@elboble #3 协议本身支持原生加密，但不强制，是可选项，但正如你所见，三大运营商默认不开。
@Marionic0723 #6 可以自信的认为，运营商默认不开加密。
@heiher #8 EPON 支持三重搅动加密，但是电信同样默认不开。

可以联系运营商开启加密，开启加密后性能下降 30%左右
EPON/10G-EPON 支持 Triple Churning 加密算法
GPON/XG-PON 支持 AES-128 加密算法

https://i.imgur.com/gEG1VYS.png

@lovezhiqi123 #119 IPTV 用的是 2010 年发布的旧规范，静态认证的，可以抓包后直接用，上网业务是 2020 出的新规范，需要动态下发 secret 参与计算 option ，所以即使抓包也只能用一段时间。

@xlousp #118 仅仅是在 DHCP 请求时认证，认证结束后就是正常以太网了，完全 0 开销，比 PPPoE 性能更高。

@tutugreen #115 主要是电信做了一个动态认证算法，抓包出来的 option 有时效性，不能一直使用。

@Marionic0723 #61 IPoE 其实就是 DHCP+认证，电信是直接正常 DHCP 分配 IPv4 和 IPv6 的，只不过移动和联通选了抛弃 IPv4 的方案，接入网只保留 IPv6 ，在家庭网关通过 4in6 隧道连接到一个统一的机房网关 NAT 出去。也就是对用户是透明无感知的，v4v6 都正常使用正常访问互联网。

@xxfye #60 是的，IPoE 首当其冲的优势就是对性能要求更低，仅仅是在 DHCP 过程中认证，认证通过后完全就是正常的三层性能，真正的原生以太网，不需要额外设计 PPPoE 硬件加速器，也不需要提升硬件配置加快 PPPoE 的性能，因为 PPPoE 大部分都是只吃单核性能的，也无法进行多核优化。而 IPoE 就简单了，完全可以节省出处理 PPPoE 的资源来处理其他任务，对硬件性能的需求也会降低。

@wwbfred
@xxfye
@abuabu
@cloudsigma2022
实际上本贴的 IPoE 与假公网无任何关联，
莫名其妙就歪楼了，辛苦大家去另一帖讨论，谢谢 /t/875867 。

@dfly0603 #40 截止目前根据群友的反馈，联通和移动都是标准协议，完全没有修改。

@Marionic0723 #56 感谢，我也不知道怎么就歪楼了，正经的 IPoE 贴被歪成假公网，而且现在到处群里谣言满天飞，我也 Append 了一些说明。

根据目前三家运营商的改造情况来看，
电信可能是有公网 IPv4 包袱，而选择了曲折的改造路线，让公网 IPv4 直接分配到用户设备
联通早就改造了 NAT444 ，公网用户不多，用户需求不大
移动起步就没有公网 IPv4 ，直接 NAT444 ，更没有后顾之忧
可能正因如此，联通和移动选择了单栈 + ds-lite （ 4in6 隧道）的方式改造接入，电信选择了双栈 IPoE

@mrzx #101
@465456 #103
@heiher
根据其他帖子来看，三家运营商均在改造，步调一致，路线一致，进度一致，已无路可退
电信可能是有公网 IPv4 包袱，而选择了这条曲折的改造路线，让公网 IPv4 直接分配到用户设备
联通早就改造了 NAT444 ，公网用户不多，用户需求不大
移动起步就没有公网 IPv4 ，直接 NAT444 ，更没有后顾之忧
可能正因如此，联通和移动选择了 ds-lite 的方式改造接入

联通： /t/875742
移动： /t/875467

@datou #108 是需要用户端配置的

@hanguofu #112 可以放行入站，但是要看光猫，联系运营商开放也可以

@cloudsigma2022 #91 回复是只有新光猫会有，IPoE 改造也只针对新用户
@acbot #92
@mikeluckybiy #94 IPoE 改造后直接 DHCP 是可用的，内置 PPPoE Server 仅仅是为了兼容原来使用 PPPoE 的用户，有性能问题直接改 DHCP 即可
@heiher #96 抓包看了，确认是动态计算的 option ，每次重启光猫都会变。relay 的方案也反馈给电信技术了，他们需要评估。

@heiher @Archeb @cloudsigma2022 @geekvcn 感谢大佬们的回复。

有电信负责技术的群友表示未来电信会要求厂商在光猫内置 PPPoE 服务器，让原有的设备无缝迁移，不会中断业务。

即光猫 IPoE 认证获得地址（路由）正常上网后，光猫下面的设备也可以 PPPoE 拨号也可以 DHCP 上网，但是 PPPoE 服务器是光猫本身，相当于 Faker 了一个 PPPoE 服务器来对原有的用户拨号上网设备无缝迁移。

@jousca #2
@neho #5
@geekvcn #10
@cloudsigma2022 #12
群里的小伙伴咨询当地移动建维得到的答复：由于各地泛滥的 PPPoE 多拨逃费、违规 PCDN 业务越来越多，同时又需要整改虚拟货币挖矿等违规违法业务，故推进实施新一代接入网改造，采用 IPoE + 4in6 方案进行双栈改造，静态分配双栈地址方便对违规用户管制，同时防范因 OLT 配置不规范和 PPPoE 多拨带来的逃费，同时在家庭网关中下发安装 com.chinamobile.cmccdpi 等 OSGi 插件对用户的上网流量进行近端分析并及时上报通知网管中心处置，路由与桥接模式下该插件均可正常采集流量特征并上报。目的是加强对宽带接入违规情况的监控，规范宽带接入，防范代维人员违规操作造成公司的损失。

@villivateur #26 BRAS/BAS Broadband Remote Access Server/Broadband Access Server

@doumeki #4 是路由模式的，桥接也很简单，OP 只要配置 mac 地址相同，ds-lite 参数按照光猫配置一致即可
@geekvcn #10 是的，移动这样改造反而使接入网更简单，不需要处理混乱的私网 ipv4 路由
@datou #11 可能这就是家庭宽带业务的发展趋势吧
@cloudsigma2022 #12 目前看来只有电信是利用自己的 CTC 企业标准加了私货，移动是完全没改，就只有 MAC 认证
@terrancesiu #15 希望如此吧，不知移动是实验性的部分地区测试还是准备全国推广
@redtree #22 是的，移动宽带发展就是 NAT44 没有提供过公网，电信反而需要考虑继续分配公网，可能这就是对选择技术栈的决定性影响吧

@swiftg #70 按照电信的回复 option 需要特定算法动态计算，所以抓包固定 option 的方案只能用一段时间，过一段时间还要重新抓
@heiher #83 这份文档相当老了，是目前各地电信 IPTV 主要的认证方式，上网业务认证是 2020 年新出的规范

@geekvcn #28 感谢大佬提供的解决方案。但是按照当地电信业务支撑回复，他们确实是自己造了一个 IPoE 认证的轮子，
目前是按照中国电信企业标准 CTC 4.0 标准（ 2020 年发布）中的《 IPoE 互联网业务接入认证规范》《 IPoE 互联网电视业务接入认证规范》进行鉴权认证的。
但是目前该规范还没有公开，支撑仅仅是告诉了前同事认证过程：
1.网关由 ITMS 在网关每次启动或定期下发 Challenge Secret ，包含失效时间。
2.网关使用 NTP 更新到标准时间。
3.取得网关中配置的用户名、密码、LOID 、MAC 。
4.使用 SM3 、SM4 算法按照要求拼接计算出 Option 55 、Option 60 、Option 61 、Option 90 、Option 125 。
5.中间设备标记 Option 82 。
6.DHCP 正常流程

因此难点并不在抓包，而是抓包获取到的参数具有时效性，特别是需要 ITMS 定期提供 Challenge Secret 。
并且没有相关资料可查询到这些规范。

@cwbsw #12
@heiher #23
@shikkoku #24
@q1angch0u #27

根据宽带讨论群小伙伴的反馈，移动也改为 IPoE 认证了，移动不需要特殊认证，可以随意桥接
新开了一贴： https://v2ex.com/t/875467

@doumeki #53 关键点在桥接 IPoE 后，后方设备如何实现“IPoE 拨号认证”