ISP широкополосная аутентификация пользователя

Я знаю только, как AT&T общается конфиденциально и безопасно с тысячами шлюзов UVerse без бодрствования (надеюсь, просто для обновления BIOS и проверки качества соединения, но кто знает) в домах клиентов, не беспокоясь о том, что их клиенты смогут взломать ошибку или заставить их путь назад вверх по течению, чтобы делать непослушные вещи. Техника At&T заключается в том, чтобы владеть каждым шлюзом, который когда-либо будет подключаться к Uverse, и изменять его до того, как он подключится или будет продан клиенту AT&T. Все шлюзы имеют индивидуальные адреса и индивидуально зашифрованные специально построенные каналы для AT&Ts двух больших DNS-серверов. Шифрование, кодирование и рукопожатие между шлюзами и DNS-серверами, которые выполняют автоматическое обслуживание шлюзов, могут быть наиболее безопасными для внешней сети вторжений, поскольку мы перестаем разговаривать по двум жестяным банкам и по длине шнура. У него есть ключи и шифрование, а также индивидуальность и объем разговора, предопределенные, в то время как участвующие стороны все еще находятся в тесном контакте, и личности не подвергаются сомнению, все вовлеченные стороны являются цифровыми и никогда не станут достаточно пьяными, чтобы раскрыть свои корпоративные секреты. Если бы вы перехватили их поток, у вас возникнет крупный долгосрочный проект по расшифровке шифрования, прежде чем он сможет помочь вам выполнить то, что вы рассматриваете, когда вызываете прослушивание линии. Должен быть более хороший способ достижения ваших целей, чем это /

В Великобритании большинство мелких розничных интернет-провайдеров покупают услуги у магистральной сети BT Wholesale вместо того, чтобы покупать услуги напрямую у Openreach (провайдера локальной сети доступа) и предоставлять собственную магистраль и оборудование BRAS.

Большинство провайдеров магистральных сетей, включая BT Wholesale, используют PPPoE. Некоторые, например Sky, используют IPoE. Sky использует DHCP и опцию 61 MAC-адреса маршрутизатора для аутентификации клиента, возможно, опцию 82 для проверки линии. Опция 82 зависит от поставщика и содержит информацию о VLAN (давая возможность иметь 1 CVLAN на линию конечного пользователя) или идентификатор входящего интерфейса, или и то, и другое, и вставляется агентом ретрансляции DHCP на коммутаторе DSLAM. DHCP-сервер преобразует их в атрибуты радиуса и отправляет запрос доступа перед назначением IP-адреса. Сервер находится на BRAS, и сеансы IPoE завершаются здесь, а не на LNS интернет-провайдера, что означает, что ответственность за назначение IP-адресов лежит на оптовом провайдере, который покупает услуги локального доступа у Openreach, связываясь со своим собственным или, возможно, с DHCP-сервером интернет-провайдера, если TalkTalk имели клиентов интернет-провайдера, а затем туннелировали все пакеты с этих IP-адресов на LNS интернет-провайдера.

Для конечных пользователей, использующих интернет-провайдеров на базе BT Wholesale, имя пользователя [электронная почта защищена] без пароля и VLAN 101, которая является VLAN Openreach для данных кабельной линии GEA их клиентов. Это означает, что он использует аутентификацию PADI, а не только CHAP. Коммутатор DSLAM имеет агент ретрансляции PPPoE, который вставляет тег идентификатора канала конкретного поставщика на основе входного порта DSLAM в пакеты PPPoE PADI, когда они передаются на сервер PPPoE BRAS. У BT Wholesale есть свои собственные BRAS, как и у Sky и TalkTalk, но у интернет-провайдеров, покупающих у BT Wholesale, их нет.

Сервер PPPoE настроен на отправку идентификатора канала в качестве атрибута радиуса 87 (NAS-Port-ID) на сервер Radius в запросе доступа в ответ на ответ на запрос CHAP от клиента вместе с именем пользователя CHAP. Идентификатор цепи содержит MAC или серийный номер DSLAM, а также идентификатор входящего интерфейса. В Access-Accept будет IP LNS провайдера и L2TP TunnelID. Мне кажется маловероятным, что идентификатор канала DSLAM будет находиться на радиус-сервере интернет-провайдера, поэтому, скорее всего, все это обрабатывается в BRAS. После настройки туннеля имя пользователя и пароль CHAP передаются в LNS и проверяются в радиусе действия интернет-провайдера на LNS или отдельно от него. Затем интернет-провайдер назначает IP-адрес с использованием IPCP из пула IP-адресов или IP-адрес, специфичный для подписчика, взятый с радиус-сервера в Access-Accept. Я предполагаю, что туннель, вероятно, представляет собой IP через PPP через L2TPv3 через IP через MPLS через Ethernet через DWDM.