V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
oblivion
V2EX  ›  宽带症候群

运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题

  •  6
     
  •   oblivion · 2022-08-27 10:39:51 +08:00 · 20586 次点击
    这是一个创建于 844 天前的主题,其中的信息可能已经有所发展或是发生改变。
    很高兴能这么快看到三家运营商共同在 IPoE 改造方向上的进展,

    相关贴
    江苏电信: /t/875362
    江苏联通: /t/875742
    浙江移动: /t/875467

    PPPoE 什么时候被淘汰: /t/859349
    运营商架构改变: /t/802962

    在各个回帖中,都对 IPoE 的优势劣势意见不一,
    看下来大概的讨论方向

    认为优势的
    1.IPoE 性能更好,真正原生以太网性能,对运营商对用户都可以降低成本,不再需要为 PPPoE 的低性能买单,跑高带宽不再需要投入更好的硬件,软路由也不需要很高配置,任意硬件都可以双向满速传输。
    2.IPoE 不存在 MTU 问题。
    3.IPoE 目前三家都是静态分配地址和 prefix ,DDNS 需求或许可以降低?

    认为劣势的:
    1.运营商加料,让协议不通用。
    2.都习惯了 PPPoE ,老设备改造很麻烦。
    3.担心丢失公网 IP 。
    4.担心运营商限制桥接。
    5.影响自己跑 PCDN 。

    另外改造 IPv6 的安全性问题,
    目前看到电信和联通是光猫默认阻断入站连接,
    移动是默认开放全部连接,直接裸奔
    在这个默认配置上的争议也很大,有人需要放通,为此不惜折腾桥接,有人要阻断,要安全,
    而且目前很多人都是直接关闭光猫的阻断或者桥接,并且没有配置任何终端防护措施。

    相关贴:
    /t/875719
    /t/875489
    /t/875570
    /t/875608


    问题:
    1.运营商选择 IPoE 的路线正确吗,这个是未来趋势吗,以及为什么运营商会选择在这个时间改造呢?
    2.仅仅是区域性改造,还是有计划全国都要改造呢?
    3.IPoE 静态分配地址后是否会产生安全性相关的问题,比如内网设备全部裸奔的情况,是选择运营商在网关默认阻断呢还是选择用户自己为每个设备配置防火墙呢?
    第 1 条附言  ·  2022-08-27 20:36:22 +08:00
    好了,此贴终结,不讨论了,
    好好一个讨论 IPoE 的帖子被歪成讨论真假公网 IP 了,不知你们是对 IPoE 有什么误解。
    也不知是哪个地方让如此多的人在群里被歪曲理解成改造了 IPoE 就没有公网 IP 了,就没有自由了。

    IPoE 与 PPPoE 一样都是互联网接入认证 AAA 系统的一个环节,IPoE 改造与否都不会影响你们公网 IP 的分配,
    希望不要将 IPoE 视为魔鬼,我们不应当阻止运营商的发展,应当安心接受现实。

    犹如 PPPoE 一样,既能分配公网地址,也能分配私网地址,分配公网地址与否与你们当地运营商有关,与技术无关。
    IPoE 认证也一样,既能分配公网地址,也能分配私网地址,分配公网地址与否与你们当地运营商有关,与技术无关。

    并不是说原来有公网 IP 的改造为 IPoE 就没有公网 IP 了,原来私网 IP 的改造为 IPoE 就有公网 IP 了,完全无关。

    而且目前所有的光猫,只要是千兆以上接口的,在 IPoE 接入场景下不会存在任何性能问题,不会像 PPPoE 一样需要硬件加速或者需要占用很高的 CPU 资源。

    真假公网 IP 也没有必要讨论,既然运营商选了这项技术,那你们也没有办法阻止,安心接受吧。


    为了防止谣言满天飞,特意联系三个运营商的相关帖子的宽带主人做了以下测试:


    目前三地改造只针对部分地区宽带新装用户,老用户暂无群友反馈被改造。

    江苏电信改造 IPoE 后:IPv4/IPv6 原生公网直接 DHCP 分配到光猫,Prefix 长度 /56 ,IPv4/IPv6 除了 80 ,123 ,139 ,443 ,445 等常见不开放端口外,其他端口全部正常开放,公网可连通( IPv6 需要联系后台开放),NAT1 、Fullcone ,IPv4/IPv6 均支持 MTU 1500 ,IPv4 最大连接数可正常跑出 10 万以上。

    江苏联通改造 IPoE+4in6 后:IPv6 原生公网直接 DHCP 分配到光猫,IPv4 采用 4in6 接入,Prefix 长度 /60 ,IPv4 采用 1:1 NAT 方式分配给 4in6 接口地址,除了 80 ,123 ,139 ,443 ,445 等常见不开放端口外,其他端口全部正常开放,公网可连通,NAT1 、Fullcone ,IPv4/IPv6 均支持 MTU 1500 (其中 IPv6 到 AFTR 网关 MTU 2048 )。IPv6 端口除上述常见不开放端口外,全部正常开放,入站连接正常。IPv4 最大连接数可正常跑出 10 万以上。

    浙江移动改造 IPoE+4in6 后:IPv6 原生公网直接 DHCP 分配到光猫,IPv4 采用 4in6 接入,Prefix 长度 /60 ,IPv4 采用 CGNAT 方式分配给 4in6 接口地址,IPv4 所有端口均不开放。NAT1 、Fullcone ,IPv4 MTU 1480 ,IPV6 MTU 1500 。IPv6 端口除上述常见不开放端口外,全部正常开放,入站连接正常。IPv4 最大连接数最大只能同时保持 6000 左右。
    102 条回复    2022-08-30 14:13:04 +08:00
    1  2  
    laozhoubuluo
        101
    laozhoubuluo  
       2022-08-29 23:06:43 +08:00
    @ruruex NAT444 是转换两次地址,您家路由器转换一次(内网地址转换为 CGN 地址),运营商转换一次( CGN 地址转换为公网地址)。
    NAT4444 是转换三次地址,您家路由器转换一次(内网地址转换为假公网地址),运营商 BRAS PPPoE 单板上面转换一次(假公网地址段转换为 CGN 地址),运营商 CGN 设备转换一次( CGN 地址转换为公网地址)。
    cnbatch
        102
    cnbatch  
       2022-08-30 14:13:04 +08:00
    这个讨论贴的截图已经在许多网站上传播开去了,然而在其他网站的传播过程中,不少半桶水又对 IPv6 产生各种曲解,还在以 IPv4 的思维去理解 IPv6 ,以及相关的“查房”方式。他们甚至丝毫不知道运营商在 IPv4 的当下早就已经保留 NAT 转换日志,一样可以精确查到房。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 20:21 · PVG 04:21 · LAX 12:21 · JFK 15:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.