IPoE 认证开源自建方案

2022-09-12 12:10:53 +08:00
 acbot

最近讨论 IPoE 话题比较多,研究了一下 IPoE 认证开源自建方案,其中有些许问题大家来探讨一下:

PPPoE 认证方案是:radius + pppoe-server 因为所有会话都是由 pppoe-server 的来处理,权限控制也很清晰; 802.1x 认证方案是:交换机 + radius ,交换机来处理授权后的会话;

介绍 IPoE 认证流程的文档很多,但是具体实施的文档很少,基于开源方案的实施方案就更少了,所以一直有一个问题:IPoE 认证后会话控制是由一个服务端(类似 pppoe-server )来集中处理还是支持特定协议硬件来处理,如果这两者都没有仅仅是 DHCP Server 控制 DHCP 这个阶段那么不是漏洞很大(比如:手动配置一个 IP )

4608 次点击
所在节点    宽带症候群
28 条回复
yangzhaofeng
2022-09-13 13:53:04 +08:00
用 isc-dhcp 好像就可以實現自建( server&client )但是需要自己寫一些腳本來增加一些函數
acbot
2022-09-13 15:08:02 +08:00
@yangzhaofeng 看之前 sendmailtest123 的解释,我的理解就是:用特定硬件(支持 IPSG 、DAI 、DHCP Snooping 等 DHCP 限定功能的交换机) + DHCP Server + Radius 来实现,目前没有已知类似 PPPoE 这种纯软件方式来实现。
acbot
2022-09-13 15:10:20 +08:00
@yangzhaofeng 你说的这种方式也算是一个思路!
sendmailtest123
2022-09-13 16:32:29 +08:00
@acbot 用三层交换机的内置功能算是现成方案,兴许 BRAS 上的类似功能厂商也是复用自己的交换产品线代码实现的,但“纯软件”实现也不是不可以:比如#21 和我都提到能自己扩展 DHCP 服务器(不管是改代码还是调用钩子,api,脚本)做到和 netfilter 之类的联动。无非就是没有现成的开包即用项目罢了 -- 目前来讲,花心思深入调试一下几个模块化的 DHCP 服务器,你想要的效果可以直接实现。
acbot
2022-09-13 16:43:18 +08:00
@sendmailtest123 ”...无非就是没有现成的开包即用项目罢了...“ 明白你的意思!
zmcity
2022-09-21 14:17:29 +08:00
@acbot 自己配一个 ip ,交换机就给你的 arp 包当成攻击直接丢掉了。
acbot
2022-09-21 16:08:16 +08:00
@zmcity 这里仅仅是举例不是那么严谨,另外就是在我的周边环境中接触的更多的是傻瓜交换机这里可能也没有描述清楚。可能大家默认指的交换机就是网管交换机,这里也有区别
woyaojizhu8
2023-09-01 19:25:55 +08:00
@gyorou
@sendmailtest123 IPoE 可以防止伪装 mac 地址吗?伪装成合法设备的 mac 地址,可以在不知道认证用户名密码的情况下上网吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/879403

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX