Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
PPPoA - Architecture de base
2
Sommaire • Introduction - Hypothèses • Aperçu de la technologie • Avantages et Inconvénients de l'architecture PPPoA Avantages - Inconvénients • Eléments à considérer pour implémenter une architecture PPPoA • Architecture type de réseau PPPoA • Considérations sur la conception de l'architecture PPPoA • Points clés de l'architecture PPPoA • Description fonctionnelle de l'architecture PPPoA
3
Aperçu de la technologie
Introduction Ce document décrit une architecture ADSL ( Asymetric Digital Subscriber Line) de bout en bout utilisant PPPoA (Point to Point Protocol over ATM). Bien que la majorité des déploiements soient basés sur une architecture de "Bridging", PPPoA gagne en popularité et va supporter une grande partie des déploiements Hypothèses L'architecture classique suppose qu'il y a des besoins en fourniture d'accès Internet et d'accès entreprise haut débit pour des abonnés utilisant PPPoA au coeur du réseau. Nous allons décrire cette architecture basée sur des circuits virtuels permanents, méthode très employée dans les déploiements. L'architecture utilisant des circuits virtuels commutés sera décrite dans un autre document. Ce document est basé sur des déploiements réels et sur des expérimentations sur plateformes de test . Ce document a été écrit avec l'hypothèse que le lecteur a de bonnes connaissances de base sur les éléments de conception du réseau d'un four- nisseur d'accès (NAP - Network Access Provider) tel qu'il est décrit dans le document Architecture de base Bridging RFC1483. Aperçu de la technologie Le protocole PPP (Point to Point Protocol) RFC1331 fournit une méthode standard pour encapsuler les protocoles de couches hautes sur des connexions point à point. Il étend la trame HDLC (High-Level Data Link Control) avec un identifieur de protocole (16 bits) qui contient des informations sur le contenu de la trame. La trame contient trois types d'informations: • LCP (Line Control Protocol) négocie les paramètres de liaison, taille paquet ou type d'authentification • NCP (Network Control Protocol) contient des informations au sujet des protocoles de couches supérieures incluant IP, IPX et leurs protocoles de controle (IPCP pour IP) • Trame de données PPP over ATM AAL5 (RFC2364) utilise l'AAL5 comme protocole de couche liaison qui supporte des PVC et de SVC et a été primitivement implémenté comme faisant partie de l'ADSL. Il repose sur le RFC1483 opérant soit en mode LLC-SNAP ( Logical Link Control- SubNetwork Access Protocol) ou soit en multiplexage de VC. Un équipement d'abonné encapsule la session PPP sur la base de ce RFC pour transporter les informa- tions sur la liaison ADSL vers la DSLAM (Digital Subscriber Line Access Multiplexer).
4
Avantages et Inconvénients de l'architecture PPPoA L'architecture PPPoA hérite de la majeure partie des avantages de PPP utilisé dans le modèle d'accès distant standard Avantages Avantages clés de PPPoA: • Authentification par session basée sur PAP (Password Authenticaion Protocol) ou CHAP (Challenge Authentication Protocol). C'est l'avantage le plus important de PPPoA car l'authentification comble le trou de sécurité de l'architecture "Bridging". • Comptabilté par session possible ce qui permet au fournisseur d'accès de facturer l'abonnée sur la base d'un temps de session pour les différents services offerts. Le fournisseur d'accès peut aussi demander une facturaton minimale. • Préservation de l'adresse IP pour l'équipement d'accès de l'abonné. Ceci permet au fournisseur de service d'allouer une adresse IP pour l'équipement d'accès avec cet équipement configuré pour faire du NAT (Network Adress Translation). Les utilisa teurs placés derrière cet équipement utiliseront une seule adresse IP pour joindre les différentes destinations. La gestion d'IP pou le NAP/NSP est réduite tout en économisant des adresses IP. Additionnellement, le fournisseur de service peut fournir des adresses de sous-réseaux IP pour pallier aux limitations de NAT ou PAT. • Le fournisseur d'accès réseau (NAP - Network access Provider) ou le fournisseur de services réseau (NSP - Network Service Provider) peut fournir un accès sécurisé vers une passerelle d'entreprise sans être obligé de gérer des circuits virtuels permanents de bout en bout (PVC) nécessitant l'utilisation de routage couche 3 et/ou des tunnels L2TP (Layer 2 Tunneling Protocol). Ceci permet d'avoir un modèle de vente de services à grande échelle. • Résolution de problème pour chaque abonné. Le fournisseur de services réseau peut identifier chacun des abonnés par l'activité d'une session au lieu d'essayer de ré soudre des problèmes liés à un groupe comme dans le cas du "Bridging". • Le fournisseur de services réseau (NSP) peut faire du sur-abonnement en utilisant des "time-out" de session sur inactivité en utilisant RADIUS (Remote Dial In User Authentication) pour chacun de ses abonnés. • Très évolutif car ont terminer un très grand nombre de sessions PPP sur un routeur agrégateur de flux. L'authentificatio, l'autorisation et la comptabilité peuvent être gérer pour chaque utilisateur avec l'utilisation d'un serveur RADIUS (Remote Dial In User Authentication). • Utilisation optimale des fonctionnalités sur la passerelle de sélection de service (SSG - Service Selection Gateway)
5
Inconvénients • Une seule session par équipement d'accès sur un VC (Virtual channel). Comme le nom et le mot de passe sont configurés sur l'équipement d'accès, tous les utilisa teurs derrière cet équipement d'accès avec ce VC particulier peuvent accéder à un seul ensemble de services. Les utilisateurs ne peuvent pas sélectionner différents ensembles de services bien que l'utilisation de plusieurs VC et l'établissement de plusieurs sessions PPP sur différents VC soit possible. • Complexité accrue pour la configuration de l'équipement d'accès. Le personnel de maintance en ligne doit avoir de bonnes connaissances techniques. Comme le nom et le mot de passe sont configurés sur l'équipement d'accès, l'abonné ou le fournis seur de l'équipement d'accès doivent faire les changements. L'utilisation de plusieurs VC accroit la complexité de la configuration. Cependant celle-ci peut être éliminée par de l'autoconfiguration. • Le fournisseur de services a besoin de maintenir une base de données de noms et de mots de passe pour tous les abonnés. Si des tunnels ou des services de proxy sont utilisés, l'authentification peut se faire sur la base du nom de domaine et l'authentification de l'utilisateur est faite au niveau de la passerelle de l'entreprise Cela réduit la taille de la base de données du fournisseur de service. • Si une seule adresse IP est fournie à l'équipement d'accès et que NAT/PAT sont im plémentés, certaines applications avec l'adresse IP embarquée dans la charge utile ne fonctionneront pas. Additionnellement si un sous-réseau IP est utilisé, une adres se IP peut être réservée pour l'équipement d'accès Eléments à considérer pour implémenter une architecture PPPoA Voici quelques points clés à considérer avant d'implémenter une architecture PPPoA. • Nombre d'abonnés devant être servis maintenant et dans le futur. Le nombre de sessions PPP requis est directement lié à ce nombre d'abonnés. • Soit les sessions PPP se terminent au routeur d'agrégation de flux du fournisseur de service ou sont acheminées vers d'autres passerelles d'entreprise ou des fournisseurs d'accès Internet. • Soit le fournisseur de service ou le service de destination final fournit l'adresse IP à l'équipement de l'abonné • Les adresses IP fournies sont soit des adresses privées soit des adresses publiques Est-ce que l'équipement d'abonné fera du NAT/PAT ou est-ce que NAT sera effectué par la destination finale • Différents profils pour des utilisateurs terminaux , des utilisateurs résidentiels, des clients de type "Bureau" (Small Office Home Office) et des télétravailleurs. • Dans le cas de plusieurs utilisateurs, soit les utilisateurs doivent joindre la même destination ou service ou alors ont-ils tous différents services de destination.
6
Réseau de Services à valeur ajoutée Opérateur
• Est-ce que le fournisseur de services fournit des services à valeur ajoutée comme la voix ou la vidéo? Est-ce que le fournisseur de services veut que tous les abonnés passent par un réseau particulier avant de joindre la destination finale? Quang les abonnés utilisent une passerelle de sélection de services paasent-ils par un concen trateur de sessions PPP, un équipement de médiation ou un proxy? • Comment le fournisseur d'accès facture-t-il les abonnés: par forfait, par session ou par services utilisés • Déploiement et équipement des abonnés, Points de présence pour DSLAMs et agré gation. • Le modèle commercial du fournisseur d'accès. Esct-ce que ce modèle inclut la vente de services globaux tels que des accès d'entreprise sécuriséset des services à valeur ajoutée tels que la voix et la vidéo? Est-ce que le fournisseur de services et le four nisseur d'accès sont une seule entité. • Le modèle commercial de la compagnie. Est-il comparable à un opérateur local, à un opérateur Télécoms, à un fournisseur d'accès Internet? • Les types d'applications que le fournisseur de services offre à l'utilisateur final. • L'évolution du volume de données dans le sens usager-réseau et réseau-usager. Tout en gardant ces points en mémoire nous allons décrire comment l'architecture PPPoA correspond aux différents modèles commerciaux des opérateurs de services permet leur évolutivité et comment les opérateurs peuvent tirer des bénéfices de cette architecture. Architecture type de réseau PPPoA Le schéma suivant montre une architecture typique de réseau PPPoA. Les clients qui utilisent un équipement de connexion se connectent au réseau du fournisseur de ser- vice via un DSLAM Cisco qui est connecté à un agrégateur Cisco 6400 utilisant ATM. Réseau Privé Qos Premium POP FAI POP FAI ATM Entreprise Internet Public Réseau DSL Opérateur Réseau de Services à valeur ajoutée Opérateur Client
7
Considérations sur la conception de l'architecture PPPoA Dans la section "Considértiions sur l'implémentation" de ce document, les architectures PPoA peuvent être déployées en utilisant différents scénarios selon le mode commercial du fournisseur de services. Considérons les services que le fournisseur de services va offrir. Est-ce que le fournisseur de services offre un service d'accès haut débit à Inter- net à ses abonnés ou vendra-t-il des services globaux à d'autres opérateurs et des ser- vices à valeur ajoutée à ces abonnés? Est-ce que le fournisseur de sevices offre tous ces services? Dans le cas d'accès Internet à haut débit avec un environnement dans lequel le fournis- seur d'accès et le fournisseur de services sont les mêmes, les sessions PPP de l'abonné doivent être terminées dans le routeur d'agrégation. Dans ce scénario, les fournisseurs de services doivent prendre en compte le nombre de sessions qui devront aboutir sur le routeur agrégateu, la méthode d'authentification des utilisateurs, comment les in- formations "d'accounting" vont-elles être récupérées, et le chemin Internet une fois que la session a abouti. Selon le nombre de sessions et d'abonnés, le routeur d'agrégation peut être soit Cisco 6400 ou un Cisco Aujourd'hui le Cisco 6400 avec 7 NRP (Node route Processor) peut gérer sessions PPP. Le routeur Cisco 7200 est limité à 2000 sessions PPP. Ces valeurs peuvent changer avec les nouvelles versions. L'authentification et l'accounting dans ces scénarios sont bien gérés en utilisant un serveur RADIUS standard de l'industrie qui peut authentifier un utilisateur d'après un nom d'utilisateur ou un VPI/VCI (Virtual Path Identifier/ Virtual Channel Identifier). Pour les accès Internet à haut débit, les NSPs (Network Service Provider) facturent leurs clients au forfait. La majorité des déploiements sont réalisés de cette manière. Quand le NSP et le NAP (Network Access Provider) sont une seule et même enttité, les clients sont facturés à un prix fixe pour l'accès réseau et l'accès Internet. Ce modèle change si le fournisseur d'accès offre des services à valeur ajoutée. Le fournisseur d'accès peut facturer les clients d'après le type de service et la durée d'utilisation du service. Les clients se connectent à Internet au travers d'un routeur d'agrégation utilisant des pro- tocoles de routage comme OSPF (Open Shortest Path First) ou EIGRP ( Enhanced In- terior Gateway Protocol) vers un routeur de réseau qui peut utiliser BGP (Border Gate- way Protocol). Une autre option que le fournisseur de services a pour fournir des accès à Internet à haut débit est d'acheminer les sessions PPP entrantes des abonnés vers un autre opé- rateur Internet avec du "tunneling" L2TP/L2F. Quand le "tunneling" L2x est utilisé, il faut spécialement considérer la manière avec laquelle le tunnel peut être atteint. Les options disponibles sont d'utiliser des protocoles de routage dynamique ou d'établir des routes statiques sur le routeur d'agrégation. Les limitations lors de l'utilisation de Tunnel L2TP ou L2F sont: (1) le nombre de tunnels et le nombre de sessions pouvant être supportées dans ce tunnel; (2) l'utilisation de protocoles de routage incompatibles avec l'opérateur tiers ce qui demande l'utilisation de routes statiques. Si l'opérateur offre des services à d'autres opérateurs Internet ou des passerelles d'en- treprise à l'abonné d'extrémité, ils peuvent implémenter des fonctionnalités SSG sur le routeur d'agrégation. Ceci permet à l'abonné de sélectionner différentes destinations de services en utilisant la sélection de service "Web-Based". Le fournisseur de services peut soit acheminer les sesions PPP des abonnés vers leurs destinations sélectionnées en combinant toutes les sessions destinées à l'opérateur Internet en un seul PVC pour le transport ou si le fournisseur de services offre plusieurs services, plusieurs PVC pourront être établis dans le cœur de réseau.
8
Dans un modèle de service global, le fournisseur de services peut ne pas utiliser les
fonctionnalités SSG. Dans ce modèle, le fournisseur de services étend toutes les ses- sions PPP jusqu'aux passerelles d'extrémités. Les passerelles d'extrémités fournissent les adresses IP à l'abonné et authentifient l'utilisateur final. Un point important pour chacun de ces scenarios est comment le fournisseur de servi- ces peut offrir une qualité de service (QoS) différente pour chacun des services et com- ment ils calculent l'allocation de bande passante. Généralement, la méthode avec la- quelle la majorité des fournisseurs de services déploie cette architecture offre différen- tes QoS sur différents PVCs. Ils peuvent avoir des PVCs séparés dans le cœur de ré- seau pour des clients de type résidentiel ou affaires. Utiliser différents PVCs permet aux fournisseurs de services de spécifier différentes QoS pour diffrents services. De cette façon, la QoS peut être sur des PVCs séparés ou à la couche Appliquer la QoS à la couche 3 requiert du fournisseur de services de connaître la des- tination finale ce qui peut être un facteur limitant. Mais si elle est utilisée en combinai- son avec la QoS couche 2 (en l'appliquant à différents VCs), cela peut être très utile pour le fournisseur de services. La limitation avec ce modèle est qu'il est figé et que le fournisseur de services à besoin de provisionner la QoS à l'avance. La QoS ne s'appli- que pas dynamiquement à la sélection de service. Généralement il n'y a pas d'option pour un utilisateur pour sélectionner différentes bandes passantes pour différents ser- vices avec un clic de souris; cependant des efforts significatifs d'engénierie ont été faits pour développer cette fonctionnalité. Le provisionnement, la gestion et le déploiement du CPE est un véritable challenge dans cette architecture car le CPE a besoin d'être configuré avec un nom d'utilisateur et un mot de passe. Comme solution simple, quelques fournisseurs de services utili- sent le même nom d'utilisateur et le même mot de passe pour tous les CPEs. Cela pré- sente un risque de sécurité très significatif. De plus, si le CPE a besoin d'ouvrir plu- sieurs sessions simultanées, des VCs supplémentaires devront être provisionnés sur le CPE. Des outils de gestion de flux sont également disponibles pour le provisionne- ment de PVCs de bout en bout. Provisionner au niveau des fournisseurs de services pour tant d'abonnés utilisant des PVCs est un facteur limitant car tous les différents PVCs doivent être gérés. De plus, il n'existe pas de manière simple de provisionner PVCs sur un seul NRP (Node Route Processor) par un clic de souris ou la frappe de quelques touches de claviers. Aujoud'hui nous avons différentes applications de gestion pour différents composants de cette architecture tels que Viewrunner pour le DSLAM et SCM pour le Cisco Il n'y pas de plateforme unique qui permet de provisionner tous les composants. C'est une limitation bien connue et beaucoup d'efforts ont été faits pour avoir une seule ap- plication de gestion complète pour provisionner CPE, DSLAM et Cisco De plus, nous avons une solution pour implémenter PPPoA avec des SVCs ce qui facilite gran- dement le déploiement. PPPoA avec SVC permettra également aux utilisateurs finaux de sélectionner dynamiquement la destination et la QoS. Un autre point important à gerder en mémoire pour de grands déploiements ADSL uti- lisant cette architecture et la communication du routeur d'agrégation vers le serveur RADIUS. Si le NRP est défaillant quand plusieurs milliers de sessions PPP sont termi- nées sur l'équipement d'agrégation, toutes ces sessions doivent être re-établies. Cela signifie que tous les utilisateurs doivent être authentifiés et leurs enregistrements d'accounting arrêtés et redémarrés une fois la connexion établie.
9
Quand tant d'abonnés tentent l'authentification en même temps, la file d'attente du
serveur RADIUS risque d'être un goulot d'étranglement. Quelques abonnés ne pour- ront pas être authentifiés et cela risque de poser des problèmes au fournisseur de ser- vices. Il est très important d'avoir une liaison avec le serveur RADIUS disposant d'une bande passante suffisante pour accepter tous les abonnés au même moment. De plus le ser- veur RADIUS doit être assez puissant pour attribuer les permissions à tous les abon- nés. Dans le cas de milliers d'abonnés, une option d'équilibrage de charge entre les serveurs RADIUS disponibles doit être envisagée. Cette fonctionnalité est disponible dans l'IOS Cisco. Comme point final, le routeur d'agrégation doit être suffisamment performant pour ac- cepter beaucoup de sessions PPP. Appliquez les mêmes principes d'engénierie de trafic utilisés pour les autres implémentations. Précédamment, l'utilisateur devait configurer les PVCs sur des sous-interfaces point à point. Aujourd'hui PPPoA permet aux utilisa- teurs de configurer plusieurs PVCs aussi bien sur des sous-interfaces multipoint que sur des sous-interfaces point à point. Chaque connexion PPPoA ne demande plus deux blocs de descripteurs d'interface (IDB), un pour l'interface accès virtuel et pour la sous-interface ATM. Ces améliorations accroissent le nombre de sessions PPPoA pos- sibles sur un routeur. Le nombre de sessions PPPoA supporté sur une plateforme dépend des ressources sys- tème disponibles telles que la mémoire et la vitesse CPU. Chaque session PPPoA a une interface accès virtuel. Chaque interface accès virtuel est constituée d'un bloc descrip- teur d'interface matérielle et d'un bloc descripteur d'interface logicielle (hwidb et swidb) . Chaque hwidb prend à peu près 4,5 K. Chaque swidb prend à peu près 2,5 K. Tout compris l'interface accès virtuel prend 7,5 K interfaces accès virtuel nécessitent 2000x7,5 K ou 15 Mo. Pour avoir 2000 sessions, un routeur avoir une mémoire addi- tionnelle de 15 Mo. A cause de l'accroissement de la limite du nombre de sessions, le routeur doit supporter plus d'IDBs. Ce support a un impact sur les performances à cause du nombre de cycles CPU nécessaires pour exécuter plus d'instances de la ma- chine d'états PPP.
10
Points clés de l'architecture PPPoA
Cette section décrit trois points clés de l'architecture PPPoA: le CPE, la gestion d'IP et l'accès au service destination. 675 7200 Serveur DHCP NAT PPP IPCP La configuration du CPE dans cette architecture dépend du NSP ou de la passerelle d'entreprise qui peut terminer les sessions PPP de l'abonné. Quand le CPE est configu- ré, il doit avoir au moins un ensemble VPI/VCI , un nom d'utilisateur et un mot de passe définis. Optionnellement, le CPE peut être configuré comme serveur DHCP pour fournir des adresses IP aux utilisateurs finaux sur le LAN. Le CPE peut être aussi configuré avec PAT (Port Address Translation). Un CPE configuré avec PAT et DHCP obtient générale- ment une seule adresse IP publique. En utilisant cette méthode l'abonné peut aisé- ment héberger un serveur Web ou un serveur mail en utilisant les adresses privées. En ouvrant des entrées statiques sur le port 80 (HTTP) et le port 25 (SMTP) avec NAT dans le CPE ces serveurs peuvent être accédés depuis l'extérieur. C'est le scénario le plus commun aujourd'hui. A cause de la nature de PAT, certaines applications qui embarquent de l'information IP dans la charge utile ne peuvent pas fonctionner dans ce scénario. Pour résoudre ce problème, appliquez un sous-réseau IP au lieu d'une seule adresse IP. Dans cette architecture il plus facile pour le NAP/NSP d'accéder au CPE par Telnet pour configurer et résoudre des problèmes car une adresse IP est affectée au CPE. Les CPEs peuvent utiliser différentes options selon le profil des abonnés. Par exemple , pour un utilisateur résidentiel le CPE peut être configuré sans PAT/DHCP. Pour les abonnés avec plusieurs PCs, les CPE peuvent être configurés soit avec PAT/DHCP soit sans PAT/DHCP. S'il y a un IP phone connecté au CPE, le CPE doit être configuré avec plusieurs PVC.
11
Gestion d'IP 675 7200 PPP IPCP NAT AAA LAC LNS Tunnel AAA AAA
Internet 7200 X PPP IPCP Serveur DHCP NAT AAA LAC LNS Entreprise Tunnel Authentification utilisateur Nom de Domaine DHCP/NAT AAA PPP,LCP AAA PPP,IPCP Dans l'architecture PPPoA, l'allocation d'adresse IP pour le CPE de l'abonné utilise la négociation IPCP, principe identique à celui de PPP en mode appel. Les adresses IP sont allouées selon le type de service que l'abonné utilise. Si l'abonné à seulement ac- cès à Internet à partir du fournisseur de service, le fournisseur de service terminera les sessions ses sessions PPP issues des abonnés et affectera des adresses IP. L'adres- se IP est allouée à partir d'un pool défini localement, d'un serveur DHCP ou à partir d'un serveur RADIUS. Le fournisseur d'accès Internet peut également avoir fourni un ensemble d'adresses IP statiques à l'abonné et n'affectera pas d'adresses automatique- ment quand l'abonné initiera une session PPP. Dans ce scénario, le fournisseur de ser- vice utilisera uniquement un serveur RADIUS pour authentifier l'utilisateur. Si l'abonné préfère avoir plusieurs services disponibles, le fournisseur de services a be- soin d'implémenter une SSG. Voici les possibilités pour l'affectation des adresses: ● Le fournisseur de services peut fournir une adresse IP à l'abonné au travers de son pool local ou d'un serveur RADIUS. Après que l'utilisateur ait sélectionné un service , la SSG achemine le trafic utilisateur vers la destination. Si la SSG utilise le mode proxy, la destination finale peut fournir une adresse IP qui sera utilisée par la SSG comme adresse visible pour NAT. ● Les sessions PPP ne sont pas terminées sur le routeur d'agrégation du fournisseur de services. Elles sont "tunnellisées" ou acheminées vers la destination ou la psse- relle de l'abonné qui terminera les sessions PPP. La destination finale ou la passe- relle de l'abonné négocie IPCP avec l'abonné fournisant ainsi une adresse IP dyna- mique. Les adresse IP Statiques sont aussi possibles aussi longtemps que la des- tination finale a alloué ces adresses IP et a une route vers ces adresses.
12
Routeur ISP/Entreprise
Avant la release DC de l'IOS Cisco pour le Cisco 6400 NRP, il n'y avait aucun moyen pour le fournisseur de services de fournir une adresse de sous-réseau à l'abon- né. La plateforme Cisco 6400 et le routeur Cisco serie 600 du CPE permettent l'alloca- tion dynamique de sous-réseaux IP sur le CPE durant la négociation PPP. Une adresse IP de ce sous-réseau est affectée au CPE et le reste des adresses IP est affecté dynami- quement aux stations par DHCP. Quand cette fonctionnalité est utilisée, les CPE n'ont pas besoin d'être configurés PAT qui ne fonctionne pas pour certaines applications. Comment le service destination est-il atteint? Dans les architectures PPPoA, le service destinataire peut être atteint de différentes façons. Quelques unes des méthodes les plus communément déployées sont: ● Terminaison des sessions PPP chez le fournisseur de service. ● Tunneling L2TP. ● Utilisation d'une SSG. Dans les trois méthodes il y a un ensemble fixe de PVCs défini du CPE vers le DSLAM et qui est commuté vers un ensemble de PVCs fixe sur le routeur d'agrégation. Les PVCs sont mappés du DSLAM vers le routeur d'agrégation au travers du réseau ATM. Le service destination peut être aussi atteint en utilisant d'autres méthodes telles que PPPoA avec des SVCs ou MPLS/VPN (Multi Protocol Label Switching/ Virtual Private Network). Ces méthodes sont en dehors du sujet traité dans ce document. Terminaison de PPP à l'agrégation ADSL PHY ATM AAL5 PPP IP 6400 AAA DSLAM CPE PVC Routeur ISP/Entreprise FR, ATM, etc…. TCP/UDP
13
Info de domaine cisco.com
Les sessions PPP initiées par l'abonné sont terminées chez le fournisseur de services qui authentifie les utilisateurs soit avec la base de données locale du routeur ou avec des serveurs RADIUS. Une fois que l'utilisateur est authentifié, la négociation IPCP débute et l'adresse IP est affectée au CPE. Une fois que l'adresse IP est affectée à l'a- bonné, il une route de type host établie sur le CPE et sur le routeur d'agrégation. L'a- dresse IP est allouée à l'abonné et si celle-ci est publique, elle est annoncée au routeur d'entrée de réseau. Le routeur d'entrée de réseau est la passerelle au travers de laquel- le l'abonné peut accéder à Internet. Si les adresses IP sont privées, le fournisseur de services les traduit avant de les annoncer au routeur d'entrée de réseau. Tunneling L2TP/L2F LAC/ Routeur ADSL PHY ATM AAL5 PPP IP 6400 AAA DSLAM CPE PVC PPP over ATM L2TP/L2F Agrégateur Réseau FAI/Entreprise Autre FR NSP/ Routeur Tunnel Info de domaine cisco.com Info utilisateur pour FR, ATM UDP L2TP Les sessions PPP, selon le fournisseur de service ou l'entreprise, sont "tunnellisées" vers le point de terminaison amont utilisant L2TP ou L2F au lieu d'être terminées sur le routeur d'agrégation du fournisseur de services. Ce point de terminaison authentifie le nom d'utilisateur et une adresse IP est affectée à l'abonné via DHCP ou un pool local. Pour ce scénario il y a usuellement un tunnel établi entre le LAC/NAS (L2TP Access Concentrator/ Network Access Server) et la passerelle ou le LNS (L2TP Network Server). Le LAC authentifie les la session entrante sur la base du nom de domaine; Le nom d'u- tilisateur est authentifié par la destination finale ou la passerelle. Dans ce modèle, l'utilisateur peut avoir uniquement accès à la destination finale et à une seule destination à la fois. Par exemple, si le CPE est configuré avec le nom d'uti- lisateur les PCs derrière le CPE peuvent accéder uniquement au do- maine cisco.com. S'ils veulent se connecter à un autre réseau d'entreprise, ils doivent changer le nom d'utilisateur et le mot de passe sur le CPE pour qu'il reflète le nom de domaine. La destination du tunnel dans ce cas est atteinte en utilisant un protocole de
14
AAA NAT AAA AAA Réseau FAI/Entreprise
de routage, des routes statiques ou Classical IP over ATM (si ATM est préféré pour la couche 2). Utilisation de la SSG PVC Tunnels AAA Agrégateur ATM Routeur LNS SSG Paquet NAT Routeur LNS CPE DSLAM 6400 AAA AAA PPP over ATM L2TP SSG PPP PPP IP IPP IP PHY FR, ATM IP PPP UDP L2TP AAL5 PPP IP PPP PPP L2TP UDP AAL5 FE IP ATM ATM ATM ATM FR, ATM ADSL ADSL PHY PHY PHY CPE DSLAM Agrégateur/SSG Réseau FAI/Entreprise L'avantage principal de SSG sur des tunnels est que la SSG fournit une correspondan- ce de services de Un à plusieurs alors que le tunneling fournit une correspondance de un pour un. Ceci devient très utile quand un seul utilisateur a besoin d'accéder à plu- sieurs services ou plusieurs utilisateurs situés au même endroit et chacun deux à be- soin d'un accès à un seul service. La SSG utilise le "Web-Based Service Sélection Dashboard" (SSD) constitué de différents services et celui-ci est disponible pour l'utili- sateur. L'utilisateur peut accéder à un plusieurs services en même temps. Un autre avantage de l'utilisation de la SSG est que le fournisseur de services peut facturer l'utilisateur sur la base des services et de la durée de session et l'utilisateur peut ou- vrir ou fermer un service au travers du SSD.
15
AAA PPP FAI SSG Cisco 6400 Extranet
Entreprise SSG AAA Web Dashboard Tunnel ATM/VC Extranet Navigateur Web Les utilisateurs sont authentifiés dès que les sessions PPP issues des abonnés entrent. Des adresses IP sont affectées aux utilisateurs soit à partir du pool local soit à partir du serveur RADIUS. Après qu'un utilisateur ait été authentifié avec succès, un objet source est crée par le code de la SSG est un l'accès à un réseau par défaut est donné à l'utilisateur. Le réseau par défaut contient le serveur SSD. En utilisant le navigateur Web, l'utilisateur se "logge" sur le Dashboard, est authentifié par le serveur RADIUS et selon le profil utilisateur stocké dans le serveur RADIUS , un ensemble de services lui est offert. Chaque fois qu'un utilisateur authentifié sélectionne un ser vice, la SSG crée un objet pour cet utilisateur. L'objet destination contient des informations telles que l'adresse de destination, l'adresse du serveur DNS pour cette destination et l'adresse IP source affectée par la passerelle. Les paquets entrants issus de l'utilisateur sont acheminés vers la destination sur la base de l'information contenue dans l'objet destination. La SSG peut être configurée pour un service proxy, transport transparent ou PTA. Quand un abonné fait une requête d'accès à un service proxy, le NRP-SSG passera la requête au serveur RADIUS distant. Sur réception de access-accept, la SSG répond à l'abonné avec access-accept. La SSG est vue comme un client pour le serveur RADIUS. Le passage transparent permet au trafic de l'abonné authentifié d'être routé au travers de la SSG dans cette direction. Utiliser des filtres pour controler le trafic en passage transparent. PTA peut être utilisé uniquement par des utilisateurs de type PPP. L'authentification, l'autorisation, l'accounting sont réalisés exactement comme dans le service de type proxy. Un abonné se "logge" sur un service en utilisant un nom d'utilisateur de la for- me La SSG achemine ce nom vers le serveur RADIUS qui ensuite charge le profil du service vers la SSG. La SSG achemine la requête vers le serveur RADIUS distant telle qu'elle est spécifiée par l'attribut RADIUS du profil du service. Après que la requête ait été authentifiée , une adresse IP est affectée à l'abonné. NAT n'est pas
16
exécuté. Tout le trafic utilisateur est agrégé vers le serveur distant
exécuté. Tout le trafic utilisateur est agrégé vers le serveur distant. Avec PTA, les utili- sateurs peuvent accéder à un seul service uniquement et n'auront pas accès au ré- seau par défaut ou au SSD. Description opérationnelle de l'architecture PPPoA Quand le CPE est mis en service, il commence par transmettre des reqêtes LCP de con- figuration vers le serveur d'agrégation. Le serveur d'agrégation, avec les PVCs configu- rés, transmet également la reqête de configuration LCP sur une Virtual Access Interfa ce (associée au PVC). Lorsque chacun a vue la requête LCP de l'autre, ils acquittent les requêtes et l'état LCP est ouvert. Pour l'étape d'authentification, le CPE transmet la requête d'authentification vers le serveur d'agrégation. Le server, selon sa configuration, authentifie l'utilisateur sur la base du nom de domaine (s'il est fourni) soit le nom d'utilisateur est dans la base loca- le ou sur des serveurs RADIUS. Si la requête issue de l'abonné est de la forme user- le serveur d'agrégation essaiera de créer un tunnel vers la destina- tion s'il ny en a pas déjà un. Après la création du tunnel, le serveur d'agrégation ache- mine les requêtes PPP de l'abonné vers la destination. La destination à son tour, au- thentifie l'utilisateur et affecte une adresse IP. Si la requête de l'abonné n'inclut pas de nom de domaine, l'utilisateur est authentifié par la base de données locale. Si la SSG est configurée sur le routeur d'agrégation, l'utilisateur peut accéder au réseau par dé- faut tel qu'il est spécifié et peut obtenir une option pour sélectionner différents servi- ces. Conclusion PPPoA est en train de devenir l'architecture la plus souhaitable pour beaucoup de fournisseurs de services car elle est rès évolutive, utilise les fonctionnalités SSG et fournit de la sécurité. Comme document est centré sur l'architecture PPPoA, il n'est pas possible de couvrir des fonctionnalités telles que la SSG.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.