Per permettere i collegamenti a distanza, gli utenti devono avere i seguenti componenti installati sui loro dispositivi: software di applicazione (quali il ftp, il telnet, o un web browser), pile di protocollo (TCP/IP, IPX, Appletalk) e protocolli di collegamento-strato (quale PPA).
Una volta spediti attraverso il collegamento di dialup, i protocolli di alto-strato sono incorniciati nei protocolli di collegamento-strato (quale PPA) tanto come l'incorniciatura di collegamento-strato di Ethernet incapsula i datagrams del IP su una lan.
Questo articolo introduce i seguenti concetti:
Protocolli comuni di a distanza-accesso
|
|
Incorniciatura di PPA
Fasi di trattativa di PPA
Opzioni di LCP
Disposizione della struttura di PPA
Affinchè il punto eccessivo della trasmissione del datagram indichino le linee, due protocolli standard esistono: Linea di serie Internet Protocol (SLITTAMENTO) e PPA. Lo SLITTAMENTO, descritto in RFC 1055, funziona soltanto con il IP su punto per indicare i collegamenti di serie. La PPA, d'altra parte, può facilitare i circuiti sincroni ed asincroni multiprotocol dell'eccedenza dei collegamenti. Di conseguenza, la PPA è il protocollo il più ampiamente usato per accesso a distanza della manopola.
Come accennato, la PPA può trasmettere i collegamenti asincroni o sincroni dell'eccedenza dei pacchetti. Il tipo d'incorniciatura del pacchetto è dettato dal mezzo in uso. Il controllo di programmazione dei dati asincrono del Alto-Livello (AHDLC) che incornicia è usato per i collegamenti asincroni e l'incorniciatura punta-sincrona è usata per i collegamenti sincroni. Il Cisco sostiene i seguenti tipi d'incorniciatura di PPA per le interfacce differenti:
Incorniciatura asincrona delle interfacce (modem) AHDLC
Incorniciatura Punta-sincrona sincrona delle interfacce (pubblicazione periodica o ISDN)
Collegamenti (vty) terminali virtuali via l'incorniciatura sincrona dell'interfaccia V.120
Interfacce asincrone con V.110 l'incorniciatura speciale dei modem V.110
Non appena il tipo di incapsulamento descritto nella sezione preceding è stato confermato, il tipo di mezzi di collegamento non è più relativo all'istituzione del collegamento di PPA. La PPA stabilisce la connettività di protocollo di rete in tre fasi funzionali:
Colleghi il protocollo di controllo (LCP) stabilisce e configura il collegamento di dato-collegamento. Durante questa fase, il protocollo usato nella fase prossima è negoziato.
L'autenticazione applica la funzionalità di sicurezza al collegamento.
Il protocollo di controllo della rete (NCP) stabilisce e configura le norme differenti di rete-strato, quali il IP, il IPX, Appletalk, il DECnet ed i dati gettati un ponte su.
LCP e NCP sono discussi dettagliatamente nelle seguenti sezioni da una prospettiva più teorica.
LCP si occupa delle opzioni che sono collegamento-dipendenti e protocollo-indipendenti. Come accennato, la trattativa di LCP è bidirezionale, che significa che entrambe le estremità del collegamento devono accosentire sulle loro opzioni e riconoscere la richiesta del relativo pari. Alcune delle opzioni hanno negoziato durante la fase di LCP includono il numero magico (per rilevare "loopback"), la chiamata ripetuta, il multilink, la compressione di collegamento e l'autenticazione. L'autenticazione in termini di LCP traduce in se l'autenticazione deve essere usata e, in caso affermativo, che il protocollo faciliterà l'autenticazione. Tuttavia, questo non è il processo reale di autenticazione.
Non appena la fase di LCP è stata negoziata con successo, il collegamento di LCP è considerato aperto. Ora il processo di autenticazione come determinato da LCP può cominciare.
NCP è il punto finale del processo di trattativa di PPA. NCP si occupa delle opzioni protocollo-dipendenti quale l'indirizzo di protocollo, compressione di protocollo, e così via. Le diverse opzioni di NCP corrispondono al tipo di protocollo configurato sull'interfaccia. Per esempio, se il IP è il protocollo scelto, IPCP (protocollo di controllo del IP) è negoziato.
L'indirizzo di protocollo è l'opzione di NCP che è negoziata sempre. A volte è l'unica opzione negoziata. Per il NAS è possibile fornire l'indirizzo di protocollo al manopola- nel cliente o riconoscere semplicemente che cosa indirizzo di protocollo il pari chiede. Affinchè un router a distanza del Cisco accetti un indirizzo dal NAS ha composto in, il cliente che il router deve essere configurato per fare così.
