашей сети.

  • © 2005-2023, «4PDA». 4PDA® — зарегистрированный товарный знак.

Технология IPoE: что это такое, отличие от PPPoE, настройка

WiFiGid

Друзья, приветствую вас в очередной техностатье от WiFiGid про IPoE технологию! Технология уже давняя, но и сегодня активно применяется многими провайдерами. За не повсеместной распространенностью, в отличие от тех же PPPoE или Динамического IP, обзор получится несколько сжатым.

Если же вам чего-то не хватает, остались вопросы или есть чем поделиться – обязательно напишите комментарий к этой статье. Сайт живой, в ближайшее время постараемся ответить. Быть может именно ваш комментарий поможет будущим читателям этого материала!

Преимущества и недостатки технологии

Да, сразу с корабля на бал. Ну а чего Wi-Fi мять.

  • Меньше издержек у провайдера (не нужны дорогие маршрутизаторы, не нужно закупать внешние подсети, нет сильных нагрузок из-за туннелей как в других технологиях). Отсюда, возможно, тарифы чуть дешевле.
  • Скорость работы – за счет отсутствия того же шифрования общая нагрузка на маршрутизаторы сокращается, а скорость и пинг улучшаются. Мечта геймера? Именно этот пункт чаще всего и выбирают провайдеры как ударный элемент в рекламе.
  • Простая настройка. Данные к роутеру цепляются автоматически. Но при ПЕРВОМ заходе в интернет с этого роутера появляется страничка авторизации, куда нужно ввести логин и пароль. На сервере провайдера происходит привязка указанных логина-пароля к подключенному фактически устройству (страничку авторизации увидите ниже).
  • Видимость для техподдержки – ведь все просто и открыто. Провайдер отлично может диагностировать линии в случае возникших проблем.
  • Безопасность пользователя. Нет, в целом, для вас скорее всего все будет нормально, но есть нюансы (читаем ниже).
  • Серый внешний IP – для многих это уже нормально, но лично я чего-то не могу с этим смириться. Да, иногда можно получить белый, но обычно серый + NAT.

Что там с безопасностью?

В общем случае – с ней все нормально. О всех проблемах известно большинству провайдеров. Методы защиты применяются. О чем я?

Начнем с АВТОРИЗАЦИИ .

  • В PPPoE для авторизации применяется логин и пароль. Ваш логин и пароль будут работать исключительно на порту вашего подъездного коммутатора. Никто больше не сможет подключиться.
  • В IPoE авторизация происходит максимум по привязке MAC-адреса к порту подъездного коммутатора.

В первом случае для подключения к ВАШЕЙ сети нужно заморочиться – врезаться в линию, поднять PPPoE сервер, перехватить логин и пароль, а уже потом авторизоваться и думать, как остатки интернета пробросить вам, чтобы вы ничего не заметили.

Второй случай проще – во многом достаточно просто врезаться в линию. И Ваш интернет в теории потекет у вашего соседа. Ну прямо как истории со взломанными Wi-Fi, только старо-советским способом. Конечно, так вряд ли кто-то будет заморачиваться, и ни один злой человек не захочет писать от вашего имени в интернете всякие гадости, но знать о возможной проблеме стоит.

Следующий момент – ШИФРОВАНИЕ .

  • Шифрование PPPoE описано в RFC Данные укладываются в шифрованный туннель и спокойно добираются до конечных сайтов.
  • В IPoE шифрования нет – все летит в открытом виде. Конечно, можно выбирать исключительно сайты с SSL, а на игры забить, но по мне данные должны быть для других участников вашей сети закрытыми.

О технологии

Согласен, не по порядку. Но большей части наших читателей и не нужно ничего знать об этой «технологии», которая на самом деле и не является как таковой технологией.

IPoE – IP over Ethernet

Если вдуматься в эту расшифровку (IP поверх Ethernet), получаем банальную локальную сеть (ну так почти и есть, т.е. соединение – DHCP из 90х годов). И вот эта банальность и сделала этот способ подключения популярным в свое время у нас. Ходят древние слухи, что саму идею придумали в России, отсюда у технологии и нет никакого стандарта RFC, т.е. технология и не является технологией, а некой додумкой энтузиастов.

Т.е. в том же PPPoE или PPTP весь трафик садится в PPP туннель, а здесь все идет в чистом виде локальной сети. Вот и главное отличие этой технологии от всех других. Отсюда ее вышеупомянутые преимущества и недостатки.

Доступ клиенты получают путем привязки MAC-адресов к портам коммутатора или сразу BRAS, а порой выделяют в отдельные VLAN на каждого клиента (и это уже приводит к изоляции клиентов).

Но все банальное не было бы таким эффектным здесь, пожалуй, без расширения DHCP – дополнительно используется Option 82. Эта «опция» позволяет назначать адреса конечным пользователям не только в привязке к их MAC-адресу (ведь пользователи могут менять свое оборудование, и тогда проблемы с перепривязкой лягут на техподдержку, особенно если нет веб-интерфейса), но и в зависимости от (грубо) коммутирующего оборудования провайдера.

Разница между PPPoE и IPoE

Так как на текущий день это две самые интересные технологии для пользователя, привожу сравнение:

Критерий PPPoE IPoE
Контроль доступа и простота настройки Логин и пароль уже привязаны к порту, необходимо вводить при каждом подключении логин и пароль. Обязательная настройка роутера или соединения. Очень просто настраивается. Привязка устройства по MAC происходит автоматически без участия пользователя. При первичном заходе на любой сайт необходимо ввести логин и пароль для подтверждения привязки. Выполняется один раз до смены роутера.
Шифрование Все данные попадают в PPP туннель Нет
Скорость и пинг За счет работы с шифрованием чуть ниже Нет занижения
Цена для провайдера Оборудование за счет контроля и мощностей на туннелирование будет дороже Это простая локальная сеть – издержки снижаются
Цена для клиента На высокоскоростных тарифных планах для расшифровки соединения старые роутеры могут подтормаживать (не в пример L2TP, но все же) Работают табуретки из 90х – все летает

Разница понятна? Тогда переходим к настройке.

Настройка IPoE

Друзья, это соединение было придумано для того, чтобы упростить жизнь всем пользователям (ну и разгрузить провайдера конечно же). Т.е. если вы подключаете свой компьютер-ноутбук напрямую без постороннего оборудования – ничего настраивать не нужно. При первом входе в интернет вам выкинется примерно такое окно:

IPoE авторизация в Город ТВ

IPoE авторизация в Билайн

Т.е. разово введете логин и пароль – и все. Но обычно у пользователей дома стоят роутеры, которые и дальше раздают интернет в вашей локальной сети (ведь у вас же не только один компьютер, но и телевизоры, телефоны, видеокамеры и прочая умная техника, пользующаяся интернетом).

Спешу успокоить – обычно достаточно просто подключить роутер, и на этом весь процесс настройки заканчивается (т.е. снова при первом входе в интернет нужно будет разово ввести логин и пароль, а дальше все будет работать уже автоматом).

Почему так происходит? Как правило, роутеры по умолчанию используют тип подключения «Динамический IP» (ну или DHCP), т.е. что и подразумевает автоматическое получение IP адреса. Обычно, мы, наоборот, входили в роутер, чтобы поменять эту настройку на ту же PPPoE, но по факту при этом типе соединения заходить никуда и не нужно.

Но порой роутерам все-таки нужно насильно задать этот режим. Как это сделать? Во-первых, узнайте точную модель своего роутера. Далее достаточно найти на нашем сайте или том же Ютубе инструкцию по его настройки, войти в веб-интерфейс и поставить этот тип подключения:

Выбор режима Динамический IP для IPoE

О провайдерах

Этот раздел как дополнение о работе провайдеров. Быть может, при необходимости и ваших просьбах будет пополняться. Вот список провайдеров, которые так или иначе были замечены в применении IPoE (пусть и не везде)

  • Билайн
  • Дом.ru
  • Уфанет
  • Город ТВ
  • Аквилон
  • К Телеком
  • МФТИ-Телеком

Некоторые провайдеры предоставляют своим пользователям возможность выбора – подключаться через PPPoE или IPoE. Эдакий выбор между приватностью и скоростью. У некоторых наоборот, выбор IPoE возможен только на определенных тарифах или регионах.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *