La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Comprendre les VPDN (Virtual Private Dial-up Networks)

Présentations similaires


Présentation au sujet: "Comprendre les VPDN (Virtual Private Dial-up Networks)"— Transcription de la présentation:

1 Comprendre les VPDN (Virtual Private Dial-up Networks)
ccnp_cch ccnp_cch

2 Sommaire • Introduction - Définition de termes
• Présentation générale des VPDNs Protocoles de "Tunneling" ccnp_cch

3 Introduction ccnp_cch
Les VPDN (Virtual Private Dial-up Networks) permettent de réaliser un service de réseau d'accès privé recouvrant un ensemble de serveurs (définis comme le L2TP Access Con- centrator ou LAC). Quand un client PPP (Point to Point Protocol) établit une connexion avec un LAC, le LAC détermine qu'il doit acheminer la session PPP sur un serveur LNS (L2TP Network Server) pour ce client, qui ensuite authentifie l'utilisateur et initie la négociation PPP. Une fois que l'établissement de PPP est achevé, toutes les trames sont transmises au travers du LAC vers le client et le LNS. Définitions de termes • Client - PC ou Routeur attaché à un réseau distant qui est l'origine de l'appel. • L2TP - Layer 2 Tunneling Protocol . PPP définit un mécanisme d'encapsulation pour un transport de paquets de différents protocoles sur des liaisons point à point de couche 2. Typiquement, un utilisateur obtient une connexion de couche 2 avec un NAS (Network Access Server) en utilisant une technique telle un accès par le réseau télépho- nique classique (RTC), un accès RNIS ou un accès ADSL et ensuite utilise PPP sur cette connexion. Dans cette configuration, le point d'extrémité de terminaison de couche 2 et le d'extrémité de session PPP résident sur le même équipement physique (NAS). L2TP étend le modèle PPP en autorisant les point d'extrémités couche 2 et PPP à résider sur des équipements différents interconnectés par un réseau. Avec L2TP, un utilisateur a une connexion de couche 2 vers un concentrateur d'accès et ensuite le concentrateur crée des tunnels individuels pour les trames PPP vers le NAS. Ceci permet au traitement des trames PPP d'être séparé de la terminaison du circuit de couche 2. • L2F - Layer 2 Forwarding protocol- L2F est un protocole de "Tunneling" plus ancien que L2TP. • LAC - L2TP Access Concentrator - Nœud qui agit comme un point d'extrémité de tunnel L2TP d'un côté et c'est un voisin du LNS. Le LAC se situe entre le LNS et un client, il achemine les paquets entre chacun d'eux. Les paquets transmis du LAC vers le LNS nécessite du "tunneling" avec le protocole L2TP. La connexion entre le LAC et le client est réalisée par le RTC analogique (Modem) ou par RNIS. • LNS - L2TP Network Server - Nœud qui agit comme point d'extrémité de tunnel L2TP d'un côté et c'est un voisin du LAC. Le LNS est le point de terminaison logique de la session PPP qui est transportée dans le tunnel depuis le client vers le LAC. • Home Gateway - Même définition que le LNS dans la terminologie L2F • NAS - Network Access Server - Même définition que le LAC dans la terminologie L2F • Tunnel - Dans la terminologie L2TP, un tunnel existe entre la paire LAC-LNS. Le tunnel consiste en une connexion de contrôle et zéro ou plusieurs sessions L2TP. Le tunnel transporte des paquets encapsulés par PPP et des messages de contrôle entre le LAC et le LNS. Le processus est le même pour L2F. ccnp_cch

4 Info VPDN pour création du tunnel avec le LNS
• Session - L2TP est orienté-connexion. Le LNS et le LAC maitiennent un état pour chaque appel ou chaque réponse traitée par le LAC. Une session L2TP est crée entre le LAC et le LNS quand une connexion PPP est établie de bout en bout entre un client et le LNS. Il y a une relation de type un pour un entre les sessions L2TP établies et les appels associés. Le processus est le même pour L2F. Présentation générale des VPDNs Dans la description du processus de VPDN ci-dessous, nous utiliserons la terminologie L2TP (LAC et LNS). Server AAA Server AAA Info VPDN pour création du tunnel avec le LNS (6) Client VPDN? (5) Authentification utilisateur (11) Client RTC/RNIS IP/L2TP ou L2F Réseau LAN Appel RTC/RNIS (1) Etablissement Tunnel (7) Phase PPP LCP (2) Authentification Tunnel (8) CHAP Challenge (3) Etablissement Session (9) CHAP Response (4) Paramètres LCP+Challenge CHAP+réponse CHAP (10) CHAP Response (12) Phase IPCP (13) 1. Le client appelle le LAC ( En utlisant un modem ou une carte RNIS) 2. Le client et le LAC démarrent la phase PPP par la négociation LCP (méthode d'au- thentification, PAP ou CHAP, PPP multilink, compression, ...). 3. Supposons que CHAP a été négocié à l'étape 2. Le LAC transmet un challenge CHAP au client. 4. Le LAC obtient une réponse (par exemple et mot de passe). 5. Basé sur le nom de domaine reçu dans la réponse CHAP ou dans le DNIS (Dialed Number Information Service) reçu dans le message Setup du RNIS, le LAC vérifie si le client est un utilisateur VPDN. Il peut réaliser cette vérification en utilisant sa configuration VPDN locale, soit en utilisant un serveur AAA (Radius par exemple). ccnp_cch

5 6. Comme le client est un utilisateur VPDN, le LAC a obtenu des inforlatons (de la con- figuration locale VPDN ou d'un serveur RADIUS AAA) qu'il va utiliser pour établir un tunnel L2TP ou L2F avec le LNS. 7. Le LAC établit un tunnel L2TP ou L2F avec le LNS 8. En se basant sur le nom reçu dans la requête venant du LAC, le LNS vérifie si le LAC est autorisé à ouvrir un tunnel (le LNS vérifie sa configuration VPDN locale). De plus le LAC et le LNS s'authentifient mutuellement (ils utilisent leurs bases de données locales ou un serveur AAA). Le tunnel est ensuite établi entre les deux équipements. Dans ce tunnel plusieurs sessions VPDN peuvent être transportées. au client. 9. Basée sur une session VPDN est ouverte du LAC vers le LNS. Il y a une session VPDN par client Le LAC achemine les options LCP qu'il a négocié avec le client vers le LNS en rela tion avec le et mot de passe reçus du client. 11. Le LNS crée un "Virtual-Access" par copie d'un "Virtual-Template" spécifié dans la configuration VPDN Le LNS prend les options LCP reçues du LAC et authentifie le client localement ou en contactant un serveur AAA (Radius) 12. Le LNS envoie une réponse CHAP au client 13. La phase IPCP (IP Control Protocol) est exécutée et la route est installée. La session PPP est établie et opérante entre le client et le LNS. Le LAC achemine les trames PPP. Les trames PPP sont transmises dans un tunnel entre le LAC et le LNS. ccnp_cch

6 Protocoles de "Tunneling"
Un tunnel VPDN peut être construit en utilisant L2F (Layer 2 Forwarding) ou L2TP (Layer 2 Tunneling Protocol) • L2F a été introduit par Cisco dans le RFC Il est aussi utilisé pour acheminer les sessions PPP multilink Multichassis • L2TP décrit par le RFC 2661, combine le meilleur de L2F Cisco et de PPTP (Point to Point Tunneling Protocol) de Microsoft De plus L2F supporte uniquement les appels entrants tandis que L2TP supporte les appels entrants et sortants pour les VPDN. Les deux protocoles utilisent le port UDP 1701 pour construire un tunnel au travers de réseaux IP et acheminer les trames de couche liaison. L2TP a comprend deux étapes pour l'établissement de tunnel pour une sesson PPP Etablissement d'un tunnel entre le LAC et le LNS. Cette phase est exécutée s'il n'y a pas de tunnel actif entre les deux équipements Etablissement d'une session entre le LAC et le LNS. LAC LNS Etablissement du tunnel SCCRQ (AV Pairs, LAC, Challenge) 1 2 3 4 SCCRP (AV Pairs, LNS, Challenge, response) SCCCN (Challenge response) ZLB ACK Le tunnel est établi Etablissement session La session est établie ICRP (AV Pairs agrées par utilisateur) ICCN ICRQ (AV Pairs par utilisateur) 5 6 7 8 ccnp_cch

7 1. Le LAC transmet un message SCCRQ (Start Control Connection Request)
1. Le LAC transmet un message SCCRQ (Start Control Connection Request) Un challenge CHAP et le AV paires sont inclus dans ce message Le LNS répond avec un message SCCRP (Start Control Connection Reply). Un challenge CHAP, la réponse au challenge du LAC et les AV paires sont inclus dans ce message Le LAC transmet le message SCCCN (Start Control connection Connected) La réponse CHAP est incluse dans ce message Le LNS répond avec un message ZLB ACK (Zero Length Block Acknowledgement). Cet acquittement peut être transporté par un autre message. Le tunnel est établi. 5. Le LAC transmet un message ICRQ (Incoming Call Request) au LNS 6. Le LNS répond au LAC avec un message ICRP (Incoming Call Reply) 7. Le LAC transmet un message ICCN (Incoming Call Connected) au LNS 8. Le LNS répond avec un message ZLB ACK (Zero Length Block Acknowledgement). Cet acquittement peut être transporté par un autre message. Le session est établie. Note: Les messages utlisés ci-dessus pour ouvrir une session ou un tunnel transportent les AVP (Attribute Value Pairs) définis dans le RFC Ils décrivent des propriétés telles que ( "Bearercap", "hostname", "vendor-name" et "Window size"). Certains AVP sont obligatoires et d'autres sont optionnels. Note: Un "Tunnel ID" est utilisé pour multiplexer et démultiplexer les tunnels entre LAC et LNS. Un "Session ID" est utilisé pour identifier une session particulière avec le tunnel. Pour L2F, l'établissement d'une session est le même que pour L2TP. Il inclut: 1. Etablissement d'un tunnel entre le NAS et le Home Gateway. Cette phase est réalisée uniquement quand il n'y a pas de tunnel entre les deux équipements. 2. Etablissement d'une session entre le NAS et le Home Gateway. ccnp_cch

8 ccnp_cch L2F_Conf (NAS,Challenge_NAS,..) 1
Home Gateway(HG) Etablissement du tunnel L2F_Conf (NAS,Challenge_NAS,..) 1 L2F_Conf (HG, Challenge_HG,...) 2 L2F_Open(Challenge response_HG,...) 3 L2F_Open(Challenge response_NAS,...) 4 Le tunnel est établi Etablissement session L2F_Open (Clien_name,challenge_NAS,response_client,...) 5 6 La session est établie Le NAS décide qu'un tunnel doit être établi du NAS vers la Home Gateway. 1. Le NAS transmet un message L2F_Conf à la Home Gateway Un challenge CHAP est inclus dans ce message La Home Gateway répond avec un message L2F_Conf. Un challenge CHAP est inclus dans ce message Le NAS transmet un message L2F_Open La réponse CHAP au challenge de la Home Gateway est incluse dans ce message La Home Gateway répond avec un message L2F_Open. La réponse CHAP au challenge du NAS est incluse dans ce message 5. Le NAS transmet un message L2F_Open à la Home Gateway. Ce message contient le "username" du client (Client_name), le challenge CHAP transmis par le NAS au client (Challenge_NAS) et sa réponse (response_client) 6. La Home Gateway accepte le client en transmettant en retour un message L2F_Open au NAS. Le trafic peut maintenant être écoulé dans les deux sens entre la Home Gateway et le client. Note: Un tunnel est identifié par un CLID (Client ID). Le Multiplex ID (MID) identifie une connexion dans le tunnel. ccnp_cch


Télécharger ppt "Comprendre les VPDN (Virtual Private Dial-up Networks)"

Présentations similaires


Annonces Google