PPPoE (Point-to-Point-Protocol over Ethernet)

Internet es, bá­si­ca­me­n­te, una red inmensa de or­de­na­do­res, en muchos aspectos muy similar a una red de área local (LAN), pero también con algunas di­fe­re­n­cias: por su tamaño y por el papel que en él juegan los pro­vee­do­res de Internet y sus se­r­vi­do­res, la red global requiere un modo de fu­n­cio­na­mie­n­to pa­r­ti­cu­lar. Este modo de fu­n­cio­na­mie­n­to toma la forma del Point-to-Point Protocol over Ethernet (PPPoE). ¿Qué función cumple este protocolo exac­ta­me­n­te?

El es­ta­ble­ci­mie­n­to de una conexión a Internet desde un ordenador (u otro di­s­po­si­ti­vo equi­va­le­n­te) se realiza a través del rúter. El proveedor de servicios de Internet (PSI) comprueba si el cliente posee los derechos de acceso ne­ce­sa­rios y, de ser así, hace posible el acceso. En la época en la que Internet empezaba a llegar a los do­mi­ci­lios pa­r­ti­cu­la­res, entonces aún a través de una ISDN, esta co­m­pro­ba­ción se realizaba mediante el Point-to-Point Protocol (PPP). Con este protocolo, el di­s­po­si­ti­vo de marcación (el módem o el rúter) establece una conexión directa con el co­n­ce­n­tra­dor de acceso o punto de in­te­r­co­ne­xión del proveedor de Internet, que se encarga de verificar los datos y permitir el acceso a la red.

Para los pro­vee­do­res de Internet, el PPP tenía la ventaja de que no solo permitía comprobar los derechos de acceso, sino también es­ta­ble­cer la cantidad de datos y el tiempo de marcación. Por aquel entonces aún era habitual pagar por minutos al usar Internet, de manera que el protocolo era muy co­n­ve­nie­n­te para los pro­vee­do­res. Sin embargo, con la llegada de la DSL y ante el aumento del número de di­s­po­si­ti­vos que requerían conexión a Internet en un mismo hogar, era necesario de­sa­rro­llar otro método.

El protocolo PPPoE (PPP over Ethernet) ofrece las mismas ventajas que PPP, pero opera a través de Ethernet. Esta te­c­no­lo­gía de red ha pasado a ser estándar en todas partes y permite es­ta­ble­cer co­ne­xio­nes complejas y rápidas. En ella, la parte PPP conocida del paquete de datos se integra en la trama Ethernet.

El PPPoE es parte de la pila de pro­to­co­los TCP/IP y, más co­n­cre­ta­me­n­te, de su capa más inferior, donde se encuentra el acceso a la red. Su fu­n­cio­na­mie­n­to se divide en dos fases que influyen, a su vez, en la es­tru­c­tu­ra del protocolo. La primera es la fase de de­s­cu­bri­mie­n­to (PPPoE Discovery). En ella, el protocolo ide­n­ti­fi­ca la dirección MAC del punto de in­te­r­co­ne­xión para poder usar Internet a través de él. La búsqueda de la dirección se realiza a través de un paquete de inicio o de broadcast: los paquetes de datos se lanzan a la red sin un destino concreto. El punto de in­te­r­co­ne­xión, también llamado co­n­ce­n­tra­dor de acceso o punto de presencia (Point of Presence, PoP), responde luego es­ta­ble­cie­n­do un canal de co­mu­ni­ca­ción entre ambos usuarios de la red.

A co­n­ti­nua­ción, comienza la segunda fase, la fase de sesión (PPPoE Session). En ella se controlan en primer lugar algunos detalles: el punto de in­te­r­co­ne­xión comprueba, por ejemplo, los derechos de acceso del cliente. Luego se produce el uso en sí de Internet, que también es parte de esta fase.

Se puede saber qué fase se está de­sa­rro­lla­n­do según el valor del campo ETHER_TYPE de la trama Ethernet, que será 0x8863 en la fase de de­s­cu­bri­mie­n­to y 0x8864 en la fase de sesión. Tras el campo de tipo, sigue la trama PPPoE o PPPoE Frame, integrada en el campo de datos de la trama Ethernet. La parte que co­rre­s­po­n­de al PPPoE puede dividirse a su vez en di­fe­re­n­tes segmentos. En primer lugar, se indica la versión de PPPoE, pero, puesto que solo existe una versión del protocolo, este valor siempre será 1. A co­n­ti­nua­ción, viene el tipo de PPPoE, que también será siempre 1.

Mientras que las dos primeras partes solo se componen de cuatro bits cada una, el campo siguiente tiene un byte (ocho bits): es el campo CODE, que tiene especial re­le­va­n­cia para la fase de de­s­cu­bri­mie­n­to y que muestra en qué paso se en­cue­n­tran ambos pa­r­ti­ci­pa­n­tes en ese momento. Si ya se ha llegado a la fase de sesión, este campo tendrá el valor 0x00. En la fase de de­s­cu­bri­mie­n­to, sin embargo, puede tener cinco valores di­fe­re­n­tes:

• 0x09: PPPoE Active Discovery Ini­tia­tion (PADI)
• 0x07: PPPoE Active Discovery Offer (PADO)
• 0x19: PPPoE Active Discovery Request (PADR)
• 0x65: PPPoE Active Discovery Session-co­n­fi­r­ma­tion (PADS)
• 0xa7: PPPoE Active Discovery Te­r­mi­na­tion (PADT)

Como se puede ver, la fase de de­s­cu­bri­mie­n­to empieza con el paquete de inicio o de broadcast (PADI). En este paso, el cliente transmite también su propia dirección MAC para poder recibir una respuesta. En el siguiente paquete de datos del PoP, el punto de presencia da a conocer tanto su propia dirección MAC como su nombre (PADO). Es posible que más de un PoP responda al broadcast del cliente. El ordenador local (o su rúter) deberá entonces decidir, según los nombres, con qué PoP quiere es­ta­ble­cer una conexión. El ordenador comunica su decisión al PoP elegido en­viá­n­do­le un paquete de solicitud de es­ta­ble­ci­mie­n­to de sesión (PADR). A co­n­ti­nua­ción, el PoP responde para confirmar la conexión y asigna al di­s­po­si­ti­vo un ID o ide­n­ti­fi­ca­dor de sesión (PADS). Al hacerlo, se establece la conexión a Internet. Si alguno de los dos pa­r­ti­ci­pa­n­tes quiere in­te­rru­m­pi­r­la, se lo co­mu­ni­ca­rá al otro di­s­po­si­ti­vo con un paquete de datos de fi­na­li­za­ción (PADT).

El Point-to-Point Protocol over Ethernet ha tenido un papel muy im­po­r­ta­n­te en el de­sa­rro­llo de la DSL y en la extensión del uso de Internet. El protocolo que lo precedió, el PPP, estaba diseñado para co­ne­xio­nes por línea conmutada, como la ISDN. Con la DSL, el estándar de Ethernet ha llegado a todas partes. Para ello ha sido necesario modificar el antiguo protocolo, que hasta entonces había tenido mucho éxito. Ethernet permite, además, que varios di­s­po­si­ti­vos compartan una misma línea de conexión a Internet, algo que tampoco era posible con el antiguo protocolo Point-to-Point.

En la mayoría de casos, el rúter contacta di­re­c­ta­me­n­te con el proveedor de Internet y establece así también la conexión a Internet. Sin embargo, con el PPPoE, un di­s­po­si­ti­vo in­di­vi­dual también puede co­mu­ni­car­se con el PoP. Para ello, en el rúter debe estar activado el llamado PPPoE Pa­s­s­th­rou­gh, que concede di­re­c­ta­me­n­te la conexión so­li­ci­ta­da por el di­s­po­si­ti­vo. El proceso completo de las fases de de­s­cu­bri­mie­n­to y de sesión tiene lugar entonces entre el ordenador (o di­s­po­si­ti­vo equi­va­le­n­te) y el PoP.

Además, el protocolo PPPoE ofrece un aspecto positivo que ya tenía el PPP: a través del protocolo es re­la­ti­va­me­n­te fácil solicitar los derechos de acceso del cliente. Existen di­fe­re­n­tes métodos para hacerlo, pero el más sencillo consiste en pedir una co­n­tra­se­ña mediante el protocolo de au­te­n­ti­ca­ción de co­n­tra­se­ñas o Password Au­the­n­ti­ca­tion Protocol (PAP). Con él, al cliente si­m­ple­me­n­te se le solicita una co­n­tra­se­ña secreta. Este método funciona muy bien en teoría, pero ha dejado de ser to­ta­l­me­n­te seguro, ya que la tra­n­s­mi­sión de la co­n­tra­se­ña no está en­cri­p­ta­da y, por lo tanto, puede ser in­te­r­ce­p­ta­da por terceros.

Un protocolo más seguro es el Challenge Handshake Au­the­n­ti­ca­tion Protocol (CHAP), en el que se in­te­r­ca­m­bia una co­m­bi­na­ción en­cri­p­ta­da de una co­n­tra­se­ña y un valor concreto. Puesto que el servidor del proveedor de red conoce la co­n­tra­se­ña, puede descifrar la co­m­bi­na­ción y comprobar así los derechos de acceso. Un tercer método para co­m­pro­bar­los es el protocolo de au­te­n­ti­ca­ción ex­te­n­si­ble o Ex­te­n­si­ble Au­the­n­ti­ca­tion Protocol (EAP), que es un tipo de framework que ofrece diversas opciones de au­te­n­ti­ca­ción.