PPP (Point-to-Point-Protocol) er en andrelagsprotokoll av OSI-modellen som brukes på WAN-koblinger. PPP er en åpen protokoll som gjør at den kan brukes når det er nødvendig å koble Cisco-enheter med enheter fra andre produsenter (i motsetning til HDLC, angående spesifikasjonen som tsiska har sin egen mening om).
Et viktig notat bør gjøres med en gang: PPP er en multifunksjonell og utbredt protokoll, samtidig, innenfor CCNA-kurset, vurderes bare én måte å bruke den på: å koble to rutere til hverandre via en seriell kabel. Faktisk er omfanget av protokollen ikke begrenset til disse tilfellene. PPP kan fungere over nullmodemkabler, telefonlinjer og mobilkommunikasjon. En annen populær bruk av PPP er å kapsle den inn i andre Layer 2-protokoller. La meg forklare: PPP i seg selv er på andre nivå av OSI-modellen og gir en direkte forbindelse mellom to enheter, men hvis den er innkapslet i en annen andrelagsprotokoll - Ethernet (PPP over Ethernet - PPPoE), så vil Ethernet levere rammer fra avsenderens valmueadresse til valmueadressen mottakeren, etter at mottakeren vil dekapslere PPP-rammen fra Ethernet, og deretter for protokollene pakket inn i PPP (IPv4, IPX, ...) vil det bli opprettet en fullstendig "illusjon" om at forbindelsen er punkt-til-punkt. I dette tilfellet vil PPP selv håndtere slike ting som autentisering og trafikkkomprimering. Det finnes andre måter å bruke PPP på, for eksempel PPP over ATM - PPPoA, Microsoft Windows bruker PPTP-protokollen for å lage VPN, som også er et tillegg over PPP. Men alt dette er en lyrisk digresjon, slik at det er klart hvorfor studere PPP i det hele tatt. I CCNA Accessing the WAN-kurset er PPP en protokoll for tilkobling av to rutere over en seriell kabel.
Hva er PPP versus HDLC?
- Linjekvalitetskontroll (PPP kobler fra koblingen hvis antall feil overskrider den angitte verdien).
- Autentisering med PAP eller CHAP.
- Multilink er en teknologi som ligner på Etherchannel i Ethernet: flere forskjellige lenker er kombinert til en logisk, med en hastighet lik summen av koblingene som er inkludert i den.
- PPP Callback er en teknologi som brukes for å forbedre sikkerheten: klienten etablerer en forbindelse med serveren, serveren avslutter forbindelsen og etablerer en ny fra sin side - til klienten.
Faktisk, når du overfører data fra ruter til ruter, er PPP innkapslet i HDLC, som utfører "transport"-funksjonene for PPP-rammer. Du kan lese mer om HDLC i artikkelen "HDLC-protokoll - Konfigurasjonseksempel og beskrivelse". PPP - har en lagdelt struktur, når en PPP-ramme kommer fra nettverket, stiger den gjennom de interne PPP-undernivåene fra bunn til topp:
- Det første HDLC-undernivået - mottar en ramme, sjekker mottakerens adresse, sjekksum og sender nyttig informasjon videre.
- LCP (Link Control Protocol) underlaget, som navnet tilsier, omhandler tilkoblingskontroll, sender og mottar ulike tjenesteflagg, overvåker tilkoblingsstatusen (tilkoblet / frakoblet), overvåker linjekvaliteten og overvåker konsistensen av konfigurasjonsparametere mellom punkter .
- NCP-underlaget (Network Control Protocol) består av et stort antall moduler, som hver tar for seg kommunikasjon med en spesifikk tredjelagsprotokoll (IPv4, IPv6, IPX, AppleTalk, ...). På grunn av dette, innenfor rammen av én etablert PPP-forbindelse med ett brukernavn og passord, er det mulig å overføre trafikk av forskjellige nettverkslagsprotokoller.
Etablering av en forbindelse mellom to rutere via PPP-protokoll skjer gjennom nivåene fra bunn til topp, frakobling - fra topp til bunn.
Det vil si at kommunikasjon etableres i denne rekkefølgen: LCP, NCP, Layer 3 nyttelast. A bryter: slutt på nyttelastoverføring, NCP, LCP. Som du kan se, oppretter eller avslutter ikke HDLC tilkoblinger, siden PPP bruker HDLC-rammer uten bekreftelse på levering.
Strukturen til PPP-rammen er som følger:
- FLAG er et tegn på begynnelsen av en ramme, en spesiell sekvens av nuller og enere ("01111110"), som forteller mottakeren at rammens kropp vil følge etter.
- ADRESSE - mottakeradresse, kringkasting "11111111" brukes alltid i PPP-protokollen.
- KONTROLL - feltet inneholder verdien "00000011"
- PROTOKOLL er et felt som inneholder nummeret til protokollen på tredje nivå, hvis pakke er "pakket inn" i denne rammen.
- DATA - feltet med nyttelasten til de overordnede protokollene.
- FCS - kontrollsum, som beregnes når rammen sendes og sammenlignes med den mottatte omberegningen, som gjøres når rammen mottas. Som et resultat, hvis summene ikke stemmer, anses rammen som "ødelagt" og forkastet.
- FLAG - tegnet på slutten av rammen, inneholder samme verdi som tegnet på begynnelsen av rammen.
Å konfigurere PPP på cisco-utstyr, som allerede nevnt, er ikke vanskelig i CCNA-kurset. Det utføres på grensesnittet:
- Velge en komprimeringsalgoritme ved å bruke komprimeringskommandoen
- Vi setter kvaliteten på linjen, som vil anses som akseptabel (hvis antall feil overskrider den angitte verdien, vil forbindelsen bli brutt). Dette gjøres av kommandoen ppp kvalitet.
- Velg PAP- eller CHAP-autentiseringsmetoden (for mer informasjon, se artikkelen "Hva er forskjellen mellom PAP og CHAP". Autentiseringsmetoden angis av kommandoen ppp-autentisering.
- Det er nødvendig å konfigurere brukeren som ruteren vår skal koble til en annen. Her er kommandoene forskjellige for CHAP og PAP. Selve brukeren legges til av kommandoen brukernavn<имя> passord<пароль>, og dette bør ikke gjøres på grensesnittet, men i global konfigurasjonsmodus, men når du bruker PAP, må du også bruke kommandoen på grensesnittet ppp pap sendt-brukernavn <имя> passord<пароль>.
Å bruke PAP i virkelige konfigurasjoner er ikke ønskelig, så vi vil begrense oss til et eksempel på konfigurering av CHAP. Så, anta at topologien er som følger, må du konfigurere PPP med CHAP-autentisering. Innstilling på den første ruteren:
Ruter # konfigurer terminal Skriv inn konfigurasjonskommandoer, én per linje. Avslutt med CNTL / Z. Ruter (config) #vertsnavn R1 R1 (config) #brukernavn R2 passord 123456789 R1 (config) #grensesnitt seriell 0/3/0 R1 (config-if) #en R1 (config-if) #encapsulation ppp R1 (config-if) ) #ppp autentisering kap R1 (config-if) #ip-adresse 192.168.0.1 255.255.255.0 R1 (config-if) #no shutdown% LINK-5-ENDRET: Interface Serial0 / 3/0, endret tilstand til nede
Konfigurering på den andre ruteren:
Ruter # konfigurer terminal Skriv inn konfigurasjonskommandoer, én per linje. Avslutt med CNTL / Z. Ruter (config) #vertsnavn R2 R2 (config) #brukernavn R1 passord 123456789 R2 (config) #interface serial0 / 3/0 R2 (config-if) #encapsulation ppp R2 (config-if) #ppp autentisering kap R2 (config- if) #ip-adresse 192.168.0.2 255.255.255.0 R2 (config-if) #no shutdown% LINK-5-ENDRET: Interface Serial0 / 3/0, endret tilstand til up% LINEPROTO-5-UPDOWN: Linjeprotokoll på Interface Serial0 / 3/0, endret tilstand til opp
Vær oppmerksom på at brukeren vi oppretter på R1-ruteren har navnet R2, og på R2 - R1. Dette er nødvendig, fordi når en ruter kobler til en annen, indikerer den navnet, henholdsvis, den andre må kjenne dette navnet (se det i listen over lokale brukere). En annen viktig detalj: passordene for brukerne R1 og R2 må være de samme.
For å sjekke, kan vi kjøre kommandoen:
R2 # sh ip inter brief Grensesnitt IP-adresse OK? Metode Status Protocol ... Serial0 / 3/0 192.168.0.2 JA manuell opp ...
Hvis status er "opp", og protokollen er "ned", betyr dette vanligvis at noen problemer med PPP - feil autentisering, passord stemte ikke, kvaliteten på linjen er lavere enn det vi bestilte, etc. I dette tilfellet må du sjekke konfigurasjonene og kjøre debug ppp, noe jeg heller ikke ønsker for fienden.
LCP gir en metode for å organisere, konfigurere, vedlikeholde og avslutte en direktekoblingskobling. LCP-prosessen går gjennom 4 forskjellige faser:
Organisering av kanalen og koordinering av konfigurasjonen. Før noen nettverkslagsdatagrammer (f.eks. IP) kan utveksles, må LCP først åpne koblingen og forhandle konfigurasjonsparametrene. Denne fasen avsluttes etter at er sendt og mottatt.
