Application | FTP | SMTP | HTTP | … | DNS | … |
Transport | TCP | UDP | ||||
Network | IP | IPv6 | ||||
Network access | PPP | |||||
PPPoE | ||||||
Ethernet |
PPPoE (англ. Point-to-point protocol over Ethernet) — мережевий протокол передачі кадрів PPP через Ethernet. В основному використовується XDSL-сервісами. Надає додаткові можливості (автентифікація, стиснення, шифрування).
PPPoE — тунельний протокол, який дозволяє налаштовувати (або інкапсулювати) IP, або інші протоколи, які нашаровуються на PPP, через з'єднання Ethernet, але з програмними можливостями PPP-з'єднань, і тому використовується для віртуальних «дзвінків» на сусідню Ethernet-машину і встановлює з'єднання точка-точка, яке використовується для транспортування IP-пакетів, що працює з можливостями PPP.
Це дозволяє застосовувати традиційне PPP-орієнтоване ПЗ для налаштування з'єднання, яке використовує не послідовний канал, а пакетно-орієнтовану мережу (як Ethernet), щоб організувати класичне з'єднання з логіном, паролем для Інтернет-з'єднань. Також, IP-адреса по інший бік з'єднання призначається тільки коли PPPoE з'єднання відкрито, дозволяючи динамічне перевикористання IP-адрес.
PPPoE розробили , і . Протокол описано в RFC 2516.
Варто відзначити, що деякі постачальники обладнання (Cisco і [en], наприклад) використовують термін PPPoEoE (PPPoE over Ethernet), що означає PPPoE, що працює безпосередньо через Ethernet або інші IEEE 802.3-мережі, а також PPPoE, що працює через пов'язані в Ethernet (Ethernet bridged over) ATM, для того щоб відрізняти від PPPoEoA (PPPoE over ATM), який працює на ATM virtual circuit за специфікацією RFC 2684 та SNAP і інкапсулює PPPoE. PPPoEoA — це не те ж саме, що (PPPoA), оскільки він не використовує SNAP.
Робота PPPoE здійснюється наступним чином. Існує Ethernet-середовище, тобто кілька з'єднаних мережних карт, які адресуються MAC-адресами . Заголовки Ethernet-кадрів містять адресу відправника кадру, адресу одержувача кадру і тип кадру. Одну з карт слухає . Клієнт посилає широкомовний Ethernet-кадр, на який повинен відповісти PPPoE-сервер (адреса відправника кадру — свою MAC-адресу, адресу одержувача кадру — FF: FF: FF: FF: FF: FF і тип кадру — PPPoE Active Discovery Initiation). PPPoE-сервер посилає клієнту відповідь (адреса відправника кадру — свою MAC-адресу, адресу одержувача кадру — МАС-адресу клієнта і тип кадру — ). Якщо в мережі декілька PPPoE-серверів, то всі вони посилають відповідь. Клієнт вибирає підходящий сервер і посилає йому запит на з'єднання. Сервер посилає клієнту підтвердження з унікальним ідентифікатором сесії, всі наступні кадри у сесії будуть мати цей ідентифікатор. Таким чином, між сервером і клієнтом створюється віртуальний канал, який ідентифікується ідентифікатором сесії і MAC-адресами клієнта і сервера. Потім у цьому каналі піднімається PPP-з'єднання, а вже в PPP-пакети упаковується IP-трафік.
Для чого необхідно встановлювати на свій комп'ютер даний протокол?
Оскільки протокол PPPoE є аналогом комутованого з'єднання, то для його організації потрібно всього одна IP-адреса, яка доступна з мережі Інтернет тільки під час встановленого з'єднання, що в сукупності значно зменшує витрати на утримання постійного підключення до мережі.
Технологія використання стека PPP у мережі Ethernet є відносно новою, але вже отримала достатнє поширення. На даний момент вона визначається документом RFC 2516, який був розроблений і випущений в лютому 1999 року. Однак цей документ не є стандартом і носить поки інформативний характер. Родоначальниками розробки цього документа з'явилися компанії RedBack Networks, RouterWare, UUNET та інші. Таким чином, «усвідомлений вік» цієї технології вельми невеликий. Її використання надає провайдерам Інтернет-послуг нові можливості в організації та облік доступу користувачів до мережі. Це особливо актуально для тих провайдерів, які планують або вже пропонують своїм користувачам доступ до Інтернету за допомогою мережі Ethernet, наприклад, в сучасних житлових комплексах, де кабельна розводка витою парою вже не є нововведенням.
Заслуговує особливої уваги той факт, що для налаштування маршрутизатора провайдера, встановлення концентратора в під'їзді житлового будинку, мережної карти і невеликого програмного забезпечення в комп'ютер користувача не потрібен модем, немає необхідності займати єдину телефонну лінію, так як провайдер послуг тепер може організовувати, обмежувати доступ і облік трафіку користувачів таким чином, ніби користувач працює за звичайним модемним каналом. Така реалізація стала можливою завдяки технології PPPoE, яка запускає сесію PPP, але не поверх модемного з'єднання, а поверх мережі Ethernet.
При цьому буде підтримуватися аутентифікація користувачів за протоколами PAP і CHAP, динамічне виділення IP-адрес користувачам, призначення адреси шлюзу, DNS-сервера і т. д.
Технологія PPPoE на даний момент є однією з найдешевших при наданні користувачам доступу до послуг Інтернет в житлових комплексах на базі Ethernet і при використанні технології DSL. На відміну від VPN, PPPoE зараз є індустріальним стандартом для широкосмугових інтернет-підключень, що значно спрощує підключення і вирішує багато проблем.
PPPoE має такі переваги
- усувається проблема працездатності VPN-через-VPN, що виникала у тих, хто використовує VPN для віддаленої роботи.
- усувається проблема зв'язності окремих ділянок районної мережі (наприклад, доступ з адрес 10.20.xx на адреси 10.20.xx)
- усувається проблема зв'язності локальних і реальних IP-адрес (наприклад, доступ з адрес 10.xxx на адреси 81.9.xx)
- усувається проблема доступності ресурсів пірингової мережі з деяких локальних адрес, пов'язана з тим, що ці локальні адреси вже використовуються в інших пірингових мережах
- усувається проблема зі швидкістю доступу в інтернет, що виникала у деяких користувачів.
- усувається проблема конфліктів IP-адрес, що виникає через помилки користувачів і дії шкідливих програм. Ви більше ніколи не зіштовхнетеся з ситуацією, коли з'являється вікно «IP-адреса вже використовується» і мережа перестає працювати. Мережа могла переставати працювати по тій же причині навіть без появи цього вікна.
- зникає потреба в налагодженні маршрутів для одночасної роботи в інтернеті і з локальними ресурсами.
- з'являється можливість використовувати маршрутизатори (роутери) будь-яких моделей, а не тільки рідкісні моделі, що підтримують VPN.
- з'являється можливість доступу в інтернет з самих різних пристроїв — ігрових приставок, смартфонів і т. д. — безпосередньо, якщо пристрій підтримує PPPoE, або через будь-який маршрутизатор, якщо не підтримує.
- з'являється можливість використання шлюзів IP-телефонії.
- при використанні маршрутизатора, доступний не тільки інтернет, але і локальні ресурси — незалежно від його моделі і налаштувань.
- значно спрощується настройка доступу — більше не потрібно задавати будь-які адреси. Нове з'єднання має тільки два параметри — номер договору та пароль.
- зростає безпека: тепер Вам не загрожують жодні «атаки» через локальну мережу.
Зміна VPN на PPPoE виконується в чотири кроки
- Відключення маршрутів локальної мережі.
- Видалення VPN-з'єднання.
- Для налаштування PPPoE «з нуля» необхідно тільки наступне:
- Відключення протоколу TCP / IP на мережної карти (це необхідно для захисту від конфліктів IP-адрес і атак)
- Створення PPPoE-з'єднання з тим же номером договору та паролем, що були і на VPN.
Так як принципом роботи PPPoE є встановлення з'єднання «точка-точка» поверх загального середовища Ethernet, то процес функціонування PPPoE повинен бути розділений на дві стадії. У першій стадії два пристрої повинні повідомити один одному свої адреси і встановити початкове з'єднання, а в другій стадії запустити сесію PPP.
Стадія встановлення з'єднання
Стадія встановлення з'єднання між клієнтом (комп'ютером користувача) і сервером (концентратором доступу провайдера) ділиться на кілька етапів. На першому етапі клієнт посилає широкомовний запит (адреса призначення — broadcast address) (PADI PPPoE Active Discovery Initiation) на пошук сервера зі службою PPPoE. Цей запит отримують всі користувачі мережі, але відповість на нього тільки той, у кого є підтримка служби PPPoE. Відповідний пакет від концентратора доступу (PADO PPPoE Active Discovery Offer) надсилається у відповідь клієнту, але якщо в мережі є багато пристроїв зі службою PPPoE, то клієнт отримає багато пакетів PADO. В цьому випадку програмне забезпечення клієнта вибирає необхідний йому концентратор доступу і посилає йому пакет (PADR PPPoE Active Discovery Request) з інформацією про необхідну службу (необхідний клас обслуговування залежить від послуг провайдера), ім'я провайдера і т. д. Після отримання запиту концентратор доступу готується до початку PPP-сесії і посилає клієнтові пакет PADS (PPPoE Active Discovery Session-confirmation). Якщо всі опитувані клієнтом служби доступні (до складу цього пакету входить унікальний номер сесії, присвоєний концентратором), то починається другий етап — стадія встановленої сесії. Якщо необхідні клієнту послуги не можуть бути надані, клієнт отримує пакет PADS із зазначенням помилки в запиті послуги.
Стадія встановленої сесії
Сесія починається з використанням пакетів PPP. При встановленні PPP-сесії користувач може бути аутентифікований за допомогою RADIUS, і його трафік буде враховуватися як при звичайному модемному доступі. Йому можна призначити динамічну IP-адресу з пулу адрес концентратора, встановити налаштування шлюзу і DNS-сервера. При цьому на концентраторі доступу клієнту відповідно ставиться віртуальний інтерфейс. Бажано, щоб концентратор доступу посилав періодичні запити клієнту для визначення його стану. Ця операція необхідна для того, щоб клієнт, який з якоїсь причини не закінчив сесію коректним чином, не вважався існуючим і для нього не резервувалися ресурси концентратора доступу. Завершення з'єднання PPPoE відбувається з ініціативи клієнта, або концентратора доступу за допомогою посилки пакета PADT (PPPoE Active Discovery Terminate).
У протоколі PPPoE передбачені деякі додаткові функції, наприклад, такі як захист від DoS атак (Denial of Service). Захист від деяких типів DoS-атак реалізований шляхом додавання в пакети PADI спеціального поля AC-Cookie, яке дозволяє концентратору доступу обмежувати кількість одночасних сесій PPPoE на одного клієнта.
Тестування продуктів з технологій PPPoE 01.04.01
У тестовій лабораторії INLINE Technologies було проведено тестування продуктів різних виробників, що використовують технологію PPPoE. Для цього концентраторами доступу слугувало таке обладнання:
- Cisco 7206;
- Cisco 3640;
- Cisco 2620;
- концентратор доступу US Robotics Total Control.
- Розглянемо конфігурацію маршрутизатора Cisco 2620 для використання служби PPPoE:
Для настройки маршрутизатора з функцією PPPoE необхідно мати правильне програмне забезпечення. В нашому випадку це Cisco IOS версії 12.1.2T опція IP PLUS:
boot system flash c2600-is-mz.121-2.T.bin
- Стандартні налаштування для сервера RADIUS для аутентифікації, авторизації та обліку роботи користувачів:
aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
- Дозвіл функціонування маршрутизатора з функцією віртуальних приватних мереж:
vpdn enable
no vpdn logging
- Створення VPDN групи для прийому з'єднань типу PPPoE і використання для них «заготовки» virtual-template 1:
vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
- Дозвіл прийому з'єднань PPPoE на інтерфейсі FastEthernet0 / 0:
interface FastEthernet0 / 0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
pppoe enable
Створення заготовки Virtual-Template 1, в якій адресу клієнта виділяється динамічно з пулу адрес під назвою TEST, використовується аутентифікація користувачів за протоколами PAP і CHAP, так як для користувачів використовуються приватні адреси, маршрутизатор налаштований з використанням функції трансляції адрес NAT:
interface Virtual-Template1
ip address 192.168.100.1 255.255.255.0
ip nat inside
peer default ip address pool TEST
ppp authentication chap pap callin
Команди глобального режиму конфігурації для створення пулу адрес «TEST» та використання функції NAT overload на інтерфейсі Serial0 / 0 для адрес з access-list 1:
ip local pool TEST 192.168.100.2 192.168.100.254
ip nat inside source list 1 interface Serial0 / 0 overload
access-list 1 permit 192.168.100.0 0.0.0.255
ip route 0.0.0.0 0.0.0.0 195.195.195.1
- Команди глобального режиму конфігурації для призначення RADIUS-сервера:
radius-server host 192.168.1.2 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server key test
При такій конфігурації маршрутизатора користувачі, підключені до мережі Ethernet, не можуть працювати з доступом в Інтернет, не використовуючи технологію PPPoE і не пройшовши аутентифікацію в сервері RADIUS, тому що функція NAT буде реалізована тільки для адрес користувачів служби PPPoE.
- Наведена конфігурація маршрутизатора тестуєтьсяся з наступним програмним забезпеченням:
EtherNet 300, розробленим компанією Efficient Network, 30 днів безкоштовно, вартість 29 $, (http://www.nts.com/ [ 14 березня 2012 у Wayback Machine.]). Встановлено на Windows NT 4.0.
POETRI, 30 днів безкоштовно. Встановлено на Windows 95 і Windows NT 4.0 PPPoE-клієнт для Linux. (Http://www.brightdsl.net/ [ 11 вересня 2017 у Wayback Machine.]). Встановлено на Red Hat 7.0.
Як білінгової системи була використана система «Білл-Майстер».
Крім тестування взаємодії програмного забезпечення персональних комп'ютерів з обладнанням концентратора доступу клієнтів, було протестовано застосування технології PPPoE спільно з обладнанням доступу ADSL. Таке застосування PPPoE дозволяє настроїти ADSL-модем/ADSL-маршрутизатор клієнта (необхідно вказати ім'я користувача, пароль і т. д.) і автентифікувати на концентраторі доступу через білінгову систему RADIUS. При цьому трафік користувачів всієї локальної мережі організації буде врахований як загальний, але в такій конфігурації на комп'ютерах користувачів не потрібно мати програмне забезпечення PPPoE-клієнтів, так як його роль виконує ADSL-обладнання (ADSL-Модем/ADSL-Маршрутізатор Telindus 1120).
У мережі Інтернет крім протестованого, можна знайти інше програмне забезпечення PPPoE-клієнта для різних операційних систем, наприклад, таких як Mac, BeOS. Також можна знайти програмне забезпечення для написання свого специфічного клієнта під певні послуги будь-якого провайдера.
Інструкції з налаштування
- Інструкція з встановлення і налаштування PPPoE-з'єднання для абонентів ADSL
- Встановити з'єднання PPPoE, використовуючи ADSL-модем, можна наступними способами:
- Видалити LAN (якщо було встановлено) і встановити WAN-драйвер USB ADSL-модем. Додатково встановлювати драйвер клієнта PPPoE не потрібно. Для з'єднання з локальною мережею та Інтернетом використовується автоматично створюється з'єднання віддаленого доступу «GlobanSpanVirata Dialup PPP Connections». Для з'єднання з локальною мережею та Інтернетом необхідно ввести ім'я користувача і пароль.
- Налаштувати Ethernet ADSL-модем (наприклад, D-Link DSL 300T) на автоматичне з'єднання по PPPoE. Налаштувати мережну карту комп'ютера, підключеного до Ethernet ADSL-модему. З'єднання з локальною мережею та Інтернетом буде проводитися автоматично при включенні комп'ютера.
- Використовувати вже встановлений LAN драйвер USB ADSL-модем. Встановити і налаштувати драйвер клієнта PPPoE аналогічно звичайному Ethernet-підключенню або використовувати вбудовані в Windows XP можливості відповідно до інструкції. Для підключення до локальної мережі та Інтернету необхідно використовувати автоматично створене з'єднання PPPoE. Для з'єднання з локальною мережею та Інтернетом необхідно ввести ім'я користувача і пароль.
- УВАГА!
1.Використовувати потрібно тільки один з наведених вище способів.
2.Для власників операційної системи Windows XP рекомендуємо скористатися третім способом.
Інструкція по установці і настройці PPPoE-з'єднання для абонентів ETHERNET (широкосмугового доступу)
- Інструкція по установці клієнта РРРоЕ та налаштування з'єднання (для підготовлених користувачів)
- на прикладі Windows 98, Millennium:
1.Звантажте в папку (наприклад) «c:\pppoe» zip-архів РРРоЕ-клієнта за посиланням;
2.Розпакуйте архів в цю ж папку;
3.Якщо у вас встановлений «Віддалений доступ до мережі» то перейдіть до пункту 5;
4.«Мій комп'ютер» — «Панель управління» — «Установка та видалення програм» — «Установка Windows» — «Зв'язок» — «Склад» — «Віддалений доступ до мережі» — «Ок» — Перезавантаження;
5.Правою кнопкою миші клацніть на «мережному оточенні» — оберіть «Властивості» — «Додати» — «Протокол» — «Додати» — «Встановити з диска» — «Обзор» — виберіть папку «c: \ pppoe» — «Ок» — «PPP over Ethernet Protocol (Windows 98/Me)» — «Ок» — «Ок» — Перезавантаження;
6.Натисніть «Пуск» — «Виконати» — «raspppoe» — «Ок» — Оберіть потрібний мережний адаптер — Натисніть «Query Available Services» — Обрати в списку доступних серверів авторизації той сервер, який відповідає назві вашого міста — Натисніть «Create a Dial-Up Connection for the selected Adapter» — «Exit»;
7.Двічі клацніть на нову іконку з'єднання на робочому столі — введіть логін, введіть пароль — «підключитися».
- на прикладі Windows 2000
1.Звантажте в папку (наприклад, «c:\pppoe») zip-архів РРРоЕ-клієнта за посиланням;
2.Розпакуйте архів в цю ж папку;
3. Натисніть «Пуск» — «Налаштування» — «Мережа і віддалений доступ до мережі» — «Підключення по локальній мережі» — оберіть «Властивості» — «Встановити» — «Протокол» — «Додати» — «Встановити з диска» — «Огляд» — виберіть папку «c:\pppoe» — «Ок» — Оберіть будь-який inf-файл — «Ок» — «PPP over Ethernet Protocol» — «Ок» — копіювання файлів, при повідомленні «Цифровий підпис не знайдено» натискайте «Так» — закрийте вікно «Підключення по локальній мережі — властивості»;
4.Натисніть «Пуск» — «Виконати» — «raspppoe» — «Ок» — Виберіть потрібний мережний адаптер — «Query Available Services» — Вибрати в списку доступних серверів авторизації той сервер, який відповідає назві вашого міста — Натисніть «Create a Dial-Up Connection for the selected Adapter» — «Exit»;
5.Двічі клацніть на нову іконку з'єднання на робочому столі — введіть логін, введіть пароль — «підключитися».
- на прикладі Windows XP
1.Натисніть «Пуск» — «Панель управління» — «Мережні підключення» — «Файл» — «Нове підключення» — «Далі» — «Підключити до Інтернету» — «Далі» — «Встановити підключення вручну» — «Далі» — «Через високошвидкісне підключення, запитуюча ім'я користувача та пароль» — «Далі» — у полі введіть ім'я підключення, наприклад «Інфолайн РРРоЕ» — «Далі» — введіть логін у поле «Ім'я користувача» — введіть пароль в полях «Пароль» і «Підтвердження» — «Далі» — «Додати ярлик підключення на робочий стіл» — «Готово»;
2.Двічі клацніть на нову іконку з'єднання на робочому столі — натисніть «Підключення».
Як було сказано на початку, PPPoE є новою технологією, і час її широкого застосування ще не настав. Попри це, вже зараз видно зацікавленість великих операторів зв'язку та послуг Інтернет (France Telecom, Prodigy) в використанні цієї технології спільно з технологією DSL.
PPPoE Discovery (PPPoED)
PADI
PADI — PPPoE Active Discovery Initiation.
Якщо користувач хоче підключитися до інтернету по DSL, спочатку його машина повинна виявити концентратор доступу (DSL access concentrator або DSL-AC) на стороні провайдера ( (POP)). Взаємодія через Ethernet можливо тільки через MAC-адреси. Якщо комп'ютер не знає MAC-адреси DSL-AC, він посилає PADI-пакет через Ethernet Broadcast (MAC: ff: ff: ff: ff: ff: ff) Цей PADI-пакет містить МАС-адресу машини, що його послала.
Приклад PADI-пакета:
Frame 1 (44 bytes on wire, 44 bytes captured) Ethernet II, Src: 00:50:da:42:d7:df, Dst: ff:ff:ff:ff:ff:ff PPP-over-Ethernet Discovery : Version: 1 : Type 1 : Code Active Discovery Initiation (PADI) : Session ID: 0000 : Payload Length: 24 PPPoE Tags : Tag: Service-Name : Tag: Host-Uniq : Binary Data: (16 bytes)
Src. (=source) представляє MAC-адресу машини, послала PADI.
Dst. (=destination) є широкомовною Ethernet-адресою.
PADI-пакет може бути отриманий більш ніж одним DSL-AC.
PADO
PADO — PPPoE Active Discovery Offer.
Як тільки користувальницька машина відіслала PADI-пакет, відповідає посилаючи PADO-пакет, використовуючи MAC-адреси, які прийшли з PADI. PADO-пакет містить MAC-адреси DSL-AC, їх імена (наприклад LEIX11-erx для концентратора T-Com DSL-AC в Лейпцигу) і ім'я сервісу. Якщо ж більше однієї точки DSL-AC відповіло PADO-пакетом, призначена для користувача машина вибирає DSL-AC конкретний POP, використовуючи прийшли імена або імена сервісів.
Приклад PADO-пакета:
Frame 2 (60 bytes on wire, 60 bytes captured) Ethernet II, Src: 00:0e:40:7b:f3:8a, Dst: 00:50:da:42:d7:df PPP-over-Ethernet Discovery : Version: 1 : Type 1 : Code Active Discovery Offer (PADO) : Session ID: 0000 Payload Length: 36 PPPoE Tags : Tag: Service-Name : Tag: AC-Name : String Data: IpzbrOOl : Tag: Host-Uniq : Binary Data: (16 bytes)
AC-Name — String Data представляє строкове AC-ім'я, в даному випадку «Ipzbr001» (Arcor DSL-AC в Лейпцигу).
Src. представляє MAC-адресу DSL-AC.
MAC-адреса DSL-AC також ідентифікує виробника DSL-AC (у цьому випадку Nortel Networks).
PADR
PADR розшифровується як PPPoE Active Discovery Request.
Як сказано вище, призначена для користувача машина повинна вибрати POP (точку доступу) — це робиться за допомогою PADR-пакета, який надсилається на MAC-адресу вибраного DSL-AC.
PADS
PADS — PPPoE Active Discovery Session-confirmation.
PADR-пакет підтверджується концентратором пересиланням PADS-пакета, у ньому ж приходить Session ID. З'єднання з DSL-AC для цієї точки доступу завершено.
PADT
PADT — PPPoE Active Discovery Termination.
Цей пакет обриває з'єднання з POP. Він може бути посланий або з боку користувача, або з боку DSL-AC.
Переваги схеми
- IP-заголовки в Ethernet середовища ігноруються. Тобто користувач може призначити IP-адресу своєї мережної карти, але це не приведе до «обвалу» мережі (теоретично при роботі з мережним концентратором не повинно відбутися «обвалу» і при зміні користувачем MAC-адреси навіть на адресу сервера, а під час роботи з мережевим комутатором все залежить від конструкції комутатора).
- Кожне з'єднання відокремлено від інших (працює у своєму каналі).
- Установки (IP-адреса, адреса шлюзу, адреси DNS-серверів) можуть передаватися сервером.
- PPP з'єднання легко автентифіковані і обраховується (наприклад, за допомогою RADIUS).
- PPP з'єднання можна шифрувати. Наприклад, при роботі з мережним концентратором (коли на кожній мережної карти може бути видно весь Ethernet-трафік) прочитати чужий IP-трафік досить важко.
Перехоплення PPPoE-сесії
При цьому не відбувається перехоплення логіна або пароля і не має значення використовуваний тип авторизації (CHAP / PAP).
Більшість ethernet-провайдерів, на жаль не використовують шифрування всієї сесії, обмежуючись тільки шифруванням етапу авторизації. Це дозволяє представитися легітимним клієнтом, перехопивши реквізити існуючого підключення. Умовно процес підключення виглядає так:
Дякуємо за розуміння. Клієнт в пошуках pppoe-сервера посилає широкомовна запит, MAC-адресу призначення FF: FF: FF: FF: FF: FF. Сервер відповідає клієнтові і відбувається авторизація (наприклад CHAP Challenge).
У встановленому з'єднанні сервер ідентифікує клієнта за MAC-адресою і Session ID. Пакети IP інкапсулюються всередину кадрів PPPoE. У незашифрованому підключенні весь вміст пакетів може бути переглянуто (Рис.1.).
Відповідно, дізнавшись реквізити підключення, можна перехопити сесію.
Для захисту від подібних атак існує опція CHAP Rechallenge, коли сервер повторно ідентифікує клієнта із заданим інтервалом часу. Жоден з протестованих провайдерів не використав цю опцію.
Часто використовується віртуальна машина, запущена в режимі моста з ethernet-картою хост-системи. Під час перемикання кабелю важливо потрапити між пакетами LCP-echo. Також PPPoE-сервери перекомпільовують з опцією
- define DEFAULT_MAX_SESSIONS 64000
Останнім часом дуже популярною стала технологія IPoE. Популярна настільки, що деякі провайдери зважилися впровадити її в існуючу мережу. На перший погляд суцільні плюси.
Наведу кілька плюсів: на відміну, від PPPoE, не потрібен дорогий BRAS, не потрібно витрачатися на підмережі зовнішніх адрес, менше навантаження на обладнання, за рахунок відсутності тунелів, немає необхідності переводити внутрішній трафік через BRAS. Плюсів можна знайти багато, але чомусь мало хто задумався про мінуси. На дану технологію навіть немає RFC, не кажучи вже про те, що значно дешевше обладнання, що використовується на доступі, не завжди коректно працює з options 82. Найголовніший мінус, на мій погляд — безпека кінцевих користувачів.
Див. також
Примітки
(Met_Andy)
Посилання
- http://www.bill-master.ru/knowledge/misc/technology/item/pppoe.php?PAGEN_1=2# [ 4 березня 2016 у Wayback Machine.]
- RFC 2516 — A Method for Transmitting PPP Over Ethernet (PPPoE)
- RFC 3817 — Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay for PPP over Ethernet (PPPoE)
- RFC 4638 — Accommodating a Maximum Transit Unit/Maximum Receive Unit (MTU/MRU) Greater Than 1492 in the Point-to-Point Protocol over Ethernet (PPPoE)
Це незавершена стаття з технології. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
PPPoE i TCP IP Application FTP SMTP HTTP DNS Transport TCP UDPNetwork IP IPv6Network access PPPPPPoEEthernet PPPoE angl Point to point protocol over Ethernet merezhevij protokol peredachi kadriv PPP cherez Ethernet V osnovnomu vikoristovuyetsya XDSL servisami Nadaye dodatkovi mozhlivosti avtentifikaciya stisnennya shifruvannya PPPoE tunelnij protokol yakij dozvolyaye nalashtovuvati abo inkapsulyuvati IP abo inshi protokoli yaki nasharovuyutsya na PPP cherez z yednannya Ethernet ale z programnimi mozhlivostyami PPP z yednan i tomu vikoristovuyetsya dlya virtualnih dzvinkiv na susidnyu Ethernet mashinu i vstanovlyuye z yednannya tochka tochka yake vikoristovuyetsya dlya transportuvannya IP paketiv sho pracyuye z mozhlivostyami PPP Ce dozvolyaye zastosovuvati tradicijne PPP oriyentovane PZ dlya nalashtuvannya z yednannya yake vikoristovuye ne poslidovnij kanal a paketno oriyentovanu merezhu yak Ethernet shob organizuvati klasichne z yednannya z loginom parolem dlya Internet z yednan Takozh IP adresa po inshij bik z yednannya priznachayetsya tilki koli PPPoE z yednannya vidkrito dozvolyayuchi dinamichne perevikoristannya IP adres PPPoE rozrobili i Protokol opisano v RFC 2516 Varto vidznachiti sho deyaki postachalniki obladnannya Cisco i en napriklad vikoristovuyut termin PPPoEoE PPPoE over Ethernet sho oznachaye PPPoE sho pracyuye bezposeredno cherez Ethernet abo inshi IEEE 802 3 merezhi a takozh PPPoE sho pracyuye cherez pov yazani v Ethernet Ethernet bridged over ATM dlya togo shob vidriznyati vid PPPoEoA PPPoE over ATM yakij pracyuye na ATM virtual circuit za specifikaciyeyu RFC 2684 ta SNAP i inkapsulyuye PPPoE PPPoEoA ce ne te zh same sho PPPoA oskilki vin ne vikoristovuye SNAP Robota PPPoE zdijsnyuyetsya nastupnim chinom Isnuye Ethernet seredovishe tobto kilka z yednanih merezhnih kart yaki adresuyutsya MAC adresami Zagolovki Ethernet kadriv mistyat adresu vidpravnika kadru adresu oderzhuvacha kadru i tip kadru Odnu z kart sluhaye Kliyent posilaye shirokomovnij Ethernet kadr na yakij povinen vidpovisti PPPoE server adresa vidpravnika kadru svoyu MAC adresu adresu oderzhuvacha kadru FF FF FF FF FF FF i tip kadru PPPoE Active Discovery Initiation PPPoE server posilaye kliyentu vidpovid adresa vidpravnika kadru svoyu MAC adresu adresu oderzhuvacha kadru MAS adresu kliyenta i tip kadru Yaksho v merezhi dekilka PPPoE serveriv to vsi voni posilayut vidpovid Kliyent vibiraye pidhodyashij server i posilaye jomu zapit na z yednannya Server posilaye kliyentu pidtverdzhennya z unikalnim identifikatorom sesiyi vsi nastupni kadri u sesiyi budut mati cej identifikator Takim chinom mizh serverom i kliyentom stvoryuyetsya virtualnij kanal yakij identifikuyetsya identifikatorom sesiyi i MAC adresami kliyenta i servera Potim u comu kanali pidnimayetsya PPP z yednannya a vzhe v PPP paketi upakovuyetsya IP trafik Dlya chogo neobhidno vstanovlyuvati na svij komp yuter danij protokol Oskilki protokol PPPoE ye analogom komutovanogo z yednannya to dlya jogo organizaciyi potribno vsogo odna IP adresa yaka dostupna z merezhi Internet tilki pid chas vstanovlenogo z yednannya sho v sukupnosti znachno zmenshuye vitrati na utrimannya postijnogo pidklyuchennya do merezhi Tehnologiya vikoristannya steka PPP u merezhi Ethernet ye vidnosno novoyu ale vzhe otrimala dostatnye poshirennya Na danij moment vona viznachayetsya dokumentom RFC 2516 yakij buv rozroblenij i vipushenij v lyutomu 1999 roku Odnak cej dokument ne ye standartom i nosit poki informativnij harakter Rodonachalnikami rozrobki cogo dokumenta z yavilisya kompaniyi RedBack Networks RouterWare UUNET ta inshi Takim chinom usvidomlenij vik ciyeyi tehnologiyi velmi nevelikij Yiyi vikoristannya nadaye provajderam Internet poslug novi mozhlivosti v organizaciyi ta oblik dostupu koristuvachiv do merezhi Ce osoblivo aktualno dlya tih provajderiv yaki planuyut abo vzhe proponuyut svoyim koristuvacham dostup do Internetu za dopomogoyu merezhi Ethernet napriklad v suchasnih zhitlovih kompleksah de kabelna rozvodka vitoyu paroyu vzhe ne ye novovvedennyam Zaslugovuye osoblivoyi uvagi toj fakt sho dlya nalashtuvannya marshrutizatora provajdera vstanovlennya koncentratora v pid yizdi zhitlovogo budinku merezhnoyi karti i nevelikogo programnogo zabezpechennya v komp yuter koristuvacha ne potriben modem nemaye neobhidnosti zajmati yedinu telefonnu liniyu tak yak provajder poslug teper mozhe organizovuvati obmezhuvati dostup i oblik trafiku koristuvachiv takim chinom nibi koristuvach pracyuye za zvichajnim modemnim kanalom Taka realizaciya stala mozhlivoyu zavdyaki tehnologiyi PPPoE yaka zapuskaye sesiyu PPP ale ne poverh modemnogo z yednannya a poverh merezhi Ethernet Pri comu bude pidtrimuvatisya autentifikaciya koristuvachiv za protokolami PAP i CHAP dinamichne vidilennya IP adres koristuvacham priznachennya adresi shlyuzu DNS servera i t d Tehnologiya PPPoE na danij moment ye odniyeyu z najdeshevshih pri nadanni koristuvacham dostupu do poslug Internet v zhitlovih kompleksah na bazi Ethernet i pri vikoristanni tehnologiyi DSL Na vidminu vid VPN PPPoE zaraz ye industrialnim standartom dlya shirokosmugovih internet pidklyuchen sho znachno sproshuye pidklyuchennya i virishuye bagato problem PPPoE maye taki perevagiusuvayetsya problema pracezdatnosti VPN cherez VPN sho vinikala u tih hto vikoristovuye VPN dlya viddalenoyi roboti usuvayetsya problema zv yaznosti okremih dilyanok rajonnoyi merezhi napriklad dostup z adres 10 20 xx na adresi 10 20 xx usuvayetsya problema zv yaznosti lokalnih i realnih IP adres napriklad dostup z adres 10 xxx na adresi 81 9 xx usuvayetsya problema dostupnosti resursiv piringovoyi merezhi z deyakih lokalnih adres pov yazana z tim sho ci lokalni adresi vzhe vikoristovuyutsya v inshih piringovih merezhahusuvayetsya problema zi shvidkistyu dostupu v internet sho vinikala u deyakih koristuvachiv usuvayetsya problema konfliktiv IP adres sho vinikaye cherez pomilki koristuvachiv i diyi shkidlivih program Vi bilshe nikoli ne zishtovhnetesya z situaciyeyu koli z yavlyayetsya vikno IP adresa vzhe vikoristovuyetsya i merezha perestaye pracyuvati Merezha mogla perestavati pracyuvati po tij zhe prichini navit bez poyavi cogo vikna znikaye potreba v nalagodzhenni marshrutiv dlya odnochasnoyi roboti v interneti i z lokalnimi resursami z yavlyayetsya mozhlivist vikoristovuvati marshrutizatori routeri bud yakih modelej a ne tilki ridkisni modeli sho pidtrimuyut VPN z yavlyayetsya mozhlivist dostupu v internet z samih riznih pristroyiv igrovih pristavok smartfoniv i t d bezposeredno yaksho pristrij pidtrimuye PPPoE abo cherez bud yakij marshrutizator yaksho ne pidtrimuye z yavlyayetsya mozhlivist vikoristannya shlyuziv IP telefoniyi pri vikoristanni marshrutizatora dostupnij ne tilki internet ale i lokalni resursi nezalezhno vid jogo modeli i nalashtuvan znachno sproshuyetsya nastrojka dostupu bilshe ne potribno zadavati bud yaki adresi Nove z yednannya maye tilki dva parametri nomer dogovoru ta parol zrostaye bezpeka teper Vam ne zagrozhuyut zhodni ataki cherez lokalnu merezhu Zmina VPN na PPPoE vikonuyetsya v chotiri krokiVidklyuchennya marshrutiv lokalnoyi merezhi Vidalennya VPN z yednannya Dlya nalashtuvannya PPPoE z nulya neobhidno tilki nastupne Vidklyuchennya protokolu TCP IP na merezhnoyi karti ce neobhidno dlya zahistu vid konfliktiv IP adres i atak Stvorennya PPPoE z yednannya z tim zhe nomerom dogovoru ta parolem sho buli i na VPN Tak yak principom roboti PPPoE ye vstanovlennya z yednannya tochka tochka poverh zagalnogo seredovisha Ethernet to proces funkcionuvannya PPPoE povinen buti rozdilenij na dvi stadiyi U pershij stadiyi dva pristroyi povinni povidomiti odin odnomu svoyi adresi i vstanoviti pochatkove z yednannya a v drugij stadiyi zapustiti sesiyu PPP Stadiya vstanovlennya z yednannyaStadiya vstanovlennya z yednannya mizh kliyentom komp yuterom koristuvacha i serverom koncentratorom dostupu provajdera dilitsya na kilka etapiv Na pershomu etapi kliyent posilaye shirokomovnij zapit adresa priznachennya broadcast address PADI PPPoE Active Discovery Initiation na poshuk servera zi sluzhboyu PPPoE Cej zapit otrimuyut vsi koristuvachi merezhi ale vidpovist na nogo tilki toj u kogo ye pidtrimka sluzhbi PPPoE Vidpovidnij paket vid koncentratora dostupu PADO PPPoE Active Discovery Offer nadsilayetsya u vidpovid kliyentu ale yaksho v merezhi ye bagato pristroyiv zi sluzhboyu PPPoE to kliyent otrimaye bagato paketiv PADO V comu vipadku programne zabezpechennya kliyenta vibiraye neobhidnij jomu koncentrator dostupu i posilaye jomu paket PADR PPPoE Active Discovery Request z informaciyeyu pro neobhidnu sluzhbu neobhidnij klas obslugovuvannya zalezhit vid poslug provajdera im ya provajdera i t d Pislya otrimannya zapitu koncentrator dostupu gotuyetsya do pochatku PPP sesiyi i posilaye kliyentovi paket PADS PPPoE Active Discovery Session confirmation Yaksho vsi opituvani kliyentom sluzhbi dostupni do skladu cogo paketu vhodit unikalnij nomer sesiyi prisvoyenij koncentratorom to pochinayetsya drugij etap stadiya vstanovlenoyi sesiyi Yaksho neobhidni kliyentu poslugi ne mozhut buti nadani kliyent otrimuye paket PADS iz zaznachennyam pomilki v zapiti poslugi Stadiya vstanovlenoyi sesiyiSesiya pochinayetsya z vikoristannyam paketiv PPP Pri vstanovlenni PPP sesiyi koristuvach mozhe buti autentifikovanij za dopomogoyu RADIUS i jogo trafik bude vrahovuvatisya yak pri zvichajnomu modemnomu dostupi Jomu mozhna priznachiti dinamichnu IP adresu z pulu adres koncentratora vstanoviti nalashtuvannya shlyuzu i DNS servera Pri comu na koncentratori dostupu kliyentu vidpovidno stavitsya virtualnij interfejs Bazhano shob koncentrator dostupu posilav periodichni zapiti kliyentu dlya viznachennya jogo stanu Cya operaciya neobhidna dlya togo shob kliyent yakij z yakoyis prichini ne zakinchiv sesiyu korektnim chinom ne vvazhavsya isnuyuchim i dlya nogo ne rezervuvalisya resursi koncentratora dostupu Zavershennya z yednannya PPPoE vidbuvayetsya z iniciativi kliyenta abo koncentratora dostupu za dopomogoyu posilki paketa PADT PPPoE Active Discovery Terminate U protokoli PPPoE peredbacheni deyaki dodatkovi funkciyi napriklad taki yak zahist vid DoS atak Denial of Service Zahist vid deyakih tipiv DoS atak realizovanij shlyahom dodavannya v paketi PADI specialnogo polya AC Cookie yake dozvolyaye koncentratoru dostupu obmezhuvati kilkist odnochasnih sesij PPPoE na odnogo kliyenta Testuvannya produktiv z tehnologij PPPoE 01 04 01U testovij laboratoriyi INLINE Technologies bulo provedeno testuvannya produktiv riznih virobnikiv sho vikoristovuyut tehnologiyu PPPoE Dlya cogo koncentratorami dostupu sluguvalo take obladnannya Cisco 7206 Cisco 3640 Cisco 2620 koncentrator dostupu US Robotics Total Control Rozglyanemo konfiguraciyu marshrutizatora Cisco 2620 dlya vikoristannya sluzhbi PPPoE Dlya nastrojki marshrutizatora z funkciyeyu PPPoE neobhidno mati pravilne programne zabezpechennya V nashomu vipadku ce Cisco IOS versiyi 12 1 2T opciya IP PLUS boot system flash c2600 is mz 121 2 T bin Standartni nalashtuvannya dlya servera RADIUS dlya autentifikaciyi avtorizaciyi ta obliku roboti koristuvachiv aaa new model aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting network default start stop group radius Dozvil funkcionuvannya marshrutizatora z funkciyeyu virtualnih privatnih merezh vpdn enable no vpdn logging Stvorennya VPDN grupi dlya prijomu z yednan tipu PPPoE i vikoristannya dlya nih zagotovki virtual template 1 vpdn group 1 accept dialin protocol pppoe virtual template 1 Dozvil prijomu z yednan PPPoE na interfejsi FastEthernet0 0 interface FastEthernet0 0 ip address 192 168 0 1 255 255 255 0 duplex auto speed auto pppoe enable Stvorennya zagotovki Virtual Template 1 v yakij adresu kliyenta vidilyayetsya dinamichno z pulu adres pid nazvoyu TEST vikoristovuyetsya autentifikaciya koristuvachiv za protokolami PAP i CHAP tak yak dlya koristuvachiv vikoristovuyutsya privatni adresi marshrutizator nalashtovanij z vikoristannyam funkciyi translyaciyi adres NAT interface Virtual Template1 ip address 192 168 100 1 255 255 255 0 ip nat inside peer default ip address pool TEST ppp authentication chap pap callin Komandi globalnogo rezhimu konfiguraciyi dlya stvorennya pulu adres TEST ta vikoristannya funkciyi NAT overload na interfejsi Serial0 0 dlya adres z access list 1 ip local pool TEST 192 168 100 2 192 168 100 254 ip nat inside source list 1 interface Serial0 0 overload access list 1 permit 192 168 100 0 0 0 0 255 ip route 0 0 0 0 0 0 0 0 195 195 195 1 Komandi globalnogo rezhimu konfiguraciyi dlya priznachennya RADIUS servera radius server host 192 168 1 2 auth port 1645 acct port 1646 radius server retransmit 3 radius server key test Pri takij konfiguraciyi marshrutizatora koristuvachi pidklyucheni do merezhi Ethernet ne mozhut pracyuvati z dostupom v Internet ne vikoristovuyuchi tehnologiyu PPPoE i ne projshovshi autentifikaciyu v serveri RADIUS tomu sho funkciya NAT bude realizovana tilki dlya adres koristuvachiv sluzhbi PPPoE Navedena konfiguraciya marshrutizatora testuyetsyasya z nastupnim programnim zabezpechennyam EtherNet 300 rozroblenim kompaniyeyu Efficient Network 30 dniv bezkoshtovno vartist 29 http www nts com 14 bereznya 2012 u Wayback Machine Vstanovleno na Windows NT 4 0 POETRI 30 dniv bezkoshtovno Vstanovleno na Windows 95 i Windows NT 4 0 PPPoE kliyent dlya Linux Http www brightdsl net 11 veresnya 2017 u Wayback Machine Vstanovleno na Red Hat 7 0 Yak bilingovoyi sistemi bula vikoristana sistema Bill Majster Krim testuvannya vzayemodiyi programnogo zabezpechennya personalnih komp yuteriv z obladnannyam koncentratora dostupu kliyentiv bulo protestovano zastosuvannya tehnologiyi PPPoE spilno z obladnannyam dostupu ADSL Take zastosuvannya PPPoE dozvolyaye nastroyiti ADSL modem ADSL marshrutizator kliyenta neobhidno vkazati im ya koristuvacha parol i t d i avtentifikuvati na koncentratori dostupu cherez bilingovu sistemu RADIUS Pri comu trafik koristuvachiv vsiyeyi lokalnoyi merezhi organizaciyi bude vrahovanij yak zagalnij ale v takij konfiguraciyi na komp yuterah koristuvachiv ne potribno mati programne zabezpechennya PPPoE kliyentiv tak yak jogo rol vikonuye ADSL obladnannya ADSL Modem ADSL Marshrutizator Telindus 1120 U merezhi Internet krim protestovanogo mozhna znajti inshe programne zabezpechennya PPPoE kliyenta dlya riznih operacijnih sistem napriklad takih yak Mac BeOS Takozh mozhna znajti programne zabezpechennya dlya napisannya svogo specifichnogo kliyenta pid pevni poslugi bud yakogo provajdera Instrukciyi z nalashtuvannyaInstrukciya z vstanovlennya i nalashtuvannya PPPoE z yednannya dlya abonentiv ADSLVstanoviti z yednannya PPPoE vikoristovuyuchi ADSL modem mozhna nastupnimi sposobami Vidaliti LAN yaksho bulo vstanovleno i vstanoviti WAN drajver USB ADSL modem Dodatkovo vstanovlyuvati drajver kliyenta PPPoE ne potribno Dlya z yednannya z lokalnoyu merezheyu ta Internetom vikoristovuyetsya avtomatichno stvoryuyetsya z yednannya viddalenogo dostupu GlobanSpanVirata Dialup PPP Connections Dlya z yednannya z lokalnoyu merezheyu ta Internetom neobhidno vvesti im ya koristuvacha i parol Nalashtuvati Ethernet ADSL modem napriklad D Link DSL 300T na avtomatichne z yednannya po PPPoE Nalashtuvati merezhnu kartu komp yutera pidklyuchenogo do Ethernet ADSL modemu Z yednannya z lokalnoyu merezheyu ta Internetom bude provoditisya avtomatichno pri vklyuchenni komp yutera Vikoristovuvati vzhe vstanovlenij LAN drajver USB ADSL modem Vstanoviti i nalashtuvati drajver kliyenta PPPoE analogichno zvichajnomu Ethernet pidklyuchennyu abo vikoristovuvati vbudovani v Windows XP mozhlivosti vidpovidno do instrukciyi Dlya pidklyuchennya do lokalnoyi merezhi ta Internetu neobhidno vikoristovuvati avtomatichno stvorene z yednannya PPPoE Dlya z yednannya z lokalnoyu merezheyu ta Internetom neobhidno vvesti im ya koristuvacha i parol UVAGA 1 Vikoristovuvati potribno tilki odin z navedenih vishe sposobiv 2 Dlya vlasnikiv operacijnoyi sistemi Windows XP rekomenduyemo skoristatisya tretim sposobom Instrukciya po ustanovci i nastrojci PPPoE z yednannya dlya abonentiv ETHERNET shirokosmugovogo dostupu Instrukciya po ustanovci kliyenta RRRoE ta nalashtuvannya z yednannya dlya pidgotovlenih koristuvachiv na prikladi Windows 98 Millennium dd dd 1 Zvantazhte v papku napriklad c pppoe zip arhiv RRRoE kliyenta za posilannyam 2 Rozpakujte arhiv v cyu zh papku 3 Yaksho u vas vstanovlenij Viddalenij dostup do merezhi to perejdit do punktu 5 4 Mij komp yuter Panel upravlinnya Ustanovka ta vidalennya program Ustanovka Windows Zv yazok Sklad Viddalenij dostup do merezhi Ok Perezavantazhennya 5 Pravoyu knopkoyu mishi klacnit na merezhnomu otochenni oberit Vlastivosti Dodati Protokol Dodati Vstanoviti z diska Obzor viberit papku c pppoe Ok PPP over Ethernet Protocol Windows 98 Me Ok Ok Perezavantazhennya 6 Natisnit Pusk Vikonati raspppoe Ok Oberit potribnij merezhnij adapter Natisnit Query Available Services Obrati v spisku dostupnih serveriv avtorizaciyi toj server yakij vidpovidaye nazvi vashogo mista Natisnit Create a Dial Up Connection for the selected Adapter Exit 7 Dvichi klacnit na novu ikonku z yednannya na robochomu stoli vvedit login vvedit parol pidklyuchitisya na prikladi Windows 2000 dd dd 1 Zvantazhte v papku napriklad c pppoe zip arhiv RRRoE kliyenta za posilannyam 2 Rozpakujte arhiv v cyu zh papku 3 Natisnit Pusk Nalashtuvannya Merezha i viddalenij dostup do merezhi Pidklyuchennya po lokalnij merezhi oberit Vlastivosti Vstanoviti Protokol Dodati Vstanoviti z diska Oglyad viberit papku c pppoe Ok Oberit bud yakij inf fajl Ok PPP over Ethernet Protocol Ok kopiyuvannya fajliv pri povidomlenni Cifrovij pidpis ne znajdeno natiskajte Tak zakrijte vikno Pidklyuchennya po lokalnij merezhi vlastivosti 4 Natisnit Pusk Vikonati raspppoe Ok Viberit potribnij merezhnij adapter Query Available Services Vibrati v spisku dostupnih serveriv avtorizaciyi toj server yakij vidpovidaye nazvi vashogo mista Natisnit Create a Dial Up Connection for the selected Adapter Exit 5 Dvichi klacnit na novu ikonku z yednannya na robochomu stoli vvedit login vvedit parol pidklyuchitisya na prikladi Windows XP dd dd 1 Natisnit Pusk Panel upravlinnya Merezhni pidklyuchennya Fajl Nove pidklyuchennya Dali Pidklyuchiti do Internetu Dali Vstanoviti pidklyuchennya vruchnu Dali Cherez visokoshvidkisne pidklyuchennya zapituyucha im ya koristuvacha ta parol Dali u poli vvedit im ya pidklyuchennya napriklad Infolajn RRRoE Dali vvedit login u pole Im ya koristuvacha vvedit parol v polyah Parol i Pidtverdzhennya Dali Dodati yarlik pidklyuchennya na robochij stil Gotovo 2 Dvichi klacnit na novu ikonku z yednannya na robochomu stoli natisnit Pidklyuchennya Yak bulo skazano na pochatku PPPoE ye novoyu tehnologiyeyu i chas yiyi shirokogo zastosuvannya she ne nastav Popri ce vzhe zaraz vidno zacikavlenist velikih operatoriv zv yazku ta poslug Internet France Telecom Prodigy v vikoristanni ciyeyi tehnologiyi spilno z tehnologiyeyu DSL PPPoE Discovery PPPoED PADI PADI PPPoE Active Discovery Initiation Yaksho koristuvach hoche pidklyuchitisya do internetu po DSL spochatku jogo mashina povinna viyaviti koncentrator dostupu DSL access concentrator abo DSL AC na storoni provajdera POP Vzayemodiya cherez Ethernet mozhlivo tilki cherez MAC adresi Yaksho komp yuter ne znaye MAC adresi DSL AC vin posilaye PADI paket cherez Ethernet Broadcast MAC ff ff ff ff ff ff Cej PADI paket mistit MAS adresu mashini sho jogo poslala Priklad PADI paketa Frame 1 44 bytes on wire 44 bytes captured Ethernet II Src 00 50 da 42 d7 df Dst ff ff ff ff ff ff PPP over Ethernet Discovery Version 1 Type 1 Code Active Discovery Initiation PADI Session ID 0000 Payload Length 24 PPPoE Tags Tag Service Name Tag Host Uniq Binary Data 16 bytes Src source predstavlyaye MAC adresu mashini poslala PADI Dst destination ye shirokomovnoyu Ethernet adresoyu PADI paket mozhe buti otrimanij bilsh nizh odnim DSL AC PADO PADO PPPoE Active Discovery Offer Yak tilki koristuvalnicka mashina vidislala PADI paket vidpovidaye posilayuchi PADO paket vikoristovuyuchi MAC adresi yaki prijshli z PADI PADO paket mistit MAC adresi DSL AC yih imena napriklad LEIX11 erx dlya koncentratora T Com DSL AC v Lejpcigu i im ya servisu Yaksho zh bilshe odniyeyi tochki DSL AC vidpovilo PADO paketom priznachena dlya koristuvacha mashina vibiraye DSL AC konkretnij POP vikoristovuyuchi prijshli imena abo imena servisiv Priklad PADO paketa Frame 2 60 bytes on wire 60 bytes captured Ethernet II Src 00 0e 40 7b f3 8a Dst 00 50 da 42 d7 df PPP over Ethernet Discovery Version 1 Type 1 Code Active Discovery Offer PADO Session ID 0000 Payload Length 36 PPPoE Tags Tag Service Name Tag AC Name String Data IpzbrOOl Tag Host Uniq Binary Data 16 bytes AC Name String Data predstavlyaye strokove AC im ya v danomu vipadku Ipzbr001 Arcor DSL AC v Lejpcigu Src predstavlyaye MAC adresu DSL AC MAC adresa DSL AC takozh identifikuye virobnika DSL AC u comu vipadku Nortel Networks PADR PADR rozshifrovuyetsya yak PPPoE Active Discovery Request Yak skazano vishe priznachena dlya koristuvacha mashina povinna vibrati POP tochku dostupu ce robitsya za dopomogoyu PADR paketa yakij nadsilayetsya na MAC adresu vibranogo DSL AC PADS PADS PPPoE Active Discovery Session confirmation PADR paket pidtverdzhuyetsya koncentratorom peresilannyam PADS paketa u nomu zh prihodit Session ID Z yednannya z DSL AC dlya ciyeyi tochki dostupu zaversheno PADT PADT PPPoE Active Discovery Termination Cej paket obrivaye z yednannya z POP Vin mozhe buti poslanij abo z boku koristuvacha abo z boku DSL AC Perevagi shemiIP zagolovki v Ethernet seredovisha ignoruyutsya Tobto koristuvach mozhe priznachiti IP adresu svoyeyi merezhnoyi karti ale ce ne privede do obvalu merezhi teoretichno pri roboti z merezhnim koncentratorom ne povinno vidbutisya obvalu i pri zmini koristuvachem MAC adresi navit na adresu servera a pid chas roboti z merezhevim komutatorom vse zalezhit vid konstrukciyi komutatora Kozhne z yednannya vidokremleno vid inshih pracyuye u svoyemu kanali Ustanovki IP adresa adresa shlyuzu adresi DNS serveriv mozhut peredavatisya serverom PPP z yednannya legko avtentifikovani i obrahovuyetsya napriklad za dopomogoyu RADIUS PPP z yednannya mozhna shifruvati Napriklad pri roboti z merezhnim koncentratorom koli na kozhnij merezhnoyi karti mozhe buti vidno ves Ethernet trafik prochitati chuzhij IP trafik dosit vazhko Perehoplennya PPPoE sesiyiPri comu ne vidbuvayetsya perehoplennya logina abo parolya i ne maye znachennya vikoristovuvanij tip avtorizaciyi CHAP PAP Bilshist ethernet provajderiv na zhal ne vikoristovuyut shifruvannya vsiyeyi sesiyi obmezhuyuchis tilki shifruvannyam etapu avtorizaciyi Ce dozvolyaye predstavitisya legitimnim kliyentom perehopivshi rekviziti isnuyuchogo pidklyuchennya Umovno proces pidklyuchennya viglyadaye tak Dyakuyemo za rozuminnya Kliyent v poshukah pppoe servera posilaye shirokomovna zapit MAC adresu priznachennya FF FF FF FF FF FF Server vidpovidaye kliyentovi i vidbuvayetsya avtorizaciya napriklad CHAP Challenge U vstanovlenomu z yednanni server identifikuye kliyenta za MAC adresoyu i Session ID Paketi IP inkapsulyuyutsya vseredinu kadriv PPPoE U nezashifrovanomu pidklyuchenni ves vmist paketiv mozhe buti pereglyanuto Ris 1 Vidpovidno diznavshis rekviziti pidklyuchennya mozhna perehopiti sesiyu Dlya zahistu vid podibnih atak isnuye opciya CHAP Rechallenge koli server povtorno identifikuye kliyenta iz zadanim intervalom chasu Zhoden z protestovanih provajderiv ne vikoristav cyu opciyu Chasto vikoristovuyetsya virtualna mashina zapushena v rezhimi mosta z ethernet kartoyu host sistemi Pid chas peremikannya kabelyu vazhlivo potrapiti mizh paketami LCP echo Takozh PPPoE serveri perekompilovuyut z opciyeyu define DEFAULT MAX SESSIONS 64000 Ostannim chasom duzhe populyarnoyu stala tehnologiya IPoE Populyarna nastilki sho deyaki provajderi zvazhilisya vprovaditi yiyi v isnuyuchu merezhu Na pershij poglyad sucilni plyusi Navedu kilka plyusiv na vidminu vid PPPoE ne potriben dorogij BRAS ne potribno vitrachatisya na pidmerezhi zovnishnih adres menshe navantazhennya na obladnannya za rahunok vidsutnosti tuneliv nemaye neobhidnosti perevoditi vnutrishnij trafik cherez BRAS Plyusiv mozhna znajti bagato ale chomus malo hto zadumavsya pro minusi Na danu tehnologiyu navit nemaye RFC ne kazhuchi vzhe pro te sho znachno deshevshe obladnannya sho vikoristovuyetsya na dostupi ne zavzhdi korektno pracyuye z options 82 Najgolovnishij minus na mij poglyad bezpeka kincevih koristuvachiv Div takozhPPTP L2TPPrimitki Met Andy Posilannyahttp www bill master ru knowledge misc technology item pppoe php PAGEN 1 2 4 bereznya 2016 u Wayback Machine RFC 2516 A Method for Transmitting PPP Over Ethernet PPPoE RFC 3817 Layer 2 Tunneling Protocol L2TP Active Discovery Relay for PPP over Ethernet PPPoE RFC 4638 Accommodating a Maximum Transit Unit Maximum Receive Unit MTU MRU Greater Than 1492 in the Point to Point Protocol over Ethernet PPPoE Ce nezavershena stattya z tehnologiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi