Long Reach Ethernet (LRE) e Digital Subscriber Line (xDSL) : PPPoE/PPPoA (PPP sobre Ethernet / PPP sobre ATM)

Arquitetura de linha de base PPPoA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve uma arquitetura fim-a-fim da Asymmetric Digital Subscriber Line (ADSL) usando o Point-to-Point Protocol over Asynchronous Transfer Mode (PPPoA). Embora a maioria das implementações seja baseada na arquitetura de Bridging, o PPPoA está ganhando uma popularidade tremenda e formará uma parcela maior das implementações de ADSL futuras.

Hipótese

A arquitetura da linha de base supõe a necessidade para fornecer o acesso ao Internet e o acesso corporativo de alta velocidade ao assinante final que usa o PPPoA como o backbone central. Nós discutiremos esta arquitetura baseada nos canais virtuais privados (PVC), o método usado o mais frequentemente nos desenvolvimentos atual. A arquitetura que usa os Circuitos Virtuais Comutados (SVC) será discutida em um papel distinto.

Este documento é baseado em distribuições existentes assim como em testes internos da arquitetura.

Este documento foi redigido com a suposição que o leitor é conhecedor e familiar com as considerações de projeto de um Network Access Provider (SESTA) como descrito no White Paper da arquitetura de linha de base de RFC1483 Bridging.

Resumo técnico

O Point-to-Point Protocol (PPP) (RFC 1331) fornece um método padrão de encapsular protocolos de camada mais elevada através das conexões Point-to-Point. Estende a estrutura de pacote do High-Level Data Link Control (HDLC) com um Protocol Identifier de 16 bits que contém a informação sobre o índice do pacote.

O pacote contém três tipos de informação:

  • Protocolo de controle de link (LCP) – negocia parâmetros, tamanho do pacote, ou tipo do link de autenticação

  • O protocolo network control (NCP) – contém a informação sobre os protocolos de camada mais elevada que incluem o IP e o IPX, e os seus protocolos de controle (o IPCP para o IP)

  • Frames de dados que contêm dados

A camada de adaptação 5 do PPP over ATM (AAL5) (RFC 2364) usa o AAL5 como o framed protocol, que apoia o PVC e o SVC. O PPPoA foi executado primeiramente como parte do ADSL. Confia no RFC1483, operando-se modo em protocolo logical link control-subnetwork access (LLC-SNAP) ou em VC-MUX. Um dispositivo do Customer Premises Equipment (CPE) encapsula a sessão de PPP baseada neste RFC para o transporte através do loop ADSL e do multiplexador de acesso de linha de assinante digital (DSLAM).

Vantagens e desvantagens da arquitetura PPPoA

A arquitetura PPPoA herda a maioria das vantagens de PPP usadas no modelo do seletor. Alguns dos pontos chaves estão listados abaixo.

Vantagens

  • Pela autenticação de sessão baseada no protocolo password authentication (PAP) ou no protocolo de autenticação de cumprimento do desafio (RACHADURA). Esta é a grande vantagem do PPPoA porque a autenticação supera o furo de segurança em uma arquitetura de Bridging.

  • Pela sessão a contabilidade é possível, que permite que o provedor de serviços carregue o subscritor baseado no tempo de sessão para os vários serviços oferecidos. Pela sessão a contabilidade permite um provedor de serviços de oferecer um nível de acesso mínimo para cobrança mínima e de carregar então assinantes para os serviços adicionais usados.

  • Conservação de endereço IP no CPE. Isto permite que o provedor de serviços atribua somente um endereço IP de Um ou Mais Servidores Cisco ICM NT para um CPE, com o CPE configurado para o Network Address Translation (NAT). Todos os usuários atrás de um CPE podem usar um único endereço IP de Um ou Mais Servidores Cisco ICM NT para alcançar destinos diferentes. As despesas gerais de gerenciamento IP para o Network Access Provider/Network Services Provider (NAP/NSP) para cada usuário individual são reduzidas ao conservar endereços IP de Um ou Mais Servidores Cisco ICM NT. Adicionalmente, o provedor de serviços pode fornecer as sub-redes de endereço IP pequenas para superar as limitações da tradução de endereço de porta (PAT) e do NAT.

