运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题

2022-08-27 10:39:51 +08:00
 oblivion
很高兴能这么快看到三家运营商共同在 IPoE 改造方向上的进展,

相关贴
江苏电信: /t/875362
江苏联通: /t/875742
浙江移动: /t/875467

PPPoE 什么时候被淘汰: /t/859349
运营商架构改变: /t/802962

在各个回帖中,都对 IPoE 的优势劣势意见不一,
看下来大概的讨论方向

认为优势的
1.IPoE 性能更好,真正原生以太网性能,对运营商对用户都可以降低成本,不再需要为 PPPoE 的低性能买单,跑高带宽不再需要投入更好的硬件,软路由也不需要很高配置,任意硬件都可以双向满速传输。
2.IPoE 不存在 MTU 问题。
3.IPoE 目前三家都是静态分配地址和 prefix ,DDNS 需求或许可以降低?

认为劣势的:
1.运营商加料,让协议不通用。
2.都习惯了 PPPoE ,老设备改造很麻烦。
3.担心丢失公网 IP 。
4.担心运营商限制桥接。
5.影响自己跑 PCDN 。

另外改造 IPv6 的安全性问题,
目前看到电信和联通是光猫默认阻断入站连接,
移动是默认开放全部连接,直接裸奔
在这个默认配置上的争议也很大,有人需要放通,为此不惜折腾桥接,有人要阻断,要安全,
而且目前很多人都是直接关闭光猫的阻断或者桥接,并且没有配置任何终端防护措施。

相关贴:
/t/875719
/t/875489
/t/875570
/t/875608


问题:
1.运营商选择 IPoE 的路线正确吗,这个是未来趋势吗,以及为什么运营商会选择在这个时间改造呢?
2.仅仅是区域性改造,还是有计划全国都要改造呢?
3.IPoE 静态分配地址后是否会产生安全性相关的问题,比如内网设备全部裸奔的情况,是选择运营商在网关默认阻断呢还是选择用户自己为每个设备配置防火墙呢?
20460 次点击
所在节点    宽带症候群
102 条回复
icegaze
2022-08-27 12:10:28 +08:00
@jngke931126

它经历了两次 NAT 转化,
公网到内网,再内网到公网,
所以叫做 NAT4444 (日本称为 NAT444 ,一个意思)

原理参见 19 口大胸弟提供的 PPT 图片
jngke931126
2022-08-27 12:18:13 +08:00
@icegaze #21 真是没事找事的毫无正面价值的发明
#19 提到这个东西利用了 PPPoE 的特性, 转到 IPoE 后这种假公网会现出原形嘛
lns103
2022-08-27 12:48:21 +08:00
@icegaze 所以这个假公网就是骗不懂的人的,实际体验和 fullcone 的 CGNAT 没有区别吧,都不能开放端口到公网,但是可以通过 UDP 进行 p2p 连接,bt 下载连接到 DHT 节点之后也会有 UDP 传入连接
cwbsw
2022-08-27 13:00:18 +08:00
有这么多人去杠公网 IP 吗,值得电信出这种招。
电信宁愿出这种招也不给,公网 IP 真有这么缺?
Marionic0723
2022-08-27 13:26:01 +08:00
@onion83 还有假公网,那这种怎么看破呢?低位和高位端口各开一个服务,看看流量能否访问?用路由跟踪看看出去前是不是有奇怪的丢包?
我之前用内网的时候,NAT 类型也是 A ,虽然进出端口还不一样。
fhbyljj
2022-08-27 13:27:34 +08:00
@onion83 非专业人士要求使用公网 IP ,罪魁祸首就是那些傻 X 短视频或者 UP 主

天天在哪儿说申请公网 IP 提高网速,揪着那不到两位数的 ping 在哪里扯蛋
fhbyljj
2022-08-27 13:30:57 +08:00
@cwbsw 因为有短视频或者 UP 主天天跟小白说申请公网 IP 提高网速
fhbyljj
2022-08-27 13:58:41 +08:00
@Marionic0723 同问,这种 NAT4444 怎么分辨???
wuosuper
2022-08-27 14:07:04 +08:00
@icegaze @jngke931126 @lns103 @Marionic0723 @fhbyljj 这种假公网无法分辨,即使是 10 人共享同一个公网,所有端口除了不该通的其他端口全通,出去的端口不会重映射,这个是某厂的专利,CGNAT 可以将同一个端口复用给最多 30 个用户,七元组 NAT ,连接数也不限制,每个用户连接数可以到 200 万左右,只有 10 个人同时开放同一个端口的情况才会冲突。开放端口的情况,访问这个假公网,网关会采用广播的方式把 syn ack 同时发送给共享这个 IP 的用户。
wuosuper
2022-08-27 14:11:43 +08:00
@hzdrro @heiher 目前联通的话公网无影响,ipv4 是 1:1 nat 除了不能直接分配到设备没什么问题。另外 mtu 但话,联通给 ipoe 用户开了 jumbo frame ,到 ds-lite 网关是 2048 的 MTU ,ipv4 可以保障是 1500 MTU 出去,并且 ipv4 实测 ping baidu 、114 都支持 1500 MTU
acbot
2022-08-27 14:16:38 +08:00
@icegaze 共享 IP 我觉得不难,我很好奇如果这些共享用户如果都向公网开放了同一个端口,整个技术是如何处理的? 有相应的技术文章可以参考吗?
465456
2022-08-27 14:17:34 +08:00
IPoE 的优势大于劣势,优势:速度更快,劣势:现在不知道怎样桥接。安全性:不用运营商的光猫更安全,路由器改为开源的 OpenWrt
acbot
2022-08-27 14:18:37 +08:00
认为劣势的:
1.运营商加料,让协议不通用。

这个就是最糟糕的地方,那岂不是以后就全是定制版设备,也不知道他们这样搞意义在哪里?
cloudsigma2022
2022-08-27 14:24:30 +08:00
我想问 ipv6 入站问题。

光猫下挂设备 ,如 路由器,获取的 ipv6 ,如果在路由器上开 22 端口。在 外部,如 vps 上能不能 telnet 这个 ipv6 的 22 端?
acbot
2022-08-27 14:26:06 +08:00
@465456

认为劣势的:
1.运营商加料,让协议不通用。

这个就是问题了,如果都采用标准协议 PPPOE 还是 IPOE 都无所谓
lns103
2022-08-27 14:29:46 +08:00
@wuosuper 这么说,如果两个共享 IP 的人在同一个端口开了不同服务,是都可以用没有问题的?
另外,我学校的电信宽带公网 IP 从上学期某天起就无法从公网 TCP 入站,只能 UDP 入站,但是学校内网可以正常通过 TCP 入站,追踪路由发现没有走到公网,TCP 入站的对端 IP 也是学校内网 IP ,起初我觉得是防火墙改了,现在想是不是遇到了这种假公网?
wuosuper
2022-08-27 14:34:12 +08:00
@acbot 突出自 /主 /可 /控嘛,具体内容搜索下“中兴通讯有线网络 IPv6 技术白皮书”,看 1.3.2 内容。
acbot
2022-08-27 14:39:59 +08:00
@wuosuper 内外有别可以理解但问题是三大都是自家的啊 为何还要搞不同的标准?这个应该搞国标才对吧 第三方也好跟进不是吗
cloudsigma2022
2022-08-27 14:40:34 +08:00
@onion83 #19

同一个 ip ,用不同的端口区分服务,请问,如果是同一端口,如何区分服务?

这张图,就是为了减少投诉,而私自搞的,不符合标准的架构图,其实跟大局域网没啥区别。

比如用户 1 在 ip1.2.3.4 上了一个 kms 1688 的端口,
用户 2 也在这个 IP 上开了一个 vps 1688 的端口。端口相同,服务不同。

对于访问者而言,我的数据包是直接访问 1.2.3.4:1688 ,作为这个架构,你是如何把访问者的数据包发送给准确的服务?

根本不合逻辑!
cloudsigma2022
2022-08-27 14:44:00 +08:00
共享只能共享出去的链路,不能共享进来的链路。

共享出去的,跟之前的大局域网一样。只是,每个人显示的 ip 跟 pppoe 拨号所得的 ip 相同。

无法在这个 ip 上开任何服务。因为不能共享进来的链路。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875762

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX