DU-ASRE – UE 5 Interconnexion des Réseaux

Internet

HDLC et PPP

L.A. Steffenel 1
 Communication Série

•  Les technologies WAN sont basées sur des liens série

•  Cela veut dire que les informations sont transmises bit à bit sur le câble
•  différent d'Ethernet, où 4 pairs permettent une transmission en parallèle
•  Quelques exemples de standards pour les liens série :
•  RS-232-E
•  V.35
•  High Speed Serial Interface (HSSI)

L.A. Steffenel 2
 Pourquoi Série et non Parallèle ?

Un lien série est moins susceptible aux interférences croisées entre les câbles
Ceci devient plus évident avec la distance

L.A. Steffenel 3
 Multiplexation

La multiplexation temporelle (Time-Division Multiplexing - TDM) permet le partage

du lien entre plusieurs sources
Dans le TDM, chaque source se voit attribuer un créneau. Généralement, la
répartition des créneaux est fixe et ne dépend pas de la quantité de données à
envoyer

L.A. Steffenel 4
 Point de Démarcation – États Unis

Le point de démarcation ("demarc") est la frontière qui sépare les zones de

responsabilité des clients et des télécoms
Aux États Unis, les télécoms offrent la liaison locale (boucle locale) mais
c'est au client de fournir les dispositifs de connexion, tels que le CSU/
DSU
Cette séparation se fait en général à l'entrée de l'armoire d'équipements du
client, qui est le responsable par l'acquisition, le maintient et la
réparation des équipements

L.A. Steffenel 5
 Point de Démarcation - International

Dans les autres pays, le dispositif de terminaison du réseau (NTU) est

fourni et géré par les télécoms (eg : le modem)
Ceci permet aux télécoms de contrôler et résoudre les problèmes qui
concernent le lien local
Au client reste la tâche de connecter un équipement (CPE) tel qu'un routeur
ou switch frame relay

L.A. Steffenel 6
 DTE-DCE

Au long des années, plusieurs standards ont été élaborés afin de permettre
l'interconnexion entre les équipements DCE et DTE
L'EIA (Electronics Industry Association) et l'ITU-T (International Telecommunication
Union Telecommunications Standardization Sector) sont parmi les entités qui ont
crée plus de standards

L.A. Steffenel 7
 DTE-DCE

Les différentes interfaces pour les standards DTE-DCE varient selon

différentes caractéristiques:
Mécaniques/physiques – nombre de contacts et forme du connecteur
Electriques – Niveaux de voltage qui correspondent à 0 ou 1
Fonctions – les différents message de signalisation / codage des données
Procédurales – Spécifie la séquence des événements pour la transmission
des données
L.A. Steffenel 8
 Encapsulation HDLC

En 1979, ISO a défini HDLC comme un standard de la couche liaison de

données
Depuis 1981, ITU-T a développé plusieurs variations de HDLC
Exemples de protocoles dérivés de HDLC :
Link Access Procedure, Balanced (LAPB) pour X.25
Link Access Procedure on the D channel (LAPD) pour ISDN
Link Access Procedure for Modems (LAPM) pour PPP sur modems
Link Access Procedure for Frame Relay (LAPF) pour Frame Relay
L.A. Steffenel 9
 Encapsulation HDLC

•  Le standard HDLC ne permet pas le transport de différents protocoles

de couche 3, car il ne dispose pas d'un champs de type de protocole
•  Au contraire, PPP dispose de ce champs par défaut
•  Cisco a une version propriétaire de HDLC, utilisée par défaut sur les
liens série
•  Le HDLC Cisco utilise un champs propriétaire pour indiquer le type de
protocole transporté
L.A. Steffenel 10
 Caractéristiques de HDLC

•  Livraison fiable (avec trames I)

•  Communication full-duplex
•  Contrôle de flux
•  Ajustement des fenêtres selon la capacité du récepteur
•  Utilisation de horloges physiques afin de synchroniser
l'envoi des trames
•  Orienté connexion ou pas

L.A. Steffenel 11
 Configuration de HDLC

•  HDLC est le protocole de couche 2 par défaut dans les liens série synchrones, il
est activé et configuré par défaut
•  Dans le cas où l'encapsulation diffère, il est possible de rétablir l'encapsulation
HDLC avec la commande
encapsulation hdlc
•  Comme l'implémentation HDLC Cisco est propriétaire, il faut utiliser d'autres
protocoles (comme PPP) si des dispositifs d'autres fabricants sont connectés

L.A. Steffenel 12
 Identification des caractéristiques d'un lien série

L.A. Steffenel 13
 PPP

L.A. Steffenel 14
 Une trame PPP

Flag : délimiteur de la trame

Address : Par défaut c'est une diffusion (111111)
Control : ignoré
Protocol : protocole de couche supérieur auquel le paquet sera livré
(PPP-LCP, IP, IPCP, etc.)
Info : données de la couche supérieure
Check : CRC pour la détection d'erreurs

L.A. Steffenel 15
 Architecture PPP en couches

NCP

LCP

PPP contient deux sous-protocoles :

Link Control Protocol (LCP) – utilisé pour établir une connexion
point-à-point
Responsable par la négociation et configuration de la connexion
Network Control Protocol (NCP) – Utilisé pour initialiser les différents
protocoles supérieurs
Encapsule et négocie les paramètres des protocoles supérieurs

L.A. Steffenel 16
 Options LCP

La sous-couche LCP permet la configuration de plusieurs options :

•  Détection de boucles – utilisation de magic numbers
•  Détection d'erreurs – le taux de pertes/retransmission est surveillé et peut conduire
à une désactivation préventive du lien (Quality Monitoring)
•  Authentification – les deux extrémités doivent s'authentifier avant tout échange
•  Compression – les paquets peuvent être compressés
•  Multilink – utilisation de plusieurs liens en parallèle (couche 2)
•  Callback – option pour l'établissement d'une connexion

L.A. Steffenel 17
 LCP

LCP est aussi en charge de :

Traiter/négocier les différentes tailles de paquet permises
Détecter les erreurs de configuration les plus courants
Terminer une connexion
Déterminer si un lien fonctionne correctement (keepalive)

L.A. Steffenel 18
 Ouverture d'une session PPP

L'établissement d'une
session PPP s'effectue
en trois étapes :
1.  Établissement d’une
liaison et négociation
de la configuration
2.  Authentification
(optionnelle)
3.  Négociation de la
configuration du
protocole de couche
réseau

L.A. Steffenel 19
 Ouverture d'une connexion PPP (détail)

1. Établissement du lien - (LCP)

2. Authentification - Optionnelle (LCP)
3. Définition de la qualité du lien - Optionnel (LCP)
4. Configuration du protocole de couche réseau (à la charge des NCPs)
5. Clôture du lien (LCP)

Router#configure terminal
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp

L.A. Steffenel 20
 Établissement du lien

Dans cette phase les dispositifs PPP envoyent des trames LCP pour
configurer et tester le lien
Les trames LCP contiennent les options qui permettent la négociation :
•  maximum transmission unit (MTU),
•  compression de certains champs PPP,
•  le protocole d'authentification
Si une option manque, c'est la valeur par défaut qui est assumée
Avant tout échange, LCP négocie les paramètres de la connexion

L.A. Steffenel 21
 Authentification (optionnelle)

Après l'établissement du lien et la définition du protocole d'authentification,

les pairs doivent s'authentifier
Cette étape précède la négociation des paramètres de la couche
réseau
Dans cette phase il est aussi possible de déterminer la qualité du lien grâce
à des tests
La qualité du lien est testée pour s'assurer que la transmission est
suffisamment bonne pour garder une connexion ouverte

L.A. Steffenel 22
 Phase NCP

Dans cette phase les dispositifs échangent des paquets NCP afin de choisir
et configurer un ou plusieurs protocoles de couche 3 (IP, par exemple)
Lorsque chaque protocole a été configuré, les paquets peuvent être
envoyés à travers le lien
Si LCP ferme le lien, il envoie une notification aux protocoles de couche 3
pour qu'ils effectuent les mesures correspondantes

L.A. Steffenel 23
 LCP
NCP

La commande show interfaces indique les types de protocoles LCP et

NCP sur le lien

L.A. Steffenel 24
 Protocoles d'Authentification PPP

1. Établissement du lien - (LCP)

2. Authentification - Optionnelle (LCP)
3. Définition de la qualité du lien - Optionnel (LCP)
4. Configuration du protocole de couche réseau (à la charge des NCPs)
5. Clôture du lien (LCP)
L.A. Steffenel 25
 Password Authentication Protocol (PAP)

PAP offre un mode simple d'authentification en deux phases

Quand la phase d'établissement du lien est complète, un pair username/
password est envoyé
PAP n'est pas un protocole d'authentification sûr
Les mots de passe sont envoyés en texte clair, et aucune contrôle de
rejeu est effectué
Le seul contrôle repose sur le nœud distant, qui gère l'intervalle entre deux
tentatives d'authentification

L.A. Steffenel 26
 Challenge Handshake Authentication Protocol (CHAP)

CHAP utilise un protocole en trois étapes

Dans un premier moment, le nœud distant reçoit un message "challenge"
Ce nœud répond avec une valeur calculée typiquement avec MD5
Cette réponse est basée sur le mot de passe et le message challenge
La machine local vérifie la réponse par rapport à son propre calcul de la
valeur challenge
Si les valeurs correspondent, l'authentification est établie ; sinon, le lien est
fermé

L.A. Steffenel 27
 Challenge Handshake Authentication Protocol (CHAP)

CHAP inclut de la protection contre le rejeu grâce à l'utilisation d'une

valeur challenge à usage unique (et qui est difficile à prédire)
Le routeur local reste maître de la fréquence des tentatives de connexion,
ce qui rend encore plus difficile les attaques en masse

L.A. Steffenel 28
 Configuration de PPP

Router#configure terminal
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp

Il suffit de changer le type d'encapsulation pour activer PPP sur l'interface serial 0/0

L.A. Steffenel 29
 Configuration de PPP

DTE 172.25.3.0/24 DCE

.2/S0 Serial .1/S0
interface Serial0 interface Serial0
ip address 172.25.3.2 255.255.255.0 ip address 172.25.3.1 255.255.255.0
encapsulation ppp encapsulation ppp

La configuration des adresses IP n'est pas nécessaire pour que le lien PPP soit
établi, mais ça conduit seulement à un état "Up Down" dans sh ip int br

L.A. Steffenel 30
 Vérification de PPP

LCP
NCP

L.A. Steffenel 31
 Configuration de l'Authentification (PAP ou CHAP)

Encrypted password
Repeated challenges

L.A. Steffenel 32
 Configuration PAP

Rtr(config)# username remote-host password remote-password

Le nom d'utilisateur configuré doit correspondre à celui envoyé par l'autre
routeur

Rtr(config-if)# ppp pap sent-username this-host

username password this-host-password
Les mots de passe doivent correspondre aux usernames configurés, mais
chaque côté peut avoir son username. Les mots de passe ne doivent pas
être les mêmes utilisés dans le reste du système, comme par exemple le
mot de passe enable-secret

Router(config-if)#ppp authentication {chap | chap pap |

pap chap | pap}
Il est possible de choisir un ou plusieurs protocoles ; le deuxième sera utilisé
uniquement si aucune réponse est obtenue avec le premier (une
authentification refusée avec le premier protocole ferme la connexion)

L.A. Steffenel 33
 Configuration PAP

DTE 172.25.3.0/24 DCE

.2/S0 Serial .1/S0
hostname SantaCruz hostname HQ
username HQ password HQpass username SantaCruz password SantaCruzpass

interface Serial0 interface Serial0

ip address 172.25.3.2 255.255.255.0
encapsulation ppp
ppp authentication pap
ppp pap sent-username SantaCruz
password SantaCruzpass
ip address 172.25.3.1 255.255.255.0
encapsulation ppp
ppp authentication pap
ppp pap sent-username HQ
password HQpass

L.A. Steffenel 34
 Configuration CHAP

DTE 172.25.3.0/24 DCE

.2/S0 Serial .1/S0
hostname SantaCruz hostname HQ
username HQ password boardwalk username SantaCruz password boardwalk
ppp chap hostname SantaCruz (optional) ppp chap hostname HQ (optional)

interface Serial0 interface Serial0

ip address 172.25.3.2 255.255.255.0 ip address 172.25.3.1 255.255.255.0
encapsulation ppp encapsulation ppp
ppp authentication chap ppp authentication chap

Note : Le Hostname par défaut de la machine est utilisé, sauf si la

commande ppp chap hostname définie un autre nom pour ce lien.
Ce nom doit correspondre au username configuré sur la machine distante
Tout comme les usernames, les mots de passe sont sensibles à la casse

L.A. Steffenel 35
 Configuration de PPP Multilink

•  Dans certains cas il est plus intéressant d'agréger des liens

PPP (sous le même sous-réseau IP) que d'avoir plusieurs
routes alternatives sous IP

Router(config)#interface serial 0/0

Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink

L.A. Steffenel 36
 Configuration de PPP Multilink (juste pour info, GNS3)

hostname SantaCruz hostname HQ

multilink Virtual-Template 1 multilink Virtual-Template 1

interface loopback 0 interface loopback 0

ip address 192.168.1.1 255.255.255.0 ip address 192.168.1.2 255.255.255.0

interface Virtual-Template1 interface Virtual-Template1

ip unnumbered loopback0 ip unnumbered loopback0
ppp multilink ppp multilink
interface Serial0 interface Serial0
no ip address no ip address
encapsulation ppp encapsulation ppp
ppp multilink ppp multilink
interface Serial1 interface Serial1
no ip address no ip address
encapsulation ppp encapsulation ppp
ppp multilink ppp multilink
interface Serial2 interface Serial2
no ip address no ip address
encapsulation ppp encapsulation ppp
ppp multilink ppp multilink
L.A. Steffenel 37
 Compression

Router(config)#interface serial 0/0

Router(config-if)#encapsulation ppp
Router(config-if)#compress [predictor|stac]

•  Il est possible d'activer la compression des trames

(données)
•  recommandé uniquement si le trafic n'est pas déjà compressé
•  Cisco supporte deux types algorithmes :
•  Predictor : Le routeur décide si les données doivent être compressés ou pas.
•  Stac : l'algorithme Lempel-Ziv (le même des fichiers ZIP) est utilisé pour
compresser toute donnée transmise

L.A. Steffenel 38
 Compression de l'entête TCP - RFC 1144

En complément à la compression des données, la RFC 1144 permet aussi la

compression de l'entête TCP sur les liens série qui utilisent HDLC, PPP ou
SLIP
Uniquement les entêtes TCP sont affectées, pas les entêtes UDP
La commande suivante active la compression de l'entête TCP :
Router(config-if)#ip tcp header-compression
Il y a aussi la possibilité d'utiliser la commande
ip tcp header-compression passive
Dans ce cas, la compression de l'entête n'est pas obligatoire, mais le
routeur utilisera de la compression selon la destination et uniquement
s'il a reçu un paquet avec l'entête compressé

L.A. Steffenel 39
 Détection d'Erreurs

Router(config)#interface serial 0/0

Router(config-if)#encapsulation ppp
Router(config-if)#ppp quality percentage

•  Le service Link Quality Monitoring (LQM) permet aux interfaces série

de surveiller la qualité des transmissions (nombre de paquets perdus,
etc.)
•  Grâce à LQM, PPP peut choisir de désactiver un lien dont la qualité est
inférieure à un seuil configuré
•  Il est souvent plus intéressant de désactiver un lien de mauvaise qualité que de
"perdre" du temps avec la retransmission des messages

•  Le taux de la qualité est calculé par rapport aux paquets entrants et

sortants

L.A. Steffenel 40
 debug ppp negotiation

Router#debug ppp negotiation

PPP protocol negotiation debugging is on
. . .
BR0:1 LCP: State is Open
. . .
PPP: Phase is AUTHENTICATING
. . .
BR0:1 IPCP: State is Open
. . .

La commande debug ppp negotiation permet le suivi des étapes de la

négociation PPP, ce qui met en évidence les facteurs qui peuvent
empêcher une connexion d'être établie

L.A. Steffenel 41
 debug ppp authentication

La commande debug ppp authentication se concentre sur la phase

d'authentification
Remarque : si les deux extrémités requièrent l'authentification, celle-ci sera
faite en parallèle, dans les deux directions

L.A. Steffenel 42
 Défaillance du mécanisme keepalive

•  Par défaut PPP envoie des messages keepalive pour identifier

qu'un lien est toujour actif
•  envois à chaque 10 secondes, dead-interval 3x ou 5x selon la version IOS

•  L'intérêt de ce mécanisme est d'agir de manière indépendante

du protocole de routage en cas de suspicion ; un lien suspecté
est désactivé
•  utile avec des routes statiques ou si le protocole de routage est plus lent (RIP)

•  Certaines versions IOS permettent la désactivation du

keepalive (commande de interface no keepalive), ce qui peut
créer des problèmes si les deux extrémités ne sont pas
configurées à l'identique

L.A. Steffenel 43