PPPoE - Architecture de base avec Cisco UAC 6400

Slides:



Advertisements
Présentations similaires
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Advertisements

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
bgp always-compare-med
Le modèle TCP/IP Présentation Couche Interface-Réseau Couche Réseau
Couche 3.
Chapitre10 Prise en charge des utilisateurs distants
Système de transmission de données & segmentation du réseaux
Principes de Conception pour des Solutions d'Accès basées sur ADSL
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
LAN Médias cch_ccnp.
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
CCNP Réseau de Campus Concepts et Modèles cch_ccnp.
SNET: Administration et sécurisation des réseaux EPFC Alain Smets
Sécurité - ASA7.x/PIX 6.x et plus
PPPoA - Architecture de base
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
CCNP Routage Chapitre 4 - Questionnaire N°1
IS-IS - Adjacence Point à Point
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
Routed Bridged Encapsulation
Configuration de base de AAA sur un Server d'accès
Interconnexion de Domaines IPv6
Commande show standby ccnp_cch ccnp_cch.
Comprendre l'Agrégation d'Accès Large Bande
Configuration Routeur SOHO77
(Switch Database Management)
HSRP (Hot Standby Routing Protocol)
Types et Codes de paquet ICMPv6
Routage S 3 - Questionnaire N°1
Comprendre les VPDN (Virtual Private Dial-up Networks)
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Sécurité - Configuration de
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
Adressage IPv6 v1 CAI.
Routage S 3 - Questionnaire N°1
Sécurité - Configuration d'un
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
QoS - Configuration Fragmentation
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Configuration NAT Dynamique
Les protocoles de la couche application Chapitre 7.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
MPR - Le concept de réseau - 06
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

PPPoE - Architecture de base avec Cisco UAC 6400

Sommaire • Introduction - Hypothèses • Aperçu de la technologie • Avantages et Inconvénients de l'architecture PPPoE - Avantages - Inconvénients • Eléments à considérer pour implémenter une architecture PPPoE • Points clés de l'architecture PPPoE • Description fonctionnelle de l'architecture PPPoE

Aperçu de la technologie Introduction Ce document décrit une architecture ADSL ( Asymetric Digital Subscriber Line) de bout en bout utilisant PPPoE (Point to Point Protocol over Ethernet). Dans l'envionnement des technologies d'accès, il est préférable de connecter de multi- ples hosts sur un site distant au travers d'un seul équipement d'accès de l'abonné ou du client. Il aussi essentiel de fournir un controle d'accès et une facturation simi- laires à ceux des services d'accès distants utilisant PPP (Point to Point Protocol). Dans plusieurs technologies d'accès, la méthode la plus efficace en fonction du coût est Ethernet. En plus de cela, il est préférable de garder le coût de l'équipement d'accès le plus bas possible. Commes les clients déploient l'ADSL ils doivent supporter une authentification et une autorisation de style PPP sur une large base d'équipements d'accès standards chez ces clients. PPPoE fournit la possibilté de connecter un réseau de hosts sur un simple équipement de bridging vers un concentrateur d'accès ou un concentrateur agréga- teur de flux. Avec ce modèle chaque host utilise sa propre pile IP présentant ainsi une interface utilisateur déjà connue. Le controle d'accès , la facturation et le type de service peuvent être effectué sur la base de l'utilisateur plutôt que sur celle du groupe. Hypothèses L'architecture classique suppose la fourniture de: • Accès Internet et accès entreprise haut débit pour l'utilisateur final PPPoE • ATM comme technologie de coeur de réseau, implémentée par le concentrateur universel Cisco UAC 6400 Cette restriction d'implémentation de conception peut limiter l'utilisation de cette architecture sur d'autres plateformes. Ce document est basé sur des déploiements réels et sur des expérimentations sur plateformes de test . Ce document fait également référence à Architecture de base PPPoA. Aperçu de la technologie Comme cela est spécifié dans le RFC2516, PPPoE a deux phases: une phase décou- verte et une phase session. Quand un host initie une session, il doit d'abord réaliser une phase découvetre pour identifier quel serveur (concentrateur) peut servir les requêtes des clients , identifier l'adresse MAC Ethernet de l'autre extrémité et ensuite établir une session PPPoE avec un ID de session. Tansid que PPP définit une relation point à point, la phase découvetre est par héritage une relation client/serveur. Dans le processus de découverte, un host (client) découvre un plusieurs concentra- teurs d'accès (serveurs) et en sélectionne un. Lorsque la découverte s'est déroulée avec succès, le et le concentrateur sélectionné ont les informations pour établir une connexion point à point sur Ethernet. Une fois que la session PPP est établie, le host et le concentrateur doivent allouer des ressources pour l'interface virtuelle PPP. (ce n'est pas le cas de toutes les implémentations).

Avantages et Inconvénients de l'architecture PPPoE L'architecture PPPoE hérite de la majeure partie des avantages de PPP utilisé dans le modèle d'accès distant standard. Quelques points clés des avantages et inconvénients de PPPoE et leurs différences avec PPPoA sont listés ci-dessous. Avantages Avantages clés de PPPoE: • Authentification par session basée sur PAP (Password Authenticaion Protocol) ou CHAP (Challenge Authentication Protocol). C'est l'avantage le plus important de PPPoA car l'authentification comble le trou de sécurité de l'architecture "Bridging". • Comptabilté par session possible ce qui permet au fournisseur d'accès de facturer l'abonnée sur la base d'un temps de session pour les différents services offerts. Le fournisseur d'accès peut aussi demander une facturaton minimale. • PPPoE peut être utilisé sur des installations client ne pouvant pas être "upgradées" vers PPP ou qui n'ont pas les capacités d'opérer avec PPPoA, éténdant les sessions PPP sur le LAN Ethernet ponté vers la poste de travail. • PPPoE préserve la session point à point utilisée par les FAIs avec le modèle d'accès standard. PPPoE est le seul protocole capable d'opere en point à point sur Ethernet sans nécessiter une pile IP intermédiaire. • Le fournisseur d'accès réseau (NAP - Network access Provider) ou le fournisseur de services réseau (NSP - Network Service Provider) peut fournir un accès sécurisé vers une passerelle d'entreprise sans être obligé de gérer des circuits virtuels permanents de bout en bout (PVC) nécessitant l'utilisation de routage couche 3 et/ou des tunnels L2TP (Layer 2 Tunneling Protocol). Ceci permet d'avoir un modèle de vente de services à grande échelle. • PPPoE peut fournir à host l'accès à de multiples destinations à un moment donné. Il peut y avoir de multiples sessions PPPoE par PVC. • Le fournisseur de services réseau (NSP) peut faire du sur-abonnement en utilisant des "time-out" de session sur inactivité en utilisant RADIUS (Remote Dial In User Authentication) pour chacun de ses abonnés. • Utilisation optimale des fonctionnalités sur la passerelle de sélection de service (SSG - Service Selection Gateway)

Inconvénients Inconvénients clés de PPPoE: • Le client logiciel PPPoE doit être installé sur tous les hosts connectés au segment Ethernet. Cela signifie que le fournissuer doit maintenir le logiciel client et le con- centrateur d'accès sur le poste de travail. • Comme PPPoE utilise le Bridging RFC 1483, il est sensible aux tempêtes de broad- cast et aux attaques de type "Deni de Service". Eléments à considérer pour implémenter une architecture PPPoE Voici quelques points clés à considérer avant d'implémenter une architecture PPPoE. • Nombre d'abonnés devant être servis maintenant et dans le futur. Le nombre de concentrateurs PPPoE requis est directement lié au nombre de sessions. • Soit les sessions PPP se terminent au routeur d'agrégation de flux du fournisseur de service ou sont acheminées vers d'autres passerelles d'entreprise ou des fournisseurs d'accès Internet. • Soit le fournisseur de service ou le service de destination final fournit l'adresse IP • Dans le cas de plusieurs utilisateurs, soit les utilisateurs doivent joindre la même destination ou service ou alors ont-ils tous différents services de destination. Est-ce que les utilisateurs finaux ont besoin d'accès simultanés vers de multiples destinations. • Le logiciel client PPPoE utilisé pat le fournisseur de service a été testé ainsi que le système d'exploitation du host et que le système d'exploitation soit capable de de décision intelligente de routage. • Comment le fournisseur de service facture-t-il l'abonné ? sur un débit unique, par session ou par utilisation de service. • Déploiement et équipements des accès clients, DSLAMs et points de présence. • Est-ce que le fournisseur de services fournit des services à valeur ajoutée comme la voix ou la vidéo? Est-ce que le fournisseur de services veut que tous les abonnés passent par un réseau particulier avant de joindre la destination finale? Quang les abonnés utilisent une passerelle de sélection de services paasent-ils par un concen- trateur de sessions PPP, un équipement de médiation ou un proxy? • Le type d'applications que le fournisseur de service veut offrir à l'tilisateur final. • Anticiper le volume d'information entre le réseau et les clients. Prendre en compte le trafic engeneering et la QoS

Architecture de réseau SSG DSLAM Site RFC1483 Bridging PPPoE AAA IP, ATM ou IP+ATM FAI Extranet Tunnel Cisco UAC 6400 Entreprise Considérations sur la conception de l'architecture PPPoE Cette section couvre les problèmes spécifiques à l'architecture PPPoE. Avant de déployer toute architecture, il est essentiel de comprendre le modèle com- mercial du fournisseur de service et quels services ce fournisseur veut offrir. Vous devez également connaître le logiciel client utilisé sur le poste utilisateur. Comme le logiciel client doit être installé sur un poste de travail, le service technique du four- nisseur de service doit avoir une bonne connaissance de ce type d'équipement et du ou des systèmes d'exploitation utilisés. Comme cela est spécifié dans le RFC2516, le MRU (Maximum Receive Unit) ne doit pas être négocié à une valeur supérieure à 1492 octets. Ethernet à une charge utile égale à 1500 octets. L'en-tête PPPoE est 6 octets et l'ID de protocole PPP est de 2 octets aussi le MTU (Maximum Transmit Unit) ne doit pas être supérieur à 1492 octets. Ceci peut être réalisé en configurant le MTU IP à 1492 pour l'interface virtual-template PPPoE. Par défaut aucune interface d'accès virtuelle n'est "préclonée" quand un groupe PPPoE VPDN est configuré. Les utilisateurs peuvent changer le nombre maximum d'interfaces d'accès virtuellesen exécutant la commande globale virtual-template <number> pre-clone <number>. Pour protéger le routeur contre les attaques de type déni de service, PPPoE autorise une seule session par défaut avec une adresse MAC source sur un VC (Virtual Channel). les utilisateurs peuvent changer cette valeur par défaut en exécutant les commandes pppoe session-limit per-mac et pppoe session-limit per-vc. Le processus d'authentification, d'autorisation et de comptabilité est le même que ce- lui de PPPoA. La seule différence est l'authentification basée sur VPI/VCI de PPPoA n'est pas disponible dans PPPoE. On peut utiliser des architecture L2TP et des passe- relles de sélection de service (SSG) pour un déploiement à grande échelle.

Information Utilisateur Points cles de l'architecture PPPoE Equipement d'accès de l'abonné L'équipement d'accès de l'abonné est configuré pour du pur "Bridging RFC1483". Chaque équipement d'accès de l''abonné consomme une paire VPI/VI et toutes les sessions initiées par les hosts derrière cet équipement d'accès seront transportées dans ce VC unique. Gestion IP AAA IPCP SSG Internet Cisco UAC 6400 Entreprise LAC Tunnel LNS Terminaison PPPoE AAA Nom de domaine Information Utilisateur LCP IPCP L'allocation d'adresse IP pour un host individuel utilisant le client PPPoE est basé sur le même principe que PPP en accès distant avec négociation IPCP. L'adresse IP origine dépend du type de service que l'abonné a acheté et où les sessions PPP sont terminées. PPPoE utilise la fonctionnalité d'accès distant de Microsoft Windows et l'adresse IP affectée est visible dans l'interface PPP. L'affectation d'adresse IP peut être faite depuis le concentrateur d'accès terminant les sessions PPPoE ou dans le cas de L2TP depuis la "Home Gateway". L'adresse IP est affectée pour chaque session PPPoE. L'équipement d'accès client ne fait pas de NAT/DHCP car il est ponté et il n'a pas d'adresse IP allouée.

Comment le service destination est-il atteint Comment le service destination est-il atteint? Le service destination peut être atteint de la manière suivante: • Les sessions PPP se terminent chez le fournisseur d'accès • Tunnel L2TP • Utilisation de passerelle de sélection de service (SSG) Description fonctionnelle de PPPoE Cette version de client PPPoE supporte les phases découverte et session décrites dans le RFC2516. Il y quatre étapes dans la phase découverte. Lorsque cette phase est achevée les deux extrémités ont un ID de session PPPoE et l'adresse Ethernet de cha- cune des extrémités qui définissent la session PPPoE. Les étapes sont: 1. Le host diffuse un paquet d'initiation de session. Le host transmet un paquet PADI (PPPoE Active Discovery Initiation) avec une adresse de broadcast pour la destination. Le paquet PADI a une marque indiquant quel type de service est demandé. 2. Un ou plusieurs concentrateurs transmettent des paquets d'offre. Quand un concentrateur ou un routeur reçoit un paquet PADI qu'il peut servir, il répond avec un paquet PADO (PPPoE Acyive Discovery Offer). L'adresse de desti- nation est l'adresse Ethernet unicast du host qui a transmis le paquet PADI. Si le concentrateur s'accès ne peut pas servir le paquet PADI, celui-ci ne doit pas répon- dre. comme le paquet PADI est diffusé, le host peut recevoir plusieurs paquets PADO. 3. Le host transmet un paquet unicast de requête de session Le host trie les paquets PADO reçus et en choisit un. Le choix peut être basé sur les services offerts par chaque concentrateur. Le host transmet ensuite un paquet PADR (PPPoE Acticve Discovery Request) au concentrateur d'accès qu'il a choisi. L'adresse de destination est l'adresse Ethernet unicast du concentrateur d'accès qui a transmis le paquet PADO.

toute encapsulation PPP. Tous les paquets Ethernet sont unicast. Client PPPoE VPI/VCI 1/33 VPI/VCI 1/1 ATU-R DSLAM Concentrateur PADI PADO PADR PADS (ID de Session) LCP/IPCP 4. Le concentrateur d'accès sélectionné transmet un paquet de confirmation Quand le concentrateur d'accès reçoit un paquet PADR, il prépare l'ouverture d'une session PPP. Il génère un ID de session unique pour la session PPPoE et ré- pond au host avec un paquet PADS (PPPoE Active Discovery Session-confirmation). L'adresse de destination est l'adresse unicast Ethernet du host qui a transmis le paquet PADR. Une fois que la session PPP débute, les données PPP sont transmises comme dans toute encapsulation PPP. Tous les paquets Ethernet sont unicast. Un paquet PADT (PPPoE Active Discovery Terminate) peut être transmis à tout moment lorsque la session est établie pour indiquer la fin de session PPPoE.