Pour rendre les raccordements à distance possibles, les utilisateurs doivent avoir les composants suivants installés sur leurs dispositifs : logiciel d'application (tel que le ftp, le telnet, ou un navigateur d'enchaînement), piles de protocole (TCP/IP, IPX, Appletalk), et protocoles de lien-couche (tels que la PPA).
Une fois envoyés à travers le raccordement de dialup, les protocoles de haut-couche sont encadrés dans des protocoles de lien-couche (tels que la PPA) tout comme encadrer de lien-couche d'Ethernet encapsule des datagrammes d'IP sur un LAN.
Cet article présente les concepts suivants :
Protocoles communs d'à distance-accès
|
|
Encadrer de PPA
Phases de négociation de PPA
Options de LCP
Format d'armature de PPA
Pour que le point fini de transmission de datagramme dirige des lignes, deux protocoles standard existent : Ligne périodique Internet Protocol (GLISSADE) et PPA. La GLISSADE, décrite dans RFC 1055, travaille seulement avec l'IP sur le point pour diriger les raccordements périodiques. La PPA, d'autre part, peut faciliter les circuits synchrones et asynchrones multiprotocole d'excédent de raccordements. Par conséquent, la PPA est le protocole le plus largement répandu pour l'accès à distance de cadran.
Comme mentionné, la PPA peut transmettre des liens asynchrones ou synchrones d'excédent de paquets. Le type encadrant du paquet est dicté par le milieu en service. La commande de liaison de transmission de données asynchrone de Haut-Niveau (AHDLC) encadrant est employée pour des liens asynchrones, et encadrer peu-synchrone est employé pour des liens synchrones. Le Cisco soutient les types encadrants suivants de PPA pour différentes interfaces :
Encadrer asynchrone d'interfaces (modems) AHDLC
Encadrer Peu-synchrone synchrone d'interfaces (publication périodique ou RNIS)
Raccordements (vty) terminaux virtuels par l'intermédiaire d'encadrer synchrone de l'interface V.120
Interfaces asynchrones avec V.110 encadrer spécial des modems V.110
Dès que le type d'encapsulation décrit dans la section précédente sera confirmé, le type de supports de lien n'est plus approprié à l'établissement de raccordement de PPA. La PPA établit la connectivité de protocole de réseau dans trois phases fonctionnelles :
Liez le protocole de commande (LCP) établit et configure le raccordement de donnée-lien. Pendant cette phase, le protocole utilisé dans la phase suivante est négocié.
L'authentification s'applique la fonctionnalité de sécurité au raccordement.
Le protocole de commande de réseau (NCP) établit et configure différents protocoles de réseau-couche, tels que l'IP, l'IPX, l'Appletalk, le DECnet, et les données traversières.
LCP et NCP sont discutés en détail dans les sections suivantes d'une perspective plus théorique.
LCP traite les options qui sont lien-dépendantes et protocole-indépendantes. Comme mentionné, la négociation de LCP est bidirectionnelle, qui signifie que les deux fins du raccordement doivent convenir en leurs options et reconnaître la demande de son pair. Certaines des options négociées pendant la phase de LCP incluent le nombre magique (pour détecter la réalimentation), le rappel de service, le multilink, la compression de lien, et l'authentification. L'authentification en termes de LCP traduit en si l'authentification doit être employée et, si oui, que le protocole facilitera l'authentification. Cependant, ce n'est pas le procédé réel d'authentification.
Dès que la phase de LCP sera négociée avec succès, le raccordement de LCP est considéré ouvert. Maintenant le procédé d'authentification comme déterminé par LCP peut commencer.
NCP est l'étape finale du processus de négociation de PPA. NCP traite des options protocole-dépendantes telles que l'adresse de protocole, compression de protocole, et ainsi de suite. Les différentes options de NCP correspondent au type de protocole configuré sur l'interface. Par exemple, si l'IP est le protocole choisi, IPCP (protocole de commande d'IP) est négocié.
L'adresse de protocole est l'option de NCP qui est toujours négociée. Parfois c'est la seule option négociée. Il est possible que le NAS de fournir l'adresse de protocole au cadran-dans le client ou reconnaisse simplement quelqu'adresse de protocole le pair demande. Pour qu'un couteau à distance de Cisco accepte une adresse du NAS il a introduit dans, le client que le couteau doit être configuré pour faire ainsi.
IPCP est le NCP primaire et est employé ici pour expliquer les paramètres de NCP. En tant qu'élément du processus d'IPCP, habituellement trois options différentes sont négociées : le IP address, compression d'en-tête d'IP/TCP, et le DNS et les VICTOIRES primaires et les serveurs secondaires. Maintenez dans l'esprit que les options de DNS et de VICTOIRES relient aux clients de PC de Microsoft Windows seulement.
Pendant les négociations d'IPCP, les rôles d'un client et un NAS sont différents. Le serveur d'accès est exigé pour fournir les paramètres de négociation (adresse de IP address, de DNS et de VICTOIRES, et ainsi de suite) pour lui-même et souvent pour un client aussi bien. D'autre part, le client doit être configuré pour pouvoir rechercher cette information du NAS.
Une autre option dans les négociations d'IPCP est, comme mentionné, la compression d'en-tête de TCP/IP. Ceci pourrait diminuer la taille d'un en-tête de 40 à 5 bytes. La négociation de cette option inclut si le pair peut accepter un paquet avec l'en-tête comprimé. Ce dispositif est recommandé pour les transmissions dont les tailles de paquet sont petites, comme le telnet ou le WWW.
La PPA offre un certain nombre de dispositifs qui sont négociés au niveau de LCP qui peut s'avérer très utile une fois mis en application dans un interréseau :
Options d'authentification
Rappel de service de PPA
Compression de PPA
PPA De Multilink
Protocole D'Attribution De Largeur de bande (BAP)
Ces services sont décrits après.
Avant que vous commenciez à vous renseigner sur le procédé et les techniques d'authentification de PPA, vous devriez vous familiariser avec les limites suivantes :
Authenticator l'authentification exigeante de pair. Indique le protocole d'authentification à employer pendant la phase de LCP.
Dévisagent la fin opposée du lien ; une entité qui est authentifiée par l'authenticator.
Authentification à distance l'authentification à distance de pair de PPA du NAS local.
Authentification locale Le NAS local authentifiant son pair à distance.
Quand l'authentification est demandée par l'un ou l'autre côté du raccordement pendant la négociation de LCP, l'authentification réelle a lieu après que l'étape de LCP soit accomplie. L'authentification est accomplie pour vérifier la validité du pair. Ceci est fait en vérifiant le nom preassigned (souvent appelé l'identification de l'utilisateur ou le nom d'hôte) et le secret (souvent appelé le mot de passe). La combinaison de name/secret peut être stockée localement ou à distance sur un serveur de D.C.A..
Les deux techniques d'authentification de PPA les plus populaires sont le protocole d'identification de mot de passe (PAP) et défient le protocole d'authentification de poignée de main (GERÇURE). Tous les deux s'assurent que les individus non autorisés ne peuvent pas accéder au serveur d'à distance-accès (RAS). Leurs différences sont discutées plus en détail plus tard.
Comme cela est le cas pour toutes autres phases de négociation de PPA, l'authentification est bidirectionnelle. Ceci signifie que les deux fins du raccordement sont exigées pour authentifier un un autre. En conséquence, l'authentification doit être permise aux deux extrémités.
Le NAS de Cisco différencie parmi des types de direction d'appel. Selon le type, le NAS prend certaine mesure quand il vient à l'authentification. Ceci est fait pour protéger le réseau contre des violations de sécurité. Le tableau 1 énumère les types des appels et des réponses suivantes du NAS.
| Direction | Description | Réaction de NAS |
|---|---|---|
| Callin | Se produit quand le NAS est sur la fin de réception de l'appel. | Le NAS exige du pair d'accomplir avec succès l'authentification locale avant de répondre à toutes les demandes de l'authentification à distance. Ceci est conçu pour éviter des attaques de playback. |
| Légende | Se produit quand le NAS de Cisco place l'appel. | Le NAS répond à la demande à distance d'authentification sans s'attendre d'abord à l'accomplissement de l'authentification locale. |
| Consacré | Se produit quand le NAS de Cisco ne reconnaît pas à quelle direction l'appel appartient. | Le NAS répond à la demande à distance d'authentification sans s'attendre d'abord à l'accomplissement de l'authentification locale. |
Les sous-sections suivantes décrivent le PAP et LE GERCENT en plus détail.
Le PAP est le moins-bloqué des deux protocoles d'authentification de PPA, parce que le secret est envoyé au-dessus du fil en texte clair. Par conséquent, si le paquet est capturé, le secret qui s'y trouve peut être employé dans une attaque malveillante. Tout naturellement, en raison de cet inconvénient, le PAP n'est pas une méthode préférée d'authenticationunless, naturellement, elle est la seule soutenue.
Le PAP met en application un ordre bi-directionnel de poignée de main pour vérifier l'identité de son pair :
NOTE
Le secret dans l'étape 1 n'a pas besoin d'être identique pour les deux pairs. Ils chacun peuvent avoir leurs propres.
La GERÇURE est tout à fait un peu plus bloqué que le PAP. Pendant l'authentification de GERÇURE, le secret lui-même n'est jamais envoyé à travers le raccordement, quelques parties de communication sont chiffrées, et les défis sont constamment répétés pour s'assurer que le raccordement est autorisé à tout moment. À la différence du PAP, la GERÇURE emploie une poignée de main à trois voies pour l'identification :
NOTE
Puisque les valeurs d'informations parasites doivent être identiques pour l'authentification de GERÇURE au travail, la valeur secrète doit être partagée entre les deux pairs. Cette condition est forme différente l'exécution de PAP.
Le rappel de service de PPA est une option négociée pendant le LCP qui permet à un visiteur de demander qu'une partie appelée devrait placer un autre rappel de service au pair de lancement. Pour cette discussion, la partie demandant un rappel de service est le client, et la partie acceptant la demande et faisant le rappel de service est le serveur. Le rappel de service de PPA est sécurité utile lorsque le contrôle centralisé d'un appel est désiré, comme pour les buts de la consolidation de facture, l'épargne d'appel de dialup, et égale, parce que les rappels de service sont placés seulement aux nombres préconfigurés.
Bien que normalement l'authentification soit considérée un dispositif facultatif de PPA, elle doit être permise et passée pour le dispositif de rappel de service au travail.
L'ordre d'un rappel de service de PPA est comme suit :
La PPA est négociée sur l'appel client-lancé seulement. Le rappel de service n'exige pas une nouvelle négociation de PPA.
NOTE
Si le serveur décide que le client n'est pas autorisé pour un service de rappel de service, la réponse dépend de si cadran-sur-exigez le cheminement est mis en application pour le raccordement. Si DDR est employé, le serveur de rappel de service continue de traiter l'appel initial comme si il n'y avait aucune demande de rappel de service de commencer par. Si vous voulez débrancher un utilisateur qui a échoué l'autorisation de rappel de service, vous pouvez publier une commande facultative sur le serveur. Si le raccordement est non-DDR, le serveur de rappel de service débranche l'appel initial par défaut.
La compression peut de manière significative améliorer la sortie sur des liens lents. L'IOS de Cisco offre la compression de PPA pour tous les protocoles de supérieur-couche par le protocole de commande de compression (CCP). Ce type de compression est considéré une compression d'par-interface.
La PPA CCP est une option et est négociée après la phase de LCP. Le Cisco soutient deux algorithmes de compression de CCP :
STAC examine le flux de données pour déceler les cordes superflues et les remplace avec la marque qui sont plus petites. Alors il crée des tables de marque avec l'information environ où le type original se produit dans le flux de données. Ces tables sont employées pour remplacer les cordes superflues trouvées dans les flux de données suivants. Ce processus emploie plus d'unité centrale de traitement mais moins de mémoire.
Le prédiseur examine les données pour assurer la compression précédente. Les données déjà-comprimées sont envoyées comme est. Ce processus exige plus de mémoire mais peu de cycles d'unité centrale de traitement.
Tous les deux algorithmes basent leur opération sur des "dictionnaires" de la compression de données passée. Quand les dictionnaires deviennent complètement, l'information est remplacée. Le choix d'un algorithme dépend de chaque cas individuel.
La compression devrait être employée avec soin, parce que ce peut être un fardeau sur des ressources de système. Maintenez dans l'esprit que le taux de compression dépend du type de données. Par exemple, les dossiers des textes sont les candidats très bons pour la compression contre les formats déjà-comprimés de dossier qui ne rapporteraient pas un rapport de compression meilleur que de 1:1. En outre, autant que possible, la compression de matériel devrait être choisie au-dessus de la compression de logiciel.
Bien que la compression de PPA puisse être bidirectionnelle, on lui recommande que seulement le côté à distance de client exécutent la compression. De cette façon, le NAS peut décomprimer la communication du client mais ne comprime pas ses propres. La raison de ceci est de sorte que le NAS lui-même évite l'exécution de la compression qui peut employer quatre fois autant puissance d'unité centrale de traitement que la décompression.
La PPA de Multilink (MPPP) est une technique de réduire des paquets et de leur envoyer en fragments l'excédent les liaisons de transmission de données que multiples à la PPA dévisagent pour le remontage. L'avantage des mensonges de MPPP dans sa capacité d'employer temporairement la largeur de bande additionnelle qui est disponible entre les deux pairs. MPPP est identifié par un en-tête 4-byte additionnel qui dicte l'ordonnancement de fragment.
MPPP peut être employé dans les scénarios suivants :
Dans des topologies avec commutation à circuit pour des canaux de l'RNIS B ou des raccordements asynchrones bien que MPPP n'ait pas été conçu exclusivement pour des réseaux de l'RNIS, il peut certainement être avec succès utilisé dans un tel environnement en combinant dynamiquement les canaux multiples de B dans un lien grand-classé simple pour réaliser N * largeur de bande de 64 kbps. Le plus habituel des valeurs de N est 2 parce qu'il est rentable et largement disponible. La combinaison de deux canaux de B rapporterait une largeur de bande totale de 128 kbps.
La ligne spécialisée tous les membres de groupe sont les lignes périodiques synchrones.
Les lignes composées ou spécialisées liens séparés peuvent être de l'une ou l'autre origine.
La largeur de bande différente de différents membres que la taille maximum de fragment est calculée a basé sur le plus lent de tous les liens groupés.
La combinaison de la production d'applications différent-a classé l'entremêlement de datagrammes des datagrammes sans en-tête de multilink.
Avant que vous puissiez comprendre les coins et recoins de MPPP, vous devriez vous familiariser avec les limites suivantes :
Empaquetez le groupe de A de liens entre deux pairs de PPA combinés pour l'opération de MPPP.
Empaquetez le maître une interface dans la commande d'un paquet.
Empaquetez le membre une interface qui est une partie d'un paquet.
Groupe rotatoire de l'interface A d'appeleur pour les interfaces multiples telles que l'RNIS BRI/PRI.
Interface série de l'interface A de Nondialer.
interface logique provisoire de l'interface A d'Virtuel-accès créée afin d'un appel de MPPP. Sa configuration est copiée de l'interface d'appeleur qui a placé ou a reçu l'appel de MPPP.
Le calibre virtuel utilisé pour MPPP appelle les interfaces finies de nondialer pour fournir des informations de configuration.
Unité Maximum-Recevoir-Reconstruite (MRRU) une option de LCP qui indique si l'expéditeur de paquet de LCP soutient MPPP et la limite maximum du byte du lien.
Discriminateur de point final une option de LCP qui indique si un paquet de MPPP existe pour le dispositif d'envoi.
Chaque paquet de MPPP doit être commandé par une interface simple, le maître de paquet, qui est une interface d'virtuel-accès.
Le processus de PPA de multilink commence dehors par la négociation de LCP, y compris l'option de MRRU qui a lieu sur l'interface physique. La négociation de la PPA LCP détermine si MPPP peut être employé sur le lien. Le paquet est identifié par le nom d'un pair, son discriminateur de point final, ou tous les deux. Par conséquent, l'authentification de PPA est exigée pour accomplir de sorte que les pairs puissent s'identifier, appeler le paquet, et vérifier si un autre paquet du même nom existe déjà. Si un paquet existe déjà, le nouvel appel se joint simplement dedans. Aucune nouvelle négociation de n'importe quelle sorte n'est exigée pour des appels additionnels.
En ce moment, le NAS a installé une interface d'virtuel-accès comme maître de paquet. À partir de ce moment, toutes les négociations de PPA sont transférées à partir de l'interface physique à l'interface d'virtuel-accès. L'interface physique devient une partie d'un paquet régi par un maître de paquet. Quelque paramètres de NCP soient négociés pour le maître sont automatiquement appliqués au reste des membres de paquet.
Trois issues principales sont associées à l'opération de MPPP :
Un nouveau lien dans un paquet est évoqué et ajouté au paquet toutes les fois que la saturation du maître de paquet atteint la charge indiquée. Cette valeur est représentée comme pourcentage de 255, où 255 est le maximum.
Comme mentionné, un nouveau paquet peut être créé quand aucun autre paquet n'est entre les mêmes deux pairs déjà en existence. Un seul paquet peut manipuler les raccordements multiples entre la même paire de dispositifs. Ainsi les règles sont simples : S'il n'y a aucun paquet, un peut être construit ; s'il y a un paquet, le nouvel appel le joint. L'existence d'un paquet est vérifiée en employant un nom prévu. L'ordre de défaut dans lequel les paquets sont appelés est premier par le nom authentifié par PPA et puis par le discriminateur de point final si aucune authentification n'a été négociée.
Les liens sont abandonnés d'un paquet quand la charge du maître de paquet tombe au-dessous du seuil configuré pour une quantité de temps prédéterminée (le temporisateur à vide). Le lien qui a été ajouté au bout de paquet est le premier à débrancher. Avec des liens de largeur de bande inégale, le lien le plus lent est abandonné d'abord.
Les spécifications pour BAP sont une prolongation du concept de MPPP. Elles ont été créées pour commander le nombre de raccordements aux lesquels on permet un utilisateur autorisé d'établir à tout moment. BAP crée un ensemble de règles standard qui laissent la largeur de bande de changement de MPPP sur demande sans besoin de participation d'utilisateur aux changements de configuration. En conséquence, le NAS peut contrôler l'utilisation de ses ports d'accès par visiteur.
BAP administre la méthode dans à la laquelle différents liens sont ajoutés et supprimés d'un paquet de MPPP. Tandis que LCP est négocié, BAP est décidé, et un discriminateur de distinction de lien est donné à chaque lien dans un paquet de MPPP. Il permet à des pairs d'indiquer quel lien est évoqué ou débranché quand l'augmentation ou la diminution de largeur de bande est demandée.
BAP peut fonctionner en deux modes différents : actif et passif. Le mode actif signifie que le dispositif peut lancer ou accepter n'importe quel type de demande de raccordement et déterminer à si des liens devraient être ajoutés ou enlevés d'un paquet de multilink. Le mode actif est pour des interfaces d'appeleur, mais pas pour des interfaces de virtuel-calibre. Le mode passif signifie que le dispositif répond seulement aux appels en acceptant une demande d'appel, une demande de rappel de service, ou une addition ou un déplacement d'un lien par un pair actif. Le mode passif peut être employé pour des interfaces de virtuel-calibre et des interfaces d'appeleur.
BAP soutient l'RNIS et les interfaces série asynchrones. Quand l'opération parlante de BAP au-dessus de l'appeleur connecte, seulement le legs cadran-sur-exigent le cheminement (DDR) des configurations d'appeleur sont discutées. BAP ne soutient pas des profils d'appeleur de DDR.
Le premier lien de membre du paquet de MPPP n'est pas négocié sous BAP. Le membre suivant lie, cependant, exigez la gestion de BAP. Bien que le premier lien n'appartienne pas à BAP, il porte tous les paquets de l'information de BAP. Il y a un total de huit types de paquet de BAP :
Appeler-Demandez
Appeler-Réponse
Rappel-Demandez
Rappel-Réponse
Lien-Baisse-Questionner-Demandez
Lien-Baisse-Questionner-Réponse
Appeler-Statut-Indication
Appeler-Statut-Réponse
BAP suit l'exécution du MPPP du Cisco dans son jugement de charge de surveiller le maître de paquet. La charge de paquet détermine le besoin d'agrégation de largeur de bande. Seulement avec BAP, les deux pairs doivent être d'accord sur la décision d'agrégation de largeur de bande.
Les valeurs du champ de drapeau, d'adresse, et de commande sont constantes.
Le champ de protocole indique la charge utile de protocole (telle que TCP/IP ou IPX).
La zone d'information peut être de longueur variable selon le Maximum Transmission Unit (MTU) de l'interface de PPA.
La FCS est l'ordre de contrôle d'armature.
Online: 389 users browsing the articles directory
|
|