sábado, 26 de enero de 2008

Semestre 4 CCNA, Módulo 3

Módulo 3: PPP

Descripción general

Este módulo presenta un panorama de las tecnologías WAN. Presenta y explica las tecnologías WAN tales como la transmisión serial, multiplexión por división de tiempo (TDM), demarcación, equipo terminal de datos (DTE) y equipo de comunicación de datos (DCE). Presenta el desarrollo y uso del encapsulamiento del control de enlace de datos de alto nivel (HDLC) así como de los métodos para configurar y diagnosticar los problemas en una interfaz serial.

El Protocolo punto a punto (PPP) es el protocolo de preferencia para las conexiones WAN conmutadas seriales. Puede manejar tanto la comunicación síncrona como la asíncrona e incluye la detección de los errores. Y, lo que es más, incorpora un proceso de autenticación que utiliza CHAP o PAP. PPP se puede utilizar en diversos medios físicos, incluyendo cable de par trenzado, líneas de fibra óptica o transmisión satelital.

Los procedimientos para la configuración de PPP, así como las opciones disponibles y los conceptos de diagnóstico de fallas se describen en este módulo. Entre las opciones disponibles se encuentra la capacidad que tiene el PPP para utilizar tanto la autenticación PAP como la CHAP.

Los estudiantes que completan este módulo deberán poder hacer lo siguiente:

* Explicar la comunicación serial.
* Describir y dar un ejemplo de TDM
* Identificar el punto de demarcación de una WAN
* Describir las funciones del DTE y del DCE
* Explicar el desarrollo del encapsulamiento HDLC.
* Utilizar el comando encapsulation hdlc para configurar HDLC
* Diagnosticar las fallas en una interfaz serial mediante los comandos show interface y show controllers.
* Identificar las ventajas del uso de PPP
* Explicar las funciones del Protocolo de control de enlace (LCP) y del Protocolo de control de red (NCP) que son componentes de PPP
* Describir las partes de una trama PPP
* Identificar las tres fases de una sesión PPP
* Explicar las diferencias entre PAP y CHAP
* Enumerar los pasos del proceso de autenticación PPP
* Identificar las distintas opciones de configuración PPP
* Configurar el encapsulamiento PPP
* Configurar la autenticación CHAP y PAP
* Utilizar el comando show interface para verificar el encapsulamiento serial.
* Diagnosticar cualquier problema que se produzca en la configuración PPP mediante el comando debug PPP


3.1 Enlaces seriales punto a punto

3.1.1 Introducción a la comunicación serial

Las tecnologías WAN se basan en la transmisión serial en la capa física. Esto significa que los bits de una trama se transmiten uno por uno a lo largo del medio físico.

Los procesos de la capa física utilizan señalización para pasar los bits que componen la trama de Capa 2, uno por uno, al medio físico. Los métodos de señalización incluyen el Nivel sin retorno a cero (NRZ-L), Binario 3 de alta densidad (HDB3) e Inversión alternada de marcas (AMI). Estos son ejemplos de normas de codificación de capa física, y son similares a la codificación Manchester de Ethernet. Entre otras cosas, estos métodos de señalización pueden diferenciar un método de comunicación serial de otro. Las siguientes son algunas de las muchas normas de comunicación seriales: RS-232-E

* V.35
* Interfaz serial de alta velocidad (HSSI)

3.1.2 Multiplexión por división de tiempo

La multiplexión por división de tiempo (TDM) consiste en transmitir varias fuentes de información por un canal o señal común, y luego reconstruir las corrientes originales en el extremo remoto.

En el ejemplo que presenta la Figura , tres fuentes de información se transportan, a su vez, por el canal de salida. Primero, se toma un bloque de información de cada canal de entrada. El tamaño del bloque puede variar, pero, en general, es de un bit o un byte a la vez. Según se utilicen bits o bytes, este tipo de TDM se denomina entrelazado de bits o entrelazado de bytes.

Cada uno de los tres canales de entrada tiene su propia capacidad. Para que el canal de salida pueda aceptar toda la información proveniente de las tres entradas, su capacidad no debe ser inferior a la suma de las entradas.

