Comprendre les VPDN (Virtual Private Dial-up Networks)

Slides:



Advertisements
Présentations similaires
Chapitre10 Prise en charge des utilisateurs distants Module S41.
Advertisements

INTERNET (Wan) Réseau local (LAN) Livebox (passerelle) Adresse réseau (IP) Internet La passerelle dispose de 2 adresses réseau: - adresse.
1 Programmation Orientée Objet ● Qu'est-ce qu'un objet ● Collaboration des objets ● Les classes ● Relations entre les classes – “Utilise”, “Contient”,
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
DIAGRAMME DE DEPLOIEMENT Exposé de: MBALLA MEKONGO Michèle MBOUNA FEUZE William SIEYADJEU Alex Lionel CHOPGWE Leonard NDUMATE Landry TIDJON Lionel.
ARCHITECTURE RESEAUX.
Cross-Plateform Cours JavaScript
MENUS PRINCIPAL RESEAU.
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Comment fonctionnent les réseaux privés virtuels (VPN) (Virtual Private Networks) ccnp_cch ccnp_cch.
Chapitre10 Prise en charge des utilisateurs distants
ATS8500 Standalone Downloader.
show dialer interface bri
CCNP Routage Chapitre 8 - Questionnaire N°1
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
SNMP - Comment calculer l'utilisation de la Bande passante
(Network Address Translation)
Comprendre l'Agrégation d'Accès Large Bande
Configuration Routeur SOHO77
Initiation aux bases de données et à la programmation événementielle
OSPF - Configuration initiale sur Liaisons Non-Broadcast
introduction à TCP seuls certains aspects du protocole seront traités
Comportement de RIP & IGRP avec les mises à jour de Routage
show ip nat translations
Comprendre et Configurer l'Authentification CHAP PPP
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Hot Standby Router Protocol standby preempt et standby track
Commande show ip route ccnp_cch ccnp_cch.
Fonctionnalités de l'Accès Virtuel (Virtual-Access) dans l'IOS Cisco
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Support de NAT pour IPSec ESP Phase II
- Mapper des appels sortants Passerelles Analogiques
Configuration de Voice VLAN
Comprendre la sortie de la commande debug ppp negotiation
d'un commutateur Catalyst
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Changer les critères de nommage
Virtualisation d’applications mobiles dans un réseau de Cloudlets
Comment fonctionne RADIUS?
Résolution de problèmes sur l'authentification
Sécurité - Configuration d'un
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Tunneling protocol Réalisé par : Boukhenef Amir Bali sif Eddine
Agrégation de Liens A Guyancourt le
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Présentation sur le modèle OSI et la norme ISO 7498
Notion De Gestion De Bases De Données
Création Et Modification De La Structure De La Base De Données
PROGRAMMATION INFORMATIQUE D’INGÉNIERIE II
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
SRT3 LDAP.
Formation sur les bases de données relationnelles.
Stockage iSCSI.
LES RESEAUX.
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Module 5 : Gestion de l'accès aux ressources à l'aide de groupes
UC : Diagramme des cas d’utilisation Req : Diagramme d’exigence
Transcription de la présentation:

Comprendre les VPDN (Virtual Private Dial-up Networks) ccnp_cch ccnp_cch

Sommaire • Introduction - Définition de termes • Présentation générale des VPDNs - Protocoles de "Tunneling" ccnp_cch

Introduction ccnp_cch Les VPDN (Virtual Private Dial-up Networks) permettent de réaliser un service de réseau d'accès privé recouvrant un ensemble de serveurs (définis comme le L2TP Access Con- centrator ou LAC). Quand un client PPP (Point to Point Protocol) établit une connexion avec un LAC, le LAC détermine qu'il doit acheminer la session PPP sur un serveur LNS (L2TP Network Server) pour ce client, qui ensuite authentifie l'utilisateur et initie la négociation PPP. Une fois que l'établissement de PPP est achevé, toutes les trames sont transmises au travers du LAC vers le client et le LNS. Définitions de termes • Client - PC ou Routeur attaché à un réseau distant qui est l'origine de l'appel. • L2TP - Layer 2 Tunneling Protocol . PPP définit un mécanisme d'encapsulation pour un transport de paquets de différents protocoles sur des liaisons point à point de couche 2. Typiquement, un utilisateur obtient une connexion de couche 2 avec un NAS (Network Access Server) en utilisant une technique telle un accès par le réseau télépho- nique classique (RTC), un accès RNIS ou un accès ADSL et ensuite utilise PPP sur cette connexion. Dans cette configuration, le point d'extrémité de terminaison de couche 2 et le d'extrémité de session PPP résident sur le même équipement physique (NAS). L2TP étend le modèle PPP en autorisant les point d'extrémités couche 2 et PPP à résider sur des équipements différents interconnectés par un réseau. Avec L2TP, un utilisateur a une connexion de couche 2 vers un concentrateur d'accès et ensuite le concentrateur crée des tunnels individuels pour les trames PPP vers le NAS. Ceci permet au traitement des trames PPP d'être séparé de la terminaison du circuit de couche 2. • L2F - Layer 2 Forwarding protocol- L2F est un protocole de "Tunneling" plus ancien que L2TP. • LAC - L2TP Access Concentrator - Nœud qui agit comme un point d'extrémité de tunnel L2TP d'un côté et c'est un voisin du LNS. Le LAC se situe entre le LNS et un client, il achemine les paquets entre chacun d'eux. Les paquets transmis du LAC vers le LNS nécessite du "tunneling" avec le protocole L2TP. La connexion entre le LAC et le client est réalisée par le RTC analogique (Modem) ou par RNIS. • LNS - L2TP Network Server - Nœud qui agit comme point d'extrémité de tunnel L2TP d'un côté et c'est un voisin du LAC. Le LNS est le point de terminaison logique de la session PPP qui est transportée dans le tunnel depuis le client vers le LAC. • Home Gateway - Même définition que le LNS dans la terminologie L2F • NAS - Network Access Server - Même définition que le LAC dans la terminologie L2F • Tunnel - Dans la terminologie L2TP, un tunnel existe entre la paire LAC-LNS. Le tunnel consiste en une connexion de contrôle et zéro ou plusieurs sessions L2TP. Le tunnel transporte des paquets encapsulés par PPP et des messages de contrôle entre le LAC et le LNS. Le processus est le même pour L2F. ccnp_cch

Info VPDN pour création du tunnel avec le LNS • Session - L2TP est orienté-connexion. Le LNS et le LAC maitiennent un état pour chaque appel ou chaque réponse traitée par le LAC. Une session L2TP est crée entre le LAC et le LNS quand une connexion PPP est établie de bout en bout entre un client et le LNS. Il y a une relation de type un pour un entre les sessions L2TP établies et les appels associés. Le processus est le même pour L2F. Présentation générale des VPDNs Dans la description du processus de VPDN ci-dessous, nous utiliserons la terminologie L2TP (LAC et LNS). Server AAA Server AAA Info VPDN pour création du tunnel avec le LNS (6) Client VPDN? (5) Authentification utilisateur (11) Client RTC/RNIS IP/L2TP ou L2F Réseau LAN Appel RTC/RNIS (1) Etablissement Tunnel (7) Phase PPP LCP (2) Authentification Tunnel (8) CHAP Challenge (3) Etablissement Session (9) CHAP Response (4) Paramètres LCP+Challenge CHAP+réponse CHAP (10) CHAP Response (12) Phase IPCP (13) 1. Le client appelle le LAC ( En utlisant un modem ou une carte RNIS) 2. Le client et le LAC démarrent la phase PPP par la négociation LCP (méthode d'au- thentification, PAP ou CHAP, PPP multilink, compression, ...). 3. Supposons que CHAP a été négocié à l'étape 2. Le LAC transmet un challenge CHAP au client. 4. Le LAC obtient une réponse (par exemple username@domain et mot de passe). 5. Basé sur le nom de domaine reçu dans la réponse CHAP ou dans le DNIS (Dialed Number Information Service) reçu dans le message Setup du RNIS, le LAC vérifie si le client est un utilisateur VPDN. Il peut réaliser cette vérification en utilisant sa configuration VPDN locale, soit en utilisant un serveur AAA (Radius par exemple). ccnp_cch

6. Comme le client est un utilisateur VPDN, le LAC a obtenu des inforlatons (de la con- figuration locale VPDN ou d'un serveur RADIUS AAA) qu'il va utiliser pour établir un tunnel L2TP ou L2F avec le LNS. 7. Le LAC établit un tunnel L2TP ou L2F avec le LNS 8. En se basant sur le nom reçu dans la requête venant du LAC, le LNS vérifie si le LAC est autorisé à ouvrir un tunnel (le LNS vérifie sa configuration VPDN locale). De plus le LAC et le LNS s'authentifient mutuellement (ils utilisent leurs bases de données locales ou un serveur AAA). Le tunnel est ensuite établi entre les deux équipements. Dans ce tunnel plusieurs sessions VPDN peuvent être transportées. au client. 9. Basée sur "username@domain", une session VPDN est ouverte du LAC vers le LNS. Il y a une session VPDN par client.. 10. Le LAC achemine les options LCP qu'il a négocié avec le client vers le LNS en rela tion avec le "username@domain" et mot de passe reçus du client. 11. Le LNS crée un "Virtual-Access" par copie d'un "Virtual-Template" spécifié dans la configuration VPDN. Le LNS prend les options LCP reçues du LAC et authentifie le client localement ou en contactant un serveur AAA (Radius) 12. Le LNS envoie une réponse CHAP au client 13. La phase IPCP (IP Control Protocol) est exécutée et la route est installée. La session PPP est établie et opérante entre le client et le LNS. Le LAC achemine les trames PPP. Les trames PPP sont transmises dans un tunnel entre le LAC et le LNS. ccnp_cch

Protocoles de "Tunneling" Un tunnel VPDN peut être construit en utilisant L2F (Layer 2 Forwarding) ou L2TP (Layer 2 Tunneling Protocol). • L2F a été introduit par Cisco dans le RFC 2341. Il est aussi utilisé pour acheminer les sessions PPP multilink Multichassis. • L2TP décrit par le RFC 2661, combine le meilleur de L2F Cisco et de PPTP (Point to Point Tunneling Protocol) de Microsoft. De plus L2F supporte uniquement les appels entrants tandis que L2TP supporte les appels entrants et sortants pour les VPDN. Les deux protocoles utilisent le port UDP 1701 pour construire un tunnel au travers de réseaux IP et acheminer les trames de couche liaison. L2TP a comprend deux étapes pour l'établissement de tunnel pour une sesson PPP. 1. Etablissement d'un tunnel entre le LAC et le LNS. Cette phase est exécutée s'il n'y a pas de tunnel actif entre les deux équipements. 2. Etablissement d'une session entre le LAC et le LNS. LAC LNS Etablissement du tunnel SCCRQ (AV Pairs, LAC, Challenge) 1 2 3 4 SCCRP (AV Pairs, LNS, Challenge, response) SCCCN (Challenge response) ZLB ACK Le tunnel est établi Etablissement session La session est établie ICRP (AV Pairs agrées par utilisateur) ICCN ICRQ (AV Pairs par utilisateur) 5 6 7 8 ccnp_cch

1. Le LAC transmet un message SCCRQ (Start Control Connection Request) 1. Le LAC transmet un message SCCRQ (Start Control Connection Request). Un challenge CHAP et le AV paires sont inclus dans ce message. 2. Le LNS répond avec un message SCCRP (Start Control Connection Reply). Un challenge CHAP, la réponse au challenge du LAC et les AV paires sont inclus dans ce message. 3. Le LAC transmet le message SCCCN (Start Control connection Connected). La réponse CHAP est incluse dans ce message 4. Le LNS répond avec un message ZLB ACK (Zero Length Block Acknowledgement). Cet acquittement peut être transporté par un autre message. Le tunnel est établi. 5. Le LAC transmet un message ICRQ (Incoming Call Request) au LNS 6. Le LNS répond au LAC avec un message ICRP (Incoming Call Reply) 7. Le LAC transmet un message ICCN (Incoming Call Connected) au LNS 8. Le LNS répond avec un message ZLB ACK (Zero Length Block Acknowledgement). Cet acquittement peut être transporté par un autre message. Le session est établie. Note: Les messages utlisés ci-dessus pour ouvrir une session ou un tunnel transportent les AVP (Attribute Value Pairs) définis dans le RFC 2661. Ils décrivent des propriétés telles que ( "Bearercap", "hostname", "vendor-name" et "Window size"). Certains AVP sont obligatoires et d'autres sont optionnels. Note: Un "Tunnel ID" est utilisé pour multiplexer et démultiplexer les tunnels entre LAC et LNS. Un "Session ID" est utilisé pour identifier une session particulière avec le tunnel. Pour L2F, l'établissement d'une session est le même que pour L2TP. Il inclut: 1. Etablissement d'un tunnel entre le NAS et le Home Gateway. Cette phase est réalisée uniquement quand il n'y a pas de tunnel entre les deux équipements. 2. Etablissement d'une session entre le NAS et le Home Gateway. ccnp_cch

ccnp_cch L2F_Conf (NAS,Challenge_NAS,..) 1 Home Gateway(HG) Etablissement du tunnel L2F_Conf (NAS,Challenge_NAS,..) 1 L2F_Conf (HG, Challenge_HG,...) 2 L2F_Open(Challenge response_HG,...) 3 L2F_Open(Challenge response_NAS,...) 4 Le tunnel est établi Etablissement session L2F_Open (Clien_name,challenge_NAS,response_client,...) 5 6 La session est établie Le NAS décide qu'un tunnel doit être établi du NAS vers la Home Gateway. 1. Le NAS transmet un message L2F_Conf à la Home Gateway.. Un challenge CHAP est inclus dans ce message. 2. La Home Gateway répond avec un message L2F_Conf. Un challenge CHAP est inclus dans ce message. 3. Le NAS transmet un message L2F_Open. La réponse CHAP au challenge de la Home Gateway est incluse dans ce message 4. La Home Gateway répond avec un message L2F_Open. La réponse CHAP au challenge du NAS est incluse dans ce message 5. Le NAS transmet un message L2F_Open à la Home Gateway. Ce message contient le "username" du client (Client_name), le challenge CHAP transmis par le NAS au client (Challenge_NAS) et sa réponse (response_client) 6. La Home Gateway accepte le client en transmettant en retour un message L2F_Open au NAS. Le trafic peut maintenant être écoulé dans les deux sens entre la Home Gateway et le client. Note: Un tunnel est identifié par un CLID (Client ID). Le Multiplex ID (MID) identifie une connexion dans le tunnel. ccnp_cch