Андрей Смирнов
Время чтения: ~24 мин.
Просмотров: 0

Протокол соединения типа pppoe

Масштабирование

Как было обещано ранее, пару слов (а больше и не понадобится) о масштабировании. Суть проста: сейчас мы создали туннель , связывающий центральный офис и офис remote1. Теперь создаем новый туннель , который свяжет центральный офис с удаленным офисом2 (remote2, например). Так же настраиваете IPsec. Настройка роутера  повторяет настройку , а на центральном роутере надо будет добавить   в ранее созданный бридж.

В заключение

IPsec — обширная тема, суть которой мы здесь в общем-то не затронули. В данной статье был рассмотрен частный случай объединения офисов с помощью MikroTik и применением IPsec и EoIP. А если вы любознательны и хотите знать больше о защите данных, то начните, как минимум, с Википедии.

До новых встреч!

Реклама:

Serial over LAN software can offer

# Feature Windows Linux
1 Share your serial ports and devices with others over TCP/IP network
2 Both TCP/IP and UDP/IP protocols are supported
3 Easily connect to remote computer using TCP/IP Telnet protocol, with the RFC 2217 Telnet extensions for COM Port Control
4 Share an unlimited number of serial ports simultaneously for remote connections
5 No limitation on the quantity of virtual serial ports or connections created (except your system resources)
6 Manage port signal lines states in connections (for real ports only)
7 Verify connection’s integrity by using «send command to keep connection alive» feature
8 Ability to send data on certain event (when block of data reaches certain size, on receiving special char and on certain timeouts)
9 Serial port names are not restricted to COMxx only and may have virtually any name
10 High speed data exchange from/to virtual RS232 serial port (up to 256 Kbits)
11 Virtual serial ports work like real physical ports (native Linux kernel virtual ports are used)
12 Automatically restore connection within a customizable timeout on connection breaks
13 Small packet transmission speed can be increased by disabling Nagle algorithm
14 Dynamically change COM port parameters without necessity to reopen or re-create it (greater possibilities)
15 Ports could be automatically configured every time you boot your PC
16 Map your real serial port to any other virtual or real port
17 Customize advanced connection settings when you switch to Advanced mode (without Advanced mode)
18 Easily track all program’s activity in «Activity log» (the log is considerably more detailed)
19 Secure your data transmission over network by authorization system and traffic encryption
20 Connection speed in serial port pairs is much more reliable and faster than in physical links
21 Ability to create your own libraries for authorization and encryption (OEM only)
22 User-friendly and convenient program interface. Availability of command-line options. (command-line version only)
23 TCP client can connect to various servers with different encryption and/or authorization parameters
24 Fully compatible with HyperThreaded and multi-processor systems
25 Network serial port utility works with virtual machine
26 Connect to several remote computers simultaneously
27 Renaming full port names in Device Manager
28 Separated traffic statistics for: — a serial port, — each of the TCP connections, — UDP packets.
29 Strict baudrate emulation option for virtual ports
30 Possibility to abort specified TCP connection

Notes

tunnel-id is method of identifying tunnel. It must be unique for each EoIP tunnel.
mtu should be set to 1500 to eliminate packet refragmentation inside the tunnel (that allows transparent bridging of Ethernet-like networks, so that it would be possible to transport full-sized Ethernet frame over the tunnel).

When bridging EoIP tunnels, it is highly recommended to set unique MAC addresses for each tunnel for the bridge algorithms to work correctly. For EoIP interfaces you can use MAC addresses that are in the range from 00:00:5E:80:00:00 — 00:00:5E:FF:FF:FF , which IANA has reserved for such cases. Alternatively, you can set the second bit of the first byte to modify the auto-assigned address into a ‘locally administered address’, assigned by the network administrator and thus use any MAC address, you just need to ensure they are unique between the hosts connected to one bridge.

Note: EoIP tunnel adds at least 42 byte overhead (8byte GRE + 14 byte Ethernet + 20 byte IP)

Реализация

Когда мы начали делать решение для автоматизации IPoE-сетей в Гидре, то быстро поняли, что простая идея приводит к не такому простому решению.

Во-первых, нужна аутентификационная БД, в которой хранится актуальная информация:

  • Об операторских коммутаторах уровня доступа и их портах.
  • Об абонентском оборудовании, его владельцах, MAC-адресах и привязках к портам коммутаторов.

Во-вторых, понадобится отдельная база данных для хранения сетевых реквизитов абонента, которые передает коммутатор в DHCP Option 82.

В-третьих, необходимо наладить сбор сетевых реквизитов. Они поступают с коммутатора на DHCP-сервер, который должен сохранять их в БД сетевых реквизитов вместе с выданным абоненту IP-адресом.

В-четвёртых, необходим BRAS с настроенными сервисами. Один из сервисов — для неидентифицированных абонентов — должен выдаваться всем, кто:

  • выходит со своим MAC-адресом с «неправильного» порта (ситуация «замена коммутатора»);
  • выходит с «неправильным» MAC-адресом со своего порта (ситуация «замена абонентского оборудования»);
  • выходит с «неправильным» MAC-адресом с не занятого порта (ситуация «подключение нового абонента»).

Если этот сервис подключен, все HTTP-запросы абонента перенаправляются на портал. Когда логин и пароль на портале введены, из БД сетевых реквизитов по IP-адресу абонента извлекается последний набор реквизитов и записывается в аутентификационную БД как актуальный.

Насколько необходимо учитывать MAC-адреса? Многие операторы считают достаточным работать только с привязками к портам. Это упрощает жизнь абоненту, позволяя ему подключать к сети любое устройство без дополнительных запросов пароля. В то же время замена коммутатора и переезд (ситуации 4 и 5 ниже) станет сложнее, так как привязка становится единственным идентификатором абонента и при ее изменении невозможно отследить, что с ним произошло. Кроме того, в некоторых конфигурациях сети без ограничений доступа по MAC-адресу возможны злоупотребления со стороны абонентов.

Рекомендации

MTU

Поднимать MTU необходимо, только на qinq интерфейсе(bond и входящие в него eth).Так как используется лишний тег. На саб интерфейсах с одной меткой можно не поднимать, т.к. поле vlan id и так во фрейме есть и за счет тега не растет.

Таблица ARP

При количествах сессий более 700 и при режиме DHCP v4 необходимо тюнить sysctl, а именно расширять таблицу ARP, т.к. новые ядра не пишут ругань в dmesg и происходит аномалия при параметрах по умолчанию.

net.ipv4.neigh.default.gc_thresh1 = 4096

net.ipv4.neigh.default.gc_thresh2 = 8192

net.ipv4.neigh.default.gc_thresh3 = 12288

net.ipv6.neigh.default.gc_thresh1 = 4096

net.ipv6.neigh.default.gc_thresh2 = 8192

net.ipv6.neigh.default.gc_thresh3 = 12288

Описание технологии PPTP

PPTP (Point to Point Tunnel Protocol) переводится как «туннельный межточечный протокол». PPTP достаточно распространённая технология, которая применяется для создания частных сетей поверх открытых. Высокая производительность, достаточные опции шифрования и аутентификации, реализация на большинстве сетевых программных платформ сделали его одним из самых популярных на рынке.

Протокол PPTP обычно используется в следующих случаях:

  • создание безопасных туннелей между маршрутизаторами через Интернет;
  • объединение локальных сетей поверх открытых;
  • создание корпоративных сетей связи с возможностью доступа в локальную сеть предприятия с удалённых компьютеров или мобильных устройств;

Реализация PPTP в Mikrotikпозволяет выбрать следующие способы авторизации:

  • mschap2;
  • mschap1;
  • chap;
  • pap.

Стоит отметить, что на практике чаще всего используется mschap2, который более безопасен чем существующие аналоги.

Рассказывая о PPTP стоит упомянуть о протоколе EoIP (EthernetOverIP), который очень часто встречается при создании корпоративных сетей и обычно используется поверх уже созданного виртуального туннеля. EoIP позволяет создать прозрачную сетевую среду, эмулирующую прямое Ethernet подключение между сетями. Использование сказанного средства лишает администраторов головной боли по поводу видимости или не видимости объединённых сетей в «Сетевом окружении» и проблем пробрасывания широковещательного трафика в удаленные подсети.

Рассмотрим пример создания шифрованного PPTP туннеля между двумя территориально удалёнными офисами, которые используют RouterOS Mikrotik в качестве маршрутизаторов.

На одном из маршрутизаторов необходимо включить PPTP Server

/interface pptp-server server set enabled=yes 

Сейчас создадим на этом сервере профиль для нового подключения и новый аккаунт

/ppp profile add name=filial only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes 
/ppp secret add name=newuser password=newpassword local-address=192.168.5.1 profile=filial remote-address=192.168.5.2 service=pptp 

Для правильной идентификации подключившегося клиента целесообразно создать для него «собственный PPTP сервер»

/interface pptp-server add name=filial user=newuser 

Сейчас на втором маршрутизаторе добавляем новый интерфейс для подключения к нашему второму маршрутизатору:

/interface pptp-client add name=filial_connection connect-to=192.168.1.1 user=newuser password=newpassword allow=mschap2 disabled=no 

Далее, если вам необходим обычный туннель или вы хотите самостоятельно прописать нужные маршруты, в вашем распоряжении весь необходимый инструментарий. В самом минимальном случае вам необходимо прописать на клиентах в обоих сетях шлюзом По-умолчанию внутренние интерфейсы маршрутизаторов, а на самих маршрутизаторах указать на каких интерфейсах находятся нужные сети.

К примеру, на первом маршрутизаторе выполним:

/ip route add dst-address=192.168.20.0/24 gateway=192.168.5.1 pref-src=192.168.5.2 

А на втором:

/ip route add dst-address=192.168.10.0/24 gateway=192.168.5.2 pref-src=192.168.5.1 

В результате мы получим возможность получить доступ из одной сети в другую, пользуясь маршрутизацией пакетов L3.

Сейчас вы увидите, как можно сделать то же самое, но на втором уровне OSI, применив EoIP и создав прозрачный мост между сетями. Предположим, что у нас маршрутизаторы удачно создали PPTP туннель и мы хотим сэмулировать работу обычного моста не трогая маршрутизацию третьего уровня. Для этого создадим EoIP туннели не обоих маршрутизаторах.
На первом:

/interface eoip add name=filial_EoIP remote-address=192.168.5.1 disabled=no 

На втором:

/interface eoip add name=filial_EoIP remote-address=192.168.5.2 disabled=no 

Теперь необходимо создать мост между внутренним интерфейсом и EoIP на каждом маршрутизаторе.
На первом выполним:

/interface bridge add 
/interface bridge port add bridge=bridge1 interface=ether1 
/interface bridge port add bridge=bridge1 interface=filial_EoIP 

И на втором:

/interface bridge add 
/interface bridge port add bridge=bridge1 interface=ether1 
/interface bridge port add bridge=bridge1 interface=filial_EoIP 

В описываемом случае мы создали прозрачный туннель между двумя сетями с разными диапазонами адресов, поэтому нужно или расширить сетевую маску у всех адресов или настроить маршрутизацию пакетов.

Туннель EoIP

Теперь нам надо создать туннель между нашими устройствами. Делается это также просто.

MikroTik M151-office

#
#
> interface eoip
/interface eoip> add name=tunnel-m152 tunnel-id=0 remote-address=192.168.10.152

1
2
3
4
5
6

 
 
#
#

admin@M151-office>interfaceeoip

admin@M151-officeinterfaceeoip>add name=tunnel-m152 tunnel-id=remote-address=192.168.10.152

MikroTik M152-remote1

#
#
> interface eoip
/interface eoip> add name=tunnel-m151 tunnel-id=0 remote-address=192.168.10.151

1
2
3
4
5
6

 
 
#
#

admin@M152-remote1>interfaceeoip

admin@M152-remote1interfaceeoip>add name=tunnel-m151 tunnel-id=remote-address=192.168.10.151

О работоспособности туннеля нам скажет буква R (running).

В консоли:

#
#
> interface eoip print
Flags: X — disabled, R — running
0 R name=»tunnel-m151″ mtu=auto actual-mtu=1424 l2mtu=65535 mac-address=FE:21:B4:13:CD:2D arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off loop-protect-send-interval=5s loop-protect-disable-time=5m
local-address=0.0.0.0 remote-address=192.168.10.151 tunnel-id=0 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes
dont-fragment=no allow-fast-path=yes
>

1
2
3
4
5
6
7
8
9
10
11

 
 
#
#

admin@M152-remote1>interfaceeoip print

FlagsX-disabled,R-running

Rname=»tunnel-m151″mtu=auto actual-mtu=1424l2mtu=65535mac-address=FE21B413CD2Darp=enabled arp-timeout=auto

loop-protect=defaultloop-protect-status=off loop-protect-send-interval=5sloop-protect-disable-time=5m

local-address=0.0.0.0remote-address=192.168.10.151tunnel-id=keepalive=10s,10dscp=inherit clamp-tcp-mss=yes

dont-fragment=no allow-fast-path=yes

admin@M152-remote1>

В winbox:

Если вам такой проверки недостаточно, то можете присвоить туннельным интерфейсам на обоих роутерах адреса одной подсети и попинговать.

Specifications

Internal Database

The ProLinx module contains an internal database that consists of areas for application data, status information, and configuration information.

The internal database is shared between all ports on the module and is used as a conduit to pass information from a device on one network to one or more devices on another network.

Application Data Area

The data area is used to store and retrieve data by the protocol drivers and for data exchange between protocols. The database is used as a source for write commands to remote devices and holds data collected from the remote devices. Commands defined in the configuration file (stored in the configuration data area) control how the data is to be handled in the database.

Настройка PPPoE

PPPoE — это один из типов соединения с интернетом, чаще всего использующийся при работе DSL.

  1. Отличительной особенностью любого VPN-соединения является использование логина и пароля. Некоторые модели роутеров требуют ввод пароля два раза, другие — один раз. При первичной настройке взять эти данные можно из договора с интернет-провайдером.

В зависимости от требований провайдера, IP-адрес роутера будет статическим (постоянным) или динамическим (может меняться при каждом подключении к серверу). Динамический адрес выдаётся провайдером, поэтому тут ничего заполнять не нужно.

Статический адрес нужно прописать вручную.

«AC Name» и «Service Name» — это параметры, относящиеся только к PPPoE. Они указывают имя концентратора и тип сервиса, соответственно. Если их нужно использовать, провайдер обязательно должен упомянуть это в инструкции.

В некоторых случаях используется только «Service Name».

Следующей особенностью является настройка переподключения. В зависимости от модели роутера, будут доступны следующие варианты:

  • «Connect automatically» — маршрутизатор всегда будет подключаться к интернету, а при обрыве соединения будет переподключаться.
  • «Connect on Demand» — если интернетом не пользоваться, роутер отключит соединение. Когда браузер или другая программа попытается получить доступ в интернет, роутер восстановит соединение.
  • «Connect Manually» — как и в предыдущем случае, роутер будет разрывать соединение, если какое-то время не пользоваться интернетом. Но при этом когда какая-нибудь программа запросит доступ в глобальную сеть, маршрутизатор не восстановит соединение. Чтобы это исправить, придётся заходить в настройки роутера и нажимать на кнопку «подключить».
  • «Time-based Connecting» — здесь можно указать, в какие временные промежутки соединение будет активно.

Ещё один из возможных вариантов — «Always on» — подключение всегда будет активно.

В некоторых случаях интернет-провайдер требует указать сервера доменных имён («DNS»), которые преобразуют именные адреса сайтов (ldap-isp.ru) в цифровые (10.90.32.64). Если это не требуется, можно проигнорировать этот пункт.

«MTU» — это количество переданной информации за одну операцию пересылки данных. Ради увеличения пропускной способности можно поэкспериментировать со значениями, но иногда это может привести к проблемам. Чаще всего интернет-провайдеры указывают необходимый размер MTU, но если его нет, лучше не трогать этот параметр.

«MAC-адрес». Бывает так, что изначально к интернету был подключен только компьютер и настройки провайдера привязаны к определённому MAC-адресу. С тех пор, как смартфоны и планшеты получили широкое распространение, такое встречается редко, тем не менее это возможно. И в данном случае может потребоваться «клонировать» MAC-адрес, то есть, сделать так, чтобы у роутера был точно такой же адрес, как у компьютера, на котором изначально был настроен интернет.

«Вторичное соединение» или «Secondary Connection». Данный параметр характерен для «Dual Access»/«Russia PPPoE». С его помощью можно подключаться к локальной сети провайдера. Включать его нужно только тогда, когда провайдер рекомендует настраивать именно «Dual Access» или «Russia PPPoE». В противном случае он должен быть выключен. При включении «Dynamic IP» интернет-провайдер выдаст адрес автоматически.

Когда включен «Static IP», IP-адрес и иногда маску нужно будет прописать самому.

Протокол, с которым работают провайдеры

В общем PPPoE протокол это штука хоть и сложная внутри, но надежная. Его часто используют интернет провайдеры для подключения своих абонентов. Причем делается это просто и быстро. Иногда инструкции по настройке выдаются клиенту в телефонном режиме. Но для начала, конечно, необходимо создание учетной записи с логином и паролем. А дальше процесс соединения с интернетом производится по следующей схеме:

  1. Если кабель напрямую подключен к сетевой карте, то достаточно войти в настройки сетевого подключения и выбрать соответствующий PPPoE режим.
  2. При использовании роутера потребуется соединить его с сетью и ПК. После чего в браузере войти в меню его настроек через адрес, указанный в техпаспорте или на маркировочной этикетке. Далее в настройках сети «Network» перейти в «WAN Connection Type» и выбрать соответствующий протокол подключения PPPoE. После ввода данных аутентификации подтвердить автоматическое подключение.

Помимо простоты подключения PPPoE протокол обладает такими важными достоинствами как многоплатформенность и высокая стабильность подключения. По этой причине он используется не только при кабельном подключении к Интернету, но и при соединении через радиочастотные каналы.

Дополнительным преимуществом PPPoE является отсутствие постоянной привязки к IP- адресу, доступ к которому открывается только на период сессии подключения. Это позволяет провайдерам регулировать распределение адресов и существенно снижать затраты на обслуживание клиентов.

Реальным «конкурентом» PPPoE является соединение IPoE, при котором отсутствует привязка а МАК-адресу и средствам аутентификации. Это существенно упрощает процесс подключения к Интернету. Но при этом страдает система обеспечения безопасности. В вашу линию может тайно врезаться любой желающий, имеющий несложные технические средства. Считается, что IPoE создан исключительно для провайдеров, работающих на территории стран бывшего СНГ. И по этой причине данный протокол не сертифицирован.

Надеюсь, вы, получив полноценный ответ на вопрос что такое PPPoE, прониклись уважением к этому протоколу и его возможностям.

На этом я прощаюсь с вами и желаю всего наилучшего.

Способы исправления

Первичные действия, которые помогут исправить положение:

Проверяется кабельное соединение, блок питания. Проводится визуальный осмотр прибора на предмет внешнего повреждения. Особого внимания требуют сгибы кабеля, оголение провода, пережатие.
Диагностика в центре сетей. Алгоритм действий: войти в «Центр управления сетями», проверить активность соединения. Зайти в параметры адаптера, активировать свой сетевой значок

В «Свойствах» важно убедиться, что прописан протокол ipv4. В других позициях нужно установить получение ip-адреса в автоматическом режиме с помощью галочек.
Проверяется электронный адрес маршрутизатора, который задает путь для передачи связи

Правильный адрес 192.168.1.1.

Подключение в центре сетей

Устранение ошибки в сетевом центре возможно по следующей инструкции:

  1. В меню компьютера найти раздел «Центр управления сетями и общим доступом».
  2. Выбрать пункт «Изменение параметров адаптера».
  3. Нажать на уже знакомый значок или создать новый. Ему присвоится имя по умолчанию – «Высокоскоростное подключение». Если все сделано правильно, то во вкладке «Удаленное соединение» будет указано «Отключить».

Настройки DNS-сервера

Исправление ошибки методом изменения конфигурации DNS-сервера выполняется по следующему алгоритму:

  1. Зайти в «Центр управления сетями».
  2. Выбрать «Подключение по локальной сети». Войти в пункт «Свойства» через контекстное меню.
  3. Выбрать «IP версии 4», если у пользователя установлен Windows 10. Для других версий: TCP/IPv4.
  4. Дополнительно отметить автоматическое получение адресов DNS-серверов, проверить активацию сети.
  5. Очистить кеш DNS-сервера через командную строку и набрать ipconfig/flushdns.

После того как обработка закончится, оборудование перезагружается и проверяется активность сетевого подключения. Если ситуация не изменилась, то можно воспользоваться автоматической «Самодиагностикой» от Билайн.

Проблемы с ДНС-службой

Выдачу ошибки под номером 868 провоцирует сбой службы DNS. Проверка и устранение неполадок:

  1. В меню «Пуск» найти раздел «Управление компьютером».
  2. Выбрать пункт «Службы».
  3. Найти вкладку «DNS-клиент».
  4. Выполнть проверку статуса: тип запуска – «Автоматически», состояние – «Выполняется».

Проблемы с сетевым экраном

Причина ошибки может быть связана с заблокированным портом 53. Без его корректной работы проход через DNS-сервер будет невозможен. Инструкция:

  1. В меню техники выбрать «Брандмауэр Windows».
  2. Зайти в «Панель управления».
  3. Перейти в «Дополнительные параметры».
  4. В открывшемся окне проверить настройки порта 53.
  5. Удалть те позиции, которые имеют отметку «заблокировано».

Процедура рискованная, поэтому если человек совсем новичок в области сетевых технологий, то лучше доверить настройку мастеру.

Сканирование системы на вирусы

Роутер будет отвечать ошибкой, если в компьютер попали вирусы. Чтобы исправить, предусмотрен алгоритм шагов:

  1. Зайти в антивирусную систему.
  2. Нажать клавишу «Диагностика».После обработки данных антирирус выдаст список опасных файлов.
  3. Удалить вредоносные электронные документы.
  4. После чистки повторно продиагностировать устройство.

Заражение происходит при посещении незащищенных ресурсов и при отсутствии хорошей антивирусной программы. Даже чужая флеш-карта, вставленная в компьютерный порт на несколько минут, может занести вирус в систему оборудования.

При обнаружении проблемы техники рекомендуют действовать поэтапно: проверить сетевых кабелей на домашнем ПК; настроить сетевую карту; посмотреть пути маршрутизатора; проанализировать конфигурации брандмауэра; запустить антивирус. Если ничего не помогло, остается обратиться в техническую поддержку Билайн по номеру 0611.

Описание VLAN

Технология VLAN позволяет организовать виртуальные каналы между узлами связи на 2 уровне модели OSI. Стандарт 802.1Q описывает принципы построения виртуальных сетей на одном физическом Ethernet интерфейсе. Большинство современных маршрутизаторов и коммутаторов умеют работать с этой технологией, которая достаточно часто встречается в современной практике.

Реализация VLAN в RouterOS Mikrotik разрешает использовать до 4095 виртуальных интерфейсов и предоставляет надёжный транспорт для других протоколов высших уровней.

Использование VLAN даёт ряд преимуществ перед туннельными протоколами третьего уровня, предоставляя логические высокоскоростные защищённые интерфейсы, которые ничем не отличаются в принципах работы от обычных физических.

Ниже представлен список сетевых адаптеров, которые корректно работают с 802.1Q

  • Realtek 8139;
  • Intel PRO/100;
  • Intel PRO1000 server adapter;
  • National Semiconductor DP83816 based cards (RouterBOARD200 onboard Ethernet, RouterBOARD 24 card);
  • National Semiconductor DP83815 (Soekris onboard Ethernet);
  • VIA VT6105M based cards (RouterBOARD 44 card);
  • VIA VT6105;
  • VIA VT6102 (VIA EPIA onboard Ethernet).

Следующие сетевые адаптеры работают с 802.1Q в ограниченном режиме функциональности и не рекомендуются для использования:

  • 3Com 3c59x PCI;
  • DEC 21140 (tulip).

Приведём пример конфигурирования двух маршрутизаторов, использующих VLAN для связи друг с другом.

Первый маршрутизатор:

/interface vlan add name=vlan1 vlan-id=10 interface=ether1 
/ip address add address=192.168.5.1/24 interface=vlan1 

Второй маршрутизатор:

/interface vlan add name=vlan1 vlan-id=10 interface=ether1 
/ip address add address=192.168.5.2/24 interface=vlan1 

После того в статусной строке каждого VLAN интерфейса появилось слово running, попробуйте попингуйте созданные адреса:

>ping 192.168.5.1 
192.168.5.1 64 byte pong: ttl=255 time=1 ms 
192.168.5.1 64 byte pong: ttl=255 time=3 ms 
>ping 192.168.5.2 
192.168.5.2 64 byte pong: ttl=255 time=3 ms 
192.168.5.2 64 byte pong: ttl=255 time=2 ms 

Почему до сих пор не все перешли на IPoE?

В Ethernet-сетях переход с технологии доступа PPP на IPoE вызывает у операторов боль. Даже среди таких продвинутых компаний как пользователи «Гидры» 🙂 внедрили IPoE не более 50%, хотя почти все заявляют, что планируют это сделать.

В чем же причины такой медлительности? Ведь, безусловно, IPoE — более удобная для абонента технология. Подключение новых абонентов проще, помнить пароли не нужно, при нарушении связи соединение не разрывается — казалось бы, одни удобства.

На поверку оказывается, что все не так гладко. Для оператора такой переход — большие затраты:

  • на оборудование — всю сеть придется перевести на управляемые коммутаторы с поддержкой DHCP Option 82;
  • на приведение в порядок кабельной инфраструктуры — у оператора должно быть четкое понимание, к какому порту какого коммутатора привязан каждый абонент, то есть каждый кабель должен быть учтен и промаркирован;
  • на ПО — информацию о MAC-адресах (их учитывать не обязательно, но это повышает безопасность и позволяет более точно отслеживать движение абонентского оборудования по сети) и привязках абонентов к портам оборудования нужно где-то хранить и обрабатывать при попытках аутентификации абонента.

Но это еще не все. После внедрения IPoE оператор начинает дополнительно нести затраты на поддержание абонентских привязок и MAC-адресов в актуальном состоянии. Замена сгоревших коммутаторов превращается в целое мероприятие: любой перепутанный монтажником порт приводит к перерыву связи у абонента. Не становится IPoE панацеей и для абонентов: теперь при смене MAC-адреса или переезде приходится обращаться в техподдержку.

Выгоды миграции на IPoE в свете этих проблем не выглядят очевидными. Поэтому операторы и не спешат с ней. Тем не менее, есть способы упростить переход на технологию IPoE и ее эксплуатацию с помощью нехитрых программных решений.

Варианты использования

L2-connected, старт по DHCP Discover, общий интерфейс

Предположим, что клиенты находятся на интерфейсах vlan2, vlan3, vlan4.

Перед запуском accel-ppp эти интерфейсы должны быть подняты.

Далее возможны два варианта: интерфейсы конфигурируются вручную (ifcfg=0), либо это делает accel-ppp (ifcfg=1)

Если делегировать эту функцию accel-ppp, то он при старте сессии будет добавлять на интерфейс адрес siaddr с маской 32 и маршрут yiaddr src siaddr.

1. локальные адреса раздаёт локальный пул

mode=L2
shared=1
start=dhcpv4
ifcfg=0 или 1 (см. выше)
interface=vlan2,range=192.168.1.0/24
interface=vlan3,range=192.168.2.0/24
interface=vlan4,range=192.168.3.0/24
lua-file=/etc/accel-ppp.lua
username=lua:username

Так-же следует отметить что в качестве адреса сервера (роутера) будет выбран первый адрес из пула, т.е. 192.168.1.1 для vlan2, 192.168.2.1 для vlan3 и 192.168.3.1 для vlan4.

Клиентам будет отправлена маска /24.

2. адреса выдаёт радиус

mode=L2
shared=1
start=dhcpv4
ifcfg=0 или 1 (см. выше)
interface=re:^vlan$
attr-dhcp-client-ip=DHCP-Client-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
lua-file=/etc/accel-ppp.lua
username=lua:username

Т.к. эти атрибуты нестандартные их нужно добавить в словарь радиус атрибутов, например так:

ATTRIBUTE DHCP-Client-IP-Address 240 ipaddr
ATTRIBUTE DHCP-Router-IP-Address 241 ipaddr
ATTRIBUTE DHCP-Mask              242 integer

3. информацию для клиента выдаёт внешний DHCP сервер

mode=L2
shared=1
start=dhcpv4
ifcfg=0 или 1 (см. выше)
relay=172.16.7.8
agent-remote-id=accel-ppp
interface=vlan2,giaddr=192.168.1.1
interface=vlan3,giaddr=192.168.2.1
interface=vlan4,giaddr=192.168.3.1
lua-file=/etc/accel-ppp.lua
username=lua:username

Для каждой сессии будут создаваться псевдоинтерфейсы типа vlan2.ipoe0, vlan2.ipoe1 и т.д.

Если радиус (или локальный пул) выдаст внешний ип, то он будет назначен на этот псевдоинтерфейс и с помощью него будет осуществляться NAT.

Так-же если радиус выдаст параметры для шейпера, то он будет сконфигурирован на этом псевдоинтерфейсе.

L2-connected, старт по DHCP Discover, vlan-per-user

Возможны два варианта: ip-unnumbered, либо обычный локальный ип + NAT.

Варианты конфигурации аналогичны предыдущим, за исключением того что нужно заменить shared=0.
В случае ip-unnumbered вспомогательный модуль ядра не требуется, клиенту локальный IP выдавать не нужно, нужно выдать только белый IP.

Так-же в случае ip-unnumbered можно использовать имя интерфейса в качестве имени пользователя:

username=ifname

L2/L3-connected, старт по неклассифицированному пакету

В этом случае в качестве имени пользователя будет использован IP адрес отправителя пакета.

Адреса которые будут считаться неклассифицированными указываеются в local-net.

mode=L2 или L3
shared=1
start=up
interface=re:^vlan$
local-net=192.168.0.0/24
local-net=192.168.1.0/24

Гибридная конфигурация

Предусмотрена возможность установки для каждого интерфейса индивидуальных параметров.

Например, требуется на интерфейсе vlan2 использовать L2, запуск по DHCP Discover, локальный пул адресов, на vlan3 — L2, запуск по DHCP, запросы релееить на внешний сервер, на vlan4 — L3, запуск по неклассифицированному пакету:

mode=L2
shared=1
start=dhcpv4
ifcfg=0 или 1 (см. выше)
lua-file=/etc/accel-ppp.lua
username=lua:username
interface=vlan2,range=192.168.1.0/24
interface=vlan3,relay=172.16.7.8,giaddr=192.168.2.1
interface=vlan4,mode=L3,start=up

Варианты построения домашней локальной сети

При создании домашней локальной сети, чаще всего, применяют два варианта:

  1. соединяют два компьютера (ПК с ноутбуком, ПК с ПК и пр.) с помощью кабеля (его называют часто витой парой);
  2. приобретают спец. «коробочку», называемую Wi-Fi роутером. К роутеру, с помощью сетевого кабеля, подключают ПК, а ноутбуки, телефоны, планшеты и пр. устройства — получают доступ в интернет по Wi-Fi (самый популярный вариант на сегодняшний день).

Вариант №1 — соединение 2 ПК с помощью витой пары

Плюсы: простота и дешевизна (нужно 2 вещи: сетевая карта, и сетевой кабель); обеспечение достаточно высокой скорости, что не каждый роутер способен выдать, меньшее ко-во радиоволн в помещении.

Минусы: лишние провода создают путаницу, мешаются; после переустановки ОС Windows — требуется настройка сети вновь; чтобы интернет-доступ был на втором ПК (2), первый ПК (1) — должен быть включен.

Что необходимо: чтобы в каждом ПК была сетевая карта, сетевой кабель. Если планируете соединить более 2 ПК в локальную сеть (или чтобы один ПК был подключен к интернету, и одновременной был в локальной сети) — на одном из ПК должно быть 2-3 и более сетевых карт.

В общем-то, если на обоих ПК есть сетевые карты, и у вас есть сетевой кабель (так же называют Ethernet-кабель) — то соединить их при помощи него не представляет ничего сложного. Думаю, здесь рассматривать особо нечего.

Прим.: обратите внимание, обычно на сетевых картах начинает загораться зеленый (желтый) светодиод, когда вы подключаете к ней кабель

Два ноутбука соединенных кабелем

Еще один важный момент!

Сетевые кабели в продажи разные: причем не только цветом и длиной 

. Дело в том, что есть кабели для подключения компьютера к компьютеру, а есть те, которые используются для подключения ПК к роутеру.

Для нашей задачи нужен кроссированный сетевой кабель (или кабель, опресованный перекрестным способом — здесь кто как называет).

В кроссированном кабеле — на концевых разъемах меняются местами желтая и зеленая пары; в стандартном (для подключения ПК к роутеру) — цвета контактов одинаковые.

Витая пара // сетевой кабель

В общем, если два ПК включены, работают, вы соединили их кабелем (светодиоды на сетевых картах заморгали), значок сети рядом с часами перестал отображать красный крестик — значит ПК нашел сеть и ждет ее настройки. Этим мы и займемся во втором разделе данной статьи.

Вариант №2 — соединение 2-3 и более ПК с помощью роутера

Плюсы: большинство устройств: телефоны, планшеты, ноутбуки и пр. получат доступ к сети Wi-Fi; меньшее количество проводов «под ногами», после переустановки Windows — интернет будет работать.

Минусы: приобретение роутера (все-таки, некоторые модели далеко не дешевы); «сложная» настройка устройства; радиоволны роутера могут влиять на здоровье., более низкий пинг и подвисания (если роутер не будет справляться с нагрузкой).

Что необходимо: роутер (в комплекте к нему, обычно, идет сетевой кабель для подключения одного ПК к нему).

С подключением роутера, как правило, тоже проблем больших нет: кабель, идущий от интернет-провайдера, подключается в спец. разъем роутера (он часто так и называется — «Internet»), а к другим разъемам («Lan-порты») подключаются локальные ПК. Т.е. роутер становится посредником (примерная схема показана на скриншоте ниже. Кстати, в этой схеме модема справа может и не быть, все зависит от вашего интернет-подключения).

Схема подключения к интернету через роутер

Кстати, обратите внимание на светодиоды на корпусе роутера: при подключении интернет-кабеля от провайдера, от локального ПК — они должны загореться и моргать. Вообще, настройка Wi-Fi роутера — это отдельная большая тема, к тому же для каждого роутера — инструкция будет несколько отличаться

Поэтому дать универсальных рекомендаций в одной отдельно взятой статье — вряд ли возможно…

Кстати, при подключении через роутер — локальная сеть, обычно, настраивается автоматически (т.е. все компьютеры, подключенные по сетевому кабелю — должны уже быть в локальной сети, останется пару небольших штрихов (о них ниже)). Главная же задача после этого — это настроить Wi-Fi подключение и доступ к интернету. Но т.к

эта статья про локальную сеть, на этом внимание я не заостряю…

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации