Polaczenie Dodzwaniane - Akademia CISCO (pl).pdf - Cisco Packet Tracer 6.2 - abracham12

Połączenie dodzwaniane

Autor: Waldemar Pierścionek

W ostatnim odcinku naszej akademii zajmiemy się połączeniami dodzwanianymi do

routera Cisco. Omwimy rżne aspekty routingu na żądanie (DDR - Dial-on-Demand

Routing) oraz wykorzystanie połączeń dodzwanianych jako zapasowych.

PPP jest protokołem warstwy łącza danych modelu OSI, stosowanym do realizacji połączeń punkt-punkt. Działa

on w ramach wielowarstwowej architektury (p. rys.), ktrej najważniejszym składnikiem jest protokł LCP,

oferujący zestaw dodatkowych usług: negocjowania warunkw połączenia (w tym rozmiar ramki), sposobu

uwierzytelniania i wykrywania błędw transmisji. Format ramki PPP bazuje na protokole ISO HDLC (nie jest on

zgodny z implementacją HDLC firmy Cisco). Podstawowe opcje dostępne w ramach protokołu PPP to:

Negocjowanie warunkw połączenia (rozmiar ramki, kompresja danych, sposb uwierzytelniania,

stosowanie połączenia multilink oraz opcji oddzwaniania callback).

Uwierzytelnianie węzła dzwoniącego - w dalszej części artykułu omwimy dwie metody uwierzytelniania:

PAP i CHAP.

Kompresja danych za pomocą trzech rżnych algorytmw (Predictor - dane skompresowane nie

podlegają ponownej kompresji, Stacker - oparty na algorytmie LZ oraz MPPC - stosowany do obsługi

połączeń z oprogramowaniem klienckim Microsoftu). Kompresję włącza się komendą konfiguracyjną

interfejsu compress . Dodatkowo można ustawić kompresję nagłwka TCP poleceniem ip tcp header-

compression .

Wykrywanie błędw transmisji oraz zapobieganie powstawaniu pętli.

Obsługa połączeń typu multilink pozwala połączyć kilka fizycznych interfejsw w jedno połączenie

logiczne, dzięki czemu uzyskuje się rwnoważenie obciążenia i zwiększenie przepustowości. Podział

ruchu PPP na fragmenty przesyłane rwnoległymi połączeniami opisany jest w dokumencie RFC 1717. W

dalszej części artykułu przedstawimy praktyczną konfigurację dwu kanałw B interfejsu ISDN BRI w

połączeniu typu multilink.

Oddzwanianie (callback) - router po przeprowadzeniu uwierzytelniania oddzwania do węzła inicjującego

połączenie. Pozwala to lepiej zarządzać bezpieczeństwem oraz kosztami połączenia.

Najwyższa warstwa architektury PPP to grupa protokołw NCP (Network Control Protocol) odpowiedzialnych za

obsługę poszczeglnych protokołw warstwy sieciowej. Na przykład do przenoszenia protokołu IP służyć będzie

komponent IPCP (Internet Protocol Control Protocol). Faza uzgodnienia protokołw sieciowych, ktre będą

przenoszone w połączeniu PPP, realizowana jest po etapie negocjowania opcji połączenia (protokł LCP) i

przeprowadzeniu uwierzytelniania.

Uwierzytelnianie w protokole PPP

Dostępne są dwie metody uwierzytelniania przy podłączaniu zdalnym: PAP oraz CHAP. Wyobraźmy sobie układ

pary routerw, w ktrej router C2600 dzwoni do routera C2600BIS z wykorzystaniem interfejsw ISDN - patrz

rysunek.

Stosując metodę PAP, router C2600 przesyła do routera C2600BIS parę informacji: nazwę użytkownika (nazwę

hosta) oraz hasło.

Router C2600BIS, posługując się na przykład lokalną bazą danych kont użytkownikw, przeprowadza proces

uwierzytelniania i akceptuje zdalne żądanie bądź je odrzuca. Wadą metody PAP jest przesyłanie hasła jawnym

tekstem, co umożliwia przechwycenie ramek sieciowych i podsłuchanie hasła przez niepowołane osoby.

Niezależnie od długości hasła i treści łańcucha challenge wynik działania algorytmu MD5 jest zawsze 128-

bitowy.

Poniżej prezentujemy fragment konfiguracji routera C2600 dla interfejsu ISDN BRI 0/0, dotyczący protokołu PPP i

metody CHAP. Poleceniem encapsulation ppp włączamy w ramach interfejsu hermetyzację PPP. Komenda ppp

authentication PAP włącza wymagany sposb uwierzytelniania, natomiast poleceniem ppp pap sent-

username zdefiniowano nazwę użytkownika oraz hasło przesyłane do routera C2600BIS. Pokazana w przykładzie

komenda username tworzy w lokalnej bazie danych konto użytkownika potrzebne w sytuacji, gdy router

C2600BIS dzwoni do routera C2600. Podobny zestaw poleceń konfiguracyjnych należy wykonać rwnież na

routerze C2600BIS:

C2600(config)# hostname C2600

C2600(config)#username C2600BIS password haslo

C2600(config)#interface BRI 0/0

C2600(config-if)#encapsulation ppp

C2600(config-if)#ppp authentication PAP

C2600(config-if)#ppp pap sent-username C2600 password haslo

Aby metoda CHAP mogła działać poprawnie, na obydwu routerach należy założyć konto użytkownika o nazwie

zgodnej z nazwą sąsiedniego routera. Hasło obydwu tych kont MUSI być identyczne.

Proces uwierzytelniania w metodzie CHAP jest bardziej złożony. Metoda jest też bezpieczniejsza - hasło nigdy nie

jest przesyłane w sieci jawnym tekstem, a więc nie można go łatwo podsłuchać. Metoda CHAP opiera się na

mechanizmie Challenge-Response i algorytmie MD5. Załżmy, że router C2600 dzwoni do routera C2600BIS. Po

wynegocjowaniu opcji połączenia w protokole LCP, router C2600BIS przesyła do routera C2600 niepowtarzalny

łańcuch znakw - challenge. W pakiecie tym umieszczana jest rwnież nazwa hosta C2600BIS. Router C2600 w

lokalnej bazie danych odszukuje konto użytkownika z nazwą C2600BIS, a hasło tego konta wraz z otrzymanym

łańcuchem challenge służy do wygenerowania 128-bitowego łańcucha hash, będącego wynikiem działania

generatora opartego na algorytmie MD5.

Protokoły uwierzytelniania włączone w konfiguracji interfejsu dotyczą tylko komunikacji wchodzącej. Klient

dzwoniący musi dostosować się do metod uwierzytelniania włączonych na routerze dostępowym. Router

dzwoniący nie korzysta z ustawień polecenia ppp authentication.

Wynik działania algorytmu MD5 wraz z nazwą routera C2600 odsyłany jest do routera C2600BIS jako pakiet

response. Na podstawie hasła konta C2600 i wysłanego wcześniej pakietu challenge router C2600BIS wylicza

algorytmem MD5 128-bitowy łańcuch i porwnuje go z wartością otrzymaną w pakiecie response. Jeżeli obie

wartości są identyczne, proces uwierzytelniania kończy się pomyślnie, w przeciwnym wypadku połączenie jest

zrywane.

Na rysunku poniżej prezentujemy działanie i fragment konfiguracji metody CHAP dla routerw C2600 i C2600BIS.

Dla prezentowanej pary routerw proces uwierzytelniania realizowany jest w obie strony, to znaczy router

C2600BIS weryfikuje router C2600 i odwrotnie. Pojedynczy proces uwierzytelniania ma miejsce na przykład

przy dodzwanianym połączeniu klienta Windows 9x do routera Cisco.

W ramach konfiguracji interfejsu włączyć można obie metody uwierzytelniania PPP. Jeśli na przykład na routerze

C2600BIS wykonano by polecenie ppp authentication chap pap , to router w fazie negocjowania warunkw

połączenia żądałby od klientw używania w pierwszej kolejności metody CHAP. Protokł PAP stosowany będzie

dla tych klientw, ktrzy nie obsługują metody CHAP.

Przebieg procesu uwierzytelniania można obserwować za pomocą polecenia debug ppp authentication.

Technologia ISDN

ISDN gwarantuje cyfrową transmisję na całej trasie między klientem dzwoniącym a węzłem końcowym. Przy

zwykłych połączeniach analogowych przekaz cyfrowy uzyskujemy na odcinku między komputerem klienckim a

modemem oraz w "chmurce" usługodawcy; niestety, na odcinku między modemem dostępowym a usługodawcą

komunikacja jest analogowa. W sieci ISDN komunikacja między dwoma węzłami na całej trasie jest cyfrowa. Z

punktu widzenia końcowego użytkownika, wykorzystującego dodzwaniane połączenia ISDN, zwrcić należy uwagę

na następujące elementy:

zintegrowany dostęp do wielu usług (przekaz danych, głosu, wideo); możliwość uruchamiania aplikacji

wymagających zdalnego dostępu do sieci firmowej, Internetu oraz zasobw WWW;

znacznie szybszy przekaz danych z wykorzystaniem kanałw B (64 Kb/s każdy) w porwnaniu z

komunikacją poprzez modemy analogowe (zwykle od 28 do 56 Kb/s);

znacznie szybszy proces ustanawiania połączenia z wykorzystaniem wydzielonego kanału D, procedura

zestawienia połączenia (call setup) realizowana jest poniżej jednej sekundy;

połączenia dodzwaniane ISDN są rozwiązaniem tańszym niż linie dzierżawione.

Międzynarodowa unia telekomunikacyjna ITU-T definiuje obecnie dwa typy interfejsu dostępowego do sieci ISDN,

określającego fizyczne połączenie między klientem końcowym a usługodawcą. Są to interfejsy BRI (Basic Rate

Interface) oraz PRI (Primary Rate Interface). Interfejs BRI, oznaczany czasami jako 2B+D, ma dwa kanały B (B1

oraz B2) o przepustowości 64 Kb/s każdy oraz jeden kanał D (Delta) o przepustowości 16 Kb/s. Kanały B

wykorzystywane są do cyfrowej obsługi głosu oraz do szybkiej transmisji danych w komunikacji opartej na

przełączaniu obwodw (circuit-switched). Dane przesyłane są zwykle w postaci ramek protokołw PPP czy HDLC.

Kanał D wykorzystywany jest przede wszystkim do celw sygnalizacyjnych, w tym obsługi procedury ustanawiania

i zrywania połączenia. Ruch w kanale D realizowany jest z wykorzystaniem specjalizowanego protokołu warstwy

drugiej LAPD.

Interfejs PRI zapewnia w krajach Ameryki Płnocnej oraz w Japonii 23 kanały B po 64 Kb/s oraz jeden kanał D

(64 Kb/s), dając prędkość zgodną ze standardem T1 (1,544 Mb/s). W Europie interfejs PRI ma 30 kanałw B (po

64 Kb/s) oraz jeden kanał D (64 Kb/s), zapewniając prędkość E1 (2,048 Mb/s). Szacując łączną przepustowość

interfejsw BRI oraz PRI, należy dodatkowo uwzględnić kanał synchronizacyjny, np. w Europie interfejs PRI

zapewnia 32 kanały po 64 Kb/s (30 kanałw B, jeden kanał D i jeden kanał synchronizacyjny). W dalszej części

artykułu zajmiemy się konfigurowaniem połączeń poprzez interfejs BRI. Poniższy rysunek przedstawia warstwową

architekturę protokołw tworzących technologię ISDN w odniesieniu do modelu siecio-wego OSI. Warto zwrcić

uwagę na rżne protokoły wykorzystywane na poszczeglnych warstwach, niezależnie dla kanałw B i kanału D.

Na rysunku widać, że kanały B nie bazują na własnych, specjalizowanych protokołach warstwy drugiej i trzeciej.

Zamiast nich do przenoszenia pakietw warstwy sieciowej (np. IP) wykorzystuje się jeden ze standardowych

protokołw warstwy łącza danych sieci WAN. Pracę warstwy sieciowej w kanale D definiuje standard Q.931,

określający komunikację między terminalem końcowym a lokalnym przełącznikiem ISDN. Warstwę drugą w kanale

D opisuje protokł LAPD (standard Q.921), ktry odpowiedzialny jest między innymi za adresowanie sprzętowe w

ramach kilku (do 8) urządzeń podłączonych do wsplnej magistrali oraz rozrżnianie i obsługę rżnych typw

ramek. Kanały B oraz kanał D wspłdzielą warstwę fizyczną, ktra pracuje zgodnie z jednym ze standardw: I.430

dla interfejsu BRI z magistralą S/T, I.431 dla interfejsu PRI, ANSI T1.601 dla interfejsu BRI i magistrali U w

Ameryce Płnocnej. Warstwa fizyczna multipleksuje ruch z poszczeglnych kanałw ISDN, tworząc ciągły

strumień, w ktrym każdy bit pełni specyficzną funkcję. Proces ten nazywamy ramkowaniem (framing). Proces

ustanawiania połączenia poprzez interfejs BRI składa się z następujących etapw:

1. Inicjowanie połączenia. Wywoływany numer wysyłany jest kanałem D do lokalnego przełącznika ISDN.

Za realizację funkcji kontrolnych połączenia odpowiedzialny jest kanał D (ustanowienie, sygnalizacja i

zerwanie połączenia).

2. Lokalny przełącznik, korzystając z protokołw sygnalizacyjnych SS7 (Signaling System 7), wyznacza

ścieżkę i przekazuje wywoływany numer do końcowego przełącznika ISDN.

3. Zdalny przełącznik ISDN wywołuje urządzenie docelowe poprzez kanał D.

4. Po otrzymaniu odpowiedzi od urządzenia końcowego, ustanawiane jest połączenie jednego kanału B w

trybie jeden-do-jeden (end-to-end). Kanał odpowiedzialny jest za obsługę konwersacji lub transmisji

danych. Można dodatkowo uaktywnić drugi kanał B i wykorzystywać obydwa jednocześnie.

Nigdy nie należy łączyć interfejsu ISDN BRI U routera z urządzeniem NT1, gdyż grozi to zniszczeniem portu.

Technologia ISDN definiuje szereg urządzeń oraz standardw komunikacyjnych realizowanych w formie

interfejsw między poszczeglnymi komponentami (standardy ITU-T E.163, E.164, I.100, I.400, Q.921, Q.931). W

dalszej części artykułu skupimy się na tych jej składnikach, ktre dotyczą rżnych sposobw podłączania routera

Cisco do sieci ISDN z wykorzystaniem interfejsu BRI. Typowe rozwiązania przedstawia rysunek.

Oto znaczenie poszczeglnych elementw pokazanych na rysunku:

TE1 (Terminal Equipment 1) - urządzenie zgodne z siecią ISDN, w tym wypadku router z interfejsem do

sieci ISDN. Urządzenie TE1 łączy się z siecią ISDN dostawcy poprzez urządzenie NT1.

NT1 (Network Termination Type 1) - dokonuje konwersji sygnału BRI do postaci wykorzystywanej na

cyfrowych liniach ISDN. Urządzenie NT1 łączy lokalnego klienta (router) z przełącznikiem ISDN dostawcy

poprzez tzw. pętlę lokalną (local loop).

S/T (System/Terminal reference point) - czterożyłowy interfejs między urządzeniem TE1 i NT1, pracujący

zgodnie ze standardem ITU I.430. Do magistrali S/T podłączyć można kilka urządzeń, ktre rozrżniane

są przez identyfikator TEI (Terminal Endpoint Identifier) nadawany dynamicznie przez przełącznik ISDN.

Jeżeli router wyposażony jest w port ISDN BRI S/T (np. karta WIC 1B S/T), oznacza to, że interfejs ISDN

ma wbudowane urządzenie TE1, a komunikacja z siecią ISDN dostawcy musi być realizowana przez

urządzenie NT1.

U (User reference point) - definiuje dwużyłowy interfejs między urządzeniem NT1 a "chmurką" ISDN.

Jeżeli router ma port ISDN BRI U, oznacza to, że interfejs ISDN ma wbudowane urządzenia TE1 i NT1.

Routing na żądanie

DDR (Dial-on-Demand Routing) to mechanizm pozwalający na dynamiczne zestawianie dodzwanianego połączenia

między routerami Cisco, wykorzystywanego następnie do przesłania pakietw danych bądź aktualizacji routingu.

Dzięki zastosowaniu routingu DDR nie jest konieczne utrzymywanie stałego łącza między zdalnym oddziałem a

centralą firmy. Połączenie zestawiane jest tylko po to, aby przesłać wymagane dane; następnie jest zrywane, co

pozwala zmniejszyć koszty komunikacji. Routing DDR znalazł zastosowanie przede wszystkim tam, gdzie zdalne

oddziały i ich pracownicy sporadycznie potrzebują dostępu do sieci firmowej, a poprzez zestawione połączenie

przesyła się niewielkie ilości danych. Połączenia dodzwaniane z wykorzystaniem mechanizmu DDR realizuje się

zwykle poprzez publiczną sieć telefoniczną (PSTN) lub z wykorzystaniem technologii ISDN. Rysunek poniżej

przedstawia typową topologię, w ktrej dwa routery komunikują się z wykorzystaniem routingu DDR poprzez sieć

ISDN.

Wyobraźmy sobie sytuację, w ktrej klient przed routerem C2600 (212.1.1.10) chce wysłać dane do klienta za

routerem C2600BIS (215.1.1.10). Router C2600 po otrzymaniu pakietu od swojego klienta odszukuje w tabeli

routingu trasę do sieci docelowej 215.1.1.0 oraz wybiera interfejs, przez ktry pakiet należy wysłać. Jeśli jest to

interfejs BRI 0/0, dla ktrego włączono routing DDR, sprawdza się, czy pakiet należy do tzw. ruchu

"oczekiwanego" (definiowanego przez administratora), ktry jest uprawniony do wywołania procedury

ustanawiającej połączenie. Jeżeli pakiet spełnia ten warunek, odszukuje się instrukcję wiążącą (polecenie dialer

map ) adres ip następnego routera na trasie (199.1.1.2) z numerem, pod ktry należy zadzwonić. Jeśli interfejs

BRI 0/0 jest akurat aktywny, znaczy to, że połączenie było ustanowione wcześniej, a więc zeruje się tylko zegar

czasu bezczynności (idle); w przeciwnym wypadku rozpoczyna się procedura ustanowienia połączenia (call setup).

Po zestawieniu łącza między routerami C2600 i C2600BIS przesyłane są zarwno pakiety ruchu oczekiwanego, jak

i nieoczekiwanego (ruch nieoczekiwany nie może zestawić połączenia). Po zakończeniu transmisji i upływie

skonfigurowanego czasu bezczynności połączenie jest zrywane. Działanie routingu DDR przedstawia schemat

obok.

Wykorzystując omawiany wcześniej przykład, skonfigurujmy w pełni routing DDR na routerze C2600 (odpowiednie

polecenia będą konieczne rwnież na routerze C2600BIS). Zaczniemy od nauczenia routera C2600 trasy do sieci

215.1.1.0 za routerem C2600BIS. W zasadzie nie należy uruchamiać routingu dynamicznego między routerami

C2600 i C2600BIS - z powodu regularnych aktualizacji protokoły routingu dynamicznego zestawiałyby połączenie

ISDN. Lepszym rozwiązaniem będzie wpisanie na routerze trasy statycznej wiodącej do sieci 215.1.1.0 przez

router 199.1.1.2:

C2600(config)#ip route 215.1.1.1.0

255.255.255.0 199.1.1.2

Ten sam efekt uzyskamy dzięki poleceniu:

C2600(config)#ip route 215.1.1.0

255.255.255.0 BRI 0/0

Zamiast definiowania tras do konkretnych sieci docelowych można określić na routerze C2600 adres domyślnego

routera (brama ostatniej szansy), do ktrego wysyłane będą wszystkie pakiety z nieznanymi adresami

docelowymi:

C2600(config)#ip route 0.0.0.0 0.0.0.0 199.1.1.2

Następnym etapem konfiguracji routera C2600 będzie określenie ruchu oczekiwanego, ktry może wywołać

procedurę ustanowienia połączenia. Realizuje się to za pomocą globalnego polecenia konfiguracyjnego dialer-list

numer protocol nazwa_protokolu [permit | deny | list numer_listy] . Parametr numer wykorzystany

będzie potem do przypisania tak zdefiniowanego filtru do wybranego interfejsu (może przyjmować wartość od 1

do 10). Jako dozwolony protokł (parametr nazwa_protokołu) wskazać można między innymi: IP, IPX, AppleTalk,

Decnet. Opcjonalny parametr list numer_listy pozwala zastosować listę dostępu w procesie klasyfikowania

ruchu. Oczywiście wykorzystywane listy dostępu muszą zostać utworzone (omawialiśmy to w nrze 19/01). W

poniższym przykładzie każdy pakiet IP jest uprawniony do wywołania połączenia z routerem C2600BIS (nie jest

wykorzystywana lista dostępu):

C2600(config)#dialer-list 5 protocol IP permit

Polecenie isdn switch-type wykonane w trybie konfiguracji globalnej dotyczy wszystkich interfejsw BRI.

Wybrany typ przełącznika ISDN można także włączyć w ramach konfiguracji konkretnego interfejsu (tą samą

komendą).

Następny przykład pokazuje wykorzystanie rozszerzonej listy dostępu o numerze 103, dzięki ktrej każdy ruch IP

z wyjątkiem usługi Telnet (port 23) oraz usługi WWW (port 80) będzie mgł inicjować połączenie:

C2600(config)#access-list 103 deny tcp any any eq 23

C2600(config)#access-list 103 deny tcp any any eq 80

C2600(config)#access-list 103 permit ip any any

C2600(config)#dialer-list 5 protocol IP list 103

Państwo

Typ przełącznika ISDN

Stany Zjednoczone

i Kanada

AT&T 5ESS i 4ESS,

Northern Telecom DMS-100

Francja

VN2, VN3

Japonia

NTT

Wielka Brytania

Net3 i Net5

Europa

Net3

Zanim przejdziemy do konfiguracji konkretnego interfejsu BRI, musimy określić wymagane parametry globalne.

Aby poprawnie działał proces uwierzytelniania metodą CHAP w protokole PPP, należy utworzyć konto użytkownika

dla routera C2600BIS:

C2600(config)#username C2600BIS password haslo

Bardzo ważne jest rwnież określenie właściwego typu przełącznika ISDN wykorzystywanego przez dostawcę. Od

tego zależy na przykład procedura ustanawiania połączenia (call setup). Typy przełącznikw wykorzystywane w

rżnych częściach świata przedstawia tabela.

Polaczenie Dodzwaniane - Akademia CISCO (pl).pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: