PPPoE

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
PPPoE и TCP/IP Стек протоколів
Application FTP SMTP HTTP DNS
Transport TCP UDP
Network IP IPv6
Network access PPP
PPPoE
Ethernet

PPPoE (англ. Point-to-point protocol over Ethernet) — мережевий протокол передачі кадрів PPP через Ethernet. В основному використовується XDSL сервісами. Надає додаткові можливості (Автентифікація, стиснення, шифрування).

PPPoE- це тунельний протокол , який дозволяє настроювати (або інкапсулювати) IP , або інші протоколи, які нашаровуються на PPP, через з'єднання Ethernet, але з програмними можливостями PPP з'єднань, і тому використовується для віртуальних «дзвінків» на сусідню Ethernet-машину і встановлює з'єднання точка-точка, яке використовується для транспортування IP-пакетів, що працює з можливостями PPP.

Це дозволяє застосовувати традиційне PPP-орієнтоване ПЗ для налаштування з'єднання, яке використовує не послідовний канал, а пакетно-орієнтовану мережу (як Ethernet), щоб організувати класичне з'єднання з логіном, паролем для Інтернет-з'єднань. Також, IP-адреса по інший бік з'єднання призначається тільки коли PPPoE з'єднання відкрито, дозволяючи динамічне перевикористання IP адрес.

PPPoE розроблений UUNET, Redback Networks і RouterWare. Протокол описаний в RFC 2516.

Варто відзначити, що деякі постачальники обладнання ( Cisco і Juniper , наприклад) використовують термін PPPoEoE (PPPoE over Ethernet), що означає PPPoE, що працює безпосередньо через Ethernet або інші IEEE 802.3 мережі, а також PPPoE, що працює через пов'язані в Ethernet (Ethernet bridged over)ATM , для того щоб відрізняти від PPPoEoA (PPPoE over ATM), який працює на ATM virtual circuit за специфікацією RFC 2684 та SNAP і інкапсулює PPPoE. PPPoEoA - це не те ж саме, що Point-to-Point Protocol over ATM (PPPoA), оскільки він не використовує SNAP.

Робота PPPoE здійснюється наступним чином. Існує Ethernet-середовище, то є кілька з'єднаних мережевих карт , які адресуються MAC-адресами . Заголовки Ethernet-кадрів містять адресу відправника кадру, адресу одержувача кадру і тип кадру. Одну з карт слухає PPPoE сервер . Клієнт посилає широкомовний Ethernet кадр, на який повинен відповісти PPPoE сервер (адреса відправника кадру - свою MAC-адресу, адресу одержувача кадру - FF: FF: FF: FF: FF: FF і тип кадру - PPPoE Active Discovery Initiation). PPPoE сервер посилає клієнту відповідь (адреса відправника кадру - свою MAC-адресу, адресу одержувача кадру - МАС-адресу клієнта і тип кадру - PPPoE Active Discovery Offer). Якщо в мережі декілька PPPoE серверів, то всі вони посилають відповідь. Клієнт вибирає підходящий сервер і посилає йому запит на з'єднання. Сервер посилає клієнту підтвердження з унікальним ідентифікатором сесії, всі наступні кадри у сесії будуть мати цей ідентифікатор. Таким чином, між сервером і клієнтом створюється віртуальний канал, який ідентифікується ідентифікатором сесії і MAC-адресами клієнта і сервера. Потім у цьому каналі піднімається PPP з'єднання, а вже в PPP пакети упаковується IP -трафік.

Для чого необхідно встановлювати на свій комп'ютер даний протокол?[ред.ред. код]

Оскільки протокол PPPoE є аналогом комутованого з'єднання, то для його організації потрібно всього одна IP-адреса, яка доступна з мережі Інтернет тільки під час встановленого з'єднання, що в сукупності значно зменшує витрати на утримання постійного підключення до мережі.

Технологія використання стека PPP у мережі Ethernet є відносно новою, але вже отримала достатнього поширення. На даний момент вона визначається документом RFC 2516, який був розроблений і випущений в лютому 1999 року. Однак цей документ не є стандартом і носить поки інформативний характер. Родоначальниками розробки цього документа з'явилися компанії RedBack Networks, RouterWare, UUNET та інші. Таким чином, "усвідомлений вік" цієї технології вельми невеликий. Її використання надає провайдерам Інтернет-послуг нові можливості в організації та облік доступу користувачів до мережі. Це особливо актуально для тих провайдерів, які планують або вже пропонують своїм користувачам доступ до Інтернету за допомогою мережі Ethernet, наприклад, в сучасних житлових комплексах, де кабельна розводка витою парою вже не є нововведенням.