  • As sestas/NSP fornecem o acesso seguro aos gateways corporativos sem controlar PVC fim-a-fim e usar o roteamento da camada 3 ou mergulham 2 que enviam/túneis do protocolo Layer 2 Tunneling Protocol (L2F/L2TP). Daqui, podem escalar seus modelos de negócio para vender serviços inteiros.

  • Pesquisando defeitos assinantes individuais. O NSP pode facilmente identificar que assinantes são de ligar/desligar baseados em sessões ativa de PPP, um pouco do que pesquisar defeitos grupos inteiros como é o caso com a arquitetura de Bridging.

  • O NSP pode oversubscribe por idle e session timeout de distribuição usando um server do Remote Authentication Dial-In User Service (RADIUS) do padrão para indústria para cada subscritor.

  • Altamente escalável como nós podemos terminar muito um alto número de sessões de PPP em um roteador de agregação. O autenticação, autorização e relatório pode ser segurado para cada usuário que usa servidores de raio externos.

  • Uso ótimo das características no Service Selection Gateway (SSG).

Desvantagens

  • Somente uma única sessão pelo CPE em um virtual channel (VC). Desde que o nome de usuário e senha é configurado no CPE, todos os usuários atrás do CPE para esse VC particular podem alcançar somente um conjunto de serviço. Os usuários não podem selecionar conjuntos de serviço diferentes, embora usando VC múltiplos e estabelecer sessões de PPP diferentes em VC diferentes é possível.

  • Complexidade aumentada da instalação CPE. Os equipes de helpdesk no provedor de serviços precisam de ser mais conhecedors. Desde que o nome de usuário e senha é configurado no CPE, o subscritor ou o fornecedor de CPE precisarão de fazer mudanças da instalação. Usando a complexidade de configuração múltipla dos aumentos VC. Isto, contudo, pode ser superado por uma característica do autoconfiguration que não seja liberada ainda.

  • O provedor de serviços precisa de manter um base de dados dos nomes de usuário e senha para todos os assinantes. Se os túneis ou os serviços de proxy são usados, a seguir a autenticação pode ser feita com base no Domain Name e a autenticação de usuário é feita no gateway corporativo. Isto reduz o tamanho do base de dados que o provedor de serviços tem que manter.

  • Se um único endereço IP de Um ou Mais Servidores Cisco ICM NT é fornecido ao CPE e ao NAT/PAT é executado, determinados aplicativos tais como o IPTV, que encaixam a informação IP no payload, não trabalharão. Adicionalmente, se uma característica da sub-rede IP é usada, um endereço IP de Um ou Mais Servidores Cisco ICM NT igualmente tem que ser reservado para o CPE.

Considerações sobre a implementação da arquitetura PPPoA

Os pontos chaves a considerar antes de executar a arquitetura PPPoA incluem:

  • O número de assinantes que serão prestados serviços de manutenção atualmente e no futuro, como isto afeta o número de sessões de PPP exigidas.

  • Se as sessões de PPP estão sendo terminados no provedor de serviços? roteador de agregação s ou enviado a outros gateways corporativos ou provedores de serviço da Internet (ISP).

  • Se o provedor de serviços ou o destino final de serviço está fornecendo o endereço IP de Um ou Mais Servidores Cisco ICM NT ao subscritor? s CPE.

  • Se os endereços IP de Um ou Mais Servidores Cisco ICM NT fornecidos são público legal ou privados. O CPE está indo fazer o NAT/PAT ou o NAT será executado no destino de terminação?

  • Perfis dos assinantes finais, dos usuários residenciais, dos clientes do Small Office Home Office (SOHO), e dos trabalhadores à distância.

  • No caso de mais de um usuário, se toda a necessidade de usuários de alcançar o mesmo destino final ou serviço, ou todos têm destinos de serviço diferentes.

  • O provedor de serviços está proporcionando algum serviço de valor agregado como a Voz ou o vídeo? O provedor de serviços exige todos os assinantes a primeiramente vai a uma rede particular antes de alcançar um destino final? Quando os assinantes usam o SSG, estão indo usar serviços da transmissão, PPP Terminated Aggregation (PTA), um dispositivo de mediação, ou o proxy?

  • Como o provedor de serviços fatura os assinantes — baseados em uma taxa lisa, pelo uso de sessão, ou os serviços usados.

  • Desenvolvimento e abastecimento dos CPE, dos DSLAM e dos pontos de agregação da presença (PNF).

  • O modelo de negócio para a SESTA. O modelo igualmente inclui a venda de serviços inteiros como o acesso incorporado seguro e os serviços de valor agregados como a Voz e o vídeo? São as sestas e os NSP a mesma entidade?

  • O modelo de negócio da empresa. É comparável a um portador de intercâmbio local independente (ILEC), a uma portadora de intercâmbio local competitiva (CLEC) ou a um ISP?

  • Os tipos de aplicativos que o NSP oferecerá ao assinante final.

  • O volume antecipado de upstream e downstream de fluxo de dados.

Mantendo estes pontos na mente, nós discutiremos como a arquitetura PPPoA caberá e escalará aos modelos de negócio diferentes para provedores de serviços e como os fornecedores podem se beneficiar usando esta arquitetura.

Arquitetura típica de rede PPPoA

O seguinte diagrama mostra uma arquitetura de rede PPPoA típica. Os clientes que usam CPE conectam à rede de provedor de serviços através de Cisco DSLAM, que conecta ao Cisco 6400 um agregador usando o ATM.

/image/gif/paws/12914/pppoa_arch_1.gif

Considerações sobre design da arquitetura PPPoA

Na seção " considerações de implementação " deste documento, as arquiteturas PPPoA podem ser distribuídas usando encenações diferentes segundo o provedor de serviços? modelo de negócio s. Nesta seção, nós discutiremos as possibilidades e as considerações diferentes que os provedores de serviços devem manter na mente antes de distribuir uma solução.

Antes de distribuir uma arquitetura PPPoA e uma solução particular para esta arquitetura, é essencial compreender o provedor de serviços? modelo de negócio s. Considere os serviços que o provedor de serviços oferecerá. O provedor de serviços oferecerá um serviço como o acesso ao Internet de alta velocidade a seus assinantes finais ou venderá serviços inteiros aos ISP diferentes e proporcionará serviços de valor agregados 2 aqueles assinantes? O provedor de serviços oferecerá todo?

No caso do acesso ao Internet de alta velocidade em um ambiente onde o NSP e a SESTA sejam o mesmo, o subscritor? as sessões de PPP s devem ser terminadas no roteador de agregação distribuído. Nesta encenação, os provedores de serviços precisam de considerar quantas sessões de PPP podem ser terminadas em um dispositivo de agregação do roteador único, como os usuários estão indo ser autenticados, como estão indo executar a contabilidade, e o trajeto ao Internet uma vez que as sessões do usuário são terminadas. Segundo o número de sessões de PPP e de assinantes, o roteador de agregação podia ser um Cisco 6400 ou um Cisco 7200. Hoje? o Cisco 6400 s com os processadores da rota de nó 7 (NRP) pode terminar até 14,000 sessões de PPP. O Cisco 7200 é limitado a 2,000 sessões de PPP. Estes números mudarão com liberações novas. Verifique por favor os Release Note e documentos do produto para o número exato de sessões que cada roteador de agregação pode apoiar.

A autenticação de usuário e a contabilidade nos estes encenação são seguradas melhor usando um servidor Radius do padrão para indústria, que possa autenticar um usuário baseado em username ou no identificador de caminho virtual/identificador de canal virtual (VPI/VCI) que está sendo usado.

Para o acesso ao Internet de alta velocidade, os NSP faturam geralmente clientes um a taxa lisa. A maioria dos desenvolvimentos atual estão sendo executados esta maneira. Quando o NSP e a SESTA são a mesma entidade, os clientes estão faturados em uma taxa fixa para o acesso e em uma outra taxa fixa para o acesso ao Internet. Este modelo muda quando o provedor de serviços começa oferecer serviços de valor agregados. Os provedores de serviços podem carregar o cliente baseado no tipo de serviço e a duração o serviço é usada. Os clientes conectam ao Internet através do roteador de agregação usando protocolos de roteamento como o Open Shortest Path First (OSPF) ou Enhanced Interior Gateway Routing Protocol (EIGRP) a um roteador de ponta que poderia ser Border Gateway Protocol (BGP) running.

Uma outra opção que o provedor de serviços tem fornecendo o acesso ao Internet de alta velocidade é enviar as sessões de PPP recebidas dos assinantes a um ISP separado usando o Tunelamento L2TP/L2F. Quando a escavação de um túnel do L2x é usada, a consideração especial deve ser dada para como o destino de túnel pode ser alcançado. As opções disponíveis estão a executam alguns protocolos de roteamento ou fornecem rotas estáticas no roteador de agregação. As limitações ao usar túneis L2TP ou L2F são: (1) o número de túneis e o número de sessões que podem ser apoiadas naqueles túneis; e (2) o uso dos protocolos de roteamento incompatíveis com terceira parte ISP, que pode exigir usando rotas estáticas.

Se o provedor de serviços oferece serviços para ISP diferentes ou gateways corporativos ao assinante final, podem precisar de executar características SSG no roteador de agregação. Isto permite que o subscritor selecione destinos de serviço diferentes usando a seleção de serviço baseado na Web. O provedor de serviços pode ou sessões de PPP dianteiras dos assinantes a seus destinos selecionados combinando todas as sessões destinados ao ISP em um único PVC para o transporte, ou se o provedor de serviços oferece níveis de serviço múltiplo, mais de um PVC poderia ser estabelecido através do núcleo.

Em um modelo de serviço em grande escala, o provedor de serviços não pode usar características SSG. Neste modelo, o provedor de serviços estende todas as sessões de PPP aos Home Gateway. Os Home Gateway fornecem endereços IP de Um ou Mais Servidores Cisco ICM NT ao assinante final e autenticam o utilizador final.

Uma consideração principal em qualqueras um encenações é como o provedor de serviços pode oferecer um Qualidade de Serviço (QoS) diferente para serviços diferentes e como calculam a alocação de largura de banda. Atualmente, a maneira a maioria de provedores de serviços distribui as ofertas QoS diferente desta arquitetura em PVC diferentes. Podem ter PVC separados no núcleo para clientes residenciais e comerciais. Usar PVC diferentes permite que os provedores de serviços especifiquem QoS diferente para serviços diferentes. Esta maneira, QoS podia estar em PVC separados ou na camada 3.

Aplicar QoS na camada 3 exige o provedor de serviços conhecer o destino final, que poderia ser um fator limitante. Mas, se usado em combinação com a camada 2 QoS (aplicando a em VC diferentes), pode ser útil para o provedor de serviços. A limitação com este modelo é que é fixa e o provedor de serviços precisa de provision adiantado para QoS. QoS não obtém aplicado dinamicamente na seleção do serviço. Atualmente, não há nenhuma opção para que um usuário selecione larguras de banda diferentes para serviços diferentes com um clique do rato; contudo, o esforço de engenharia significativo foi investido para desenvolver esta característica.

A distribuição CPE, o Gerenciamento, e o abastecimento poderiam ser muito desafiantes nesta arquitetura, como o CPE precisa de ser configurado para nomes de usuário e senha. Como uma solução simples, alguns dos provedores de serviços estão usando o mesmo nome de usuário e a senha para todos os CPE. Isto apresenta um risco de segurança significativo. Adicionalmente, se o CPE precisa de abrir simultaneamente sessões diferentes, a necessidade adicional VC ser fornecida no CPE, a SESTA e o NSP. Cisco DSLAM e dispositivos de agregação tem a capacidade para simplificar a configuração CPE e o abastecimento. Por fluxo as ferramentas de gerenciamento estão igualmente disponíveis para o provisionamento PVC fim-a-fim. O abastecimento no NSP para tão muitos assinantes que usam PVC é um fator limitante desde que todos os PVC diferentes devem ser controlados. Adicionalmente, não há nenhuma maneira simples do abastecimento 2000 PVC em um único NRP clicando um rato ou incorporando poucos cursos da chave.

Hoje nós não temos aplicativos de gerenciamento diferentes para componentes diferentes desta arquitetura, tais como Viewrunner para o DSLAM e SCM para o Cisco 6400 lá somos nenhuma plataforma de gerenciamento que provision todos os componentes. Esta é uma limitação bem reconhecida e o grande esforço está sendo investido para ter aplicativo um único, do gerenciamento abrangente provision o CPE, o DSLAM e o Cisco 6400. Além, nós temos atualmente uma solução para executar o PPPoA com SVC, que facilitará extremamente o desenvolvimento. O PPPoA com SVC igualmente permitirá que os utilizadores finais selecionem o destino e o QoS dinamicamente.

Um outro ponto importante a manter-se na mente para as grandes distribuições de ADSL que usam esta arquitetura é a comunicação do roteador de agregação ao servidor Radius. Se a blade de NRP falha quando diversas diversas sessões PPP estão terminadas em um dispositivo de agregação, todas aquelas sessões de PPP devem ser restabelecidas. Isto significa que todos os assinantes devem ser autenticados e seus registros de contabilidade parados e ser reiniciados uma vez que a conexão é estabelecida. Quando tão muitos assinantes tentam obter autenticados ao mesmo tempo, a tubulação ao servidor Radius pode ser um gargalo. Alguns assinantes não podem poder ser autenticado e este pode criar problemas para o provedor de serviços.

É muito importante ter um link ao servidor Radius com a largura de banda suficiente para acomodar ao mesmo tempo todos os assinantes. Além disso, o servidor Radius deve ser poderoso bastante conceder permissões a todos os assinantes. No caso dos milhares de assinantes, uma opção para carregar o equilíbrio entre servidores Radius disponíveis deve ser considerada. Esta característica está disponível no software do ½ do ¿  de Cisco IOSïÂ.

Como uma consideração final, o roteador de agregação deve executar suficientemente para acomodar muitas sessões de PPP. Aplique os mesmos princípios da engenharia de tráfego usados por outras aplicações. Previamente, o usuário teve que configurar PVC em subinterfaces ponto a ponto. Hoje o PPPoA permite que os usuários configurem PVC múltiplos em subinterfaces de multiponto assim como ponto a ponto. Cada conexão de PPoA já não exige dois blocos de descritor da relação (IDB), um para a interface de acesso virtual e um para a subinterface ATM. Este realce aumenta o número máximo de sessões de PPPoA que são executado em um roteador.

As sessões de PPPoA do número máximo apoiadas em uma plataforma dependem dos recursos de sistema disponível tais como a memória e a velocidade CPU. Cada sessão de PPPoA toma uma interface de acesso virtual. Cada interface de acesso virtual consiste em um bloco de descritor da interface de hardware e em um par do Interface Descriptor Block do software (hwidb/swidb). Cada hwidb toma sobre 4.5K. Cada swidb toma sobre 2.5K. Junto, as interfaces de acesso virtual exigem 7.5K. 2000 interfaces de acesso virtual exigem 2000 * 7.5K ou 15M. Para executar 2000 sessões, um roteador precisa um 15M adicional. Devido ao aumento no limite de sessão, o roteador precisa de apoiar mais IDB. Este apoio impacta o desempenho devido a mais ciclos de CPU para executar mais exemplos da máquina de estado PPP.

Pontos chave da arquitetura PPPoA

Esta seção descreve três pontos chaves na arquitetura PPPoA: o CPE, gerenciamento IP, e alcance do destino de serviço.

/image/gif/paws/12914/pppoa_arch_2.gif

Devido à natureza da PANCADINHA, determinados aplicativos que encaixam informação IP no payload não podem trabalhar nesta encenação. Para resolver esta edição, aplique sub-redes de endereço IP um pouco do que um único endereço IP de Um ou Mais Servidores Cisco ICM NT.

Nesta arquitetura é mais fácil para o NAP/NSP ao telnet no CPE configurar e pesquisar defeitos desde que um endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído ao CPE.

Os CPE podem usar opções diferentes segundo o subscritor? perfil s. Por exemplo, porque um usuário residencial o CPE pode ser configurado sem PAT/DHCP. Para assinantes com o mais de um PC, os CPE podem ser configurados para o PAT/DHCP ou a mesma maneira que aquele de um usuário residencial. Se há um telefone IP conectado ao CPE, o CPE pode ser configurado para mais de um PVC.

Gerenciamento de IP

pppoa_arch_3.gif

Na arquitetura PPPoA, a alocação de endereço IP para o subscritor CPE usa a negociação de IPCP, o mesmo princípio de PPP no modo de discagem. Os endereços IP de Um ou Mais Servidores Cisco ICM NT são atribuídos segundo o tipo de serviço usos de um subscritor. Se o subscritor tem somente o acesso ao Internet do NSP, o NSP terminará aquelas sessões de PPP do subscritor e atribuirá um endereço IP de Um ou Mais Servidores Cisco ICM NT. O endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído localmente de um conjunto definido, um servidor DHCP, ou pode ser aplicado do servidor Radius. Também, o ISP pode ter fornecido um grupo de endereços IP estáticos ao subscritor e não pode atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT dinamicamente quando o subscritor inicia a sessão de PPP. Nesta encenação, o provedor de serviços usará somente o servidor Radius para autenticar o usuário.

Se o subscritor prefere ter os serviços múltiplos disponíveis, o NSP pode precisar de executar o SSG. Seguir é possibilidades para atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT.

  • O SP pode fornecer um endereço IP de Um ou Mais Servidores Cisco ICM NT ao subscritor através de seu conjunto local ou servidor Radius. Depois que o usuário seleciona um serviço, o SSG para a frente o usuário? tráfego s a esse destino. Se o SSG está usando o modo de proxy, o destino final pode fornecer um endereço IP de Um ou Mais Servidores Cisco ICM NT, que o SSG use como o endereço visível para o NAT.

  • As sessões de PPP não obtêm terminadas no provedor de serviços? roteador de agregação s. São escavados um túnel ou enviados ao destino final ou ao Home Gateway, que terminarão eventualmente as sessões de PPP. O destino final ou o Home Gateway negociam o IPCP com o subscritor, fornecendo desse modo um endereço IP de Um ou Mais Servidores Cisco ICM NT dinamicamente. Os endereços estáticos são igualmente possíveis enquanto o destino final atribuiu aqueles endereços IP de Um ou Mais Servidores Cisco ICM NT e lhes tem uma rota.

Antes do Cisco IOS Software Release 12.0.5DC para o Cisco 6400 NRP, não havia nenhuma maneira para que o provedor de serviços forneça sub-redes de endereço IP ao subscritor. A plataforma do Cisco 6400 e o Cisco 600 Series CPE permitem que o sub-redes IP seja configurado dinamicamente no CPE durante a negociação de PPP. Um endereço IP de Um ou Mais Servidores Cisco ICM NT desta sub-rede é atribuído ao CPE e os endereços IP restantes são atribuídos dinamicamente às estações com o DHCP. Quando esta característica é usada, os CPE não precisam de ser configurados para a PANCADINHA, que não trabalha com alguns aplicativos.

Como o destino de serviço é alcançado

Nas arquiteturas PPPoA, o destino de serviço pode ser alcançado em maneiras diferentes. Alguns dos métodos o mais geralmente distribuídos são:

  • Terminando sessões de PPP no provedor de serviços

  • Tunelamento L2TP

  • Usando o SSG

Em todos os três métodos há um conjunto fixo de PVC definido do CPE ao DSLAM que é comutado a um conjunto fixo de PVC no roteador de agregação. Os PVC são traçados do DSLAM ao roteador de agregação através de um nuvem ATM.

O destino de serviço pode igualmente ser alcançado usando outros métodos tal PPPoA com SVC, ou Multiprotocol Label Switching/Virtual Private Network. Estes métodos são além do alcance deste documento e serão discutidos nos papéis distintos.

Terminando o PPP na agregação

pppoa_arch_4.gif

As sessões de PPP iniciadas pelo subscritor são terminadas no provedor de serviços que autentica os usuários que usam um base de dados local no roteador ou através dos servidores Radius. Depois que o usuário é autenticado, a negociação de IPCP ocorre e o endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído ao CPE. Depois que o endereço IP de Um ou Mais Servidores Cisco ICM NT foi atribuído, há um host que a rota estabeleceu no CPE e no roteador de agregação. Os endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos ao subscritor, se legais, são anunciados ao roteador de ponta. O roteador de ponta é o gateway através de que o subscritor pode alcançar o Internet. Se os endereços IP de Um ou Mais Servidores Cisco ICM NT são privados, o provedor de serviços tradu-los antes de anunciá-los ao roteador de ponta.

Tunelamento L2TP/L2F

pppoa_arch_5.gif

Sessões de PPP, segundo o provedor de serviços ou o corporaçõ, túnel ao ponto de terminação ascendente usando o L2TP ou o L2F em vez da terminação no provedor de serviços? roteador de agregação s. Este ponto de terminação autentica o username e o subscritor é atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT através do DHCP ou de um conjunto local. Para esta encenação há geralmente um túnel estabelecido entre o L2TP Access Concentrator/servidor do acesso de rede (LAC/NAS) e o Home Gateway ou o L2TP Network Server (LNS). O LAC autentica a sessão de recebimento baseada no Domain Name; o username é autenticado no destino final ou no Home Gateway.

Neste modelo, contudo, o usuário pode somente ter o acesso ao destino final e pode alcançar somente um destino de cada vez. Por exemplo, se o CPE é configurado com um username de rtr@cisco.com, os PC atrás desse CPE podem somente ter o acesso ao domínio Cisco. Se querem conectar a uma outra rede corporativa, precisam de mudar o nome de usuário e senha no CPE para refletir esse Domain Name corporativo. O destino de túnel está alcançado neste caso usando um protocolo de roteamento, rotas estáticas, ou fazer o IP clássico sobre o ATM (se o ATM é preferido como a camada 2).

Usando o Service Selection Gateway (SSG)

/image/gif/paws/12914/pppoa_arch_6.gif

As vantagens principal do SSG sobre o Tunelamento são que o SSG fornece o mapeamento de um-à-muitos serviços, visto que escavar um túnel fornece somente o mapeamento um a um. Isto torna-se muito útil quando um usuário único precisa o acesso aos serviços múltiplos, ou usuários múltiplos em um único lugar que cada necessidade alcança a um serviço exclusivo. O SSG usa o painel da seleção de serviço baseado na Web (SSD), que consiste em serviços diferentes e está disponível ao usuário. O usuário pode alcançar um serviço ou serviços múltiplos ao mesmo tempo. Uma outra vantagem de usar o SSG é que o provedor de serviços pode faturar o usuário baseado nos serviços usados e no tempo de sessão, e o usuário pode desligar serviços sobre e através do SSD.

/image/gif/paws/12914/pppoa_arch_7.gif

Os usuários são autenticados enquanto a sessão de PPP vem dentro dos assinantes. Os usuários são endereços IP atribuídos do conjunto local ou do servidor Radius. Depois que um usuário é autenticado com sucesso, um objeto da fonte está criado pelo código SSG e o usuário é dado o acesso a uma rede padrão. A rede padrão contém o servidor SSD. Usando um navegador, o usuário entra ao painel, é autenticado pelo servidor AAA, e segundo o usuário? o perfil s armazenado no servidor Radius, é oferecido um conjunto de serviço a alcançar.

Cada vez que um usuário autenticado seleciona um serviço, o SSG cria um objeto de destino para esse usuário. O objeto de destino contém a informação tal como o endereço de destino, o endereço de servidor de DNS para esse destino, e o endereço IP de origem atribuído do Home Gateway. Pacotes que vêm dentro do usuário? o lado s é enviado ao destino baseado na informação contida no objeto de destino.

O SSG pode ser configurado para o serviço de proxy, o passagem transparente, ou o PTA. Quando um subscritor pede o acesso a um serviço de proxy, o NRP-SSG passará a solicitação de acesso ao servidor de raio remoto. Em cima de receber a aceitação de acesso, o SSG responde ao subscritor com a aceitação de acesso. O SSG aparece como um cliente ao servidor de raio remoto.

O passagem transparente permite que o tráfego de assinante não-autenticado seja distribuído com o SSG em um ou outro sentido. Use filtros para controlar o tráfego do passagem transparente.

O PTA pode somente ser usado pelo PPP-tipo usuários. A autenticação, a autorização e a contabilidade são executadas exatamente como no tipo de serviço de proxy. Um subscritor entra a um serviço usando um username do formulário user@service. O SSG para a frente que ao servidor Radius, que carrega então o perfil do serviço ao SSG. O SSG para a frente o pedido ao servidor de raio remoto como especificado pelo perfil do serviço? atributo do servidor Radius s. Depois que o pedido é autenticado, um endereço IP de Um ou Mais Servidores Cisco ICM NT está atribuído ao subscritor. Nenhum NAT é executado. Todo o tráfego de usuário é agregado à rede remota. Com PTA, os usuários podem alcançar somente um serviço e não terão o acesso à rede padrão ou ao SSD.

Descrição operacional da arquitetura PPPoA

Quando o CPE é posto primeiramente sobre, começa enviar pedidos de configuração LCP ao servidor de agregação. O servidor de agregação, com os PVC configurados, igualmente manda o pedido de configuração LCP em uma interface de acesso virtual (associada com o PVC). Quando cada um vê o pedido de configuração do outro, reconhecem os pedidos e o estado LCP é aberto.

Para o estágio da autentificação, o CPE envia o pedido de autenticação ao servidor de agregação. O server, segundo sua configuração, qualquer um autentica o usuário baseado no Domain Name (se fornecido), ou o username usando seus base de dados local ou servidores Radius. Se o pedido do subscritor é sob a forma de username@domainname, o servidor de agregação tentará criar um túnel ao destino, se um não é já lá. Depois que o túnel é criado, o servidor de agregação para a frente os pedidos PPP do subscritor ao destino. O destino, por sua vez, autentica o usuário e atribui um endereço IP de Um ou Mais Servidores Cisco ICM NT. Se o pedido do subscritor não inclui o Domain Name, o usuário está autenticado pelo base de dados local. Se o SSG é configurado no roteador de agregação, o usuário pode alcançar a rede padrão como especificado e pode conseguir uma opção selecionar serviços diferentes.

Conclusão

O PPPoA está transformando-se a maioria de arquitetura adequada para muitos provedores de serviços porque é altamente escalável, usa a funcionalidade SSG, e fornece a Segurança. Desde que o foco deste papel era arquitetura PPPoA, não era possível cobrir características como o SSG detalhado. Estas características serão cobertas em papéis subsequentes. As configurações de amostra para as encenações diferentes discutidas neste documento igualmente serão apresentadas e explicadas nos papéis distintos.


Informações Relacionadas


Document ID: 12914