Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1 L.A. Steffenel
DU-ASRE – UE 5 Interconnexion des Réseaux Internet
HDLC et PPP
2 L.A. Steffenel
Communication Série
• Les technologies WAN sont basées sur des liens série • Cela veut dire que les informations sont transmises bit à bit sur le câble • différent d'Ethernet, où 4 pairs permettent une transmission en parallèle • Quelques exemples de standards pour les liens série :
• RS-232-E • V.35 • High Speed Serial Interface (HSSI)
3 L.A. Steffenel
Pourquoi Série et non Parallèle ?
Un lien série est moins susceptible aux interférences croisées entre les câbles
Ceci devient plus évident avec la distance
4 L.A. Steffenel
Multiplexation
La multiplexation temporelle (Time-Division Multiplexing - TDM) permet le partage du lien entre plusieurs sources
Dans le TDM, chaque source se voit attribuer un créneau. Généralement, la répartition des créneaux est fixe et ne dépend pas de la quantité de données à envoyer
5 L.A. Steffenel
Point de Démarcation – États Unis
Le point de démarcation ("demarc") est la frontière qui sépare les zones de responsabilité des clients et des télécoms
Aux États Unis, les télécoms offrent la liaison locale (boucle locale) mais c'est au client de fournir les dispositifs de connexion, tels que le CSU/DSU
Cette séparation se fait en général à l'entrée de l'armoire d'équipements du client, qui est le responsable par l'acquisition, le maintient et la réparation des équipements
6 L.A. Steffenel
Point de Démarcation - International
Dans les autres pays, le dispositif de terminaison du réseau (NTU) est fourni et géré par les télécoms (eg : le modem)
Ceci permet aux télécoms de contrôler et résoudre les problèmes qui concernent le lien local
Au client reste la tâche de connecter un équipement (CPE) tel qu'un routeur ou switch frame relay
7 L.A. Steffenel
DTE-DCE
Au long des années, plusieurs standards ont été élaborés afin de permettre l'interconnexion entre les équipements DCE et DTE
L'EIA (Electronics Industry Association) et l'ITU-T (International Telecommunication Union Telecommunications Standardization Sector) sont parmi les entités qui ont crée plus de standards
8 L.A. Steffenel
DTE-DCE
Les différentes interfaces pour les standards DTE-DCE varient selon différentes caractéristiques:
Mécaniques/physiques – nombre de contacts et forme du connecteur Electriques – Niveaux de voltage qui correspondent à 0 ou 1 Fonctions – les différents message de signalisation / codage des données Procédurales – Spécifie la séquence des événements pour la transmission
des données
9 L.A. Steffenel
Encapsulation HDLC
En 1979, ISO a défini HDLC comme un standard de la couche liaison de données
Depuis 1981, ITU-T a développé plusieurs variations de HDLC Exemples de protocoles dérivés de HDLC :
Link Access Procedure, Balanced (LAPB) pour X.25 Link Access Procedure on the D channel (LAPD) pour ISDN Link Access Procedure for Modems (LAPM) pour PPP sur modems Link Access Procedure for Frame Relay (LAPF) pour Frame Relay
10 L.A. Steffenel
Encapsulation HDLC
• Le standard HDLC ne permet pas le transport de différents protocoles de couche 3, car il ne dispose pas d'un champs de type de protocole
• Au contraire, PPP dispose de ce champs par défaut • Cisco a une version propriétaire de HDLC, utilisée par défaut sur les
liens série • Le HDLC Cisco utilise un champs propriétaire pour indiquer le type de
protocole transporté
11 L.A. Steffenel
Caractéristiques de HDLC
• Livraison fiable (avec trames I) • Communication full-duplex • Contrôle de flux
• Ajustement des fenêtres selon la capacité du récepteur • Utilisation de horloges physiques afin de synchroniser
l'envoi des trames • Orienté connexion ou pas
12 L.A. Steffenel
Configuration de HDLC
• HDLC est le protocole de couche 2 par défaut dans les liens série synchrones, il est activé et configuré par défaut
• Dans le cas où l'encapsulation diffère, il est possible de rétablir l'encapsulation HDLC avec la commande
encapsulation hdlc • Comme l'implémentation HDLC Cisco est propriétaire, il faut utiliser d'autres
protocoles (comme PPP) si des dispositifs d'autres fabricants sont connectés
13 L.A. Steffenel
Identification des caractéristiques d'un lien série
14 L.A. Steffenel
PPP
15 L.A. Steffenel
Une trame PPP
Flag : délimiteur de la trame
Address : Par défaut c'est une diffusion (111111)
Control : ignoré
Protocol : protocole de couche supérieur auquel le paquet sera livré (PPP-LCP, IP, IPCP, etc.)
Info : données de la couche supérieure
Check : CRC pour la détection d'erreurs
16 L.A. Steffenel
Architecture PPP en couches
PPP contient deux sous-protocoles : Link Control Protocol (LCP) – utilisé pour établir une connexion
point-à-point Responsable par la négociation et configuration de la connexion
Network Control Protocol (NCP) – Utilisé pour initialiser les différents protocoles supérieurs
Encapsule et négocie les paramètres des protocoles supérieurs
NCP
LCP
17 L.A. Steffenel
Options LCP
La sous-couche LCP permet la configuration de plusieurs options :
• Détection de boucles – utilisation de magic numbers
• Détection d'erreurs – le taux de pertes/retransmission est surveillé et peut conduire à une désactivation préventive du lien (Quality Monitoring)
• Authentification – les deux extrémités doivent s'authentifier avant tout échange
• Compression – les paquets peuvent être compressés
• Multilink – utilisation de plusieurs liens en parallèle (couche 2)
• Callback – option pour l'établissement d'une connexion
18 L.A. Steffenel
LCP
LCP est aussi en charge de : Traiter/négocier les différentes tailles de paquet permises
Détecter les erreurs de configuration les plus courants
Terminer une connexion
Déterminer si un lien fonctionne correctement (keepalive)
19 L.A. Steffenel
Ouverture d'une session PPP
L'établissement d'une session PPP s'effectue en trois étapes : 1. Établissement d’une
liaison et négociation de la configuration
2. Authentification (optionnelle)
3. Négociation de la configuration du protocole de couche réseau
20 L.A. Steffenel
Ouverture d'une connexion PPP (détail)
1. Établissement du lien - (LCP) 2. Authentification - Optionnelle (LCP)
3. Définition de la qualité du lien - Optionnel (LCP)
4. Configuration du protocole de couche réseau (à la charge des NCPs)
5. Clôture du lien (LCP)
Router#configure terminal Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp
21 L.A. Steffenel
Établissement du lien
Dans cette phase les dispositifs PPP envoyent des trames LCP pour configurer et tester le lien
Les trames LCP contiennent les options qui permettent la négociation : • maximum transmission unit (MTU), • compression de certains champs PPP, • le protocole d'authentification
Si une option manque, c'est la valeur par défaut qui est assumée Avant tout échange, LCP négocie les paramètres de la connexion
22 L.A. Steffenel
Authentification (optionnelle)
Après l'établissement du lien et la définition du protocole d'authentification, les pairs doivent s'authentifier Cette étape précède la négociation des paramètres de la couche
réseau Dans cette phase il est aussi possible de déterminer la qualité du lien grâce
à des tests La qualité du lien est testée pour s'assurer que la transmission est
suffisamment bonne pour garder une connexion ouverte
23 L.A. Steffenel
Phase NCP
Dans cette phase les dispositifs échangent des paquets NCP afin de choisir et configurer un ou plusieurs protocoles de couche 3 (IP, par exemple)
Lorsque chaque protocole a été configuré, les paquets peuvent être envoyés à travers le lien
Si LCP ferme le lien, il envoie une notification aux protocoles de couche 3 pour qu'ils effectuent les mesures correspondantes
24 L.A. Steffenel
La commande show interfaces indique les types de protocoles LCP et NCP sur le lien
NCP LCP
25 L.A. Steffenel
Protocoles d'Authentification PPP
1. Établissement du lien - (LCP)
2. Authentification - Optionnelle (LCP)
3. Définition de la qualité du lien - Optionnel (LCP)
4. Configuration du protocole de couche réseau (à la charge des NCPs)
5. Clôture du lien (LCP)
26 L.A. Steffenel
Password Authentication Protocol (PAP)
PAP offre un mode simple d'authentification en deux phases Quand la phase d'établissement du lien est complète, un pair username/
password est envoyé PAP n'est pas un protocole d'authentification sûr Les mots de passe sont envoyés en texte clair, et aucune contrôle de
rejeu est effectué Le seul contrôle repose sur le nœud distant, qui gère l'intervalle entre deux
tentatives d'authentification
27 L.A. Steffenel
Challenge Handshake Authentication Protocol (CHAP)
CHAP utilise un protocole en trois étapes Dans un premier moment, le nœud distant reçoit un message "challenge" Ce nœud répond avec une valeur calculée typiquement avec MD5 Cette réponse est basée sur le mot de passe et le message challenge La machine local vérifie la réponse par rapport à son propre calcul de la
valeur challenge Si les valeurs correspondent, l'authentification est établie ; sinon, le lien est
fermé
28 L.A. Steffenel
Challenge Handshake Authentication Protocol (CHAP)
CHAP inclut de la protection contre le rejeu grâce à l'utilisation d'une valeur challenge à usage unique (et qui est difficile à prédire)
Le routeur local reste maître de la fréquence des tentatives de connexion, ce qui rend encore plus difficile les attaques en masse
29 L.A. Steffenel
Configuration de PPP
Il suffit de changer le type d'encapsulation pour activer PPP sur l'interface serial 0/0
Router#configure terminal Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp
30 L.A. Steffenel
Configuration de PPP
172.25.3.0/24Serial .1/S0.2/S0
DCEDTE
interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp
interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp
La configuration des adresses IP n'est pas nécessaire pour que le lien PPP soit établi, mais ça conduit seulement à un état "Up Down" dans sh ip int br
31 L.A. Steffenel
Vérification de PPP
NCP LCP
32 L.A. Steffenel
Configuration de l'Authentification (PAP ou CHAP)
Encrypted password Repeated challenges
33 L.A. Steffenel
Configuration PAP
Rtr(config)# username remote-host password remote-password Le nom d'utilisateur configuré doit correspondre à celui envoyé par l'autre
routeur
Rtr(config-if)# ppp pap sent-username this-host username password this-host-password
Les mots de passe doivent correspondre aux usernames configurés, mais chaque côté peut avoir son username. Les mots de passe ne doivent pas être les mêmes utilisés dans le reste du système, comme par exemple le mot de passe enable-secret
Router(config-if)#ppp authentication {chap | chap pap |
pap chap | pap} Il est possible de choisir un ou plusieurs protocoles ; le deuxième sera utilisé
uniquement si aucune réponse est obtenue avec le premier (une authentification refusée avec le premier protocole ferme la connexion)
34 L.A. Steffenel
Configuration PAP
172.25.3.0/24Serial .1/S0.2/S0
DCEDTE
hostname SantaCruz username HQ password HQpass interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp ppp authentication pap ppp pap sent-username SantaCruz password SantaCruzpass
hostname HQ username SantaCruz password SantaCruzpass interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp ppp authentication pap ppp pap sent-username HQ password HQpass
35 L.A. Steffenel
Note : Le Hostname par défaut de la machine est utilisé, sauf si la commande ppp chap hostname définie un autre nom pour ce lien.
Ce nom doit correspondre au username configuré sur la machine distante
Tout comme les usernames, les mots de passe sont sensibles à la casse
Configuration CHAP
172.25.3.0/24Serial .1/S0.2/S0
DCEDTE
hostname SantaCruz username HQ password boardwalk ppp chap hostname SantaCruz (optional) interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp ppp authentication chap
hostname HQ username SantaCruz password boardwalk ppp chap hostname HQ (optional) interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp ppp authentication chap
36 L.A. Steffenel
Configuration de PPP Multilink
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink
• Dans certains cas il est plus intéressant d'agréger des liens PPP (sous le même sous-réseau IP) que d'avoir plusieurs routes alternatives sous IP
37 L.A. Steffenel
Configuration de PPP Multilink (juste pour info, GNS3)
hostname SantaCruz multilink Virtual-Template 1 interface loopback 0 ip address 192.168.1.1 255.255.255.0 interface Virtual-Template1 ip unnumbered loopback0 ppp multilink interface Serial0 no ip address encapsulation ppp ppp multilink interface Serial1 no ip address encapsulation ppp ppp multilink interface Serial2 no ip address encapsulation ppp ppp multilink
hostname HQ multilink Virtual-Template 1 interface loopback 0 ip address 192.168.1.2 255.255.255.0 interface Virtual-Template1 ip unnumbered loopback0 ppp multilink interface Serial0 no ip address encapsulation ppp ppp multilink interface Serial1 no ip address encapsulation ppp ppp multilink interface Serial2 no ip address encapsulation ppp ppp multilink
38 L.A. Steffenel
Compression
• Il est possible d'activer la compression des trames (données) • recommandé uniquement si le trafic n'est pas déjà compressé
• Cisco supporte deux types algorithmes : • Predictor : Le routeur décide si les données doivent être compressés ou pas.
• Stac : l'algorithme Lempel-Ziv (le même des fichiers ZIP) est utilisé pour compresser toute donnée transmise
Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#compress [predictor|stac]
39 L.A. Steffenel
Compression de l'entête TCP - RFC 1144
En complément à la compression des données, la RFC 1144 permet aussi la compression de l'entête TCP sur les liens série qui utilisent HDLC, PPP ou SLIP
Uniquement les entêtes TCP sont affectées, pas les entêtes UDP
La commande suivante active la compression de l'entête TCP : Router(config-if)#ip tcp header-compression
Il y a aussi la possibilité d'utiliser la commande ip tcp header-compression passive
Dans ce cas, la compression de l'entête n'est pas obligatoire, mais le routeur utilisera de la compression selon la destination et uniquement s'il a reçu un paquet avec l'entête compressé
40 L.A. Steffenel
Détection d'Erreurs
• Le service Link Quality Monitoring (LQM) permet aux interfaces série de surveiller la qualité des transmissions (nombre de paquets perdus, etc.)
• Grâce à LQM, PPP peut choisir de désactiver un lien dont la qualité est inférieure à un seuil configuré • Il est souvent plus intéressant de désactiver un lien de mauvaise qualité que de
"perdre" du temps avec la retransmission des messages
• Le taux de la qualité est calculé par rapport aux paquets entrants et sortants
Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#ppp quality percentage
41 L.A. Steffenel
debug ppp negotiation
La commande debug ppp negotiation permet le suivi des étapes de la négociation PPP, ce qui met en évidence les facteurs qui peuvent empêcher une connexion d'être établie
Router#debug ppp negotiation PPP protocol negotiation debugging is on . . .
BR0:1 LCP: State is Open . . . PPP: Phase is AUTHENTICATING . . .
BR0:1 IPCP: State is Open . . .
42 L.A. Steffenel
debug ppp authentication
La commande debug ppp authentication se concentre sur la phase d'authentification
Remarque : si les deux extrémités requièrent l'authentification, celle-ci sera faite en parallèle, dans les deux directions
43 L.A. Steffenel
Défaillance du mécanisme keepalive
• Par défaut PPP envoie des messages keepalive pour identifier qu'un lien est toujour actif • envois à chaque 10 secondes, dead-interval 3x ou 5x selon la version IOS
• L'intérêt de ce mécanisme est d'agir de manière indépendante du protocole de routage en cas de suspicion ; un lien suspecté est désactivé • utile avec des routes statiques ou si le protocole de routage est plus lent (RIP)
• Certaines versions IOS permettent la désactivation du keepalive (commande de interface no keepalive), ce qui peut créer des problèmes si les deux extrémités ne sont pas configurées à l'identique