PPPoE
Protokol PPPoE (Point-to-Point Protocol over Ethernet) používaný se službami AOSL zapouzdřuje rámce protokolu PPP do rámců Ethernet a používá běžné funkce protokolu PPP typu autentizace, šifrování a komprese. Jak jsme již ale zmínili, představuje komplikaci v případě nesprávně nakonfigurovaného firewallu. Tento tunelovací protokol označuje protokol IP a jiné protokoly nad protokolem PPP pomocí atributů linky PPP, aby je bylo možné použít ke kontaktování jiných zařízení Ethernet a inicializaci připojení typu point-to-point k přenosu paketů IP.
Obrázek 14.5 představuje typické využití protokolu PPPoE u služby ADSL. Jak je zřejmé, relace ppp propojuje PC koncového uživatele se směrovačem a IP adresu počítače odběratele přiděluje směrovač pomocí protokolu IPCP. Protokol PPPoE dává vlastnímu softwaru s podporou protokolu PPP možnost spolupracovat s připojením, které nepoužívá sériovou linku, a zajišťuje kompatibilitu s paketově orientovaným síťovým prostředím typu Ethernet, a umožňuje vlastní připojení s přihlášením pomocí uživatelského jména a hesla kvůli účtování připojení k Internetu. Další faktor je v tom, že opačná strana IP adresy linky je k dispozici pouze pro ni a dostupná pro konkrétní období, kdy je připojení PPPoE otevřeno, takže je povoleno dynamické opakované využití IP adres.
Protokol PPPoE má fázi zjišťování a fázi relace PPP (viz standard RFC 25 1 6), které vypadají takto: Hostitel nejdříve zahájí relaci PPPoE, během níž musí spustit proces zjišťování, aby mohl najít nejlepší server splňující požadavky klientského počítače. Poté musí najít Ethernet MAC adresu partnerského zařízení a vytvořit ID relace PPPoE. Ačkoli tedy protokol PPP vymezuje partnerský vztah, je část zjišťování v zásadě vztahem typu klient/server. Než se pustíme do sériových připojení, musíme probrat ještě jednu záležitost - Cisco LRE.
Cisco LRE (Long Range Ethernet)
Řešení Cisco LRE (Long Range Ethernet) využívá technologii označovanou jako VDSL (Very High Data Rate Digital Subscriber Line), která zásadně rozšiřuje kapacitu služby Ethernet. Řešení LRE umožňuje dosáhnout těchto působivých výsledků: rychlosti od 5 do 15 Mb/s (úplný duplex) na vzdálenosti až 1 500 metrů při přenosu po stávající kabeláži typu kroucené dvoulinky! Technologie Cisco LRE tedy v zásadě poskytuje širokopásmovou službu po klasických telefonních linkách, digitálních telefonních kabelech a linkách pro přenos ISDN. Můžete také fungovat v režimech, které jsou kompatibilní s technologiemi ADSL. Pružnost je důležitá, protože poskytovatelům služeb dovoluje zpřístupnit LRE ve stavbách či budovách, kde je širokopásmový přístup již k dispozici, ale je potřeba jej zdokonalit, což je velmi zajímavé.
Fyzické zapojení sériové linky WAN
Je asi zřejmé, že chcete-li zajistit, že vše bude dobře fungovat, musíte před připojením sítě WAN znát několik faktů. V prvé řadě musíte rozumět typu implementace fyzické vrstvy WAN poskytované společností Cisco. Také je nutné, abyste měli přehled o různých používaných typech sériových konektorů WAN. Sériová připojení Cisco jsou naštěstí kompatibilní téměř se všemi typy služeb WAN. Běžné připojení WAN je vyhrazená pronajatá linka používající technologie HDLC, PPP a Frame Relay s rychlostmi, které mohou dosahovat až 45 Mb/s (T3). HDLC, PPP a Frame Relay mohou využívat stejné specifikace fyzické vrstvy. Rozebereme si nyní různé typy připojení a poté přejdeme k popisu protokolů sítí WAN, které jsou součástí okruhů zkoušky CCNA.
Sériové přenosy
Sériové konektory WAN používají sériové přenosy, kdy se po jediném kanálu přenáší bity jeden po druhém.
Poznámka Paralelní přenosy mohou předávat minimálně 8 bitů zároveň, ale všechny sítě WAN jsou založeny na sériových přenosech.
Směrovače Cisco používají speciální 60pinový sériový konektor, který je nutné získat od společnosti Cisco nebo dodavatele těchto zařízení. Společnost Cisco také nabízí nový a menší firemní sériový konektor, který má asi desetkrát menší velikost než 60pinový základní sériový kabel s označením "smart-serial". Před použitím tohoto kabelového konektoru je však nutné ověřit, zda je směrovač vybaven příslušným typem rozhraní. Typ konektoru na druhém konci kabelu závisí na poskytovateli služby a jeho konkrétních požadavcích na koncová zařízení. Můžete se setkat s několika různými typy zakončení:
• EIA/TlA-232 • EIA/TlA-449 • V.35 (používá se pro připojení k jednotce kanálových služeb a jednotce datových služeb) • EIA-530
Ujistěte se, zda máte přehled o těchto faktorech: Sériové linky se popisují pomocí frekvence neboli cyklů za sekundu (Hertz). Objem dat, která lze přenést na těchto frekvencích, se označuje jako šířka pásma (bandwidth). Šířka pásma je množství dat v bitech za sekundu, které může sériový kanál přenášet.
Terminálové zařízení DTE a komunikační zařízení DCE
Rozhraní směrovače standardně fungují jako terminálová zařízení (DTE - data terminal equipment) a připojují se ke komunikačnímu zařízení (DCE - data communication equipment), jako je jednotka kanálových služeb a jednotka datových služeb (CSU/DSU - channel service unit/data service unit). Jednotka kanálových služeb a jednotka datových služeb se poté připojuje k demarkačnímu umístění (demarc) a v tomto místě končí odpovědnost poskytovatele služby. Demarkační bod je většinou tvořen samičím konektorem RJ-45 (8pinový modulární konektor) umístěným v telekomunikační skříni. O demarkačních bodech jste již možná slyšeli. Pokud jste již někdy měli příjemnou povinnost oznámit problém svému poskytovateli služeb, obvykle vám sdělil, že testy linky až po demarkační bod proběhly úspěšně, takže problém musí spočívat ve vašem koncovém zařízení. Jinými slovy, řešení je na vás. Obrázek 14.6 představuje typické připojení terminálového, komunikačního a terminálového zařízení a zařízení použitých v síti.
Hlavní smysl sítě WAN je možnost propojení dvou sítí terminálových zařízení prostřednictvím sítě komunikačního zařízení. Síť komunikačního zařízení zahrnuje jednotku kanálových služeb a jednotku datových služeb, pokračuje kabeláží a přepínači poskytovatele a končí jednotkou kanálových služeb a jednotkou datových služeb na druhém konci. Komunikační zařízení sítě (jednotka kanálových služeb a jednotka datových služeb) poskytuje taktování pro rozhraní s připojením k terminálovému zařízení (sériové rozhraní směrovače). Jak jsme uvedli, síť komunikačního zařízení poskytuje taktování směrovače a jedná se o jednotku kanálových služeb a jednotku datových služeb. Máte-Ii neprodukční síť a používáte překřížený kabel typu WAN, a nemáte jednotku kanálových služeb a jednotku datových služeb, musíte zajistit taktování na konci kabelu s komunikačním zařízením pomocí příkazu e 1 oe k r ate, který jsme si předvedli v kapitole 4.
Poznámka Termíny jako EIAjTIA-232, 11.35, X.21 a HSSI (High-Speed Serial lnterface) popisují fyzickou vrstvu mezí terminálovým zařízenim (směrovač) a komunikačním zařízením (jednotka kanálových služeb a jednotka datových Služeb).
Protokol HDLC (High-Level Data Link Control)
Protokol HDLC (High-Level Data-Link Control) je oblíbený bitově orientovaný protokol linkové vrstvy, který je definován jako standard ISO. Specifikuje metodu zapouzdření dat u synchronních sériových datových linek pomocí znaků a kontrolních součtů rámců. HDLC je protokol typu point-to-point používaný na pronajatých linkách. Neumožňuje používat žádnou autentizaci. V bajtově orientovaných protokolech jsou řídicí informace kódovány pomocí celých bajtů. Oproti tomu bitově orientované protokoly používají k reprezentaci řídicích informací jednotlivé bity. K běžným bitově orientovaným protokolům patří SDLC, LLC, HDLC, TCP a IP.
Protokol HOLC se u směrovačů Cisco používá jako výchozí metoda zapouzdření na synchronních sériových linkách. Protokol HOLC od společnosti Cisco je proprietární - neumožňuje komunikovat s implementací HOLC žádného jiného dodavatele. Neobviňujte však z toho firmu Cisco - platí to pro všechny implementace protokolu HDLC. Obrázek 14.7 znázorňuje formát protokolu Cisco HDLC.
Jak je zřejmé z obrázku, poskytuje každý dodavatel vlastní metodu zapouzdření protokolu HOLC proto, že jiným způsobem zapouzdřuje více protokolů síťové vrstvy. Pokud by dodavatelé nedokázali zajistit přenos různých protokolů vrstvy 3 protokolem HOLC, mohl by protokol HOLC přenášet pouze jediný protokol. Tato proprietární hlavička je umístěna v datovém poli zapouzdření HOLe. Řekněme tedy, že máte pouze jeden směrovač Cisco a potřebujete připojit směrovač jiné značky, protože druhý směrovač Cisco je teprve objednán. Co uděláte? Nemůžete použít výchozí sériové zapouzdření HOLC, protože tato konfigurace by nefungovala. Místo toho zvolíte něco jako PPP, což je standard ISO pro identifikaci protokolů vyšší vrstvy. Oalší informace o kořenech a standardech protokolu PPP naleznete v dokumentu RFC 1 661. Popišme si nyní podrobněji protokol PPP a způsob připojení ke směrovačům pomocí zapouzdření PPP.
Protokol PPP (Point-to-Point Protocol)
Zastavme s e n a chvíli u protokolu PPP (Point-to-Point Protocol). Vzpomeňte si, že se jedná o protokol linkové vrstvy, který lze použít nad asynchronním sériovým (vytáčené připojení) nebo synchronním sériovým (lSON) médiem. Vytváří a udržuje linková připojení pomocí protokolu LCP (Link Control Protocol). Protokol NCP (Network Control Protocol) slouží k tomu, aby bylo možné u připojení typu point-to-point použít více protokolů síťové vrstvy (směrovaných protokolů).
Vzhledem k tomu, že výchozí zapouzdření u sériových linek Cisco představuje protokol HOLC, který hladce funguje, kdy a proč byste se rozhodli pro protokol PPP? Základním účelem protokolu PPP je přenos paketů vrstvy 3 po spojení typu point-to-point na linkové vrstvě a tento protokol není proprietární. Jestliže tedy nemáte pouze směrovače Cisco, musíte u sériových rozhraní nastavit protokol ppp - zapouzdření HDLC je specifické pro společnost Cisco. Navíc vzhledem k tomu, že protokol ppp dokáže zapouzdřit několik směrovaných protokolů vrstvy 3 a poskytovat autentizaci, dynamické adresování a zpětné volání, může se jednat o výhodnější řešení pro zapouzdření než protokol HDLe.
Obrázek 14.8 představuje sadu protokolů v porovnání s referenčním modelem OSI.
Tip --------------------------------------------
Pamatujte, že máte-Ii propojen směrovač Cisc o se směrovačem jiné znaČky pomocí sériového připojení, musíte nakonfigurovat protokol ppp nebo jinou metodu zapouzdření, jako je Frame Relay, protože výchozí nastavení HDLC nebude fungovat
V další sekci si rozebereme možnosti protokolu LCP a navazování relací PPP.
Možnosti konfigurace protokolu LCP (Link Control Protocol)
Protokol LCP (Link Control Protocol) poskytuje různé možnosti zapouzdření protokolu ppp včetně následujících:
Autentizace - tato možnost sděluje volající straně linky, aby odeslala informace identifikující uživatele. Dvě metody jsou PAP a CHAP.
Komprese - slouží ke zvýšení propustnosti připojení PPP, protože zajišťuje kompresi dat nebo datové části před vlastním přenosem. Protokol PPP dekomprimuje datový rámec na přijímajícím konci.
Detekce chyb - protokol PPP používá možnosti Quality a Magic Number, aby byla zajištěna spolehlivost datové linky bez smyček.
Multilink - od verze systému lOS 1 1 .1 je u linek PPP se směrovači Cisco k dispozici podpora funkce multilink. Díky této možnosti několik samostatných fyzických tras vystupuje jako jedna logická trasa na vrstvě 3. Například dvě linky Tl s funkcí multilink PPP by se z hlediska směrovacího protokolu vrstvy 3 objevily jako jediná trasa s šířkou pásma 3 Mb/s.
Zpětné volání ppp - protokol PPP lze nakonfigurovat tak, aby po úspěšné autentizaci zajistil zpětné volání. Zpětné volání PPP (PPP callback) může být užitečné, protože lze sledovat využití podle přístupových poplatků, pro účely účtování a z mnoha dalších důvodů. Při povoleném zpětném volání volající směrovač (klient) kontaktuje vzdálený směrovač (server) a provede autentizaci podle výše uvedeného popisu. (Aby bylo možné tuto funkci využít, musí být pro zpětné volání nakonfigurovány oba směrovače.) Po dokončení autentizace vzdálený směrovač připojení ukončí a následně inicializuje připojení od vzdáleného směrovače k volajícímu směrovači.
Poznámka Máte-Ii ve svém zpětném volání PPP zařízení Microsoft, uvědomte si, že Microsoft pOUŽívá vlastní typ zpětného volání označovaný jako Microsoft CBCP (Callback Control Protocol). Jeho podpora je k dispozici v systému lOS vydání 1 1 .3(2)T a novějších.
Fáze navazování připojení: Každé zařízení ppp odešle pakety LCP kvůli konfiguraci a testování linky. Tyto pakety obsahují pole s názvem Configuration Option, které umožňuje každému zařízení zjistit velikost dat, kompresi a autentizaci. Není-li pole Configuration Option dostupné, použije se výchozí konfigurace.
Fáze autentizace: V případě potřeby lze linku autentizovat pomocí protokolu CHAP nebo PAP. Autentizace probíhá před načtením informací protokolu síťové vrstvy. Je možné, že současně dojde ke zjištění kvality linky.
Fáze protokolu síťové vrstvy: Protokol PPP pomocí protokolu NCP (Network Control Protocol) umožňuje zapouzdřit a odesílat po datové lince PPP více protokolů síťové vrstvy. Každý protokol síťové vrstvy (např. IP, IPX či AppleTalk, což jsou směrované protokoly) ustavuje službu s protokolem NCP.
Autentizační metOdy v ppp
S linkami PPP lze použít dvě metody autentizace:
Protokol PAP (Password Authentication Protocol) - je z obou metod méně bezpečný. Hesla se odesílají nešifrovaně a autentizace PAP se provádí pouze při prvním navázání spojení. Když je linka PPP navázána poprvé, vzdálený uzel odesílá uživatelské jméno a heslo zpět původnímu směrovači, dokud není autentizace potvrzena. To není zrovna bezpečné.
Protokol CHAP (Challenge Handshake Authentication Protocol) - používá se při počátečním spuštění linky a při pravidelných kontrolách linky, aby bylo zajištěno, že směrovač stále komunikuje se stejným hostitelem.
Když protokol PPP dokončí svou počáteční fázi ustavení linky, odešle lokální směrovač vzdálenému zařízení požadavek výzvy. Vzdálené zařízení zašle hodnotu vypočítanou pomocí jednosměrné hešové funkce s názvem MDS. Lokální směrovač tuto hešovou hodnotu porovná se svou vlastní hodnotou. Pokud hodnoty neodpovídají, je spojení okamžitě ukončeno.
Konfigurace autentizačních mechanismů ppp
Po konfiguraci podpory zapouzdření PPP na sériovém rozhraní můžete nakonfigurovat autentizaci pomocí protokolu PPP mezi směrovači. Nejdříve je nutné nastavit hostitelský název směrovače, není-li již nastaven. Poté uveďte uživatelské jméno a heslo pro vzdálený směrovač, který se bude připojovat k vašemu směrovači:
Kontrola zapouzdření ppp
Když je nyní povoleno zapouzdření PPP, ukažme si, jak lze zkontrolovat jeho správnou funkci. Nejdříve se podívejme na obrázek ukázkové sítě. Obrázek 14. 10 znázorňuje dva směrovače propojené buď sériovou linkou typu point-to-point, nebo pomocí ISDN.
Sériové rozhraní je vypnuto a protokol LCP odesílá požadavky, ale nikdy nedostane žádnou odpověď, protože směrovač Podl R2 využívá zapouzdření HDLC. Chcete-li tento problém vyřešit, musíte přejít ke směrovači Podl R2 a nakonfigurovat na sériovém rozhraní zapouzdření PPP. Ještě jedna věc: i když jsou nakonfigurovaná uživatelská jména chybná, nezáleží na tom, protože příkaz ppp a uthent i cat i on cha p se v rámci konfigurace sériového rozhraní nepoužívá a příkaz pro uživatelské jméno není v této ukázce relevantní.
Poznámka Mějte vždy na paměti, že není možné mít na jedné straně linky protokol ppp a na druhé protokol HDLe - tyto protokoly nespolupracují!
Neshoda IP adres
Ošemetná situace z hlediska řešení problémů nastává, pokud máte u sériového rozhraní nakonfigurován protokol HDLC nebo PPP, ale IP adresy nejsou správné. Vše je zdánlivě v pořádku, protože u rozhraní se zobrazí, že jsou aktivní. Podívejte se na obrázek 14.13 a zkuste, jestli byste sami našli příčinu problému - dva směrovače jsou připojené k jiným podsítím: směrovač PodlRl s adresou lO.0. 1.1/24 a směrovač Pod l R2 s adresou 1 0.2. 1 .2/24.
Konfigurace protokolu PPPoE
Pokud máte směrovač s rozhraním, které podporuje protokol PPPoE, a směrovač je připojen k modemu DSL, můžete směrovač nakonfigurovat jako klienta PPPoE - ovšem za předpokladu, že vám poskytovatel služeb Internetu sdělil autentizační informace. Podívejte se na konfiguraci klienta PPPoE u směrovače. Takto vypadá situace pod fyzickým rozhraním:
globální konfigurace, ale v tomto nastavení jsme je nakonfigurovali přímo u logického rozhraní. Tato konfigurace je sice poměrně jednoduchá, ale funguje velmi dobře. Přesto si rovněž ukážeme, jak protokol PPPoE nastavit pomocí nástroje SDM.