Заслуговує особливої уваги той факт, що для настройки маршрутизатора провайдера, установки концентратора в під'їзді житлового будинку, мережевої карти і невеликого програмного забезпечення в комп'ютер користувача не потрібен модем, немає необхідності займати єдину телефонну лінію, так як провайдер послуг тепер може організовувати, обмежувати доступ і облік трафіку користувачів таким чином, ніби користувач працює за звичайним модемним каналом. Така реалізація стала можливою завдяки технології PPPoE, яка запускає сесію PPP, але не поверх модемного з'єднання, а поверх мережі Ethernet.

При цьому, буде підтримуватися аутентифікація користувачів за протоколами PAP і CHAP, динамічне виділення IP-адрес користувачам, призначення адреси шлюзу, DNS-сервера і т.д.

Технологія PPPoE на даний момент є однією з найдешевших при наданні користувачам доступу до послуг Інтернет в житлових комплексах на базі Ethernet і при використанні технології DSL. На відміну від VPN, PPPoE зараз є індустріальним стандартом для широкосмугових інтернет-підключень, що значно спрощує підключення і вирішує багато проблем.

PPPoE має такі переваги:[ред.ред. код]

  • усувається проблема працездатності VPN-через-VPN, що виникала у тих, хто використовує VPN для віддаленої роботи.
  • усувається проблема зв'язності окремих ділянок районної мережі (наприклад, доступ з адрес 10.20.xx на адреси 10.20.xx)
  • усувається проблема зв'язності локальних і реальних IP-адрес (наприклад, доступ з адрес 10.xxx на адреси 81.9.xx)
  • усувається проблема доступності ресурсів пірингової мережі з деяких локальних адрес, пов'язана з тим, що ці локальні адреси вже використовуються в інших пірингових мережах
  • усувається проблема зі швидкістю доступу в інтернет, що виникала у деяких користувачів.
  • усувається проблема конфліктів IP-адрес, що виникає через помилки користувачів і дії шкідливих програм. Ви більше ніколи не зіштовхнетеся з ситуацією, коли з'являється вікно «IP-адреса вже використовується» і мережа перестає працювати. Мережа могла переставати працювати по тій же причині навіть без появи цього вікна.
  • зникає потреба в налагодженні маршрутів для одночасної роботи в інтернеті і з локальними ресурсами.
  • з'являється можливість використовувати маршрутизатори (роутери) будь-яких моделей, а не тільки рідкісні моделі, що підтримують VPN.
  • з'являється можливість доступу в інтернет з самих різних пристроїв - ігрових приставок, смартфонів і т.д. - Безпосередньо, якщо пристрій підтримує PPPoE, або через будь-який маршрутизатор, якщо не підтримує.
  • з'являється можливість використання шлюзів IP-телефонії. Наприклад, Ви можете купити D-Link DVG-2001S (ця модель підтримує PPPoE), налаштувати його на з'єднання з сервісом sipnet.ru і отримати домашній телефон з необмеженими безкоштовними дзвінками на міські номери.
  • при використанні маршрутизатора, доступний не тільки інтернет, але і локальні ресурси - незалежно від його моделі і налаштувань.
  • значно спрощується настройка доступу - більше не потрібно задавати будь-які адреси. Нове з'єднання має тільки два параметри - номер договору та пароль.

Зміна VPN на PPPoE виконується в чотири кроки:[ред.ред. код]

  • Відключення маршрутів локальної мережі.
  • Видалення VPN з'єднання.
Для налаштування PPPoE «з нуля» необхідно тільки наступне:
  • Відключення протоколу TCP / IP на мережевої карти (це необхідно для захисту від конфліктів IP-адрес і атак)
  • Створення PPPoE з'єднання з тим же номером договору та паролем, що були і на VPN.

Так як принципом роботи PPPoE є встановлення з'єднання "точка-точка" поверх загального середовища Ethernet, то процес функціонування PPPoE повинен бути розділений на дві стадії. У першій стадії два пристрої повинні повідомити один одному свої адреси і встановити початкове з'єднання, а в другій стадії запустити сесію PPP.


Стадія встановлення з'єднання[ред.ред. код]

Стадія встановлення з'єднання між клієнтом (комп'ютером користувача) і сервером (концентратором доступу провайдера) ділиться на кілька етапів. На першому етапі клієнт посилає широкомовний запит (адреса призначення - broadcast address) (PADI PPPoE Active Discovery Initiation) на пошук сервера зі службою PPPoE. Цей запит отримують всі користувачі мережі, але відповість на нього тільки той, у кого є підтримка служби PPPoE. Відповідний пакет від концентратора доступу (PADO PPPoE Active Discovery Offer) надсилається у відповідь клієнту, але якщо в мережі є багато пристроїв зі службою PPPoE, то клієнт отримає багато пакетів PADO. В цьому випадку, програмне забезпечення клієнта вибирає необхідний йому концентратор доступу і посилає йому пакет (PADR PPPoE Active Discovery Request) з інформацією про необхідну службу (необхідний клас обслуговування залежить від послуг провайдера), ім'я провайдера і т.д. Після отримання запиту, концентратор доступу готується до початку PPP сесії і посилає клієнтові пакет PADS (PPPoE Active Discovery Session-confirmation). Якщо всі опитувані клієнтом служби доступні (до складу цього пакету входить унікальний номер сесії, присвоєний концентратором), то починається другий етап - стадія встановленої сесії. Якщо необхідні клієнту послуги не можуть бути надані, клієнт отримує пакет PADS із зазначенням помилки в запиті послуги.


Стадія встановленої сесії[ред.ред. код]

Сесія починається з використанням пакетів PPP. При встановленні PPP-сесії користувач може бути аутентифікований за допомогою RADIUS, і його трафік буде враховуватися як при звичайному модемному доступі. Йому можна призначити динамічну IP-адресу з пулу адрес концентратора, встановити настройки шлюзу і DNS-сервера. При цьому на концентраторі доступу клієнту відповідно ставиться віртуальний інтерфейс. Бажано, щоб концентратор доступу посилав періодичні запити клієнту для визначення його стану. Ця операція необхідна для того, щоб клієнт, який з якоїсь причини не закінчив сесію коректним чином, не вважався існуючим і для нього не резервувалися ресурси концентратора доступу. Завершення з'єднання PPPoE відбувається з ініціативи клієнта, або концентратора доступу за допомогою посилки пакета PADT (PPPoE Active Discovery Terminate).

У протоколі PPPoE передбачені деякі додаткові функції, наприклад, такі як захист від DoS атак (Denial of Service). Захист від деяких типів DoS атака реалізована шляхом додавання в пакети PADI спеціального поля AC-Cookie, яке дозволяє концентратору доступу обмежувати кількість одночасних сесій PPPoE на одного клієнта.


Тестування продуктів з технологій PPPoE 01.04.01[ред.ред. код]

У тестовій лабораторії INLINE Technologies було проведено тестування продуктів різних виробників, що використовують технологію PPPoE. Для цього в якості концентраторів доступу використовувалося наступне обладнання:

  • Cisco 7206;
  • Cisco 3640;
  • Cisco 2620;
  • концентратор доступу US Robotics Total Control.
Розглянемо конфігурацію маршрутизатора Cisco 2620 для використання служби PPPoE:

Для настройки маршрутизатора з функцією PPPoE необхідно мати правильне програмне забезпечення. В нашому випадку, це Cisco IOS версії 12.1.2T опція IP PLUS:

boot system flash c2600-is-mz.121-2.T.bin


Стандартні настройки для сервера RADIUS для аутентифікації, авторизації та обліку роботи користувачів:

aaa new-model

aaa authentication ppp default group radius

aaa authorization network default group radius

aaa accounting network default start-stop group radius


Дозвіл функціонування маршрутизатора з функцією віртуальних приватних мереж:

vpdn enable

no vpdn logging


Створення VPDN групи для прийому з'єднань типу PPPoE і використання для них "заготовки" virtual-template 1:

vpdn-group 1

accept-dialin

protocol pppoe

virtual-template 1


Дозвіл прийому з'єднань PPPoE на інтерфейсі FastEthernet0 / 0:

interface FastEthernet0 / 0

ip address 192.168.0.1 255.255.255.0

duplex auto

speed auto

pppoe enable


Створення заготовки Virtual-Template 1, в якій адресу клієнта виділяється динамічно з пулу адрес під назвою TEST, використовується аутентифікація користувачів за протоколами PAP і CHAP, так як для користувачів використовуються приватні адреси, маршрутизатор налаштований з використанням функції трансляції адрес NAT:

interface Virtual-Template1

ip address 192.168.100.1 255.255.255.0

ip nat inside

peer default ip address pool TEST

ppp authentication chap pap callin


Команди глобального режиму конфігурації для створення пулу адрес "TEST" та використання функції NAT overload на інтерфейсі Serial0 / 0 для адрес з access-list 1:

ip local pool TEST 192.168.100.2 192.168.100.254

ip nat inside source list 1 interface Serial0 / 0 overload

access-list 1 permit 192.168.100.0 0.0.0.255

ip route 0.0.0.0 0.0.0.0 195.195.195.1


Команди глобального режиму конфігурації для призначення RADIUS сервера:

radius-server host 192.168.1.2 auth-port 1645 acct-port 1646

radius-server retransmit 3

radius-server key test


При такій конфігурації маршрутизатора користувачі, підключені до мережі Ethernet, не можуть працювати з доступом в Інтернет, не використовуючи технологію PPPoE і не пройшовши аутентифікацію в сервері RADIUS, тому що функція NAT буде реалізована тільки для адрес користувачів служби PPPoE.

Наведена конфігурація маршрутизатора тестуєтьсяся з наступним програмним забезпеченням:

EtherNet 300, розробленим компанією Efficient Network, 30 днів безкоштовно, вартість 29 $, (http://www.nts.com/). Встановлено на Windows NT 4.0.

POETRI, 30 днів безкоштовно. Встановлено на Windows 95 і Windows NT 4.0 PPPoE клієнт для Linux. (Http://www.brightdsl.net/). Встановлено на Red Hat 7.0.

Як білінгової системи була використана система "Білл-Мастер".


Крім тестування взаємодії програмного забезпечення персональних комп'ютерів з обладнанням концентратора доступу клієнтів, було протестовано застосування технології PPPoE спільно з обладнанням доступу ADSL. Таке застосування PPPoE дозволяє настроїти ADSL-модем/ADSL-маршрутізатор клієнта (необхідно вказати ім'я користувача, пароль і т.д.) і автентифікувати на концентраторі доступу через RADIUS білінгову систему. При цьому, трафік користувачів всієї локальної мережі організації буде врахований як загальний, але в такій конфігурації на комп'ютерах користувачів не потрібно мати програмне забезпечення PPPoE клієнтів, так як його роль виконує ADSL обладнання (ADSL-Модем/ADSL-Маршрутізатор Telindus 1120).

У мережі Інтернет крім протестованого, можна знайти інше програмне забезпечення PPPoE клієнта для різних операційних систем, наприклад, таких як Mac, BeOS. Також можна знайти програмне забезпечення для написання свого специфічного клієнта під певні послуги будь-якого провайдера.

Інструкції з налаштування:[ред.ред. код]

Інструкція по установці і настройці PPPoE з'єднання для абонентів ADSL
Встановити з'єднання PPPoE, використовуючи ADSL модем можна наступними способами:
  • Видалити LAN (якщо було встановлено) і встановити WAN драйвер USB ADSL модем. Додатково встановлювати драйвер клієнта PPPoE не потрібно. Для з'єднання з локальною мережею та Інтернетом використовується автоматично створюється з'єднання віддаленого доступу «GlobanSpanVirata Dialup PPP Connections». Для з'єднання з локальною мережею та Інтернетом необхідно ввести ім'я користувача і пароль.
  • Налаштувати Ethernet ADSL модем (наприклад, D-Link DSL 300T) на автоматичне з'єднання по PPPoE. Налаштувати мережеву карту комп'ютера, підключеного до Ethernet ADSL модему. З'єднання з локальною мережею та Інтернетом буде проводитися автоматично при включенні комп'ютера.
  • Використовувати вже встановлений LAN драйвер USB ADSL модем. Встановити і налаштувати драйвер клієнта PPPoE аналогічно звичайному Ethernet підключення або використовувати вбудовані в Windows XP можливості відповідно до інструкції. Для підключення до локальної мережі та Інтернету необхідно використовувати автоматично створюється з'єднання PPPoE. Для з'єднання з локальною мережею та Інтернетом необхідно ввести ім'я користувача і пароль.
УВАГА!

1.Використовувати потрібно тільки один з наведених вище способів.
2.Для власників операційної системи Windows XP рекомендуємо скористатися третім способом.


Інструкція по установці і настройці PPPoE з'єднання для абонентів ETHERNET (широкосмугового доступу):[ред.ред. код]

Інструкція по установці клієнта РРРоЕ та налаштування з'єднання (для підготовлених користувачів)


на прикладі Windows 98, Millennium :

1.Скачайте в папку (наприклад) «c: \ pppoe» zip-архів РРРоЕ клієнта за посиланням;

2.Розпакуйте архів в цю ж папку;

3.Якщо у вас встановлений «Віддалений доступ до мережі» то перейдіть до пункту 5;

4.«Мій комп'ютер» - «Панель управління» - «Установка та видалення програм» - «Установка Windows» - «Зв'язок» - «Склад» - «Віддалений доступ до мережі» - «Ок» - Перезавантаження;

5.Правою кнопкою миші клацніть на «мережевому оточенні» - Виберіть «Властивості» - «Додати» - «Протокол» - «Додати» - «Встановити з диска» - «Обзор» - Виберіть папку «c: \ pppoe» - «Ок» - «PPP over Ethernet Protocol (Windows 98/Me)» - «Ок» - «Ок» - Перезавантаження;

6.Натисніть «Пуск» - «Виконати» - «raspppoe» - «Ок» - Виберіть потрібний мережний адаптер - Натисніть «Query Available Services» - Вибрати в списку доступних серверів авторизації той сервер, який відповідає назві вашого міста - Натисніть «Create a Dial- Up Connection for the selected Adapter »-«Exit»;

7.Двічі клацніть на нову іконку з'єднання на робочому столі - введіть логін введіть пароль - «підключитися».


на прикладі Windows 2000

1.Скачайте в папку (наприклад) «c: \ pppoe» zip-архів РРРоЕ клієнта за посиланням;

2.Розпакуйте архів в цю ж папку;

3.Натисніть «Пуск» - «Налаштування» - «Мережа і віддалений доступ до мережі» - «Підключення по локальній мережі» - виберіть «Властивості» - «Встановити» - «Протокол» - «Додати» - «Встановити з диска» - «Огляд»- виберіть папку« c: \ pppoe »-«Ок»- Виберіть будь-який. inf файл -«Ок»-« PPP over Ethernet Protocol »-«Ок»- копіювання файлів, при повідомлення« Цифровий підпис не знайдено »натискайте«Так»- Закрийте вікно« Підключення по локальній мережі - властивості »;

4.Натисніть «Пуск» - «Виконати» - «raspppoe» - «Ок» - Виберіть потрібний мережний адаптер - «Query Available Services» - Вибрати в списку доступних серверів авторизації той сервер, який відповідає назві вашого міста - Натисніть «Create a Dial-Up Connection for the selected Adapter »-«Exit»;

5.Двічі клацніть на нову іконку з'єднання на робочому столі - введіть логін введіть пароль - «підключитися».


на прикладі Windows XP

1.Натисніть «Пуск» - «Панель управління» - «Мережеві підключення» - «Файл» - «Нове підключення» - «Далі» - «Підключити до Інтернету» - «Далі» - «Встановити підключення вручну» - «Далі» - «Через високошвидкісне підключення, запитуюча ім'я користувача та пароль »-«Далі»- У полі введіть ім'я підключення, наприклад «Інфолайн РРРоЕ»-«Далі»- Введіть Логін в поле« Ім'я користувача »- Введіть пароль в полях«Пароль»і«Підтвердження» - «Далі» - «Додати ярлик підключення на робочий стіл» - «Готово»;

2.Двічі клацніть на нову іконку з'єднання на робочому столі - Натисніть «Підключення».

Як було сказано на початку, PPPoE є новою технологією, і час її широкого застосування ще не настав. Попри це, вже зараз видно зацікавленість великих операторів зв'язку та послуг Інтернет (France Telecom, Prodigy) в використанні цієї технології спільно з технологією DSL.

PPPoE Discovery (PPPoED)[ред.ред. код]

PADI[ред.ред. код]

PADI — PPPoE Active Discovery Initiation.

Якщо користувач хоче підключитися до інтернету по DSL , спочатку його машина повинна виявити концентратор доступу (DSL access concentrator або DSL-AC) на стороні провайдера ( point of presence (POP)). Взаємодія через Ethernet можливо тільки через MAC-адреси. Якщо комп'ютер не знає MAC-адреси DSL-AC, він посилає PADI пакет через Ethernet Broadcast (MAC: ff: ff: ff: ff: ff: ff) Цей PADI-пакет містить МАС-адресу послала його машини.

Прилкад PADI-пакета:

Frame 1 (44 bytes on wire, 44 bytes captured) Ethernet II, Src: 00:50:da:42:d7:df, Dst: ff:ff:ff:ff:ff:ff PPP-over-Ethernet Discovery

Version: 1
Type 1
Code Active Discovery Initiation (PADI)
Session ID: 0000
Payload Length: 24

PPPoE Tags

Tag: Service-Name
Tag: Host-Uniq
Binary Data: (16 bytes)

Src. (=source) представляє MAC-адресу машини, послала PADI.
Dst. (=destination) є широкомовною Ethernet-адресою.
PADI-пакет може бути отриманий більш ніж одним DSL-AC.

PADO[ред.ред. код]

PADO — PPPoE Active Discovery Offer.

Як тільки користувальницька машина відіслала PADI-пакет, DSL-AC відповідає посилаючи PADO-пакет, використовуючи MAC-адреси, які прийшли з PADI. PADO-пакет містить MAC-адреси DSL-AC, їх імена (наприклад LEIX11-erx для концентратора T-Com DSL-AC в Лейпцигу ) і ім'я сервісу. Якщо ж більше однієї точки DSL-AC відповіло PADO-пакетом, призначена для користувача машина вибирає DSL-AC конкретний POP, використовуючи прийшли імена або імена сервісів.

Приклад PADO-пакета:

Frame 2 (60 bytes on wire, 60 bytes captured) Ethernet II, Src: 00:0e:40:7b:f3:8a, Dst: 00:50:da:42:d7:df PPP-over-Ethernet Discovery

Version: 1
Type 1
Code Active Discovery Offer (PADO)
Session ID: 0000 Payload Length: 36

PPPoE Tags

Tag: Service-Name
Tag: AC-Name
String Data: IpzbrOOl
Tag: Host-Uniq
Binary Data: (16 bytes)

AC-Name — String Data представляє строкове AC ім'я, в даному випадку «Ipzbr001» (Arcor DSL-AC в Лейпцигу).
Src. представляє MAC-адресу DSL-AC.
MAC-адреса DSL-AC також ідентифікує виробника DSL-AC (у цьому випадку, Nortel Networks).

PADR[ред.ред. код]

PADR розшифровується як PPPoE Active Discovery Request.

Як сказано вище, призначена для користувача машина повинна вибрати POP (точку доступу) - це робиться за допомогою PADR-пакета, який надсилається на MAC-адресу вибраного DSL-AC.

PADS[ред.ред. код]

PADS — PPPoE Active Discovery Session-confirmation.

PADR-пакет підтверджується концентратором пересиланням PADS-пакета, у ньому ж приходить Session ID. З'єднання з DSL-AC для цієї точки доступу тепер повністю встановлено.

PADT[ред.ред. код]

PADT — PPPoE Active Discovery Termination.

Цей пакет обриває з'єднання з POP. Він може бути посланий або з боку користувача, або з боку DSL-AC.

Переваги схеми[ред.ред. код]

  • IP-заголовки в Ethernet середовища ігноруються. Тобто користувач може призначити IP-адресу своєї мережевої карти, але це не приведе до «обвалу» мережі (теоретично, при роботі з мережевим концентратором не повинно відбутися «обвалу» і при зміні користувачем MAC-адреси навіть на адресу сервера, а під час роботи з мережевим комутатором все залежить від конструкції комутатора).
  • Кожне з'єднання відокремлено від інших (працює у своєму каналі).
  • Установки (IP-адреса, адреса шлюзу , адреси DNS серверів) можуть передаватися сервером.
  • PPP з'єднання легко автентифіковані і обраховується (наприклад, за допомогою RADIUS ).
  • PPP з'єднання можна шифрувати. Наприклад, при роботі з мережевим концентратором (коли на кожній мережевої карти може бути видно весь Ethernet-трафік) прочитати чужий IP-трафік досить важко.

Перехоплення PPPoE сесії[ред.ред. код]

При цьому не відбувається перехоплення логіна або пароля і не має значення використовуваний тип авторизації (CHAP / PAP).

Більшість ethernet-провайдерів, на жаль не використовують шифрування всієї сесії, обмежуючись тільки шифруванням етапу авторизації. Це дозволяє представитися легітимним клієнтом, перехопивши реквізити існуючого підключення. Умовно процес підключення виглядає так:

Статус Файл:Перехват сесії.png[ред.ред. код]

Дякуємо за те, що ви завантажили на сервер Вікіпедії файл Файл:Перехват сесії.png. Однак на сторінці опису файлу немає супровідної інформації щодо джерела, авторства та ліцензії або ця інформація неповна чи недостовірна. Якщо ви не є автором даного файлу, ви повинні якимось чином обґрунтувати свої права завантажувати його у Вікіпедію. Також у цьому випадку необхідно вказати джерело файлу, тобто дати посилання на сайт (або інше джерело), з якого ви взяли цей файл, а також умови використання файлів із вказаного сайту.

На сторінці опису файлу завжди вказуйте шаблон з ліцензією, під якою опубліковано цю роботу. Якщо ви є його автором, ви можете використати шаблон {{GFDL-self}} для того, щоб ліцензувати файл під GFDL або {{PD-self}}. Щоб довідатись про те, які ще існують шаблони з ліцензіями, дивіться статтю Вікіпедія:Шаблони:Авторські права або Короткий довідник.

Якщо ви завантажили й інші файли, будь ласка, перевірте, скориставшись цим сервісом, чи зазначено на їхніх сторінках опису джерело, а також шаблон з ліцензією. Якщо статус завантажених вами файлів не з'ясується протягом 7 днів, адміністратори Вікіпедії будуть змушені вилучити завантажений вами файл із сервера.

Дякуємо за розуміння. Клієнт в пошуках pppoe-сервера посилає широкомовна запит, MAC-адресу призначення FF: FF: FF: FF: FF: FF. Сервер відповідає клієнтові і відбувається авторизація (наприклад CHAP Challenge).

У встановленому з'єднанні сервер ідентифікує клієнта по MAC-адресу і Session ID. Пакети IP інкапсулюються всередину кадрів PPPoE. У незашифрованому підключенні весь вміст пакетів може бути переглянутий(Рис.1.).

Відповідно, дізнавшись реквізити підключення, можна перехопити сесію.

Рис.1.

Для захисту від подібних атак існує опція CHAP Rechallenge, коли сервер повторно ідентифікує клієнта із заданим інтервалом часу. Жоден з протестованих провайдерів не використав цю опцію.

Часто використовується віртуальна машина, запущена в режимі моста з ethernet картою хост-системи. Під час перемикання кабелю важливо потрапити між пакетами LCP-echo. Також PPPoE-сервери перекомпільовують з опцією

  1. define DEFAULT_MAX_SESSIONS 64000

Останнім часом дуже популярна стала технологія IPoE. Популярна настільки, що деякі провайдери зважилися впровадити її в існуючу мережу. І адже дійсно, на перший погляд суцільні плюси.

Наведу кілька плюсів: на відміну, від PPPoE, не потрібен дорогий BRAS, не потрібно витрачатися на підмережі зовнішніх адрес, менше навантаження на обладнання, за рахунок відсутності тунелів, немає необхідності переводити внутрішній трафік через BRAS. Плюсів можна знайти багато, але, чомусь, мало хто задумався про мінуси. На дану технологію навіть немає RFC, не кажучи вже про те, що багато дешеве обладнання, що використовується на доступі, не завжди коректно працює з options 82. Найголовніший мінус, на мій погляд - безпека кінцевих користувачів.

Див. також[ред.ред. код]

Примітки[ред.ред. код]

ЛНТУ (Met_Andy)

Посилання[ред.ред. код]

  • RFC 2516 - A Method for Transmitting PPP Over Ethernet (PPPoE)
  • RFC 3817 - Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay for PPP over Ethernet (PPPoE)
  • RFC 4638 - Accommodating a Maximum Transit Unit/Maximum Receive Unit (MTU/MRU) Greater Than 1492 in the Point-to-Point Protocol over Ethernet (PPPoE)
  • Налаштування PPPoE на Cisco