Bosh sahifa Wiki PPPoE

PPPoE

PPPoEPPP sessiyasini Ethernet tarmog‘i ustida ishlatadigan protokol. Uning to‘liq nomi Point-to-Point Protocol over Ethernet hisoblanadi.

Internet provayderlar PPPoE orqali abonentni autentifikatsiya qiladi, IP manzil beradi, sessionni hisobga oladi va xizmat siyosatini qo‘llaydi.

Ethernet ko‘p qurilmali broadcast muhit hisoblanadi. PPP esa ikki endpoint orasidagi session modeli. PPPoE avval access concentratorni topadi, keyin aniq server bilan point-to-point session yaratadi.

PPPoE qatlamlari

PPPoE paket tuzilishi:

Ethernet
PPPoE
PPP
IP packet yoki control protocol

PPPoE PPPning LCP, PAP yoki CHAP, IPCP, IPv6CP, session va accounting imkoniyatlarini saqlaydi.

Ikki bosqich

PPPoE ikki asosiy bosqichga ega:

  1. Discovery stage
  2. Session stage

Discovery bosqichida client mos access concentratorni topadi. Session bosqichida PPP protokollari ishlaydi.

PADI

Client PPPoE Active Discovery Initiation xabarini broadcast qilib yuboradi.

PADI tarkibida service name, host-uniq, vendor tag va boshqa discovery taglar bo‘lishi mumkin.

Destination MAC broadcast bo‘lgani uchun lokal Ethernet segmentidagi access concentratorlar xabarni qabul qiladi.

PADO

Access concentrator PPPoE Active Discovery Offer bilan javob beradi.

PADO server nomi, service name, AC-Cookie, capability va concentrator MAC manzili haqida ma’lumot berishi mumkin.

Bir nechta concentrator PADO yuborsa, client bittasini tanlaydi.

PADR

Client tanlangan concentratorga PPPoE Active Discovery Request yuboradi.

PADR ma’lum xizmatni so‘raydi va kerakli discovery taglarni qaytaradi.

PADS

Server PPPoE Active Discovery Session-confirmation yuboradi.

PADS ichida Session ID mavjud. Endi client va server PPPoE Session paketlarini shu ID bilan almashadi.

PADT

PPPoE Active Discovery Terminate sessionni tugatish uchun ishlatiladi.

Client yoki server PADT yuborishi mumkin.

Session kutilmaganda uzilsa, concentrator timeout yoki boshqa mexanizm bilan holatni tozalaydi.

EtherType

PPPoE discovery va session uchun alohida Ethernet EtherType ishlatiladi.

  • discovery — 0x8863;
  • session0x8864.

Bu switch yoki packet capture vositasiga packet turini aniqlashga yordam beradi.

Session ID

Session ID access concentrator tomonidan tanlanadi.

PPPoE session client MAC, server MAC va Session ID bilan aniqlanishi mumkin.

Bir access concentratorda ko‘plab subscriber session bo‘lishi mumkin.

LCP

Session yaratilgach, PPP LCP boshlanadi.

LCP MRU, authentication, magic number va boshqa link optionlarini kelishadi.

PPPoEning discovery bosqichi tugagani foydalanuvchi internetga kirganini anglatmaydi. PPP autentifikatsiya va NCP hali bajarilishi kerak.

Autentifikatsiya

PPPoE ko‘pincha PAP, CHAP, MS-CHAP yoki EAPga bog‘liq maxsus usul bilan ishlaydi.

Provayder access concentrator RADIUS serverga authentication so‘rovi yuborishi mumkin.

RADIUS javobida:

atributlari bo‘lishi mumkin.

IPCP

IPv4 parametrlar IPCP orqali kelishiladi.

Client provayder bergan IP manzil, DNS va peer manzil olishi mumkin.

IPv6 uchun IPv6CP va keyingi DHCPv6 Prefix Delegation yoki Router Advertisement ishlatilishi mumkin.

MTU 1492

Ethernet payloadining odatiy maksimumi 1500 bayt.

PPPoE 6 bayt PPPoE header va 2 bayt PPP Protocol field qo‘shadi.

Shu sababli klassik PPPoE MTU:

1500 - 8 = 1492

bo‘ladi.

Baby Jumbo Frame

Ayrim operator va qurilmalar Ethernet frame hajmini biroz oshirib, PPPoE ichida 1500 baytli IP MTUni saqlaydi.

Bu RFC 4638ga mos PPP-Max-Payload kelishuvi bilan bog‘liq bo‘lishi mumkin.

Yo‘ldagi barcha switch va qurilmalar katta frame’ni qo‘llashi kerak.

MSS clamping

TCP endpoint PPPoE MTUni bilmasa, MSSni 1460 deb e’lon qilishi mumkin.

Router TCP SYN paketidagi MSSni kichikroq qiymatga o‘zgartiradi:

1492 - 20 byte IP - 20 byte TCP = 1452

TCP optionlari va IPv6da hisob boshqacha bo‘lishi mumkin.

MSS clamping katta packet muammosini kamaytiradi, lekin UDP va boshqa protokollar uchun MTU baribir muhim.

Router mode

Provayder modem yoki router PPPoE sessionni o‘zi ochadi.

U username va password saqlaydi, public IP oladi, NAT, DHCP, firewall va Wi‑Fi xizmatini beradi.

Ichki router yana NAT qilsa, double NAT yuzaga kelishi mumkin.

Bridge mode

Operator qurilmasi Layer 2 bridge sifatida ishlaydi. PPPoE sessionni foydalanuvchining o‘z routeri ochadi.

Afzalligi:

Bridge mode’da IPTV, VoIP yoki maxsus VLAN sozlamasi alohida talab qilinishi mumkin.

VLAN bilan birga

Provayder PPPoE discovery trafikini ma’lum VLAN ichida tashishi mumkin.

Client routerda WAN VLAN ID, 802.1Q, PPPoE username va password sozlanadi.

VLAN noto‘g‘ri bo‘lsa, PADO javobi kelmaydi.

Access concentrator PADO ichida AC-Cookie yuborishi mumkin. Client PADRda uni qaytaradi.

Cookie spoofed source yoki resource exhaustionga qarshi himoya sifatida ishlatiladi.

Server client manziliga katta state ajratishdan oldin cookie’ni tekshiradi.

Host-Uniq

Client Host-Uniq tag orqali bir qurilmadagi bir nechta discovery jarayonini ajratishi mumkin.

Server bu tagni javobda qaytaradi.

Service-Name

Provayder bir access concentratorda bir nechta service taklif qilishi mumkin.

Masalan:

  • internet;
  • corporate;
  • IPTV;
  • wholesale.

Client bo‘sh Service-Name bilan istalgan xizmatni so‘rashi yoki aniq nom ko‘rsatishi mumkin.

Session accounting

RADIUS accounting session start, session stop, duration, input bytes, output bytes, assigned IP, disconnect cause, NAS va subscriber ID haqida yozuv saqlashi mumkin.

Bu billing va monitoring uchun ishlatiladi.

Bir nechta session

Bir Ethernet port yoki MAC uchun nechta PPPoE session ruxsat etilishi provayder siyosatiga bog‘liq.

Cheklov bitta account, bitta MAC, bitta port yoki ma’lum concurrent session bo‘yicha qo‘yilishi mumkin.

Oldingi session serverda tozalanmagan bo‘lsa, yangi login “already connected” xatosi berishi mumkin.

Xavfsizlik

PPPoEning o‘zi trafikni shifrlamaydi.

PAP credential Ethernet access segmentida ochiq ko‘rinishi mumkin. CHAP parolni bevosita yubormaydi, lekin zaif secret xavfli.

Internet trafik uchun HTTPS, TLS, VPN va SSH kabi yuqori qatlam himoyasi kerak.

Soxta access concentrator client credentialini olishga urinishi mumkin. Operator access tarmog‘ida port isolation va autentifikatsiya qo‘llanadi.

Diagnostika

PPPoE ulanishda bosqichma-bosqich tekshiruv:

  1. Fizik link.
  2. WAN VLAN.
  3. PADI chiqishi.
  4. PADO kelishi.
  5. PADR va PADS.
  6. Session ID.
  7. LCP.
  8. PAP yoki CHAP.
  9. IPCP.
  10. IP, route va DNS.

Qo‘shimcha MTU, MSS, RADIUS, account lock, concurrent session, bridge mode, MAC binding va provider log tekshiriladi.

PADI chiqib, PADO kelmasa, VLAN, provider access yoki concentrator tekshiriladi. PADSdan keyin login fail bo‘lsa, credential yoki RADIUS muammosi bo‘lishi mumkin.

Bog‘liq tushunchalar

PPP, Ethernet, PADI, PADO, PADR, PADS, PADT, Session ID, RADIUS, PAP, CHAP, IPCP, MTU, Bridge mode