运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题

2022-08-27 10:39:51 +08:00
 oblivion
很高兴能这么快看到三家运营商共同在 IPoE 改造方向上的进展,

相关贴
江苏电信: /t/875362
江苏联通: /t/875742
浙江移动: /t/875467

PPPoE 什么时候被淘汰: /t/859349
运营商架构改变: /t/802962

在各个回帖中,都对 IPoE 的优势劣势意见不一,
看下来大概的讨论方向

认为优势的
1.IPoE 性能更好,真正原生以太网性能,对运营商对用户都可以降低成本,不再需要为 PPPoE 的低性能买单,跑高带宽不再需要投入更好的硬件,软路由也不需要很高配置,任意硬件都可以双向满速传输。
2.IPoE 不存在 MTU 问题。
3.IPoE 目前三家都是静态分配地址和 prefix ,DDNS 需求或许可以降低?

认为劣势的:
1.运营商加料,让协议不通用。
2.都习惯了 PPPoE ,老设备改造很麻烦。
3.担心丢失公网 IP 。
4.担心运营商限制桥接。
5.影响自己跑 PCDN 。

另外改造 IPv6 的安全性问题,
目前看到电信和联通是光猫默认阻断入站连接,
移动是默认开放全部连接,直接裸奔
在这个默认配置上的争议也很大,有人需要放通,为此不惜折腾桥接,有人要阻断,要安全,
而且目前很多人都是直接关闭光猫的阻断或者桥接,并且没有配置任何终端防护措施。

相关贴:
/t/875719
/t/875489
/t/875570
/t/875608


问题:
1.运营商选择 IPoE 的路线正确吗,这个是未来趋势吗,以及为什么运营商会选择在这个时间改造呢?
2.仅仅是区域性改造,还是有计划全国都要改造呢?
3.IPoE 静态分配地址后是否会产生安全性相关的问题,比如内网设备全部裸奔的情况,是选择运营商在网关默认阻断呢还是选择用户自己为每个设备配置防火墙呢?
19023 次点击
所在节点    宽带症候群
102 条回复
jousca
2022-08-28 10:11:54 +08:00
@Damn 还有就是,家宽面向广大对网络不了解到客户,运营商减轻运维压力,会把功能进行全部集中控制,这也是运维现状。 不支持家宽自己折腾。

就拿中移动来说,商用专线 298 元 200M 的,拨号都免了,直接给你一个固定 V4 地址,路由器直接配在 WAN 口就可以上网。你折腾家宽还不如直接换线路。
Damn
2022-08-28 10:37:50 +08:00
@jousca 但是要营业知道的啊。。
Damn
2022-08-28 10:38:09 +08:00
@jousca 但是要营业执照的啊。。
Archeb
2022-08-28 11:16:05 +08:00
“也不知是哪个地方让如此多的人在群里被歪曲理解成改造了 IPoE 就没有公网 IP 了,就没有自由了。”

当然是某个脑补的投稿者+不验证来源随便发表的 telegram“科技”频道
acbot
2022-08-28 11:50:38 +08:00
@abuabu "...需要公网 ip 的作用不就是为了外网能够访问吗。..." 在 NAT1 的基础上限定一下每个用户 NAT 端口范围就可以了,何必搞他们这么复杂并且还没有真正解决问题(就是开放端口相同的情况),这才是让人疑惑的地方!
bluaze
2022-08-28 14:24:11 +08:00
@Damn 搞个旁路由,关了光猫的 DHCP 不就好了
BloodBlade
2022-08-28 14:32:34 +08:00
@wuosuper 多谢解答,也就是说楼主所举例中的 1:1NAT 可以像公网 IP 一样使用,只不过客户端没办法轻易辨认是这种 1:1NAT 还是传统的 NAT (像是后文的浙江移动),那么有没有什么好方法可以快速区分这两种情况呢?
另外想吐槽这个 4in6 的地址数量也太少了,才 5 个。
siyanmao
2022-08-28 14:47:16 +08:00
现在的 IPoE 没有用户名 /密码之类的信息,仅靠物理设备的位置进行认证。这要求整个接入网络的管理要求非常严格准确,风险很大的。哪怕是 PON ,也会出现安装的时候实际可用的资源和系统记录的资源对不上这种情况,更别说以太网入户那种了。PPPoE 在接入时有用户名密码校验,位置和系统记录不匹配会被发现,IPoE 可能就没机会了。在中国这个对“落地查人”要求很高的场合,大量出现此类问题是不可接受的。这种情况下,运营商只能在自己的盒子里做非标行为来加强控制,不仅给后期维护带来了麻烦,用户的选择权也自然受到限制。
回过头看看历史,PON 上运营商很多都选择了与物理设备无关的 LOID 认证,机卡和一的手机最终还是被淘汰了。早期的小区宽带都是 IPoE 的,最后也转向了 PPPoE 。
所以我认为,IPoE 需要提供一种标准化的,与物理设备和位置无关的,包含用户标识和保密认证信息的认证方式,要不迟早被运营商玩坏。
bibiisme
2022-08-28 15:06:43 +08:00
@siyanmao 1 楼那个江苏电信 ipoe 有用户名+密码认证
siyanmao
2022-08-28 15:31:35 +08:00
@bibiisme 这不就是我说的在自己的盒子里做非标行为嘛。没看到具体的协议细节,但是看之前的描述,这个绝无进 RFC 的可能。也就 CTC 之类的大运营商能在设备商和客户两边强推。
cwbsw
2022-08-28 16:21:43 +08:00
@siyanmao
另一个帖子里有人提了个方案我觉得挺好的。
桥接模式下光猫作为 DHCP Relay ,收到下游 DHCP 请求后添加上认证信息再转发给上游。
fan88
2022-08-28 16:33:18 +08:00
我们从来不反对技术的进步与革新,但中国很多部门的行事风格,就是喜欢借着噱头夹带私货。

PPPOE 改成 IPOE 是进步,这没什么好反对的,但一定有某些地区的某些运营商,会藉此收回公网 IP (包括但不限于改为内网 IP ,改为 NAT4444 等技术手段)或强迫用户使用光猫上网以达到监控用户终端信息的目的(用作商业或提供给 GOV 部门)。
Marionic0723
2022-08-28 21:39:07 +08:00
@fan88 有可能会出现光猫里内置证书,国产手机也自带证书,来解密 HTTPS 流量的事情吗?
Laitinlok
2022-08-29 00:37:29 +08:00
#20 @icegaze 都會沖突的, Source Public IP: Source Port -> Destination IP: Destination Port, 那個 Source Public IP: Source Port 有可能出現沖突而無法接收封包
icegaze
2022-08-29 08:05:48 +08:00
@Laitinlok

不会的,,,,

在最后出去到互联网的那次 NAPT 的时候,
会根据不同的内网 ip 地址给予不同的端口区间,

所以即使是两个用户产生了完全一样的 ip 四元组,
在运营商的 CGNAT 里也能区分,记忆,并保证回程数据能准确返回给用户。
icegaze
2022-08-29 08:08:18 +08:00
@zayia

是的呀,本来运营商也不想给你提供对外服务的能力,,,大家都用 DDNS 对外服务了,谁还买专线,买云服务器呢…
icegaze
2022-08-29 08:09:41 +08:00
@lns103 就是为了降低投诉率的,实际上绝大多数的用户不懂的也都欣欣然接受了。
icegaze
2022-08-29 08:14:44 +08:00
@jngke931126

也不能完全是说没事儿找事儿吧,

至少如中移动的宽带,,,一般用户没有公网 ip ,但每月加 20 元就可以有… 所以,你看,也算是创收了呢。

这个是网络层的方案,
和接入方式( IPOE 还是 pppoe ,固网还是手机,,)无关的,谁都可能碰到这种构架。
leefor2020
2022-08-29 13:01:30 +08:00
@icegaze 如果真的能有白纸黑字的协议,只加 20 就给公网 IP ,那也行啊
但是目前有些运营商 /地区连这个渠道都没有
ruruex
2022-08-29 13:39:32 +08:00
@icegaze NAT4444 的命名是怎么来的?不应该叫 NAT444 吗?日本用的是国际通用的说法啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875762

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX