1 L.A. Steffenel

DU-ASRE – UE 5 Interconnexion des Réseaux Internet

HDLC et PPP

2 L.A. Steffenel

Communication Série

•  Les technologies WAN sont basées sur des liens série •  Cela veut dire que les informations sont transmises bit à bit sur le câble •  différent d'Ethernet, où 4 pairs permettent une transmission en parallèle •  Quelques exemples de standards pour les liens série :

•  RS-232-E •  V.35 •  High Speed Serial Interface (HSSI)

3 L.A. Steffenel

Pourquoi Série et non Parallèle ?

Un lien série est moins susceptible aux interférences croisées entre les câbles

Ceci devient plus évident avec la distance

4 L.A. Steffenel

Multiplexation

La multiplexation temporelle (Time-Division Multiplexing - TDM) permet le partage du lien entre plusieurs sources

Dans le TDM, chaque source se voit attribuer un créneau. Généralement, la répartition des créneaux est fixe et ne dépend pas de la quantité de données à envoyer

5 L.A. Steffenel

Point de Démarcation – États Unis

Le point de démarcation ("demarc") est la frontière qui sépare les zones de responsabilité des clients et des télécoms

Aux États Unis, les télécoms offrent la liaison locale (boucle locale) mais c'est au client de fournir les dispositifs de connexion, tels que le CSU/DSU

Cette séparation se fait en général à l'entrée de l'armoire d'équipements du client, qui est le responsable par l'acquisition, le maintient et la réparation des équipements

6 L.A. Steffenel

Point de Démarcation - International

Dans les autres pays, le dispositif de terminaison du réseau (NTU) est fourni et géré par les télécoms (eg : le modem)

Ceci permet aux télécoms de contrôler et résoudre les problèmes qui concernent le lien local

Au client reste la tâche de connecter un équipement (CPE) tel qu'un routeur ou switch frame relay

7 L.A. Steffenel

DTE-DCE

Au long des années, plusieurs standards ont été élaborés afin de permettre l'interconnexion entre les équipements DCE et DTE

L'EIA (Electronics Industry Association) et l'ITU-T (International Telecommunication Union Telecommunications Standardization Sector) sont parmi les entités qui ont crée plus de standards

8 L.A. Steffenel

DTE-DCE

Les différentes interfaces pour les standards DTE-DCE varient selon différentes caractéristiques:

Mécaniques/physiques – nombre de contacts et forme du connecteur Electriques – Niveaux de voltage qui correspondent à 0 ou 1 Fonctions – les différents message de signalisation / codage des données Procédurales – Spécifie la séquence des événements pour la transmission

des données

9 L.A. Steffenel

Encapsulation HDLC

En 1979, ISO a défini HDLC comme un standard de la couche liaison de données

Depuis 1981, ITU-T a développé plusieurs variations de HDLC Exemples de protocoles dérivés de HDLC :

Link Access Procedure, Balanced (LAPB) pour X.25 Link Access Procedure on the D channel (LAPD) pour ISDN Link Access Procedure for Modems (LAPM) pour PPP sur modems Link Access Procedure for Frame Relay (LAPF) pour Frame Relay

10 L.A. Steffenel

Encapsulation HDLC

•  Le standard HDLC ne permet pas le transport de différents protocoles de couche 3, car il ne dispose pas d'un champs de type de protocole

•  Au contraire, PPP dispose de ce champs par défaut •  Cisco a une version propriétaire de HDLC, utilisée par défaut sur les

liens série •  Le HDLC Cisco utilise un champs propriétaire pour indiquer le type de

protocole transporté

11 L.A. Steffenel

Caractéristiques de HDLC

•  Livraison fiable (avec trames I) •  Communication full-duplex •  Contrôle de flux

•  Ajustement des fenêtres selon la capacité du récepteur •  Utilisation de horloges physiques afin de synchroniser

l'envoi des trames •  Orienté connexion ou pas

12 L.A. Steffenel

Configuration de HDLC

•  HDLC est le protocole de couche 2 par défaut dans les liens série synchrones, il est activé et configuré par défaut

•  Dans le cas où l'encapsulation diffère, il est possible de rétablir l'encapsulation HDLC avec la commande

encapsulation hdlc •  Comme l'implémentation HDLC Cisco est propriétaire, il faut utiliser d'autres

protocoles (comme PPP) si des dispositifs d'autres fabricants sont connectés

13 L.A. Steffenel

Identification des caractéristiques d'un lien série

14 L.A. Steffenel

PPP

15 L.A. Steffenel

Une trame PPP

Flag : délimiteur de la trame

Address : Par défaut c'est une diffusion (111111)

Control : ignoré

Protocol : protocole de couche supérieur auquel le paquet sera livré (PPP-LCP, IP, IPCP, etc.)

Info : données de la couche supérieure

Check : CRC pour la détection d'erreurs

16 L.A. Steffenel

Architecture PPP en couches

PPP contient deux sous-protocoles : Link Control Protocol (LCP) – utilisé pour établir une connexion

point-à-point Responsable par la négociation et configuration de la connexion

Network Control Protocol (NCP) – Utilisé pour initialiser les différents protocoles supérieurs

Encapsule et négocie les paramètres des protocoles supérieurs

NCP

LCP

17 L.A. Steffenel

Options LCP

La sous-couche LCP permet la configuration de plusieurs options :

•  Détection de boucles – utilisation de magic numbers

•  Détection d'erreurs – le taux de pertes/retransmission est surveillé et peut conduire à une désactivation préventive du lien (Quality Monitoring)

•  Authentification – les deux extrémités doivent s'authentifier avant tout échange

•  Compression – les paquets peuvent être compressés

•  Multilink – utilisation de plusieurs liens en parallèle (couche 2)

•  Callback – option pour l'établissement d'une connexion

18 L.A. Steffenel

LCP

LCP est aussi en charge de : Traiter/négocier les différentes tailles de paquet permises

Détecter les erreurs de configuration les plus courants

Terminer une connexion

Déterminer si un lien fonctionne correctement (keepalive)

19 L.A. Steffenel

Ouverture d'une session PPP

L'établissement d'une session PPP s'effectue en trois étapes : 1.  Établissement d’une

liaison et négociation de la configuration

2.  Authentification (optionnelle)

3.  Négociation de la configuration du protocole de couche réseau

20 L.A. Steffenel

Ouverture d'une connexion PPP (détail)

1. Établissement du lien - (LCP) 2. Authentification - Optionnelle (LCP)

3. Définition de la qualité du lien - Optionnel (LCP)

4. Configuration du protocole de couche réseau (à la charge des NCPs)

5. Clôture du lien (LCP)

Router#configure terminal Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp

21 L.A. Steffenel

Établissement du lien

Dans cette phase les dispositifs PPP envoyent des trames LCP pour configurer et tester le lien

Les trames LCP contiennent les options qui permettent la négociation : •  maximum transmission unit (MTU), •  compression de certains champs PPP, •  le protocole d'authentification

Si une option manque, c'est la valeur par défaut qui est assumée Avant tout échange, LCP négocie les paramètres de la connexion

22 L.A. Steffenel

Authentification (optionnelle)

Après l'établissement du lien et la définition du protocole d'authentification, les pairs doivent s'authentifier Cette étape précède la négociation des paramètres de la couche

réseau Dans cette phase il est aussi possible de déterminer la qualité du lien grâce

à des tests La qualité du lien est testée pour s'assurer que la transmission est

suffisamment bonne pour garder une connexion ouverte

23 L.A. Steffenel

Phase NCP

Dans cette phase les dispositifs échangent des paquets NCP afin de choisir et configurer un ou plusieurs protocoles de couche 3 (IP, par exemple)

Lorsque chaque protocole a été configuré, les paquets peuvent être envoyés à travers le lien

Si LCP ferme le lien, il envoie une notification aux protocoles de couche 3 pour qu'ils effectuent les mesures correspondantes

24 L.A. Steffenel

La commande show interfaces indique les types de protocoles LCP et NCP sur le lien

NCP LCP

25 L.A. Steffenel

Protocoles d'Authentification PPP

1. Établissement du lien - (LCP)

2. Authentification - Optionnelle (LCP)

3. Définition de la qualité du lien - Optionnel (LCP)

4. Configuration du protocole de couche réseau (à la charge des NCPs)

5. Clôture du lien (LCP)

26 L.A. Steffenel

Password Authentication Protocol (PAP)

PAP offre un mode simple d'authentification en deux phases Quand la phase d'établissement du lien est complète, un pair username/

password est envoyé PAP n'est pas un protocole d'authentification sûr Les mots de passe sont envoyés en texte clair, et aucune contrôle de

rejeu est effectué Le seul contrôle repose sur le nœud distant, qui gère l'intervalle entre deux

tentatives d'authentification

27 L.A. Steffenel

Challenge Handshake Authentication Protocol (CHAP)

CHAP utilise un protocole en trois étapes Dans un premier moment, le nœud distant reçoit un message "challenge" Ce nœud répond avec une valeur calculée typiquement avec MD5 Cette réponse est basée sur le mot de passe et le message challenge La machine local vérifie la réponse par rapport à son propre calcul de la

valeur challenge Si les valeurs correspondent, l'authentification est établie ; sinon, le lien est

fermé

28 L.A. Steffenel

Challenge Handshake Authentication Protocol (CHAP)

CHAP inclut de la protection contre le rejeu grâce à l'utilisation d'une valeur challenge à usage unique (et qui est difficile à prédire)

Le routeur local reste maître de la fréquence des tentatives de connexion, ce qui rend encore plus difficile les attaques en masse

29 L.A. Steffenel

Configuration de PPP

Il suffit de changer le type d'encapsulation pour activer PPP sur l'interface serial 0/0

Router#configure terminal Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp

30 L.A. Steffenel

Configuration de PPP

172.25.3.0/24Serial .1/S0.2/S0

DCEDTE

interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp

interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp

La configuration des adresses IP n'est pas nécessaire pour que le lien PPP soit établi, mais ça conduit seulement à un état "Up Down" dans sh ip int br

31 L.A. Steffenel

Vérification de PPP

NCP LCP

32 L.A. Steffenel

Configuration de l'Authentification (PAP ou CHAP)

Encrypted password Repeated challenges

33 L.A. Steffenel

Configuration PAP

Rtr(config)# username remote-host password remote-password Le nom d'utilisateur configuré doit correspondre à celui envoyé par l'autre

routeur

Rtr(config-if)# ppp pap sent-username this-host username password this-host-password

Les mots de passe doivent correspondre aux usernames configurés, mais chaque côté peut avoir son username. Les mots de passe ne doivent pas être les mêmes utilisés dans le reste du système, comme par exemple le mot de passe enable-secret

Router(config-if)#ppp authentication {chap | chap pap |

pap chap | pap} Il est possible de choisir un ou plusieurs protocoles ; le deuxième sera utilisé

uniquement si aucune réponse est obtenue avec le premier (une authentification refusée avec le premier protocole ferme la connexion)

34 L.A. Steffenel

Configuration PAP

172.25.3.0/24Serial .1/S0.2/S0

DCEDTE

hostname SantaCruz username HQ password HQpass interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp ppp authentication pap ppp pap sent-username SantaCruz password SantaCruzpass

hostname HQ username SantaCruz password SantaCruzpass interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp ppp authentication pap ppp pap sent-username HQ password HQpass

35 L.A. Steffenel

Note : Le Hostname par défaut de la machine est utilisé, sauf si la commande ppp chap hostname définie un autre nom pour ce lien.

Ce nom doit correspondre au username configuré sur la machine distante

Tout comme les usernames, les mots de passe sont sensibles à la casse

Configuration CHAP

172.25.3.0/24Serial .1/S0.2/S0

DCEDTE

hostname SantaCruz username HQ password boardwalk ppp chap hostname SantaCruz (optional) interface Serial0 ip address 172.25.3.2 255.255.255.0 encapsulation ppp ppp authentication chap

hostname HQ username SantaCruz password boardwalk ppp chap hostname HQ (optional) interface Serial0 ip address 172.25.3.1 255.255.255.0 encapsulation ppp ppp authentication chap