IPCP è il NCP primario ed è usato qui spiegare i parametri di NCP. Come componente del processo di IPCP, solitamente tre opzioni differenti sono negoziate: il IP address, compressione dell'intestazione di IP/TCP ed il DNS e le VITTORIE primari e gli assistenti secondari. Tenga presente che le opzioni di VITTORIE e di DNS collegano ai clienti del pc di Microsoft Windows soltanto.
Durante le trattative di IPCP, i ruoli di un cliente e un NAS sono differenti. L'assistente di accesso è richiesto fornire i parametri di trattativa (indirizzo di IP address, di DNS e di VITTORIE ed e così via) per se e spesso per un cliente pure. D'altra parte, il cliente deve essere configurato per potere richiamare queste informazioni dal NAS.
Un'altra opzione nelle trattative di IPCP è, come accennato, la compressione dell'intestazione di TCP/IP. Ciò ha potuto fare diminuire il formato dell'intestazione da 40 a 5 byte. La trattativa di questa opzione include se il pari può accettare un pacchetto con l'intestazione appiattita. Questa caratteristica è suggerita per le trasmissioni di cui i formati del pacchetto sono piccoli, quali il telnet o WWW.
La PPA offre un certo numero di caratteristiche che sono negoziate al livello di LCP che può risultare molto utile una volta effettuato in una tra reti:
Opzioni di autenticazione
Chiamata ripetuta di PPA
Compressione di PPA
Multilink PPA
Protocollo Di Ripartizione Di Larghezza di banda (BAP)
Questi servizi saranno descritti dopo.
Prima che cominciate ad imparare circa il processo e le tecniche di autenticazione di PPA, dovreste diventare esperti con i seguenti termini:
Authenticator autenticazione esigente del pari. Specifica il protocollo di autenticazione da usare durante la fase di LCP.
Scruta la conclusione opposta del collegamento; un'entità che sta autenticanda dal authenticator.
Autenticazione a distanza autenticazione a distanza del pari di PPA del NAS locale.
Autenticazione locale Il NAS locale che autentica il relativo pari a distanza.
Quando l'autenticazione è chiesta da il uno o il altro lato del collegamento durante la trattativa di LCP, l'autenticazione reale avviene dopo che la fase di LCP sia completata. L'autenticazione è compiuta per controllare la validità del pari. Ciò è fatta verificando il nome preassigned (spesso denominato il nome ospite o di userid) ed il segreto (spesso denominato la parola d'accesso). La combinazione di name/secret può essere immagazzinata localmente o a distanza su un assistente del AAA.
Le due tecniche di autenticazione di PPA più popolari sono protocollo di autenticazione di parola d'accesso (PAP) e sfidano il protocollo di autenticazione della stretta di mano (SCREPOLATURA). Entrambi si accertano che gli individui non autorizzati non possano accedere all'assistente di a distanza-accesso (RAS). Le loro differenze sono discusse più successivamente più nei particolari.
Come è il caso con tutte le altre fasi di trattativa di PPA, l'autenticazione è bidirezionale. Ciò significa che entrambe le estremità del collegamento sono richieste autenticare uno un altro. Di conseguenza, l'autenticazione deve essere permessa ad entrambe le estremità.
Il NAS del Cisco differenzia fra i tipi di sensi di chiamata. Secondo il tipo, il NAS intraprende determinata azione quando viene all'autenticazione. Ciò è fatta per proteggere la rete dalle violazioni di sicurezza. La tabella 1 elenca i tipi di chiamate e delle risposte successive del NAS.
| Senso | Descrizione | Reazione di NAS |
|---|---|---|
| Callin | Accade quando il NAS è sulla conclusione di ricezione della chiamata. | Il NAS richiede al pari di completare con successo l'autenticazione locale prima della risposta a tutte le richieste per l'autenticazione a distanza. Ciò è destinata per evitare gli attacchi di playback. |
| Callout | Accade quando il NAS del Cisco dispone la chiamata. | Il NAS risponde alla richiesta a distanza di autenticazione senza in primo luogo prevedere il completamento dell'autenticazione locale. |
| Dedicato | Accade quando il NAS del Cisco non riconosce a quale senso la chiamata appartiene. | Il NAS risponde alla richiesta a distanza di autenticazione senza in primo luogo prevedere il completamento dell'autenticazione locale. |
Le seguenti sottosezioni descrivono il PAP e SCREPOLANO più dettagliatamente.
Il PAP è il di meno-sicuro dei due protocolli di autenticazione di PPA, perché il segreto è trasmesso sopra il legare in testo libero. Di conseguenza, se il pacchetto è bloccato, il segreto contenuto in esso può essere usato in un attacco cattivo. Naturalmente, a causa di questo svantaggio, il PAP non è un metodo preferito di authenticationunless, naturalmente, è quello unico sostenuto.
Il PAP effettua una sequenza bidirezionale della stretta di mano per verificare l'identità del relativo pari:
NOTA
Il segreto a punto 1 non deve essere identico per entrambi i pari. Ciascuno possono avere loro propri.
La SCREPOLATURA è abbastanza una punta più sicura del PAP. Durante l'autenticazione della SCREPOLATURA, il segreto in se non è trasmesso mai attraverso il collegamento, alcune parti della comunicazione sono cifrate e le sfide sono ripetute costantemente per accertarsi che il collegamento sia autorizzato sempre. Diverso del PAP, la SCREPOLATURA usa una stretta di mano a tre vie per gli scopi dell'identificazione:
NOTA
Poiché i valori del hash devono essere identici per l'autenticazione della SCREPOLATURA a lavoro, il valore segreto deve essere ripartito fra entrambi i pari. Questo requisito è forma differente l'esecuzione di PAP.
La chiamata ripetuta di PPA è un'opzione negoziata durante il LCP che permette che un visitatore chieda che un partito denominato dovrebbe disporre un'altra chiamata ripetuta al pari d'inizio. Per questa discussione, il partito che chiede una chiamata ripetuta è il cliente ed il partito che accetta la richiesta e che fa la chiamata ripetuta è l'assistente. La chiamata ripetuta di PPA è sicurezza utile quando il controllo centralizzato sopra una chiamata è voluto, quali per gli scopi di consolidamento della fattura, risparmio di chiamata di dialup e perfino, perché le chiamate ripetute sono disposte soltanto ai numeri preconfigured.
Anche se normalmente l'autenticazione è considerata una caratteristica facoltativa di PPA, deve essere permessa e passata per la caratteristica di chiamata ripetuta a lavoro.
La sequenza di una chiamata ripetuta di PPA è come segue:
La PPA è negoziata sulla chiamata cliente-iniziata soltanto. La chiamata ripetuta non richiede una nuova trattativa di PPA.
NOTA
Se l'assistente decide che il cliente non è autorizzato per un servizio di chiamata ripetuta, la risposta dipende sopra se manopola-su-richieda il percorso è effettuato per il collegamento. Se DDR è usato, l'assistente di chiamata ripetuta continua a procedere la chiamata iniziale come se non ci sia stato richiesta di chiamata ripetuta di cominciare con. Se desiderate staccare un utente che ha venuto a mancare l'autorizzazione di chiamata ripetuta, potete pubblicare un ordine facoltativo sull'assistente. Se il collegamento è non-DDR, l'assistente di chiamata ripetuta stacca la chiamata iniziale per difetto.
La compressione può migliorare significativamente il rendimento sui collegamenti lenti. L'IOS del Cisco offre la compressione di PPA per tutti i protocolli di superiore-strato con il protocollo di controllo di compressione (CCP). Questo tipo di compressione è considerato una compressione dell'per-interfaccia.
LA PPA CCP è una caratteristica facoltativa ed è negoziata dopo la fase di LCP. Il Cisco sostiene due procedure di compressione di CCP:
STAC controlla il flusso di dati per vedere se c'è stringhe ridondanti e le sostituisce con il segno che sono più piccole. Allora genera le tabelle del segno con le informazioni circa dove il tipo originale si presenta all'interno del flusso di dati. Queste tabelle sono usate per sostituire le stringhe ridondanti trovate nei flussi di dati successivi. Questo processo usa più CPU ma meno memoria.
Il preannunciatore controlla i dati per vedere se c'è compressione precedente. I dati già-compressi sono trasmessi come è. Questo processo richiede più memoria ma pochi cicli del CPU.
Entrambe procedure basano il loro funzionamento "sui dizionari" di compressione di dati passata. Quando i dizionari diventano in pieno, le informazioni sono rinnovate. La scelta di una procedura dipende da ogni caso specifico.
La compressione dovrebbe essere usata con cura, perché può essere una difficoltà sulle risorse di sistema. Tenga presente che il tasso di compressione dipende dal tipo di dati. Per esempio, le lime di testo sono candidati molto buoni per compressione contro le disposizioni già-compresse della lima che non renderebbero un rapporto di compressione più migliore di di 1:1. Inoltre, per quanto possibile, la compressione dei fissaggi dovrebbe essere scelta sopra compressione del software.
Anche se la compressione di PPA può essere bidirezionale, è suggerito che soltanto il lato a distanza del cliente effettua la compressione. Questo senso, il NAS può decomprimere la comunicazione del cliente ma non comprime il relativi propri. Il motivo per questo è in modo che il NAS in se eviti di effettuare la compressione che può usare quattro volte più alimentazione del CPU quanto la decompressione.
Multilink PPA (MPPP) è una tecnica di frammentazione dei pacchetti e di trasmissione loro dell'eccedenza che le programmazioni dei dati multiple alla PPA scrutano per il rimontaggio. Il beneficio delle bugie di MPPP nella relativa capacità temporaneamente di usare larghezza di banda supplementare che è disponibile fra i due pari. MPPP è identificato da un'intestazione supplementare 4-byte che detta ordinare del frammento.
MPPP può essere usato nei seguenti piani d'azione:
Nelle topologie con commutazione a circuito per le scanalature del ISDN B o i collegamenti asincroni anche se MPPP non è stato progettato esclusivamente per le reti del ISDN, può certamente essere impiegato con successo in un tal ambiente dinamicamente unendo le scanalature multiple di B in un singolo collegamento gran-graduato per realizzare la N * una larghezza di banda dei 64 kbps. Il più usuale dei valori di N è 2 perché è redditizio ed ampiamente disponibile. La combinazione delle due scanalature di B renderebbe una larghezza di banda totale di 128 kbps.
La linea dedicata tutti i membri del gruppo è linee di serie sincrone.
Le linee composte o dedicate collegamenti separati possono essere di la una o la altra origine.
La larghezza di banda differente di diversi membri che il formato massimo del frammento è computato ha basato sul più lento di tutti i collegamenti raggruppati.
La combinazione di produrre di applicazioni differente-ha graduato il miscuglio secondo la misura dei datagrams dei datagrams senza un'intestazione del multilink.
Prima che possiate capire gli angoli più riposti di MPPP, dovreste diventare esperti con i seguenti termini:
Impacchetti il gruppo di A dei collegamenti fra i due pari di PPA uniti per il funzionamento di MPPP.
Impacchetti il padrone un'interfaccia nel controllo di un pacco.
Impacchetti il membro un'interfaccia che è una parte di un pacco.
Gruppo rotativo dell'interfaccia A del dialer per le interfacce multiple quale ISDN BRI/PRI.
Interfaccia di serie dell'interfaccia A di Nondialer.
interfaccia logica provvisoria dell'interfaccia A di Virtuale-accesso generata a scopo di una chiamata di MPPP. La relativa configurazione è clonata dall'interfaccia del dialer che ha disposto o ricevuto la chiamata di MPPP.
La mascherina virtuale usata per MPPP denomina le interfacce eccessive del nondialer per fornire le informazioni di configurazione.
Unità Massimo-Ricev-Ricostruita (MRRU) un'opzione di LCP che indica se il mittente del pacchetto di LCP sostiene MPPP ed il limite massimo di byte del collegamento.
Discriminatore di punto finale un'opzione di LCP che specifica se un pacco di MPPP esiste per il dispositivo di trasmissione.
Ogni pacco di MPPP deve essere controllato da una singola interfaccia, il padrone del pacco, che è un'interfaccia di virtuale-accesso.
Il processo del multilink PPA comincia fuori con la trattativa di LCP, compreso l'opzione di MRRU che avviene sull'interfaccia fisica. La trattativa di PPA LCP determina se MPPP possa essere usato sul collegamento. Il pacco è identificato dal nome del pari, dal relativo discriminatore di punto finale, o da entrambi. Di conseguenza, l'autenticazione di PPA è richiesta per completare in moda da potere identificarsi, chiamare il pacco e controllare i pari se un altro pacco dello stesso nome già esista. Se un pacco già esiste, la nuova chiamata si unisce semplicemente dentro. Nessuna nuova trattativa di tutta la specie è richiesta per le chiamate supplementari.
A questo punto, il NAS installa un'interfaccia di virtuale-accesso come il padrone del pacco. Da questo momento, tutte le trattative di PPA sono trasferite dall'interfaccia fisica all'interfaccia di virtuale-accesso. L'interfaccia fisica si transforma in in una parte di un pacco governato da un padrone del pacco. Che cosa parametri di NCP sono negoziati per il padrone sono applicati automaticamente al resto dei membri del pacco.
Tre edizioni importanti sono associate con il funzionamento del MPPP:
Un nuovo collegamento in un pacco è portato in su ed è aggiunto al pacco ogni volta che la saturazione del padrone del pacco raggiunge il carico specificato. Questo valore è rappresentato come percentuale di 255, dove 255 sono il massimo.
Come accennato, un nuovo pacco può essere generato quando non c'è nessun altro pacco fra gli stessi due pari già in atto. Un singolo pacco può maneggiare i collegamenti multipli fra lo stesso accoppiamento dei dispositivi. Così le regole sono semplici: Se non ci è pacco, uno può essere costruito; se ci è un pacco, la nuova chiamata lo unisce. L'esistenza del pacco è controllata usando un nome previsto. L'ordine di difetto in cui i pacchi sono chiamati è primo dal nome autenticato PPA ed allora dal discriminatore di punto finale se nessun'autenticazione è stata negoziata.
I collegamenti sono caduti da un pacco quando il carico del padrone del pacco cade sotto la soglia configurata per un tempo predeterminato (il temporizzatore al minimo). Il collegamento che è stato aggiunto all'ultimo del pacco è quello primo da staccare. Con i collegamenti della larghezza di banda disuguale, il collegamento più lento è caduto in primo luogo.
La specifica per BAP è un'estensione del concetto di MPPP. È stata generata per controllare il numero di collegamenti che ad un utente autorizzato è permesso stabilire in qualunque momento. BAP genera un insieme delle regole standard che lasciano la larghezza di banda del cambiamento di MPPP a richiesta senza l'esigenza di partecipazione dell'utilizzatore finale ai cambiamenti di configurazione. Di conseguenza, il NAS può controllare l'uso dei relativi orificii di accesso per il visitatore.
BAP amministra il metodo in cui i diversi collegamenti sono aggiunti e sono cancellati da un pacco di MPPP. Mentre LCP è negoziato, BAP è deciso e un discriminatore di distinzione di collegamento è dato ad ogni collegamento in un pacco di MPPP. Permette che i pari specifichino quale collegamento è portato in su o è staccato quando l'aumento o la diminuzione di larghezza di banda è chiesto.
BAP può funzionare in due modi differenti: attivo e passivo. Il modo attivo significa che il dispositivo può iniziare o accettare qualunque tipo di richiesta di collegamento e determinare a se i collegamenti dovrebbero essere aggiunti o essere rimossi da un pacco del multilink. Il modo attivo è per le interfacce del dialer, ma non per le interfacce della virtuale-mascherina. Il modo passivo significa che il dispositivo risponde soltanto alle chiamate accettando una richiesta di chiamata, una richiesta di chiamata ripetuta, o un'aggiunta o una rimozione di un collegamento da un pari attivo. Il modo passivo può essere usato per le interfacce della virtuale-mascherina e le interfacce del dialer.
BAP sostiene il ISDN e le interfacce di serie asincrone. Quando il funzionamento parlante di BAP sopra il dialer connette, solo l'eredità manopola-su-richiede il percorso (DDR) le configurazioni del dialer sono discusse. BAP non sostiene i profili del dialer di DDR.
Il primo collegamento del membro del pacco di MPPP non è negoziato sotto BAP. Il membro successivo si collega, tuttavia, richieda l'amministrazione di BAP. Anche se il primo collegamento non appartiene a BAP, trasporta tutti i pacchetti delle informazioni di BAP. Ci è un totale di otto tipi del pacchetto di BAP:
Denomin-Chieda
Denomin-Risposta
Chiamata-Chieda
Chiamata-Risposta
Collegamento-Goccia-Interrog-Chieda
Collegamento-Goccia-Interrog-Risposta
Denomin-Condizione-Indicazione
Denomin-Condizione-Risposta
BAP segue l'esecuzione di MPPP del Cisco nel relativo giudizio del carico controllando il padrone del pacco. Il carico del pacco determina l'esigenza dell'aggregazione di larghezza di banda. Soltanto con BAP, entrambi i pari devono accosentire sulla decisione di aggregazione di larghezza di banda.
I valori del campo della bandierina, di indirizzo e di controllo sono costanti.
Il campo di protocollo rivela il carico utile di protocollo (quali TCP/IP o il IPX).
Il campo d'informazione può essere della lunghezza variabile secondo il Maximum Transmission Unit (MTU) dell'interfaccia di PPA.
Il FCS è la sequenza del controllo della struttura.
Online: 341 users browsing the articles directory
|
|