Thứ Sáu, 19 tháng 7, 2013

CCNA: Hướng dẫn Thiết lập kết nối WAN với PPP – Phần 1+2











Dịch vụ mạng diện rộng (WAN) thường được thuê từ một nhà cung cấp dịch vụ. Một số dịch vụ WAN hoạt động như lớp 2 kết nối giữa các địa điểm từ xa của bạn và thường được cung cấp bởi một công ty điện thoại (viễn thông) cung cấp qua thiết bị chuyển mạch WAN của nó.



PPP nổi lên như là một giao thức đóng gói cho vận chuyển lưu lượng IP theo dạng điểm-điểm (thuê line) kết nối nối tiếp. Phần này mô tả các hoạt động, cấu hình và xác thực của PPP.

1. Hiểu biết về đóng gói trong WAN:Trên mỗi kết nối WAN, dữ liệu được đóng gói vào khung trước khi nó đi qua các liên kết WAN. Để đảm bảo rằng các giao thức được sử dụng chính xác, bạn phải cấu hình kiểu đóng gói lớp 2 thích hợp. Việc lựa chọn giao thức lớp 2 phụ thuộc vào công nghệ mạng WAN và các thiết bị giao tiếp. Hình 3-11 nêu bật một số trong những lựa chọn để kết nối đến mạng WAN.


Hình 3-11: Các lựa chọn cho mạng WAN.Sau đây là giao thức điển hình WAN:

High-Level Data Link Control (HDLC): mặc định Cisco đóng gói dạng kết nối điểm-điểm, liên kết chuyên dụng, và các kết nối chuyển mạch. Bạn thường sử dụng HDLC khi hai thiết bị Cisco đang giao tiếp qua một kết nối point-to-point.

♦ PPP: Cung cấp các router-to-router và host-to-network kết nối qua mạch đồng bộ và không đồng bộ. PPP được thiết kế để làm việc với nhiều giao thức lớp mạng, bao gồm cả IP. PPP cũng đã được xây dựng trong cơ chế bảo mật, chẳng hạn như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).

♦ Frame Relay: Giao thức này là một tiêu chuẩn công nghiệp, chuyển đội giao thức lớp liên kết dữ liệu để xử lý nhiều mạch ảo (VC). Frame Relay được sắp xếp hợp lý để loại bỏ một số các quy trình thời gian, chẳng hạn như sửa lỗi và kiểm soát dòng chảy, mà đã được sử dụng trong X.25 - liên kết truyền thông ít đáng tin cậy.

♦ ATM: Giao thức này là tiêu chuẩn quốc tế để chuyển tiếp các cell, trong đó nhiều loại hình dịch vụ như điện thoại, video và dữ liệu, được truyền đạt trong chiều dài cell cố định (53 byte). ATM, một công nghệ vi chuyển mạch, sử dụng độ dài cell cố định, cho phép thực thi trong phần cứng, do đó làm giảm sự chậm trễ trong di chuyển. ATM được thiết kế để tận dụng lợi thế của các phương tiện truyền thông truyền tốc độ cao như T3, E3, và SONET.

♦ Băng thông rộng - Broadband: băng thông rộng trong truyền thông dữ liệu thường dùng để truyền dữ liệu mà nhiều phần dữ liệu được gửi đồng thời để tăng tỉ lệ hiệu quả của truyền dẫn, bất kể tốc độ dữ liệu thực tế. Trong kỹ thuật mạng, thuật ngữ này đề cập đến phương pháp truyền dẫn nơi mà hai hay nhiều tín hiệu chia sẻ một phương tiện, chẳng hạn như các công nghệ:

- DSL-PPP qua Ethernet (PPPoE) và PPP qua ATM (PPPoA): Công nghệ cung cấp kỹ thuật số truyền dữ liệu qua các dây của một mạng điện thoại nội bộ. Thông thường, tốc độ tải về của người tiêu dùng dịch vụ DSL phạm vi từ 256 đến 24.000 kbps, tùy thuộc vào công nghệ DSL, điều kiện đường, và mức độ dịch vụ đã được thực hiện. DSL hiện thực thường sử dụng PPPoE hoặc PPPoA. Cả hai triển khai cung cấp các tiêu chuẩn PPP tính năng như xác thực, mã hóa, và nén. PPPoE là một giao thức mạng để đóng gói PPP khung trong khung Ethernet. PPPoA là một giao thức mạng để đóng gói PPP khung trong lớp 5 ATM (AAL5).

- Cáp-Ethernet: Một modem cáp là một loại modem cung cấp truy cập đến một tín hiệu dữ liệu được gửi qua các cơ sở hạ tầng truyền hình cáp. Modem cáp chủ yếu được sử dụng để cung cấp truy cập Internet băng thông rộng, lợi dụng băng thông không sử dụng trên một mạng truyền hình cáp. Băng thông của dịch vụ kinh doanh modem cáp thông thường vào khoảng từ 3 Mbps đến 30 Mbps hoặc nhiều hơn. Hiện tại hệ thống modem cáp sử dụng định dạng khung Ethernet để truyền dữ liệu qua các kênh dữ liệu thượng nguồn và hạ nguồn. Mỗi kênh trong số các kênh dữ liệu hạ nguồn và thượng nguồn liên quan trên một mạng cáp tạo thành một mạng WAN Ethernet mở rộng.

♦ Metro Ethernet: Sự xuất hiện của Metro Ethernet như là một phương pháp khả thi của việc cung cấp cả hai điểm-điểm và các dịch vụ đa điểm đã được thúc đẩy bởi một sự phong phú của triển khai sợi quang đến các khu vực kinh doanh. Ethernet có thể là công nghệ giao thông vận tải quy mô nhất từng được phát triển. Bắt đầu từ 10 Mbps, nó đã phát triển tới 10 Gbps, với kế hoạch cho 40 Gbps. Một số phương pháp nổi bật dành cho vận chuyển Metro Ethernet qua mạng, bao gồm các phương pháp tiếp cận giải pháp chính:

- Cung cấp các dịch vụ Ethernet qua sợi quang tối.

- Cung cấp các dịch vụ Ethernet trên SONET / đồng bộ hệ thống mạng cấp bậc kỹ thuật số (Synchronous Digital Hierarchy - SDH).

- Cung cấp các dịch vụ Ethernet sử dụng công nghệ Resilient Packet Ring (RPR).

2. Xác thực PPP:2.1. Tổng quan về PPP:

PPP cung cấp một vài tính năng cơ bản nhưng chức năng quan trọng nhất là dịch vụ kênh thuê riêng liên kết hai đầu thiết bị, một vài kiến thực về PPP như sau:

♦ Định nghĩa một header và một trailer cho phép cấp phát một khung dữ liệu trên đường dẫn.

♦ Cung cấp trên cả đường dẫn đồng bộ (synchronous) và bất đồng bộ (asynchronous).

♦ Một loại miền giao thức đặc biệt trong header cho phép nhiều giao thức lớp 3 có thể băng qua trên cùng một liên kết.

♦ Có khả năng xác thực: Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).

♦ Điều khiển giao thức cho mỗi giao thức ở lớp cao hơn đi trên PPP, cho phép sự hội tụ dễ dàng hơn của những giao thức này.

2.2. Vùng giao thức của PPP:

Một trong những tính năng quan trọng trong chuẩn PPP, nhưng không có trong chuẩn HDLC, là vùng giao thức (protocol field). Vùng giao thức xác nhận thể loại của gói tin bên trong khung. Khi kết nối PPP được tạo ra, vùng này cho phép các gói tin từ nhiều giao thức lớp 3 khác nhau băng qua một liên kết duy nhất.


Hình 4-2: Khung PPP và HDLC.PPP định nghĩa một tập các văn bản điều khiển dạng lớp 2 để thực hiện chức năng đều khiển những liên kết không giống nhau. Những chức năng này được phân thành hai loại chính:

♦ Những điều cần thiết bất kể giao thức lớp 3 nào được gởi trên liên kết.  Cụ thể đến mỗi giao thức lớp 3.

2.3. Giao thức điều khiển liên kết:

Giao thức điều khiển liên kết (Link Control Protocol LCP) thực hiện chức năng điều khiển cùng một công việc mà bất kể giao thức lớp 3 nào được sử dụng.

Các Link Control Protocol (LCP) của PPP được sử dụng để thương lượng và thiết lập các tùy chọn kiểm soát vào liên kết dữ liệu WAN. PPP cung cấp nhiều dịch vụ. Các dịch vụ này tùy chọn trong LCP và chủ yếu được sử dụng để thương lượng và kiểm tra các khung để thực hiện các điều khiển dạng điểm-điểm mà một quản trị viên chỉ định cho kết nối.

LCP cung cấp 4 đặc tính cơ bản sau:

2.3.1 Phát hiện liên kết lặp:

Phát hiện lổi và phát hiện liên kết lặp là hai đặc tính quan trọng của PPP. Phát hiện liên kết lặp cho phép sự hội tụ nhanh hơn khi một liên kết bị rớt bởi vì vòng lặp. Router không thể gởi bất kì bit nào đến nơi khác khi có vòng lặp đang xảy ra. Tuy nhiên, router không thể tự mình thông báo là liên kết đang xảy ra vòng lặp, bởi vì router bẫn còn đang nhận một vài thông tin trên liên kết. PPP giúp router nhận ra một liên kết lặp nhanh chóng để nó có thể đóng cổng giao diện và sử dụng một đường đi khác.

LCP thông báo liên kết lạp nhanh chóng bằng một tính năng gọi là "magic numbers". Khi dùng PPP, router gởi thông báo PPP LCP thay vì thông tin keepalive của Cisco đi qua liên kết; những thông tin này bao gồm một magic number, khác nhau trên mỗi router. Nếu một đường bị lặp, router nhận một thông tin LCP với chính số magic number của nó thay vì lấy một thông tin với một số khác. Khi router nhận chính số magic của nó, router sẽ biết rằng khung này đã được gởi trở lại do có sự cố vòng lặp, vì thế router làm down cổng giao diện với một sự hội tụ nhanh.

CCNA: Thiết lập kết nối WAN với PPP – Phần 2












Tương tự như nhiều giao thức liên kết dữ liệu khác, PPP dùng một vùng FCS trong PPP trailer để xác định nếu một khung cá thể gặp sự cố. Nếu một khung gặp sự cố, nó được loại bỏ. Tuy nhiên, PPP có thể kiểm tra tần số số khung nhận bị lỗi để có thể làm down cổng giao diện nếu quá trình frame bị lỗi xuất hiện.



2.3.2 Tăng cường khả năng phát hiện sự cố:

PPP LCP xem xét tỷ lện sự cố trên một liên kết bằng một tính năng gọi là chức năng phát hiện chất lượng của liên kết (Link Quality Monitoring LQM). LCP ở tại mỗi liên kết gởi một thông tin so sánh số gói tin đúng nhận được và số dữ liệu byte. Router gởi gói tin so sánh số này khung lỗi với số khung và byte nhận được, và tính toán tỷ lệ phần trăm gói tin bị mất. Router có thể làm down liên kết sau khi tỷ lệ lổi vượt quá sự mong đợi.

LQM hữu dụng khi có một liên kết dự phòng trong hệ thống mạng. Bằng cách từ bỏ liên kết có nhiều lỗi xảy ra, ta có thể chuyển gói tin bằng cách dùng một đường dự phòng có ít sự cố.

2.3.3 PPP multilink:

Khi tồn tại nhiều liên kết PPP giữa hai router, được coi như là các liên kết song song, router phải xác định cách thức sử dụng các liên kết này. Với đường HDLC, và với đường PPP dùng một phương thức đơn giản, router phải dùng một kỹ thuật cân bằng tải ở lớp 3. Nghĩa là router có nhiều đường đi cho cùng một điểm đến như ví dụ trong hình sau:


Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP.Trong ví dụ, ta có 2 gói tin, một lớn và một gói tin nhỏ. Dùng lập luận lớp 3, router có thể chọn để gởi một gói tin trên một liên kết, và gói tin tiếp theo trên đường còn lại. Tuy nhiên, bởi vì gói tin có dung lượng khác nhau, router không thể cân bằng tải luồng dữ liệu bằng nhau trên mỗi liên kết. Trong trường hợp này, khi hầu hết gói tin được gởi tới một vài điểm đích, số lượng gói tin được gởi trên mỗi liên kết không thể cân bằng tải, dẫn đến tràn một liên kết và liên kết còn lại nhàn rỗi.

Cơ chế Multilink PPP cân bằng tải luồng dữ liệu bằng nhau trên các liên kết trong khi cho phép lớp 3 trên mỗi router đối xử các liên kết song song như là một liên kết duy nhất. Khi đóng gói một gói tin, PPP cắt nhỏ gói tin thành các khung nhỏ hơn, gởi một mảnh cắt trên mỗi liên kết.

2.3.4 Xác thực PPP:

PPP có thể mang các gói tin từ một số giao thức lớp mạng bằng cách sử dụng giao thức kiểm soát mạng (Network Control Protocol - NCP). Các NCPs bao gồm các chức năng có chứa mã tiêu chuẩn để cho biết loại giao thức lớp mang mà được đóng gói trong khung PPP.


Hình 4-4 cho thấy NCP và LCP cung cấp các chức năng này cho PPP.Ba giai đoạn của phiên PPP được mô tả trong danh sách sau đây:

1. Giai đoạn xây dựng liên kết:

Trong giai đoạn này, mỗi thiết bị PPP sẽ gửi các gói LCP để cấu hình và kiểm tra các liên kết dữ liệu. LCP gói chứa một trường tùy chọn cấu hình cho phép các thiết bị để đàm phán việc sử dụng các tùy chọn, như tối đa nhận được số đơn vị, việc nén của một số lĩnh vực PPP, và liên kết các giao thức xác thực. Nếu một tùy chọn cấu hình không bao gồm trong một gói LCP, giá trị mặc định cho rằng tùy chọn cấu hình được giả định.

2. Giai đoạn xác thực (tùy chọn)

Sau khi liên kết được thành lập và các giao thức xác thực đã được quyết định, các peer đi qua giai đoạn xác thực. Chứng thực, nếu được sử dụng, diễn ra trước khi các lớp giao thức mạng được bắt đầu.

PPP hỗ trợ hai giao thức xác thực: PAP và CHAP. Cả hai giao thức được thảo luận trong RFC 1334.

3. Giai đoạn thương lượng giao thức lớp mạng:

Trong giai đoạn này, các thiết bị PPP gửi gói NCP để lựa chọn và cấu hình một hoặc nhiều giao thức lớp mạng, chẳng hạn như IP. Sau khi mỗi lựa chọn giao thức lớp mạng được cấu hình, datagrams từ mỗi giao thức lớp mạng có thể được gửi qua liên kết.

PAP là một giao thức bắt tay hai bước (two-way handshake), cung cấp một phương pháp đơn giản cho một nút điều khiển từ xa để thiết lập nhận dạng. PAP được thực hiện chỉ khi thành lập liên kết ban đầu.

Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các nút điều khiển từ xa nhiều lần gửi một cặp tên người dùng và mật khẩu để định tuyến cho đến khi xác thực được công nhận hoặc kết nối được chấm dứt. Hình 4-5 cho thấy một ví dụ của một chứng thực PAP.


Hình 4-5: Chứng thực PAP.PAP không phải là một giao thức xác thực mạnh. Mật khẩu được gửi qua các liên kết dưới dạng văn bản gốc, có thể được sử dụng tốt trong môi trường có sử dụng mật khẩu dạng token có khả năng thay đổi mật khẩu mỗi lần xác thực, nhưng không an toàn trong hầu hết môi trường.

CHAP, trong đó sử dụng phương thức bắt tay ba bước (three-way handshake), xảy ra ở lần khởi động của một liên kết và định kỳ sau đó để xác minh danh tính của các nút điều khiển từ xa bằng cách sử dụng một phương thức bắt tay ba bước.

Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các bộ định tuyến nội bộ gửi một thông điệp thách thức đến với các nút điều khiển từ xa. Các nút điều khiển từ xa phản hồi với một giá trị được tính bằng cách sử dụng một hàm băm một chiều, thông thường văn bản được mã hóa dạng MD5, dựa trên mật khẩu và văn bản. Các bộ định tuyến nội bộ kiểm tra các phản ứng bằng tính toán riêng để trả về giá trị băm mong đợi. Nếu các giá trị phù hợp, xác thực được thừa nhận. Nếu không, kết nối được chấm dứt ngay lập tức. Hình 4-6 cung cấp một ví dụ về xác thực CHAP.


Hình 4-6: Chứng thực CHAP.CHAP cung cấp phương pháp chống lại tấn công bằng cách sử dụng một giá trị thách thức (challenge) là duy nhất và không thể đoán trước. Bởi vì thách thức là duy nhất và ngẫu nhiên, giá trị băm cũng sẽ là duy nhất và ngẫu nhiên. Các bộ định tuyến nội bộ hoặc một áy chủ chứng thực của bên thứ ba để kiểm soát tần số và thời gian trong những challenge.



 

0 nhận xét:

Đăng nhận xét