Bestemmelse av kvaliteten på kommunikasjonskanalen. LCP gir en valgfri ksom følger koblingsetablerings- og konfigurasjonsforhandlingsfasen. I denne fasen kontrolleres koblingen for å avgjøre om koblingskvaliteten er tilstrekkelig for å påkalle nettverkslagsprotokoller. Denne fasen er helt valgfri. LCP kan forsinke overføringen av ntil denne fasen er fullført.
Forhandling av konfigurasjonen av protokollene til nettverkslaget. Etter at LCP har fullført fasen med å bestemme kvaliteten på kommunikasjonskanalen, kan konfigurasjonen av nettverksprotokollene velges individuelt av de respektive NCPene, og de kan tilkalles når som helst og frigis for senere bruk. Hvis LCP lukker en gitt kobling, informerer den nettverkslagsprotokollene slik at de kan iverksette passende tiltak.
Avslutning av kanalen. LCP kan stenge kanalen når som helst. Dette gjøres vanligvis på forespørsel fra en bruker (menneske), men det kan også skje på grunn av en fysisk hendelse, for eksempel tap av media eller utløpet av en periode med inaktivitet av en tidtaker.
Det er tre klasser av LCP-pakker:
Pakker for å organisere en kommunikasjonskanal. Brukes til å organisere og velge en kanalkonfigurasjon.
Pakker for å avslutte kanalen. Brukes til å avslutte handlingen til kommunikasjonskanalen.
Pakker for å opprettholde helsen til kanalen. Brukes til kanalvedlikehold og feilsøking.
Disse pakkene brukes til å gjøre hver av LCP-fasene operative.
Isdn bibliografisk referanse
Nettverksnavn Integrated Services Digital Network (ISDN)(Integrated Services Digital Network) refererer til et sett med digitale tjenester som gjøres tilgjengelig for sluttbrukere. ISDN innebærer digitalisering av telefonnettet slik at tale, informasjon, tekst, grafikk, musikk, video og andre materielle kilder kan overføres til og mottas fra en sluttbruker over eksisterende telefonledninger fra en enkelt sluttbrukerterminal. ISDN-forkjempere maler et bilde av et globalt nettverk omtrent som telefonnettverket i dag, bortsett fra at det bruker digital signaloverføring og tilbyr en rekke nye tjenester.
ISDN er et forsøk på å standardisere abonnenttjenester, bruker-/nettverksgrensesnitt og nettverks- og internettarbeidsmuligheter. Standardiseringen av abonnementstjenester er et forsøk på å garantere et nivå av interoperabilitet på internasjonal skala. Standardiseringen av bruker-/nettverksgrensesnittet oppmuntrer til utvikling og markedsføring av disse grensesnittene av tredjepartsprodusenter. Standardisering av nettverks- og sammenkoblingsevner hjelper til med å nå målet om mulig verdensomspennende sammenkobling ved å gjøre ISDN-nettverk enkle å kommunisere med hverandre.
ISDN-applikasjoner inkluderer høyhastighets bildebehandlingssystemer (som gruppe 1V-faksimiler), ekstra telefonlinjer i hjemmene for å betjene fjerntilgangsindustrien, høyhastighets filoverføringer og videokonferanser. Taleoverføring vil utvilsomt bli en populær applikasjon for ISDN.
Mange kommersielle nettverk begynner å tilby ISDN til under tariffpriser. I Nord-Amerika, kommersielle kommunikasjonsnettverk med en LAN-svitsj (Lokal utvekslingsoperatør) (LEC) begynner å tilby ISDN-tjenester som et alternativ til T1-forbindelser, som for tiden bærer mesteparten av den "globale telefontjenesten" (WATS) (telefontjeneste for stort område).
PPP (nettverksprotokoll)
OPS(eng. Punkt-til-punkt-protokoll) er en punkt-til-punkt datakoblingsprotokoll for OSI-nettverksmodellen. Vanligvis brukt til å etablere en direkte forbindelse mellom to noder på et nettverk, kan den gi tilkoblingsautentisering, kryptering (ved hjelp av ECP, RFC 1968) og datakomprimering. Brukes på mange typer fysiske nettverk: nullmodemkabel, telefonlinje, mobilnett osv.
Undertyper av PPP er vanlige, for eksempel Point-to-Point Protocol over Ethernet (PPPoE), brukt for tilkoblinger over Ethernet og noen ganger over DSL; og Point-to-Point Protocol over ATM (PPPoA), som brukes for ATM Adaptation Layer 5 (AAL5) tilkobling, som er det primære PPPoE-alternativet for DSL.
PPP er en hel familie av protokoller: Link Control Protocol (LCP), Network Control Protocol (NCP), Authentication Protocols (PAP, CHAP), Multilink PPP (MLPPP).
Hovedtrekk
PPP-protokollen ble utviklet på grunnlag av HDLC og supplert med noen funksjoner som tidligere kun fantes i proprietære protokoller.
Automatisk tuning
Når tilkoblingen er opprettet, kan et ekstra nettverk konfigureres på toppen av den. Vanligvis brukes IPCP (Internet Protocol Control Protocol), selv om Internetwork Packet Exchange Control Protocol (IPXCP) og AppleTalk Control Protocol (ATCP) en gang var populære. Internet Protocol Versjon 6 Control Protocol (IPv6CP) vil få mer aksept i fremtiden når IPv6 erstatter IPv4 som den primære nettverkslagsprotokollen.
Støtte for flere protokoller
PPP lar flere nettverkslagsprotokoller operere på en enkelt lenke. Med andre ord, innenfor en enkelt PPP-tilkobling kan datastrømmer av ulike nettverksprotokoller (Novell IPX, etc.) overføres, så vel som data fra datalinklagsprotokollene til det lokale nettverket. For hver nettverksprotokoll brukes Network Control Protocol (NCP), som konfigurerer den (forhandler noen protokollparametere).
Loopback-deteksjon
PPP oppdager loopbacks ved hjelp av en funksjon som inkluderer magiske tall. Når en vert sender PPP LCP-meldinger, kan de inkludere et magisk tall. Hvis linjen sløyfes tilbake, mottar noden LCP-meldingen med sitt eget magiske nummer i stedet for å motta klientens magiske nummermelding.
De viktigste funksjonene
- Link Control Protocol etablerer og avslutter tilkoblinger, slik at noder kan bestemme tilkoblingsinnstillingene. Den støtter også både byte- og bitorienterte kodinger.
- Network Control Protocol brukes til å bestemme nettverkslagsinnstillinger som nettverksadresse eller komprimeringsinnstillinger etter at en tilkobling er opprettet.
PPP-konfigurasjonsalternativer
Siden PPP inkluderer LCP-protokollen, kan følgende LCP-parametere kontrolleres:
- Godkjenning... RFC 1994 beskriver Challenge Handshake Authentication Protocol (CHAP), som er foretrukket for PPP-autentisering, selv om Password Authentication Protocol (PAP) noen ganger fortsatt brukes. Et annet alternativ for autentisering er Extensible Authentication Protocol (EAP).
- Komprimering... Øker effektivt båndbredden til en PPP-forbindelse ved å komprimere data i en ramme. De mest kjente algoritmene for å komprimere PPP-rammer er Stacker og Predictor.
- Feilgjenkjenning... Inkluderer kvalitetsprotokoll og hjelper med å identifisere tilbakemeldingsløkker gjennom Magic Numbers RFC 1661.
- Multikanal... Multilink PPP (MLPPP, MPPP, MLP) gir metoder for å distribuere trafikk på tvers av flere fysiske lenker med en enkelt logisk forbindelse. Dette alternativet gir økt båndbredde og lastbalansering.
PPP ramme
Hver PPP-ramme starter og slutter alltid med 0x7E-flagget. Deretter følger adressebyten og kontrollbyten, som også alltid er lik henholdsvis 0xFF og 0x03. På grunn av sannsynligheten for sammenfall av byte i datablokken med de reserverte flaggene, er det et system for automatisk korreksjon av "problem"-data med påfølgende gjenoppretting.
Feltene "Flagg", "Adresse" og "Kontroll" (HDLC-rammeoverskrift) kan utelates og ikke overføres, men hvis PPP er i ferd med å konfigurere (ved hjelp av LCP), vil den godta å gjøre det. Hvis PPP er innkapslet i L2TP-pakker, sendes ikke flaggfeltet.
PPP-datarammetype
"Data"-feltet, PPP-rammen, er på sin side delt inn i ytterligere to felt: protokollflagget (som bestemmer typen data til slutten av rammen), og selve dataene.
- Protokollflagg 0x0XXX til 0x3XXX identifiserer nettverkslagsprotokoller. For eksempel tilsvarer flagget 0x0021 den populære protokollen, og Novell IPX-flagget tilsvarer 002B.
- Protokollflagg 0x4XXX til 0x7XXX identifiserer lavtrafikkprotokoller.
- Protokollflagg 0x8XXX til 0xBXXX identifiserer Network Control Protocol (NCP).
- Protokollflagg 0xCXXX til 0xEXXX identifiserer kontrollprotokoller. For eksempel indikerer 0xC021 at rammen inneholder LCP-data.
PPP Link aktivering og fase
PPP-fasene over RFC 1661 er oppført nedenfor:
- Link død... Denne fasen inntreffer når tilkoblingen er brutt, eller en av partene har indikert å ikke koble til (for eksempel har brukeren avsluttet modemtilkoblingen.)
- Link Etableringsfase... I denne fasen konfigureres Link Control. Hvis konfigurasjonen var vellykket, fortsetter kontrollen til autentiseringsfasen eller til Network-Layer Protocol-fasen, avhengig av om autentisering er nødvendig.
- Autentiseringsfase... Denne fasen er valgfri. Det lar partene teste hverandre før de oppretter en forbindelse. Hvis kontrollen er vellykket, går kontrollen inn i Network-Layer Protocol-fasen.
- Network-Layer Protocol Phase... I denne fasen påkalles NCP for ønsket protokoll. For eksempel brukes IPCP til å sette opp IP-tjenester. Dataoverføring for alle vellykket etablerte protokoller skjer også i denne fasen. Stenging av nettverksprotokoller er også inkludert i denne fasen.
- Koblingsavslutningsfase... Denne fasen stenger forbindelsen. Den kalles ved autentiseringsfeil, hvis det var så mange kontrollsumfeil at begge sider bestemte seg for å stenge forbindelsen, hvis forbindelsen falt uventet, eller hvis brukeren koblet fra. Denne fasen prøver å lukke alt så nøye som mulig under omstendighetene.
RFC-er
PPP er definert i RFC 1661 (The Point-to-Point Protocol, juli 1994). En rekke relevante RFC-er er skrevet for å definere hvordan ulike nettverksprotokoller, inkludert TCP/IP, DECnet, AppleTalk, IPX og andre, fungerer med PPP.
- RFC 1661, Standard 51, Point-to-Point Protocol (PPP)
- RFC 1662, Standard 51, Bruk av HDLC i PPP-design
- RFC 5072, IPv6 og PPP
Notater (rediger)
se også
- PLIP (Engelsk) russisk
| Grunnleggende TCP / IP-protokoller av OSI Model Layer (liste over TCP- og UDP-porter) | |
|---|---|
| Fysisk | |
| Kanal | |
| Nettverk | |
| Transportere | |
| Økt | |
| Representasjon | |
| Anvendt | |
| Annet søkt | |
| UART | |||||||
|---|---|---|---|---|---|---|---|
| Fysiske nivåer |
|
||||||
| Protokoller |
|
||||||
| Bruksområder | |||||||
- Godkjenning Tilkoblede rutere utveksler autentiseringsmeldinger. Det er to tilgjengelige autentiseringsalternativer: PAP-basert og CHAP-basert.
- Komprimering Denne funksjonen øker den effektive båndbredden til PPP-tilkoblinger ved å redusere mengden data i en ramme som sendes over lenken. Protokollen dekomprimerer rammen på bestemmelsesstedet. Det er to komprimeringsprotokoller tilgjengelig på Cisco-rutere: Stacker og Predictor.
- Feilgjenkjenning... Denne funksjonen oppdager feiltilstander. Kvalitets- og Magic Number-parametrene bidrar til å sikre en pålitelig sløyfefri datakobling. Magic Number-feltet brukes til å oppdage kanalene der sløyfen har skjedd. Inntil forhandling av innstillingsparameteren Magic-Number er fullført, skal en nullverdi for denne parameteren overføres. Magic-Number-verdier genereres tilfeldig i hver ende av forbindelsen.
- PPP tilbakeringing... PPP-tilbakeringing brukes for å øke sikkerheten. Med dette LCP-alternativet kan Cisco-ruteren fungere som en klient eller tilbakeringingsserver. Klienten foretar det første anropet, ber om tilbakeringing fra serveren og avslutter det første anropet. Tilbakeringingsruteren svarer på det første anropet og ringer tilbake klienten basert på konfigurasjonskommandoene. Kommando brukt ppp tilbakeringing [ aksepterer | be om ] .
Etter innstilling av parameterne settes den tilsvarende feltverdien inn i LCP-parameterfeltet.
Grunnleggende PPP-konfigurasjonskommandoer
Starte PPP på et grensesnitt
For å konfigurere PPP som innkapslingsmetoden som brukes av det serielle grensesnittet, bruk greinnkapsling ppp .
Følgende eksempel aktiverer PPP-innkapsling på seriell 0/0/0.
R3 # konfigurere terminal
R3 (konfigurasjon) # grensesnitt seriell 0/0/0
R3 (config-if) # innkapsling ppp
Teamet innkapsling ppp ingen argumenter. Husk at hvis PPP-innkapsling ikke er konfigurert på Cisco-ruteren, vil HDLC-innkapsling brukes som standard for serielle grensesnitt.
Figuren viser rutere R1 og R2 konfigurert til å bruke både IPv4- og IPv6-adresser på de serielle grensesnittene. PPP er en Layer 2-innkapsling som støtter forskjellige Layer 3-protokoller, inkludert IPv4 og IPv6.
PPP-komprimeringskommandoer
Du kan konfigurere punkt-til-punkt-på serielle grensesnitt etter at PPP-innkapsling er aktivert. Siden denne modusen påkaller komprimeringsprosessen programmatisk, kan den påvirke systemytelsen. Hvis trafikken din allerede består av komprimerte filer som .zip, .tar eller.mpeg, bør ikke dette alternativet brukes. Figuren viser syntaksen til kommandoen komprimere .
Skriv inn følgende kommandoer for å konfigurere PPP-komprimering.
R3 (konfigurasjon) # grensesnitt seriell 0/0/0
R3 (config-if) # innkapsling ppp
R3 (config-if) # komprimere [ prediktor | stac ]
PPP Link Quality Monitoring Command
Husk at LCP gir et ekstra trinn for å bestemme lenkekvaliteten. På dette tidspunktet sjekker LCP koblingen for å finne ut om koblingskvaliteten er tilstrekkelig til å bruke Layer 3-protokollene.
Kommando ppp kvalitet prosentdel sikrer at kanalen oppfyller det etablerte kvalitetskravet; ellers er kanalen stengt.
Prosentsatsen beregnes for både inngående og utgående retninger. Den utgående lenkekvaliteten beregnes ved å sammenligne det totale antallet pakker og byte sendt med det totale antallet pakker og byte mottatt av destinasjonsnoden. Kvaliteten på innkommende koblinger beregnes ved å sammenligne det totale antallet pakker og byte mottatt med det totale antallet pakker og byte sendt av destinasjonsnoden.
Hvis prosentandelen av kanalkvalitet ikke støttes, anses kanalkvaliteten som lav og kanalen er deaktivert. Quality Monitoring Tool (LQM) implementerer en tidsforsinkelsesmekanisme for å sikre at kanalen ikke er gjenstand for sekvensiell aktivering og deaktivering.
Følgende oppsetteksempel overvåker dataene som sendes til kanalen og forhindrer rammesløyfer (se figur).
R3 (konfigurasjon) # grensesnitt seriell 0/0/0
R3 (config-if) # innkapsling ppp
R3 (config-if) # ppp kvalitet 80
For å deaktivere LQM-funksjonen, bruk kommandoen ingen ppp-kvalitet .
PPP flerkanalskommandoer
Multilink PPP (også referert til som MP, MPPP, MLP eller Multilink) gir en metode for å distribuere trafikk over flere fysiske WAN-koblinger. PPP gir også pakkefragmentering og remontering, riktig sekvensering, multi-leverandør utstyr og lastbalansering av inngående og utgående trafikk.
MPPP lar deg fragmentere pakker og sende disse fragmentene samtidig over flere punkt-til-punkt-lenker til samme eksterne adresse. Flere fysiske kanaler åpnes som svar på en brukerdefinert belastningsterskel. MPPP kan måle belastningen kun i innkommende trafikk eller kun i utgående trafikk, men ikke den totale belastningen av begge trafikken.
Konfigurering av MPPP gjøres i to trinn (se figur).
Trinn 1. Opprettelse av en flerkanalsgruppe.
- Flerkanalsgrensesnittet er laget av teamet grensesnitt multilink Nummer .
- I grensesnittkonfigurasjonsmodus tildeles en IP-adresse til flerkanalsgrensesnittet. I dette eksemplet er både IPv4- og IPv6-adresser konfigurert på R3 og R4.
- Flerkanals PPP starter på grensesnittet.
- Et flerkanals gruppenummer er tilordnet grensesnittet.
Steg 2. Tilordne grensesnitt til en flerkanalsgruppe.
Følgende innstillinger gjøres på hvert grensesnitt i en flerkanalsgruppe.
- PPP-innkapsling er aktivert.
- Flerkanals PPP er aktivert.
- Gruppen kobles sammen ved å spesifisere gruppenummeret konfigurert i trinn 1.
For å deaktivere flerkanals PPP bruk kommandoen ingen ppp multilink .
Kontrollerer PPP-konfigurasjon
For å bekrefte at HDLC- eller PPP-innkapsling er riktig konfigurert, bruk kommandoen vis grensesnitt seriell ... Kommandoutgangen viser PPP-innstillingen (se figuren).
Etter innstilling av HDLC i kommandoutgangen vis grensesnitt seriell linjeinnkapslingen HDL C skal vises. Hvis PPP er konfigurert, skal LCP- og NCP-statusene også vises. Merk at IPCP og IPV6CP er åpne for IPv4 og IPv6 fordi både IPv4- og IPv6-adresser er satt på R1 og R2.
I fig. viser en liste over kommandoer for å sjekke PPP.
Kommando vis ppp multilink sjekker om PPP multilink er aktivert på R3 (se figur 3).
Utgangen gjenspeiler Multilink 1-grensesnittet, vertsnavnene til de lokale og eksterne endepunktene og de serielle grensesnittene som er inkludert i flerkanalsgruppen.
PPP-autentisering
PPP definerer en utvidbar LCP-protokoll som tillater forhandling av en autentiseringsprotokoll for peer-autentisering før nettverkslagsprotokoller tillater overføring av data over en kobling. RFC 1334 definerer to protokoller for autentisering, PAP og CHAP (se figur).
Password Authentication Protocol (PAP) er en veldig enkel totrinnsprosess. Den bruker ikke kryptering. Brukernavnet og passordet sendes ukryptert. Ved mottak er tilkoblingen tillatt. Challenge Handshake Authentication Protocol (CHAP) har et høyere sikkerhetsnivå enn PAP. Den bruker en treveis delt hemmelig nøkkelutveksling.
PPP-øktautentiseringstrinnet er valgfritt. Hvis den brukes, autentiseres peeren etter at LCP har opprettet koblingen og velger autentiseringsprotokollen. Hvis det brukes, utføres autentisering før du starter konfigurasjonstrinnet for nettverkslagsprotokoll.
Autentiseringsparametere krever at den som ringer oppgir autentiseringsinformasjon. Dette sikrer at brukeren har til å ringe. Tilkoblede rutere utveksler autentiseringsmeldinger.
Password Authentication Protocol (PAP)
En av de mange funksjonene til PPP er å utføre Layer 2-autentisering i tillegg til autentisering, kryptering, tilgangskontroll og generelle sikkerhetsprosedyrer på andre lag.
PAP-initialisering
PAP gir en enkel metode for å bekrefte en node gjennom et to-trinns håndtrykk. PAP er ikke en interaktiv protokoll. Hvis kommandoen brukes ppp-autentisering pap , kan brukernavnet og passordet sendes som en enkelt LCP-datapakke, i stedet for at serveren sender en påloggingsforespørsel og venter på svar, som vist i figur 4-2. 1. Etter at PPP har fullført trinnet for etablering av tilkobling, sender den eksterne verten brukernavn-passord-paret på nytt over kanalen inntil den mottakende verten bekrefter det eller avslutter tilkoblingen.
PAP-oppsigelse
Hos den mottakende verten blir brukernavnet/passordet verifisert av autentiseringsserveren, som enten tillater eller nekter tilkoblingen. En aksept- eller avvisningsmelding returneres til rekvirenten, som vist i figur 4-2. 2.
PAP er ikke en sterk autentiseringsprotokoll. Med PAP sendes passord ukryptert, så det er ingen beskyttelse mot retransmisjonsangrep eller gjentatte prøvings- og feilangrep. Den eksterne noden kontrollerer frekvensen og tiden for nettverkspåloggingsforsøk.
Imidlertid er det situasjoner der bruk av PAP er berettiget. For eksempel, til tross for sine ulemper, kan PAP brukes under følgende forhold.
- Stor flåte av installerte klientapplikasjoner som ikke støtter CHAP
- Inkompatibilitet mellom CHAP-implementeringer fra forskjellige leverandører
PPP-innkapsling og autentiseringsprosess
Diagrammet i fig. Forklarer PPP-autentiseringsprosessen når du utfører PPP-konfigurasjon. Diagrammet viser et visuelt eksempel på OPS-beslutningslogikk.
For eksempel, hvis den innkommende PPP-forespørselen ikke krever autentisering, går PPP til neste nivå. Hvis den innkommende PPP-forespørselen krever autentisering, kan forespørselen autentiseres enten ved hjelp av den lokale databasen eller sikkerhetsserveren. Som vist i diagrammet, etter vellykket autentisering, går prosessen til et nytt nivå, og hvis autentisering mislykkes, avsluttes forbindelsen og den innkommende PPP-forespørselen ignoreres.
Følg trinnene i figuren for å se hvordan R1 etablerer en CHAP-autentisert PPP-forbindelse til R2.
Trinn 1. Først bruker R1 LCP for å forhandle koblingsforbindelsen med R2, og de to systemene er enige om å bruke CHAP-autentisering under PPP LCP-forhandling.
Steg 2. R2 genererer en ID og et tilfeldig nummer, og sender deretter disse dataene og brukernavnet til R1 som en CHAP-kontrollpakke.
Trinn 3. Ruter R1 bruker utfordrerens brukernavn (R2) og, basert på dette navnet, bruker kryssreferanser for å slå opp det tilsvarende passordet i sin lokale database. R1 genererer deretter en MD5-hash ved å bruke R2s brukernavn, ID, tilfeldige nummer og et delt hemmelig passord. I dette eksemplet er det delte hemmelige passordet boardwalk.
Trinn 4. R1 sender deretter kontrollpakke-IDen, hashverdien og brukernavnet (R1) til R2.
Trinn 5. R2 genererer sin egen hash-verdi ved å bruke en identifikator, et delt hemmelig passord og et tilfeldig tall som opprinnelig ble sendt til R1.
Trinn 6. R2 sammenligner hash-verdien med verdien sendt av R1. Hvis verdiene stemmer overens, sender R2 et koblingsetableringssvar til R1.
Hvis forespørselen ikke er autentisert, genereres en CHAP-pakke med informasjon om feilen, bestående av følgende komponenter:
- 04 = CHAP feilmeldingstype
- id = kopiert fra svarpakken
- "Autentiseringsfeil" eller lignende tekstmelding som brukeren kan forstå.
Det delte hemmelige passordet må være det samme på både R1 og R2.
Konfigurering av PPP-autentisering
Bruk gretil å spesifisere rekkefølgen CHAP og PAP blir forespurt i et grensesnitt ppp-autentisering, som vist på bildet. For å deaktivere autentisering, bruk den negerte versjonen av denne kommandoen ( Nei ).
Etter å ha aktivert CHAP, PAP eller begge deler, ber den lokale ruteren den eksterne enheten om å bevise sin identitet før den lar datastrømmen sendes. For å gjøre dette, følg disse trinnene.
- PAP-autentisering ber den eksterne enheten om et brukernavn og passord for å sammenligne med den tilsvarende oppføringen i den lokale brukernavndatabasen eller i den eksterne TACACS / TACACS +-databasen.
- CHAP-autentisering sender en kontrollforespørsel til den eksterne enheten. Den eksterne enheten må kryptere sjekkverdien ved å bruke den delte hemmelige nøkkelen og returnere den krypterte verdien og navnet til den lokale ruteren i en svarmelding. Den lokale ruteren bruker navnet på den eksterne enheten til å slå opp den tilsvarende hemmelige nøkkelen i den lokale brukernavndatabasen eller i den eksterne TACACS / TACACS +-databasen. Den bruker den hemmelige nøkkelen den finner for å kryptere den opprinnelige sjekkverdien og sjekker de krypterte verdiene for identitet.
Merk... TACACS er en dedikert autentiserings-, autorisasjons- og regnskapsserver (AAA) som brukes til å autentisere brukere. TACACS-klienter sender en forespørsel til TACACS-autentiseringsserveren. Serveren autentiserer brukeren, autoriserer brukerhandlinger og overvåker brukerhandlinger.
Du kan aktivere PAP, CHAP eller begge deler. Hvis begge metodene er aktivert, blir metoden spesifisert først forespurt under kommunikasjonsforhandling. Hvis den eksterne verten tilbyr å bruke den andre metoden, eller bare nekter å bruke den første metoden, forsøkes det å bruke den andre metoden. Noen eksterne enheter støtter bare CHAP, og noen støtter bare PAP. Rekkefølgen metodene spesifiseres i er basert på vurderinger av den eksterne enhetens evne til å forhandle riktig fremgangsmåte, samt hensyn til datakanalsikkerhet. PAP-brukernavn og passord sendes som åpne strenger og kan fanges opp og gjenbrukes. De fleste av de kjente sikkerhetshullene ble fikset i CHAP.
Konfigurere PPP med autentisering
Tabellen beskriver hvordan du konfigurerer PPP-innkapsling og PAP / CHAP-autentiseringsprotokoller. Det er viktig å konfigurere det riktig fordi PAP og CHAP bruker disse parameterne for autentisering.
Konfigurere PAP-autentisering
I fig. er et eksempel på konfigurering av toveis PAP-autentisering. Hver av ruterne både autentiserer og passerer, så de tilsvarende PAP-autentiseringskommandoene speiler hverandre. PAP-brukernavnet og passordet som sendes av hver ruter må samsvare med de som er spesifisert i kommandoen brukernavn Navn passord passord en annen ruter.
PAP gir en enkel metode for å bekrefte en node gjennom et to-trinns håndtrykk. Dette gjøres først etter den første opprettelsen av kanalen. Vertsnavnet på den ene ruteren må være det samme som brukernavnet som er konfigurert for PPP av den andre ruteren. Passord må også samsvare. Angi parametere som sender brukernavn og passord i kommandoen ppp pap sendt-brukernavn Navn passord passord .
Konfigurerer CHAP-autentisering
CHAP verifiserer med jevne mellomrom autentisiteten til den eksterne peeren ved hjelp av et treveis håndtrykk. Vertsnavnet på den ene ruteren må samsvare med brukernavnet som er konfigurert på den andre ruteren. Passord må også samsvare. Prosedyren utføres etter den første opprettelsen av kanalen og kan gjentas når som helst etter at forbindelsen er opprettet. I fig. et eksempel på oppsett av CHAP vises.
