PPPoE — PPP sessiyasini Ethernet tarmog‘i ustida ishlatadigan protokol. Uning to‘liq nomi Point-to-Point Protocol over Ethernet hisoblanadi.
Internet provayderlar PPPoE orqali abonentni autentifikatsiya qiladi, IP manzil beradi, sessionni hisobga oladi va xizmat siyosatini qo‘llaydi.
Ethernet ko‘p qurilmali broadcast muhit hisoblanadi. PPP esa ikki endpoint orasidagi session modeli. PPPoE avval access concentratorni topadi, keyin aniq server bilan point-to-point session yaratadi.
PPPoE qatlamlari
PPPoE paket tuzilishi:
Ethernet
PPPoE
PPP
IP packet yoki control protocol
PPPoE PPPning LCP, PAP yoki CHAP, IPCP, IPv6CP, session va accounting imkoniyatlarini saqlaydi.
Ikki bosqich
PPPoE ikki asosiy bosqichga ega:
- Discovery stage
- Session stage
Discovery bosqichida client mos access concentratorni topadi. Session bosqichida PPP protokollari ishlaydi.
PADI
Client PPPoE Active Discovery Initiation xabarini broadcast qilib yuboradi.
PADI tarkibida service name, host-uniq, vendor tag va boshqa discovery taglar bo‘lishi mumkin.
Destination MAC broadcast bo‘lgani uchun lokal Ethernet segmentidagi access concentratorlar xabarni qabul qiladi.
PADO
Access concentrator PPPoE Active Discovery Offer bilan javob beradi.
PADO server nomi, service name, AC-Cookie, capability va concentrator MAC manzili haqida ma’lumot berishi mumkin.
Bir nechta concentrator PADO yuborsa, client bittasini tanlaydi.
PADR
Client tanlangan concentratorga PPPoE Active Discovery Request yuboradi.
PADR ma’lum xizmatni so‘raydi va kerakli discovery taglarni qaytaradi.
PADS
Server PPPoE Active Discovery Session-confirmation yuboradi.
PADS ichida Session ID mavjud. Endi client va server PPPoE Session paketlarini shu ID bilan almashadi.
PADT
PPPoE Active Discovery Terminate sessionni tugatish uchun ishlatiladi.
Client yoki server PADT yuborishi mumkin.
Session kutilmaganda uzilsa, concentrator timeout yoki boshqa mexanizm bilan holatni tozalaydi.
EtherType
PPPoE discovery va session uchun alohida Ethernet EtherType ishlatiladi.
- discovery —
0x8863; - session —
0x8864.
Bu switch yoki packet capture vositasiga packet turini aniqlashga yordam beradi.
Session ID
Session ID access concentrator tomonidan tanlanadi.
PPPoE session client MAC, server MAC va Session ID bilan aniqlanishi mumkin.
Bir access concentratorda ko‘plab subscriber session bo‘lishi mumkin.
LCP
Session yaratilgach, PPP LCP boshlanadi.
LCP MRU, authentication, magic number va boshqa link optionlarini kelishadi.
PPPoEning discovery bosqichi tugagani foydalanuvchi internetga kirganini anglatmaydi. PPP autentifikatsiya va NCP hali bajarilishi kerak.
Autentifikatsiya
PPPoE ko‘pincha PAP, CHAP, MS-CHAP yoki EAPga bog‘liq maxsus usul bilan ishlaydi.
Provayder access concentrator RADIUS serverga authentication so‘rovi yuborishi mumkin.
RADIUS javobida:
atributlari bo‘lishi mumkin.
IPCP
IPv4 parametrlar IPCP orqali kelishiladi.
Client provayder bergan IP manzil, DNS va peer manzil olishi mumkin.
IPv6 uchun IPv6CP va keyingi DHCPv6 Prefix Delegation yoki Router Advertisement ishlatilishi mumkin.
MTU 1492
Ethernet payloadining odatiy maksimumi 1500 bayt.
PPPoE 6 bayt PPPoE header va 2 bayt PPP Protocol field qo‘shadi.
Shu sababli klassik PPPoE MTU:
1500 - 8 = 1492
bo‘ladi.
Baby Jumbo Frame
Ayrim operator va qurilmalar Ethernet frame hajmini biroz oshirib, PPPoE ichida 1500 baytli IP MTUni saqlaydi.
Bu RFC 4638ga mos PPP-Max-Payload kelishuvi bilan bog‘liq bo‘lishi mumkin.
Yo‘ldagi barcha switch va qurilmalar katta frame’ni qo‘llashi kerak.
MSS clamping
TCP endpoint PPPoE MTUni bilmasa, MSSni 1460 deb e’lon qilishi mumkin.
Router TCP SYN paketidagi MSSni kichikroq qiymatga o‘zgartiradi:
1492 - 20 byte IP - 20 byte TCP = 1452
TCP optionlari va IPv6da hisob boshqacha bo‘lishi mumkin.
MSS clamping katta packet muammosini kamaytiradi, lekin UDP va boshqa protokollar uchun MTU baribir muhim.
Router mode
Provayder modem yoki router PPPoE sessionni o‘zi ochadi.
U username va password saqlaydi, public IP oladi, NAT, DHCP, firewall va Wi‑Fi xizmatini beradi.
Ichki router yana NAT qilsa, double NAT yuzaga kelishi mumkin.
Bridge mode
Operator qurilmasi Layer 2 bridge sifatida ishlaydi. PPPoE sessionni foydalanuvchining o‘z routeri ochadi.
Afzalligi:
- public IP o‘z routerda;
- firewall nazorati;
- double NAT yo‘q;
- o‘z monitoring va VPN konfiguratsiyasi.
Bridge mode’da IPTV, VoIP yoki maxsus VLAN sozlamasi alohida talab qilinishi mumkin.
VLAN bilan birga
Provayder PPPoE discovery trafikini ma’lum VLAN ichida tashishi mumkin.
Client routerda WAN VLAN ID, 802.1Q, PPPoE username va password sozlanadi.
VLAN noto‘g‘ri bo‘lsa, PADO javobi kelmaydi.
AC-Cookie
Access concentrator PADO ichida AC-Cookie yuborishi mumkin. Client PADRda uni qaytaradi.
Cookie spoofed source yoki resource exhaustionga qarshi himoya sifatida ishlatiladi.
Server client manziliga katta state ajratishdan oldin cookie’ni tekshiradi.
Host-Uniq
Client Host-Uniq tag orqali bir qurilmadagi bir nechta discovery jarayonini ajratishi mumkin.
Server bu tagni javobda qaytaradi.
Service-Name
Provayder bir access concentratorda bir nechta service taklif qilishi mumkin.
Masalan:
- internet;
- corporate;
- IPTV;
- wholesale.
Client bo‘sh Service-Name bilan istalgan xizmatni so‘rashi yoki aniq nom ko‘rsatishi mumkin.
Session accounting
RADIUS accounting session start, session stop, duration, input bytes, output bytes, assigned IP, disconnect cause, NAS va subscriber ID haqida yozuv saqlashi mumkin.
Bu billing va monitoring uchun ishlatiladi.
Bir nechta session
Bir Ethernet port yoki MAC uchun nechta PPPoE session ruxsat etilishi provayder siyosatiga bog‘liq.
Cheklov bitta account, bitta MAC, bitta port yoki ma’lum concurrent session bo‘yicha qo‘yilishi mumkin.
Oldingi session serverda tozalanmagan bo‘lsa, yangi login “already connected” xatosi berishi mumkin.
Xavfsizlik
PPPoEning o‘zi trafikni shifrlamaydi.
PAP credential Ethernet access segmentida ochiq ko‘rinishi mumkin. CHAP parolni bevosita yubormaydi, lekin zaif secret xavfli.
Internet trafik uchun HTTPS, TLS, VPN va SSH kabi yuqori qatlam himoyasi kerak.
Soxta access concentrator client credentialini olishga urinishi mumkin. Operator access tarmog‘ida port isolation va autentifikatsiya qo‘llanadi.
Diagnostika
PPPoE ulanishda bosqichma-bosqich tekshiruv:
- Fizik link.
- WAN VLAN.
- PADI chiqishi.
- PADO kelishi.
- PADR va PADS.
- Session ID.
- LCP.
- PAP yoki CHAP.
- IPCP.
- IP, route va DNS.
Qo‘shimcha MTU, MSS, RADIUS, account lock, concurrent session, bridge mode, MAC binding va provider log tekshiriladi.
PADI chiqib, PADO kelmasa, VLAN, provider access yoki concentrator tekshiriladi. PADSdan keyin login fail bo‘lsa, credential yoki RADIUS muammosi bo‘lishi mumkin.
Bog‘liq tushunchalar
PPP, Ethernet, PADI, PADO, PADR, PADS, PADT, Session ID, RADIUS, PAP, CHAP, IPCP, MTU, Bridge mode