PPPoE vs IPoE: A Escolha que Define Sua Operação
Quando você projeta (ou herda) a rede de um provedor, uma das decisões mais fundamentais é como os assinantes se conectam: PPPoE (Point-to-Point Protocol over Ethernet) ou IPoE (IP over Ethernet, baseado em DHCP). Essa escolha afeta autenticação, contabilização, MTU, facilidade de bloqueio, e até como você guarda logs para o Marco Civil.
No Brasil, a esmagadora maioria dos ISPs usa PPPoE. Mas isso não significa que IPoE não tenha vantagens. Vamos comparar tecnicamente.
Como Funciona o PPPoE
O PPPoE cria um túnel ponto-a-ponto entre o CPE do cliente e o concentrador (BRAS/NAS). O fluxo é:
- CPE envia PADI (PPPoE Active Discovery Initiation) em broadcast
- BRAS responde com PADO (Offer)
- CPE envia PADR (Request) para o BRAS escolhido
- BRAS confirma com PADS (Session Confirmation) — sessão PPPoE estabelecida
- Dentro do túnel PPPoE, roda PPP: autenticação (PAP/CHAP) via RADIUS
- RADIUS retorna atributos: IP, DNS, velocidade (rate-limit), pool, Framed-Route
- Sessão ativa — todo tráfego do cliente passa pelo túnel
Cada cliente tem uma interface virtual no BRAS (<pppoe-user123>), facilitando controle individual.
Vantagens do PPPoE
- Autenticação nativa: usuário + senha via RADIUS. Simples, universal, testado por 20+ anos
- Contabilização precisa: RADIUS accounting registra bytes in/out, tempo de sessão, IP atribuído. Perfeito para compliance
- Controle por sessão: QoS, rate-limit, bloqueio/desbloqueio por cliente. Alterar o Framed-Pool no RADIUS e desconectar = cliente bloqueado
- Suporte universal de CPE: todo roteador doméstico, de R$ 50 a R$ 500, suporta PPPoE
- Isolamento: clientes não se enxergam na Layer 2 — cada um está em seu túnel PPP
- Facilidade operacional: ver quem está online é um
/ppp active printno MikroTik
Desvantagens do PPPoE
- MTU 1492: O overhead PPPoE + PPP consome 8 bytes do frame Ethernet. MTU cai de 1500 para 1492. Isso pode causar problemas com PMTUD (Path MTU Discovery) em sites mal configurados — fragmentação e pacotes perdidos
- Overhead de encapsulamento: cada pacote carrega 8 bytes extras. Em links de 1Gbps, representa ~0.5% de overhead — irrelevante. Em links de 10Gbps com pacotes pequenos, pode ser mais significativo
- Limite de sessões no BRAS: cada sessão PPPoE consome memória e CPU. Um MikroTik CCR1036 suporta confortavelmente 5.000-8.000 sessões. Um NE8000 suporta centenas de milhares
- Single point of failure: se o BRAS cai, todos os clientes perdem conexão (a sessão PPPoE morre)
- MSS Clamping obrigatório: para evitar problemas de MTU, você precisa ajustar o MSS TCP:
/ip firewall mangle
add chain=forward protocol=tcp tcp-flags=syn \
action=change-mss new-mss=clamp-to-pmtu passthrough=yesComo Funciona o IPoE
No IPoE, o cliente obtém IP via DHCP padrão. Não há túnel — o tráfego vai diretamente em Ethernet. A autenticação é feita por:
- DHCP Option 82: o switch/OLT insere identificadores (circuit-id, remote-id) no pacote DHCP. O servidor DHCP (ou relay) usa esses dados para autenticar via RADIUS
- MAC address: o MAC do CPE é usado como identificador
- 802.1X: autenticação na camada 2 (pouco usado em ISP residencial)
Vantagens do IPoE
- MTU 1500 completo: sem overhead de encapsulamento. Zero problemas de PMTUD
- Menor overhead: menos bytes por pacote, menos CPU no BRAS
- Escalabilidade: não há limite de "sessões" — é IP puro. Ideal para redes muito grandes (100k+ assinantes)
- Resiliência: se o DHCP server reiniciar, os clientes mantêm o IP até o lease expirar. Não há sessão para "cair"
- Simplicidade na rede de acesso: funciona com qualquer switch L2, sem necessidade de PPPoE relay
Desvantagens do IPoE
- Autenticação mais complexa: depende de Option 82, que precisa ser suportada pela OLT/switch. Nem todo equipamento implementa corretamente
- Contabilização mais difícil: sem RADIUS accounting nativo do PPP. Você precisa correlacionar DHCP leases com logs de tráfego
- Bloqueio/desbloqueio complicado: no PPPoE, basta mudar o pool no RADIUS. No IPoE, precisa de mecanismos adicionais (walled garden, redirect, ACL dinâmica)
- CPE management: qualquer dispositivo pode conectar — não há credencial. Controle é por MAC ou porta física
- Isolamento L2: clientes no mesmo segmento podem se enxergar se não houver VLAN por cliente (CVLAN) ou Private VLAN
Comparação Direta
| Aspecto | PPPoE | IPoE (DHCP + Option 82) |
|---|---|---|
| MTU | 1492 | 1500 |
| Autenticação | Usuário + senha (RADIUS) | MAC / Option 82 / 802.1X |
| RADIUS Accounting | Nativo (Acct-Start/Stop/Interim) | Precisa de configuração adicional |
| Bloqueio de cliente | Framed-Pool + disconnect (simples) | Redirect / ACL dinâmica (complexo) |
| Suporte CPE | Universal | Universal (mas sem autenticação por credencial) |
| Overhead por pacote | 8 bytes | 0 bytes |
| Limite no concentrador | Depende do hardware (5k-500k sessões) | Sem limite de sessões |
| Complexidade operacional | Baixa | Média-alta |
| Resiliência a restart do BRAS | Todos reconectam | Mantêm IP até lease expirar |
Resolva isso automaticamente com NATVault
Seja PPPoE ou IPoE, os logs de CGNAT precisam ser guardados. NATVault recebe, armazena e indexa logs NAT de qualquer arquitetura. Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisImpacto na Guarda de Logs (Marco Civil)
Esta é a diferença mais crítica para compliance:
PPPoE
O RADIUS accounting gera registros estruturados automaticamente:
Acct-Status-Type = Start
User-Name = "cliente_001"
Framed-IP-Address = 100.64.15.33
NAS-Port-Id = "ether5"
Acct-Session-Id = "abc123"
Event-Timestamp = "Mar 23 2026 14:30:00"
Acct-Status-Type = Stop
Acct-Session-Time = 86400
Acct-Input-Octets = 15000000000
Acct-Output-Octets = 3000000000Com esses dados + logs de CGNAT, você tem a cadeia completa: assinante → IP privado → sessão NAT → IP público + porta → timestamp.
IPoE
Sem RADIUS accounting nativo do PPP, você precisa montar a correlação manualmente:
- DHCP lease log: qual MAC recebeu qual IP e quando
- ARP table: correlacionar MAC com porta física
- Option 82: identificar qual porta da OLT/switch corresponde a qual assinante
- Logs de CGNAT: mesma necessidade do PPPoE
É factível, mas exige mais integração e mais pontos de falha na cadeia de logs.
Por Que 90% dos ISPs Brasileiros Usam PPPoE
Não é por inércia. PPPoE é genuinamente a melhor escolha para provedores pequenos e médios (até 50.000 assinantes) porque:
- Simplicidade operacional: autenticação, contabilização e controle em um único protocolo
- Ecossistema: MikroTik (dominante no Brasil) + FreeRADIUS + sistemas de gestão (SGP, IXCSoft, MK-Auth) são todos otimizados para PPPoE
- Bloqueio/desbloqueio: essencial para ISPs com inadimplência. Trocar o Framed-Pool para "pgcorte" e dar disconnect é trivial
- Compliance: RADIUS accounting resolve 80% da guarda de logs
- Suporte técnico: mais fácil diagnosticar "sua sessão PPPoE não conecta" do que "seu DHCP não pega IP por Option 82 incorreto"
Quando Considerar IPoE
IPoE faz sentido quando:
- Você tem mais de 50.000 assinantes e o BRAS está no limite de sessões PPPoE
- Você usa FTTH com VLAN por cliente (cada cliente em sua CVLAN) — o isolamento L2 já está garantido
- Seu BRAS é um Huawei NE ou Juniper MX com suporte completo a IPoE + RADIUS
- Você tem equipe de engenharia para implementar e manter a infraestrutura de Option 82
- A MTU 1492 está causando problemas reais e frequentes (raro hoje, mas acontece com VPNs corporativas)
Migração: PPPoE para IPoE
Se decidir migrar, faça gradualmente:
- Configure IPoE em paralelo (novo pool DHCP, Option 82 na OLT)
- Migre um bairro/OLT de cada vez
- Mantenha PPPoE funcionando como fallback por 30 dias
- Valide que logs de DHCP + ARP estão sendo coletados corretamente
- Teste o fluxo completo: ofício judicial → consulta de logs → identificação do assinante
A etapa 5 é a mais importante. Se você não consegue responder um ofício judicial com sua nova arquitetura, não migre.
Resolva isso automaticamente com NATVault
PPPoE ou IPoE, os logs de CGNAT são obrigatórios. NATVault integra com qualquer arquitetura e garante que você responda ofícios judiciais em minutos. Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPerguntas Frequentes
O MTU 1492 do PPPoE realmente causa problemas?
Na maioria dos casos, não — desde que você configure MSS clamping no BRAS. O problema acontece quando sites não respeitam PMTUD e enviam pacotes de 1500 bytes que são descartados no túnel. Com MSS clamping ativo (change-mss=clamp-to-pmtu), o TCP negocia o tamanho correto automaticamente. Problemas reais são raros em 2026.
Quantas sessões PPPoE um MikroTik CCR aguenta?
Depende do modelo. Um CCR1036-12G-4S suporta 5.000-8.000 sessões com queues e mangle. Um CCR2216-1G-12XS-2XQ chega a 15.000-20.000 sessões. Um Huawei NE8000 suporta centenas de milhares. Se você está perto do limite, considere distribuir em múltiplos concentradores antes de migrar para IPoE.
É possível usar PPPoE e IPoE simultaneamente?
Sim, é o que grandes operadoras fazem durante a migração. Você pode ter parte dos clientes em PPPoE e parte em IPoE, com autenticação centralizada no mesmo RADIUS. O NE8000, por exemplo, suporta ambos os modos na mesma interface de acesso.
O IPoE funciona com MikroTik?
Parcialmente. O MikroTik suporta DHCP server com RADIUS, mas o suporte a Option 82 como relay é básico. Para IPoE robusto com autenticação RADIUS + accounting, um BRAS dedicado (Huawei, Juniper, Cisco) é mais indicado. A maioria dos ISPs que usam MikroTik como concentrador PPPoE ficam melhor servidos com PPPoE.