リモート接続を行う可能ですが、ユーザーの必要があり、以下のコンポーネントがインストールされてデバイス:アプリケーションソフトウェア(などのftp 、 telnetの、または、ウェブブラウザ)は、プロトコルスタック(のtcp / ip 、 ipxを、のappletalk )とリンク層のプロトコル( pppのような)します。
送信される際に渡って、ダイアルアップ接続は、上位層プロトコルは、フレーム内のリンク層プロトコル( pppのような)とよく似たイーサネットリンク層のフレーミングするためにlan ipデータグラムをカプセル化します。
この記事で、次の概念を紹介:
共通のリモートアクセスプロトコル
|
|
pppのフレーミング
交渉の段階でのppp
lcpオプション
pppのフレームのフォーマット
データグラムを伝送するためのポイントツーポイントの行は、 2つの標準プロトコルが存在:シリアル回線インターネットプロトコル(スリップ)とのpppます。 伝票に記載されのrfc 1055 、作品のipだけではポイントツーポイントのシリアル接続できません。 pppのは、その一方で、マルチプロトコルの接続を容易にすることができ同期および非同期回路です。 したがって、 pppは最も広く使われてダイヤルリモートアクセスするためのプロトコルです。
前述のとおり、 pppのパケットを送信することができ同期非同期またはリンクします。 パケットのフレーミングタイプが変化する中で使用されます。 非同期高レベルデータリンク制御( ahdlc )非同期フレーミングが使用されるリンク、およびビット同期フレーム同期のためのリンクが使用されます。 シスコは、以下のpppフレーミング、さまざまな種類のインターフェイス:
非同期インターフェイス(モデム) ahdlcフレーミング
同期インターフェイス(シリアルまたはisdnの)ビット同期フレーミング
仮想端末( vty )接続を介して同期インターフェースv.120フレーミング
非同期インターフェイスを特別v.110モデムv.110フレーミング
カプセル化が完了し次第、上記のタイプが確認されたセクションでは、リンクに関連したメディアの種類は、もはやppp接続確立します。 pppの接続を確立するネットワークプロトコルの3つの機能の段階:
リンク制御プロトコル( lcp )を確立し、データリンク接続を設定します。 この段階では、次の段階のプロトコルが使用されては、交渉します。
認証のセキュリティ機能を適用して接続してください。
ネットワーク制御プロトコル( ncp )を確立し、さまざまなネットワーク層プロトコルの設定など、いるip 、 ipx 、のappletalk 、 decnet 、およびデータを架橋します。
lcpとncpの詳細は、次のセクションで議論され、より理論的な観点からします。
lcp扱っているオプションについては、リンクおよびプロトコルに依存に依存します。 前述のとおり、 lcp交渉は双方向です。これは、接続の両端に同意する必要があり、そのピアのオプションと認めるリクエストします。 いくつかのオプションを交渉中にマジックナンバーを含めるlcp相(ループバックを検出する)は、コールバック、マルチリンク、リンク圧縮、および認証します。 認証の点ではlcpに変換するかどうかを認証に使用されると、この場合には、これを容易にする認証プロトコルがします。 しかし、これではありません、実際の認証プロセスです。
lcp相とすぐに交渉に成功してきた、とみなされlcp接続を開いています。 現在、認証プロセスを開始することができlcpとして決定されます。
ncpのステップでは、最終的な交渉の過程でのpppます。 ncp扱っているオプションなどのプロトコルに依存しプロトコルアドレス、プロトコルの圧縮、その他いろいろ。 ncp個別のオプションに対応して設定されているインターフェイスタイプのプロトコルです。 たとえば、 ipは、選択したプロトコルで、でipcpのip (制御プロトコル)がネゴシエートします。
アドレスは、オプションのプロトコルncpは常に交渉しています。 ときどきは、オプションのみをネゴシエートします。 それは可能性を提供するためのnasプロトコルアドレスをダイヤルするだけでクライアントまたはプロトコルアドレスピアの要求を認めることです。 シスコのルータを受け入れるために、リモートアドレスからのnasことがダイアルするには、クライアントのルータを設定する必要がありません。
