Para hacer conexiones alejadas posibles, los usuarios necesitan tener los componentes siguientes instalados en sus dispositivos: software de uso (tal como ftp, telnet, o un web browser), apilados del protocolo (TCP/IP, IPX, Appletalk), y protocolos de la acoplamiento-capa (tales como PPP).
Cuando están enviados a través de la conexión del dialup, los protocolos de la alto-capa se enmarcan en protocolos de la acoplamiento-capa (tales como PPP) como enmarcar de la acoplamiento-capa de Ethernet encapsulan datagramas del IP en un LAN.
Este artículo introduce los conceptos siguientes:
Protocolos comunes del alejado-acceso
|
|
El enmarcar del PPP
Fases de la negociación del PPP
Opciones de LCP
Formato del marco del PPP
Para que el punto excesivo de la transmisión del datagrama señale líneas, dos protocolos estándares existen: Línea serial Internet Protocol (RESBALÓN) y PPP. El RESBALÓN, descrito en RFC 1055, trabaja solamente con el IP en punto para señalar conexiones seriales. El PPP, por otra parte, puede facilitar los circuitos síncronos y asincrónicos multiprotocol del excedente de las conexiones. Por lo tanto, el PPP es el protocolo lo más extensamente posible usado para el acceso alejado del dial.
Según lo mencionado, el PPP puede transmitir acoplamientos asincrónicos o síncronos del excedente de los paquetes. El tipo que enmarca del paquete es dictado por el medio en uso. El control de trasmisión de datos asincrónico del Alto-Nivel (AHDLC) que enmarca se utiliza para los acoplamientos asincrónicos, y el enmarcar pedacito-si'ncrono se utiliza para los acoplamientos síncronos. El Cisco apoya los tipos que enmarcan siguientes del PPP para diversos interfaces:
El enmarcar asincrónico de los interfaces (módems) AHDLC
El enmarcar Pedacito-si'ncrono síncrono de los interfaces (cuento por entregas o ISDN)
Conexiones (vty) terminales virtuales vía enmarcar síncrono del interfaz V.120
Interfaces asincrónicos con V.110 enmarcar especial de los módems V.110
Tan pronto como el tipo de la encapsulación descrito en la sección precedente se haya confirmado, el tipo de medios del acoplamiento es un relevante no más largo al establecimiento de la conexión del PPP. El PPP establece conectividad del protocolo de red en tres fases funcionales:
Ligue el protocolo del control (LCP) establece y configura la conexión del dato-acoplamiento. Durante esta fase, el protocolo usado en la fase próxima se negocia.
La autentificación aplica funcionalidad de la seguridad a la conexión.
El protocolo del control de la red (NCP) establece y configura diversos protocolos de la red-capa, tales como IP, IPX, Appletalk, DECnet, y datos tendidos un puente sobre.
LCP y NCP se discuten detalladamente en las secciones siguientes de una perspectiva más teórica.
LCP se ocupa de las opciones que son acoplamiento-dependientes y protocol-independiente. Según lo mencionado, la negociación de LCP es bidireccional, que significa que ambos extremos de la conexión deben convenir en sus opciones y reconocer la petición de su par. Algunas de las opciones negociaron durante la fase de LCP incluyen número mágico (detectar loopback), servicio repetido, el multilink, la compresión del acoplamiento, y la autentificación. La autentificación en términos de LCP traduce a si la autentificación debe ser utilizada y, si es así que el protocolo facilitará la autentificación. Sin embargo, éste no es el proceso real de la autentificación.
Tan pronto como la fase de LCP se haya negociado con éxito, la conexión de LCP se considera abierta. Ahora el proceso de la autentificación según lo determinado por LCP puede comenzar.
NCP es el paso final del proceso de la negociación del PPP. NCP se ocupa de opciones protocolo-dependientes tales como la dirección del protocolo, compresión del protocolo, y así sucesivamente. Las opciones individuales de NCP corresponden al tipo de protocolo configurado en el interfaz. Por ejemplo, si el IP es el protocolo elegido, se negocia IPCP (protocolo del control del IP).
La dirección del protocolo es la opción de NCP que se negocia siempre. Es a veces la única opción negociada. Es posible que la NAS proporcionar la dirección del protocolo a dial-en cliente o reconozca simplemente cualquier dirección del protocolo solicita el par. Para que una rebajadora alejada del Cisco acepte una dirección de la NAS ha marcado en, el cliente que la rebajadora necesita ser configurada para hacer tan.
IPCP es el NCP primario y se utiliza aquí explicar los parámetros de NCP. Como parte del proceso de IPCP, se negocian generalmente tres diversas opciones: el IP address, compresión del jefe de IP/TCP, y el DNS y los TRIUNFOS primarios y los servidores secundarios. Tenga presente que las opciones del DNS y de los TRIUNFOS relacionan con los clientes de la PC de Microsoft Windows solamente.
Durante las negociaciones de IPCP, el papeles de un cliente y una NAS son diferentes. El servidor del acceso se requiere proveer los parámetros de la negociación (dirección del IP address, del DNS y de los TRIUNFOS, etcétera) para sí mismo y a menudo para un cliente también. Por otra parte, el cliente necesita ser configurado para poder recuperar esta información de la NAS.
Otra opción en las negociaciones de IPCP está, según lo mencionado, la compresión del jefe de TCP/IP. Esto pudo disminuir el tamaño de un jefe a partir del 40 a 5 octetos. La negociación de esta opción incluye si el par puede aceptar un paquete con el jefe comprimido. Esta característica se recomienda para las transmisiones que tamaños del paquete son pequeños, por ejemplo el telnet o WWW.
El PPP ofrece un número de características que se negocien en el nivel de LCP que puede probar muy útil cuando está puesto en ejecucio'n en una red interna:
Opciones de la autentificación
Servicio repetido del PPP
Compresión del PPP
Multilink Ppp
Protocolo De la Asignación De la Anchura de banda (BAP)
Estos servicios se describen después.
Antes de que usted comience a aprender sobre el proceso y las técnicas de la autentificación del PPP, usted debe hacer familiar con los términos siguientes:
Authenticator la autentificación exigente del par. Especifica el protocolo de la autentificación que se utilizará durante la fase de LCP.
Mira con fijeza el final opuesto del acoplamiento; una entidad que está siendo authenticada por el authenticator.
Autentificación alejada la autentificación alejada del par del PPP de la NAS local.
Autentificación local La NAS local que authentica a su par alejado.
Cuando la autentificación es solicitada por cualquier lado de la conexión durante la negociación de LCP, la autentificación real ocurre después de que se termine la etapa de LCP. La autentificación se logra para comprobar la validez del par. Esto es hecha verificando el nombre preassigned (a menudo llamado el nombre del userid o de anfitrión) y el secreto (a menudo llamado la contraseña). La combinación de name/secret se puede almacenar localmente o remotamente en un servidor del AAA.
Las dos técnicas más populares de la autentificación del PPP son el protocolo de autentificación de contraseña (PAP) y desafían el protocolo de la autentificación del apretón de manos (GRIETA). Ambos se aseguran de que los individuos desautorizados no puedan tener acceso al servidor del alejado-acceso (RAS). Sus diferencias se discuten en mayor detalle más adelante.
Al igual que el caso con el resto de las fases de la negociación del PPP, la autentificación es bidireccional. Esto significa que ambos extremos de la conexión están requeridos authenticar uno otro. Por lo tanto, la autentificación necesita ser permitida en ambos extremos.
La NAS del Cisco distingue entre tipos de dirección de la llamada. Dependiendo del tipo, la NAS toma cierta acción cuando viene a la autentificación. Esto se hace para proteger la red contra violaciones de la seguridad. La tabla 1 enumera los tipos de llamadas y de las respuestas subsecuentes de la NAS.
| Dirección | Descripción | Reacción de la NAS |
|---|---|---|
| Callin | Ocurre cuando la NAS está en el final de recepción de la llamada. | La NAS requiere a par terminar con éxito la autentificación local antes de contestar a cualquier pedido la autentificación alejada. Esto se diseña para evitar ataques del aparato de lectura. |
| Reclamo | Ocurre cuando la NAS del Cisco pone la llamada. | La NAS responde a la petición alejada de la autentificación sin primero contar con la terminación de la autentificación local. |
| Dedicado | Ocurre cuando la NAS del Cisco no reconoce a qué dirección pertenece la llamada. | La NAS responde a la petición alejada de la autentificación sin primero contar con la terminación de la autentificación local. |
Las subdivisiones siguientes describen el PAP y LO AGRIETAN más detalladamente.
El PAP es el menos-seguro de los dos protocolos de la autentificación del PPP, porque el secreto se envía sobre el alambre en texto claro. Por lo tanto, si se captura el paquete, el secreto contenido en él se puede utilizar en un ataque malévolo. Comprensible, debido a esta desventaja, el PAP no es un método preferido de authenticationunless, por supuesto, es el único apoyado.
El PAP pone una secuencia de dos vías del apretón de manos en ejecucio'n para verificar la identidad de su par:
NOTA
El secreto en el paso 1 no necesita ser idéntico para ambos pares. Cada uno pueden tener sus el propios.
La GRIETA es absolutamente un pedacito más seguro que el PAP. Durante la autentificación de la GRIETA, el secreto sí mismo nunca se envía a través de la conexión, algunas partes de la comunicación se cifran, y los desafíos se repiten constantemente para asegurarse de que la conexión está autorizada siempre. Desemejante del PAP, la GRIETA utiliza un apretón de manos de tres vías para los propósitos de la identificación:
NOTA
Porque los valores del picadillo necesitan ser idénticos para la autentificación de la GRIETA al trabajo, el valor secreto se debe compartir entre ambos pares. Este requisito es diversa forma la puesta en práctica del PAP.
El servicio repetido del PPP es una opción negociada durante LCP que permita que un llamador solicite que un partido llamado ponga otro servicio repetido al par que inicia. Para esta discusión, el partido que solicita un servicio repetido es el cliente, y el partido que acepta la petición y que hace el servicio repetido es el servidor. El servicio repetido del PPP es seguridad útil siempre que el control centralizado sobre una llamada se desee, por ejemplo para los propósitos de la consolidación de la cuenta, ahorros de la llamada del dialup, y uniforme, porque los servicios repetidos se ponen solamente a los números preconfigurados.
Aunque normalmente la autentificación se considera una característica opcional del PPP, debe ser permitida y ser pasada para la característica del servicio repetido al trabajo.
La secuencia de un servicio repetido del PPP es como sigue:
El PPP se negocia sobre la llamada cliente-iniciada solamente. El servicio repetido no requiere una nueva negociación del PPP.
NOTA
Si el servidor decide a que no autorizan al cliente para un servicio del servicio repetido, la respuesta depende encendido si dial-en-exija la encaminamiento está puesto en ejecucio'n para la conexión. Si se utiliza DDR, el servidor del servicio repetido continúa procesando la llamada inicial como si no hubiera petición de servicio repetido de comenzar con. Si usted desea desconectar a un usuario que falló la autorización del servicio repetido, usted puede publicar un comando opcional en el servidor. Si la conexión es non-DDR, el servidor del servicio repetido desconecta la llamada inicial por defecto.
La compresión puede mejorar perceptiblemente rendimiento de procesamiento en acoplamientos lentos. El IOS del Cisco ofrece la compresión del PPP para todos los protocolos de la superior-capa con el protocolo del control de la compresión (CCP). Este tipo de compresión se considera una compresión del por-interfaz.
El PPP CCP es una característica opcional y se negocia después de la fase de LCP. El Cisco apoya dos algoritmos de la compresión de CCP:
STAC comprueba la secuencia de datos para saber si hay secuencias redundantes y las substituye por el símbolo que sean más pequeñas. Entonces crea las tablas del símbolo con la información alrededor donde el tipo original ocurre dentro de la secuencia de datos. Estas tablas se utilizan para substituir las secuencias redundantes encontradas en las secuencias de datos subsecuentes. Este proceso utiliza más CPU pero menos memoria.
El predictor comprueba los datos para saber si hay compresión anterior. Se envían los datos ya-comprimidos como es. Este proceso requiere más memoria pero pocos ciclos de la CPU.
Both.of.these algoritmos basan su operación en los "diccionarios" de la última compresión de datos. Cuando se convierten los diccionarios por completo, se renueva la información. La opción de un algoritmo depende de cada caso individual.
La compresión se debe utilizar con cuidado, porque puede ser una carga en recursos de sistema. Tenga presente que el índice de la compresión es dependiente en el tipo de datos. Por ejemplo, los archivos de texto son candidatos muy buenos a la compresión contra los formatos ya-comprimidos del archivo que no rendirían un cociente de la compresión mejor de de 1:1. También, siempre que sea posible, la compresión del hardware se deba elegir sobre la compresión del software.
Aunque la compresión del PPP puede ser bidireccional, se recomienda que solamente el lado alejado del cliente realiza la compresión. Esta manera, la NAS puede descomprimir la comunicación del cliente pero no comprime sus el propios. La razón de esto es de modo que la NAS sí mismo evite de realizar la compresión que puede utilizar cuatro veces m'as energía de la CPU como la descompresión.
Multilink PPP (MPPP) es una técnica de hacer fragmentos de los paquetes y de enviarles el excedente que las trasmisiones de datos múltiples al PPP miran con fijeza para el nuevo ensamble. La ventaja de las mentiras de MPPP en su capacidad de utilizar temporalmente la anchura de banda adicional que está disponible entre los dos pares. MPPP es identificado por un jefe adicional 4-byte que dicte ordenar del fragmento.
MPPP se puede utilizar en los panoramas siguientes:
En las topologías con conmutador de circuito para los canales del ISDN B o las conexiones asincrónicas aunque MPPP no fue diseñado exclusivamente para las redes del ISDN, puede ser empleado ciertamente con éxito en tal ambiente dinámicamente combinando los canales múltiples de B en un solo acoplamiento grande-clasificado para alcanzar N * anchura de banda de 64 kbps. El más generalmente de los valores de N es 2 porque es rentable y extensamente disponible. Combinar dos canales de B rendiría una anchura de banda total de 128 kbps.
La línea arrendada todos los miembros del grupo es líneas seriales síncronas.
Las líneas marcadas o arrendadas acoplamientos separados pueden estar de cualquier origen.
Diversa anchura de banda de miembros individuales que se computa el tamaño máximo del fragmento basó en el más lento de todos los acoplamientos agrupados.
La combinación de producir de los usos diferente-clasifico' entremezclarse de los datagramas de datagramas sin un jefe del multilink.
Antes de que usted pueda entender el ins y las salidas de MPPP, usted debe hacer familiar con los términos siguientes:
Líe el grupo de A de acoplamientos entre dos pares del PPP combinados para la operación de MPPP.
Líe el amo un interfaz en control de un paquete.
Líe a miembro un interfaz que sea una parte de un paquete.
Grupo rotatorio del interfaz A del sintonizador para los interfaces múltiples tales como ISDN BRI/PRI.
Interfaz en serie del interfaz A de Nondialer.
interfaz lógico temporal del interfaz A del Virtual-acceso creado con el fin de una llamada de MPPP. Su configuración se reproduce del interfaz del sintonizador que puso o recibió la llamada de MPPP.
La plantilla virtual usada para MPPP llama interfaces excesivos del nondialer para proporcionar la información de la configuración.
Unidad Ma'ximo-Recibir-Reconstruida (MRRU) una opción de LCP que indica si el remitente del paquete de LCP apoya MPPP y el límite máximo del octeto del acoplamiento.
Discriminador de la punto final una opción de LCP que especifica si un paquete de MPPP existe para el dispositivo que envía.
Cada paquete de MPPP necesita ser controlado por un solo interfaz, el amo del paquete, que es un interfaz del virtual-acceso.
El proceso del PPP del multilink comienza hacia fuera con la negociación de LCP, incluyendo la opción de MRRU que ocurre en el interfaz físico. La negociación del PPP LCP se determina si MPPP se puede utilizar en el acoplamiento. El paquete es identificado por el nombre de un par, su discriminador de la punto final, o ambos. Por lo tanto, la autentificación del PPP se requiere para terminar de modo que los pares puedan identificarse, nombrar el paquete, y comprobar si existe otro paquete del mismo nombre ya. Si existe un paquete ya, la nueva llamada ensambla simplemente adentro. No se requiere ningunas nuevas negociaciones de ninguna clase para las llamadas adicionales.
A este punto, la NAS instala un interfaz del virtual-acceso como el amo del paquete. A partir de este momento, todas las negociaciones del PPP se transfieren del interfaz físico al interfaz del virtual-acceso. El interfaz físico se convierte en una parte de un paquete gobernado por un amo del paquete. Cualesquiera parámetros de NCP se negocian para el amo se aplican automáticamente al resto de los miembros del paquete.
Tres ediciones importantes se asocian a la operación de MPPP:
Un nuevo acoplamiento en un paquete se trae para arriba y se agrega al paquete siempre que la saturación del amo del paquete alcance la carga especificada. Este valor se representa como porcentaje de 255, donde está el máximo 255.
Según lo mencionado, un paquete nuevo puede ser creado cuando no hay otro paquete entre los mismos dos pares ya en existencia. Un solo paquete puede manejar conexiones múltiples entre el mismo par de dispositivos. Las reglas son tan simples: Si no hay paquete, uno puede ser construido; si hay un paquete, la nueva llamada lo ensambla. La existencia de un paquete es comprobada usando un nombre previsto. La orden del defecto en la cual se nombran los paquetes es primera por el nombre authenticado PPP y entonces al lado del discriminador de la punto final si no se ha negociado ninguna autentificación.
Los acoplamientos se caen de un paquete cuando la carga del amo del paquete cae debajo del umbral configurado para una cantidad de tiempo predeterminada (el contador de tiempo ocioso). El acoplamiento que fue agregado al último del paquete es primer que se desconectará. Con acoplamientos de la anchura de banda desigual, el acoplamiento más lento se cae primero.
La especificación para BAP es una extensión del concepto de MPPP. Fue creada para controlar el número de las conexiones que permiten un usuario autorizado que establezcan en cualquier momento. BAP crea un sistema de las reglas estándar que dejan anchura de banda del cambio de MPPP a pedido sin la necesidad de la participación del usuario final en los cambios de configuración. Consecuentemente, la NAS puede manejar el uso de sus puertos del acceso por llamador.
BAP administra el método en a el cual se agregan y se suprimen los acoplamientos individuales de un paquete de MPPP. Mientras que se negocia LCP, BAP se decide encendido, y un discriminador del acoplamiento que distingue se da a cada acoplamiento en un paquete de MPPP. Permite que los pares especifiquen qué acoplamiento se trae para arriba o se desconecta cuando se solicita el aumento o la disminución de la anchura de banda.
BAP puede funcionar en dos diversos modos: activo y pasivo. El modo activo significa que el dispositivo puede iniciar o aceptar cualquier tipo de petición de conexión y determinarse a si los acoplamientos se deben agregar o quitar de un paquete del multilink. El modo activo está para los interfaces del sintonizador, pero no para los interfaces de la virtual-plantilla. El modo pasivo significa que el dispositivo responde solamente a las llamadas aceptando una petición de la llamada, una petición de servicio repetido, o una adición o un retiro de un acoplamiento de un par activo. El modo pasivo se puede utilizar para los interfaces de la virtual-plantilla y los interfaces del sintonizador.
BAP apoya el ISDN e interfaces en serie asincrónicas. Cuando la operación de BAP que habla sobre sintonizador interconecta, sólo la herencia dial-en-exige la encaminamiento (DDR) se discuten las configuraciones del sintonizador. BAP no apoya perfiles del sintonizador de DDR.
El primer acoplamiento del miembro del paquete de MPPP no se negocia debajo de BAP. El miembro subsecuente se liga, sin embargo, requiera a gerencia de BAP. Aunque el primer acoplamiento no pertenece a BAP, lleva todos los paquetes de la información de BAP. Hay un total de ocho tipos del paquete de BAP:
Llamar-Solicite
Llamar-Respuesta
Servicio-Solicite
Servicio-Respuesta
Acoplamiento-Gota-Preguntar-Solicite
Acoplamiento-Gota-Preguntar-Respuesta
Llamar-Estado-Indicacio'n
Llamar-Estado-Respuesta
BAP sigue la puesta en práctica de MPPP del Cisco en su juicio de la carga supervisando el amo del paquete. La carga del paquete determina la necesidad de la agregación de la anchura de banda. Solamente con BAP, ambos pares tienen que convenir en la decisión de la agregación de la anchura de banda.
Los valores del campo de la bandera, de la dirección, y del control son constantes.
El campo del protocolo revela la carga útil del protocolo (tal como TCP/IP o IPX).
La zona de informaciones puede estar de longitud variable según el Maximum Transmission Unit (MTU) del interfaz del PPP.
El FCS es la secuencia del cheque del marco.
Online: 368 users browsing the articles directory
|
|