PPPoE, RADIUS e B-RAS/BNG para Provedores

O coração de um provedor é onde o assinante autentica. PPPoE mal configurado é assinante que cai, RADIUS que rejeita e ERP que não conversa com o roteador. Resolvemos de ponta a ponta.

O que é B-RAS e por que ele importa

O B-RAS (Broadband Remote Access Server) é o equipamento onde as sessões PPPoE dos assinantes terminam. É ele que recebe o usuário e senha, consulta o RADIUS, aplica o perfil de velocidade e atribui o IP. Quando o B-RAS está mal configurado, tudo que fica atrás dele sofre: autenticação lenta, sessões que caem sem motivo, assinante sem IP ou com IP errado.

BNG (Broadband Network Gateway) é o nome mais moderno do mesmo papel — usado principalmente quando o equipamento também faz roteamento de borda, CGNAT e controle de QoS tudo no mesmo chassis.

Equipamentos com que trabalhamos

Cada plataforma tem sua lógica de PPPoE, RADIUS e QoS. Conhecer as diferenças evita configurar Huawei como se fosse Juniper — e vice-versa.

  • Huawei NE8000 / NE40E / NE40X — plataformas de alto desempenho para provedores médios e grandes. VRP. Suporte completo a dual-stack PPPoE, CGNAT integrado e BNG.
  • Juniper MX — JUNOS. Controle de QoS e hierarquia de filas muito granular. Comum em provedores que também fazem backbone regional.
  • Cisco ASR 1000 / IOS XR — presente em redes legadas e em integrações de grande porte. Trabalhamos com migração e coexistência.
  • MikroTik CHR / CCR2116 — solução viável para provedores de até 800–1.200 assinantes PPPoE com IPv6 amplo. RouterOS. Custo de hardware muito menor. Limite real está na capacidade de estado de sessões simultâneas e no throughput de CGNAT.

Integração RADIUS com ERP

RADIUS não é uma ilha. Ele precisa conversar com o ERP do provedor para saber se o assinante está adimplente, qual plano está ativo e qual IP fixo ele tem direito. ERPs diferentes implementam essa integração de formas diferentes — e algumas têm bugs conhecidos que causam falha silenciosa de autenticação.

  • Integração com MK-Auth, IXC Telecom, SGP, Voalle e ERPs customizados
  • Configuração de atributos RADIUS por ERP: Rate-Limit, Framed-IP-Address, Session-Timeout, Class
  • Vendor-Specific Attributes (VSA) para equipamentos que precisam de atributos proprietários (Huawei VSA, Juniper VSA, MikroTik VSA)
  • Teste de integração: simular Access-Request e verificar Access-Accept com atributos corretos

Debug de falha de autenticação PPPoE

Assinante que não conecta pode ser: senha errada no ERP, ERP bloqueou por inadimplência, RADIUS retornou Access-Reject sem motivo claro, B-RAS não está alcançando o RADIUS, ou atributo de plano retornado está inválido para aquele equipamento. Cada caso tem uma causa diferente.

  • Captura de Access-Request e Access-Reject/Accept no servidor RADIUS com atributos completos
  • Verificação de accounting (Start, Stop, Interim-Update) para confirmar que a sessão está sendo registrada
  • Análise de logs do B-RAS (debug ppp, debug aaa) para identificar em qual etapa a sessão falha
  • Identificação de problema de shared secret, timeout ou shared entre múltiplos B-RAS

Vendor-Specific Attributes e controle de plano

Rate-Limit padrão RADIUS (via Framed-IP, Class e similares) nem sempre funciona em todos os equipamentos. Huawei, Juniper e MikroTik têm VSAs proprietários para controle de velocidade, QoS e policy. Usar o atributo errado resulta em assinante sem shaping ou com shaping diferente do plano.

  • Mapeamento dos VSAs corretos por vendor e versão de firmware/software
  • Configuração do perfil de plano no ERP para retornar os atributos certos por equipamento
  • Validação de que o shaping aplicado no B-RAS bate com o plano cadastrado no ERP

Evolução de MikroTik para B-RAS dedicado

MikroTik CCR2116 com IPv6 amplo aguenta bem até 800–1.200 assinantes PPPoE. Acima disso, o limite real aparece em pico de carga: estado de sessões simultâneas, CGNAT e throughput de forwarding. A migração para Huawei NE ou Juniper MX deve ser planejada antes de chegar nesse limite — migrar em crise é mais caro e mais arriscado.

  • Análise de carga atual no CCR: CPU de forwarding, RAM de sessões, taxa de pacotes por segundo
  • Projeção de crescimento para identificar quando o limite se torna problema real
  • Planejamento de migração: manter MikroTik em paralelo como fallback durante a transição
  • Migração de configuração: pools de IP, profiles de plano, integração RADIUS, CGNAT

Como trabalhamos e como começa

Trabalhamos com plano mensal — não fazemos projeto avulso nem diagnóstico cobrado por hora. A primeira conversa não tem custo: ligamos, você compartilha um AnyDesk e nos mostra o B-RAS e o RADIUS ao vivo enquanto já vamos comentando o que observamos. Se fizer sentido pros dois lados, a gente fecha o mensal e segue daí.

Fale com a gente — conversa inicial sem compromisso. Veja também: BGP para provedores, CGNAT, IPv6.

PERGUNTAS FREQUENTES

Como começa o trabalho com vocês?

A primeira conversa não tem custo. Você nos chama, a gente liga, você abre um AnyDesk e mostra o B-RAS e o RADIUS ao vivo. Já vamos comentando configuração, atributos e o que está causando o problema. Se fizer sentido pros dois lados, fechamos o plano mensal e começamos na semana seguinte.

Vocês cobram setup ou taxa de adesão?

Não. O plano mensal cobre tudo: configuração inicial, ajustes, monitoramento e atendimento contínuo.

Quanto tempo demora pra resolver um problema de autenticação PPPoE?

Problemas simples — senha errada, atributo faltando, shared secret incorreto — são resolvidos em minutos com acesso ao RADIUS e ao B-RAS. Problemas mais complexos que envolvem interação entre ERP, RADIUS e múltiplos B-RAS podem levar algumas horas de análise. Em nenhum caso deixamos o assinante parado enquanto investigamos — isolamos o problema sem afetar quem está conectado.