En TDM, el intervalo de tiempo de salida siempre está presente, tenga o no tenga TDM información para transmitir. La salida TDM puede compararse con un tren de 32 vagones. Cada uno es propiedad de una compañía de transporte diferente y cada día, el tren parte con los 32 vagones. Si una de las compañías tiene un producto que enviar, carga su vagón. Si la compañía no tiene nada que enviar, el vagón permanece vacío, pero sigue siendo parte del tren.

TDM es un concepto de la capa física, y es completamente independiente de la naturaleza de la información que se multiplexa en el canal de salida. TDM es independiente del protocolo de Capa 2 que utilizan los canales de entrada.

Un ejemplo de TDM es la Red digital de servicios integrados (Integrated Services Digital Network, ISDN). El acceso básico (BRI) ISDN cuenta con tres canales que constan de dos canales B de 64 kbps (B1 y B2) y un canal D de 16 kbps. TDM tiene nueve intervalos de tiempo que se repiten. Esto permite que la compañía telefónica administre y diagnostique de forma activa los problemas del bucle local cuando el punto de demarcación ocurre después de la unidad de terminación de la red (NTU) en los lugares donde NT1 no forma parte del CPE.

3.1.3 Punto de demarcación

El punto de demarcación o "demarc", como se conoce más comúnmente, es el punto de la red donde termina la responsabilidad del proveedor del servicio o compañía telefónica. En los Estados Unidos, una compañía telefónica provee bucles locales a las instalaciones del cliente y el cliente provee el equipo activo, como por ejemplo la unidad de servicio del canal/unidad de servicio de datos (CSU/DSU) donde termina el bucle local. Esta terminación a menudo se produce en un armario de telecomunicaciones y el cliente es responsable de mantener, reemplazar y reparar el equipo.

En otros países del mundo, la compañía telefónica provee y administra la unidad de terminación de la red (NTU). Esto permite que la compañía telefónica administre y diagnostique de forma activa los problemas en el bucle local cuando el punto de demarcación ocurre después de la NTU. El cliente conecta un dispositivo del equipo terminal del abonado (CPE), como por ejemplo un router o un dispositivo de acceso de frame relay a la NTU por medio de una interfaz serial V.35 o RS-232.

3.1.4 DTE/DCE

Una conexión serial cuenta con un dispositivo de equipo terminal de datos (DTE) en un extremo de la conexión y un dispositivo de equipo de comunicación de datos (DCE) en el otro. La conexión entre los dos DCE es la red de transmisión del proveedor del servicio WAN. El CPE, que en general es un router, es el DTE. Otros ejemplos de DTE podrían ser una terminal, un computador, una impresora o una máquina de fax. El DCE, en general un módem o CSU/DSU, es el dispositivo que se utiliza para convertir los datos del usuario del DTE en una forma que sea aceptable para el enlace de la transmisión del proveedor del servicio WAN. La señal se recibe en el DCE remoto, que decodifica la señal nuevamente en una secuencia de bits. Esta secuencia se envía, a su vez, al DTE remoto.

Se han desarrollado muchas normas que permiten que los DTE se comuniquen con los DCE. La Asociación de Industrias Electrónicas (EIA) y el Sector de Normalización de las Telecomunicaciones de la Unión de Telecomunicaciones Internacional (UIT-T) han trabajado muy activamente en el desarrollo de estas normas. El UIT-T se refiere al DCE como al equipo que termina el circuito de los datos. La EIA se refiere al DCE como el equipo de comunicación de datos.

La interfaz DTE/DCE para un norma en particular define las siguientes especificaciones:

* Mecánica/física: número de pins y tipo de conector.
* Eléctrica: define los niveles de tensión de 0 y 1.
* Funcional: especifica las funciones que se ejecutan asignando significado a cada una de las líneas de señalización de la interfaz.
* Procesal: especifica la secuencia de eventos para la transmisión de los datos.

Si se deben conectar dos DTE entre sí, como por ejemplo dos computadores o dos routers en el laboratorio, resulta necesario el uso de un cable especial llamado módem nulo para eliminar la necesidad de un DCE. En las conexiones síncronas, donde se requiere la señal de reloj, un dispositivo externo o bien uno de los DTE debe generar la señal de reloj.

El puerto serial síncrono de un router se configura como DTE o DCE según el tipo de cable de conexión, que se solicita para DTE o DCE para que coincida con la configuración del router. Si el puerto se configura como DTE, que es la configuración por defecto, es necesario una temporización externa desde la CSU/DSU u otro dispositivo DCE.

El cable para la conexión DTE a DCE es un cable de transición serial y blindado. En el extremo del router, el cable de transición serial y blindado puede utilizar un conector DB-60, que se conecte al puerto DB-60 de una tarjeta serial de interfaz WAN. El otro extremo del cable de transición serial viene con el conector adecuado para el estándar que se utiliza. Por lo general, el proveedor WAN o la CSU/DSU determina el tipo de cable. Los dispositivos Cisco admiten los estándares seriales EIA/TIA-232, EIA/TIA-449, V.35, X.21 y EIA/TIA-530.

Para admitir mayores densidades en un factor de forma más pequeño, Cisco ha introducido el cable serial inteligente. La interfaz del router del cable serial inteligente es un conector de 26 pins mucho más compacto que el conector DB-60.

3.1.5 Encapsulamiento HDLC

Al principio, las comunicaciones seriales se basaban en protocolos orientados a los caracteres. Los protocolos orientados a bits eran más eficientes pero también eran propietarios. En 1979, ISO aceptó al HDLC como protocolo estándar de enlace de datos orientado a bit que encapsula los datos en enlaces de datos seriales y síncronos. La normalización instó a otros comités a que también lo adoptaran y así extendieran el uso del protocolo. Desde 1981, UIT-T ha desarrollado una serie de protocolos derivados del HDLC. Los siguientes ejemplos de protocolos derivados reciben el nombre de protocolos de acceso a enlaces.

* Procedimiento de acceso al enlace balanceado (LAPB) para X.25
* Procedimiento de acceso al enlace en el canal D (LAPD) para ISDN.
* Procedimiento de acceso al enlace para módems (LAPM) y PPP para módems.
* Procedimiento de acceso a enlaces para Frame Relay (LAPF)

HDLC utiliza la transmisión síncrona serial y brinda una comunicación entre dos puntos libre de errores. HDLC define la estructura del entramado de Capa 2 que permite el control de flujo y de errores mediante acuses de recibo y un esquema de ventanas. Cada trama presenta el mismo formato ya sea una trama de datos o una trama de control.

El HDLC estándar, en sí, no admite múltiples protocolos en un solo enlace ya que no cuenta con una forma de indicar cuál es el protocolo que se transporta. Cisco ofrece una versión propietaria de HDLC. La trama HDLC de Cisco utiliza un campo "tipo" propietario que actúa como campo de protocolo. Este campo permite que varios protocolos de capa de red compartan el mismo enlace serial. HDLC es el protocolo de Capa 2 por defecto para las interfaces seriales de los routers Cisco.

HDLC define los tres siguientes tipos de tramas, cada uno con diferente formato de campo de control.

* Tramas de información (tramas I): transportan los datos que se transmitirán para la estación. Se cuenta con control adicional de flujo y de errores y los datos pueden ser adicionados a una trama de información.
* Tramas de supervisión (tramas S): proporcionan los mecanismos de petición/respuesta cuando no se utiliza el adicionar datos.
* Tramas no enumeradas (tramas U): brindan funciones de control de enlace suplementarias tales como configuración inicial de la conexión. El campo del código identifica el tipo de trama U.

Los primeros uno o dos bits del campo de control sirven para identificar el tipo de trama. En el campo de control de una trama de información (I), el número de la secuencia de envío se refiere al número de la trama que se envía a continuación. El número de secuencia de recepción proporciona el número de la trama que se recibe a continuación. Tanto el transmisor como el receptor mantienen los números de secuencia de recepción y transmisión.

3.1.6 Configuración de encapsulamiento HDLC

El HDLC de Cisco es el método de encapsulamiento por defecto que utilizan los dispositivos Cisco en las líneas seriales síncronas. Si la interfaz serial se configura con otro protocolo de encapsulamiento y entonces resulta necesario cambiarlo nuevamente a HDLC, entre al modo de configuración de la interfaz serial. Luego introduzca el comando encapsulation hdlc para especificar el protocolo de encapsulamiento de la interfaz.

El HDLC de Cisco es un protocolo de punto a punto que puede utilizarse en líneas alquiladas entre dos dispositivos Cisco. Cuando la comunicación es con un dispositivo que no es Cisco, el PPP síncrono es una opción más viable.

3.1.7 Diagnóstico de fallas de una interfaz serial

El resultado del comando show interfaces serial muestra información específica de las interfaces seriales. Al configurar HDLC, las palabras "Encapsulation HDLC", indicando el encapsulamiento HDLC, deben aparecer en la salida. Al configurar PPP, las palabras "Encapsulation PPP", indicando el encapsulamiento PPP, deben aparecer en la salida.

Se pueden identificar cinco estados problemáticos de la línea de estado de la interfaz en la salida de show interfaces serial:

* Serial x is down, line protocol is down
* Serial x is up, line protocol is down
* Serial x is up, line protocol is up (looped)
* Serial x is up, line protocol is down (disabled)
* Serial x is administratively down, line protocol is down

El comando show controllers es otra herramienta importante al diagnosticar las fallas en las líneas seriales. El resultado de show controllers indica el estado de los canales de la interfaz y si un cable está conectado a la interfaz o no. En la Figura , la interfaz serial 0/0 tiene conectado un cable DTE V.35. La sintaxis del comando varía de acuerdo con la plataforma. Para las interfaces seriales de los routers serie Cisco 7000, utilice el comando show controllers cbus

Si el resultado de la interfaz eléctrica muestra UNKNOWN (DESCONOCIDO), en lugar de V.35, EIA/TIA-449 o algún otro tipo de interfaz eléctrica, el problema radica en un cable conectado incorrectamente. También es posible que se trate de un problema con el cableado interno de la tarjeta. Si se desconoce la interfaz eléctrica, el resultado del comando show interfaces serial mostrará que la interfaz y el protocolo de línea se encuentran desactivados.

Los comandos de depuración que se presentan a continuación son útiles a la hora de diagnosticar los problemas seriales y de la WAN:

* debug serial interface: Verifica si los paquetes de actividad HDLC están aumentando. Si no lo están, es posible que haya un problema de temporización en la tarjeta de la interfaz o en la red.
* debug arp: Indica si el router está enviando o recibiendo información acerca de routers (por medio de paquetes ARP) en el otro lado de la nube WAN. Use este comando cuando algunos nodos de una red TCP/IP responden, pero otros no.
* debug frame-relay lmi: Obtiene la información de la Interfaz de administración local (LMI) que resulta útil para determinar si un router y un switch Frame Relay están enviando y recibiendo paquetes LMI.
* debug frame-relay events: Determina si se están produciendo intercambios entre un router y un switch Frame Relay.
* debug ppp negotiation: muestra los paquetes del Protocolo de punto a punto (PPP) que se transmiten durante el inicio del PPP, cuando se negocian sus opciones.
* debug ppp packet: muestra los paquetes PPP enviados y recibidos. Este comando muestra las descargas de los paquetes de bajo nivel.
* debug ppp: muestra los errores PPP tales como tramas ilegales o malformadas, asociados con la negociación y funcionamiento de la conexión.
* debug ppp authentication: muestra los intercambios de paquetes del Protocolo de autenticación de intercambio de señales (CHAP) PPP y el Protocolo de autenticación de contraseña (PAP).

PRECAUCIÓN:

El resultado de la depuración es de alta prioridad para el proceso de la CPU y puede dejar al sistema inutilizable. Es por esto que los comandos de depuración sólo se deben utilizar para diagnosticar problemas específicos o durante las sesiones de diagnóstico de fallas con personal de servicio técnico de Cisco. Se recomienda utilizar los comandos debug (depurar) durante los períodos de poco tráfico en la red y cuando está conectada la menor cantidad de usuarios en línea. Realizar la depuración durante estos períodos disminuye la probabilidad de que la mayor carga de procesamiento debido al comando debug afecte el uso del sistema.

3.2.1 Arquitectura PPP en capas

PPP utiliza una arquitectura en capas. La arquitectura en capas es un modelo, diseño o plan lógico que ayuda a la comunicación entre las capas interconectadas. El modelo de Interconexión de sistemas abiertos (OSI) es la arquitectura en capas que se utiliza en el networking. PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y utiliza la capa de enlace de datos para probar esta conexión. Por lo tanto, PPP está compuesto por dos subprotocolos:

* Protocolo de control de enlaces: se utiliza para establecer el enlace de punto a punto.
* Protocolo de control de red: se utiliza para configurar los distintos protocolos de capa de red.

Se puede configurar PPP en los siguientes tipos de interfaces físicas:

* Serial asíncrona.
* Serial síncrona
* Interfaz serial de alta velocidad (HSSI)
* Red digital de servicios integrados (Integrated Services Digital Network, ISDN)

PPP utiliza el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. PPP utiliza el componente del Protocolo de control de red (NCP) para encapsular y negociar las opciones para los diferentes protocolos de capa de red. El LCP se ubica en la parte más alta de la capa física y se utiliza para establecer, configurar y probar la conexión de enlace de datos.

PPP también utiliza LCP para acordar, de forma automática, opciones de formato de encapsulamiento tales como:

* Autenticación: las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca información de autenticación para ayudar a asegurar que el usuario cuente con el permiso del administrador de red para realizar la llamada. Los routers pares intercambian mensajes de autenticación. Las dos opciones de autenticación son: el Protocolo de autenticación de contraseña (PAP) y el Protocolo de autenticación de intercambio de señales (CHAP).
* Compresión: las opciones de compresión aumentan la tasa de transferencia efectiva en las conexiones PPP al reducir la cantidad de datos en la trama que debe recorrer el enlace. El protocolo descomprime la trama al llegar a su destino. Stacker y Predictor son dos protocolos de compresión disponibles en los routers Cisco.
* Detección de errores: los mecanismos de detección de errores con PPP habilitan un proceso para identificar las condiciones de falla. Las opciones de Calidad y Número mágico ayudan a garantizar un enlace de datos confiable y sin bucles.
* Multienlace: Cisco IOS Versión 11.1 y posteriores admiten el PPP multienlace. Esta alternativa proporciona balanceo de la carga en las interfaces del router que usa PPP.
* Devolución de llamadas en PPP: para aumentar la seguridad, Cisco IOS Versión 11.1 ofrece devolución de llamadas en PPP. Con esta opción LCP, un router Cisco puede actuar como cliente de la devolución de llamada o servidor de la devolución de llamada. El cliente realiza la llamada inicial, solicita que se le devuelva la llamada y termina la comunicación inicial. El router de devolución de llamadas responde al llamado inicial y se comunica nuevamente con el cliente basándose en las sentencias de configuración.

LCP también hace lo siguiente:

* Maneja límites variables del tamaño de paquete.
* Detecta errores comunes de mala configuración.
* Termina el enlace.
* Determina cuándo un enlace funciona correctamente o cuándo falla.

PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. Para cada protocolo de capa de red que se utiliza, se proporciona un Protocolo de control de red (NCP) distinto. Por ejemplo: el Protocolo de Internet (IP) utiliza el Protocolo de control de IP (IPCP) y el Intercambio de paquetes en internetworking (IPX) utiliza el Protocolo de control IPX de Novell (IPXCP). Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP.

Los campos de una trama PPP son los siguientes:

* Señalador: indica el comienzo o el fin de una trama y consiste en la secuencia binaria 01111110.
* Dirección: está formada por la dirección de broadcast estándar, que es la secuencia binaria 11111111. PPP no asigna direcciones de estaciones individuales.
* Control: 1 byte que consta de la secuencia binaria 00000011, que requiere la transmisión de datos del usuario en una trama no secuencial. Se suministra un servicio de enlace sin conexión similar al del Control de enlace lógico (LLC) Tipo 1.
* Protocolo: 2 bytes que identifican el protocolo encapsulado en el campo de datos de la trama.
* Datos: 0 o más bytes que contienen el datagrama para el protocolo especificado en el campo de protocolo. El fin del campo de datos se detecta al encontrar la secuencia de señalador de cierre y dejando 2 bytes para el campo de la secuencia de verificación de trama (FCS). La longitud máxima por defecto del campo de datos es 1500 bytes.
* FCS: en general, 16 bits o 2 bytes que se refieren a los caracteres adicionales que se agregan a la trama con el fin de controlar los errores.

3.2.2 Cómo establecer una sesión PPP

El establecimiento de una sesión PPP tiene tres fases: Estas son: establecimiento del enlace, autenticación y fase del protocolo de la capa de red. Las tramas LCP se utilizan para realizar el trabajo de cada una de las fases LCP. Las tres siguientes clases de tramas LCP se utilizan en una sesión PPP:

* Las tramas de establecimiento de enlace se utilizan para establecer y configurar un enlace.
* Las tramas de terminación del enlace se utilizan para terminar un enlace.
* Las tramas de mantenimiento del enlace se utilizan para administrar y depurar un enlace.

Las tres fases para el establecimiento de una sesión PPP son:

* Fase de establecimiento del enlace: en esta fase, cada dispositivo PPP envía tramas LCP para configurar y probar el enlace de datos. Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien el uso de opciones tales como la unidad máxima de transmisión (MTU), la compresión de determinados campos PPP y el protocolo de autenticación de enlace. Si no se incluye ninguna opción de configuración en un paquete LCP, se adopta el valor por defecto para esa configuración. Antes de poder intercambiar cualquier datagrama de capa de red, primero, LCP debe abrir la conexión y negociar los parámetros de configuración. Esta fase queda completa después de enviar y recibir una trama de acuse de recibo de configuración.
* Fase de autenticación (optativa): una vez establecido el enlace, y seleccionado el protocolo de autenticación, se puede autenticar el dispositivo par. La autenticación, en caso de que se utilice, se lleva a cabo antes de que comience la fase del protocolo de la capa de red. Como parte de esta fase, el LCP también permite efectuar una prueba opcional de determinación de la calidad del enlace. El enlace se prueba para determinar si su calidad es suficiente para activar los protocolos de capa de red.
* Fase de protocolo de capa de red: en esta fase, los dispositivos PPP envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como IP). Después de configurar cada uno de los protocolos de la capa de red elegidos, se pueden enviar paquetes de cada uno de los protocolos de capa de red a través del enlace. Si LCP cierra el enlace, informa los protocolos de la capa de red, para que puedan tomar las medidas adecuadas. El comando show interfaces revela los estados de LCP y NCP bajo la configuración PPP.

El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones:

* Las tramas LCP o NCP cierran el enlace.
* Se vence el tiempo de inactividad.
* Interviene el usuario.

3.2.3 Protocolos de autenticación PPP

La fase de autenticación de una sesión PPP es opcional. Una vez establecido el enlace y seleccionado el protocolo de autenticación, se puede autenticar el dispositivo par. La autenticación, si se utiliza, se lleva a cabo antes de que comience la fase de configuración del protocolo de la capa de red.

Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca la información de autenticación. Esto ayuda a garantizar que el usuario tenga el permiso del administrador de la red para efectuar la llamada. Los routers pares intercambian mensajes de autenticación.

Al configurar la autenticación PPP, el administrador de la red puede seleccionar el Protocolo de autenticación de contraseña (PAP) o el Protocolo de autenticación de intercambio de señales (CHAP). Por lo general, el protocolo de preferencia es CHAP.

3.2.4 Protocolo de autenticación de contraseña (PAP)

PAP ofrece un método sencillo para que un nodo remoto establezca su identidad, mediante el intercambio de señales de dos vías. Una vez que se ha completado la fase de establecimiento del enlace PPP, el nodo remoto envía el conjunto de nombre de usuario/contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o la conexión se termina.

PAP no es un protocolo de autenticación sólido. Las contraseñas se envían por el enlace en texto no cifrado, y no hay protección contra la reproducción o los intentos de descubrimiento mediante intentos reiterados de ensayo y error. El nodo remoto tiene control de la frecuencia y la temporización de los intentos de conexión.

3.2.5 Protocolo de autenticación de intercambio de señales (CHAP)

CHAP se utiliza al iniciar un enlace y verifica, de forma periódica, la identidad del nodo remoto por medio de un intercambio de señales de tres vías. CHAP se realiza al establecer el enlace inicial y se repite durante el tiempo que dure el enlace.

Después de completar la fase de establecimiento del enlace PPP, el host envía un mensaje de comprobación al nodo remoto. El nodo remoto responde con un valor calculado mediante la función hash de una vía que, en general, es Message Digest 5 (MD5). Esta respuesta se basa en la contraseña y el mensaje de comprobación. El router local verifica la respuesta contra su propio cálculo del valor hash esperado. Si los valores concuerdan, se acusa recibo de la autenticación; de lo contrario, la conexión termina de inmediato.

CHAP brinda protección contra los intentos de reproducción a través del uso de un valor de comprobación variable que es exclusivo e impredecible. Como la comprobación es única y aleatoria, el valor hash resultante también será único y aleatorio. El uso de comprobaciones reiteradas tiene como fin limitar el tiempo de exposición ante cualquier ataque. El router local o un servidor de autenticación de terceros tiene el control de la frecuencia y la temporización de las comprobaciones.

3.2.6 Proceso de encapsulamiento y autenticación PPP

Cuando se utiliza el comando encapsulation ppp, la autenticación CHAP o PAP se puede agregar de forma optativa. Si no se especifica ninguna clase de autenticación, la sesión PPP comienza de inmediato. Si se requiere de autenticación, el proceso da los siguientes pasos:

* Se determina el método de autenticación.
* Se revisa la base de datos local o el servidor de seguridad, que tiene una base de datos de contraseñas y nombres de usuario, para verificar que el nombre de usuario y la contraseña dados concuerdan con alguna entrada.
* El proceso verifica la respuesta de autenticación que envía la base de datos local. Si la respuesta es positiva, se inicia la sesión PPP. Si es negativa, se termina la sesión.

La Figura y la Figura correspondiente detallan el proceso de autenticación CHAP.

3.3.1 Introducción a la configuración de PPP

Los aspectos configurables de PPP incluyen los métodos de autenticación, la compresión, la detección de errores y si admite multienlace o no. La siguiente sección describe las distintas opciones de configuración de PPP.

Los routers Cisco que utilizan el encapsulamiento PPP pueden incluir las opciones de configuración de LCP que se describen en la Figura .

3.3.2 Configuración de PPP

El siguiente ejemplo activa el encapsulamiento PPP en una interfaz serial 0/0:

Router#configure terminal
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp

La compresión de software de punto a punto puede configurarse en las interfaces seriales que utilizan encapsulamiento PPP. La compresión se ejecuta en el software y puede afectar el rendimiento del sistema de forma significativa. No se recomienda la compresión si la mayor parte del tráfico está compuesto por archivos comprimidos.

Para configurar la compresión en PPP, introduzca los siguientes comandos:

Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#compress [predictor | stac]

Introduzca los siguientes comandos para monitorear los datos que se pasan al enlace y para evitar la formación de bucles en las tramas:

Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp quality percentage

Los siguientes comandos ejecutan el equilibrio de las cargas en múltiples enlaces:

Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink

3.3.3 Configuración de la autenticación PPP

El procedimiento que se describe en la tabla detalla la configuración del encapsulamiento PPP y los protocolos de autenticación PAP/CHAP.

Es esencial realizar una configuración correcta, ya que PAP y CHAP utilizarán estos parámetros para la autenticación.

La Figura presenta un ejemplo de una configuración de autenticación PAP de dos vías. Ambos routers autentican y son autenticados de modo que los comandos de autenticación se reflejan entre sí. El nombre de usuario y la contraseña PAP que cada router envía debe coincidir con aquellos especificados en el comando username name password password del otro router.

PAP ofrece un método sencillo para que un nodo remoto establezca su identidad, por medio del intercambio de señales de dos vías. Esto se realiza sólo en el momento del establecimiento inicial del enlace. El nombre de host de un router debe coincidir con el nombre de usuario que el otro router ha configurado. Las contraseñas también deben coincidir.

CHAP se utiliza para verificar periódicamente la identidad del nodo remoto, por medio de un intercambio de señales de tres vías. El nombre de host de un router debe coincidir con el nombre de usuario que el otro router ha configurado. Las contraseñas también deben coincidir. Esto se realiza durante el establecimiento inicial del enlace y se puede repetir en cualquier momento una vez establecido el enlace.

3.3.4 Verificación de la configuración de encapsulamiento Serial PPP

Utilice el comando show interfaces serial para verificar que la configuración del encapsulamiento PPP o HDLC esté correcta. El resultado del comando de la Figura ilustra una configuración PPP. Cuando se configura un control de enlace de datos de alto nivel (HDLC), las palabras "Encapsulation HDLC" (Encapsulamiento HDLC) deben aparecer en el resultado del comando show interfaces serial. Una vez que se ha configurado PPP, los estados del Protocolo de control de enlace (LCP) y del Protocolo de control de red (NCP) podrán verificarse mediante el comando show interfaces serial.

La Figura enumera los comandos que se utilizan para habilitar, configurar y verificar el PPP.

3.3.5 Diagnóstico de fallas de la configuración de encapsulamiento serial

El comando debug ppp authentication muestra la secuencia de intercambio de la autenticación. La Figura muestra el resultado del router de la izquierda durante la autenticación CHAP del router de la derecha mientras está habilitado debug ppp authentication. Con la autenticación de dos vías configurada, los dos routers se autentican entre sí. Los mensajes aparecen tanto para el proceso de autenticación como para el proceso de ser autenticado. Utilice el comando debug ppp authentication para mostrar la secuencia de intercambio, a medida que se produce.

La Figura resalta el resultado del router para la autenticación PAP de dos vías.

El comando debug ppp se utiliza para mostrar información sobre el funcionamiento de PPP. La forma no de este comando deshabilita el resultado de la depuración.

Router#debug ppp {authentication | packet | negotiation | error | chap}
Router#no debug ppp {authentication | packet | negotiation | error | chap}

Resumen

Se debe haber obtenido una comprensión adecuada de los siguientes puntos clave:

* La multiplexión por división de tiempo
* El punto de demarcación de una WAN
* La definición y las funciones del DTE y del DCE
* El desarrollo del encapsulamiento HDLC
* El uso del comando encapsulation hdlc para configurar HDLC
* El diagnostico de fallas de una interfaz serial mediante los comandos show interface y show controllers.
* Las ventajas del uso del protocolo PPP
* Las funciones del Protocolo de control de enlace (LCP) y del Programa de control de red que son componentes de PPP.
* Las partes de una trama PPP
* Las tres fases de una sesión PPP
* La diferencia entre PAP y CHAP
* Los pasos del proceso de autenticación PPP
* Las distintas opciones de configuración de PPP
* Cómo configurar el encapsulamiento PPP
* Cómo configurar la autenticación CHAP y PAP
* El uso del comando show interface para verificar el encapsulamiento serial.
* El diagnóstico de los problemas en la configuración del PPP mediante el comando debug ppp

by sdominguez.com

Prepara tu certificación o examén ccna y ccnp.

No hay comentarios: