Функционал PPPoE+ (PPPOE Intermediate Agent) в Ethernet коммутаторах уровня доступа
Сейчас сети широкополосного доступа (ШПД) получают все большее и большее распространение. При этом вопросы сетевой безопасности также приобретают все большее значение. Существует большой спектр угроз информационной безопасности, в частности угроз со стороны пользователей сети. Пользователи традиционных сетей Ethernet не могут быть абсолютно достоверно идентифицированы. Также невозможно точно определить точку подключения пользователя к сети. Однако, в открытых публичных сетях четкая идентификация пользователей является одним из важнейших требований. Сеть широкополосного доступа является точкой доступа к сети провайдера для абонента. Поэтому именно на сети доступа должна выполняться идентификация пользователей и доступных им услуг. Эту задачу решает коммутатор 2 уровня, поддерживающий PPPoE+.
PPPoE+ (PPPoE Intermediate Agent) – это сформировавшаяся технология призванная решить эти задачи.
Сеть доступа Ethernet отличается от сети доступа ATM. В сетях Ethernet не существует уникального соответствия (mapping) между идентификатором абонента (subscriber Line-Id) и интерфейсом к которому он подключен. В сети ATM в качестве идентификатора абонентской линии может использоваться ATM VC. В фазе аутентификации, которая начинается с установления соединения по протоколу PPP и запросов AAA, оборудование BRAS (Broadband Remote Access Server) включает атрибут NAS-Port-Id в пакеты аутентификации протокола RADIUS. Это позволяет идентифицировать xDSL линию пользователя. Для того, чтобы применить эту модель к интерфейсам Ethernet, как показано на рисунке ниже, может использоваться решение Raisecom на основе протокола PPPoE+ (PPPoE intermediate agent). Этот функционал используется на Ethernet коммутаторах доступа Raisecom. Функции PPPoE intermediate agent описаны в документе DSL Forum TR-101 для сети доступа. Обычно эти функции выполняются узлом доступа (Access Node), например, коммутатором Ethernet или DSLAM. PPPoE intermediate agent добавляет информацию, идентифицирующую абонентскую линию, в кадры PPPoE discovery. Таким образом, оборудование BRAS, на котором терминируются сессии PPPoE, может однозначно сопоставить сетевой трафик с абонентской линией. Во многом функции PPPoE+ соответствуют функциям DHCP relay agent Option 82 для идентификации абонента. PPPoE Intermediate Agent перехватывает идущие от пользователя пакеты PPPoE discovery, но не изменяет MAC адреса источника или получателя в этих пакетах.
Метка PPPoE+ (PPPoE intermediate agent TAGs) содержит информацию о Circuit-ID /Line-ID tag (включая MAC адрес, номер порта коммутатора доступа Ethernet и имя хоста (hostname)) для однозначной идентификации абонента. Эта информация добавляется в пакеты PPPoE discovery и передается на оборудование BRAS или другое вышестоящее оборудование. Необходимо отметить, что функции PPPoE intermediate agent могут применяться в первую на сетях операторов связи уже использующих протокол PPPoE и большое количество оборудования ADSL. В случае провайдера Ethernet, использующего управляемые коммутаторы 2 уровня или оборудование PON на сети доступа, может применяться DHCP relay agent Option 82, топология VLAN на пользователя (VLAN-per-user) или функции IP-MAC-port binding. При использовании IEEE802.1Q VLAN возможно также использование функций port isolation (traffic segmentation) и технологии QinQ Double Tagging.