でipcp ncpとは、プライマリが使用され、ここをncpパラメータを説明しています。 部としてでipcp過程で、通常の3つのオプションがネゴシエート: ipアドレス、 ip /のtcpヘッダーの圧縮、およびサーバーのプライマリとセカンダリ勝dnsとします。 を念頭に置いておくことに関連するdnsとオプション勝microsoft windowsのクライアントパソコンのみです。
でipcp交渉中には、クライアントの役割のnasとは異なっています。 サーバーのアクセスを供給することが必要との交渉のパラメータ( ipアドレス、 dnsと勝アドレスなど)には、多くの場合は、クライアント自体されます。 その半面、クライアントのニーズにできるように設定することができるから、この情報を取得するのnasます。
別のオプションでipcpの交渉は、すでに述べたように、 tcp / ipのヘッダ圧縮します。 このヘッダーを低下させる可能性の大きさ40〜5バイトになります。 このオプションを使用するかどうかの交渉を含むピアを受け入れることができヘッダーパケットを圧縮します。 この機能は、送信者にお勧めのパケットサイズが小さいなどのtelnetまたはwwwします。
pppのオファー数多くの機能がlcpレベルでの交渉を証明することができるときに非常に便利で実装され、相互接続:
認証オプション
pppコールバック
pppの圧縮
マルチリンクのppp
帯域幅割り当てプロトコル( bap )
これらのサービスは次のページで説明します。
学習を始める前にppp認証プロセスやテクニックについては、慣れている必要があり、次の条件になる:
認証ピア認証を要求します。 認証プロトコルを指定しlcp相中に使用しています。
ピア、反対側のリンク;エンティティの認証された認証されています。
リモート認証、リモートpppのピア認証に、地元のnasます。
ローカル認証ローカル認証のnasそのリモートピアます。
認証が要求されたときの両側に接続lcp交渉中には、実際の認証が行われた後lcp段階は完了しました。 認証は成し遂げピアの妥当性をチェックします。 これは事前に割り当てられたか確認して行われた名前(またはホスト名と呼ばれ、ユーザーid )で、その秘密(と呼ばれ、パスワードを入力)します。 名前/秘密の組み合わせを保存することができて、ローカルまたはリモートaaaサーバます。
最も人気の高い2つのテクニックについてはppp認証パスワード認証プロトコル(子供だまし)とチャレンジハンドシェーク認証プロトコル(やつ)だ。 個人の両方を確認して不正にアクセスすることはできませんリモートアクセスサーバー(ラス)します。 より詳細については、それらの違いは後にします。
と同様に他のすべてのppp交渉の段階では、双方向認証がします。 これは、両端の接続を認証する必要がある。 このため、認証を有効にする必要があり両端にします。
differentiatesの間で、シスコのnasの種類の方向にコールします。 型に応じて、特定のアクションまでのnasのことになると認証します。 これは、ネットワークを保護するセキュリティの侵害に反対します。 表1は、種類の通話は、その後のnasの反応します。
| 方向 | 説明 | 反応のnas |
|---|---|---|
| キャリン | が発生したときのnasの受信者側では、コールします。 | 必要なのnasピアのローカル認証を正常に完了する前にすべてのリクエストをリモート認証に返信しています。 これは再生の攻撃を避けるために設計されます。 |
| 見出し | シスコが発生したときのnas場所に連絡します。 | のnasのリクエストに応答して、リモート認証をせずに最初に完成すると期待して、地元の認証します。 |
| 専用 | シスコのnasしたときに発生していませんどちらの方向を認識し、コールに属します。 | のnasのリクエストに応答して、リモート認証をせずに最初に完成すると期待して、地元の認証します。 |
子供だましやchapを、次のサブセクションで詳細に説明します。
パパニコローは、あまりppp認証の2つのプロトコルを確保するため、その秘密が送信され、ワイヤ上で、クリアテキストです。 したがって、パケットがキャプチャした場合は、その秘密に含まれることができ、悪意のある攻撃に使用されます。 当然のことながら、このための欠点は、子供だましではありません推奨される方法はauthenticationunless 、もちろん、これは、 1つしかサポートされます。
パパニコロー握手を実装する2つの方法-配列そのピアのアイデンティティを確認する:
注意
秘密のステップ1ではありませんなければならないの両方で同じピアリングします。 それぞれが、自分のことができます。
やつはかなりの量よりもより安全なパパニコローます。 やつ認証中に、その秘密自体の接続で送られることはありません、いくつかの部品の通信は暗号化され、の課題は、継続的に繰り返されることを確認し、常時接続が許可されます。 子供だましとは違って、やつを使用する3つの方法で握手を同定目的のため:
注意
する必要があるため、ハッシュ値と同じやつを認証するには、秘密の値の間で共有しなければならないピアリングします。 この要件は違った形で実装してパパニコローます。
pppコールバックオプションは、交渉中に電話をかけることができるlcpをリクエストして別の場所に呼ばれなければならないピアのコールバックを開始します。 この議論は、党のクライアントは、コールバックをリクエストすると、党の要求を受け入れることや、サーバーには、コールバックします。 pppコールバックを集中的に制御するときには、便利なコールが望ましい、などの目的での統合案は、ダイアルアップコール貯蓄、さらに、セキュリティ、コールバックのため、あらかじめ数字のみに配置されます。
認証にかかわらず、通常のpppとみなされ、オプションの機能で、それを有効にしなければならないと渡されるため、コールバック機能を動作します。
シーケンスのpppコールバックは以下のとおりです:
pppの交渉が開始されたクライアントのみを呼び出します。 コールバックする必要はありません新しいppp交渉します。
注意
判断した場合、サーバーは、クライアントがコールバックする権限がありませんサービスは、応答するかどうかにかかってダイヤルオンデマンドルーティングへの接続が実装されます。 でddrが使用された場合は、サーバーのコールバック処理を続けた場合、最初のコールとしてありませんでしたリクエストのコールバックを開始しています。 切断したい場合は、ユーザーの認証に失敗しましたコールバックは、任意のコマンドを発行することができ、サーバー上します。 接続が非でddr場合は、サーバーのコールバックを切った場合、最初のコールは、デフォルトします。
スループットを大幅に向上させることができ圧縮遅いリンクします。 シスコイオス島のpppオファー圧縮上位層プロトコルを介してすべての圧縮制御プロトコル(中国共産党)します。 このタイプのインターフェイスごとに圧縮圧縮とみなされます。
中国共産党のpppは、オプションの機能を使って、後の交渉はlcp段階です。 シスコ中国共産党の2つの圧縮アルゴリズムをサポート:
スタックをチェックし、冗長データストリームをトークンの文字列と置き換えることが小さくしています。 トークンのテーブルを作成し、それについての情報はどこで、元のデータストリーム内のタイプが発生しました。 これらのテーブルを使用して冗長性を交換した文字列が見つかりましたが、その後のデータストリームします。 しかし、このプロセスを使ってより多くのcpuより少ないメモリします。
前に予測させるものをチェックし、データを圧縮します。 すでに圧縮されたデータは、送信されています。 しかし、このプロセスに必要な複数のメモリが少ないcpuサイクルします。
これらの両方のアルゴリズムをベースにユーザーの操作を"辞書"の過去のデータを圧縮します。 ときに辞書が満杯になるとの情報が更新されます。 アルゴリズムを選択する場合、各個人に依存しています。
圧縮注意して使用しなければならないので、システムリソースの負担をすることができます。 を念頭に置いておくことは、圧縮率はデータの種類に依存しています。 たとえば、テキストファイルには非常に良い候補者を対既に圧縮されたファイル形式で圧縮してしまわない利回りがより良い1:1圧縮比します。 また、可能な場合は、ハードウェア圧縮ソフトウェアを選択しなければならない圧縮します。
双方向のpppものの圧縮することができ、ことをお勧めして、リモートクライアント側で実行するだけで圧縮します。 この方法では、解凍して、クライアントのコミュニケーションのnasことができていませんが、独自の圧縮します。 その理由は避けて実行するので、それ自体のnas圧縮して使用することができ4倍の額としてcpuパワーを減圧します。
マルチリンクのppp ( mppp )は、技術fragmentingパケットを送信すると、複数のpppピアのためのデータへのリンクを再構築します。 mpppの利益の嘘は、一時的に使用する能力を追加しての利用可能な帯域幅の間に2つのピアリングします。 mpppによって識別され、追加の4バイトのヘッダーの断片シークエンシング指図しています。
mpppに使用されることができ、次のシナリオ:
回線交換でトポロジisdn bのチャネルまたは非同期の接続専用に設計さはなかったもののmppp isdnのネットワークでは、確かにすることに成功し採用されるような環境を動的に結合され、複数のbのチャンネルを1つのリンクを達成するために大きなサイズのn * 64 kbpsの帯域幅です。 最も通常のnの値は、 2しているため、費用対効果の高い、広くご利用いただけます。 ご希望の利回りbの2つのチャネルを組み合わせて、合計帯域幅128 kbpsです。
すべてのグループのメンバーは、専用線同期シリアル行します。
ダイアルまたは別の専用線のいずれかの起源リンクすることができます。
個人会員のさまざまな帯域幅の最大断片サイズの計算に基づいて、グループのすべての遅いリンクします。
アプリケーションでの生産の組み合わせ大きさの違うデータグラムデータグラムなしでのマルチリンクのヘッダーの混合します。
前に理解することができ綾mppp 、慣れっこになる必要があり、次の条件:
束の間に2つのグループへのリンクを併用ピアのppp mppp操作します。
バンドルマスターのインターフェイスの束をコントロールします。
バンドルインターフェイスのメンバーが参加するバンドルします。
複数のインターフェイスをダイヤラロータリーグループのようなインターフェイスのisdnブライ/ priのです。
nondialerインターフェイスのシリアルインターフェイスします。
一時的にアクセスする仮想インターフェイスの論理インターフェイスを作成するmpppの目的のために電話します。 その設定は、クローンに配置してから、ダイヤラインターフェイスまたは受信してmpppコールします。
テンプレートを使用する仮想コールmpppやり直すnondialerインターフェイスの設定情報を提供します。
上限を受け取るに復元-ユニット( mrru )しているかどうか示しlcp lcpオプションパケット送信をサポートしmpppバイト制限の上限とリンクします。
エンドポイントオプションを弁別するlcp mppp束が存在するかどうかを指定するためのデバイスに送信します。
mppp束ごとに制御される必要があり、 1つのインターフェースでは、バンドルマスターして、これは、仮想インターフェイスにアクセスします。
マルチプロセスが起動してのppp lcp交渉するなど、 mrruオプションでは、物理的なインタフェースが行われます。 交渉のppp lcp使われているかどうかを決定することができmpppリンクします。 バンドルピアの名前によって識別され、その終点弁別、またはその両方をします。 したがって、 ppp認証を完了する必要がピアリングを見分けることができるので、お互いに、名前をバンドルして、どうかをチェックすると、同じ名前の別の束既に存在します。 束が既に存在する場合は、新しいコールに参加できます。だけでなく、いかなる種類の新たな交渉が必要との電話を追加します。
この時点でのnasセットアップして、仮想アクセスインターフェイスとしてバンドルマスターします。 この瞬間から、すべての交渉がpppを転送することから、物理的なインターフェイスを仮想インターフェイスにアクセスします。 物理的なインターフェイスになる部分の束の束のマスターに支配されています。 どんなncpパラメータは、マスターのための交渉は、自動的に適用され、他のメンバーをバンドルします。
3つの主要な問題は、関連付けられているmpppの操作:
新しいリンクの束が育つと束に追加されたときの束マスターの負荷飽和状態に達し、指定します。 この値は、表される割合が255 、 255は、最大ます。
すでに述べたように、新しいバンドルを作成することができない場合は、他の束と同じ2つのピアの間には既に存在しています。 複数の接続を処理することができ、 1つの束の間で、同じ組のデバイスです。 ルールは単純なので、 :バンドルされない場合は、 1つ内蔵することができ;束がある場合は、新しいコールに参加してください。 束の存在にはチェックマークが予想される名前を使用しています。 デフォルトの順番は、名前が最初にバンドルされ、その後の名前のppp認証されていない場合、エンドポイント弁別交渉してきた認証します。
このリンクは、下落したときからの束をバンドルマスターの負荷の滝の下にしきい値を設定するためにあらかじめ決められた時間(アイドルタイマー)します。 リンクを追加しましたが、最後にバンドルされるのは初めて1つの接続が切断されます。 リンクの帯域幅が等しくないと、遅いリンクが最初にドロップします。
bapためには、仕様を拡張したmppp概念です。 が作成された接続の数を制御することが認証されたユーザを確立することができ、いつでもします。 bapのルールを作成し、標準の設定を変更しようmpppオンデマンド帯域幅を必要とせずエンドユーザーの参加は、設定の変更をします。 その結果、のnasの使用状況を管理することができ、アクセスポートあたり発信します。
bapの管理方法では、個別のリンクを追加しましたから削除するmpppバンドルします。 交渉中には、 lcp 、 bapが決定した、とリンクを区別するには、与えられたすべてのリンクを弁別するmpppバンドルします。 これにより、ピアを指定することが育つのリンクが切断されたとき、または帯域幅の増減が要求されます。
異なる2つのモードで動作することができbap :パッシブとアクティブします。 アクティブモードを開始することを意味し、デバイスまたは任意の種類の接続要求を受け入れるかどうかを判断しなければならないのリンクを追加するか、またはマルチリンクバンドルから削除されます。 アクティブモードでは、ダイヤラインターフェイス、ではなく、仮想テンプレートインターフェイス。 パッシブモードを意味しデバイスの電話にのみ応答し、コール要求を受け入れて、リクエストのコールバック、またはリンクを追加または削除されるアクティブなピアします。 パッシブモードで使用できる仮想テンプレートインターフェイスおよびダイヤラインターフェイス。
bap isdnや非同期シリアルインタフェースをサポートします。 以上の操作について話すとき、 bapダイヤラインターフェイス、レガシーのみダイヤルオンデマンドルーティング(でddr )ダイヤラの設定が話し合われました。 bapでddrダイヤラプロファイルをサポートしていませんします。
最初のメンバーは、リンクの下での交渉ではありませんbap mpppバンドルします。 その後のメンバーへのリンクしかし、 bap管理を必要とします。 最初に属していませんが、リンクをbapは、これは情報を運ぶすべてのパケットbapます。 そこには、合計8 bapパケットの種類:
コールリクエスト
電話応答
コールバックリクエスト
コールバック応答
リンクドロップクエリのリクエスト
リンクドロップクエリ応答
コールステータスを表示-
コールのステータス応答
bap mpppシスコの実装は、次のように判断されるの負荷を監視し束マスターします。 束の負荷を判別し、帯域幅を集約する必要があります。 bapだけで、両方のピアに同意しなければ、帯域幅の集約を決定します。
国旗、住所、およびフィールド値には、定数を制御します。
プロトコルのフィールドによると、プロトコルのペイロード(などのtcp / ipまたはipx ) 。
データフィールドのかもしれない可変長によると、最大伝送ユニット( mtuが)のpppのインターフェイス。
fcsエラーは、フレームチェックシーケンスします。
Online: 336 users browsing the articles directory
|
|