36 L.A. Steffenel

Configuration de PPP Multilink

Router(config)#interface serial 0/0

Router(config-if)#encapsulation ppp

Router(config-if)#ppp multilink

•  Dans certains cas il est plus intéressant d'agréger des liens PPP (sous le même sous-réseau IP) que d'avoir plusieurs routes alternatives sous IP

37 L.A. Steffenel

Configuration de PPP Multilink (juste pour info, GNS3)

hostname SantaCruz multilink Virtual-Template 1 interface loopback 0 ip address 192.168.1.1 255.255.255.0 interface Virtual-Template1 ip unnumbered loopback0 ppp multilink interface Serial0 no ip address encapsulation ppp ppp multilink interface Serial1 no ip address encapsulation ppp ppp multilink interface Serial2 no ip address encapsulation ppp ppp multilink

hostname HQ multilink Virtual-Template 1 interface loopback 0 ip address 192.168.1.2 255.255.255.0 interface Virtual-Template1 ip unnumbered loopback0 ppp multilink interface Serial0 no ip address encapsulation ppp ppp multilink interface Serial1 no ip address encapsulation ppp ppp multilink interface Serial2 no ip address encapsulation ppp ppp multilink

38 L.A. Steffenel

Compression

•  Il est possible d'activer la compression des trames (données) •  recommandé uniquement si le trafic n'est pas déjà compressé

•  Cisco supporte deux types algorithmes : •  Predictor : Le routeur décide si les données doivent être compressés ou pas.

•  Stac : l'algorithme Lempel-Ziv (le même des fichiers ZIP) est utilisé pour compresser toute donnée transmise

Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#compress [predictor|stac]

39 L.A. Steffenel

Compression de l'entête TCP - RFC 1144

En complément à la compression des données, la RFC 1144 permet aussi la compression de l'entête TCP sur les liens série qui utilisent HDLC, PPP ou SLIP

Uniquement les entêtes TCP sont affectées, pas les entêtes UDP

La commande suivante active la compression de l'entête TCP : Router(config-if)#ip tcp header-compression

Il y a aussi la possibilité d'utiliser la commande ip tcp header-compression passive

Dans ce cas, la compression de l'entête n'est pas obligatoire, mais le routeur utilisera de la compression selon la destination et uniquement s'il a reçu un paquet avec l'entête compressé

40 L.A. Steffenel

Détection d'Erreurs

•  Le service Link Quality Monitoring (LQM) permet aux interfaces série de surveiller la qualité des transmissions (nombre de paquets perdus, etc.)

•  Grâce à LQM, PPP peut choisir de désactiver un lien dont la qualité est inférieure à un seuil configuré •  Il est souvent plus intéressant de désactiver un lien de mauvaise qualité que de

"perdre" du temps avec la retransmission des messages

•  Le taux de la qualité est calculé par rapport aux paquets entrants et sortants

Router(config)#interface serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#ppp quality percentage

41 L.A. Steffenel

debug ppp negotiation

La commande debug ppp negotiation permet le suivi des étapes de la négociation PPP, ce qui met en évidence les facteurs qui peuvent empêcher une connexion d'être établie

Router#debug ppp negotiation PPP protocol negotiation debugging is on . . .

BR0:1 LCP: State is Open . . . PPP: Phase is AUTHENTICATING . . .

BR0:1 IPCP: State is Open . . .

42 L.A. Steffenel

debug ppp authentication

La commande debug ppp authentication se concentre sur la phase d'authentification

Remarque : si les deux extrémités requièrent l'authentification, celle-ci sera faite en parallèle, dans les deux directions

43 L.A. Steffenel

Défaillance du mécanisme keepalive

•  Par défaut PPP envoie des messages keepalive pour identifier qu'un lien est toujour actif •  envois à chaque 10 secondes, dead-interval 3x ou 5x selon la version IOS

•  L'intérêt de ce mécanisme est d'agir de manière indépendante du protocole de routage en cas de suspicion ; un lien suspecté est désactivé •  utile avec des routes statiques ou si le protocole de routage est plus lent (RIP)

•  Certaines versions IOS permettent la désactivation du keepalive (commande de interface no keepalive), ce qui peut créer des problèmes si les deux extrémités ne sont pas configurées à l'identique