WAN 2 Cil kapitoly: Tato kapitola navazuje na kapitolu WAN1 a vyžaduje její dobrou znalost. Cilem této kapitoly je seznámit studenty s metodami vytváření komunikace na sítích WAN. Na jednom z nejpoužívanějších typů zapouzdření – PPP – je ukázána tvorba paketů a způsob navazování komunikace. Zde je možné si také ověřit navazování linkové vrstvy WAN na vyšší vrstvy ISO-OSI v koncových zařízeních WAN jak pro nezabezpečený tak i pro zabezpečený přenos hesel. Klíčové pojmy: CHAP, DLLP, HDLC, IP adresace, LCP, NCP, PAP, PPP, sériové linky, zapouzdření,
Zapouzdření Při zapouzdření – encapsulation - vyšší vrstva modelu přidá k datúm hlavičku.
Protokol PPP Sériové linky se využívají při komutovaných linkách a pevných linkách, zejména pro přechod LAN – WAN. Výhody seriových linek jsou • •
Není crosstalk (přesleh mezi paralelními linkami) Není rozptyl clocků na jednotlivých vodičích díky různým jejich vlastnostem.
Nastavení seriové linky: Pro standardní rozhraní COM1 až 4 jsou automaticky přiřazeny standardní parametry podle BIOSu, tedy
Rozhraní I/O adresa
IRQ
COM1
0x3f8
4
COM2
0x2f8
3
COM3
0x3e8
4
COM4
0x2e8
3
Pro jiná rozhraní nebo jiná nastavení se musí použít příkaz setserial(8), kterým se nastavuje obvod UART, číslo portu, I/O adresa, IRQ a rychlost přenosu.
Soubor
paramet1 parametr2 parametr3
setserial /dev/ttyS0 auto_irq autoconfig spd_vhi
kde
spd_vhi
nastavuje rychlost 115,2kb/s
spd_hi
57,6kb/s
bez uvedení
38,4kb/s
auto_irq
nastavení standardního IRQ
autoconfig
nastavení standardní adresy
Komunikace se standardně provádí s protokolem RTS-CTS. Tento protokol lze nastavit stty crtscts
DLLP - protokol linkové vrstvy zaručující spolehlivý přenos,
LCP - link Control Protocol - linkový řídící protokol slouží k navázání a ukončení spojení a sjednání parametrů konfigurace (např MRU maximum Recieve Unit). Dále kontroluje kvalitu komunikace (error detection) a ověření totožnosti uživatelů. Protokol LCP se používá nad protokolem HDCL (viz násl. odstavec). LCP dále zajišťuje kompresi, authentication a muůltilink • NCP - Net Control Protocol - síťový řídící protokol vytvářející vazbu mezi linkovou a síťovou vrstvou. Umožňuje přenášet data pro více protokolů v síťové vrstvě – každý svým NCP Flag na počátku (konci) frame-u je 0x7E. •
Hromadná adreesa 0xFF. V Linuxu je podpora PPP rozdělena na 2 části, •
•
na vysokoúrovňový ovladač HDCL, který se nachází v jádru operačního systému. Protokol HDCL - High Level Data Link Control Protokol - pracuje na nejnižší vrstvě protokolu PPP a definuje formát PPP rámců - jednotlivá pole protokolu PPP a vytváří 16ti bitový kontrolní součet na démona uživatelského prostoru pppd, který se stará o řídící protokoly. Tento démon se nestará o spolupráci s modemem, tj. neumí vytáčet čísla, navazovat spojení, atd. Pro tyto funkce musí používat podpůrné programy jako je chat. pppd si v případě potřeby navázání spojení volá tento program chat.
Konfigurace sériové linky Ovladače jsou součástí jádra. Tím je dosaženo větších přenosových rychlostí. Konfiguraci sériové linky lze rozdělit bez ohledu na protokoly do 3 fází 1. Navázání spojení mezí modemy a počítačem 2. Realizace linkové vrstvy sloupce protokolů OSI 3. Nastavení parametrů síťové vrstvy.
Navázání spojení mezí modemy a počítačem Je jednoduchá pro pevné spojení a pro volající stranu. Složitější situace je pro volanou stranu, která musí automaticky zvedat telefon, kdy je nutno provést zabezpečení proti neoprávněnému přístupu. Komutované spoje jsou výhodné pro příležitostné spoje. Vytáčené spojení přes telefon je už víceméně zvláštností, přesto pro ucelený pohled na PPP je uveden. Volající vytáčí linku přes program dip(8) - Dialup IP (u PPP se používá dial). Tento program (který je součástí balíku SLIP) používá systémové volání ioctl pro převzetí kontroly nad sériovým zařízením. Na straně volané je(jak pro vytáčené, tak i pro nevytáčené linky) pro navázání spojení obvykle spuštěn program mgetty, který zajistí komunikaci pro login. Pro vlastní navázan spojení slouží protokol LCP, kterým se nastavují parametry přenosu. PPP nerozeznává primární a sekundární typ stanic, a tedy komunikaci může začít libovolná stanice. Postup při navázání spojení: klient
server
spustí pppd, který se propojí
spustí se mgetty
se serverem a požádá program
mgetty spustí login s výzvou login
chat o následné zajištění spojení. chat přijme login a vyšle jméno
vyzve k zadání pasword
chat zadá heslo
zkontroluje podle souboru passwd a spustí pppd
chat předá obsluhu pppd Pro zjednodušení celé etapy navázání spojení využívá PPP protokly PAP) Pasword Autentication Protocol) nebo CHAP (Challence Handshake AP). PAP obdobně jako u Telnetu nebo FTP se vysílá v paketu heslo bez kódování. Heslo je uložené v souboru /etc/ppp/pap-secrets který slouží obousměrně. Obsah souboru vypadá
klient
server
heslo
[IP adresy]
kde strana označená jako klient prokazuje totožnost (* značí všechny klienty). Vysílání jména a hesla se opakuje až do potvrzení nebo přerušení. Heslo se porovnává s heslem ve stejném souboru u serveru. Šifrované heslo se vysílá až po neúspěchu nebo pokud v konfiguraci pppd bylo uvedeno papcrypt, pak se nešifrované heslo vůbec nevysílá.
CHAP - autentizaci zahajuje server pobídkou - tj. složitým řetězcem. Klient tuto pobídku zašifruje pomocí dohodnutého klíče. Server jej porovnává s vlastním šifrováním, a pak zašle potvrzení autentizace. Data CHAP jsou uložena v souboru /etc/ppp/chap-secrets se strukturou klient
server
šifra
[IP adresy]
Protokol ověřuje i u spojených linek v pravidelných intervalech heslem uživatele. Před použitím NCP protokolu se ověřuje kvalita linky. NCP protokolem se provádí návaznost na vyšší protokoly jako je IP, IPX apod. IP adresy (síťová vrstva) Nastavení a odsouhlasení adres IP (síťová vrstva) je práce protokolu IPCP, který je součástí síťových řídících protokolů NCP (Net Control Protokol) protokolu PPP, neboť IP adresy mohou navrhnout obě strany. Pokud se nedohodnou, spojení se nenaváže. Návrh lze provést v příkazovém řádku
pppd lokál_adr:vzdálená_adr
nebo v konfiguračním souboru /etc/ppp/options.ttySn Adresy mohou být v tečkové notaci nebo jako názvy hostitelů, ale pak se zhorší ověřování totožnosti pomocí protokolu CHAP.
• • • • •
Uvedením noipdefault bere vždy IP adresu navrhovanu druhou stranou. Taktéž není-li zadána lokální adresa použije se implicitně IP adresa odpovídající lokálnímu počítači podle DNS. Pokud chceme akceptovat i návrhy druhé strany musí být uvedeno ipcp-acceptlocal nebo ipcp-accept-remote Při konfiguraci serveru, ke kterému se budou připojovat stanice přes vytáčenou linku musí se akceptovat IP podle zadání v serveru dynamické přidělování IP adres: každému portu přiřadíme IP adresu, která se bude přiřazovat klientům PPP. Toto musí být v souboru ....options.ttySn. Např: v souboru options.ttyS0 bude řádek :191.120.2.101 nebo i s lokální adresou 191.120.2.1:191.120.2.101 Na straně klienta musí být volba noipdefault která sdělí démonu pppd aby čekal
na přidělení IP adresy od protějšího počítače. Rozšíření protokolu PPP •
PPP po více spojích - dovoluje provozovat jednu komunikaci po více spojích
•
Tunelovací PPP – umožňuje provoz VPN po Internetu. (L2TP)
Zapouzdření pomocí protokolu HDLC HDLC – High Data Link Control Protokol – je normalizovaný protkol, který podporuje jak pointg-to point, tak i point-to-multipoint full-duplexní komunikaci. Rámec protokolu HDLC je uvozen synchronizací 7EH (u dat se vždy po 5ti jedničkách vkládá 0), adresou, a typem rámce (data, řízení,..) a končí FCS. HDLC se používá méně než PPP.
Kontrolní otázky a úkoly k WAN2: •
Jaké jsou náklady na vybudování paralelní a sériové linky?
•
Proč přeslech zpomaluje paralelní linky?
•
Proč je protokol PPP rozdělen do 3 podprotokolů?
•
Které protokoly PPP umožňují návaznost na TCP/IP nebo SPX/IPX?
•
Co je to daemon?
•
Musíme pro seriové propojení vytvářet nové IP adresy?
•
Při autentizaci pomocí CHAP je nutné aby šifrovací klíč znal jak klient tak i server?
•
Jaká je funkce programu login? A na které straně komunikace je spouštěn?
•
Uvědomte si český význam anglického slovo CONTROL!
•
FCS je kontrolní pole. Proč se používá?
•
Vysvětlete pojem MGETTY.
Shrnutí: Podstatou zapouzdření je zabalení paketu do protokolu nižší vrstvy. Jedním ze způsobů zapouzdření u WAN sítí je PPP. Tento protokol se sestává ze 3 podprotokolů odpovídajících řídícímu protokolu, protokolu zajišťujícího spolehlivost a protokolu návaznosti na síťovou vrstvu. Byl objasněn způsob navazování komunikace včetně přidělování IP adres.
Literatura: Encyklopedie poč. sítí Cisco: směrování vsítích IP Košťál: studijní texty pro SŠITaSP Brno Wikipedie
